[分享] 【FAQ】如何在云服务连接中保护您的IP｜Microchip 安全解决方案系列研讨会

直播主题： 如何在云服务连接中保护您的IP｜Microchip 安全解决方案系列研讨会 第1场

内容简介：当前，通过云服务实现的各类应用和业务发展迅猛，从而产生了大量的云服务连接。这意味着您的IP正面临着来自黑客、造假者和竞争对手的更大、更广泛的威胁。本场在线研讨会探讨这些潜在的威胁，以及如何运用软硬件结合的解决方案来防范这些威胁。

直播讲师： 刘彦阳

直播FAQ摘录：

1、加密的方式有多少种？其特点都有哪些？我们应该如何选择加密方式？Microchip的具有何种优势？
A：我们讨论的是安全，不仅仅是加密，加密只是安全的要素之一。我能一般分为外挂式式的独立安全芯片，如
我们的ECC608A。和集成式的安全MCU，如我们今天介绍的ATSAML21。MICROCHIP可以提供这两种形式的
安全产品和方案。
2、目前有哪些手段来保护IP？
A：一般是安全类硬件的基础上，加上软件
3、请问加密等级属于国密几级？
A：我们Microchip的安全产品都是采用通用的算法AES,ECC，RSA，没有国密算法,也没有国密等级。
4、目前有哪些安全类的硬件？
A：安全EEPROM, 安全芯片SE， 带硬件安全引擎的MCU,MPU，FPGA, 带HSM的MCU,MPU
5、如果支持手机进行数据交互采用TF卡方式吞吐量能达到多少？
A：如果使用MPU，AES桥方式，加密解密大概会带来5%的性能丢失，具体的吞吐率结合具体的SDMMC的参数
可以计算出
6、云服务中的ip保护是否需要密钥分发机制
A：是的。
7、安全性是如何评估的？
A：你是指芯片的安全性还是系统的安全性。 芯片的安全性包括一些第三方认证和测试，硬件和软件上的防破解
方法。 系统的安全性评估可以通过你采用的方法，也有第三方认证方式，芯片级的安全性是系统安全性的基础。
8、这里说的IP是指网络上的IP地址数据还是芯片内核？
A：这里说的IP是指知识产权，是你的产品本身。
9、云端的解密官方提供开发包API吗？
A：云端主要做的是身份认证，通过TLS。完成身份认证后的数据加密，一般采用通用的AES算法，这个算法是公
开的。
10、如何运用到智能家居，
A：智能家居产品在连接到云时，可以实现对产品的身份认证，以及对数据的加密传输。产品在进行OTA远程固
件升级时，可以确保固件的可信任，不被人篡改或HACK。
11、ip保护指什么
A：在这里是指知识产权，通俗讲就是算法或代码。可以是硬件也可以是程序软件，您的知识产权,intellectual
property
12、在软件上有什么安全保护措施
A：软件的安全都不如硬件的安全保护措施。软件可以实现一些安全算法。固件HASH认证，配合安全引导可以确
保固件不会被更替，关键数据AES加密等
13、ip保护是软件还是硬件保护
A：今天讨论如何使用由硬件和软件组成的混合解决方案应对 IP保护
14、存在芯片使用过程中会误操作自锁的可能性吗
A：如果忘记秘钥存在自锁的可能。
15、什么是国密算法
A：国密算法SM1，是不公开的加解密算法。SM2是对称式加密算法，类似于AES。SM3是非对称式算法，类似
与ECC和RSA。
16、通过哪些安全认证？
A：L11通过ARM的PSA L2
17、SAM L11是使用什么内核？
A：SAM L11 使用Cortex M23
18、密钥分发机制如何保证安全无漏洞？
A：需要有经过认证的HSM分发到安全的硬件加密芯片中， 尽量使用非对称。
19、这么多保护，加密，会不会增加响应延迟？
A：任何保护都需要处理时间，会有影响，所有需要根据应用去选择合适的处理方法。
20、L11的加密有哪些方式
A：AES-128 GCM加密加速器
21、安全的措施是放到EEROM还是flash ？
A：安全元件采用的是硬件引擎，有硬件直接实现。算法不会存放在FLASH或EE中
22、请问芯片级防篡改，主要原理是什么？
A：有探测的引脚和芯片级机制可以识别篡改行为。
23、SAM L11可以使用keilc环境开发吗》
A：可以
24、对于之前的芯片级暴力破解，SAM系列有什么对策吗？
A：芯片有一些探测机制，一旦探测到会启动保护机制，也会对关键RAM数据进行清除.
25、SAM L11 支持什么类型加密方式？
A：AES-128, SHA-256, and GCM加密加速器
26、L11的安全性如何
A：基于M23核，扩展Trustzone安全特性，内存保护，外设保护，可以确保应用安全
27、加密方式都有哪些
A：我们讨论的主题是安全，加密只是安全的要素之一。关于加密，可以有对称式加密和非对称式加密。
28、SAM L11 内部含有加密的ID和加密空间吗？
A：SAML11 内部分为安全区域和非安全区域，一些重要信息可以放在安全区域，每个器件有唯一的ID
29、以前做过信息安全产品，要求支持国密SM1，最后选用国产加密芯片，SAM L11 适用哪些领域，对应用领
域是否有限制？
A：SAML11非常适用于知识产权核的保护，及高等级固件保护（有安全启动），以及IOT应用，云应用等数据安
全要求高的场合
30、SAM L11都有哪些封装？
A：VQFN,TQFP,SSOP,WLCSP
31、这个安全策略是固化在芯片中的吗？
A：算法是固化在芯片种的硬件引擎
32、你好，方案是靠软加密还是硬加密？
A：采用硬件加密引擎
33、SAM 的加密模块是Hardware的还是software的
A：实现安全是通过一系列机制，大部分都是硬件实现的。
34、SAM L11功耗大概是多少？
A：25uA/MHz
35、工业以太网产品是否可应用？
A：保护IP，保护数据，身份认证适合的。
36、IP保护的关键要素？
A：不要让别人读取复制你的关键代码，不要让未授权的工厂生产你的产品，使用你的服务等。
37、是不是此次的安全解决方案,是建立在ARM核基础之上的?相对MIPS核,目前暂时没有相关的解决方案?
A：目前为止还没有在MIPS上实现部署的Trustzone技术。这次的安全解决方案是基于ARM 的trust zone, MIPS
也有类似的机制。
38、自锁后的处理方式是什么，代码全部抹除，重新烧入？
A：对的，重新配置
39、有应用需求，怎么联系合作？
A：请联系MICROCHIP当地的办事处，MICROCHIP网站上有各办事处联系方式
40、请问芯片的主要原理是什么
A：基本上是一个Cortex-M23处理器，选实现了Trustzone特性，扩展有安全外设，和安全引导等，可以极高级
别的实现你的安全需求。
41、如何确定哪些设备需要接入安全网络
A：连接到云端或服务器的产品都需要考虑安全网络连接
42、目前的防护措施能保证网络方案的绝对安全吗？
A：安全很难用绝对去描述。 只能说增加了安全需要的很多措施。
43、64k总的代码量，如果采用代码备份，会不会导致可用程序空间减少？
A：SAML11支持安全引导，支持bootloader分区，可以使用bootloader方法保证代码升级而不需要代码备份降
低空间的需求
44、是不是每种加密方式都会被破解？
A：世界上不存在绝对不可能被破解的加密算法，只能通过破解所需要的成本和时间来评估。
45、请问ATAES和ATECC系列是否通过CC的测试，如果通过测试EAL多少
A：有通过测试，EAL的评分为high，是它的最高评分
46、那目前SAM 系列有类似于securityboot的function吗
A：今天讲的SAML11和ATSAMA5系列都支持安全引导
47、加密的密钥是如何管理的？
A：在出厂时已经写入设定，不能被读写，不为任何人所知道
48、个人认为还是硬件加密模块比较可靠，只要是软件就有漏洞，在硬件方面Microchip公司有哪些产品呢？
A：MICROCHIP有独立式安全芯片，ATECC608A,SHA204。和带安全功能的MCU，如今天介绍的SAML11
49、私有云和公有云的连接，都需要保护吗？
A：那是肯定的。
50、ATECC608A CryptoAuthentication chip allows developers to add hardware-based security to
protect IP?
A：ATECC608A可以这样用的
51、EAL应该是数字评级啊，怎么有high这种
A：就是没有任何数据被泄露破解的。评级一般为1-7，但这几个数字评分都表示有信息被泄露。如果没有任何数
据被泄露，就是HIGH这个评级。
52、Trustonic公司主意在硬件开发加密还是软件研发加密呢？
A：他们主要是基于trust zone开发安全软件和密钥生成分发。
53、怎么保证保存在芯片安全区域的关键数据不被破解和读取呢？
A：物理上有屏蔽层不可能打开探测，有tamper 管脚，检查到攻击会自动擦除密钥，安全调试功能，禁止从仿真
器读取cpu内部信息
54、除了常规加密算法，是不是有可供客户定制的硬件加速？
A：一般只提供公开的标准的加密算法，公开的算法的安全性已经通过验证，会比定制的非公开算法的安全性要
更高。
55、SAM L11是带加密功能的MCU？
A：是的。
56、SAM L11在工业领域可以适应吗？功耗不重要，重要的是速度和可靠性，稳定性？
A：SAM L11 可工作于32MHz,通过Qualification and Class-B Support – AEC-Q100 Grade 1 (-40ºC to
+125ºC) – Class-B safety library, IEC 60730 (future)
57、SAM L11是什么内核的？
A：coretx-m23
58、这个假如被入侵攻击，恢复能力如何？
A：当检测到入侵后，会自动擦除密钥，需要手工重新配置或者是软件策略来实现自动配置
59、目前SAM的RSA最高support多少dit
A：SAML11是不支持RSA的
60、墨盒的通讯被人监控，能侦察到？
A：通讯口的数据可以被检测，但加密算法和随机数可以保证无法从通讯口数据破解出密钥。
61、采用什么加密算法？
A：AES,ECC256,
62、防篡改采用什么机制？
A：会对代码的完整性和身份合法性进行验证
63、可编程环境可以在认证库、IP和应用代码之间提供硬件隔离吗？
A：运行环境是支持的，原理就是trustzone技术和存储安全分区，外设安全分区
64、microchip有哪些常用的加密芯片啊
A：我们一般称为安全芯片，具体型号有SHA204,ATECC608,和带安全功能的MCU，如SAML11,SAME54等，也
有带安全的FPGA
65、使用多少位密钥
A：ECC算法采用ECC256，也就是私钥是256位
66、TrustZone技术一般是用在双核MCU上吗？单核MCU可以采用吗？
A：可以的，SAML11采用Cortex M23核
67、能够防破解吗
A：支持固件保护，和防克隆，由于支持安全引导，所以安全级别很高
68、方案需要加密芯片吗？还是软件加密？
A：不需要外扩了，都是内置的,需要软件配合
69、不支持固件升级吗
A：支持固件安全升级，今天的讲解会介绍到
70、Trustonic是否收费？
A：Trustonic是收费的，L11-KPH包含了这部分费用。
71、这个套件然后个获取？迫不及待想尝试一下
A：请联系MICROCHIP当地的办事处
72、这个芯片arduino支持吗
A：目前还没有，后续会做进去
73、支持高级加密标准么?
A：支持AES-128, SHA-256, and GCM加密加速器
74、m23?不是m3
A：cortex m23
75、SAML11Xplained Pro开发器件可以试用吗？
A：可以联系当地销售，我们有安全代码的demo
76、检查到攻击会自动处理，那么，会不会检测不到攻击？
A：需要加防攻击检测功能
77、可信模块是硬件单独的吗？
A：是独立的硬件功能
78、密钥是出厂设定好的还是可以改的？？
A：带KPH尾缀的芯片是出厂已设定好，不能再更改的
79、请问现在申请开发板需要多久时间？
A：一般2周左右。
80、密钥固定吗
A：是的。 每个芯片是唯一的。
81、密钥使用什么算法
A：可以使用L11的AES128和SHA256
82、可以在keil下开发吗，m23
A：可以
83、还没开始还是已经结束了？
A：正在进行中
84、Microchip 安全解决方案是基于硬件还是软件来实现的？
A：硬件加密引擎
85、开发板如何申请？
A：可以联系本地Microchip办公室或代理商
86、使用什么开发工具
A：atmel studio, START, MPLAB X IDE 可以用MPLAB Harmony配置外设。 以及IAR, ARM KEIL MDK 开发工
具： PICkit 4，MPLAB ICD 4，Atmel-ICE EDBG Embedded Debugger
87、在生产中如何简便的记录硬件的唯一ID?
A：唯一ID是出厂固定的，不可更改的
88、L11最低功耗可以达到多少啊？
A：休眠模式小于100nA，运行功耗小于25uA/MHZ
89、开发工具免费吗
A：不是。
90、如何来实现在安全密钥存储技术建立硬件信任根？
A：首先是硬件上支持入侵检测，安全调试，防止信息泄露，其次支持安全引导，保证固件安全
91、唯一密钥是一次可编程的吗？
A：是的，是不可更改的
92、密钥保存位置固定吗？
A：是的，在芯片硬件内部
93、如此复杂的操作流程，为了能达到预期的安全性能，官方有提供一些文档或者示例吗？
A：有的，可以联系当地FAE所取，或者Microchip网站查找
94、在刷脸或者指纹识别解锁的环境，可不可以适合用SAML12系列产品呢？
A：看你需要用来做什么？ 可以做secure boot和安全通讯， L11也有很强的触摸功能，
95、m23和m3核区别有哪些
A：M23和M3是完全不同的内核，M23是基于ARMv8-M的支持Trustzone安全扩展特性，但是主频一般比较低
比如L11是32MHz
96、需要考虑数据吞吐量吗
A：要看你的产品的具体的需求了，L11是基于M23的32Mhz的CPU一般是做控制，不是做大容量数据传递的。
97、唯一密钥如果是一次可编程的话，如果盗版产品把唯一密钥也克隆了，保护就会失效吧？
A：可以做到把密钥与唯一ID绑定，这样该密钥仅对应该ID号有效。我们的安全产品都有唯一的ID号
98、能用在汽车电子上吗
A：可以。
99、唯一密钥是多少位的
A：128bits或256bits，ECC的私钥是256位的
100、SAML10 和SAM L11 这两颗芯片具体有什么 区别，是PIN TO PIN的么
A：L11带trust zone， L10不带。 P2P
101、密钥是不是 很多呀？硬件、软件
A：是的。都可以实现，硬件比软件更安全。
102、加密的方法有哪些选择？
A：有对称式的加密算法AES，和非对称式的加密算法ECC256。以及HASH运算SHA256。
103、购买硬件时包括收费开发工具吗
A：开发环境有免费的，但是仿真器要购买，如果用到第三方的代码需要用户自己解决版权
104、能在航空航天产品上用吗？
A：最高到汽车级
105、唯一密钥是否是随机变化的？
A：不是，是固定的。但通过ECDH可以做到会话密钥每次都变化的
106、有没有TPM的？
A：有。你可以联系Microchip了解详细信息。
107、能提供一款低價格的物聯網產品的例子？刚才講的是一個醫學設備。譬如該產品市場價格低於500
A：这个就是低成本解决方案，可以用到很多物联网节点或传感器。
108、硬件上支持入侵检测需要程序固化吗
A：硬件上会有防侵入IO口的
109、我已经订购的L10，拿回来以后怎么用呢，在MAPLAB IDE 中吗？
A：MPLAB IDE V8不支持，需要在X IDE或STUDIO 7中
110、有蓝牙方面的加密方案吗？
A：我们的蓝牙模块本身有安全机制，我们也有蓝牙模块+SE的方案。
111、请问，官钥是对应唯一的ID号吗
A：密钥与ID号无关，但密钥和ID号可以生成和ID对应的证书，来做身份认证
112、区分车规级产品和非车规级吗
A：是的。
113、除了身份认证，可以用于报文的明文加密和解密吗？另外user的Flash空间的程序可以加密吗？
A：可以。 Flash 空间本身没有加密，
114、l11最大32k flash，这包含安全区？最大用户可用空间多大？有更大存储的型号吗？
A：包括安全区最大64K Flash。 可以配置安全区和用户区的分配。
115、密钥的加密方式是唯一的吗？
A：可以支持对称式加密算法，和非对称式加密算法
116、SAM L11开发板提供哪些示例？
A：目前提供安全和用户区的基本操作，串口，IO， 触摸，secure boot等。
117、支持JLINK？
A：支持的
118、密钥是在云服务器上还是在线下的硬件里？
A：存放在节点的硬件中
119、生成的证书有有效期吗
A：有
120、非安全区调用安全模块时，是否是在每次调用前先进行安全认证？每个安全API独立认证还是统一认证？
A：Trustzone支持的，非安全区域代码调用安全区域的代码时要通过NSC api列表来调用，在指令级别支持认证
的，确保不会被越界
121、Harmony 和 X ide 的区别是什么？
A：X IDE是开发环境，HARMONY是X IDE下的一个插件
122、I/O可以直接输出到接口上，不做防护静电可以达到多少kv？
A：不同的芯片有不同的等级。 通常我们的MCU 至少500V MM 和2000V HBM
123、证书只需要在服务器安装吗
A：节点端也需要存放证书的，这样在连到云的时候，可以双方相互认证
124、L11带段码LCD驱动吗？
A：不带
125、那里可以买到开发工具？
A：联系我们本地销售团队或代理商，也可以直接在官网下单。
126、引入HARMONY这个插件的作用，只是为了在X ide 中可以使用SAM原件吗？
A：HARMONY主要是位了协助客户方便开发32位MCU的代码
127、能满足国密吗？
A：不支持国密的SM1,2，3标准的。但AES,ECC和SM2,3分别对应的
128、那硬件坏了，怎么办呢
A：这个安全产品是没法做FA失效分析的
129、证书可能被盗用吗
A：不太可能，多重硬件保护，当检测到入侵，会自动擦除安全SRAM区域的数据
130、有demo板和学习例程吗
A：官网有L11的demo板和开发环境中有对应的例程。
131、trust zone 的地址和大小可以配置吗？
A：是的。
132、如果没有HARMONY，是否仍然可以在X ide中使用32位MCU?
A：可以的
133、如何获取技术资料和技术支持？
A：官网上有www.microchip.com，你也可以联系本地Microchip办公室或代理商。
134、关于代码的保护，Microchip提供了哪些方式？
A：采用类似L11的安全MCU，也可以采用专门的加密芯片比如ATECC508，SHA204。
135、刚才听到是Harmony的作用类似于starter， 那跟MHC是什么关系呢？
A：MHC是MPLAB下的一个配置工具来方便使用Harmony，start是一个在线工具配置asfv4
136、安全区域大小可调整吗
A：可以通过fuse设置
137、安全区域和非安全区域的大小是固定的吗？还是可以指定？
A：可以根据具体需求进行调整，通过fuse bit来配置
138、L11有哪些开发环境可以使用啊？
A：MICROCHIP的X IDE,ATMEL STUDIO 7,还有第三方IAR
139、可用哪些工具来编程？
A：JLINK,atmel ice, pickit等
140、Microchip 安全解决方案主要用于什么领域？
A：主要有IoT, 汽车。 IP保护的领域就不限了。
141、同主频，同ram，flash大小的情况下，安全模块溢价大概溢价了多少？价格比较敏感
A：关于价格问题，请联系MICROCHIP当地办事处人员或代理商的