本公開提供了一種微控制器，該微控制器被配置為提供對存儲在微控制器中的代碼或數據的安全完整性檢查。微控制器可包括處理器、限定微控制器存儲空間的存儲器設備、限定存儲空間中的安全存儲區域和非安全存儲區域的安全屬性單元、指示各種代碼在微控制器存儲空間內的存儲位置的完整性檢查表、以及完整性檢查單元。完整性檢查單元可被配置為接收用于檢查存儲在微控制器存儲空間中的第一段代碼的完整性的完整性檢查請求，訪問指示第一段代碼的存儲位置的第一完整性檢查表，確定第一完整性檢查表和第一段代碼是否存儲在相同的存儲區域中；以及至少基于該確定來確定是否要執行所請求的完整性檢查。

技術領域

本申請要求提交于2017年8月17日的美國臨時專利申請62/547,092的優先權，出于所有目的，該申請的全部內容據此以引用方式并入。

技術領域

本公開涉及數據安全性和數據完整性，并且更具體地涉及用于檢查混合安全系統(例如微控制器)中的代碼或數據的完整性并同時維護保密性的系統和方法。

背景技術

電子設備通常包含加載有來自多個不同方的代碼(例如，軟件或其他代碼)和/或數據(例如，庫)的存儲區域。在某些情況下，一方或多方可能需要對由該方或另一方(例如，先前加載其相應代碼/數據的一方)加載的代碼/數據執行完整性檢查。例如，對于容易出錯的存儲器(諸如閃存存儲器)，例如，可能需要或建議在產品生命周期的若干步驟時(例如，在生產周期結束時)進行完整性檢查，以確保非易失性存儲器不被損壞，和/或在字段中使用(例如，用于任務關鍵設備)。然而，允許一方對其加載在設備上的相應軟件圖像執行完整性檢查可能會損害在設備上加載有圖像的其他方的知識產權。此外，在安全系統中，包含安全代碼或數據的存儲器通常無法從系統外部或通過無特權的程序讀取，并且因此通常無法直接驗證數據。

如本文所用，“存儲區域”可包括電子設備(例如，微控制器)的存儲器設備(例如，ROM、RAM、閃存存儲器設備等)的部分或全部存儲區域。在相應電子設備(例如，微控制器)的至少一個存儲區域中加載代碼和/或數據的每一方在本文中被稱為“代碼提供方”或“提供方”，并且加載在相應電子設備的存儲區域中的代碼和/或數據在本文中通常被稱為“提供方代碼”，其在被加載在相應電子設備的相應存儲器設備中之后可被稱為“加載代碼”。

提供一個常見情況的示例，假設提供方A將預先編程有專有軟件庫(提供方代碼)的微控制器傳送給另一提供方(提供方B)，該提供方B使用該庫來制作其自己的最終傳送給最終用戶的產品。另外，假設提供方A設置微控制器的安全屬性以防止對包含其庫的存儲區域進行任何讀取。例如，提供方A可將包含其庫的微控制器的存儲區域設置為安全的，而將微控制器的剩余存儲區域設置為(或默認為)非安全的，從而限定“混合安全性”系統。提供方B可能希望檢查來自提供方A的預編程代碼的完整性，而不訪問數據。類似地，最終用戶可能希望檢查系統的所有部分的完整性，而不需要訪問實際的存儲內容。然而，當前系統通常不允許提供方B或最終用戶在不損害提供方A的知識產權的情況下執行此類完整性檢查。

如本文所用，“混合安全”系統包含安全和非安全的項，例如安全和非安全CPU的混合和/或安全存儲區域和非安全存儲區域的混合。例如，混合安全微控制器(MCU)可包括安全存儲區域和非安全存儲區域兩者，例如，根據由系統、由代碼提供方或由一些其他實體所限定的靜態或動態安全設置。

圖1示出了體現為微控制器(MCU)10的示例性混合安全系統，其包含CPU12；存儲器設備14，該存儲器設備包括安全ROM?14A、RAM?14B和閃存存儲器14C；和安全屬性單元(SAU)16。示例MCU?10可由多個代碼提供方編程，并且安全性也可定制，如下所述。