代码收藏家 STM32的RTC管脚作为Tamper使用(RTC-TAMPER)
在学习STM32-RTC时,对入侵检测功能有很多不解;最大的困惑就是,这个东西有什么用?
故作了以下笔记,欢迎指正:
入侵检测描述:当TAMPER引脚上的信号从0 变成1 或者从1 变成0( 取决于备份控制寄存器BKP_CR 的TPAL位) ,会产生一个侵入检测事件。侵入检测事件将所有数据备份寄存器内容清除。
根据上面的描述,个人进行了以下的应用场景猜想:
猜想1:将程序关键变量X=Y保存到数据备份寄存器;开机后,读数据备份寄存器的值,如果X==Y则进入主功能;当竞争对手对产品进行拆解时,产生一个入侵检测事件,数据备份寄存器丢失(X!=Y),产品无法使用。不过直接应用产品风险过大;一般应用,入侵事件生成中断,停止模式/待机模式唤醒,再进行入侵事件处理。
猜想2:与猜想1一样,存储重要信息的功能;比如存储机器的质保资格;拆机产生侵入检测事件,数据备份寄存器丢失,质保资格失效。
猜想3:实现数据备份寄存器复位。类比电脑的CMOS;数据备份寄存器存储系统的重要参数,决定系统能否正常工作;入侵检测事件的加入;可以在用户自行修改了系统启动参数时(如window升级失败后),通过触发入侵检测事件,让数据备份寄存器恢复为出厂设置。
为了验证以上的猜想,故作了资料搜集的工作,得到了一些比较有用的结论。
这是一个例子:电力和能源计量,配电公司可能会根据一天中的时间、最大需求、负载等有不同的计费费率,从而使实时时钟 (RTC) 成为电子电表提供时间参考的重要组成部分。黑客可能会篡改时钟或操纵时间来欺骗系统并以不同的方式充电,例如,将下午1点更改深夜1点,以便在此期间的非峰值负载而降低计量固件的收费。RTC通常依赖于32.768 kHz外部晶体振荡器,黑客可以更改RTC晶体。这在测量和计费中引入了不准确。
那么,为防止黑客对电子电表的这种窃取行为;可以怎么做呢?
①可以增加检测功能,如在智能电表的外壳上增加TAMPER引脚检测功能,当外壳被打开时就可以生成一个入侵检测信号,以下是IAmAProgrammer的防拆机电路设计的回答:
②当外壳被打开,检测到入侵信号时,系统可以执行事先设定好的程序,去选择对入侵(攻击)的处理。
当然这种简单的入侵处理是存在缺陷的,随着时间的推移,这些开关往往会被氧化,当发生篡改时,这些开关由于氧化而保持原有的状态,因此可能永远不会向系统指示篡改事件。当然,有更高级的入侵检测处理,那就是主动篡改检测,感兴趣的小伙伴,可以看看末尾的文章。
到这里,应该有人会对为什么入侵事件产生后要清除备份数据寄存器的设计产生困惑。重要的数据一般也不会存放在备份数据寄存器中,有掉电风险且备份寄存器本身容量也有限。往往也会将重要数据存放在掉电也不受影响的flash、EEPROM中。所以擦除的本身意义是什么?对此,我也困惑,便作了以下的猜测,欢迎讨论、指正:
清除备份数据寄存器的设计可以为密钥等敏感数据提供一个更为安全的存储空间。当黑客攻击设备切断主电源时,在系统恢复启动备选电源的过程中是存在一定的时间的,这个时间空隙里flash、EEPROM等数据空间会存在被盗取的可能。清除备份数据寄存器的设计可以有效防止黑客拿到敏感数据,从而为所欲为控制整个系统而不留痕迹。
总结:入侵检测就是检测设备是否受到黑客攻击的手段,入侵检测可以有效防范黑客攻击设备窃取或盗用设备,提高设备的安全。TAMPER引脚加入为篡改事件保护电路设计提供了基础。当检测到入侵时,触发篡改事件中断,cpu再去选择擦除任何安全信息,生成系统复位,将篡改事件存储在EEPROM或电池备份寄存器中,最后清除中断标志。CPU对篡改事件的响应通常是特定于应用程序的。需要注意的是,一旦产生篡改信号,除非主电源(VDD)和电池电源(VBAT)都被移除,否则不应清除该信号。当电源重新连接时,篡改应该是默认条件,并且只能通过处理器中的代码重置。例如,在电表中,这通常在电表校准期间完成。
参考文章:
