保护嵌入式产品的异地生产编程

是否有可能过于成功？好吧，如果您创建一个小批量销售的嵌入式系统，您可以在内部控制整个过程。但是，如果您的产品被证明广受欢迎，因此需要大批量生产，您可能最终会与合同制造商 (CM) 合作，而 CM 执行的任务之一就是将您的固件编程到您的产品的微控制器。

如果您正在使用 CM，那么您需要保护自己免遭 IP 盗窃和系统过度生产的一件事。据估计，全球约有 10% 的电子产品是假冒产品，而在这些仿冒品中，CM 的过度生产占了相当大的比例。

不同的人以不同的方式看待 IP（知识产权）。对于嵌入式系统，硬件设计是一种 IP 形式，固件是另一种形式。在某些情况下，克隆硬件可能相对容易，但是没有固件，硬件就毫无用处。如果 CM 可以不受限制地访问硬件和固件，则系统的创建者几乎没有追索权，只能依赖 CM 的道德和声誉，直到现在......

在本月早些时候在德国纽伦堡举行的嵌入式世界大会上，SEGGER 宣布了一种名为 Flasher SECURE 的新生产编程系统，旨在解决 IP 盗窃和生产过剩问题。

有各种可能的使用模型。上图反映了一个常见的场景。这是基于每个微控制器都包含一个唯一标识符 (UID) 的事实。固件 IP 的所有者——通常是嵌入式系统的设计者——为 CM 提供 Flasher SECURE 平台。同时，固件本身驻留在一个受信任的服务器上，该服务器仍处于 IP 所有者的控制之下。

当需要对系统进行编程时，Flasher SECURE 从要编程的设备读取 UID 并将其传输到受信任的服务器，后者验证 UID 并生成加密签名。然后将固件和签名返回给 Flasher SECURE，后者将它们编程到微控制器中。

当产品通电时，固件所做的第一件事就是读取其微控制器上的 UID，并在执行任何其他操作之前检查它是否与给出的签名相对应。最重要的是，固件的这种实例化只能在这个特定的微控制器上运行。

但是“时间就是金钱”， 像他们说的那样。如果这个过程减慢了生产速度，那么它也会增加成本。好吧，不用担心，因为 SEGGER 的人已经考虑到了这一点。实际上，固件仅作为对第一台设备进行编程的一部分从受信任的服务器下载一次，然后将其存储在 Flasher SECURE 中。

对于后续单元，Flasher SECURE 在对固件进行编程的同时，也在读取微控制器的 UID 并将此 UID 发送到受信任的服务器。受信任的服务器在编程完成之前验证 UID 并创建并返回相应的签名。一旦固件被加载到设备中，剩下的就是加载签名，这需要极短的时间。

那么，如果固件确定它在伪造的系统上运行会发生什么？嗯，这取决于它的创造者。一种选择是它干脆拒绝做任何事情。另一种可能性是固件显示一条消息，通知最终用户他们正在使用非法产品。取决于系统（您不想在安全关键产品中这样做），固件是否可以假装 做自己的工作，但实际上却产生了错误的结果或做出了无意义的行为，从而引起了新主人的不满，他们会强行向最初窃取系统的小流氓表达不满。

我特别偏爱的另一个选择是让固件假装 尽职尽责，同时积极尝试访问互联网并广播尽可能多的信息，以帮助 IP 所有者进行追踪。

如果你真的很讨厌，你可以让固件尽最大努力对它接触到的任何东西造成严重破坏，但也许我们应该努力克制自己不要沉入坏人的水平。你怎么认为？如果有人偷了你的一个设计，会不会是一个简单的“警告：这是一个假冒系统，” 信息就足够了，或者您想“大喊大叫，让战争的狗字节溜走？” （向吟游诗人道歉）？