Kinetis MCU
为未来的互联网保驾护航
freescale.com/Security
安全和完整的解决方案
Kinetis 微控制器
安全、可扩展、超低功耗、混合信号MCU
Kinetis 微控制器 (MCU) 包含多个系列的硬件和软件兼容的ARM
®
Cortex
®
-M0+ 和M4 MCU产品,并规划了令人兴奋的新路线图,新的
Cortex-M7内核已经列入计划。Kinetis MCU系列包含近1000款MCU,是
目前最广泛、基于ARM的MCU产品组合,具有卓越的低功耗性能、可扩
展性与功能集成,提供多种通用或针对特定应用的功能。
超级可扩展
有近1000款Kinetis MCU型号,可以提供非常多样的选择和
无与伦比的可扩展性能,拥有多达2 MB的闪存和256 KB
的SRAM,且软件和硬件兼容,能够极大地保护您的工程
投资。
优化配置
片上集成的多种智能选项,包括HMI、安全、混合信号功
能和连接选项,例如带无晶体功能的USB,帮助客户降低
总物料成本。
性能和能效
体验带浮点单元的180MHz最佳性能,享受多个低功耗模式
和增强型节能外设实现的长电池寿命。
全方位支持
使用飞思卡尔及其他ARM生态合作体系供应商提供的广泛
的软件和工具套件加快应用开发。
安全性
充分利用整个Kinetis MCU产品组合共享的安全架构,提供
一系列解决方案,无论是简单的边缘节点,还是先进的支
付解决方案。
2freescale.com/Kinetis
以下几页介绍了Kinetis MCU的各种安全模块。请注意Kinetis MCU包含许
多资源,可用于创建安全的嵌入式应用。广泛的器件组合提供多种存储器
和性能,还包含安全外设选项,以满足不同的应用需求。从固件保护机制
到用于先进的加密密钥管理的防入侵硬件,Kinetis MCU安全架构是您下
一个安全设计的关键要素。
安全和完整的解决方案
Kinetis MCU安全架构的特点和优势
特性 优势 特性详细信息 支持 产品
片上闪存的安全 性和保护机制 防止固件被盗和应用克隆
• 能够阻止通过调试接口访问处理器
• 能够设置64位 密 钥 ,重 新 获 得 调 试 访 问
AN4507:使 用 Kinetis
的安全特性和闪存保
护功能
所有Kinetis器件
调试端口配置 阻止外部的调试请求或闪存的重新编程 能够通过软件控制禁用JTAG
唯一ID 通过软件将MCU唯一地识别为可信任器件
• 128位唯一ID(Kinetis K系列MCU)
• 80位唯一ID(Kinetis L系列MCU)
• 64位唯一ID(Kinetis E系列MCU)
只从内部存储器启动
受控启动条件可避免使用外部存储器进行的
攻击
NVM控制位用于设置启动条件
使用引导ROM进行加密固
件升级
利用内置ROM例 程 保 护 固 件 更 新 ,降 低 软 件 开
支和复杂性
• 固件通过AES128位密钥进行加密
• 完全支持内部闪存安全性,包括通过预设密钥批量删除或解除
• 安全的功能
• 执 行 引 导 程 序 有 多 种 方 案 ,或 在 系 统 启 动 时 ,或 在 运 行 时 通 过
• 应 用 控 制 。配 置 QuadSPI接 口 的 功 能 ,取 决 于 外 置 QuadSPI内的
• 配置信息。
在Kinetis K80_150,
K81_150, K82_150 MCU中部署
片 外 存 储 器 访 问 控 制 ,适 用
于SDRAM和FlexBus的并行
存储器
受控的程序执行条件,用于避免使用外部存储
器进行的攻击
FlexBus安全性选项,决定是否能从外部存储器执行
所有带FlexBus外设的Kinetis
MCU
存储器保护单元 (MPU) 监控系
统总线的操作
系统监控程序的执行,确保程序是在预期的
存储器范围内运行,赋予运行软件有限的访
问权限。
MPU使用预先配置的访问区域描述符监控总线操作的合法性,访问
区域描述符定义了存储空间和相应的访问权限。
在Kinetis K80_150, K81_150,
K82_150, K70_120, K63_120,
K64 _120, K60_120, K53_100,
K24_120, K21_120, K21_ 50,
K11_ 50 MC U中部署
闪存访问控制 (FAC) 可配置存
储 器 保 护 机 制 ,允 许 用 户 使 用
软件库,同时为这些库提供可
编程限制。
保护软件IP
借助非易失性控制寄存器设置对片上闪存资源的访问权限。可对64
个不同的分段设置管理权限或仅执行访问权限
AN 5211:使 用 Kinetis
闪存仅执行访问控制
的功能
在Kinetis K22_100, K26_180,
K66_180, K65_180,K80_150,
K81_150, K82_150 MCU中部署
用于加速对称加密和哈希函数
的硬件和软件机制
为加密功能降低CPU负 载 。提 供 对 数 据 篡 改
侦测的手段。简化更高级安全功能及网络安全
标准的实施。针对固件更新,可将固件散列与
加 密 密 钥 结 合 使 用 ,确 保 正 在 更 新 的 固 件 是 可
信固件。
采用硬件实现对称加密安全运算,
支持DES、3DES、AES、MD5、SH A-1和SHA-256 算法
AN4307:使 用 Kinetis
MCU中的mmCAU
在Kinetis K80_150, K81_150,
K82_150, K70_120, K63_120,
K64 _120, K60_120, K53_100,
K24_120, K21_120, K21_ 50,
K11_ 50 MC U中部署
LTC:面 向 AES、 DES和公钥加
密的加密协处理器
分流CPU负 载 ,减 少 软 件 占 用 空 间 。加 速
RSA2048、ECDSA和ECDH,减少认证延迟
LTC集成了多个加密硬件加速引擎,这些引擎共享通用寄存器。该
LTC版本支持AES、DES、3DES、RSA和ECC。
Kinetis SDK驱动程序
在Kinetis K81_150,K82_150
MCU中部署
从外部串行NOR闪存进行动态
AES解密
保护片外固件的安全
硬件模块对QuadSPI提取的外部闪存数据进行AES128计数器模式
解密,支持软件在芯片内执行,不会增加延迟
在Kinetis K81_150,K82_150
MCU中部署
入侵检测模块带8个入侵 侦
测引脚
减少防入侵机制所需的外部电路
在发生外部攻击事件时,可通过异步删除操作保护密钥存储空间。
检测引脚、温度、电压和时钟等间接攻击,以及主动的攻击
可为签署NDA的客户
提供应用说明
在Kinetis K81_150, K70_120,
K61_120, K63_120, K21_120,
K21_ 50, K11_50 MCU中部署
安全会话RAM 带安全功能的暂时存储器
RAM内存块用于存储敏感信息(如加密会话密钥),当检测到入侵事
件 时 ,会 自 动 删 除 这 些 敏 感 信 息
在Kinetis K81_150 MCU中部署
3
安全和完整的解决方案
概述
硬件加密协处理器为开发人员提供了数据的传
输和存储安全。它支持用硬件实现一组专门运
算,提高基于软件的加密/解密过程的吞吐量以
及改善消息摘要功能。
特性
• 支持加密及数据哈希运算所需的最常用函
数,包括DES、3DES、AES、MD5、SHA-1
和SHA-256算法
• 能够在一次数据写入操作中发送3个命令,
提高软件算法之外的吞吐量
• 使用协处理器指令实现安全函数的最核心部
分,免费提供对应的软件库
• 借助标准的处理器指令实施更高级的软件
功能
• 完美支持各种网络安全标准 (SSL、IPsec)
• 允许实施任何高级的功能或操作模式
(HMAC、CBC等)
飞思卡尔以应用笔记的方式提供免费的加密软
件示例:
CAUAP:加密加速单元:CAU和mmCAU软
件库
硬件加密
MMCAU框图
mmCAU内置模块
项目 描述
译码器子模块
提供片内专用APB接口与CAU模块之间的桥梁。将APB上的存储器映射命令和数据传
输给CAU,或 从 CAU取出。
四级FIFO 包 含 命 令 和 输 入 操 作 数 ,以 及 从 PPB捕捉的和发送给CAU的相关控制
CAU 三个终端模块,带命令和(可选)输入操作数及结果总线
