在嵌入式開發中，安全存儲通常是系統中的一個內存位置，用于保護對加密密鑰、用戶和服務憑證以及其他系統數據等敏感數據的訪問。安全存儲可以在芯片上，例如在閃存庫或RAM位置內，或者像NOR閃存芯片那樣的外部閃存設備內。

　　安全存儲的目標是防止私人數據被泄露到使用數據的設備或服務之外，并防止被克隆。正如你可能想象的那樣，安全存儲通常與系統信任根服務相關聯，并使用加密密鑰來加密數據并保持其機密性和完整性。

　　安全存儲就是保護數據和保守秘密。

　　使用Trusted Firmware-M安全存儲

　　開發人員可以使用多種機制在其嵌入式系統中創建安全存儲。正如我前面提到的，安全存儲通常與系統的信任根聯系在一起，首先要考慮的是你選擇的微控制器附帶的服務解決方案。例如，如果你使用的是Arm Cortex-M處理器，那么你的供應商很有可能支持Trusted Firmware-M (TF-M)。

　　Trusted Firmware-M (TF-M)是平臺安全架構(PSA)物聯網安全框架的參考實施。該框架為嵌入式開發人員提供了幾種不同的安全服務，例如：

　　審核日志記錄

　　密碼系統

　　固件更新

　　認證

　　安全存儲

　　TF-M的安全存儲功能分為兩個主要服務：內部可信存儲(ITS)和受保護存儲(PS)。內部可信存儲是一種PSA信任根服務，用于在內存中存儲最安全的設備數據。內部可信存儲在幾個方面不同于受保護存儲。首先，ITS是內部PSA信任根服務，而PS是PSA信任根應用服務。其次，ITS旨在保護片內存儲器，而PS旨在保護片外存儲的數據。最后，PS具有加密外部數據、驗證和提供回滾保護的附加功能。ITS可被視為用于保護密鑰和用戶憑據等數據的存儲，而PS可被視為由固件更新或其他用戶數據資產等較大數據集進行存儲。

　　使用PUF確保存儲安全

　　在嵌入式開發中，近年來出現的創建信任根和安全存儲的一個令人興奮的解決方案是使用SRAM PUFs(物理不可克隆功能)。SRAM PUFs背后的想法是，該算法使用SRAM的一部分來創建唯一的設備密鑰，該部分在生產過程中存在亞微米變化。該唯一的設備密鑰隨后成為該設備的私有信任根密鑰。PUF解決方案很有吸引力，因為它生成了一個不可復制的密鑰，該密鑰只在設備通電時存在。然后，該密鑰可用于創建與硬件相關的密鑰庫，以創建安全的存儲解決方案。

　　芯片外安全存儲

　　外部存儲器供應商開始在其存儲器設備中采用安全存儲解決方案，允許數據安全地存儲在存儲器設備上。例如，華邦電子公司有一個32Mbit的TrustME安全存儲元件，它已經通過PSA認證，可用于有安全要求的系統。像這樣的設備，可以提供RoT硬件保護的存儲，防止數據克隆、修改或訪問存儲的數據。

　　安全存儲結論

　　在過去的幾篇文章中，我們一直在探索每個與安全相關的嵌入式系統應該具備的主要安全元素。安全存儲是開發人員不應忽視的一項基本服務。我們已經探索了嵌入式開發人員可以利用的幾種不同的選擇，如安全框架、物理不可克隆功能和正在進入行業的芯片外解決方案。滿足你的安全存儲需求的正確解決方案將取決于你預計你的系統將面臨的安全威脅以及你需要針對這些威脅的保護級別。