本應用筆記描述了MAX32520如何通過高速USB連接為上臺個人計算機提供安全服務。本文討論了MAX32520FTHR評估板（EV kit）和軟件作為快速應用開發和實驗的潛在平臺。

系統設計

安全 USB 加密狗由 USB 接口和微控制器組成。微控制器必須提供一些關鍵的安全功能：

篡改檢測

安全且經過身份驗證的代碼執行

安全加密密鑰存儲

受保護的唯一身份驗證值

MAX32520符合Maxim集成專利ChipDNA的要求?物理不可克隆功能 （PUF） 技術、安全密鑰存儲、加密固件執行和安全引導加載程序。

下面的系統框圖給出了使用高速USB橋接器和MAX32520的典型安全加密狗應用，MAX32520通過4位QSPI接口。該設計在MAX32520FTHR中實現，MAX32520FTHR是ADI公司提供的低成本Adafruit兼容Feather板。

圖1.系統架構。

信任根

安全加密狗的第一個要求是固件映像身份驗證和加密。MAX32520包含一個安全引導加載程序，用于驗證并執行閃存中的固件映像。固件映像必須使用用戶特定的密鑰進行簽名和加密，這些密鑰是在IC制造期間分配的。如果檢測到篡改事件，內部篡改檢測機制會擦除這些密鑰。此機制獨立于 CPU 運行。如果沒有密鑰，引導加載程序將無法對固件映像進行身份驗證和解密。

內部篡改檢測機制監控芯片的物理、電氣和散熱方面。此外，MAX32520提供獨立于CPU的外部篡改檢測信號，可用于實現PCB專用保護機制。

USB通信

主機通過 USB 與安全加密狗通信。應對此流量進行加密，以防止對通信協議進行逆向工程。使用MAX32520對稱和非對稱橢圓發動機，可以在加密狗上輕松實現。主機軟件更難保護。特定于PC的軟件解決方案通常涉及系統監控和代碼執行混淆技術。

MAX32520FTHR使用FTDI FT4222 USB轉QSPI橋接器實現USB連接。在主機端，FTDI 提供跨平臺庫，以簡化特定于 USB 的軟件開發。此設計有兩個可能的外部攻擊點 - USB 接口和 QSPI 接口。如果通信流已加密，則兩個接口都將受到保護。

應用特定功能

一旦固件、PC 軟件和通信鏈路得到保護，PC 軟件應用程序就可以實現各種身份驗證、許可證和加密功能，例如：

特定于計算機的許可

用戶特定的許可

過期的功能許可

戰略或大規模數據加密

主機代碼身份驗證和加密

MAX32520FTHR實驗平臺

MAX32520FTHR可作為安全加密狗設計的起點。它預編程了測試鍵，可實現快速便捷的應用程序開發。MAX32520FTHR的器件固件和主機軟件示例可在 www.analog.com 的電路板產品頁面上找到。

結論

安全的嵌入式設計需要代碼安全和篡改檢測以及身份驗證和加密機制。MAX32520在小型低功耗封裝中提供了這些功能以及被廣泛接受且易于使用的ARM Cortext-M4處理器。

審核編輯：郭婷