本文从对比两颗分立MCU与单芯片双核MCU开始(以LPC4350为例)，展开介绍了非对称双核MCU的基础知识与重要特点。接下来，重点介绍了核间通信的概念与几种实现方式，尤其是基于消息池的控制/状态通信。然后，对内核互斥、初始化流程等一些重要的细节展开了论述。最后提出了双核任务分工的两种应用模型，并分别举例。

背景与基本概念

在开发MCU应用系统时，如果单颗MCU无法满足系统的要求，一个很普遍的做法就是使用两颗或更多的MCU，把一部分“杂项工作”分配给另一个有“助理”性质的低端MCU来完成。但是，采用两颗MCU，缺点也很明显，尤其是在芯片与PCB成本、系统可靠性及功耗方面都有先天的不足。此外，若采用了不同架构的MCU，还要面临需要不同的开发工具与开发人员的挑战。如果换一种思路，让MCU内部包含两个内核，其中一个用于主控，另一个用于协控，并且它们主控与协控在架构上能够向下兼容、高效通信，则在很多场合下都可以既保持多机系统的强大，又能避免多机系统的不足。

事实上，这即是“非对称多处理器(简称AMP)”架构的特点。AMP是与“对称多处理器(简称SMP)”相对的架构，后者各处理器有一致的编程模型，并且在分配工作时主要以均衡为原则。而AMP的优点在于精细的任务分工，灵活地适应不同情景，物尽其用，以最佳地平衡成本、性能与功耗。此外，AMP的编程难度也更低。因此，在MCU应用领域，AMP较SMP更为适合。

与独立的双MCU相比，AMP架构有很多优点。其中相当关键的就是，再添加一个内核的代价远比添加一个独立的MCU要低，尤其是当两个内核架构相似时，甚至仅相当于在现有硅片上再添加一两个UART。另一方面，两个内核可以有相同的主频，并且可以通过总线矩阵平等地访问片上资源。而在分立的双MCU方案中，协控MCU的主频常常远低于主控，并且双方使用低速的串行链路通信。

接下来，我们以恩智浦(NXP)半导体公司推出的LPC4300系列为例(尤以LPC4350型号为代表)，对AMP MCU进行简单介绍。

非对称双核MCU的特点

AMP MCU一般用于相对大型的系统，这些系统对功能和性能都有较高的要求。在功能上，应支持较多的外设。LPC4350片载2个高速USB、2个CAN、工业以太网、图形LCD控制器，以及SDHC等接口;外加一些独有的逻辑可配置外设以及众多传统外设，适用于工控、能源、医疗、音频、车载、电机、监控等众多行业产品的开发。

性能的改善则是AMP MCU的灵魂。内核、存储器，以及总线架构对于性能有着至关重要的影响。图1展示了LPC4350的实现方式。

首先是内核的选择。LPC4350基于32位的ARM Cortex-M4和Cortex-M0内核(以下简称M4和M0)，两个内核均可在高达204MHz的主频下执行代码。其中，M4以信号处理和浮点运算能力见长，胜任很多原先要采用DSP才能满足的应用，并且继承了Cortex-M3的控制能力;另一方面，M0以其成本、能效和处理能力的压倒性优势，正迅速吸引开发人员从8/16位架构向上过渡。更重要的是，M4完全向下兼容M0，使用同一套开发工具即可开发、调试。

其次是存储器的容量和组织方式。LPC4350配备多达264KB片上RAM，并且这些RAM被划分成4组，每组连接一条单独的总线，而并非没有分块。如若不然，则会出现两个核竞争使用同一块RAM的情况——性能反而还不如只用单个内核!进一步，LPC4350还有两条总线连接到外部扩展的并行和串行存储器，故总共有6个独立的存储器地址空间——LPC4350无片上闪存。对于有片上闪存的型号，片上闪存也分为两块。

最后是总线架构。LPC4350内部有一个八层总线矩阵。它如同一组纵横开关，可以把CPU与包括存储器在内的众多从设备通过总线任意连接。合理分配总线接通关系，避免多个主设备(如CPU和DMA)同时访问相同的存储器或外设，可以最大地保证各条数据流并行不悖，从而可以充分发挥性能上的优势。

内核间通信

内核间的通信可分为两类：一类是控制与状态信息的通信，另一类则是数据通信。前者一般不携带数据，但往往有较高的实时要求;后者则主要是各类数据缓冲区，通常实时性要求偏低但数据量大。控制/状态通信有较大的通用性，并且与任务间的同步较为相似。这类通信适合由系统软件实现并提供编程接口。数据通信则往往与具体应用相关较大(尤其是在数据结构上)，需要量体裁衣。在实现时，适合由应用软件定义各种数据结构。

内核间通过共享的RAM进行通信，并且每个内核都可以触发对方的一个中断源，通过准备数据-触发中断的方式进行通信，如图2所示。当然，内核也可以定期检查共享RAM的状态。

接下来，我们介绍基于消息队列和消息池的控制/状态通信方案。

消息队列：开设两个消息队列，一个用于M4发送消息给M0，另一个则是M0发送消息给M4。两个队列的地址需事先约定好。队列是循环队列，可以使用简单的数组配以读、写下标来实现，也可以使用链表结构来实现。前者实现简单、开销小，但消息只能是定长，不便于携带其它信息，还有，就是必须把数组放置在共享内存区连续的位置，灵活性低。基于链表的实现用指针链接每则消息，每则消息除了公共的链表控制部分外，还可以根据消息类别携带各种各样的附加参数，并且可以由系统软件的内存管理机制灵活分配消息内存，不过，缺点是相对复杂，额外开销大。若涉及动态内存管理，实时性将远不如基于数组的方案。

-超低功耗EFM32™微控制器为能耗敏感型无线设备设计提供安全、功能丰富的处理能力-

前段时间由于应用需要对产品授权进行限制，所以研究了一下有关STM32 MCU的唯一ID的资料，并最终利用它实现了我们的目标。

1、基本描述

在STM32的全系列MCU中均有一个96位的唯一设备标识符。在ST的相关资料中，对其功能的描述有3各方面：

• 用作序列号（例如 USB 字符串序列号或其它终端应用程序）
• 在对内部 Flash 进行编程前将唯一 ID 与软件加密原语和协议结合使用时用作安全密钥以提高 Flash 中代码的安全性
• 激活安全自举过程等

在资料中对其特性的描述是：96 位的唯一设备标识符提供了一个对于任何设备和任何上下文都唯一的参考号码。用户永远不能改变这些位。96 位的唯一设备标识符也可以以单字节/半字/字等不同方式读取，然后使用自定义算法连接起来。

想要读取唯一ID，就需要知道它的存储地址，在不同系列的MCU中地址是有差别的，我们查询了部分MCU的资料并将其总结如下：

2、获取唯一ID

前面我们对唯一ID做了简单的描述，并且得到了其存储地址，接下来我们说以说如何得到这个ID。

前面已经描述过唯一ID可以按字节、半字、字等方式读取。唯一ID是一个96位的信息串，所以按字读取就是3个字，按半字读取就是6个，按字节读取就是12个。本质上没有区别，在这里我们按字读取。

/*定义STM32 MCU的类型*/
typedef enum {
  STM32F0,
  STM32F1,
  STM32F2,
  STM32F3,
  STM32F4,
  STM32F7,
  STM32L0,
  STM32L1,
  STM32L4,
  STM32H7,
}MCUTypedef;

 
uint32_t idAddr[]={0x1FFFF7AC,  /*STM32F0唯一ID起始地址*/
                0x1FFFF7E8,  /*STM32F1唯一ID起始地址*/
                0x1FFF7A10,  /*STM32F2唯一ID起始地址*/
                0x1FFFF7AC,  /*STM32F3唯一ID起始地址*/
                0x1FFF7A10,  /*STM32F4唯一ID起始地址*/
                0x1FF0F420,  /*STM32F7唯一ID起始地址*/
                0x1FF80050,  /*STM32L0唯一ID起始地址*/
                0x1FF80050,  /*STM32L1唯一ID起始地址*/
                0x1FFF7590,  /*STM32L4唯一ID起始地址*/
                0x1FF0F420}; /*STM32H7唯一ID起始地址*/
 
/*获取MCU的唯一ID*/
void GetSTM32MCUID(uint32_t *id,MCUTypedef type)
{
  if(id!=NULL)
  {
    id[0]=*(uint32_t*)(idAddr[type]);
    id[1]=*(uint32_t*)(idAddr[type]+4);
    id[2]=*(uint32_t*)(idAddr[type]+8);
  }
}

3、使用唯一ID

我们得到唯一ID当然是为了使用它，前面在ST资料中描述了三个使用方式。我们在这里来使用它实现软件权限的限制。那么如何用唯一ID来实现软件运行权限的限制呢？我们说一说思路：

首先，我们需要指定一个Flash地址，至于于地址空间的大小则与我们xu要存储的信息有关，一般都不会太长。例如，我们使用MD5来生成加密信息，则最多需要16个字节的存储空间；如果我们使用SHA1来作为生成算法，则最多需要20个字节的空间。当然，我们也可以选取其中的一段或几段。不管选用多大的空间都炫耀将其清零，即初始化为0xFFFFFFFF。

接下来再程序运行前读取前面指定的地址并读取其值，并判断是否全部为0xFFFFFFFF，即判断程序是否第一次运行。如果是，那么就获取唯一ID并作相应的处理，然后将信息写入前面的地址中。

如果不是第一次运行，则读取指定地址的值，并用同样的算法处理唯一ID。然后比较存储的信息与计算的信息是否一致，一致则启动程序运行，不一致则终止运行。

如果有人使用工具读出FLASH内容时，因为改制定的地址已经被写入了信息，所以如果把读出的文件再烧到其它MCU芯片，因唯一ID不同所以信息完全不符程序就不会运行。从而实现了对程序权限的限制。

单芯片双核MCU支持蓝牙5、Thread和Zigbee，同时提升消费和工业物联网设备的安全性

当今的许多设备需要将主微控制器(Host MCU)连接到无线网络，这会增加尺寸和复杂性，同时也会使设计、软件开发、采购、供应链和物流更加繁杂。代表了新一代Kinetis MCU的全新K32W0x无线MCU平台，作为恩智浦广泛的边缘计算产品组合的一部分，可以让设备更强大、更安全。K32W0x平台是其前代产品的补充增强版，通过更高性能、更多功能和更高安全性，应对不断发展的物联网格局。这款新平台是首个具有双核架构和嵌入式多协议RF的单芯片器件，使物联网产品开发者能够通过单一供应商获得从硅芯片、软件、工具、支持到采购的一系列服务，因而整体降低了产品的复杂性、尺寸和成本，与此同时还提升了功能性和安全性。

作为恩智浦新一代Kinetis MCU的首款产品，K32W0x MCU平台将主控制器和无线MCU集成到一个小尺寸器件中，实现了复杂应用小型化，而此前的那些应用通常需要尺寸更大、成本更高的双芯片解决方案。消费类设备（例如可穿戴设备、智能门锁、恒温器和其他智能家居设备等）以及各种健康保健、商业和工业物联网应用都可受益于K32W0x无线MCU平台的多协议RF和强大的性能优势。

K32W0x无线MCU平台的主要特性

• 双核：Arm® Cortex®-M4内核用于高性能
• 大容量内存：1.25 MB闪存和384 kB SRAM支持全功能应用以及连接协议
• 多协议RF：支持蓝牙5和 IEEE® 802.15.4，包括基于IP的ThreadMesh网络协议栈和Zigbee 3.0Mesh网络协议栈
• 支持HomeKit，支持通过蓝牙5连接到iCloud

更安全的物联网设备

当今的许多物联网设备的安全等级达不到防御危及网络的安全威胁的要求。防范这些不断变化的威胁是K32W0x平台的主要关注点——旨在确保物联网设备及其数据的机密性、完整性和真实性。

K32W0x安全系统的安全特性包括：

• 加密子系统（包括专用内核、专用指令和数据存储器）用于加密、签名和执行哈希算法（包括AES、DES、SHA、RSA和ECC）
• 安全密钥管理用于存储和保护敏感的安全密钥
• 在检测到安全漏洞或物理篡改事件时，擦除加密子系统内存（包括安全密钥）
• 资源域控制器用于访问控制、系统内存保护和外围设备隔离
• 内置安全启动和安全无线编程(OTA)，旨在确保设备中只运行经过授权和认证的代码

为扩展K32W0x MCU平台的片内安全特性，恩智浦与生物识别认证领域的领导者B-Secur合作开发了一个使用个体独有的心跳模式（心电图/ECG）来验证身份的系统。该系统比使用个人指纹或语音认证更安全。恩智浦在2018年嵌入式系统展会上完整演示了这项创新技术。

要破解MCU，学校里不会有人讲这个，大概很多老师们也不会。为什么要破解，为了兴趣？研究？挣钱？还可能是太无聊了。不管怎样，学习下MCU的防破解技术，就像了解你家的门锁一样有价值。

本文虽然来自于一篇老帖子，但是内容却并不过时，下面就开始正传。

微控制器的硬件安全措施与嵌入式系统同时开始发展。三十年前的系统是由分离的部
件如CPU，ROM，RAM，I/O缓冲器，串口和其他通信与控制接口组成的。

在早期，除法律和经济外，几乎没有保护措施来防止复制这些设备。例如，ROM是用低成本的掩模技术制造的，可用EPROM轻易复制，但后者通常要贵3-10倍或更多。或定制掩模ROM，那就需要很长的时间和很大的投资。另一种是在游戏机中广泛使用的简易ASIC。这些ASIC主要用于I/O部分来取代数十个逻辑器件，在降低成本的同时防止竞争者的复制，使之不得不应用更大且更贵的解决方案。实际上ASIC不会更安全，用示波器来简单分析信号或穷举所有可能的引脚组合就可以在数小时内得知它的具体功能。

从七十年代后期开始，微控制器提供一种非常好的取代基于CPU的控制板的方法。它们不仅有内部存储器和通用I/O接口，还有一些保护措施以防止未经授权访问内部存储器的内容。

不幸的是，早期的MCU没有提供非易失存储能力，重要的数据不得不存在MCU外部的分离芯片上，因此很容易被读出数据。一些廉价USB狗也用此法来进行软件保护。

下一步增强安全保护的措施就是增加一个硬件安全熔丝(security fuse——安全熔丝就是寄存器)来禁止访问数据。这很容易做到，不需要完全重新设计MCU架构，仅利用熔丝来控制编程接口的回读功能。缺点是熔丝位很容易被定位并进行入侵攻击。例如：熔丝的状态可以通过直接把熔丝位的输出连到电源或地线上来进行修改。有些例子中仅仅用激光或聚焦离子束来切断熔丝的感应电路就可以了。用非侵入式攻击也一样可以成功。

因为一个分离的熔丝版图异于正常的存储阵列。可以用组合外部信号来使熔丝位处与不能被正确读出的状态，那样就可以访问存在内部芯片上的信息了。用半侵入式攻击可以使破解者快速取得成功但需要打开芯片的封装来接近晶粒。一个众所周知的方法就是用紫外线来擦掉安全熔丝。

可编程的智能卡制造商走得更远，干脆砍掉标准的编程接口。取而代之的是启动模块，可以在代码载入后擦掉或屏蔽掉自己。这些卡只能在初始化时被编程一次，之后只能响应使用者的嵌入软件所支持的读写存在卡里的数据或程序。

安全保护的类型

通过编程接口对片上存储器进行写，校验，读和擦除操作，这可以用硬件（JTAG）或软件（bootloader）来实现。在硬件接口方面，安全保护通常是使用安全熔丝来控制接口的操作，如，阻止存储器中的数据发送到输出缓冲器里。至于软件接口，一般使用密码保护，但通常软件会检测某个硬件安全熔丝的状态。一些微控制器使用了这两种方法，软件启动载入模块控制系统的编程，另一个快速的硬件接口用来大批量生产的编程。每一种都有它的优势和劣势。通过软件，有更好的灵活性和更好的编程控制能力，但会在时间延迟和功耗方面泄漏一些信息。硬件的执行速度更快，对噪声攻击不敏感，不会通过功耗泄漏信息。在硅芯片的资源上，两者都占用类似大小的空间，对于现代的微控制器，与其它较大的部分如程序存储器，处理器和模拟接口相比，这部分几乎可以忽略不计。制造商就可以在同一个芯片上放置两种或更多的编程接口。如通过异步接口进行在线串行编程，标准的并行编程，软件启动模块通过异步接口编程。

一些制造商故意不提供它们的微控制器的编程规格。这对它本身并没有提供很好的保护，只是给破解稍稍增加成本而已。这些信息可以通过在开发板上或通用编程器对芯片进行编程而获得。

很明显，对于最高等级的安全，系统没有任何编程接口，并且不能读写所存储的数据。这通常用于掩模ROM微控制器和智能卡。对这种保护，实用破解方法是用微探针接触数据总线来恢复信息或使用功耗分析和噪声攻击来利用软件的缺陷。当微控制器进行编程但不提供任何返回信息，只有校验和写检查，这可以提供相对高的安全等级。当然，这需要完全执行以避免破解者强制系统一次只校验一个字节。

大部分现代的微控制器有一个或多个安全熔丝来控制片上存储器的读写。这些熔丝可以用软件或硬件来实现。软件的方法就是密码存储在存储器中或一个特定的存储器位置当作一个安全熔丝。例如，在MC68HC908系列，使用了密码保护。

MC68HC705B系列的熔丝位于数据EEPROM存储器的第一个字节。两种方法的安全性都较高，因为很难从物理上找到熔丝和密码的位置并复位它们。同时，破解者会尝试使用噪声攻击来跳过安全检查，或使用功耗分析来观察猜测的密码正确与否。

硬件执行方面，安全熔丝物理上位于芯片上。这可以是主存储器阵列边上的分离的单个单元，甚至更远。所有的PIC和AVR微控制器都这样。这两者的安全性能并不高，熔丝很容易被找到并被屏蔽。

安全熔丝在主存储器中可以提供提供更好的保护，这很难找到并屏蔽它们。主存储器和熔丝可以通过位线(Bit line)接在一起。如Z86E33微控制器，或通过字线(Word line)接在一起，如意法的ST62T60。有趣的是MC68HC705C9A使用了多种安全措施。熔丝单元放在主存储器单元之间，合用位线。如果熔丝被紫外线擦除了，主存储器也会被擦掉。对存储器进行反向工程，发现很难分辨哪部分属于存储器，哪部分属于熔丝。但同时，半侵入式攻击可以很好工作，因为熔丝有分开的控制电路，这很容易被破解而不影响主存储器。

安全熔丝可以通过多种方法来监控。最简单的方法就是在上电时；复位时；进入编程模式时检查熔丝的状态。使用电源噪声或激光脉冲，可以用很短的时间就改变熔丝地状态。熔丝状态保存在触发器或寄存器中并不好，因为触发器的状态可以通过缺陷注入攻击来改变。