|
作者:Tim Morin (美高森美策略行銷總監(jiān)) 隨著設(shè)備互聯(lián)在物聯(lián)網(wǎng)(IoT)和機(jī)器對(duì)機(jī)器(M2M)通訊應(yīng)用中越來越普及,基于快閃記憶體之FPGA可提供安全I(xiàn)P和硬體信任根(Root of Trust)以保護(hù)設(shè)計(jì)避免被入侵。 數(shù)位訊號(hào)處理器(DSP)的設(shè)計(jì),如果本身沒有足夠的安全能力,便很容易受到入侵。在許多應(yīng)用中,如果搭配FPGA來卸載DSP的部分工作,便可以實(shí)現(xiàn)先進(jìn)的安全功能。而且,如果配合的FPGA使用快閃記憶體技術(shù),在晶片上儲(chǔ)存結(jié)構(gòu)中的配置位元流以及關(guān)鍵的安全金鑰資訊,便可以實(shí)現(xiàn)防止複製或仿製的固有安全性,自動(dòng)保護(hù)設(shè)計(jì)以避免這些類型的剽竊。 DSP和FPGA的系統(tǒng)結(jié)構(gòu) 在使用FPGA或DSP的系統(tǒng)中,如圖1所示,DSP實(shí)施高等級(jí)的訊號(hào)處理演算法,而FPGA則實(shí)施前端降頻功能(Front-end Decimation Function)。高速串列RapidIO匯流排可連接FPGA和DSP;FPGA還會(huì)連接至PCIe匯流排,經(jīng)由網(wǎng)際網(wǎng)路作為遠(yuǎn)端接入管理埠。PCIe匯流排還可橋接進(jìn)入和離開RapidIO匯流排的通訊量,以便將遠(yuǎn)端系統(tǒng)管理的連接性擴(kuò)展至DSP。FPGA控制外部DDR3 DRAM,后者可為進(jìn)入和離開無線介面的資料封包充當(dāng)緩衝器(Buffer),并可讓FPGA將DSP中任何低階的資料協(xié)定處理工作和緩衝管理功能卸載下來。 FPGA還負(fù)責(zé)從外部的SPI快閃記憶體引導(dǎo)(Booting)DSP,F(xiàn)PGA使用自身的SPI記憶體作為DSP的代碼來源,利用來自DSP的SPI埠的導(dǎo)引功能來映射引導(dǎo)過程。一旦代碼傳送完成,F(xiàn)PGA便會(huì)讓DSP開始執(zhí)行。 
圖1 使用FPGA和DSP的無線通訊系統(tǒng) 硬體信任根 如果系統(tǒng)并未對(duì)引導(dǎo)過程提供保護(hù),侵入者便能夠以自己的代碼取而代之,然后成功劫持整個(gè)系統(tǒng),這可能會(huì)使得系統(tǒng)受到破壞,引起重大的財(cái)務(wù)損失甚至法律責(zé)任。我們必須使用安全的導(dǎo)引過程將這類攻擊減至最少,而硬體信任根(Root of Trust)就是實(shí)施安全導(dǎo)引過程的必要條件。 硬體信任根支援系統(tǒng)資料完整性和保密性的驗(yàn)證,并可將這種信任擴(kuò)展至內(nèi)部和外部實(shí)體。硬體信任根可避免系統(tǒng)被侵入或修改,也能夠查驗(yàn)更高等級(jí)功能,而且是安全的起點(diǎn)。在嵌入式系統(tǒng)中,信任根與其他系統(tǒng)元件共同工作,以確保主處理器僅使用經(jīng)過授權(quán)的代碼來進(jìn)行安全的導(dǎo)引,從而將信任的區(qū)域擴(kuò)展至處理器及其應(yīng)用。 硬體信任根必須在安全的FPGA上構(gòu)建,其配置位元流必須受到保護(hù),以免不懷好意的入侵者成功進(jìn)行複製或反向工程,使得信任根被破壞。所以,保護(hù)FPGA元件的IP是保護(hù)嵌入式系統(tǒng)其馀部分的必要條件。 多級(jí)導(dǎo)引過程的安全要求 從其他部分進(jìn)行嵌入式處理系統(tǒng)的初始化,需要安全的導(dǎo)引過程,以確保過程中所執(zhí)行的代碼是可信任及不受惡意內(nèi)容或洩漏影響。圖2說明了安全導(dǎo)引過程為充分保護(hù)嵌入式系統(tǒng)的初始化而必須經(jīng)過的各個(gè)不同階段。每一個(gè)階段都必須由先前的成功階段來驗(yàn)證,以確保直到頂層應(yīng)用層的信任鏈(Chain of Trust)。不可修改的引導(dǎo)載入程式(階段0)代碼可嵌入在FPGA元件中,并且透過安全的信任根使用受保護(hù)的安全金鑰和相關(guān)的安全演算法進(jìn)行驗(yàn)證,以確保代碼的完整性和真實(shí)性。把代碼執(zhí)行和轉(zhuǎn)移至安全導(dǎo)引的每一順序階段前,這些階段都必須經(jīng)過先前可信任系統(tǒng)(Trusted System)的驗(yàn)證。
圖2 多級(jí)安全導(dǎo)引過程概述 實(shí)施安全的嵌入式系統(tǒng) 配置位元流是在上電時(shí)使用(就像基于SRAM FPGA的配置位元流),而保護(hù)這些配置位元流的一種常用方法就是將位元流資料加密,這使得攻擊者難以在配置啟動(dòng)過程中僅經(jīng)由觀察來捕獲位元流。解密金鑰儲(chǔ)存在FPGA之中,用于在配置FPGA之前用來將資料解密。為了在失去電力時(shí)還能保留安全金鑰的資訊,因此通常須要使用電池。 另一種保護(hù)FPGA配置位元流的方法,是使用非揮發(fā)性記憶體將其完全儲(chǔ)存在晶片上,以免在啟動(dòng)時(shí)洩露。市場(chǎng)上有一些FPGA元件,比如美高森美的SmartFusion2和IGLOO2系列,在製造期間進(jìn)行程式設(shè)計(jì)時(shí)將位元流加密,提供了額外的保護(hù)功能;這還可保護(hù)設(shè)計(jì)不會(huì)被不道德的代工廠進(jìn)行複製或反向工程,以免所需的硬體信任根遭到破壞。 一旦創(chuàng)建了安全的FPGA,下一個(gè)主要的要求就是實(shí)施硬體信任根。FPGA必須保護(hù)安全金鑰和晶片上不可改變的初始階段(Phase 0)導(dǎo)引載入程式,使得惡意侵入者無法以任何方法攻擊或修改它們。如果使用基于快閃記憶體的FPGA將不可改變的代碼和安全金鑰儲(chǔ)存在晶片上,還可經(jīng)由配置過程來載入配置位元流以獲得安全性。安全金鑰只是整個(gè)設(shè)計(jì)中的一小部分,但對(duì)于保護(hù)設(shè)計(jì)避免其它形式的攻擊卻是十分重要的。 阻止攻擊 一種常見的攻擊方法是使用側(cè)通道(Side-Channel)分析來試圖找出晶片上的安全資訊,比如觀察安全金鑰相關(guān)運(yùn)作期間的功率或定時(shí)簽名。這種側(cè)通道方法類似保險(xiǎn)箱竊賊不斷操縱鎖具和偵聽機(jī)心的雜訊來找出保險(xiǎn)箱組合的方法。在這種情況下,側(cè)通道就是通過物理方法實(shí)施安全「功能」所造成的聲音。實(shí)施耐受側(cè)通道攻擊的解密演算法,也可以耐受更先進(jìn)差分功率分析(DPA)形式的側(cè)通道攻擊。 如果不使用耐受DPA技術(shù),觀察者便能測(cè)量到該設(shè)計(jì)在處理金鑰和演算法時(shí)所使用的功率。此外,頻繁改變安全金鑰也可限制攻擊者針對(duì)統(tǒng)計(jì)分析所進(jìn)行的測(cè)量次數(shù),使他們難以利用這類方法入侵。而且預(yù)充電的暫存器和匯流排等電路設(shè)計(jì)技巧也可限制入侵者所能夠利用的「雜訊」。 既然已保護(hù)了FPGA IP的安全,設(shè)計(jì)也建立了信任根,所以便能夠更詳細(xì)地檢視整個(gè)嵌入式系統(tǒng)的實(shí)施方案。圖3所示為安全的嵌入式系統(tǒng)的實(shí)施方案,其中描述了安全導(dǎo)引過程的不同元件。不可改變的導(dǎo)引代碼與金鑰儲(chǔ)存在晶片上,外部SPI記憶體儲(chǔ)存剩余的DSP代碼(包括任何所需的OS載入程式和OS代碼,以及應(yīng)用程式碼),全部均使用由信任根所管理的安全挑戰(zhàn)和回應(yīng)系統(tǒng)(Challenge and Response System)來驗(yàn)證。過程結(jié)束時(shí),安全的代碼被載入DSP晶片上的SRAM,F(xiàn)PGA便讓DSP開始運(yùn)作,確信只會(huì)執(zhí)行經(jīng)授權(quán)的代碼。此外,使用FPGA I/O可實(shí)現(xiàn)低成本PCB篡改檢測(cè)方案,以檢測(cè)任何鉆孔或切割跡線意圖,并採(cǎi)取保護(hù)措施。
圖3 使用SmartFusion2或IGLOO2 FPGA的安全實(shí)施方案 當(dāng)完成了安全導(dǎo)引,F(xiàn)PGA便能夠?qū)嵤┫到y(tǒng)所需的其它功能,比如橋接PCIe和RapidIO介面、連接JESD204x匯流排、利用FPGA模組預(yù)處理無線訊號(hào),以及控制DDR3緩衝記憶體。當(dāng)需要額外的演算法處理能力時(shí),SmartFusion2具有晶片上處理器可供選擇;而當(dāng)FPGA模組足以實(shí)施所需的控制功能時(shí),也可選擇使用IGLOO2。 基于快閃記憶體的FPGA可提供安全I(xiàn)P和硬體信任根,可用于構(gòu)建更高等級(jí)的安全功能,如安全導(dǎo)引等,以保護(hù)設(shè)計(jì)避免被侵入。未來的安全需求將以這些功能為基礎(chǔ),例如傳送安全資料和授權(quán)安全設(shè)備將成為新興物聯(lián)網(wǎng)和機(jī)器對(duì)機(jī)器通訊應(yīng)用的主要需求,這些應(yīng)用將是許多新DSP相關(guān)設(shè)計(jì)所鎖定的目標(biāo)。這將需要數(shù)種額外的設(shè)計(jì)安全層以保護(hù)嵌入式系統(tǒng)設(shè)計(jì)IP。 |
