账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
全面保障硬体安全
 

【作者: 萊迪思半導體】2019年06月24日 星期一

浏览人次:【6880】

2019年5月



‧ Jeep被骇客入侵后,140万辆车被召回


‧ FDA召回存在漏洞的心脏起搏器


‧ 史上最大规模骇客利用物联网设备的DDOS攻击


‧ 至少30亿晶片存在安全性漏洞


上述新闻报导有何共同之处?在这些案例中,骇客利用互联网设备存在的漏洞来盗窃资料或劫持设备。仅在2018年,超过30亿各类系统的晶片因硬体攻击,遭受资料盗窃、不合法操作和其他安全性威胁。未受保护的硬体可能会威胁系统可靠性和效能,造成不良的客户体验。还会让OEM厂商遭到财务和品牌形象的损失,进而影响企业的声誉以及财务状况。


OEM厂商通常都倾力开发能够解决如数据盗窃、资料损坏、设备劫持、产品复制和设计盗窃等各类安全威胁的安全硬体。此外,安全威胁不再局限于使用中的系统,攻击者的目标可能是产品生命周期内任一环节的元件,从最初的元件生产和运送到配合制造商,到系统集成和运行的整个周期都有可能遭到威胁。因此,OEM需要一种能在系统生命周期的各个阶段皆能保护硬体免受威胁的可靠解决方案。


OEM该如何解决这一难题呢?他们必须使用一个或多个硬体可信任根元件作为提供加密功能的平台,保障系统安全。这一过程包括资料加密、资料验证、韧体验证、系统验证和代码/配置加密。


可信任根元件是保护整个系统的信任链的首要环节。设计人员一旦确认了首个受信任的元件(通常是PLD、FPGA或MCU),它就能作为实现加密功能的基石,保障系统硬体安全。可信任根元件必须包含可验证自身配置的硬体,并且应当是首个上电、最后断电的元件。


随着安全威胁的数量和复杂程度与日俱增,系统设计师需要什么样的安全架构呢?首先,为了防范现有的或新的韧体威胁,任何解决方案都必须足够可靠。为了阐明设计人员评估各解决方案的效能,美国国家标准暨技术研究院(NIST)最新定义了一种全新的统一安全机制,NIST SP 800 193平台韧体保护恢复标准,旨在确保所有的系统韧体都有可信任根保护。


该标准的开发人员强调以下三个原则:


‧ 保护:通过存取控制保护非易失性储存体


‧ 检测:加密检测,防止从恶意程式码启动


‧ 恢复:如果遭到破坏,恢复到最新的可信任韧体


引擎的选择

理想状况下,实现硬体安全的引擎应当具有功耗低、设计灵活性高、可拓展、物理尺寸小等特点。 MCU固然可以提供不错的运算资源,但通常不具备能够?明其他系统处理器或元件启动所需的全面功能。此外, MCU一旦运行,它就难以监测自身的启动记忆体。


现场可程式设计闸阵列(FPGA)相对于MCU有着显著的优势。 FPGA通常作为首个上电和协调系统启动的元件,并在协调系统关闭后,最后断电。最先上电/最后断电这一特性,让FPGA成为可快速构建可信任根的理想选择。设计人员可以利用FPGA的并行特性来同时检查多个记忆体,从而显著缩短启动时间。与MCU不同之处在于,FPGA可以通过即时监控保护非易失性记忆体。最后,在系统损坏的情况下,FPGA可提供启动韧体恢复所需的逻辑和介面。


全面保障硬体安全的可信任根FPGA

为满足各类应用日益增长的韧体安全需求,莱迪思MachXO3D FPGA是用于系统控制应用的小尺寸、低功耗FPGA,可以在运算、通讯、工业控制和汽车等各类应用中保障系统韧体安全。这款新元件通过在产品整个生命周期内实现全面、高弹性、可靠的硬体安全系统,?明OEM防范资料盗窃、资料篡改、设计盗窃、产品复制、过度构建、设备篡改和劫持等问题。


全新的MachXO3D与莱迪思的MachXO3系列(广泛用于各类控制PLD应用)引脚相容,将成为莱迪思产品系列中实现安全韧体应用的重要控制PLD选择。


简化集成

确保轻松实现韧体安全是设计MachXO3D时的重点考虑因素。莱迪思的设计师希望设计人员能够方便地使用这款新元件。由于超过50%的通讯系统和伺服器都采用基于MachXO架构的控制PLD,所以该新款元件经专门设计,与原有架构引脚相容。这有助于让开发人员对现有的控制解决方案进行改进或增添新的安全功能。


目前对于这些全新安全特性的需求正不断增长,且MachXO架构也早已普及,已有多家伺服器OEM开始与莱迪思合作,着手进行MachXO3D的相关设计。由于开发人员经常使用MachXO3元件作为最先上电和最后断电的元件,他们可以快速建立信任根和信任链,不必担心其他元件是否先于莱迪思PLD之前启动。



图一
图一

实现高度弹性的安全机制并保持系统完整性

‧ 关键基础设施的大多数控制PLD都采用 MachXO架构开发


‧ MachXO3和MachXO3D引脚相容


‧ MachXO3D是用于简单信任链实现的最先上电和最后断电的元件


‧ 5家伺服器OEM已着手采用MachXO3D设计


全面保障安全

为应对日益严峻的硬体安全问题。莱迪思增强了MachXO3D FPGA的控制PLD功能,其中的嵌入式安全模组提供了开发人员解决多种安全威胁所需的硬体可信任根和硬体加密功能。


‧ MachXO3D对位流进行加密,确保设计安全性,防范IP盗窃。


‧ 为保护OEM的营收和品牌声誉,该元件新增了安全ID,可以与其他安全功能配合,进行元件/平台验证。


‧ 椭圆曲线加密、公共金钥/私人金钥功能和AES加密/解密能有效防止资料盗窃。


‧ 椭圆曲线验证和签名生成提供验证韧体和通用资料的基石。



图二 :  MachXO3D 架构
图二 : MachXO3D 架构

符合NIST标准的可靠设计

MachXO3D设计极为可靠,是符合NIST SP 800 193平台韧体保护恢复(PFR)标准的控制FPGA。该元件可通过存取控制保护非易失性记忆体,加密检测并防止从恶意程式启动,且在韧体遭到破坏时能恢复到最新的可信任韧体。此外,MachXO3D随时可以动态重新配置I/O埠,从而最小化系统的攻击面。


灵活的设计实现

设计灵活性也是一个关键考虑要素。莱迪思的大多数客户都希望在设备部署完毕后,在XO架构上实现升级。这种可重新程式设计的特性有助于动态控制攻击面,还能让用户轻松地更新FPGA,应对最新的韧体攻击。因此,莱迪思的设计人员希望在提供可靠安全效能的同时,保证可程式设计特性。


为了应对这种多样化的需求,MachXO3D新增了两个关键特性。作为硬体化的配置引擎的一部分,该元件支持代码验证,确保了每个载入的配置都有合法的数位签章。与此同时,MachXO3D额外增添了片上快闪记忆体,可以随时记忆体件的两套配置。这种双重开机功能能让系统在出现问题时预设使用备份配置。


典型应用

MachXO3D旨在满足多个市场的各类应用需求。潜在应用包括5G无线通讯设备,如交换机和路由器、伺服器和企业电脑、工厂自动化和工业IoT设备。


下列框图描述了MachXO3D在安全伺服器中的典型应用,其中包括了一个基板管理控制器(BMC)、一个主CPU和多个辅CPU或FPGA。通常情况下,一片被称之为控制PLD的小型FPGA管理板上的所有复位和电源控制。所有的处理器从SPI或Quad SPI记忆体启动。开发人员现可以使用MachXO3D作为上述小型FPGA,并新增开关,实现伺服器安全升级。这种配置允许FPGA自行启动,然后验证每个SPI记忆体,随后释放这些元件开始启动(假设记忆体正常且签名合法)。如果SPI记忆体出现问题,MachXO3D可以根据使用者偏好进行下一步操作,如关闭系统或尝试从其他来源重新配置。系统启动后,MachXO3D还会监控对各个SPI记忆体的访问,防止未经授权的恶意程式写入。



图三
图三

生命周期内有效保护

为满足产品整个生命周期内日益增长的安全需求,莱迪思优化了其元件生产时的测试集成流程,以支援使用公开金钥加密技术在未受保护的环境中对元件进行安全程式设计,让每个元件在其整个生命周期内都能受到安全保证。这一新功能确保了客户的元件从离开莱迪思工厂直到报废的整个过程都是受到保护的。


结论

如今的数位系统面临着前所未有的危险。骇客会利用系统漏洞来偷窃资料和设计、篡改、劫持或复制产品。这些攻击出现在产品的整个生命周期。光在2018年,就有高达数十亿起对未受防护韧体所进行的攻击,导致运算、通讯、工业控制和汽车系统中IC面临安全威胁。最终,容易遭到入侵的硬体就会对OEM厂商的财务状况和品牌声誉产生不良影响。


设计人员如何解决这一威胁,保护他们的系统呢?答案就是使用硬体可信任根和信任链技术实现全面、高弹性、可靠的安全系统。莱迪思全新的MachXO3D FPGA具有的硬体可信任根和双重开机特性可以帮助他们增强安全控制功能,同时,该款元件可极大简化安全解决方案的实现,在整个生命周期内保障元件的安全。


相关文章
ST以MCU创新应用技术潮流 打造多元解决方案
ST:精准度只是标配 感测器需执行简单运算的智慧功能
意法半导体持续专注永续发展 加速实现碳中和目标承诺
优化MCU SPI驱动程式实现高ADC吞吐率
ST:内部扩产与制造外包并进 全盘掌控半导体供应链
comments powered by Disqus
相关讨论
  相关新闻
» 亚湾2.0以智慧科技领航国际 加速产业加值升级
» 高通执行长Cristiano Amon於COMPUTEX 2024 分享智慧装置上的生成式AI运算
» 应材及东北微电子联手 为MIT.nano??注200mm晶圆研制能力
» 国科会核准科学园区投资案 德商易格斯进驻中科拔头筹
» Honeywell与恩智浦联手利用AI 加强建筑能源智慧管理


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83JA5S4ZSSTACUKE
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw