用FPGA器件提升物聯(lián)網(wǎng)和其它聯(lián)網(wǎng)設(shè)計(jì)的安全性
掃描二維碼
隨時(shí)隨地手機(jī)看文章
在現(xiàn)今日益趨向超連接的世界(hyper-connected world)中,如何保護(hù)新的設(shè)計(jì)避免被克隆、反向工程和/或篡改是一項(xiàng)重大挑戰(zhàn)。FPGA器件通過加入滿足器件級(jí)安全需求的特性,來幫助實(shí)現(xiàn)這些目標(biāo)。
日益增長(zhǎng)的IoT安全需求
物聯(lián)網(wǎng)(IoT)可被視為由多個(gè)電子網(wǎng)絡(luò)組成,這些網(wǎng)絡(luò)需要端到端的起始于器件級(jí)的分層安全性(見圖1)。為了幫助實(shí)現(xiàn)這種分層安全性,F(xiàn)PGA器件能夠加入獨(dú)特的內(nèi)置特性和差異化能力,還能夠在往往非常復(fù)雜的應(yīng)用中成為信任根(root of trust)。
圖1 聯(lián)網(wǎng)系統(tǒng)需要起始于器件的端至端分層安全性
該解決方案使用內(nèi)部嵌入安全特性的FPGA器件,允許系統(tǒng)架構(gòu)師把安全體系架構(gòu)規(guī)劃在核心層面,而不是放在次要的地位。許多基于SRAM的FPGA器件存在的一個(gè)很重要的問題就是每次開機(jī)必需從外部存儲(chǔ)器進(jìn)行配置,這樣通過反向工程很容易獲取你的設(shè)計(jì);因此,更好的辦法就是使用具有片上非易失性存儲(chǔ)器(NVM)的FPGA,可以使用NVM事件存儲(chǔ)配置信息。
因?yàn)閿?shù)據(jù)安全性是最重要的安全層面之一,所以FPGA器件必需保護(hù)所有的數(shù)據(jù),包括正在處理的應(yīng)用數(shù)據(jù)。我們應(yīng)當(dāng)考慮多種數(shù)據(jù)保護(hù)特性,包括硬件保護(hù)防止來邊帶通道的差分功率分析(DPA)攻擊。單邊或差分功率分析(SPA/DPA)可以通過在解密位流(bitstream loading)測(cè)量其功耗來提取密匙。
可重點(diǎn)考慮的是使用物理不可克隆功能(PUF)來生成一個(gè)公私密匙對(duì)機(jī)器進(jìn)行認(rèn)證。圖2所示的PUF可以用作每臺(tái)設(shè)備獨(dú)一無二的“生物(biometric)”標(biāo)識(shí)——類似于人類的指紋,沒有兩個(gè)是完全相同的,并且是不可克隆的。
圖2 SRAM PUF架構(gòu)利用SRAM位的準(zhǔn)靜態(tài)(quasi-static)隨機(jī)啟動(dòng)行為
SRAM PUF
SRAM物理不可克隆功能是一種具有最佳特性和最可靠的存儲(chǔ)器PUF 類型,它可以在智能卡芯片、FPGA或其它IC器件上實(shí)施。它通過測(cè)量SRAM模塊中的位的隨機(jī)啟動(dòng)狀態(tài)來工作,每個(gè)SRAM位包含兩個(gè)名義上標(biāo)稱等同但不完全相同的交叉耦合反相器。當(dāng)電源施加在IC上,每個(gè)SRAM位啟動(dòng)為“1”或“0”狀態(tài),這在很大程度上是取決于IC制造過程的。
在反相器具有良好的平衡時(shí),熱噪聲可能會(huì)克服預(yù)定的參考位的限制,從而初始值出現(xiàn)相反狀態(tài)。然而,這一預(yù)定狀態(tài)通常能克服任何動(dòng)態(tài)噪聲,并且只要使用錯(cuò)誤糾正技術(shù)便可以將受噪聲干擾的位恢復(fù)到初始值,確保在每次開啟時(shí)重新構(gòu)建相同的密匙。
SRAM PUF可以經(jīng)過設(shè)計(jì)以保證在所有環(huán)境條件下也可完美地重建密匙,并且在整個(gè)生命周期具有非常低的錯(cuò)誤率——低至十億分之一。此外,由于SRAM PUF的密匙在電源關(guān)斷時(shí)有效地從器件中消失,所以具有極為強(qiáng)大的保護(hù)功能。如果激活碼被擦除,便沒有任何后續(xù)分析可以重建PUF密匙。
加密功能
如果要在FPGA或SoC FPGA器件中實(shí)施PUF技術(shù),這些器件須具備內(nèi)置加密功能,比如用于AES、SHA、HMAC,以及橢圓曲線加密(ECC)的硬件加速器,還需要加密等級(jí)的真正隨機(jī)位生成器。通過這些功能,便有可能創(chuàng)建一個(gè)用戶公共密匙基礎(chǔ)設(shè)施,讓用戶通過自己的授權(quán)機(jī)制來認(rèn)證網(wǎng)絡(luò)中的每臺(tái)機(jī)器的合法性。這可確保每臺(tái)設(shè)備具有一個(gè)信任鏈,從得到用戶很好保護(hù)的根CA密匙一直延伸到通過FPGA器件的PUF建立的高確信度原子級(jí)身份。PUF和PKI結(jié)合起來,確保每臺(tái)設(shè)備和其通信受到保護(hù),并且能夠安全、可靠地用于M2M、IoT和其它超連接應(yīng)用。