萊迪思半導體白皮書(shū):全面保障硬件安全

發(fā)布時(shí)間:2019-6-18 16:12    發(fā)布者:eechina
關(guān)鍵詞: MachXO3D , 篡改 , 劫持 , 克隆 , 可信根
Jeep被黑客入侵后,140萬(wàn)輛車(chē)被召回
FDA召回存在漏洞的心臟起搏器
史上最大規模黑客利用物聯(lián)網(wǎng)設備的DDOS攻擊
至少30億芯片存在安全漏洞


上述新聞報道有何共同之處?在這些案例中,黑客利用互聯(lián)網(wǎng)設備存在的漏洞來(lái)竊取數據或劫持設備。僅在2018年,超過(guò)30億各類(lèi)系統的芯片由于硬件攻擊,面臨數據盜竊、不合法操作和其他安全威脅。未受保護的硬件會(huì )威脅系統可靠性和性能,造成不良的客戶(hù)體驗。還會(huì )讓OEM廠(chǎng)商遭受財務(wù)和品牌形象方面的損失,進(jìn)而影響企業(yè)的聲譽(yù)以及財務(wù)狀況。

OEM廠(chǎng)商通常都有興趣開(kāi)發(fā)能夠解決各類(lèi)安全威脅(如數據竊取、數據損壞、設備劫持、克隆和設計盜竊)的安全硬件。此外,安全威脅不再局限于使用中的系統。攻擊者的目標可能是產(chǎn)品生命周期內任一環(huán)節的組件,從最初的組件生產(chǎn)和運送到合同制造商,到系統集成和運行的整個(gè)周期都有可能遭到威脅。因此,OEM需要一種能夠在系統生命周期的各個(gè)階段保護硬件免受威脅的可靠解決方案。

OEM該如何解決這一難題呢?他們必須使用一個(gè)或多個(gè)硬件可信根器件作為提供加密功能的平臺,保障系統安全。這一過(guò)程包括數據加密、數據驗證、固件驗證、系統驗證和代碼/配置加密。

可信根器件是保護整個(gè)系統的信任鏈的首要環(huán)節。設計人員一旦確認了首個(gè)受信任的器件(通常是PLD、FPGAMCU),它就能作為實(shí)現加密功能的基石,保障系統硬件安全?尚鸥骷仨毎沈炞C自身配置的硬件,并且應當是首個(gè)上電、最后斷電的器件。

隨著(zhù)安全威脅的數量和復雜程度與日俱增,系統設計師需要什么樣的安全架構呢?首先,任何解決方案都必須足夠可靠,以防范現有的或新的固件威脅。為了幫助設計人員評估其解決方案的性能,美國國家標準與技術(shù)研究院(NIST)最新定義了一種全新的統一安全機制。NIST SP 800 193平臺固件保護恢復準則旨在確保所有的系統固件都有可信根保護。

該標準的開(kāi)發(fā)人員強調以下三個(gè)原則:
•        保護:通過(guò)訪(fǎng)問(wèn)控制保護非易失性固件存儲器
•        檢測:加密檢測,防止從惡意代碼啟動(dòng)
•        恢復:如果遭到破壞,恢復到最新的可信任固件

引擎的選擇

理想狀況下,實(shí)現硬件安全的引擎應當具有功耗低、設計靈活性高、可拓展、物理尺寸小等特點(diǎn)。MCU固然可以提供不錯的計算資源,但通常不具備能夠幫助其他系統處理器或組件啟動(dòng)所需的全面功能。此外, MCU一旦運行,它就難以監測自身的啟動(dòng)存儲器。

現場(chǎng)可編程門(mén)陣列(FPGA)相對于MCU有著(zhù)顯著(zhù)優(yōu)勢。FPGA通常作為首個(gè)上電和協(xié)調系統啟動(dòng)的器件,   并在協(xié)調系統關(guān)閉后,最后斷電。最先上電/最后斷電這一特性讓FPGA成為快速構建可信根的理想選擇。設計人員可以利用FPGA的并行特性來(lái)同時(shí)檢查多個(gè)存儲器,從而顯著(zhù)縮短啟動(dòng)時(shí)間。與MCU不同之處在于,FPGA可以通過(guò)實(shí)時(shí)監控保護非易失性存儲器。最后,在系統損壞的情況下,FPGA可提供啟動(dòng)固件恢復所需的邏輯和接口。

萊迪思MachXO3D – 全面保障硬件安全的可信根FPGA
為滿(mǎn)足各類(lèi)應用日益增長(cháng)的固件安全需求,萊迪思最新宣布推出MachXO3D FPGA,這是首款用于系統控制應用的小尺寸、低功耗FPGA,可以在計算、通信、工業(yè)控制和汽車(chē)等各類(lèi)應用中保障系統固件安全。這款新器件通過(guò)在產(chǎn)品整個(gè)生命周期內實(shí)現全面、靈活、可靠的硬件安全系統,幫助OEM防范數據竊取、數據篡改、設計盜竊、產(chǎn)品克隆、過(guò)度構建、設備篡改和劫持等問(wèn)題。

全新的MachXO3D與萊迪思備受歡迎的MachXO3系列(廣泛用于各類(lèi)控制PLD應用)引腳兼容,將成為萊迪思產(chǎn)品系列中實(shí)現安全固件應用的重要控制PLD選擇。

簡(jiǎn)化集成

確保輕松實(shí)現固件安全是設計MachXO3D時(shí)的重點(diǎn)考慮因素。萊迪思的設計師希望設計人員能夠方便地使用這款新器件。由于超過(guò)50%的通信系統和服務(wù)器都采用基于MachXO架構的控制PLD,所以該新款器件經(jīng)專(zhuān)門(mén)設計,與原有架構引腳兼容。這有助于讓開(kāi)發(fā)人員對現有的控制解決方案進(jìn)行改進(jìn)或增添新的安全功能。目前對于這些全新安全特性的需求正不斷增長(cháng),且MachXO架構也早已普及,已有超過(guò)五家領(lǐng)先的服務(wù)器OEM開(kāi)始與萊迪思合作,著(zhù)手進(jìn)行MachXO3D的相關(guān)設計。由于開(kāi)發(fā)人員經(jīng)常使用MachXO3器件作為最先上電和最后斷電的組件,他們可以快速建立信任根和信任鏈,不必擔心其他組件是否先于萊迪思PLD之前啟動(dòng)。

實(shí)現靈活的安全機制并保持系統完整性
•        關(guān)鍵基礎設施的大多數控制PLD都采用MachXO架構開(kāi)發(fā)
•        MachXO3和MachXO3D引腳兼容
•        MachXO3D是用于簡(jiǎn)單信任鏈實(shí)現的最先上電和最后斷電的器件
•        5家服務(wù)器OEM已著(zhù)手采用MachXO3D設計



全面保障安全

為應對日益嚴峻的硬件安全問(wèn)題。萊迪思增強了MachXO3D FPGA的控制PLD功能,其中的嵌入式安全模塊提供了開(kāi)發(fā)人員解決多種安全威脅所需的硬件可信根和硬件加密功能。
•        MachXO3D對位流進(jìn)行加密,確保設計安全性,防范IP盜竊。
•        為保護OEM的營(yíng)收和品牌聲譽(yù),該器件新增了安全ID,可以與其他安全功能配合,進(jìn)行器件/平臺驗   證。
•        橢圓曲線(xiàn)加密、公鑰/私鑰功能和AES加密/解密能有效防止數據盜竊。
•        橢圓曲線(xiàn)驗證和簽名生成提供驗證固件和通用數據的基石。



符合NIST標準的可靠設計

MachXO3D設計非?煽,是業(yè)界首款符合NIST SP 800 193平臺固件保護恢復(PFR)準則的控制FPGA。該器件可通過(guò)訪(fǎng)問(wèn)控制保護非易失性存儲器,加密檢測并防止從惡意代碼啟動(dòng),且在固件遭到破壞時(shí)能恢復到最新的可信任固件。此外,MachXO3D隨時(shí)可以動(dòng)態(tài)重新配置I/O端口,從而最小化系統的攻擊面。

靈活的設計實(shí)現

設計靈活性也是一個(gè)關(guān)鍵考慮要素。萊迪思的大多數客戶(hù)都希望在設備部署完畢后,在XO架構上實(shí)現升級。這種可重新編程的特性有助于動(dòng)態(tài)控制攻擊面,還能讓用戶(hù)輕松地更新FPGA,應對最新的固件攻擊。因此,萊迪思的設計人員希望在提供可靠安全性能的同時(shí),保證可編程特性。

為了應對這種多樣化的需求,MachXO3D新增了兩個(gè)關(guān)鍵特性。作為硬件化的配置引擎的一部分,該器件支持代碼驗證,確保了每個(gè)載入的配置都有合法的數字簽名。與此同時(shí),MachXO3D額外增添了片上閃存,可以隨時(shí)存儲器件的兩套配置。這種雙引導功能能讓系統在出現問(wèn)題時(shí)默認使用備份配置。

典型應用

MachXO3D旨在滿(mǎn)足多個(gè)市場(chǎng)的各類(lèi)應用需求。潛在應用包括5G無(wú)線(xiàn)通信設備,如交換機和路由器、服務(wù)器和企業(yè)計算機、工廠(chǎng)自動(dòng)化和工業(yè)IoT設備。

下列框圖描述了MachXO3D在安全服務(wù)器中的典型應用,其中包括了一個(gè)基板管理控制器(BMC)、一個(gè)主CPU和多個(gè)輔CPU或FPGA。通常情況下,一片被稱(chēng)之為控制PLD的小型FPGA管理板上的所有復位和電源控制。所有的處理器從SPI或Quad SPI存儲器啟動(dòng)。開(kāi)發(fā)人員現可以使用MachXO3D作為上述小型FPGA,并新增開(kāi)關(guān),實(shí)現服務(wù)器安全升級。這種配置允許FPGA自行啟動(dòng),然后驗證每個(gè)SPI存儲器,隨后釋放這些組件開(kāi)始啟動(dòng)(假設存儲器正常且簽名合法)。如果SPI存儲器出現問(wèn)題,MachXO3D可以根據用戶(hù)偏好進(jìn)行下一步操作,如關(guān)閉系統或嘗試從其他來(lái)源重新配置。系統啟動(dòng)后,MachXO3D還會(huì )監控對各個(gè)SPI存儲器的訪(fǎng)問(wèn),防止未經(jīng)授權的寫(xiě)入。



整個(gè)生命周期內的安全保障

為滿(mǎn)足產(chǎn)品整個(gè)生命周期內日益增長(cháng)的安全需求,萊迪思優(yōu)化了其器件生產(chǎn)時(shí)的測試集成流程,以支持   使用公鑰加密技術(shù)在未受保護的環(huán)境中對器件進(jìn)行安全編程,讓每個(gè)器件在其整個(gè)生命周期內都能保證   安全。這一新功能確保了客戶(hù)的器件從離開(kāi)萊迪思工廠(chǎng)直到報廢的整個(gè)過(guò)程都將保持安全。

結論

如今的數字系統面臨著(zhù)前所未有的攻擊。黑客會(huì )利用系統漏洞來(lái)竊取數據和設計、篡改、劫持或克隆產(chǎn)品。這些攻擊出現在產(chǎn)品的整個(gè)生命周期。僅在2018年,對未受防護的固件進(jìn)行的攻擊就導致計算、通信、工業(yè)控制和汽車(chē)系統中高達數十億IC面臨安全威脅。最終,容易遭到入侵的硬件就會(huì )對OEM廠(chǎng)商的財務(wù)狀況和品牌聲譽(yù)產(chǎn)生不良影響。

設計人員如何解決這一威脅,保護他們的系統呢?答案就是使用硬件可信根和信任鏈技術(shù)實(shí)現全面、靈活、可靠的安全系統。萊迪思全新的MachXO3D FPGA具有的硬件可信根和雙引導特性可以幫助他們增強安全控制功能,同時(shí),該款器件可極大簡(jiǎn)化安全解決方案的實(shí)現,在整個(gè)生命周期保障組件安全。
本文地址:http://selenalain.com/thread-564725-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页