專用SOC安全控制架構(gòu)的研究與設計
②當OTP.1=0時,芯片系統(tǒng)僅允許傳輸過程安全認證命令的輸入與執(zhí)行。開發(fā)商通過傳輸安全認證命令,在允許的認證次數(shù)范圍內(nèi),對芯片的真實性進行認證。若認證正確,芯片由初始狀態(tài)ST1轉(zhuǎn)移至使能狀態(tài)ST2,并置位芯片使能標識OTP.1,等待用戶創(chuàng)建命令的輸入。若芯片真實性認證錯誤,芯片系統(tǒng)保持在初始狀態(tài)。當認證次數(shù)超出允許次數(shù)時,OTP.6被置位,芯片被鎖死。
③當OTP.1=1時,芯片系統(tǒng)僅允許用戶創(chuàng)建命令的輸入與執(zhí)行。初次啟動時,開發(fā)商通過用戶創(chuàng)建命令,完成AIK與USER_AUTH的創(chuàng)建。用戶創(chuàng)建完成后,置位OTP.O與STATE.2,進入芯片激活狀態(tài)ST3。在允許的認證次數(shù)范圍內(nèi),若用戶創(chuàng)建失敗,芯片保持在ST2。當STAT-E.1=1 時,開發(fā)商可以通過用戶創(chuàng)建命令,更新AIK和USER_AUTH,完成用戶身份的重建。當認證次數(shù)超出允許范圍時,0TP.5被置位,芯片被鎖死。
④當OTP.O=1時,開發(fā)商可以獲得低層代碼和系統(tǒng)資源所提供的服務功能,如SHA1雜湊值計算、對稱數(shù)據(jù)加解密、RSA數(shù)據(jù)簽名與認證、以及隨機數(shù)生成等一系列密碼服務功能等。當需要對芯片系統(tǒng)進行1層代碼下載時,用戶輸入代碼下載命令,芯片系統(tǒng)首先驗證下載命令發(fā)起者身份,若身份驗證正確,置位 STATE.7,進入ST4。
⑤當STATE.7=1時,芯片在下載控制程序控制下,將1層代碼下載到對應存儲器COS區(qū)。系統(tǒng)調(diào)用SHA1模塊度量下載代碼的完整性,存儲于 LELVE0存儲器的PCR2中,并與輸入的完整性信息進行對比驗證。若完整性驗證通過,置位STATE.6,并復位STATE.7,進入ST5,否則返回ST3。此外,因突發(fā)因素導致下載過程中斷,也會使芯片系統(tǒng)返回ST3。在系統(tǒng)返回ST3時,復位STATE.7。
⑥當STATE.6=1時,通過層次跳轉(zhuǎn)命令,芯片系統(tǒng)進入ST6,用戶可以獲得1層代碼的相應功能。由ST6返回到ST3只有斷電或者系統(tǒng)復位兩種方式。
⑦在1層代碼運行狀態(tài)下,若需要進行2層代碼下載,則用戶輸入符合1層代碼編碼格式的代碼下載命令。1層代碼驗證下載命令發(fā)起者身份,驗證通過后,置位STATE’.7,進入ST7。若不需要代碼下載,則在ST6運行。
⑧完成2層代碼下載過程同⑤,對2層代碼進行完整性度量與驗證,若驗證通過,置位STATE’.6,進入ST8,否則返回ST6。
⑨通過層次跳轉(zhuǎn)命令或功能調(diào)用命令,芯片系統(tǒng)可進入ST9,獲得2層代碼相應功能。當采用層次跳轉(zhuǎn)命令進入ST9時,芯片系統(tǒng)保持在ST9狀態(tài),僅能夠通過系統(tǒng)復位,返回ST3。當采用功能調(diào)用命令進入ST9時,只能執(zhí)行2層代碼中部分功能且執(zhí)行完畢后,將返回到ST6狀態(tài)。
3 專用SoC芯片安全性分析
3.1 攻擊防護分析
在芯片的硬件安全結(jié)構(gòu)設計中,篡改響應機制能夠?qū)榷ü裟P椭械奈锢砉暨M行安全防護;結(jié)合安全邏輯模塊中的越界檢測部件,信息交互機制能夠防止攻擊者對芯片的緩沖區(qū)溢出攻擊;此外,信息交互機制還能夠?qū)φZ義攻擊、字典攻擊以及重放攻擊進行防護;芯片系統(tǒng)的單向分級啟動模式、以及代碼下載時的身份認證,各安全級別之間的“防火墻”設計,使得芯片系統(tǒng)能夠抵抗惡意代碼的攻擊。
3.2 工作過程安全性分析
①代碼的可信性:首先,由于制造商被無條件信任,芯片在出廠初始狀態(tài)真實可信,因而內(nèi)嵌代碼是可信的。在經(jīng)過傳輸過程被開發(fā)商獲得后,芯片的使用需要通過對芯片的傳輸過程進行驗證,在驗證正確后,芯片的來源被確認,此時,內(nèi)嵌代碼保持了其可信性。以內(nèi)嵌代碼為可信基,在對1層代碼與2層代碼進行下載時,均需要認證下載命令發(fā)起者的身份。因而,下載的1層代碼與2層代碼均能夠保證其來源真實性。
②代碼的完整性:在信賴制造商前提下,內(nèi)嵌代碼可作為整個芯片系統(tǒng)的可信基?;谶@一信任基礎,通過啟動過程中對內(nèi)嵌代碼、芯片操作系統(tǒng)、用戶應用程序的完整性驗證,使得芯片系統(tǒng)僅在代碼完整性正確情況下,才能夠正常運行,從而保證了代碼的完整性。
③數(shù)據(jù)可信性:由于LEVEL0的數(shù)據(jù)僅能夠由制造商與Q層代碼操作,傳輸安全機制保證了芯片的可信性,從而可知LEVEL0的數(shù)據(jù)是可信的。1層與2層敏感數(shù)據(jù)與運行臨時數(shù)據(jù)的可信性由本層的代碼可信性保證。當本層代碼可信時,數(shù)據(jù)的來源被認為是可信的。
④數(shù)據(jù)完整性:由完整性認證機制可知,其被認證數(shù)據(jù)對象在每次合法改變時,均將及時修改相應的數(shù)據(jù)完整性檢驗信息,且每次啟動時,均需進行完整性認證,因而數(shù)據(jù)完整性可得到保證。
⑤功能部件的正確性:功能部件的正確性通過芯片系統(tǒng)每次啟動時的功能自檢,以及根據(jù)應用需要每次調(diào)用功能部件執(zhí)行相應檢測功能來保證。
結(jié)語
提供密碼服務和數(shù)據(jù)存儲功能的專用SoC芯片設計的關(guān)鍵是,在芯片功能正確的前提下,確保芯片內(nèi)部敏感信息的機密性與完整性,以及運行狀態(tài)的可信性。本文為專用SoC的安全設計提供了一個可供參考的模型,也為進一步研究動態(tài)數(shù)據(jù)完整性度量和可信應用服務提供了一個基礎平臺。
本文引用地址:http://butianyuan.cn/article/195145.htm
評論