用FPGA器件提升物聯(lián)網(wǎng)和其它聯(lián)網(wǎng)設(shè)計(jì)的安全性

在現(xiàn)今日益趨向超連接的世界(hyper-connected world)中，如何保護(hù)新的設(shè)計(jì)避免被克隆、反向工程和/或篡改是一項(xiàng)重大挑戰(zhàn)。FPGA器件通過加入滿足器件級安全需求的特性，來幫助實(shí)現(xiàn)這些目標(biāo)。

日益增長的IoT安全需求

物聯(lián)網(wǎng)(IoT)可被視為由多個(gè)電子網(wǎng)絡(luò)組成，這些網(wǎng)絡(luò)需要端到端的起始于器件級的分層安全性(見圖1)。為了幫助實(shí)現(xiàn)這種分層安全性，F(xiàn)PGA器件能夠加入獨(dú)特的內(nèi)置特性和差異化能力，還能夠在往往非常復(fù)雜的應(yīng)用中成為信任根(root of trust)。

圖1 聯(lián)網(wǎng)系統(tǒng)需要起始于器件的端至端分層安全性

該解決方案使用內(nèi)部嵌入安全特性的FPGA器件，允許系統(tǒng)架構(gòu)師把安全體系架構(gòu)規(guī)劃在核心層面，而不是放在次要的地位。許多基于SRAM的FPGA器件存在的一個(gè)很重要的問題就是每次開機(jī)必需從外部存儲(chǔ)器進(jìn)行配置，這樣通過反向工程很容易獲取你的設(shè)計(jì);因此，更好的辦法就是使用具有片上非易失性存儲(chǔ)器(NVM)的FPGA，可以使用NVM事件存儲(chǔ)配置信息。

因?yàn)閿?shù)據(jù)安全性是最重要的安全層面之一，所以FPGA器件必需保護(hù)所有的數(shù)據(jù)，包括正在處理的應(yīng)用數(shù)據(jù)。我們應(yīng)當(dāng)考慮多種數(shù)據(jù)保護(hù)特性，包括硬件保護(hù)防止來邊帶通道的差分功率分析(DPA)攻擊。單邊或差分功率分析(SPA/DPA)可以通過在解密位流(bitstream loading)測量其功耗來提取密匙。

可重點(diǎn)考慮的是使用物理不可克隆功能(PUF)來生成一個(gè)公私密匙對機(jī)器進(jìn)行認(rèn)證。圖2所示的PUF可以用作每臺(tái)設(shè)備獨(dú)一無二的“生物(biometric)”標(biāo)識(shí)——類似于人類的指紋，沒有兩個(gè)是完全相同的，并且是不可克隆的。

圖2 SRAM PUF架構(gòu)利用SRAM位的準(zhǔn)靜態(tài)(quasi-static)隨機(jī)啟動(dòng)行為

SRAM PUF

SRAM物理不可克隆功能是一種具有最佳特性和最可靠的存儲(chǔ)器PUF 類型，它可以在智能卡芯片、FPGA或其它IC器件上實(shí)施。它通過測量SRAM模塊中的位的隨機(jī)啟動(dòng)狀態(tài)來工作，每個(gè)SRAM位包含兩個(gè)名義上標(biāo)稱等同但不完全相同的交叉耦合反相器。當(dāng)電源施加在IC上，每個(gè)SRAM位啟動(dòng)為“1”或“0”狀態(tài)，這在很大程度上是取決于IC制造過程的。

在反相器具有良好的平衡時(shí)，熱噪聲可能會(huì)克服預(yù)定的參考位的限制，從而初始值出現(xiàn)相反狀態(tài)。然而，這一預(yù)定狀態(tài)通常能克服任何動(dòng)態(tài)噪聲，并且只要使用錯(cuò)誤糾正技術(shù)便可以將受噪聲干擾的位恢復(fù)到初始值，確保在每次開啟時(shí)重新構(gòu)建相同的密匙。

SRAM PUF可以經(jīng)過設(shè)計(jì)以保證在所有環(huán)境條件下也可完美地重建密匙，并且在整個(gè)生命周期具有非常低的錯(cuò)誤率——低至十億分之一。此外，由于SRAM PUF的密匙在電源關(guān)斷時(shí)有效地從器件中消失，所以具有極為強(qiáng)大的保護(hù)功能。如果激活碼被擦除，便沒有任何后續(xù)分析可以重建PUF密匙。

加密功能

如果要在FPGA或SoC FPGA器件中實(shí)施PUF技術(shù)，這些器件須具備內(nèi)置加密功能，比如用于AES、SHA、HMAC，以及橢圓曲線加密(ECC)的硬件加速器，還需要加密等級的真正隨機(jī)位生成器。通過這些功能，便有可能創(chuàng)建一個(gè)用戶公共密匙基礎(chǔ)設(shè)施，讓用戶通過自己的授權(quán)機(jī)制來認(rèn)證網(wǎng)絡(luò)中的每臺(tái)機(jī)器的合法性。這可確保每臺(tái)設(shè)備具有一個(gè)信任鏈，從得到用戶很好保護(hù)的根CA密匙一直延伸到通過FPGA器件的PUF建立的高確信度原子級身份。PUF和PKI結(jié)合起來，確保每臺(tái)設(shè)備和其通信受到保護(hù)，并且能夠安全、可靠地用于M2M、IoT和其它超連接應(yīng)用。