針對FPGA實(shí)現安全的系統內編程功能(05-100)

　　Flash出現前的情況

　　以SRAM為基礎的 CPLD和FPGA是揮發(fā)性的,需要外部的配置內存。因此,它們被公認為最多安全隱憂(yōu)的可編程器件。例如,要盜取以SRAM為基礎 FPGA的設計十分容易,只要探測FPGA與外部 (非揮發(fā)性) 配置內存的接口,截取當中的位流便可。為此,SRAM器件制造商進(jìn)行了很多嘗試,以防止這些情況發(fā)生。為了保護FPGA上的數據,有些廠(chǎng)家移除了非揮發(fā)性的配置內存,并嘗試用電池來(lái)維持FPGA的配置數據。這在理論上可行,但在實(shí)際應用中卻會(huì )顯著(zhù)增加板級設計的成本：板卡更加復雜、需要添加電源線(xiàn)、采取電隔離措施 (防止其它芯片從器件至器件之間的互連為自己供電),以及電池本身的成本。即使采用這種方法,也不能排除系統因電壓/接地尖峰、物理沖擊或電池失效等問(wèn)題而遭受瞬間掉電,從而丟失配置數據。

　　對于許多較新的SRAM FPGA產(chǎn)品,制造商引進(jìn)了以3DES或同類(lèi)加密方案的位流加密支持,并儲存于外部?jì)却嬷?。上電時(shí),可編程器件從內存中讀入加密后的配置位流,并在器件中進(jìn)行解密,然后加載到半導體芯片上。雖然這種方法能防止大部分黑客盜取芯片中的IP,但還是不能阻止他們截獲位流或導入其它的位流。

　　較舊式的SRAM FPGA產(chǎn)品不支持位流加密,制造商因此采用了幾種方法來(lái)增加器件的安全性。常用的一種方法是采用所謂“握手令牌” (Handshake token)執行設計,即如果沒(méi)有收到所預期的令牌,FPGA內的設計功能就會(huì )失效。握手令牌會(huì )在上電時(shí)隨機生成,或利用小型的非揮發(fā)性可編程器件 (NVPD) 重置,然后在運行時(shí)定時(shí)監控,以保證令牌沒(méi)有改變。假如令牌有變,FPGA的功能 (握手令牌電路除外) 將失效,直到收到正確的令牌為止。FPGA每隔一段時(shí)間就會(huì )向NVPD請求另一個(gè)令牌,以便進(jìn)行控制。一旦收到正確的令牌,FPGA的功能便會(huì )恢復。

　　這種方法希望能保證即使配置位流被復制并克隆到FPGA中,沒(méi)有正確的令牌也不能工作。然而,這種方法不能防止犯罪者將位流從外部配置內存中復制,并經(jīng)過(guò)逆向工程獲得它在NVPD中的運行算法,然后便可制備新的NVPD,以便在克隆的電路中生成令牌。雖然這種保證方法大幅增加了克隆設計的難度,但不能全面保護FPPGA中的專(zhuān)利IP。其它方法也可以用來(lái)保護SRAM FPGA,但也只是提高獲取或使用位流的難度,而不能完全保護IP。諷刺的是,在許多這類(lèi)方法中,NVPD的內容得到保護,因為器件是非揮發(fā)性的;而FPGA的內容卻被暴露,因為器件每次上電都需要將配置位流寫(xiě)入FPGA中。

　　安全ISP的完整解決方案

　　能充分保障器件及其編程安全的完整解決方案必須能抗衡這些嚴峻的安全問(wèn)題。這樣的解決方案必須包含如下要素：

• 　　? 安全的基礎構架。Flash FPGA具非揮發(fā)性、上電即行和單芯片等特性,在芯片上擁有一切所需的非揮發(fā)性?xún)却?在鎖定后也很安全。
• 　　? AES (先進(jìn)加密系統) 技術(shù)。必須采用先進(jìn)的加密技術(shù)確保編程位流的安全傳輸。
• 　　? 信息驗證代碼 (MAC)。必須在安全位流傳輸中采用MAC驗證來(lái)確保信息在傳輸時(shí)沒(méi)被更改。
• 　　? 非揮發(fā)性?xún)却?FlashROM (FROM)。FPGA板上的非揮發(fā)性FROM寄存器可存儲鍵和標識,以實(shí)現安全ISP的控制和序列化處理。

　　AES加密系統

　　先進(jìn)加密系統 (AES) - 美國聯(lián)邦信息處理標準197 (AES-FIPS 197) 是美國國家標準技術(shù)研究院 (NIST) 最新頒布的加密標準。AES算法能夠使用128、192和256位的加密鍵來(lái)實(shí)現128位數據塊的加密和解密,從而保護電子數據。AES算法替代了原本安全性較低的DES和3DES算法。AES-128能在多達3.4 * 1038個(gè)獨特密碼鍵中任挑一個(gè)來(lái)加密位流。這樣,每秒能破解一百萬(wàn)個(gè)加密鍵并可用于設計的精密黑客程序 (這已是非常高的并發(fā)算法能力了) 也需要1 * 1025年(即千萬(wàn)個(gè)萬(wàn)億年) 才能找到AES-128生成的那個(gè)加密鍵。

　　信息驗證代碼 (MAC) 的目的是檢測位流在傳輸過(guò)程中有否被更改。如果更改并非惡意,如由傳輸出現的一些問(wèn)題引起,接收端可以檢測得到并請求重新傳送。如果更改是惡意的,MAC檢測出的改變將拒絕由攻擊者更改的信息被接受。從概念上講,這系統頗為簡(jiǎn)單。發(fā)送端和接收端共享一個(gè)加密鍵。接收端利用共享的加密鍵計算接收信息的MAC。如果計算出來(lái)的MAC與接收到的MAC不匹配,說(shuō)明信息在傳輸過(guò)程中被更改。系統軟件于是會(huì )拒絕該位流并請求重新傳輸。

　　FROM

　　FlashROM (FROM) 是安全ISP解決方案的一個(gè)關(guān)鍵組件。作為非揮發(fā)性板級數據存儲器,FROM存儲著(zhù)諸如加密鍵和獨特設備標識之類(lèi)的寶貴資源。FPGA通常采用的構架,是讓FROM和FPGA結構能獨立地進(jìn)行編程,容許FROM在毋須更改FPGA核心結構的情況下也可以更新。為了保證FROM內容的安全性, FROM只允許采用JTAG編程;并不能通過(guò)內核來(lái)更新。但是為支持某些應用,尤其是依賴(lài)于獨特器件標識 (序列化) 的應用,FPGA內核應當能讀取FROM的內容。

　　圖1 安全ISP的完整解決方案

　　采用適當的配置支持,并結合基本的編程功能如自動(dòng)增量和自動(dòng)減量,FROM和AES的使用就能支持許多涉及設備序列化的應用,即是支持獨的設備標識。目的是為了更方便地管理大量器件的FROM內容。序列化支持在面對下述功能和應用領(lǐng)域時(shí)尤其有用：

• 　　? 資產(chǎn)管理跟蹤
• 　　? 日期和時(shí)間戳
• 　　? 互聯(lián)網(wǎng)協(xié)議尋址
• 　　? 庫存控制
• 　　? 基于認購方式的經(jīng)營(yíng)模式
• 　　? 系統校準設置
• 　　? 版本管理

 

　　圖2 真實(shí)環(huán)境下的ISP

　　真實(shí)環(huán)境下的安全ISP

　　FPGA產(chǎn)品在過(guò)去20多年來(lái)獲得巨大成功,因為能提供配合客戶(hù)所需的生產(chǎn)力和成本優(yōu)勢。這些優(yōu)勢主要分為三大類(lèi)別,并被認為是更改系統設計或配置變得越來(lái)越困難及執行也日益昂貴的關(guān)鍵階段：

　　? 在設計接近完成或設計完成并進(jìn)入組裝的設計工程階段,出現了后來(lái)突發(fā)的系統變更需求,或出于制造考慮的變更需求。

　　? 在次級承包商的據點(diǎn),FPGA正進(jìn)行編程,而系統經(jīng)已組裝、測試及付運至終端用戶(hù),又或分銷(xiāo)商在交貨前必需對系統進(jìn)行定制的現場(chǎng)。

　　? 在客戶(hù)的應用現場(chǎng)或其它遠程現場(chǎng),需要按最終客戶(hù)的要求變更系統,添加所需功能或更新系統參數。

　　ISP安全架構的三個(gè)級別分別對應了這三個(gè)階段：

　　例1：工廠(chǎng)/可信賴(lài)環(huán)境。這是最簡(jiǎn)單的選項,器件的編程在可信賴(lài)的環(huán)境中進(jìn)行 (通常是客戶(hù)的“工廠(chǎng)”),也是系統設計完成的地方。在這種情況下,并不需要加密。這是保護設計的安全方法,因為設計的編程文檔不會(huì )離開(kāi)這個(gè)可信賴(lài)的環(huán)境。當OEM廠(chǎng)商不能進(jìn)行編程時(shí),編程服務(wù)通常由FPGA制造商(“IHP”) 提供,也就是向OEM廠(chǎng)商提供另一個(gè)安全的可信賴(lài)環(huán)境。

　　圖2 真實(shí)環(huán)境下的ISP

　　例2：合約制造。為了減少制造成本,器件編程一般都不會(huì )在實(shí)施設計的地方進(jìn)行。海外編程中心和合約制造商是這個(gè)情況的一些例子。在這種情況下,AES加密鍵最先由OEM廠(chǎng) (可信賴(lài)的環(huán)境) 內部進(jìn)行編程。最后的編程則連同AES加密編程檔案在工廠(chǎng)以外“不可信賴(lài)”的地點(diǎn)進(jìn)行。過(guò)建的情況不會(huì )在這里出現,因為合約制造商在市場(chǎng)上購買(mǎi)的任何額外部件由于沒(méi)有裝載適當的AES加密鍵,因此都無(wú)法使用,也不能用AES加密編程檔案進(jìn)行編程。

　　例3：現場(chǎng)“訂購”升級。為了提供最高的靈活性,最終用戶(hù)必須能在應用現場(chǎng)享用ISP功能。這即是說(shuō)需要在“不可信賴(lài)”的地點(diǎn)來(lái)進(jìn)行編程,包括在有線(xiàn)、互聯(lián)網(wǎng)、衛星鏈路等公網(wǎng) (或私網(wǎng)) 的遠程現場(chǎng)據點(diǎn)進(jìn)行消費產(chǎn)品/設備的重新配置。與上面的例子一樣,這也需要使用AES加密編程檔案。在這種情況下,當客戶(hù)要求系統升級時(shí),在供應商據點(diǎn)的技術(shù)支持便會(huì )查詢(xún)設備的獨特器件標識,該標識已在可信賴(lài)的環(huán)境中安全地寫(xiě)入FROM。器件的標識將由系統于遠程現場(chǎng)送回,并用來(lái)在“器件詞典”中查核對應的AES鍵。該加密鍵會(huì )被送到內部程序中,根據所請求的功能取得適當的編程檔案,然后利用該加密鍵生成加密位流。這樣器件就能利用加密編程后位流重新編程,并在MAC算法核對過(guò)收發(fā)雙方都擁有相同的加密鍵后進(jìn)行。

　　明顯地,AES、MAC和FROM非揮性?xún)却娴慕Y合能組成安全的可編程解決方案,為系統設計人員及客戶(hù)提供重大優(yōu)勢。非揮發(fā)性以Flash為基礎的FPGA,例如Actel的ProASIC3/E系列器件,便能提供所有這些甚至更多功能。以Flash為基礎的FPGA提供高度安全和低成本的單芯片解決方案,并通過(guò)非揮發(fā)性Flash技術(shù)實(shí)現上電即行的功能。AES-128加密技術(shù)可在不安全的環(huán)境下進(jìn)行安全ISP,而芯片上內置的FROM可基于獨特的器件標識而實(shí)行多種嶄新應用。此外,以Flash為基礎器件能滿(mǎn)足實(shí)現安全ISP的所有要求,并主動(dòng)地保護客戶(hù)的產(chǎn)品免受各種棘手的安全問(wèn)題威脅,包括過(guò)建、盜取敏感的數據、篡改產(chǎn)品和黑客攻擊等。