【導讀】安全性是醫療、工業、汽車和通信領域的一個重大問題。許多行業都在采用基于互聯智能機器和系統的智能聯網機器及工藝,從而優化工藝和流程。這些系統容易受到惡意攻擊、未知軟件錯誤的影響,而遠程控制甚至可能導致物理安全問題,因此必須防止未經授權的訪問或非法控制。
安全性是醫療、工業、汽車和通信領域的一個重大問題。許多行業都在采用基于互聯智能機器和系統的智能聯網機器及工藝,從而優化工藝和流程。這些系統容易受到惡意攻擊、未知軟件錯誤的影響,而遠程控制甚至可能導致物理安全問題,因此必須防止未經授權的訪問或非法控制。
工業發展的最新篇章,也就是常說的第四次工業革命(又稱工業4.0),開創了創新和發展的新紀元,但本身也存在一系列危險和挑戰。工業4.0定義了系統、網絡、機器和人類之間的通信和互聯互通,其中包含物聯網(IoT),這將復雜性推向了新的高度。雖然互聯互通具有提高效率、實時識別和糾正缺陷、預測性維護以及改進各種功能之間的協作等優勢,但這些優勢也會顯著增加智能工廠或自動化生產基地的安全漏洞。“網絡”安全不再局限于特定的操作或系統,還會傳播到工廠車間或工業網絡上的每一臺設備。智能工廠里的控制系統(包括PLC、傳感器、嵌入式系統和工業IoT設備)受到的安全威脅在全球范圍內呈上升趨勢。基于云執行的遠程管理也帶來了篡改、注入惡意內容等物理攻擊的風險。
本文概述了FPGA如何推進縱深防御方法的發展以開發安全應用程序,這是在第四次工業革命的推動下,滿足IoT和邊緣計算迅速增長的需求的必經之路。本文介紹了安全功能在硬件、設計和數據中的作用,以及如何在安全性的三個要素(機密性、完整性和真實性)基礎上構建應用程序。
一個可靠的安全系統必須具備以下三個核心元素:
?可信:保證數據源可靠、獲得授權且經過身份驗證
?防篡改:確認設備沒有受到任何干擾
?信息保障:以安全的方式使用、處理和傳輸系統中的數據
通過FPGA實現基于硬件的安全功能
基于軟件的單一安全方法在生命周期、可編程性、功耗效率、外形等方面存在不足,在當前的工業4.0環境下,不足以達到滿足需求的安全等級,因此必須采用縱深防御安全機制,通過安全層加強硬件的防御能力。
如今,大多數安全框架都采用軟件實現,其中包含編譯為在通用控制器或處理器上運行的加密庫。這些軟件實現暴露了更大的易受攻擊范圍以及許多潛在攻擊點,例如操作系統、驅動程序、軟件協議棧、存儲器和軟鍵。此外,軟件實現可能未針對性能和功率進行優化,因此會帶來設計挑戰。在工業系統的整個生命周期中,這些系統需要長期維護,同時協議棧、庫等方面也需要經常更新,這些工作十分繁瑣且成本高昂。原則上,底層硬件必須在其結構中集成安全功能,以防止靜態和動態逆向工程、篡改和偽造攻擊。
因此,基于可編程硬件的安全功能已成為一種全面、穩健的解決方案,適用于節能工業IoT和邊緣應用,尤其是采用FPGA的解決方案。除了提高系統的安全性能外,FPGA還可提高應用程序的安全等級。FPGA必須將關鍵安全組件集成到硬件、設計和數據中,以提供真正穩健的解決方案,以下幾部分將對此加以討論。
保證FPGA硬件的安全
在制造地點或通過供應鏈運輸的過程中,硬件可能會在部署前或預編程時受到攻擊。安全的生產系統支持在不太可信的制造環境中加密和配置FPGA,控制編程器件的數量,并以加密控制的方式審計制造過程;其結構必須可以避免復制品、惡意編程的FPGA和未經驗證的器件。
保證FPGA設計的安全
設計安全性離不開安全的硬件平臺,這類平臺既可為設計提供機密性和身份驗證,又能監視環境中的物理攻擊。邊信道攻擊(SCA)會破壞燒寫到器件中的比特流,因此可能會對集成了加密機制的FPGA造成嚴重威脅。SCA試圖通過測量或分析各種物理參數(如電源電流、執行時間和電磁輻射),從芯片或系統中提取機密信息。無論是非易失性FPGA還是SRAM FPGA,燒寫或“加載”FPGA的過程都需要具備抵御邊信道攻擊的能力。
主動監視器件環境是另一種防止FPGA設計受到半侵入式和侵入式攻擊的手段。電壓、溫度和時鐘頻率的波動可能表明有人試圖進行篡改。防篡改FPGA提供可定制的響應來抵御攻擊,其中包括完全擦除器件,從而使其對攻擊者毫無用處。
保證FPGA數據的安全
最后,除了確保硬件和設計的安全,FPGA還必須提供保護應用程序數據的技術,這包括不同方法的組合:
?真隨機數生成器(TRNG),用于構建符合NIST標準的安全協議,并提供隨機性來源以生成用于加密操作的密鑰
?通過物理不可克隆功能(PUF)生成根密鑰。PUF可利用在半導體生產過程中自然發生的亞微細粒變化,并賦予每個晶體管略微隨機的電氣特性和惟一身份,類似于人類的指紋,每一個都獨一無二
?受密鑰保護的安全存儲器
?能夠執行符合行業標準的非對稱、對稱和hashtag函數的加密功能
結論
工業4.0是一場不斷深化的革命,其廣泛采用依賴于穩健的端到端安全解決方案。基于軟件的安全和加密功能實現容易存在弱點并遭到惡意利用。
相比之下,當今基于硬件的解決方案利用了具有內置高級安全可編程功能的FPGA以及硬件、設計和數據中的安全層。這可提供旨在防止客戶IP遭到竊取或過度構建的硬件。這些數據安全功能的示例之一是用于抵御邊信道攻擊的DPA保護功能,這通常是一種獲得許可的專利功能。此外,基于物理不可克隆函數(PUF)的安全密鑰管理解決方案,以及支持符合行業標準的非對稱、對稱和hashtag函數的軟件可編程防邊信道攻擊加密處理器也同樣重要。
基于硬件的解決方案為打造真正靈活、安全的系統鋪平了道路。憑借其極高的可編程性、出色的性能和極佳的功耗等優勢,基于硬件的FPGA安全解決方案將成為實現重要安全性能的不二之選。FPGA集成了防邊信道攻擊加密加速器,其中包含防篡改/防御措施,可保護客戶的知識產權,并提供可信的供應鏈管理,為開發安全系統提供一個安全平臺。
免責聲明:本文為轉載文章,轉載此文目的在于傳遞更多信息,版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題,請聯系小編進行處理。
推薦閱讀:
AUTO TECH 2023廣州國際汽車電子技術展覽會將在廣州盛大召開
