物联网时代如何才能确保SoC的安全
发布时间:2016-5-9 10:16
发布者:designapp
|
摘要 在物联网时代,安全性已经成为片上系统(SoC)最重要的一部分。安全的片上系统为系统(硬件和软件)提供认证、机密性、完整性、不可复制性和访问控制。下面是开发安全系统的一些架构技术。 通常来说,安全的片上系统需要四个关键功能:安全启动、安全存储器、运行时数据完整性校验以及一个中央安全漏洞响应。 安全启动 从安全角度来看,启动是片上系统最重要且最脆弱的部分。如果黑客能够控制片上系统的启动过程,也能绕过所有其他安全措施实施,进行非法访问。片上系统架构师开发多种技术,在片上系统启动过程中提供安全保障。 传送从硬件到软件控制的联动装置是黑客最喜欢攻击的一个目标点。 安全启动是一种防水技术,可保障此联动装置的安全。信任链是用来实施安全启动的一个经典技术。 信任链作为一个安全实施,在此链的多个阶段可使用信任/认证的硬件和软件。如果片上系统选择部署安全启动,在每个启动阶段,它会认证将执行的下一阶段。 安全启动从可信实体(锚点)开始。芯片硬件启动序列和BootROM是芯片中制作的可信实体。因此,几乎不可能更换硬件(可信实体),而且仍然具有功能性的片上系统。 可进行验证每个连续阶段的过程,以创建图1所示的信任链。  图1:信任链 图字:  第1阶段表示执行硬件复位序列,以简化片上系统的上电。 此外,该序列传送对可信实体BootROM的控制。 第2阶段表示执行BootROM以及对用户应用软件进行认证。 认证是生成应用图像的独特签名的过程,并且匹配相同的金牌签名,此金牌签名存储在片上系统。 第3阶段表示执行用户应用软件。 第2阶段的完成确保可信任用户应用软件。如果非法修改了用户应用,它的认证会在第2阶段失败,因此也不能执行第3阶段。 安全存储器 片上系统的存储器可安全地保存敏感数据,如加密密钥、唯一ID、密码等。 存储器可以划分为多个分区,每个分区都有一套不同的访问控制(图2)。根据分区中所存储数据的性质,该分区可以被指定为安全敏感或非敏感的分区。包含敏感数据的存储器也称为安全存储器。在存在安全漏洞(如篡改检测、ECC操纵等)的情况下,安全敏感分区的内容可能由控制器本身来擦除,同时非敏感分区的内容可能保持不变。此类存储控制器称为安全存储控制器。  图2:存储器可以划分为多个分区,每个分区都有一套不同的访问控制。 图字:  运行时数据完整性校验 运行时数据完整性校验用来确保运行时执行过程中外围存储器内容的完整性。安全启动序列生成了参考文件,此文件包含安全存储器中所存储的单个存储器模块内容的散列值。在运行时模式中,完整性校验器读取存储器模块的内容、等待指定时间段,然后读取另一个存储器模块的内容。在这一过程中,此校验器还计算存储器模块的散列值,比较它们与启动过程中生成的参考文件的内容(图3)。 如果两个散列值不匹配,校验器则为中央单元报告安全入侵,此中央单元根据安全策略决定要采取的措施。如果此值匹配,完整性校验器启动并验证后续存储器模块的内容。继续这一过程,直到片上系统将运行。完整性校验器的扫描速率应当是可配置的,因此用户可以实现存储器模块验证速率和存储器带宽利用率之间的平衡。 存储器带宽利用率 ∝ 1/存储器扫描速率  图3:运行时数据完整性校验用来确保运行时执行过程中外围存储器内容的完整性。 图字:  中央安全漏洞响应单元 这个硬件模块可以被视作软件入侵、电压篡改等安全相关事件的片上系统中央报告单元。借助此安全相关的事件信息,安全漏洞响应单元可以确定片上系统的下一阶段。此单元的操作可以通过以下状态机的方式来进行最佳诠释(图4)。  图4:安全漏洞响应单元 图字:  安全漏洞响应单元监控安全入侵。如果硬件探测器报告入侵(如电压、频率和温度监测器),响应单元将片上系统的状态移动到非安全状态。非安全状态以区别于安全状态的某些限制为特征。 报告给响应单元的任何进一步安全漏洞将片上系统作为故障状态,即非功能状态。片上系统保持故障状态,直到发出复位上电指令。 这里应注意的是,对安全入侵的响应可按照软件策略来执行。例如,软件可以配置某些入侵为非致命,因此这些入侵将不会导致片上系统移动至非安全或故障状态。 这种可配置性可满足片上应用不同的安全需求。 片上系统状态的信息可传递给片上系统的其他安全敏感的部分,如可感测状态并保护敏感数据的安全存储控制器。 结语 片上系统安全对安全可靠地操作物联网联网设备至关重要。同样的功能不仅能使片上系统执行它们的任务,也能使它们识别并处理威胁。幸运地是,这并不需要革命性的方法,只需要现有架构的演进。 |
网友评论