对于企业而言,安全已经成为产品的内置属性,贯穿在整个产品开发周期中。从安全左移到无处不移,业界一直在寻找更加完善的安全解决方案,以满足日益变化的市场需求。
安全事件之所以频发,主要原因有两方面:一是传统的安全性保护都存在于上层软件或操作系统中,固件(Firmware)保护没有受到足够的重视,很多系统固件都处于最低级别;二是随着数字计算设备提供支持的基础设施数量在不断增加,勒索软件、固件攻击以及AI/ML应用的安全威胁越来越复杂,且数量众多,黑客组织开始参与创建和分发新的恶意软件威胁的频率也越来越高。
与安全性同样重要的另一个事实是:并非每个设备设计师或工程师都是安全专家。许多设备的功能可能非常出色,可以很好地满足市场和客户的要求,但这些设备在开发过程中都会在无意中产生潜在的安全漏洞,增加大量无形的支持成本、额外的开发工作等,严重损害产品的成功。
与此同时,为了应对这些新的威胁,新法规/标准(如国家安全局的商业国家安全算法(CNSA)套件)的类型和数量也开始激增。虽然其目的是为了帮助组织解决关键漏洞并建立弹性,并对数据泄露负责。然而,对于具有复杂设计流程和传统基础设施的开发人员来说,跟上不断变化的监管环境同样是一项具有挑战性的任务。
因此,尽管针对某一设备阻止所有不同潜在安全漏洞的工作十分艰巨,但对构建嵌入式计算设备的公司和部署这些设备的组织来说,仍然需要尽可能提高警惕,减少与这些设备相关的风险因素,确保采用强大、可升级的硬件安全解决方案,以帮助自身应对现在和未来各类潜在的安全问题。
◆让嵌入式设备安全成为现实◆
平台固件保护恢复(Platform Firmware Resilient, PFR)解决方案、数据保护(例如升级的加密算法对量子计算暴力破解的防护)和信任根(Root of Trust)问题,是莱迪思(Lattice)在安全性领域关注的三大重点。
在Lattice看来,采用从硬件到软件的多层安全方法,利用现场可编程门阵列(FPGA)技术将硬件可信根、集成加密、固件弹性等关键功能融入到各种互连设备的设计中,对于计算、通信和工业市场的公司来说,是有效保护系统免受复杂攻击并符合新要求的秘诀所在。
以深度嵌入式设备安全为例,在物联网(IoT)设备酷炫、语音互动界面背后,有着数百万行代码以及超速的运算程式,但其最薄弱的环节却可能是基础的某一个协议的错误实现,或某一块芯片上缺少一个信赖安全区。无论是哪种情况,黑客都非常容易攻击。
IDC报告显示,到2025年,全球将有557亿部联网设备,其中75%将连接到物联网平台,安全挑战巨大。而中国是IoT设备部署最多的国家,规避安全设备的隐患,对IoT设备的定位将带来非常关键的影响。
因此,必须要确保设备的完整性始于软件设计过程的早期阶段,并贯穿于制造设备发布直至其使用寿命结束的所有过程。许多设备在其芯片上存储和处理重要信息,例如服务订阅、健康记录、信用卡和银行信息,以及其他类似用户数据,我们必须保护这些设备免受黑客的威胁和误用。
此前,业界主要基于可信平台模块(TPM)和MCU硬件平台来实现安全防护。芯片制造商及其OEM/ODM客户能够创建一个强大的加密设备标识,并永久绑定到唯一的设备。制造商可以代表所有者使用此标识,以在设备的整个生命周期内提供安全维护或启用新功能和服务。
但与FPGA相比,这两种方案的控制流程和时序均采用串行处理方式实现,无法像FPGA方案一样同时对多个外设进行监控和保护,实时性较弱。除了实时性外,在检测和恢复方面,TPM和MCU硬件平台虽然也能够在启动之前对受保护的芯片固件进行自动验证,或是对标准的固件回滚进行恢复,但总体来看是“被动”的。
也就是说,它并不会进行主动验证,只能通过SPI接口配合主芯片接收/回传相关指令,在面对时间敏感型应用或是强度较大的破坏,例如DOS攻击和重复攻击时,无法进行更快地识别和响应,并做出实时保护。
而莱迪思FPGA具有可重构特性,从上电到产品寿命结束的整个周期内,都能提供可靠的安全保护。这是使用强大的专用硬件可信根(HRoT)技术实现的,可帮助系统实现零信任架构。零信任是由传统安全模型转变而来,它假设所有用户或设备都是不可信的,需要持续的警惕和身份验证。这种方法增强了威胁预防、检测和响应,无论数据位于何处,都能提供保护。
◆系统级安全控制方案再获升级◆
作为一套真正从固件级别做起的网络保护恢复系统,Lattice Sentry解决方案集合由MachXO3D/Mach-NX FPGA/MachXO5D-NX底层硬件平台、一系列经过预验证和测试的IP核、软件工具、参考设计、演示示例和定制设计服务共同构成。得益于此,PFR应用的开发时间可以从10个月缩短到6周。
Lattice Sentry解决方案集合4.0
MachXO5D-NX支持AES256位流加密和ECC256身份认证,保护系统设计的完整性。特色卖点之一是提供加密敏捷算法、集成闪存的硬件可信根功能以及故障安全(fail-safe)远程现场更新功能,实现可靠和安全的产品生命周期管理;卖点之二是安全引擎可在运行时使用,保护系统和FPGA之间的数据交换。相比之下,同类FPGA竞品目前还不能提供运行期间的安全功能。
基于此,以MachXO3D™、MachXO5D-NX™和Mach-NX™为代表的莱迪思安全与控制FPGA系列,能够成为强大的HRoT基石,拥有用于自我验证的、安全、不可变的唯一ID、快速的安全启动以及一整套经过验证的器件原生安全服务,这确保了系统的完整性并降低未经授权的访问风险。同时,凭借其集成的双引导可锁定闪存功能,它们能够抵御“拒绝服务”攻击,确保系统中始终存在持续的信任基础。与其他所有莱迪思FPGA一样,这些器件也具有小尺寸、高能效的特点,适用于各种系统设计。
在最新的Sentry 4.0版本中,支持在通信、计算、工业和汽车应用中开发符合美国国家标准与技术研究所(NIST)安全机制(NIST SP-800-193)标准的PFR解决方案,以及硬件层面支持最新的MachXO5D-NX系列器件,成为了最大亮点。具体体现在以下四方面:
带有I2C外设攻击保护演示的多QSPI/SPI监控
支持SPDM和MCTP,实现高效的平台管理以及安全无缝的服务器操作
全新的设计工作区模板参考设计,支持PFR 4.0解决方案、I3C和更新的加密算法(ECC384/512)且完全兼容DC-SCM
扩展了即插即用设计工具和参考设计,包括工作区模板、策略、配置和清单生成器
此外,莱迪思Sentry为客户提供了一种简化的配置和定制PFR解决方案的方法,该解决方案是针对其安全环境的独特复杂性量身定制的。在许多情况下,可以通过修改随附的RISC-V® C源代码来开发功能齐全的系统级PFR解决方案。
之所以要强调PFR,是因为针对于固件攻击的保护,PFR可以用作系统中的硬件可信根,补充现有的基于BMC/MCU/TPM的体系,使之完全符合NIST SP-800-193标准,从而为保护企业服务器固件提供了一种全新的方法,可全面防止对服务器所有固件的攻击。
NIST SP-800-193对整个硬件平台上的固件保护提出的规范性要求主要包含三个部分:首先能够检测到黑客在对固件进行攻击;第二是进行保护,例如有人在对固件进行非法的读写操作时,要阻止这些非法行为,并汇报给上层软件,发出警告信息;第三是即使在固件遭到破坏的情况下,也能够进行恢复,例如从备份文件中恢复。这三部分(恢复、检测、保护)相互融合、相互配合,主要目的就是保护硬件平台上的固件。
◆结语◆
总体而言,快速发展的网络安全环境需要一种强大的多层安全方法。莱迪思通过提供先进的加密敏捷性、硬件信任根功能以及实时保护、检测和恢复功能,继续帮助企业在威胁面前保持领先,确保系统完整性,时刻构建一个安全和有弹性的数字生态系统。
