新一代SoC FPGA供给体系可信根,避免要害数据遭到网络进犯

嵌入式体系规划人员有了新的网络安全兵器，能够确保信息安全、避免篡改和树立可信任的体系。

物联网(IoT)的规划和杂乱性不断上升，对自动的强化安全办法的需求日益添加。仅运用软件安全功用现已不足以应对已知的网络要挟，更有用的办法是选用分层技能战略，这种战略以选用能够供给IC级硬件可信根的新一代体系级芯片(SoC) FPGA开端。在此坚实的根底之上，应选用可扩展的解决方案，包含依据危险适宜的办法来挑选其它元件，比方用于动态数据、运用中的数据和静态数据的安全办法，以及加密和软件维护。

现在，整个网络根底设施比曾经更简单遭到进犯，使安全应战变得更为杂乱。衔接IoT器材的数量呈指数级添加，增大了硬件和嵌入式体系的安全危险。网络根底设施和信息体系所装置的联网器材日益杂乱，品种繁复，因而有必要选用适宜的安全级别和自动性的维护办法进行维护，这些维护办法应依据要挟的数量、频率和类型进行优化。

采纳多层办法

恰当的安全有必要是可扩展的，并且有必要是以IC级硬件可信根开端(图1)。为了确保硬件、施行规划安全和确定数据安全，其它部件技能和支撑元件也是必不可少的。

第一组技能和支撑元件用于确保信息安全，选用物理反克隆功用(PUF)、高档加密加速器，以及专利答应的抗差分功率剖析(DPA)功用，经过密匙存储传输信息。

图1：多层办法是确保硬件安全、施行规划安全和确定数据安满是必不可少的。

第二组技能包含防篡改才能。这组技能包含安全比特流、篡改检测和呼应，以及避免仿制、克隆或反克隆向工程的机制。

第三组是树立可信任的体系，经过答应和认证的专利维护抗DPA、NIST认证的加密加速器和安全供应链来完成。

FPGA供给体系可信根

新一代SoC FPGA具有树立体系可信根有必要的各种特性，而体系可信根是避免要害数据遭到进犯的必要根底。

例如，现在的FPGA供给答应的、专利的和认证的DPA维护，确保避免规划知识产权(IP)被仿制和被逆向工程。DPA维护还经过验证FPGA是可信的而供给供应链确保。现在的SoC FPGA还对照器材证书的认证参数，及经过证明仅有的器材密钥而供给验证。这种技能是确保正在被编程的器材不会构成供应链假造问题的最有用办法。

图2：美高森美SmartFusion2 SoC FPGA运用内置规划安全特色维护有价值的

规划IP。

除维护IP以外，现在的FPGA还经过避免产品逆向工程来增强网络安全。经过加密和维护装备比特流，以确保根据FPGA之规划的安全。当检测到篡改时，器材有必要能够辨认这种未经授权的拜访，将一切值从头设置为零。这样做明显削减了进犯成功的时机。为了进一步加强维护运用中的数据，集成答应DPA对立办法，加强FPGA反抗危险的DPA密匙提取进犯的才能。更好的是集成特别的安全确定位特色使FPGA能够界说安全屏障，然后在运用某些体系才能之前要求授权。

除DPA维护和防篡改才能之外，供给体系可信根的其它要害FPGA特色包含加密比特流、多密匙存储元件、安全闪存和集成PUF。

添加安全层

选用SoC FPGA供给规划硬件可信根，下一步是采纳国防部称为“深度防护”的办法，在整个体系添加多个安全层。有关硬件解决方案供给多个IA层和加密技能支撑，确保软件运用、FPGA和SoC规划中静态数据、动态数据和运用中的数据的安全。

关于静态数据，存储器是要点重视区域。苛刻的嵌入式核算运用最好是选用可靠性高的安全SSD。高度安全的SSD有必要避免敏感数据遭到要挟，一起削减存储媒体固有的脆弱性。因而，为了完成最佳信息安全确保，有必要选用具有硬件加密和丢掉防备功用的强化SSD。

为了维护动态数据，能够选用与以太网协作的新办法，因为以太网在层2(L2)操作，其本身的加密协议在IEEE 802.1AE MACsec规范中界说。解决方案的安全强度与安全施行层之间存在直接联络。因为这种联系，以太网衔接要求L2安全加密。现在有几种安全解决方案，可在任何网络(包含多运营商和根据云的网络)完成根据活动、端至端IEEE 802.1AE MACsec安全加密。这种安全与网络是否感知到安全协议无关，而物理层解决方案(PHY)供给128/256位AES加密，以应对不断演化的网络要挟。

不管是静态数据、动态数据或运用数据，都应该选用多层加密以确保安全。一个实例是选用软件加密，下降从静态或运转时刻存储器提取加密密匙时会呈现的安全脆弱性。根据软件的新技能供给有利的密匙躲藏解决方案，选用广泛的算法和渠道支撑来维护暗码和加密密匙。

另一个有必要维护的重要体系元件是同步守时，特别是要害通讯根底设施的同步守时。许多安排信任揭露取得的时刻服务器供给和谐世界时(UTC)来历。为了传输这些UTC来历及保持全面安全的守时根底设施，有必要有发生、分配和运用准确时刻的稳健的端对端守时解决方案。

要将这些元件集成在一起，一般需求专业技能，部件供货商资助的独立实验室向开发人员供给嵌入式体系安全的资源。这些中心聘任安全和体系剖析家、加密学家及硬件和软件工程师，经过协同协作来协助他们规划维护战略，对危险进行点评，对黑匣子规划进行评价，并履行安全工程及其它重要任务，然后为公司供给名贵的穿插-笔直专业技能。

对嵌入式体系规划人员来说，网络安全非常重要。现在的SoC FPGA为多层解决方案供给可信根柱石，维护要害项目的信息和技能安全。树立危险适宜的解决方案需求恰当组适宜宜的技能和才能，以扩展安全解决方案，然后应对不断演化的要挟。