莱迪思最新推出的第三个基于MachXO3D的硬件平台Solution Stack

随着5G商用落地，物联网产业加速发展，互连设备与日剧增，由此带来的安全问题也日益凸显，不容忽视。近期，莱迪思推出了具有动态信任的端到端供应链保护解决方案，该方案由Sentry解决方案和SupplyGuard服务组成，守护通信、数据中心、工业、汽车、航空航天和客户计算等领域的各类应用的安全。

固件保护迫在眉睫

据美国国家信息安全漏洞数据库提供的数据，从2016年到2019年，因固件漏洞而导致的入侵增长了将近七倍，造成这种增长的原因主要有两方面：一是传统安全性保护都在上层软件或者OS层，而固件这一层并没有受到足够的重视；二是在线硬件产品越来越多，不管是云端、管道还是终端设备，基本上都有相应的固件存在，随着在线设备数量增加，暴露出来的漏洞数量也会增长。

Gartner公司预计，如果2022年公司还没有实施及时的固件升级计划，补上固件安全性的漏洞，那么两年后将会有70%的公司因为固件漏洞遭到各种入侵。

与此同时，以前很多安全措施需要人员到现场进行操作，由于新冠疫情的影响，很多人员无法到现场对设备实施安全保护，只能进行远程管理、升级和操作，如果远程操作没有足够的安全性保护，就会有一些中短期的风险存在。

可以说，固件保护已经迫在眉睫！

针对于固件攻击的保护，业界通用的标准是美国国家标准与技术研究所（NIST）2018年发布的NIST SP 800 193标准。它定义了一种标准的安全机制，称为平台固件保护恢复（PFR）。PFR主要基于三个指导原则：一是能够检测到对固件的攻击；二是保护，在固件遇到非法的读写操作时对这些非法的行动进行阻止，并汇报给上层软件，发出警告信息；三是即使在固件遭到破坏的情况下，也能够进行恢复。

莱迪思Sentry解决方案就是以这个标准为蓝图和基准做的一系列开发工具。

Sentry解决方案

莱迪思半导体亚太区应用工程（AE）总监谢征帆介绍道：“除了硬件、开发工具，莱迪思还给客户提供了一系列配套的产品，让客户可以针对某一个应用尽快上手，解决客户的痛点并且在量产的过程中提供支持工作。”

Sentry是莱迪思最新推出的第三个Solution Stack，包括底层基于MachXO3D的硬件平台、一系列的IP核、软件工具、参考设计、演示示例和一些定制化服务，六大块融合在一起，用来解决固件保护的问题。

传统的硬件平台架构中，每一颗硬件的芯片都是与自己的固件Flash直接交流，各行其是，固件的安全性保护也是由每一颗芯片自己负责。莱迪思的XO3D和Sentry应用方案在芯片和固件之间加了一层额外的保护，从硬件角度，由两个部分组成，一个是XO3D和里面的Sentry软件，另一个就是快速开关。

Sentry工作原理：在硬件平台启动上电，Time0时，XO3D使上面所有其他芯片处于复位状态，先不工作，由XO3D芯片对上面每一块固件做一个加密验证，只有验证通过以后，才能够确认这个固件没有遭到非法篡改，才把MCU、CPU等芯片的复位信号释放掉，就可以正常启动；当这些芯片进入正常工作流程后， XO3D芯片会继续实时监控固件数据总线上的traffic，有任何非法的攻击，都能够检测到；检测到非法入侵时即将它禁止，同时向上层软件进行汇报，通知其进行下一步处理；如果固件有任何的损失或修改，XO3D芯片还可以独立进行恢复操作，把它恢复到正常状态。

“Sentry解决方案是符合行业规范和标准的，能够给客户带来的最大的好处就是可以大大帮助他们缩短产品的上市时间，从以前的10个月缩短到6周左右。” 谢征帆指出。

此外，Sentry解决方案采用基于RISC-V的软件设计，提供了Sentry基于RISC-V的C代码，用户可直接使用；在有需求时，只需修改相应的C参考源代码便能完全实现PFR。也就是说，不需要有FPGA的设计经验，只要拥有C代码的开发经验就能轻松使用Sentry解决方案。对于没有FPGA设计经验的用户非常友好，给客户提供了足够多的灵活性，同时又减少了底层block的开发初始所需要的工作量。

总结来看，莱迪思Sentry解决方案集合的主要特性如下：

• 硬件安全功能——Sentry解决方案集合提供经过预验证、符合NIST的PFR实现方案，可在系统启动期间和之后对所有系统固件实施严格的实时访问控制。若检测到损坏的固件，Sentry可以自动回滚到固件之前已知的完好版本，确保安全的系统操作不会中断。

• 符合最新的NIST SP-800-193标准，通过CAVP认证——该解决方案集合通过支持严格加密的莱迪思MachXO3D™ FPGA系列器件实现硬件RoT。

• 易于使用——开发人员可以在没有任何FPGA设计经验的情况下，将Sentry经过验证的IP模块拖放到Lattice Propel设计环境中，修改所给的RISC-V C语言参考代码。

• 缩短上市时间——Sentry解决方案集合提供预验证和经过测试的应用演示、参考设计和开发板，可以将PFR应用的开发时间从10个月缩短到仅仅6周。

• 灵活、适用于所有平台的安全解决方案——Sentry为固件和可编程外设提供全方位、实时的PFR支持。它可以用作系统中的RoT和/或补充现有的基于BMC/MCU/TPM的体系，使之完全符合NIST SP-800-193标准。

SupplyGuard设计服务

在没有安全性保障时，传统供应链里可能会遇到克隆、过度构建、恶意后门、盗窃、恶意外设、设备劫持等各种安全隐患。以往安全的供应链，所有的CM厂商都需要安装一台HSM设备，通过HSM设备与OEM之间建立安全通信，而HSM设备通常是比较昂贵的，并且CM厂商需要有一个安全的环境。

莱迪思SupplyGuard在一个非安全的环境下也能构建授权产品，而没有经过OEM厂商授权的组件会被阻止。通过一对lock和unlock的密钥对平台和系统进行最严格的保护，来实现端到端的安全供应链的保护。既能够享受到合适的成本，也能够解决现实中遇到的问题，这是SupplyGuard给客户带来的最大优势。

谢征帆表示：“SupplyGuard设计服务提供供应链端到端的保护，即从芯片原厂生产开始，到经过OEM厂商，到CM生产，到客户现场交付，再到产品最后的报废整个流程中，都会有供应链保护，提供一个持久的信任。”

SupplyGuard工作原理：在IC组装工厂里，客户需要SupplyGuard服务时，先下订单；下单后生成一对Key（lock key和unlock key），key可以针对某个客户，也可以针对具体某个项目；在组装工厂里，莱迪思将lock key烧录到发货芯片里面，同时把unlock key通过一个安全通道交给客户；客户的研发部门首先通过常规的FPGA开发流程来进行FPGA开发，在最后一个阶段，把已经开发完的FPGA要写的文件用unlock key进行加密和签名，有了经过加密和签名保护的bit文件以后，客户就可以把这个bit文件给到CM厂商进行产品的系统生产，同时也会根据客户的要求把带有lock key的芯片同时发到CM厂商进行组装；加密芯片和bit文件都来到CM厂商以后，已被lock的设备只接受加密和签名以后的bit文件，恶意的bit文件无法被烧录到芯片里，保证安全芯片的程序注入。

通过SupplyGuard的服务，加密的代码只能烧写到与之对应的key的芯片里，这样起到了一个双向的保护，既防止了非法的bit文件烧写到lock的设备里面，也防止了正版的代码被烧写到空芯片里。有了这两个互相依存的功能，最终就能够生产出安全可靠的产品。

对于客户来讲，SupplyGuard服务的好处主要有两方面：一是降低成本，不需要在CM厂部署安全设备；二是，即使将来要更换不同的CM厂商，也不会对CM厂商的安全性有任何要求，增加了灵活性。

谈及不同应用领域端到端供应链的差异化问题，谢征帆表示，莱迪思可以对不同行业客户提供设计服务，结合客户对行业的理解和实际需求，与莱迪思设计团队对供应链安全的经验，合作开发相关的解决方案。此外，莱迪思也充分考虑到了中小企业快速多样化的需求和成本敏感性，在Sentry解决方案中强调灵活性和可重用性，在SupplyGuard服务中大幅降低TCO。同时莱迪思强大的现场支持队伍也可以帮助中小企业解决从方案到设计直至最后量产的整个过程。
责任编辑:pj