為了確實(shí)防禦智慧工廠裡的控制系統(tǒng)，本文概述FPGA如何推進(jìn)縱深防禦方法的發(fā)展以開發(fā)安全應(yīng)用程式，以及安全功能在硬體、設(shè)計(jì)和資料中的作用，以及如何在安全性的三個(gè)要素基礎(chǔ)上構(gòu)建應(yīng)用程式。

安全性是醫(yī)療、工業(yè)、汽車和通訊領(lǐng)域的一個(gè)重大問題。許多行業(yè)都在採用基於智慧型互聯(lián)網(wǎng)的機(jī)器和系統(tǒng)，去優(yōu)化連網(wǎng)機(jī)器和系統(tǒng)的程序及流程。這些系統(tǒng)容易受到惡意攻擊與未知軟體錯(cuò)誤的影響，而遠(yuǎn)端控制甚至可能導(dǎo)致實(shí)體安全問題，因此必須防止未經(jīng)授權(quán)的存取或非法控制。

工業(yè)發(fā)展的最新篇章，也就是常說的第四次工業(yè)革命（亦稱工業(yè)4.0），開創(chuàng)了創(chuàng)新和發(fā)展的新紀(jì)元，但本身也存在一系列危險(xiǎn)和挑戰(zhàn)。工業(yè)4.0定義了系統(tǒng)、網(wǎng)路、機(jī)器和人類之間的通訊和互聯(lián)互通，其中包含物聯(lián)網(wǎng)（IoT），這將複雜性推向了新的高度。雖然互聯(lián)互通具有提高效率、即時(shí)識(shí)別和糾正缺陷、預(yù)測性維護(hù)，以及改進(jìn)各種功能之間的協(xié)作等優(yōu)勢，但這些優(yōu)勢也會(huì)明顯增加智慧工廠或自動(dòng)化生產(chǎn)基地的安全性漏洞。

「網(wǎng)路」安全不再局限於特定的操作或系統(tǒng)，還會(huì)傳播到工廠廠房或工業(yè)網(wǎng)路上的每一臺(tái)設(shè)備。智慧工廠裡的控制系統(tǒng)，包括PLC、感測器、嵌入式系統(tǒng)和工業(yè)IoT設(shè)備，其受到的安全威脅在全球範(fàn)圍內(nèi)呈上升趨勢?；峨?yún)端執(zhí)行的遠(yuǎn)端系統(tǒng)管理，也帶來了篡改、注入惡意內(nèi)容等實(shí)體攻擊的風(fēng)險(xiǎn)。

本文概述FPGA如何推進(jìn)縱深防禦方法的發(fā)展以開發(fā)安全應(yīng)用程式，這是在工業(yè)4.0的推動(dòng)下，滿足IoT和邊緣運(yùn)算迅速增長的需求的必經(jīng)之路。本文介紹安全功能在硬體、設(shè)計(jì)和資料中的作用，以及如何在安全性的三個(gè)要素（機(jī)密性、完整性和真實(shí)性）基礎(chǔ)上構(gòu)建應(yīng)用程式。

圖1 : 一個(gè)可靠的安全系統(tǒng)必須具備三個(gè)核心元素：可信、防篡改及資訊保障。

一個(gè)可靠的安全系統(tǒng)必須具備以下三個(gè)核心元素：

? 可信：保證資料來源可靠、獲得授權(quán)且經(jīng)過身份驗(yàn)證

? 防篡改：確認(rèn)設(shè)備沒有受到任何干擾

? 資訊保障：以安全的方式使用、處理和傳輸系統(tǒng)中的資料

透過FPGA實(shí)現(xiàn)硬體安全功能

基於軟體的單一安全方法在生命週期、可程式設(shè)計(jì)性、功耗效率、外形等方面存在不足，在當(dāng)前的工業(yè)4.0環(huán)境下，不足以達(dá)到滿足需求的安全等級(jí)，因此必須採用縱深防禦安全機(jī)制，透過安全層加強(qiáng)硬體的防禦能力。

如今，大多數(shù)安全框架都採用軟體實(shí)現(xiàn)，其中包含編譯為在通用控制器或處理器上運(yùn)行的加密庫。這些軟體作法暴露了更大的易受攻擊範(fàn)圍以及許多潛在攻擊點(diǎn)，例如作業(yè)系統(tǒng)、驅(qū)動(dòng)程式、軟體協(xié)定堆疊、記憶體和軟鍵。此外，軟體作法可能未針對(duì)效能和功率進(jìn)行優(yōu)化，因此會(huì)帶來設(shè)計(jì)挑戰(zhàn)。

在工業(yè)系統(tǒng)的整個(gè)生命週期中，這些系統(tǒng)需要長期維護(hù)，同時(shí)協(xié)定堆疊、程式庫等方面也需要經(jīng)常更新，這些工作十分繁瑣且成本高昂。原則上，底層硬體必須在其結(jié)構(gòu)中整合安全功能，以防止靜態(tài)和動(dòng)態(tài)逆向工程、篡改和偽造攻擊。

因此，基於可程式設(shè)計(jì)硬體的安全功能已成為一種全面、強(qiáng)健的解決方案，適用於節(jié)能工業(yè)IoT和邊緣應(yīng)用，尤其是採用FPGA的解決方案。除了提高系統(tǒng)的安全效能外，F(xiàn)PGA還可提高應(yīng)用程式的安全等級(jí)。FPGA必須將關(guān)鍵安全性群組件整合到硬體、設(shè)計(jì)和資料中，以提供真正強(qiáng)健的解決方案，以下內(nèi)容將對(duì)此加以討論。

圖2 : FPGA必須將關(guān)鍵安全性群組件整合到硬體、設(shè)計(jì)和資料中。

保證FPGA硬體的安全

在製造地點(diǎn)或透過供應(yīng)鏈運(yùn)輸?shù)倪^程中，硬體可能會(huì)在部署前或預(yù)程式設(shè)計(jì)時(shí)受到攻擊。安全的生產(chǎn)系統(tǒng)支援在不太可信的製造環(huán)境中加密和配置FPGA，控制程式設(shè)計(jì)元件的數(shù)量，並以加密控制的方式審計(jì)製造過程；其結(jié)構(gòu)必須可以避免複製品、惡意程式設(shè)計(jì)的FPGA和未經(jīng)驗(yàn)證的元件。

保證FPGA設(shè)計(jì)的安全

設(shè)計(jì)安全性離不開安全的硬體平臺(tái)，這類平臺(tái)既可為設(shè)計(jì)提供機(jī)密性和身份驗(yàn)證，又能監(jiān)視環(huán)境中的實(shí)體攻擊。旁路攻擊（Side-Channel Attack；SCA）會(huì)破壞燒寫到元件中的位元流，因此可能會(huì)對(duì)整合了加密機(jī)制的FPGA造成嚴(yán)重威脅。

SCA試圖透過測量或分析各種物理參數(shù)，例如電源電流、執(zhí)行時(shí)間和電磁輻射，從晶片或系統(tǒng)中提取機(jī)密資訊。無論是非揮發(fā)性FPGA還是SRAM FPGA，燒錄或「載入」FPGA的過程都需要具備抵禦邊通道攻擊的能力。

主動(dòng)監(jiān)視元件環(huán)境是另一種防止FPGA設(shè)計(jì)受到半侵入式和侵入式攻擊的手段。電壓、溫度和時(shí)鐘頻率的波動(dòng)，可能顯示有人試圖進(jìn)行篡改。防篡改FPGA提供可客製化的回應(yīng)來抵禦攻擊，其中包括完全抹除元件，從而使其對(duì)攻擊者毫無用處。

保證FPGA資料的安全

最後，除了確保硬體和設(shè)計(jì)的安全，F(xiàn)PGA還必須提供保護(hù)應(yīng)用程式資料的技術(shù)，這包括不同方法的組合：

? 真亂數(shù)產(chǎn)生器（TRNG），用於構(gòu)建符合NIST標(biāo)準(zhǔn)的安全協(xié)議，並提供隨機(jī)性來源以產(chǎn)生用於加密操作的金鑰

? 透過物理不可複製功能（PUF）生成根金鑰。PUF可利用在半導(dǎo)體生產(chǎn)過程中自然發(fā)生的亞微細(xì)粒變化，並賦予每個(gè)電晶體略微隨機(jī)的電氣特性和惟一身份，類似於人類的指紋，每一個(gè)都獨(dú)一無二

? 受金鑰保護(hù)的安全記憶體

? 能夠執(zhí)行符合行業(yè)標(biāo)準(zhǔn)的非對(duì)稱、對(duì)稱和hashtag函數(shù)的加密功能

結(jié)論

工業(yè)4.0是一場不斷深化的革命，其廣泛採用依賴於強(qiáng)健的端到端安全解決方案?；盾涹w的安全和加密功能實(shí)現(xiàn)容易存在弱點(diǎn)並遭到惡意利用。

相比之下，當(dāng)今基於硬體的解決方案利用了具有內(nèi)建先進(jìn)安全可程式設(shè)計(jì)功能的FPGA，以及硬體、設(shè)計(jì)和資料中的安全層。這可提供旨在防止客戶IP遭到竊取或過度構(gòu)建的硬體。這些資料安全功能的範(fàn)例之一是用於抵禦邊通道攻擊的DPA保護(hù)功能，這通常是一種獲得許可的專利功能。

此外，基於物理不可複製函數(shù)（PUF）的安全金鑰管理解決方案，以及支援符合行業(yè)標(biāo)準(zhǔn)的非對(duì)稱、對(duì)稱和hashtag函數(shù)的軟體可程式設(shè)計(jì)，防邊通道攻擊加密處理器也同樣重要。

基於硬體的解決方案為打造真正靈活、安全的系統(tǒng)鋪平了道路。憑藉極高的可程式設(shè)計(jì)性、出色的效能和極佳的功耗等優(yōu)勢，基於硬體的FPGA安全解決方案，將成為實(shí)現(xiàn)重要安全效能的不二之選。FPGA整合了防邊通道攻擊加密加速器，其中包含防篡改/防禦措施，可保護(hù)客戶的智慧財(cái)產(chǎn)權(quán)，並提供可信的供應(yīng)鏈管理，為開發(fā)安全系統(tǒng)提供一個(gè)安全平臺(tái)。

（本文作者Apurva Peri為Microchip公司資深FPGA產(chǎn)品行銷工程師）