帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
專攻低功耗工業4.0應用 可程式化安全功能添防禦
 

【作者: Apurva Peri】   2022年11月24日 星期四

瀏覽人次:【5255】

為了確實防禦智慧工廠裡的控制系統,本文概述FPGA如何推進縱深防禦方法的發展以開發安全應用程式,以及安全功能在硬體、設計和資料中的作用,以及如何在安全性的三個要素基礎上構建應用程式。


安全性是醫療、工業、汽車和通訊領域的一個重大問題。許多行業都在採用基於智慧型互聯網的機器和系統,去優化連網機器和系統的程序及流程。這些系統容易受到惡意攻擊與未知軟體錯誤的影響,而遠端控制甚至可能導致實體安全問題,因此必須防止未經授權的存取或非法控制。


工業發展的最新篇章,也就是常說的第四次工業革命(亦稱工業4.0),開創了創新和發展的新紀元,但本身也存在一系列危險和挑戰。工業4.0定義了系統、網路、機器和人類之間的通訊和互聯互通,其中包含物聯網(IoT),這將複雜性推向了新的高度。雖然互聯互通具有提高效率、即時識別和糾正缺陷、預測性維護,以及改進各種功能之間的協作等優勢,但這些優勢也會明顯增加智慧工廠或自動化生產基地的安全性漏洞。


「網路」安全不再局限於特定的操作或系統,還會傳播到工廠廠房或工業網路上的每一台設備。智慧工廠裡的控制系統,包括PLC、感測器、嵌入式系統和工業IoT設備,其受到的安全威脅在全球範圍內呈上升趨勢。基於雲端執行的遠端系統管理,也帶來了篡改、注入惡意內容等實體攻擊的風險。


本文概述FPGA如何推進縱深防禦方法的發展以開發安全應用程式,這是在工業4.0的推動下,滿足IoT和邊緣運算迅速增長的需求的必經之路。本文介紹安全功能在硬體、設計和資料中的作用,以及如何在安全性的三個要素(機密性、完整性和真實性)基礎上構建應用程式。



圖1 :  一個可靠的安全系統必須具備三個核心元素:可信、防篡改及資訊保障。
圖1 : 一個可靠的安全系統必須具備三個核心元素:可信、防篡改及資訊保障。

一個可靠的安全系統必須具備以下三個核心元素:


‧ 可信:保證資料來源可靠、獲得授權且經過身份驗證


‧ 防篡改:確認設備沒有受到任何干擾


‧ 資訊保障:以安全的方式使用、處理和傳輸系統中的資料


透過FPGA實現硬體安全功能

基於軟體的單一安全方法在生命週期、可程式設計性、功耗效率、外形等方面存在不足,在當前的工業4.0環境下,不足以達到滿足需求的安全等級,因此必須採用縱深防禦安全機制,透過安全層加強硬體的防禦能力。


如今,大多數安全框架都採用軟體實現,其中包含編譯為在通用控制器或處理器上運行的加密庫。這些軟體作法暴露了更大的易受攻擊範圍以及許多潛在攻擊點,例如作業系統、驅動程式、軟體協定堆疊、記憶體和軟鍵。此外,軟體作法可能未針對效能和功率進行優化,因此會帶來設計挑戰。


在工業系統的整個生命週期中,這些系統需要長期維護,同時協定堆疊、程式庫等方面也需要經常更新,這些工作十分繁瑣且成本高昂。原則上,底層硬體必須在其結構中整合安全功能,以防止靜態和動態逆向工程、篡改和偽造攻擊。


因此,基於可程式設計硬體的安全功能已成為一種全面、強健的解決方案,適用於節能工業IoT和邊緣應用,尤其是採用FPGA的解決方案。除了提高系統的安全效能外,FPGA還可提高應用程式的安全等級。FPGA必須將關鍵安全性群組件整合到硬體、設計和資料中,以提供真正強健的解決方案,以下內容將對此加以討論。



圖2 : FPGA必須將關鍵安全性群組件整合到硬體、設計和資料中。
圖2 : FPGA必須將關鍵安全性群組件整合到硬體、設計和資料中。

保證FPGA硬體的安全

在製造地點或透過供應鏈運輸的過程中,硬體可能會在部署前或預程式設計時受到攻擊。安全的生產系統支援在不太可信的製造環境中加密和配置FPGA,控制程式設計元件的數量,並以加密控制的方式審計製造過程;其結構必須可以避免複製品、惡意程式設計的FPGA和未經驗證的元件。


保證FPGA設計的安全

設計安全性離不開安全的硬體平台,這類平台既可為設計提供機密性和身份驗證,又能監視環境中的實體攻擊。旁路攻擊(Side-Channel Attack;SCA)會破壞燒寫到元件中的位元流,因此可能會對整合了加密機制的FPGA造成嚴重威脅。


SCA試圖透過測量或分析各種物理參數,例如電源電流、執行時間和電磁輻射,從晶片或系統中提取機密資訊。無論是非揮發性FPGA還是SRAM FPGA,燒錄或「載入」FPGA的過程都需要具備抵禦邊通道攻擊的能力。


主動監視元件環境是另一種防止FPGA設計受到半侵入式和侵入式攻擊的手段。電壓、溫度和時鐘頻率的波動,可能顯示有人試圖進行篡改。防篡改FPGA提供可客製化的回應來抵禦攻擊,其中包括完全抹除元件,從而使其對攻擊者毫無用處。


保證FPGA資料的安全

最後,除了確保硬體和設計的安全,FPGA還必須提供保護應用程式資料的技術,這包括不同方法的組合:


‧ 真亂數產生器(TRNG),用於構建符合NIST標準的安全協議,並提供隨機性來源以產生用於加密操作的金鑰


‧ 透過物理不可複製功能(PUF)生成根金鑰。PUF可利用在半導體生產過程中自然發生的亞微細粒變化,並賦予每個電晶體略微隨機的電氣特性和惟一身份,類似於人類的指紋,每一個都獨一無二


‧ 受金鑰保護的安全記憶體


‧ 能夠執行符合行業標準的非對稱、對稱和hashtag函數的加密功能


結論

工業4.0是一場不斷深化的革命,其廣泛採用依賴於強健的端到端安全解決方案。基於軟體的安全和加密功能實現容易存在弱點並遭到惡意利用。


相比之下,當今基於硬體的解決方案利用了具有內建先進安全可程式設計功能的FPGA,以及硬體、設計和資料中的安全層。這可提供旨在防止客戶IP遭到竊取或過度構建的硬體。這些資料安全功能的範例之一是用於抵禦邊通道攻擊的DPA保護功能,這通常是一種獲得許可的專利功能。


此外,基於物理不可複製函數(PUF)的安全金鑰管理解決方案,以及支援符合行業標準的非對稱、對稱和hashtag函數的軟體可程式設計,防邊通道攻擊加密處理器也同樣重要。


基於硬體的解決方案為打造真正靈活、安全的系統鋪平了道路。憑藉極高的可程式設計性、出色的效能和極佳的功耗等優勢,基於硬體的FPGA安全解決方案,將成為實現重要安全效能的不二之選。FPGA整合了防邊通道攻擊加密加速器,其中包含防篡改/防禦措施,可保護客戶的智慧財產權,並提供可信的供應鏈管理,為開發安全系統提供一個安全平台。


(本文作者Apurva Peri為Microchip公司資深FPGA產品行銷工程師)


相關文章
物聯網結合邊緣 AI 的新一波浪潮
低功耗通訊模組 滿足物聯網市場關鍵需求
為嵌入式系統注入澎湃動力 開啟高效能新紀元
EdgeLock 2GO程式設計簡化設備配置
FPGA開啟下一個AI應用創新時代
comments powered by Disqus
相關討論
  相關新聞
» 高效能磁浮離心冰水機降低溫室效應 工研院助大廠空調節電60%
» 傳產及半導體業共享淨零轉型成果 產官學研聯手打造淨零未來
» 聯合國氣候會議COP29閉幕 聚焦AI資料中心節能與淨零建築
» 大同智能與台電聯手布局減碳 啟用冬山超高壓變電所儲能系統
» 台達能源「以大帶小」 攜手供應鏈夥伴低碳轉型


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.117.168.71
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw