隨著5G商用落地，物聯網產業加速發展，互連設備與日劇增，由此帶來的安全問題也日益凸顯，不容忽視。近期，萊迪思推出了具有動態信任的端到端供應鏈保護解決方案，該方案由Sentry解決方案和SupplyGuard服務組成，守護通信、數據中心、工業、汽車、航空航天和客戶計算等領域的各類應用的安全。

固件保護迫在眉睫

據美國國家信息安全漏洞數據庫提供的數據，從2016年到2019年，因固件漏洞而導致的入侵增長了將近七倍，造成這種增長的原因主要有兩方面：一是傳統安全性保護都在上層軟件或者OS層，而固件這一層并沒有受到足夠的重視；二是在線硬件產品越來越多，不管是云端、管道還是終端設備，基本上都有相應的固件存在，隨著在線設備數量增加，暴露出來的漏洞數量也會增長。

Gartner公司預計，如果2022年公司還沒有實施及時的固件升級計劃，補上固件安全性的漏洞，那么兩年后將會有70%的公司因為固件漏洞遭到各種入侵。

與此同時，以前很多安全措施需要人員到現場進行操作，由于新冠疫情的影響，很多人員無法到現場對設備實施安全保護，只能進行遠程管理、升級和操作，如果遠程操作沒有足夠的安全性保護，就會有一些中短期的風險存在。

可以說，固件保護已經迫在眉睫！

針對于固件攻擊的保護，業界通用的標準是美國國家標準與技術研究所（NIST）2018年發布的NIST SP 800 193標準。它定義了一種標準的安全機制，稱為平臺固件保護恢復（PFR）。PFR主要基于三個指導原則：一是能夠檢測到對固件的攻擊；二是保護，在固件遇到非法的讀寫操作時對這些非法的行動進行阻止，并匯報給上層軟件，發出警告信息；三是即使在固件遭到破壞的情況下，也能夠進行恢復。

萊迪思Sentry解決方案就是以這個標準為藍圖和基準做的一系列開發工具。

Sentry解決方案

萊迪思半導體亞太區應用工程（AE）總監謝征帆介紹道：“除了硬件、開發工具，萊迪思還給客戶提供了一系列配套的產品，讓客戶可以針對某一個應用盡快上手，解決客戶的痛點并且在量產的過程中提供支持工作。”

Sentry是萊迪思最新推出的第三個Solution Stack，包括底層基于MachXO3D的硬件平臺、一系列的IP核、軟件工具、參考設計、演示示例和一些定制化服務，六大塊融合在一起，用來解決固件保護的問題。

傳統的硬件平臺架構中，每一顆硬件的芯片都是與自己的固件Flash直接交流，各行其是，固件的安全性保護也是由每一顆芯片自己負責。萊迪思的XO3D和Sentry應用方案在芯片和固件之間加了一層額外的保護，從硬件角度，由兩個部分組成，一個是XO3D和里面的Sentry軟件，另一個就是快速開關。

Sentry工作原理：在硬件平臺啟動上電，Time0時，XO3D使上面所有其他芯片處于復位狀態，先不工作，由XO3D芯片對上面每一塊固件做一個加密驗證，只有驗證通過以后，才能夠確認這個固件沒有遭到非法篡改，才把MCU、CPU等芯片的復位信號釋放掉，就可以正常啟動；當這些芯片進入正常工作流程后， XO3D芯片會繼續實時監控固件數據總線上的traffic，有任何非法的攻擊，都能夠檢測到；檢測到非法入侵時即將它禁止，同時向上層軟件進行匯報，通知其進行下一步處理；如果固件有任何的損失或修改，XO3D芯片還可以獨立進行恢復操作，把它恢復到正常狀態。

“Sentry解決方案是符合行業規范和標準的，能夠給客戶帶來的最大的好處就是可以大大幫助他們縮短產品的上市時間，從以前的10個月縮短到6周左右?！?謝征帆指出。

此外，Sentry解決方案采用基于RISC-V的軟件設計，提供了Sentry基于RISC-V的C代碼，用戶可直接使用；在有需求時，只需修改相應的C參考源代碼便能完全實現PFR。也就是說，不需要有FPGA的設計經驗，只要擁有C代碼的開發經驗就能輕松使用Sentry解決方案。對于沒有FPGA設計經驗的用戶非常友好，給客戶提供了足夠多的靈活性，同時又減少了底層block的開發初始所需要的工作量。

總結來看，萊迪思Sentry解決方案集合的主要特性如下：

? 硬件安全功能——Sentry解決方案集合提供經過預驗證、符合NIST的PFR實現方案，可在系統啟動期間和之后對所有系統固件實施嚴格的實時訪問控制。若檢測到損壞的固件，Sentry可以自動回滾到固件之前已知的完好版本，確保安全的系統操作不會中斷。

? 符合最新的NIST SP-800-193標準，通過CAVP認證——該解決方案集合通過支持嚴格加密的萊迪思MachXO3D? FPGA系列器件實現硬件RoT。

? 易于使用——開發人員可以在沒有任何FPGA設計經驗的情況下，將Sentry經過驗證的IP模塊拖放到Lattice Propel設計環境中，修改所給的RISC-V C語言參考代碼。

? 縮短上市時間——Sentry解決方案集合提供預驗證和經過測試的應用演示、參考設計和開發板，可以將PFR應用的開發時間從10個月縮短到僅僅6周。

? 靈活、適用于所有平臺的安全解決方案——Sentry為固件和可編程外設提供全方位、實時的PFR支持。它可以用作系統中的RoT和/或補充現有的基于BMC/MCU/TPM的體系，使之完全符合NIST SP-800-193標準。

SupplyGuard設計服務

在沒有安全性保障時，傳統供應鏈里可能會遇到克隆、過度構建、惡意后門、盜竊、惡意外設、設備劫持等各種安全隱患。以往安全的供應鏈，所有的CM廠商都需要安裝一臺HSM設備，通過HSM設備與OEM之間建立安全通信，而HSM設備通常是比較昂貴的，并且CM廠商需要有一個安全的環境。

萊迪思SupplyGuard在一個非安全的環境下也能構建授權產品，而沒有經過OEM廠商授權的組件會被阻止。通過一對lock和unlock的密鑰對平臺和系統進行最嚴格的保護，來實現端到端的安全供應鏈的保護。既能夠享受到合適的成本，也能夠解決現實中遇到的問題，這是SupplyGuard給客戶帶來的最大優勢。

謝征帆表示：“SupplyGuard設計服務提供供應鏈端到端的保護，即從芯片原廠生產開始，到經過OEM廠商，到CM生產，到客戶現場交付，再到產品最后的報廢整個流程中，都會有供應鏈保護，提供一個持久的信任?！?/p>

SupplyGuard工作原理：在IC組裝工廠里，客戶需要SupplyGuard服務時，先下訂單；下單后生成一對Key（lock key和unlock key），key可以針對某個客戶，也可以針對具體某個項目；在組裝工廠里，萊迪思將lock key燒錄到發貨芯片里面，同時把unlock key通過一個安全通道交給客戶；客戶的研發部門首先通過常規的FPGA開發流程來進行FPGA開發，在最后一個階段，把已經開發完的FPGA要寫的文件用unlock key進行加密和簽名，有了經過加密和簽名保護的bit文件以后，客戶就可以把這個bit文件給到CM廠商進行產品的系統生產，同時也會根據客戶的要求把帶有lock key的芯片同時發到CM廠商進行組裝；加密芯片和bit文件都來到CM廠商以后，已被lock的設備只接受加密和簽名以后的bit文件，惡意的bit文件無法被燒錄到芯片里，保證安全芯片的程序注入。

通過SupplyGuard的服務，加密的代碼只能燒寫到與之對應的key的芯片里，這樣起到了一個雙向的保護，既防止了非法的bit文件燒寫到lock的設備里面，也防止了正版的代碼被燒寫到空芯片里。有了這兩個互相依存的功能，最終就能夠生產出安全可靠的產品。

對于客戶來講，SupplyGuard服務的好處主要有兩方面：一是降低成本，不需要在CM廠部署安全設備；二是，即使將來要更換不同的CM廠商，也不會對CM廠商的安全性有任何要求，增加了靈活性。

談及不同應用領域端到端供應鏈的差異化問題，謝征帆表示，萊迪思可以對不同行業客戶提供設計服務，結合客戶對行業的理解和實際需求，與萊迪思設計團隊對供應鏈安全的經驗，合作開發相關的解決方案。此外，萊迪思也充分考慮到了中小企業快速多樣化的需求和成本敏感性，在Sentry解決方案中強調靈活性和可重用性，在SupplyGuard服務中大幅降低TCO。同時萊迪思強大的現場支持隊伍也可以幫助中小企業解決從方案到設計直至最后量產的整個過程。