近年來,電子元件的仿冒已經成為一個現實問題。這種詐欺行為已經為那些具有最高利潤的高價值元件帶來負面的影響了。使用智慧型IC,可以盡可能減少或減輕在供應鏈中出現的詐欺。美高森美已經針對供應鏈保證(supply chain assurance)問題開發出了一種加密解決方案,可在SmartFusion®2系統單晶片(System-on-Chip,SoC) FPGA中確保最高級別的安全性和防止被仿冒。仿冒高價值元件的常見機制包括如下:
升級元件
- 將較便宜元件的款式重新標示為較昂貴的元件
- 將已使用的元件回收並當作新的元件轉售
- 從已使用的系統中拆卸後,不保證可可靠地運行
- 晶圓代工廠、測試供應商或內部人士生產超出訂單數量的產品
可能詐欺性地提供測試不合格的部件
在軍事或其它安全系統中,最終使用者已預先承擔了仿冒元件的責任。更換、重新設計或重建設備來糾正偽造元件的部署,其成本將依賴其個別的服務點和它的預算。隨著偽造元件的增加,美國在2012會計年度的國防授權法(Defense Authorization Act,NDAA)第818章節(Sec. 818)檢測和避免假冒電子部件中,將糾正措施的責任放在國防部的主承包商上。
兩種形式的仿冒解決方案
針對偽造問題的建議答案有兩種形式:
流程解決方案(process solution):
- 只向經過認可的供應商購買,可大幅降低風險
- 如果經過認可的通路中的元件是假冒的,要怎麼辦呢?
技術解決方案:明確地識別合法元件
- 需要強大的防篡改和難以欺騙的技術
- 幾乎和生產控制一樣優良,例如產銷監管鏈ID技術
視被保護的元件是什麼,各種不同的供應鏈保證技術解決方案都是可能的。某些識別技術比其它技術更容易被偽造;某些可能僅將元件當作大致類別中的一員來識別,而非個別識別。無論如何,必須要控制所使用的ID技術之關鍵要素。假如偽造者可以使用這些識別技術,該識別技術就可能會變得幾乎毫無價值。通過智慧型IC,就可以採用最強大的已知技術,它至少具有以下一些特性:
- 嵌入式非揮發性記憶體
- 足夠的計算能力來執行即時加密演算法
- 用於資料交換的數位通訊介面
- 內建硬體級(hardware-level)安全性
美高森美的SmartFusion2 SoC FPGA 之所以是開發具有強大技術防偽解決方案的理想選擇,是因為它們擁有所有上述特性。美高森美的解決方案具有以下特點:
- 加密元件憑證可個別地識別出合法的元件
- 極其強大的功能,防止篡改,並難以欺騙
- 可被安裝在美高森美生產設施中的FIPS PUB 140-2 Level 3加密控制保護
美國國家標準與技術研究院(National Institute of Standards and Technology)的FIPS PUB 140標準規定的控制技術,可用於保護具有很高價值的資產,甚至包括國家機密。與其他任何基於流程或技術的識別技術相比較,安全性依賴於加密系統和這些已證明的控制能力的元件識別技術,是非常強大的。
供應鏈保證
任何智慧型電子元件在其供應鏈中都要經歷過幾個階段:
- 由原始元件製造商(original component manufacturer, OCM)來設計
- 晶圓製造
- 晶圓測試
- 裝配和裝箱
- 配送
- 在電子系統中使用
圖1:供應鏈保證
由OCM進行的元件設計和製造是流程中最值得信賴的部分。然而,沒有強大的防偽解決方案,晶圓測試、裝配和裝箱就並非如此,而且經銷管道,尤其是那些非經OCM授權的經銷通道,都充滿著風險。目標是以早期有效的信賴為基礎,並且進一步擴展此流程第一個階段中的信賴,從而進一步沿著供應鏈擴展,最終使假冒元件無法加入到供應鏈以至進入電子系統中。
硬體安全模組
通過使用外部硬體,就可以對於每一個指定的獨立元件進行晶圓鑒定、注入獨特的密鑰和數位憑證簽名,它們是每一個別元件所特有的。硬體安全模組(hardware security module, HSM) 是一種可防止篡改、防止證據被破壞、安全增強的電腦,可在遠端晶圓測試或裝配地點上來執行晶圓鑒定、密鑰注入和憑證簽名等功能。
雖然HSM位於可能不太安全的遠端位置,但它可以用於安全地儲存和操作私人密鑰。假如HSM被篡改,它將會刪除它所包含的任何敏感性資料如密鑰,以免被提取。對於一個不想因為信任問題而失去業務的合同製造商來說,害怕留下篡改證據是使他們依照規章辦事的有力激勵因素。
HSM使用在最低的電晶體和互連水準上設計的鑒定特性,初步證實測試的元件和晶圓是符合預期的產品,然後才產生注入到元件中的密鑰。對於個別元件而言,該密鑰是獨一無二的,且採用指定的準確參數,僅通過驗證元件就可防止此類元件的升級。使用公開密鑰的方法,可以驗證HSM和元件之間的所有通訊並進行加密保護。
數位憑證
密鑰在晶圓測試階段注入元件後,數位憑證便在裝配和裝箱階段注入元件中。該憑證含有許多欄位,包括下列:
- OCM識別字
- 元件序號
- 型號以及分級資訊
- 裝配日期代碼
- 與憑證以及先前注入密鑰有密切關係的資料
HSM確保只有良好的元件會收到憑證,這可防止不合格元件被當作是好的產品。HSM安全地記錄每張憑證,因而OCM可準確地知道發出了多少憑證。由於該憑證在測試和裝箱後才注入,因此包含有已驗證的元件分級資訊。這有助於當用戶檢測元件時,若測試的速度和溫度等級比包裝上方標誌所指示的低,則該元件有可能是偽造的(修改過的)。日期代碼顯示元件何時裝配,並且與分級資訊一樣,可與部件標誌相互比較以檢測真偽。對於以電子方式識別需要額外篩選以確保是全新且未曾使用過的較早元件,這種對比方法對此也是有幫助的。
使用僅為OCM所知的密鑰,此憑證由OCM(本例中為美高森美)簽署,但校驗憑證的密鑰可以公開。任何擁有合適技術和OCM公開密鑰的人都可以讀取和校驗元件憑證,因此可以證明採用加密的高保證等級憑證中的資料欄沒有被篡改,並且可證明憑證是由OCM簽署的。憑證可以在以下各種場合查驗:
- 收到元件(進貨檢驗)
- 產品裝配、編程和測試
- 收到最終系統級(system-level)產品
- 在最終產品部署到現場後
作為篩選流程的一部分,例如按照訂單檢查已交付元件,SmartFusion2 SoC FPGA可在以下情況獲得驗證:
- 使用美高森美的公開密鑰,驗證憑證的完整性和簽名
- 可在憑證註銷列表(certificate revocation list)上檢查憑證
- 驗證元件可知道儲存在元件中並與憑證關係密切元件的唯一密鑰
這可證明此一憑證屬於此一特定元件,而不是屬於其它元件憑證的副本
元件還可以檢查提供給它的任何資料可與其憑證中的參數匹配
憑證註銷列表
任何憑證都可以被OCM註銷,只要把該憑證加入到針對該元件類型的適當憑證註銷列表中即可。CRL記述了不管任何理由都不再受到信任的憑證。
下面是CRL更新時的一些實例:
- 存貨再測試不合格
- 生產缺陷
- 現場應用淘汰
- 元件被竊走
- 檢測到元件已被篡改
物理上不可被複製的功能
為提供真正的元件結合(device binding),可以使用一種具有高度可重複性和個性化的固有物理特性,此行為被稱為物理不可被複製功能(physically unclonable function, PUF)。在電子電路中,任何內部SRAM記憶體,在寫入前的上電時,將包含隨機採集的1和0,這主要是由每個存儲單元的奈米級(nano-scale)個別製造差異(加上某些雜訊) 所造成的,從上電(power-up)到上電(power-up),其在很大程度上是可複製的(在所有測試條件下,通常可重複性高於80%)。個別元件的這種1和0的獨特模式,可用來識別該特定元件,類似於指紋可提供人的生物識別的方式。以加密的方式將“矽生物識別”與數位簽章元件憑證結合,提供了今天所知的最強大、最具防篡改特性並難以偽造的方法,以便確保智慧型元件的純正性。
結論
在SmartFusion2 SoC FPGA的編程期間,配置位元串流依照由元件憑證和獨一無二的元件密鑰證明的參數被驗證。此技術的使用提供了最佳的有效保證,使編程中的元件免受供應鏈仿冒問題的影響:
- 元件的升級
- 將已使用的元件回收並作為新元件轉售
- 由晶圓代工廠或測試供應商或內部人士生產超出訂單數量的產品
從設計與製造到使用者程式設計和現場操作部署,完整的SmartFusion2 SoC FPGA防偽解決方案為完全安全的供應鏈提供了所需要的功能和生產控制。