当我们将一切都连接起来时,一切也都处于危险之中。智能家居物联网(IoT)设备的激增,引发了用户对安全和隐私的担忧。通过实施硬件信任根(RoT),就可以加强设备的真实性、完整性和机密性,从而保护智能家居免受潜在攻击者的侵害。
我们永远不应将物联网的安全作为事后的想法。多年来,网络攻击变得更加频繁、复杂、狡猾和具有针对性。从语音助手到婴儿监视器再到智能供暖系统,数十亿智能家居设备现在很容易受到端点入侵。
为了建立信任基础,物联网设备制造商需要将身份和密钥放入其设备中,从而确保这些资产的安全。Intrinsic ID是荷兰皇家飞利浦电子公司的衍生公司,它开发了基于物理不可克隆功能(PUF)的IP解决方案,以保护连接设备的安全。
随着每个家庭的物联网设备的爆炸式增长,确保数据安全和隐私保护变得至关重要。每个设备都可能代表恶意入侵的入口点,从设备本身到它所连接的网络。
硬件信任根是保护智能家居端点和服务的基础。它通过创建唯一、不可变且不可克隆的身份来授权物联网网络中的设备,从而为信任链建立一个锚点。
多年来,PUF一直被部署为硬件信任根。PUF是一种物理结构,从中即可创建设备唯一且不可克隆的加密密钥。它利用了芯片制造过程中自然发生的深亚微米变化,并赋予了每个晶体管略微随机的电气特性。
使用PUF保护设备的方法有多种。总部位于荷兰埃因霍温的Intrinsic ID建立了基于静态随机存取存储器(SRAM)PUF的信任基础。
Intrinsic ID的首席执行官Pim Tuyls在接受笔者采访时解释道:“为了以非常安全和可扩展的方式构建信任根,我们从芯片本身的硬件中提取凭证。由于制造过程的不同,每个芯片在物理上都是不同的。”
Pim Tuyls(图片来源:Intrinsic ID)
Tuyls继续说道:“制造芯片时会对硅进行掺杂,以确保晶体管获得一些电气特性。这种掺杂无法实现100%控制,结果就是芯片上的每个晶体管都有独特的阈值电压。”
晶体管的阈值电压不同,但不能相差太大,否则芯片将无法正常工作。当晶体管的物理特性发生变化时,它们都会或多或少地以相同的值发生变化。
当SRAM通电时,随机性以SRAM单元的启动值(0或1)进行表示,而这些启动值也就创建了每个芯片所独有的高度随机且可重复的模式,Tuyls解释说。每个数字芯片中都有SRAM,每个节点都有SRAM。当电源接通时,每个单元都会选择唯一的随机模式0和1。这种模式会产生硅指纹,进而就可将其用作芯片的唯一标识符,并用它来构建安全子系统的基础。并且当设备断电时,在任何存储器中都找不到密钥。根密钥对于黑客来说是“不可见的”。
“SRAM是易失性的,这意味着如果关闭芯片电源,所有值都会消失。”Tuyls表示,“内存中没有任何痕迹,因此即使黑客破解了设备,他们也不会发现任何秘密。它们受到物理保护,这使得安全级别大大高于传统系统中所可能达到的水平。”
SRAM PUF不存储密钥,未存储的内容无法被窃取、克隆和共享。SRAM PUF可保护机密免受逆向工程攻击。它们还很灵活、可扩展、易于使用并且成本低廉,Tuyls声称。
“保守”秘密(图片来源:Intrinsic ID)
SRAM PUF可用于派生出设备的唯一加密密钥。由于SRAM PUF的响应是噪声指纹,因此需要运用后处理算法将硅指纹转换为高质量且安全的密钥。这是通过Intrinsic ID的IP完成的。
“我们开发了一种算法,可以从SRAM的启动值中提取一个独特且非常稳定的序列——‘独特’,是因为没有其他芯片是相同的;‘稳定’,则是因为无论是在凤凰城还是在阿拉斯加使用该芯片,或者25年后,我们总会得到相同的序列。”Tuyls解释说。
这些算法涉及纠错,以便在所有环境条件下每次都能准确提取出加密密钥。它们还涉及到熵提取或隐私放大,以确保加密密钥完全随机。
在智能家居中,需要用加密密钥来验证设备的身份、保护设备之间的通信,以及加密静态和传输中的敏感数据。它们为物联网设备创建了信任链。
所有电子设备都会随着时间的推移而逐渐发生变化。它们会慢慢老化,而导致SRAM故障的主要退化效应是负偏压温度不稳定性(NBTI)。这会导致阈值电压逐渐增加。
如果不采取抗老化对策,SRAM PUF的可靠性往往会降低。
“借助我们的SRAM PUF,我们可以利用NBTI现象,将特定模式写入SRAM,而使每个SRAM单元老化到其首选启动值。”Tuyls表示,“我们可以使SRAM朝正确的方向老化,以降低噪声并保证其长期可靠性。”
SRAM PUF的行为特征取决于其所处的环境,例如环境温度、电源电压变化和电磁干扰。Intrinsic ID声称已经对SRAM PUF进行了数百万次测量和加速老化测试,以确保它们在–55℃至150℃的温度范围内和±20%的电压变化范围内正常工作。
Intrinsic ID将纠错、随机性提取、安全和抗老化技术集成到其产品中。如今,该公司基于SRAM的PUF已部署在MCU、FPGA、传感器、数据中心芯片和银行卡中。
随着客户添加新功能,他们的安全期望不断提高,对认证和标准化的需求也变得更加迫切。Intrinsic ID的硬件和软件IP已通过NIST加密算法验证计划(CAVP)认证。它们还被部署在了经过EMVCo、Visa、CC EAL6+、PSA、ioXt和世界各地政府认证的器件中。
“我们看到2023年的趋势之一是Matter协议的采用。”Intrinsic ID产品营销总监Vincent van der Leest表示。Matter的前身为IP互联家庭项目(CHIP),是一种开源互操作性标准,旨在使智能家居设备安全、可靠且无缝使用。2022年11月,连接标准联盟(CSA)发布了硬件和软件的Matter 1.0标准。
Van der Leest表示,NXP和Silicon Labs两家公司均已使用Intrinsic ID的信任根技术发布了符合Matter标准的芯片组。
(原文刊登于EDN姊妹网站EE Times,参考链接:Hardware RoT: The Key to IoT Security in Smart Homes,由Franklin Zhao编译。)
本文为《电子技术设计》2023年9月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。
最前沿的电子设计资讯
