Lattice Sentry 4.0 PFR解決方案：構(gòu)建“不可侵犯”的安全邊界

在全球數(shù)字化加速的背景下，網(wǎng)絡(luò)威脅呈現(xiàn)爆發(fā)式增長。傳統(tǒng)依賴軟件層的安全防護(hù)體系漏洞頻發(fā)，以供應(yīng)鏈植入惡意代碼、勒索軟件篡改系統(tǒng)鏡像為典型代表的固件攻擊，成為核心風(fēng)險(xiǎn)點(diǎn)。與此同時(shí)，量子計(jì)算對(duì)傳統(tǒng)加密算法的威脅、物聯(lián)網(wǎng)設(shè)備的海量部署、以及嚴(yán)苛的合規(guī)要求(如NIST SP-800-193、NSA CNSA套件、歐盟DORA/CRA法案)，也迫使企業(yè)開始考慮從硬件層構(gòu)建主動(dòng)防御體系。

在此背景下，Lattice Sentry 4.0平臺(tái)固件保護(hù)恢復(fù)(Platform Firmware Resilient, PFR)解決方案應(yīng)運(yùn)而生，其核心價(jià)值在于通過硬件可信根(HRoT)與多層安全架構(gòu)，實(shí)現(xiàn)固件全生命周期的保護(hù)、檢測(cè)、恢復(fù)閉環(huán)，填補(bǔ)傳統(tǒng)TPM/MCU方案在實(shí)時(shí)性、主動(dòng)防御和多外設(shè)監(jiān)控上的短板。

Sentry解決方案：防止各類源頭的攻擊

作為符合NIST SP-800-193標(biāo)準(zhǔn)的硬件級(jí)方案，Sentry 4.0不僅滿足法規(guī)合規(guī)要求，更以FPGA的可重構(gòu)特性，為設(shè)備提供從制造到退役的持續(xù)安全防護(hù)，應(yīng)對(duì)動(dòng)態(tài)威脅演進(jìn)。

加速安全開發(fā)的全棧能力

作為一套真正從固件級(jí)別做起的網(wǎng)絡(luò)保護(hù)恢復(fù)系統(tǒng)，Lattice Sentry解決方案集合由MachXO3D/Mach-NX FPGA/MachXO5D-NX底層硬件平臺(tái)、一系列經(jīng)過預(yù)驗(yàn)證和測(cè)試的IP核、軟件工具、參考設(shè)計(jì)、演示示例和定制設(shè)計(jì)服務(wù)共同構(gòu)成。得益于此，PFR應(yīng)用的開發(fā)時(shí)間可以從10個(gè)月縮短到6周。

Lattice Sentry解決方案集合4.0

MachXO5D-NX支持AES256位流加密和ECC256身份認(rèn)證，保護(hù)系統(tǒng)設(shè)計(jì)的完整性。特色賣點(diǎn)之一是提供加密敏捷算法、集成閃存的硬件可信根功能以及故障安全(fail-safe)遠(yuǎn)程現(xiàn)場(chǎng)更新功能，實(shí)現(xiàn)可靠和安全的產(chǎn)品生命周期管理；賣點(diǎn)之二是安全引擎可在運(yùn)行時(shí)使用，保護(hù)系統(tǒng)和FPGA之間的數(shù)據(jù)交換。相比之下，同類FPGA競(jìng)品目前還不能提供運(yùn)行期間的安全功能。

MachXO5-55TD Sentry 4.0框圖

基于此，以MachXO3D?、MachXO5D-NX?和Mach-NX?為代表的萊迪思安全與控制FPGA系列，能夠成為強(qiáng)大的HRoT基石，擁有用于自我驗(yàn)證的、安全、不可變的唯一ID、快速的安全啟動(dòng)以及一整套經(jīng)過驗(yàn)證的器件原生安全服務(wù)，這確保了系統(tǒng)的完整性并降低未經(jīng)授權(quán)的訪問風(fēng)險(xiǎn)。同時(shí)，憑借其集成的雙引導(dǎo)可鎖定閃存功能，它們能夠抵御“拒絕服務(wù)”攻擊，確保系統(tǒng)中始終存在持續(xù)的信任基礎(chǔ)。與其他所有萊迪思FPGA一樣，這些器件也具有小尺寸、高能效的特點(diǎn)，適用于各種系統(tǒng)設(shè)計(jì)。

在最新的Sentry 4.0版本中，支持在通信、計(jì)算、工業(yè)和汽車應(yīng)用中開發(fā)符合美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)安全機(jī)制(NIST SP-800-193)標(biāo)準(zhǔn)的PFR解決方案，以及硬件層面支持最新的MachXO5D-NX系列器件，成為了最大亮點(diǎn)。具體體現(xiàn)在以下四方面：

• 帶有I2C外設(shè)攻擊保護(hù)演示的多QSPI/SPI監(jiān)控
• 支持安全協(xié)議和數(shù)據(jù)模型(SPDM)和管理組件傳輸協(xié)議(MCTP)，實(shí)現(xiàn)高效的平臺(tái)管理以及安全無縫的服務(wù)器操作
• 全新的設(shè)計(jì)工作區(qū)模板參考設(shè)計(jì)，支持PFR 4.0解決方案、I3C和更新的加密算法(ECC384/512)且完全兼容數(shù)據(jù)中心安全控制模塊(DC-SCM)
• 擴(kuò)展了即插即用設(shè)計(jì)工具和參考設(shè)計(jì)，包括工作區(qū)模板、策略、配置和清單生成器

Sentry解決方案的功能和器件比較

IP模塊實(shí)現(xiàn)的比較

此外，萊迪思Sentry為客戶提供了一種簡化的配置和定制PFR解決方案的方法，該解決方案是針對(duì)其安全環(huán)境的獨(dú)特復(fù)雜性量身定制的。在許多情況下，可以通過修改隨附的RISC-V? C源代碼來開發(fā)功能齊全的系統(tǒng)級(jí)PFR解決方案。

深度解析Sentry 4.0 PFR技術(shù)架構(gòu)

如前文所述，Lattice Sentry 4.0以硬件可信根為核心，通過分層密鑰管理、靈活架構(gòu)設(shè)計(jì)與精細(xì)化接口控制，構(gòu)建了覆蓋固件全生命周期的安全體系。其雙閃存冗余、實(shí)時(shí)監(jiān)控與快速恢復(fù)能力，可有效應(yīng)對(duì)復(fù)雜安全威脅，是數(shù)據(jù)中心、工業(yè)自動(dòng)化等領(lǐng)域的理想選擇。

硬件可信根

NIST規(guī)定要使用硬件可信根器件來執(zhí)行保護(hù)、檢測(cè)和恢復(fù)功能。因此，在Sentry 4.0中，萊迪思選擇MachXO5-NX系列FPGA作為硬件載體，通過物理層安全、加密引擎和運(yùn)行時(shí)防護(hù)三個(gè)層級(jí)的安全設(shè)計(jì)，構(gòu)建起了不可篡改的硬件可信根。

萊迪思硬件可信根的發(fā)展和路線路

例如，物理層安全層面，Sentry 4.0集成了器件唯一機(jī)密值(UDS)、物理不可克隆功能(PUF)、真隨機(jī)數(shù)發(fā)生器(TRNG)和抗側(cè)信道攻擊(SCA)設(shè)計(jì)，確保密鑰生成與存儲(chǔ)的物理安全。區(qū)別于競(jìng)品僅在啟動(dòng)階段驗(yàn)證的“被動(dòng)防護(hù)”模式，Sentry 4.0通過嵌入式安全功能模塊(ESFB)實(shí)現(xiàn)固件與用戶邏輯的隔離，支持運(yùn)行時(shí)數(shù)據(jù)加密。此外，該方案還支持AES-256/GCM、ECC-521、SHA-512及NIST后量子算法(如Kyber)，硬件加速鏡像簽名驗(yàn)證與密鑰管理，滿足量子安全時(shí)代需求。

根據(jù)規(guī)劃，萊迪思下一代Mach-KH-100D平臺(tái)將進(jìn)一步集成AI驅(qū)動(dòng)的威脅檢測(cè)引擎與更高效的后量子加密模塊，結(jié)合零信任架構(gòu)，構(gòu)建主動(dòng)防御的下一代安全體系。

閃存架構(gòu)與接口控制

為了能夠以更靈活的架構(gòu)適配不同場(chǎng)景，Sentry 4.0采用了面向服務(wù)器場(chǎng)景的雙SPI閃存冗余架構(gòu)、面向非服務(wù)器場(chǎng)景的單SPI閃存精簡架構(gòu)、以及非閃存信號(hào)安全控制三種模式。

具體而言，雙SPI閃存架構(gòu)由RoT FPGA(MachXO5-NX)、基板管理控制器(BMC)和平臺(tái)控制器(PCH)組成，支持SPDM/MCTP協(xié)議，通過控制CS線和SPI Mux實(shí)現(xiàn)故障秒級(jí)安全切換。實(shí)際工作流程中，BMC負(fù)責(zé)固件更新的合法性驗(yàn)證，PCH執(zhí)行正常業(yè)務(wù)邏輯，雙閃存分別存儲(chǔ)主鏡像與黃金備份鏡像，RoT FPGA通過QSPI監(jiān)控器實(shí)時(shí)阻斷未授權(quán)訪問(如DOS攻擊)，確保每次僅加載經(jīng)過簽名驗(yàn)證的鏡像。

PFR架構(gòu)—Sentry 4.0雙閃存常用配置

單SPI閃存架構(gòu)以單一CPU(如RISC-V核)為主簡化硬件設(shè)計(jì)，搭配I2C濾波器、SMBus Mailbox等IP模塊，實(shí)現(xiàn)對(duì)電源單元(PSU)、穩(wěn)壓器(VR)等外設(shè)的安全控制。

在客戶定制設(shè)計(jì)中，串行通用輸入輸出(SGPIO)主要用于動(dòng)態(tài)管理電源時(shí)序與復(fù)位事件檢測(cè)(如熱啟動(dòng)、硬啟動(dòng))，再利用I2C濾波器過濾異常信號(hào)，以及SMBus Mailbox實(shí)現(xiàn)設(shè)備間安全消息傳遞，支持熱插拔背板(HSBP)和電源模塊的實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)對(duì)非閃存信號(hào)的精細(xì)化管理。

常用配置I2C/SMBusMailbox和Filter架構(gòu)、控制邏輯

同時(shí)，為確保高速接口安全，Sentry 4.0通過QSPI Master Streamer結(jié)合AES-256加密通道，實(shí)現(xiàn)固件更新的高速安全傳輸。LVDS隧道協(xié)議和接口(LTPI)接口加密LVDS信號(hào)，防止背板數(shù)據(jù)竊聽。

密鑰管理與合規(guī)配置

Sentry 4.0采用KAK(密鑰驗(yàn)證密鑰)-ISK(鏡像簽名密鑰)兩級(jí)架構(gòu)。其中，KAK用于驗(yàn)證ISK的合法性，支持最多8個(gè)KAK并行管理，每個(gè)KAK可關(guān)聯(lián)256個(gè)ISK ID。使用時(shí)，必須使用白名單中的一個(gè)KAK和關(guān)聯(lián)的白名單ISK ID對(duì)位流進(jìn)行簽名，才能成功啟動(dòng)引導(dǎo)程序。

同時(shí)，通過Normal(普通簽名)、ISK Revoke(撤銷舊ISK)、KAK Revoke(撤銷舊KAK)、MRK(主根密鑰)等不同的密鑰Blob類型，實(shí)現(xiàn)簽名、撤銷與清零操作，以滿足不同場(chǎng)景的密鑰管理需求。下表總結(jié)了密鑰Blob類型、關(guān)聯(lián)數(shù)據(jù)及其說明。

密鑰Blob類型

為確保配置流程合規(guī)，萊迪思通過Propel/Radiant軟件生成.bin(策略/密鑰)與.bit(鏡像)這兩類用于器件配置(Provisioning)的編程文件，支持客戶自定義KAK數(shù)量、UFM扇區(qū)保護(hù)、中央鎖(軟鎖/硬鎖)配置策略，確保配置數(shù)據(jù)的不可篡改性。一次性編程(OTP)確保制造階段黃金鏡像與密鑰的不可修改性，符合NSA CNSA套件的“供應(yīng)鏈防篡改”要求。

應(yīng)用場(chǎng)景與可靠性設(shè)計(jì)

在數(shù)據(jù)中心場(chǎng)景，考慮到抵御高級(jí)持續(xù)威脅(APT)是首要目的，因此，在設(shè)計(jì)中雙閃存架構(gòu)與QSPI監(jiān)控器可有效防范供應(yīng)鏈植入的惡意鏡像，支持OpenBMC實(shí)現(xiàn)遠(yuǎn)程安全更新。硬件級(jí)后量子算法支持，則滿足了NSA對(duì)2025年后新系統(tǒng)的PQC合規(guī)要求。

工業(yè)場(chǎng)景中，低功耗、抗干擾、固件實(shí)時(shí)檢測(cè)與快速恢復(fù)是主要訴求。方案以單閃存方案與抗SEU設(shè)計(jì)為主，既降低工業(yè)設(shè)備成本，又能夠適配惡劣環(huán)境。同時(shí)，I2C濾波器與實(shí)時(shí)電源控制的組合，可有效防范針對(duì)PLC、傳感器的OT網(wǎng)絡(luò)攻擊。

物聯(lián)網(wǎng)、邊緣計(jì)算與網(wǎng)絡(luò)設(shè)備領(lǐng)域，支持高速接口(如PCIe、SGMII)、滿足后量子加密標(biāo)準(zhǔn)是主要場(chǎng)景需求。小尺寸、低功耗的MachXO5-NX器件具備高性能邏輯和后量子算法支持能力，可以更好的適配智能終端，并通過PUF與唯一ID確保設(shè)備身份可信。此外，為滿足醫(yī)療、金融等行業(yè)的合規(guī)需求，方案還支持FIPS 140-3認(rèn)證。

PFR，定義固件安全新范式

IDC報(bào)告顯示，到2025年，全球?qū)⒂?57億部聯(lián)網(wǎng)設(shè)備，其中75％將連接到物聯(lián)網(wǎng)平臺(tái)，安全挑戰(zhàn)巨大。而中國是IoT設(shè)備部署最多的國家，規(guī)避安全設(shè)備的隱患，對(duì)IoT設(shè)備的定位將帶來非常關(guān)鍵的影響。

因此，必須要確保設(shè)備的完整性始于軟件設(shè)計(jì)過程的早期階段，并貫穿于制造設(shè)備發(fā)布直至其使用壽命結(jié)束的所有過程。許多設(shè)備在其芯片上存儲(chǔ)和處理重要信息，例如服務(wù)訂閱、健康記錄、信用卡和銀行信息，以及其他類似用戶數(shù)據(jù)，我們必須保護(hù)這些設(shè)備免受黑客的威脅和誤用。

而之所以要強(qiáng)調(diào)PFR，是因?yàn)獒槍?duì)于固件攻擊的保護(hù)，PFR可以用作系統(tǒng)中的硬件可信根，補(bǔ)充現(xiàn)有的基于BMC/MCU/TPM的體系，使之完全符合NIST SP-800-193標(biāo)準(zhǔn)，從而為保護(hù)企業(yè)服務(wù)器固件提供了一種全新的方法，可全面防止對(duì)服務(wù)器所有固件的攻擊。

NIST SP-800-193對(duì)整個(gè)硬件平臺(tái)上的固件保護(hù)提出的規(guī)范性要求主要包含三個(gè)部分：首先是在啟動(dòng)或是系統(tǒng)更新后，能夠以加密方式檢測(cè)到損壞的平臺(tái)固件和關(guān)鍵數(shù)據(jù)，防止供應(yīng)鏈中的惡意攻擊；其次是保護(hù)，例如有人在對(duì)固件進(jìn)行非法的讀寫操作時(shí)，要保護(hù)平臺(tái)固件和關(guān)鍵數(shù)據(jù)免遭損壞，并確保固件更新的真實(shí)性和完整性；第三是即使在固件遭到破壞的情況下，也能夠進(jìn)行恢復(fù)，例如將損壞的固件和關(guān)鍵數(shù)據(jù)恢復(fù)到之前的狀態(tài)，或者是啟動(dòng)受信任的恢復(fù)過程。

這三部分相互融合、相互配合，主要目的就是保護(hù)硬件平臺(tái)上的固件。

結(jié)語

Lattice Sentry 4.0通過“硬件可信根+實(shí)時(shí)監(jiān)控+彈性恢復(fù)”的立體防護(hù)，重新定義了固件安全的技術(shù)標(biāo)準(zhǔn)。其核心優(yōu)勢(shì)不僅在于滿足當(dāng)前法規(guī)與攻擊防護(hù)需求，更通過 FPGA 的可重構(gòu)特性，為未來5-10年的安全挑戰(zhàn)提供升級(jí)彈性。在量子計(jì)算與AI攻擊并存的時(shí)代，Sentry 4.0為企業(yè)構(gòu)建了一道從芯片到系統(tǒng)的“不可侵犯”安全邊界，助力數(shù)字生態(tài)在安全與創(chuàng)新中實(shí)現(xiàn)可持續(xù)發(fā)展。