楊先文,張魯國,田志剛

(解放軍信息工程大學(xué)電子技術(shù)學(xué)院,鄭州450004)

引 言

為了滿足智能卡和可信計算應(yīng)用需求,設(shè)計實現(xiàn)了一款專用SoC芯片[1]。該芯片由微處理器、程序和數(shù)據(jù)存儲器及管理模塊、安全邏輯模塊、密碼服務(wù)模塊、輔助功能模塊、I/O接口組成,能為各種安全應(yīng)用提供機密性、完整性和身份認證等多種密碼服務(wù),以及數(shù)據(jù)存儲、訪問控制、安全計算等應(yīng)用。

專用SoC芯片的安全控制架構(gòu)設(shè)計,首先應(yīng)對芯片的應(yīng)用環(huán)境進行分析,得到芯片的威脅模型與部署模型,即芯片的潛在攻擊者和可能的攻擊方式,以及芯片的生產(chǎn)、運輸、研發(fā)和使用等環(huán)節(jié)存在的風(fēng)險問題;其次是根據(jù)芯片安全要求與功能規(guī)范,通過軟硬件協(xié)同設(shè)計方式,設(shè)置相關(guān)硬件邏輯、狀態(tài)寄存器和參數(shù)存儲區(qū),并實現(xiàn)相關(guān)安全策略的軟件控制流程;最后對所設(shè)計的系統(tǒng)進行安全性分析、仿真驗證與FPGA測試。

1 芯片系統(tǒng)安全體系結(jié)構(gòu)設(shè)計

基于芯片系統(tǒng)的生產(chǎn)與應(yīng)用實際,根據(jù)受保護資產(chǎn)對芯片安全性影響重要程度和信息技術(shù)安全性評估準則[2],芯片的受保護資產(chǎn)可設(shè)計為如下3種安全級別。

0級資產(chǎn):0層代碼的完整性與可信性,0層數(shù)據(jù)(LEVEL0)的機密性、完整性和可信性,以及芯片各模塊功能正確性。0級資產(chǎn)是芯片系統(tǒng)的安全基礎(chǔ),對任一項的保護失敗均將導(dǎo)致整個芯片系統(tǒng)拒絕提供任何服務(wù)。

1級資產(chǎn):1層代碼的完整性與可信性,1層數(shù)據(jù)(LEVEL1)的機密性、完整性和可信性。1級資產(chǎn)是系統(tǒng)運行的核心控制態(tài)和2級資產(chǎn)的安全基礎(chǔ),對1級資產(chǎn)的保護失敗將禁止本層代碼及2層代碼的執(zhí)行。

2級資產(chǎn):2層代碼完整性與可信性,2層數(shù)據(jù)(LEVEL2)的機密性、完整性和可信性。2級資產(chǎn)是芯片系統(tǒng)最上層的受保護資產(chǎn),對本級資產(chǎn)的保護失敗會導(dǎo)致本層代碼被禁止運行。2級資產(chǎn)在芯片系統(tǒng)中可以同時存在多個,但每一時刻只有1個投入運行。

1.1 芯片系統(tǒng)安全狀態(tài)設(shè)計

芯片加電運行后,通過執(zhí)行一系列的命令,獲得不同的安全權(quán)限,從而也處于某一特定的安全狀態(tài)。

ST1:出廠初始狀態(tài)。在信任制造商前提下,芯片在出廠初始狀態(tài)是可以信賴的。初始狀態(tài)是芯片的可信基。

ST2:芯片使能狀態(tài)。首次加電時,上電自檢及傳輸安全認證通過后,芯片所處的狀態(tài)。芯片在驗證各功能模塊正確,且0層代碼、數(shù)據(jù)完整性校驗通過后,接收傳輸過程安全認證命令,并利用開發(fā)商與制造商的共享秘密,在允許的認證次數(shù)范圍內(nèi)對芯片進行真實性認證。

ST3:芯片激活狀態(tài)。處于使能狀態(tài)下的芯片,允許開發(fā)商通過用戶創(chuàng)建命令完成用戶創(chuàng)建。在這一過程中,芯片對開發(fā)商身份的合法性認證依賴于傳輸安全認證時的共享秘密。用戶創(chuàng)建完成后,置位芯片激活狀態(tài)標識與所有權(quán)獲得標識。再次啟動時,對開發(fā)商的身份合法性認證依賴于輸入的共享秘密,以及開發(fā)商創(chuàng)建的用戶密鑰。

ST4:1層代碼下載允許狀態(tài)。為滿足芯片使用靈活性的要求,芯片的1層代碼可由開發(fā)商進行配置。代碼下載需對下載命令的發(fā)起者進行身份認證,在允許認證次數(shù)范圍內(nèi),若身份認證正確,則置位1層代碼下載允許標識,芯片進入1層代碼(芯片操作系統(tǒng))下載允許狀態(tài)。

ST5:1層代碼下載完成狀態(tài)。在下載控制程序的控制下,完成1層代碼下載。下載完成后,下載控制程序調(diào)用SHA1模塊,對1層代碼進行完整性度量與存儲,并與輸入的下載代碼完整性信息進行比較。若完整性驗證正確,則置位1層代碼使能標識位。

ST6:1層代碼運行狀態(tài)。芯片系統(tǒng)可以由ST3和ST5轉(zhuǎn)入1層代碼運行狀態(tài)。在進入此狀態(tài)前,需判斷1層代碼使能標識是否有效,并在驗證1層代碼及數(shù)據(jù)完整性正確后進入代碼運行狀態(tài),執(zhí)行相應(yīng)程序完成預(yù)定功能。

ST7:2層代碼(用戶應(yīng)用程序)下載允許狀態(tài)。2層代碼的下載與調(diào)用均在1層代碼監(jiān)控下完成。在1層代碼運行狀態(tài)下,若用戶輸入2層代碼下載命令,1層代碼首先認證代碼下載命令發(fā)起者身份。在允許的認證次數(shù)范圍內(nèi),若身份認證正確,則置位本層敏感信息存儲器中的2層代碼下載允許標識位,芯片進入2層代碼下載允許狀態(tài)。

ST8:2層代碼下載完成狀態(tài)。與1層代碼的下載過程相同,通過調(diào)用下載控制程序,完成2層代碼的下載。下載完成后,1層代碼對2層代碼進行完整性度量與存儲,對比驗證輸入的完整性信息。若完整性驗證正確,置位LEVEL1中的2層代碼使能標識位。

ST9:2層代碼運行狀態(tài)。當(dāng)2層代碼和數(shù)據(jù)完整性驗證正確后,芯片系統(tǒng)可以由ST6和ST8轉(zhuǎn)入2層代碼運行狀態(tài)。當(dāng)2層代碼使能標識有效時,芯片系統(tǒng)可以在ST6或ST8下,通過層次跳轉(zhuǎn)指令,進入2層代碼運行狀態(tài)。在ST6狀態(tài)下,芯片系統(tǒng)還可通過調(diào)用2層代碼來完成其相應(yīng)運算與控制功能。與層次跳轉(zhuǎn)進入ST9不同的是,通過調(diào)用2層代碼來完成其相應(yīng)功能時,在2層代碼執(zhí)行完畢后,芯片系統(tǒng)可以返回到ST6。而通過層次跳轉(zhuǎn)命令進入ST9時,完成規(guī)定的功能后,芯片系統(tǒng)保持在ST9,或者通過系統(tǒng)復(fù)位返回ST3,不允許其返回ST6。

1.2 狀態(tài)位與控制參數(shù)設(shè)置

為實現(xiàn)上述各狀態(tài)之間的正常跳轉(zhuǎn),芯片系統(tǒng)需要設(shè)置相應(yīng)的狀態(tài)位與控制參數(shù),以寄存芯片運行時的控制信息和工作狀態(tài)。狀態(tài)位與控制參數(shù)設(shè)置是芯片安全體系結(jié)構(gòu)建立的基礎(chǔ),基于芯片的權(quán)限狀態(tài)劃分,參照TPM與ATMELSC系列[3-4]安全芯片對狀態(tài)位與控制參數(shù)的配置,將LEVEL0作為專用SoC芯片狀態(tài)位與控制參數(shù)的存儲區(qū),其具體設(shè)置如表1所列。

表1 LEVEL0狀態(tài)位與控制參數(shù)配置表

在表1中,OTP(One Time Programmer)區(qū)是一次性編程區(qū),用于芯片一次性設(shè)置的權(quán)限標識與狀態(tài)留證。STATE為系統(tǒng)狀態(tài)標識,用于標識芯片當(dāng)前的權(quán)限狀態(tài)信息。OTP與STATE中各位的作用與位的對應(yīng)關(guān)系如表2所示,其中各位均為高電平有效。

表2 OTP與STATE中狀態(tài)位功能表

M_AUTH為制造商與開發(fā)商的共享秘密,M_PUBKEY為制造商公鑰,SN為產(chǎn)品序列號,它們共同用于芯片的傳輸過程安全認證。EK(Endorsement Key)為芯片系統(tǒng)的身份認證密鑰對,在實際應(yīng)用過程中,芯片通過調(diào)用EK私鑰對數(shù)據(jù)進行簽名,以表明自身的合法身份。AIK(A ttestation Identity Key)為開發(fā)商身份認證密鑰對,在用戶身份創(chuàng)建過程中由片內(nèi)隨機數(shù)與RSA算法IP核生成,用于用戶的身份認證。PCR(Platform Configuration Register)是平臺配置完整性寄存區(qū)。為滿足專用SoC芯片在進行FPGA測試時對芯片系統(tǒng)的硬件規(guī)模限制,暫時為芯片系統(tǒng)配置了8個PCR,每個PCR寄存器為20個字節(jié)。除PCR6和PCR7外,其余各PCR寄存器存儲信息的表達式如下所示。

PCR0=SHA1(DOWNLOAD)

PCR1=SHA1(LEVEL0)

PCR2=SHA1(COS)

PCR3=SHA1(APPLI)

PCR4=SHA1(LEVEL1)

PCR5=SHA1(LEVEL2)

USER_AUTH為用戶與芯片系統(tǒng)的共享認證秘密,在用戶創(chuàng)建時通過相應(yīng)命令輸入,完成用戶的身份合法性驗證。ERROR_SIG為認證錯誤次數(shù)寄存器,用于芯片系統(tǒng)對字典攻擊的防護。ATTACK_EV I是攻擊留證寄存器,對芯片系統(tǒng)所遭受的物理攻擊次數(shù)與方式進行寄存。

2 芯片工作流程分析

專用SoC芯片在其整個生命周期中,總處于某種特定的安全狀態(tài)。基于芯片運行時的安全策略,結(jié)合狀態(tài)位與控制參數(shù)設(shè)置,專用SoC芯片的狀態(tài)轉(zhuǎn)移流程如圖1所示。

圖1 芯片狀態(tài)轉(zhuǎn)移流程

在上圖中,S.n表示STATE的第n位,S'.n表示STATE'的第n位(位于LEVEL1中),O.n表示OTP的第n位。高電平表示對應(yīng)條件成立,低電平表示對應(yīng)條件不成立。

2.1 狀態(tài)轉(zhuǎn)移約束條件

專用SoC芯片按照其工作流程共有16種不同的狀態(tài)轉(zhuǎn)移路徑,限于篇幅在此只介紹其中的一種狀態(tài)轉(zhuǎn)移路徑。為簡化書寫記A=TDESENC(KEY_TDES,DATA_T),B=RSAENC(PUB_EK,DATA_R)。

當(dāng)專用SoC芯片從ST3狀態(tài)通過ST6狀態(tài)轉(zhuǎn)移到ST9狀態(tài)時,應(yīng)滿足如下約束條件:

DATA_T=TDESDEC(KEY_TDES,A)

DATA_R=RSADEC(PRIVATE_EK,B)

USER_AUTH=RSADEC(AIK_PUBKEY,M)

PCR0=SHA1(DOWNLOAD)

PCR1=SHA1(LEVEL0)

DIR0=SHA1(PCR0||PCR1)

PCR2=SHA1(COS)

PCR4=SHA1(LEVEL1)

DIR1=SHA1(DIR0||PCR2||PCR4)

PCR3=SHA1(APPLI)

PCR5=SHA1(LEVEL2)

DIR3=SHA1(DIR0||DIR1||PCR3||PCR5)

在正常啟動時,芯片系統(tǒng)由ST3經(jīng)過上電自檢,完成對1層代碼與數(shù)據(jù)、2層代碼與數(shù)據(jù)的完整性驗證。置位STATE.6,通過層次跳轉(zhuǎn)命令,進入ST6,進而在ST6下,通過判斷STATE'.6是否有效,決定可否進入ST9。在ST6下,也可通過功能調(diào)用命令進入ST9,執(zhí)行部分2層代碼的功能,并在執(zhí)行完成后,正確返回到ST6。

2.2 專用SoC芯片的工作流程

①在開發(fā)商初次獲得芯片后,系統(tǒng)處于初始狀態(tài)ST1。加電后,系統(tǒng)首先對自身0層代碼和數(shù)據(jù)區(qū)進行完整性檢驗,調(diào)用各功能模塊IP核進行自檢,若自檢正確,則芯片可繼續(xù)完成傳輸過程安全認證命令的接收與執(zhí)行,否則置位OTP.4,芯片系統(tǒng)進入鎖死狀態(tài),不提供任何功能服務(wù)。

②當(dāng)OTP.1=0時,芯片系統(tǒng)僅允許傳輸過程安全認證命令的輸入與執(zhí)行。開發(fā)商通過傳輸安全認證命令,在允許的認證次數(shù)范圍內(nèi),對芯片的真實性進行認證。若認證正確,芯片由初始狀態(tài)ST1轉(zhuǎn)移至使能狀態(tài)ST2,并置位芯片使能標識OTP.1,等待用戶創(chuàng)建命令的輸入。若芯片真實性認證錯誤,芯片系統(tǒng)保持在初始狀態(tài)。當(dāng)認證次數(shù)超出允許次數(shù)時,OTP.6被置位,芯片被鎖死。

③當(dāng)OTP.1=1時,芯片系統(tǒng)僅允許用戶創(chuàng)建命令的輸入與執(zhí)行。初次啟動時,開發(fā)商通過用戶創(chuàng)建命令,完成A IK與USER_AUTH的創(chuàng)建。用戶創(chuàng)建完成后,置位OTP.0與STATE.2,進入芯片激活狀態(tài)ST3。在允許的認證次數(shù)范圍內(nèi),若用戶創(chuàng)建失敗,芯片保持在ST2。當(dāng)STATE.1=1時,開發(fā)商可以通過用戶創(chuàng)建命令,更新AIK和USER_AUTH,完成用戶身份的重建。當(dāng)認證次數(shù)超出允許范圍時,OTP.5被置位,芯片被鎖死。

④當(dāng)OTP.0=1時,開發(fā)商可以獲得低層代碼和系統(tǒng)資源所提供的服務(wù)功能,如SHA 1雜湊值計算、對稱數(shù)據(jù)加解密、RSA數(shù)據(jù)簽名與認證、以及隨機數(shù)生成等一系列密碼服務(wù)功能等。當(dāng)需要對芯片系統(tǒng)進行1層代碼下載時,用戶輸入代碼下載命令,芯片系統(tǒng)首先驗證下載命令發(fā)起者身份,若身份驗證正確,置位STATE.7,進入ST4。

⑤當(dāng)STATE.7=1時,芯片在下載控制程序控制下,將1層代碼下載到對應(yīng)存儲器COS區(qū)。系統(tǒng)調(diào)用SHA 1模塊度量下載代碼的完整性,存儲于LELVE0存儲器的PCR2中,并與輸入的完整性信息進行對比驗證。若完整性驗證通過,置位STATE.6,并復(fù)位STATE.7,進入ST5,否則返回ST3。此外,因突發(fā)因素導(dǎo)致下載過程中斷,也會使芯片系統(tǒng)返回ST3。在系統(tǒng)返回ST3時,復(fù)位STATE.7。

⑥當(dāng)STATE.6=1時,通過層次跳轉(zhuǎn)命令,芯片系統(tǒng)進入ST6,用戶可以獲得1層代碼的相應(yīng)功能。由ST6返回到ST3只有斷電或者系統(tǒng)復(fù)位兩種方式。

⑦在1層代碼運行狀態(tài)下,若需要進行2層代碼下載,則用戶輸入符合1層代碼編碼格式的代碼下載命令。1層代碼驗證下載命令發(fā)起者身份,驗證通過后,置位STATE'.7,進入ST7。若不需要代碼下載,則在ST6運行。

⑧完成2層代碼下載過程同⑤,對2層代碼進行完整性度量與驗證,若驗證通過,置位STATE'.6,進入ST8,否則返回ST6。

⑨通過層次跳轉(zhuǎn)命令或功能調(diào)用命令,芯片系統(tǒng)可進入ST9,獲得2層代碼相應(yīng)功能。當(dāng)采用層次跳轉(zhuǎn)命令進入ST9時,芯片系統(tǒng)保持在ST9狀態(tài),僅能夠通過系統(tǒng)復(fù)位,返回ST3。當(dāng)采用功能調(diào)用命令進入ST9時,只能執(zhí)行2層代碼中部分功能且執(zhí)行完畢后,將返回到ST6狀態(tài)。

3 專用SoC芯片安全性分析

3.1 攻擊防護分析

在芯片的硬件安全結(jié)構(gòu)設(shè)計中[1],篡改響應(yīng)機制能夠?qū)榷ü裟Ｐ椭械奈锢砉暨M行安全防護;結(jié)合安全邏輯模塊中的越界檢測部件,信息交互機制能夠防止攻擊者對芯片的緩沖區(qū)溢出攻擊;此外,信息交互機制還能夠?qū)φZ義攻擊、字典攻擊以及重放攻擊進行防護;芯片系統(tǒng)的單向分級啟動模式、以及代碼下載時的身份認證,各安全級別之間的“防火墻”設(shè)計,使得芯片系統(tǒng)能夠抵抗惡意代碼的攻擊。

3.2 工作過程安全性分析

①代碼的可信性:首先,由于制造商被無條件信任,芯片在出廠初始狀態(tài)真實可信,因而內(nèi)嵌代碼是可信的。在經(jīng)過傳輸過程被開發(fā)商獲得后,芯片的使用需要通過對芯片的傳輸過程進行驗證,在驗證正確后,芯片的來源被確認,此時,內(nèi)嵌代碼保持了其可信性。以內(nèi)嵌代碼為可信基,在對1層代碼與2層代碼進行下載時,均需要認證下載命令發(fā)起者的身份。因而,下載的1層代碼與2層代碼均能夠保證其來源真實性。

②代碼的完整性:在信賴制造商前提下,內(nèi)嵌代碼可作為整個芯片系統(tǒng)的可信基?；谶@一信任基礎(chǔ),通過啟動過程中對內(nèi)嵌代碼、芯片操作系統(tǒng)、用戶應(yīng)用程序的完整性驗證,使得芯片系統(tǒng)僅在代碼完整性正確情況下,才能夠正常運行,從而保證了代碼的完整性。

③數(shù)據(jù)可信性:由于LEVEL0的數(shù)據(jù)僅能夠由制造商與0層代碼操作,傳輸安全機制保證了芯片的可信性,從而可知LEVEL0的數(shù)據(jù)是可信的。1層與2層敏感數(shù)據(jù)與運行臨時數(shù)據(jù)的可信性由本層的代碼可信性保證。當(dāng)本層代碼可信時,數(shù)據(jù)的來源被認為是可信的。

④數(shù)據(jù)完整性:由完整性認證機制可知,其被認證數(shù)據(jù)對象在每次合法改變時,均將及時修改相應(yīng)的數(shù)據(jù)完整性檢驗信息,且每次啟動時,均需進行完整性認證,因而數(shù)據(jù)完整性可得到保證。

⑤功能部件的正確性:功能部件的正確性通過芯片系統(tǒng)每次啟動時的功能自檢,以及根據(jù)應(yīng)用需要每次調(diào)用功能部件執(zhí)行相應(yīng)檢測功能來保證。

結(jié) 語

提供密碼服務(wù)和數(shù)據(jù)存儲功能的專用SoC芯片設(shè)計的關(guān)鍵是,在芯片功能正確的前提下,確保芯片內(nèi)部敏感信息的機密性與完整性,以及運行狀態(tài)的可信性。本文為專用SoC的安全設(shè)計提供了一個可供參考的模型,也為進一步研究動態(tài)數(shù)據(jù)完整性度量和可信應(yīng)用服務(wù)提供了一個基礎(chǔ)平臺。

編者注:本文為期刊縮略版,全文見本刊網(wǎng)站www.mesnet.com.cn。

[1]Zhang Luguo,Wen Shengjun,Wang Ruijiao,et al.A System Architecture Design Scheme of the Secure Chip Based On SoC:Proceedings of International Workshop on Intelligent Systems and Applications,Wuhan,2009[C]:1771-1774.

[2]GB/T 18336.1信息技術(shù)、安全技術(shù)、信息技術(shù)安全性評估準則第一部分:簡介與一般模型[S].北京:中國標準出版社,2001.

[3]Atmel.AT05SC3208R Preliminary Summary,2000.

[4]T rusted Computing Group.T rusted Platform Modules Strengthen User and Platform Authenticity[EB/OL].2005[2010-05].https://www.trustedcomputinggroup.org/specs/TPM/Whitepaper_TPMs_Strengthen_User_and_Platform_Authenticity_Final_1_0.pdf.

[5]國家密碼管理局.可信計算密碼支撐平臺功能與接口規(guī)范[EB/OL].2007[2010-05].http://www.oscca.gov.cn/doc/6/News_1132.htm.