范長永

(深圳華大北斗科技有限公司，深圳 518129)

0 引言

隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)聯(lián)時代已經(jīng)到來，萬物互聯(lián)將成為趨勢，提高了生產(chǎn)效率的同時，給人們的生產(chǎn)、生活帶來極大便利。隨著物聯(lián)網(wǎng)在國家基礎(chǔ)設(shè)施、工業(yè)生產(chǎn)、自然資源、智能家居、智能駕駛、安防等方面的廣泛應用，對信息安全的重視已上升到國家戰(zhàn)略高度，而安全芯片具有軟件不可比擬的抗攻擊性，成為了安全防護的核心部件。物聯(lián)網(wǎng)設(shè)備也正展現(xiàn)出移動化、智能化等新的特點，如網(wǎng)聯(lián)汽車、兩客一危、特種車輛、手機、追蹤器等，要求移動的物體在限定的范圍內(nèi)移動，以保證其安全。

數(shù)據(jù)網(wǎng)絡(luò)及設(shè)備之間存在一個基本的信任就是：網(wǎng)絡(luò)內(nèi)部及各設(shè)備之間的時間是統(tǒng)一的。如通信系統(tǒng)和電力系統(tǒng)對時間統(tǒng)一的要求更為嚴格，一旦系統(tǒng)時間不一致，將導致整個通信系統(tǒng)和電力系統(tǒng)陷入癱瘓，攻擊者往往通過擾亂系統(tǒng)時間攻擊通信系統(tǒng)和電力系統(tǒng)，統(tǒng)一的時間關(guān)乎信息安全進而威脅國家安全。

新的特點對安全芯片提出新的要求，使得對能夠識別位置和時間且不被黑客篡改和攻擊的傳感器的需求越來越強烈，但目前此類技術(shù)在國內(nèi)外尚處于空白階段。

受限于導航定位芯片射頻基帶一體化SoC設(shè)計技術(shù)以及信息安全的跨界集成技術(shù)，目前市場上僅有安全芯片與全球衛(wèi)星定位系統(tǒng)(GPS)接收芯片組合的系統(tǒng)解決方案。GPS芯片實際起到了位置傳感器和時間傳感器的作用。從安全角度看，位置傳感器和時間傳感器與安全芯片內(nèi)部溫度、電壓等安全傳感器應具有同等地位和防攻擊特性。但現(xiàn)有方案中GPS芯片和安全芯片在系統(tǒng)級是獨立的兩顆芯片，GPS芯片易于被旁路，其輸出的位置信息和時間信息也很容易被篡改。因此系統(tǒng)安全性大大降低，存在極大的安全隱患，設(shè)計一款整合位置傳感器和時間傳感器的安全芯片迫在眉睫。

使用GPS雖然可以解決位置和時間感知問題，但它受美國軍方控制，給我國國家安全造成巨大隱患。隨著我國自主研發(fā)和建設(shè)的北斗衛(wèi)星導航系統(tǒng)(Beidou Navigation Satellite System，BDS)不斷完善，在國內(nèi)代替GPS已是勢在必行。

基于BDS的安全芯片設(shè)計方案解決了位置感知、時間感知的安全性問題，填補了安全芯片設(shè)計領(lǐng)域的空白，同時也成為BDS在地面接收方面的新型應用，對國家信息安全及北斗衛(wèi)星導航產(chǎn)業(yè)化推廣具有重大意義。

1 北斗導航系統(tǒng)概述

北斗衛(wèi)星導航系統(tǒng)是中國自行研制的全球衛(wèi)星導航系統(tǒng)，是繼美國全球定位系統(tǒng)(GPS)、俄羅斯格洛納斯衛(wèi)星導航系統(tǒng)(GLONASS)之后第三個成熟的衛(wèi)星導航系統(tǒng)。以上三者和歐盟伽利略衛(wèi)星導航系統(tǒng)(GALILEO)是聯(lián)合國衛(wèi)星導航委員會認定的供應商。

北斗衛(wèi)星導航系統(tǒng)由空間段、地面段和用戶段三部分組成，可在全球范圍內(nèi)全天候、全天時為各類用戶提供高精度、高可靠的定位、導航和授時服務(wù)，并具有短報文通信能力，已經(jīng)初步具備區(qū)域?qū)Ш?、定位和授時能力，定位精度為10 m，測速精度為0.2 m/s，授時精度10 ns。

2017年11月5日，中國第三代導航衛(wèi)星順利升空，它標志著中國正式開始建造北斗全球衛(wèi)星導航系統(tǒng)，到2020年完成全球的組網(wǎng)覆蓋，將為全球提供服務(wù)。

2 北斗安全芯片整體方案

導航衛(wèi)星不但可以提供位置信息，而且能夠提供時間信息，即授時技術(shù)，但接收到的位置信息和時間信息易于被旁路和篡改，使得后臺管理系統(tǒng)收不到位置或時間信息，或者收到了假的位置或時間信息，導致系統(tǒng)的混亂，進而使系統(tǒng)陷入癱瘓。

傳統(tǒng)的安全芯片通?？梢愿兄獪囟?、電壓、頻率等外部環(huán)境信息，以確定設(shè)備本身是否受到了外部攻擊。但目前尚未有安全芯片能夠感知位置和時間信息，無法針對位置和時間的攻擊做出判斷和響應。

針對這些問題，設(shè)計出將北斗衛(wèi)星系統(tǒng)、地面接收技術(shù)、安全防護技術(shù)相結(jié)合，具有位置和時間傳感器的安全芯片，應對針對位置和時間的攻擊。

整體芯片技術(shù)方案如圖1所示。北斗衛(wèi)星接收單元接收衛(wèi)星信號并解算出位置和時間信息，輸出到安全控制單元，以判斷位置和時間是否在允許的范圍內(nèi)，并將判斷結(jié)果輸出到安全報警單元，以決定對判斷結(jié)果作出何種響應，如復位、中斷、控制CPU運行等。安全控制單元同時也接收溫度、電壓等其他安全傳感器信號，判斷溫度、電壓等是否在允許范圍內(nèi)，并通過安全報警單元控制復位、CPU、中斷等單元，對判斷結(jié)果作出響應。

圖1方案中除北斗衛(wèi)星接收單元外，其他均為現(xiàn)有安全芯片通用結(jié)構(gòu)，且均有成熟產(chǎn)品和應用，在此不再詳細描述。本文重點描述與北斗導航相關(guān)的安全技術(shù)。

圖1 北斗安全芯片整體結(jié)構(gòu)

3 北斗安全芯片的關(guān)鍵技術(shù)

北斗安全芯片的核心部分包括：北斗衛(wèi)星接收單元、安全位置傳感器、安全時間傳感器。

3.1 北斗衛(wèi)星接收單元

北斗衛(wèi)星接收單元由天線、低噪聲放大器、混頻器、濾波器、放大器、AD轉(zhuǎn)換器、數(shù)字信號處理通道及接收機處理器組成，如圖2所示。天線接收北斗衛(wèi)星信號，通過低噪聲放大器將天線上的微弱射頻信號放大，由于該放大器在射頻電路的最前端，其噪聲會在后級被放大，故對該放大器的噪聲系數(shù)要求較高?；祛l器將經(jīng)過放大的信號和本地精準時鐘混頻，將調(diào)制在射頻信號里的有用信號混頻到較低頻率。濾波器抑制有用信號帶之外的噪聲信號，AD轉(zhuǎn)換器將有用信號量化成數(shù)字信號送至數(shù)字信號處理通道中處理，N個并行通道可以同時跟蹤來自N顆衛(wèi)星的載波和碼。每個通道包含碼跟蹤環(huán)和載波跟蹤環(huán)，以完成碼和載波相位的測量以及導航電文的解調(diào)。解調(diào)后的電文經(jīng)接收機處理器處理即能產(chǎn)生所需位置信號和時間信號。

圖2 北斗衛(wèi)星接收單元

接收機通過測量來自北斗衛(wèi)星導航定位信號的傳播時延，測得衛(wèi)星信號接收天線相位中心與北斗衛(wèi)星發(fā)射天線相位中心之間的距離(站星距離)，進而將此距離和北斗衛(wèi)星在軌位置聯(lián)合解算，算出用戶的三維坐標。

北斗衛(wèi)星通過星載時鐘發(fā)射結(jié)構(gòu)為“偽隨機噪聲碼”的信號，稱為測距碼信號。該信號從衛(wèi)星發(fā)射經(jīng)時間Δt后，到達接收機天線，用Δt乘以電磁波在真空中的速度c，就是衛(wèi)星至接收機的空間幾何距離ρ，即ρ=c×Δt。由于傳播時間Δt中包含衛(wèi)星時鐘與接收機時鐘不同步的誤差、衛(wèi)星星歷誤差、接收機測量噪聲以及測距碼在大氣中傳播的延遲誤差等用戶等效距離誤差(UERE)，由此求得的距離并非真正的接收機和衛(wèi)星的幾何距離，習慣上稱之為“偽距”。目前通過該技術(shù)獲得的位置精度為5～10 m。通過差分定位技術(shù)可以大幅減小上述誤差，使定位精度達到厘米級。目前差分定位技術(shù)有地基增強技術(shù)和星基增強技術(shù)等，在此不再詳述。

3.2 安全位置傳感器

使用北斗衛(wèi)星接收單元輸出的位置信息設(shè)計的安全位置傳感器，具備了不可旁路性、自檢、抵抗開封和探針探測等安全特性，與傳統(tǒng)的芯片安全技術(shù)相結(jié)合，可應對針對位置的黑客攻擊，保障移動設(shè)備的安全。其結(jié)構(gòu)如圖3所示。

圖3 安全位置傳感器結(jié)構(gòu)

安全位置傳感器核心部分包括北斗衛(wèi)星接收單元、安全控制單元(位置自檢單元、實時位置監(jiān)控單元)、安全報警單元。安全位置傳感器實時對移動設(shè)備進行監(jiān)控，一旦超出設(shè)定的范圍則啟動報警機制，如禁止或限制設(shè)備工作、向后臺管理系統(tǒng)發(fā)送報警信號等。

具有位置傳感器的安全芯片出廠前在內(nèi)部預置經(jīng)緯度信息，用于位置傳感器自檢。裝載安全芯片的設(shè)備出廠前在安全芯片內(nèi)部預置允許設(shè)備移動的范圍即經(jīng)緯度信息。

其工作流程如圖4所示。

圖4 安全位置傳感器芯片工作流程

(1)芯片上電首先進行位置傳感器自檢。

①導航衛(wèi)星接收單元發(fā)送預設(shè)的固定經(jīng)緯度信息給自檢單元，該經(jīng)緯度信息在安全芯片預設(shè)的范圍內(nèi)。自檢單元對接收到的位置信息進行判斷，如果在范圍內(nèi)則第一步自檢通過。

②導航衛(wèi)星接收單元發(fā)送預設(shè)的固定經(jīng)緯度信息給自檢單元，該經(jīng)緯度信息不在安全芯片預設(shè)的范圍內(nèi)。自檢單元對接收到的位置信息進行判斷，如果不在范圍內(nèi)則第二步自檢通過。

③自檢單元對第一步和第二步的結(jié)果進行合并判斷，并將最終自檢結(jié)果發(fā)送給安全報警單元，只有前兩步全部通過則自檢通過，否則自檢不通過。

④如果自檢通過，安全報警單元則釋放復位信號，等待其他安全傳感器自檢結(jié)果，自檢全部通過則CPU啟動；如果自檢不通過則認為位置傳感器受到攻擊，復位信號繼續(xù)有效，芯片一直處于復位狀態(tài)。

(2)其他安全傳感器自檢，自檢通過則CPU啟動，否則芯片處于復位狀態(tài)。其他安全傳感器自檢可與位置傳感器自檢并行或串行進行。

(3)芯片正常工作即CPU啟動后，實時監(jiān)測單元實時監(jiān)控位置信息，并將結(jié)果傳遞給安全報警單元。

(4)如果位置信息超出了預設(shè)的經(jīng)緯度范圍，則安全報警單元發(fā)出報警信息，用戶可將報警信息設(shè)置為中斷或復位，由CPU進行報警中斷處理或強制芯片處于復位狀態(tài)，避免信息泄露。

(5)芯片正常工作過程中，可通過CPU不定期發(fā)送自檢指令，對位置傳感器進行自檢，以確認位置傳感器是否受到攻擊，并將自檢結(jié)果發(fā)送給安全報警單元，自檢過程與上電自檢相同。

(6)安全報警單元通過中斷或復位的方式發(fā)出報警信號。

通過上述步驟1上電自檢和步驟5工作過程中自檢以確認安全位置傳感器是否工作正常、是否受到了旁路攻擊，一旦受到攻擊則通過安全報警單元發(fā)出報警信號。

在位置數(shù)據(jù)存儲時增加校驗位，每次讀出數(shù)據(jù)首先進行數(shù)據(jù)校驗，再與已存儲的校驗位進行對比，如果對比不一致則說明位置數(shù)據(jù)已被篡改，該數(shù)據(jù)將被禁止使用，并發(fā)出報警信號，該報警信號將會導致系統(tǒng)進入復位或中斷等安全狀態(tài)。

同時，芯片中的溫度、電壓等其他安全傳感器以及在芯片版圖設(shè)計中使用隨機邏輯布線、關(guān)鍵信號隱藏、冗余走線等方式同樣也會起到防篡改和防旁路的作用。

在安全時間傳感器設(shè)計中采用同樣的方法進行安全防護。

3.3 安全時間傳感器

安全時間傳感器核心部分包括北斗衛(wèi)星接收單元、安全控制單元(時間自檢單元、實時時間監(jiān)控單元)、安全報警單元。

如圖5所示，時間傳感器為整個系統(tǒng)提供統(tǒng)一的時間，通過安全算法單元加密后再通過系統(tǒng)總線向整個系統(tǒng)廣播，并對是否遭受攻擊進行實時檢測。系統(tǒng)總線上的設(shè)備通過解密后獲得正確的時間信息。

圖5 安全時間傳感器結(jié)構(gòu)

安全時間傳感器與安全位置傳感器類似，結(jié)構(gòu)和工作流程相同的部分不再詳細描述，其主要差異在于系統(tǒng)中的應用。通過時間傳感器獲得可靠的時間信息，并將此時間信息通過系統(tǒng)總線向系統(tǒng)的其他單元廣播，以保證整個系統(tǒng)的時間信息是統(tǒng)一的、可靠的。

實時監(jiān)測單元同時將監(jiān)測結(jié)果通過“有效標識”信號傳遞給安全算法單元，當“有效標識”信號有效時，安全算法單元利用對稱算法(如國密算法SM4)對實時時間信息進行加密，以及利用雜湊算法(如國密算法SM3)進行摘要運算，將加密后的時間信息、摘要信息、有效標識通過系統(tǒng)總線向設(shè)備進行廣播。設(shè)備通過解密獲得時間明文信息，并用SM3進行相同的摘要運算，與接收到的摘要信息進行比對以確定時間是否被篡改。

4 應用前景及局限性

深圳華大北斗科技有限公司在北斗導航和信息安全兩大領(lǐng)域均有深厚的技術(shù)積累，在芯片設(shè)計方面已耕耘多年。2015年率先量產(chǎn)國內(nèi)第一顆射頻基帶一體化的SoC導航芯片，并于2016年量產(chǎn)集成國密和國際密碼算法的導航芯片，為集成安全位置傳感器和時間傳感器的安全芯片開發(fā)項目掃清了技術(shù)障礙。

該項目采用TSMC 40 nm先進工藝，目前已進入小批量量產(chǎn)階段，并開始在危險品運輸、智慧物流、冷鏈運輸?shù)阮I(lǐng)域提供樣片開發(fā)、試用，為上述領(lǐng)域的聯(lián)網(wǎng)車輛提供網(wǎng)絡(luò)安全防護，防止被黑客攻擊、跟蹤、控制。該芯片未來有望逐漸成為智能網(wǎng)聯(lián)車輛在車載端的核心安全部件。

該項目僅解決了室外環(huán)境下定位和安全防護問題。目前華大北斗已投入資源進行室內(nèi)精準定位技術(shù)的研發(fā)，有希望在不遠的將來實現(xiàn)室內(nèi)外精準定位和安全防護的無縫銜接。

5 結(jié)論

本文描述了如何使用北斗星導航系統(tǒng)與傳統(tǒng)的安全技術(shù)相結(jié)合設(shè)計出安全位置傳感器和安全時間傳感器，填補了傳統(tǒng)安全芯片無法抵御位置和時間攻擊的防護技術(shù)空白，滿足了設(shè)備對位置和時間的信息安全需求。

具有位置傳感器和時間傳感器的安全芯片，通過接收北斗衛(wèi)星信號獲取位置和時間信息，保證了位置信息和時間信息的可靠性及不可偽造性，同時具有上電自檢和實時檢測的功能，使位置傳感器和時間傳感器具有不可篡改性和不可旁路性等安全特性，可對移動設(shè)備進行實時有效的位置和時間信息防護。