亿迅智能制造网
工业4.0先进制造技术信息网站!
首页 | 制造技术 | 制造设备 | 工业物联网 | 工业材料 | 设备保养维修 | 工业编程 |
home  MfgRobots >> 亿迅智能制造网 >  >> Industrial Internet of Things >> 物联网技术

SRAM PUF 的基础知识以及如何为物联网安全部署它

本文介绍了什么是 SRAM PUF(物理不可克隆功能)及其工作原理的基础知识,以及它在物联网 (IoT) 安全中作为任何设备的信任锚提供的功能。

在任何特定情况下,安全都始于信任。当您家中有警报系统时,您只能将其密码提供给您信任的人。无论是家庭成员还是您友好的邻居,如果没有信任,您就不会分享您的秘密。这就是它应该的样子!

这种信任问题也转化为个人身份。信任的基础来自正式文件,例如护照或出生证明。但是,这些文件需要“安全地链接”到特定的人。这通常适用于人类生物识别技术。身份证件都有将文件与正确的人联系起来的东西,无论是人的照片还是通过指纹的生物识别,如现代护照。因此,生物识别技术是构建具有权限的系统(您是否可以越过边界?)的安全锚点。

这个安全锚是必要的,以防止未经授权的方复制和使用简单的文档。如果文档被锚定到无法复制或克隆的东西上,比如指纹,那么安全性就会变得足够强大,可以将一个相对简单的文档变成一个强大的身份验证工具。

物联网 (IoT) 也面临类似的挑战。只有每台设备都具备保护敏感数据和安全通信的能力,才能实现数十亿台低成本设备的安全连接。这种保护由证书和加密密钥提供,类似于前面示例中的护照。然而,这些密钥和证书还需要一个物理安全锚来确保它们不能被复制到一个恶意设备,冒充真正的设备。提供此安全锚点的技术是不可克隆的物理功能 (PUF)。 PUF 是一种物理结构,从中生成设备唯一且不可克隆的加密根密钥。此根密钥用于保护设备的应用程序密钥和证书。

虽然有许多不同类型的 PUF,但我们将重点介绍 SRAM PUF,因为它具有可靠性、可扩展性和易用性。 SRAM PUF 以一种可扩展到部署在物联网中的许多不同技术节点的方式轻松灵活地实施。它也是目前已知的唯一可以通过将软件加载到芯片上来实现的 PUF 类型(作为集成专用硬件 IP 块的替代方案,这也是可能的)。 SRAM PUF 是一种基于硬件的安全锚,随着连接设备数量的不断增加而越来越受欢迎。

什么是 SRAM PUF?

PUF 利用在半导体生产过程中自然发生的深亚微米变化,并赋予每个晶体管略微随机的电特性。这些独特的特性构成了芯片独特身份的基础。

SRAM PUF 基于任何数字芯片中可用的标准 SRAM 存储器的行为。每次为 SRAM 供电时,每个 SRAM 单元都有自己的首选状态,这是由于晶体管阈值电压的随机差异造成的。因此,当为 SRAM 存储器供电时,每个存储器都会产生 0 和 1 的独特和随机模式。这些模式就像芯片指纹,因为每个指纹对于特定的 SRAM 来说都是独一无二的,因此对于特定的芯片来说也是独一无二的。

然而,这种所谓的 SRAM PUF 响应是一个“嘈杂的”指纹,将其转变为高质量和安全的加密密钥需要进一步处理。通过使用所谓的“模糊提取器”IP,可以在任何时间和所有环境条件下重建完全相同的密钥。

与非易失性存储器 (NVM) 中的传统密钥存储相比,这种从 SRAM 属性导出密钥的方式具有很大的安全优势。因为密钥不是永久存储的,所以当设备不活动时(没有密钥处于静止状态)它不存在,因此打开设备并破坏其内存内容的攻击者无法找到它。

如何将 SRAM PUF 用作信任根?

设备,尤其是作为物联网一部分的设备,需要密钥来保护其数据、IP 和操作。如果这些密钥的来源是可信的,并且密钥安全地存储在防止攻击的硬件中,它们就构成了设备的所谓“信任根”。

密钥可以由设备制造商(也称为 OEM)自己或在更早的阶段由芯片供应商提供到设备上。当芯片供应商提供预配置芯片时,这会增加他们向 OEM 销售的产品的价值。如果 OEM 决定自己进行配置,他们通常可以购买成本更低的芯片。

无论两方中的哪一方承担提供加密密钥的责任,执行的任务绝非易事。将密钥注入芯片需要受信任的工厂,这会增加制造过程的成本和复杂性,并限制灵活性。通过使用内部随机数生成器 (RNG) 或 PUF,在芯片内部创建密钥可以避免这种复杂性。

将加密根密钥安装到设备上并不是唯一的挑战。在设备上安全地存储敏感数据也绝非易事。密钥不能简单地存储在 NVM 中,因为 NVM 容易受到硬件攻击。允许攻击者读取 NVM 内容的硬件攻击正变得越来越普遍,这使得不受保护的密钥存储变得不可行。因此,需要替代的安全密钥存储。一种方法是向设备添加安全元件。但是,添加硬件也会增加复杂性和成本。硅 PUF,例如 SRAM PUF,可以安全地存储加密密钥,而无需添加任何额外的硬件。

下表总结了用于配置和存储加密密钥的技术选项的安全级别、供应链开销和成本:

使用 SRAM PUF 创建密钥保管库

当我们从 SRAM PUF 获得这个根密钥后,下一步是如何创建信任根?下一步是利用 SRAM PUF 密钥创建嵌入式密钥库,以保护设备上的所有机密数据。设备的更高级别的服务和应用程序需要此保管库保护的密钥。因此,密钥保管库支持安全应用程序,例如身份验证、消息加密、软件/固件加密等等。

使用 SRAM PUF,我们可以创建具有以下属性的密钥库:

基于 SRAM PUF 的 Key Vault 实现以下功能:

从一个 PUF 派生多个密钥

安全系统的实现通常需要不止一个加密密钥。这是因为:

出于这些和其他原因,安全设计中公认的最佳实践是仅将单个密钥用于单个目的和/或单个应用程序。然而,在许多实际情况下,安全系统的实现只能访问单个根秘密,如在这种情况下,来自 SRAM PUF。为了满足单一密钥一次性使用的要求,应该使用能够从单个根秘密生成多个应用程序密钥的密钥管理组件。

多个生成的应用程序密钥的一个关键特性是它们在密码上是分开的,即它们的生成方式应该使得特定派生密钥的公开不会影响任何其他派生密钥的安全强度。这意味着简单的生成方法(例如,应用简单的算术运算或使用机密的重叠部分)是不可能的。相反,应该使用加密安全的密钥派生函数 (KDF),它使用加密原语(例如 AES 或 SHA-256)来确保其输出之间的加密分离。因此,利用良好实现的 KDF 将确保可以从单个 SRAM PUF 实例派生出几乎无限数量的密钥。

通过软件实现 SRAM PUF

SRAM PUF 尚未解决的最大优势之一是它基于几乎在任何芯片中都可用的物理结构:SRAM 存储器。由于这种 PUF 类型使用标准的“现成”SRAM,因此它是用于保护物联网产品的唯一硬件熵源选项,无需在硅制造时加载。它可以稍后安装在供应链中,甚至可以在部署的设备上进行远程改造。这实现了前所未有的远程“棕地”安装硬件信任根,并为将物联网扩展到数十亿台设备铺平了道路。

前面描述的用于创建密钥库和派生多个密钥的功能可以作为硬件或软件 IP 实现。开发 PUF 所需的唯一硬件是 PUF 本身的实际独特物理结构。因此,在 PUF 算法可以访问(未初始化)SRAM 的任何设备上,都可以实现工作 SRAM PUF。这种特性使 SRAM PUF 在市场上的各种 PUF 中独一无二。据作者所知,SRAM PUF 是目前唯一一种可以通过简单地将软件加载到设备上的硬件实现的 PUF。

结论

没有信任就没有安全感。任何安全解决方案都从能够证明主体身份的东西开始——无论该主体是要签发身份证的人,还是要部署在物联网中的芯片——毫无疑问。在本文中,我们将 SRAM PUF 技术作为任何物联网设备的可靠、可扩展且易于使用的信任根。无论是作为专用硬件 IP 块还是作为加载到设备上的软件来实现,它都会从芯片硅中微小的、设备独特的变化中创建一个可信的加密根密钥。使用 SRAM PUF,可以保证设备的根密钥不为供应链中的任何人所知,并且如果设备落入不受信任的人手中,则无法更改或克隆。通过在此根机密之上扩展安全功能,可以构建敏感数据和机密密钥的可信保管库,并且可以派生和保护设备所需的所有其他密钥。这就是为什么 SRAM PUF 是从地面(或硅片)上保护系统的好方法。


物联网技术

  1. 如何在 IoT 应用程序中集成 Qt 和 DDS
  2. 2020 年 IIoT 安全提示和趋势
  3. 物联网如何解决石油和天然气领域的安全威胁
  4. 寻找通用物联网安全标准
  5. 如何为使用 IoT 的 AI 做好准备
  6. 安全和隐私是否阻碍物联网?
  7. 评估您的 IT 风险——如何以及为什么
  8. 企业如何利用物联网进行大规模数据收集和分析
  9. 自动化和物联网:医疗保健物流和安全的天作之合
  10. 全球物联网安全的三个步骤
  11. 使孟菲斯变得“智能”:物联网设备的可见性、控制和安全性
  12. 物联网项目失败的 5 个原因以及如何避免它