上期我們談到了服務(wù)器固件的安全風(fēng)險(xiǎn)和傳統(tǒng)保護(hù)方法的不足，談到了平臺(tái)固件保護(hù)恢復(fù)（PFR）這一全新的標(biāo)準(zhǔn)將為服務(wù)器提供全方位的保護(hù)。今天我們談?wù)勅绾螌?shí)現(xiàn)PFR解決方案 ，以及兩種典型方案的比較。

實(shí)現(xiàn)符合NIST標(biāo)準(zhǔn)的PFR解決方案

PLD上實(shí)現(xiàn)可信根的難點(diǎn)在于，實(shí)現(xiàn)方案的同時(shí)不給原始設(shè)備制造商帶來(lái)過(guò)大的負(fù)擔(dān)?？尚鸥布鉀Q方案（包 括基于PLD的解決方案）必須可擴(kuò)展，也就意味著它能夠保護(hù)服務(wù)器上的所有固件，同時(shí)響應(yīng)時(shí)間達(dá)到毫微秒級(jí)。它還要能夠使用不可修改的加密模塊，通過(guò)加密檢測(cè)來(lái)確定固件是否遭到篡改。將PFR與服務(wù)器所有組件完整的啟動(dòng)時(shí)序控制功能相結(jié)合，RoT就變得不可繞過(guò)。最后，解決方案還應(yīng)能夠自動(dòng)切換回最近的黃金固件鏡像，以便在發(fā)現(xiàn)當(dāng)前固件被破壞時(shí)服務(wù)器可以繼續(xù)運(yùn)行。

按照定義，基于硬件的RoT器件自然需要在芯片中實(shí)現(xiàn)。在此情況下，最常用的芯片平臺(tái)即微控制器（MCU）和現(xiàn) 場(chǎng)可編程門(mén)陣列（FPGA）。在充分考慮到FPGA和MCU的運(yùn)行特點(diǎn)和特性后，我們發(fā)現(xiàn)FPGA在很大程度上更適用于PFR解決方案。

使用MCU實(shí)現(xiàn)可信根

MCU過(guò)去常在服務(wù)器硬件產(chǎn)品中用于構(gòu)建可信根。簡(jiǎn)單來(lái)說(shuō)，就是保留MCU層的一部分為可信執(zhí)行環(huán)境。MCU 的這一部分與芯片的其他區(qū)域保持物理隔離，并持續(xù)監(jiān)控固件，確保其獲得授權(quán)并正常工作。通常來(lái)說(shuō)，服務(wù)器上的PFR功能是通過(guò)向現(xiàn)有的硬件架構(gòu)上添加RoT MCU實(shí)現(xiàn)的。

MCU通常難以支持驗(yàn)證服務(wù)器中的多個(gè)固件實(shí)例。這是因?yàn)樗鼰o(wú)法在沒(méi)有外部設(shè)備（如PLD）的幫助下響應(yīng)對(duì)服務(wù)器所有固件實(shí)例的系統(tǒng)內(nèi)部攻擊（而PLD能實(shí)時(shí)監(jiān)控SPI存儲(chǔ)器的流量并同步檢測(cè)和響應(yīng)入侵行為）。如圖4所示，使用MCU實(shí)現(xiàn)PFR的三個(gè)組件為：

RoT MCU– RoT MCU執(zhí)行檢測(cè)、恢復(fù)和保護(hù)功能；它是實(shí)現(xiàn)RoT的核心組件。

保護(hù)PLD– 通過(guò)實(shí)時(shí)監(jiān)控所有組件處理器與其SPI存儲(chǔ)器設(shè)備之間的活動(dòng)，大規(guī)模實(shí)現(xiàn)PFR，全面保護(hù)電路板。

控制PLD– 該器件集成了所有電路板級(jí)的上電和復(fù)位時(shí)序功能，包括風(fēng)扇控制、SGPIO、I2C緩沖、信號(hào)集成和帶外通信等啟動(dòng)主板必須的功能。RoT MCU命令控制PLD為電路板上電。若需要在極端情況進(jìn)行恢復(fù)，RoT MCU則命令控制PLD僅為可信恢復(fù)過(guò)程中使用的部分電路板供電。

圖 4：如果需要各組件同時(shí)啟動(dòng)，那么符合PFR標(biāo)準(zhǔn)、使用MCU作為可信根的服務(wù)器還需要額外的組件（FPGA）來(lái)提供必要的高性能；在大規(guī)模的服務(wù)器應(yīng)用場(chǎng)景下，此種解決方案不可擴(kuò)展

這種基于MCU的PFR方案有諸多限制。例如，圖4電路中使用的控制PLD無(wú)法保護(hù)自身固件，也就意味著這種架構(gòu)并非完全符合NIST PFR的要求。控制PLD的代碼仍有可能被修改，讓RoT MCU失效。還有可能受到永久拒絕服務(wù)攻擊（PDoS），通過(guò)刪除這些PLD上的信息，讓系統(tǒng)無(wú)法運(yùn)行，從而使讓服務(wù)器無(wú)法啟動(dòng)。保護(hù)和控制PLD存在的安全漏洞使得組件在運(yùn)輸或者系統(tǒng)集成過(guò)程中很難防止對(duì)固件的攻擊。為了達(dá)到NIST SP 800 193標(biāo)準(zhǔn)，RoT MCU必須同時(shí)為控制PLD和保護(hù)PLD實(shí)現(xiàn)PFR功能。而使用MCU在這些器件上實(shí)現(xiàn)恢復(fù)和保護(hù)功能非常困難。最后，基于MCU的方案需要額外的系統(tǒng)級(jí)進(jìn)程來(lái)檢測(cè)試圖繞過(guò)整個(gè)RoT電路的攻擊行為。

使用FPGA實(shí)現(xiàn)可信根

圖 5：RoT FPGA解決方案將RoT MCU、控制PLD和保護(hù)PLD的功能集成在單個(gè)芯片上，不僅可靠、易擴(kuò)展，而且不可繞過(guò)。在擁有符合PFR標(biāo)準(zhǔn)的PLD的服務(wù)器上，PLD的性能足以并行監(jiān)測(cè)所有組件的固件而無(wú)需使用額外的FPGA

基于可信根FPGA的PFR解決方案優(yōu)勢(shì)

正如其名，可編程邏輯電路（PLD）是一種幾乎可以瞬時(shí)實(shí)現(xiàn)遠(yuǎn)程重新編程的集成電路，以適應(yīng)不斷變化的場(chǎng)景。PLD可以在硬件層面上改變其電路，因此一旦檢測(cè)到未經(jīng)授權(quán)的固件，該固件就無(wú)法安裝。

由于PLD被設(shè)計(jì)為可重新編程，因此比MCU有更多的I/O接口，這讓它們可以并行運(yùn)行多個(gè)功能而非按順序執(zhí)行。 因此它們?cè)跈z測(cè)未授權(quán)固件時(shí)，識(shí)別和響應(yīng)速度更快。

此外，PLD使用了先進(jìn)的仿真軟件，讓工程師得以驗(yàn)證其PLD設(shè)計(jì)的功能。工程師還可以使用這一工具來(lái)測(cè)試其針對(duì)各種固件的網(wǎng)絡(luò)攻擊的設(shè)計(jì)是否可以保護(hù)PLD自身。與PLD相比，MCU的固件更新需要更復(fù)雜的測(cè)試和驗(yàn)證，因?yàn)镸CU不能通過(guò)仿真支持功能驗(yàn)證。相反，MCU固件的任何更新都必須經(jīng)過(guò)多次回歸（試錯(cuò)過(guò)程）測(cè)試，以確保新固件不會(huì)對(duì)MCU中的其他功能產(chǎn)生不良影響；這一過(guò)程遠(yuǎn)比運(yùn)行PLD仿真軟件繁瑣。

當(dāng)我們對(duì)比PLD和MCU的特點(diǎn)時(shí)，會(huì)發(fā)現(xiàn)PLD能提供性能更優(yōu)、更為可靠的平臺(tái)實(shí)現(xiàn)基于硬件的可信根；它也成為滿足PFR標(biāo)準(zhǔn)的必要器件。

應(yīng)對(duì)供應(yīng)鏈攻擊：MCU與FPGA解決方案

如果出現(xiàn)固件攻擊，兩種不同類(lèi)型的PFR系統(tǒng)將采取以下應(yīng)對(duì)措施（按照實(shí)施順序）：

PFR開(kāi)發(fā)套件簡(jiǎn)化FPGA可信根的實(shí)現(xiàn)

萊迪思現(xiàn)提供一款PFR開(kāi)發(fā)套件，可簡(jiǎn)化FPGA RoT解決方案的實(shí)現(xiàn)。服務(wù)器組件的原始設(shè)備制造商和系統(tǒng)集成商如今可以快速實(shí)現(xiàn)基于FPGA的PFR，滿足上市時(shí)間的要求。該套件包括一個(gè)軟件功能庫(kù)、相關(guān)的IP和3個(gè)開(kāi)發(fā)板，用于實(shí)現(xiàn)PFR（包括保護(hù)PLD功能）。用戶可以通過(guò)Lattice Diamond軟件工具將電路板控制PLD功能添加到 RoT FPGA設(shè)計(jì)中。萊迪思PFR開(kāi)發(fā)套件和開(kāi)發(fā)板包括：

★一個(gè)RoT FPGA開(kāi)發(fā)板

★ 一塊運(yùn)行Python腳本的ECP5 FPGA板，用于模擬服務(wù)器的BMC。開(kāi)發(fā)人員可以通過(guò)Python腳本執(zhí)行命令來(lái)模擬對(duì)組件SPI存儲(chǔ)器的攻擊。

★ 一個(gè)PFR適配卡，用于在SPI存儲(chǔ)器中存儲(chǔ)BMC代碼。在開(kāi)發(fā)板的RoT FPGA中實(shí)現(xiàn)的PFR功能可以保護(hù)PFR適 配卡固件免受攻擊（意味著基于FPGA的該解決方案符合NIST PFR標(biāo)準(zhǔn)）。

萊迪思套件讓用戶能夠設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)符合NIST標(biāo)準(zhǔn)的自定義PFR方案，而無(wú)需專(zhuān)門(mén)的安全專(zhuān)業(yè)知識(shí)。

圖 6：Lattice FPGA RoT開(kāi)發(fā)套件擁有三塊開(kāi)發(fā)板：RoT FPGA開(kāi)發(fā)板，用于模擬服務(wù)器BMC的ECP5開(kāi)發(fā)板和用于 存儲(chǔ)模擬BMC固件的SPI閃存板

小結(jié)

對(duì)于涉足數(shù)字領(lǐng)域的企業(yè)和組織而言，網(wǎng)絡(luò)安全是個(gè)至關(guān)重要的問(wèn)題。如今黑客會(huì)通過(guò)攻擊企業(yè)服務(wù)器固件來(lái)獲取未經(jīng)授權(quán)訪問(wèn)服務(wù)器數(shù)據(jù)的權(quán)限，或者直接讓服務(wù)器永久癱瘓。而通過(guò)基于FPGA的RoT器件實(shí)現(xiàn)的PFR則能有效解決這一難題，提供安全可靠、容易擴(kuò)展、全套完備的方案，在供應(yīng)鏈的任何環(huán)節(jié)保護(hù)服務(wù)器組件的固件。全新的萊迪思PFR開(kāi)發(fā)套件為加速和簡(jiǎn)化RoT器件的開(kāi)發(fā)提供了便捷途徑，確保你的服務(wù)器安全無(wú)虞。