固件安全问题迫在眉睫！FPGA厂商如何提供端到端供应链保护？

作为一家FPGA公司，莱迪思带给人们的传统印象就只有硬件和开发工具两个主要业务。但从去年开始，除了硬件和开发工具外，莱迪思还开始为客户提供一系列的解决方案，以帮助客户针对应用尽快上手或在量产过程中提供支持。而近日，莱迪思宣布推出全新的Sentry解决方案集合和SupplyGuard 供应链保护服务，据介绍，这两个产品结合起来可以给客户提供端到端的供应链保护方案，同时满足客户动态信任的应用场景。

Sentry解决方案

根据美国国家信息安全漏洞数据库提供的数据，每年因为固件漏洞而导致的入侵数量在2016年到2019年间，有了将近七倍的增长。而Gartner公司2019年7月份给出的报告，更是预测2022年如果公司还没有去做及时的固件升级计划，补上固件安全性的漏洞，那么两年后将会有70%的公司因为固件漏洞遭到各种入侵。

莱迪思半导体亚太区应用工程（AE）总监谢征帆认为，造成这种现象的原因主要有两个：

一是传统的安全性保护都在上层软件或者OS这一层，而固件这一层并没有受到工程师或公司足够的重视。

二是在线硬件产品越来越多，不管是云端、管道还是终端设备，基本上都有相应的固件存在。随着在线设备数量增加，暴露出来的漏洞数量也会增长。当前市场上，不管是厂商的路由器，还是在线的安全监控设备，都曾遇到固件遭受入侵的情况。

因此，莱迪思Sentry解决方案主要面向的应用市场是固件保护。与此同时，Sentry解决方案最终的目的是要实现动态信任，同时实现端到端的供应链保护。那么莱迪思是如何做到动态信任的？

谢征帆介绍道：“动态信任的意思是指安全保护机制并不是静态、固化的保护方式，我们的核里面有一个Risc-V软核，这个软核可以调度不同硬件的block，例如监视器、Mux这样的底层模块。因此，在Risc-V可以用相应的C代码，实现客户所需要的功能。随着产品的演进，如果在将来新的产品里面需要一套新的保护方式，只要需底下的基础模块没有变，只改变相应的C代码，就能够轻松实现该需求。”

具体而言，Sentry解决方案最底层的硬件平台是基于莱迪思XO3D的，并且提供一块可以运行各种demo和参考设计的Sentry演示板。而在硬件平台之上，还拥有一系列IP核，比如监视器、 Mux和一些通用的接口。在IP核之上的，则是软件工具。除了传统意义上用于开发FPGA的DIAMOND软件外，莱迪思还提供了一个Lattice embedded CPU的开发平台，也就是Propel平台，这个平台包含两部分，Propel Builder和Propel SDK，类似于软核开发平台。除此之外，莱迪思还提供了一些定制化服务，针对不同行业的需求，定制化开发一些方案。

那么在一系列芯片进入正常工作流程后，XO3D芯片会继续实时监控固件数据总线上面任何的动态。谢征帆据举例称：“比如说有一个非法入侵，它想对固件flash里面某一块被列入保护的空间进行擦除，我们可以检测到，然后把它禁止掉，同时会向上层软件进行汇报，通知它来进行下一步的处理。如果说这个固件有任何的损失或修改，我们还可以进行恢复操作，把它恢复到正常状态。恢复操作不需要其他任何芯片介入，我们的XO3D芯片完全可以自己独立完成。”

至于莱迪思Sentry解决方案架构的底层硬件模块，例如I2C监视器、QSPI Streamer、PLD接口，都是采用FPGA实现的，其最大的好处是能够提供实时的保护功能，可以实时监控I2C总线、SPI总线上的异常事件。同时，莱迪思还使用RISC-V架构CPU来实现调度机制，它提供了软的灵活性，在交付Sentry解决方案的时候，还提供了Sentry基于RISC-V的C代码。

因此，从开发角度来讲，用户不需要有FPGA的设计经验，只要有C代码开发经验，就可以通过API接口调用这些模块，同时定制化自己的C代码来实现所需要的功能，大大提高了灵活性的同时吗，也减少了开发工作量。

SupplyGuard供应链保护服务

SupplyGuard供应链保护服务能够提供端到端的保护，即从芯片原厂生产开始，到经过OEM厂商，到CM生产，到客户现场交付，再到产品最后的报废，这一整个流程中，都会有供应链保护。而SupplyGuard能带给客户最大的优势，就是通过经济高效的方式，低成本地解决传统供应链中所遇到的包括克隆、过度构建、恶意后门、盗窃、恶意外设、设备劫持等问题。

“要解决这些问题，需要在不同环境中安全地构建一个客户授权的产品以保护其品牌。”谢征帆解释道：“以前向客户提供一个安全的供应链，所有的CM厂商都需要安装一台HSM设备，通过这个设备跟OEM之间建立一个比较安全的通信，而HSM设备通常是比较昂贵的，并且CM厂商需要有一个安全的环境。而我们的方案对CM厂商不再有安全性的需求，在一个非安全的环境下也能构建授权的产品，而没有经过OEM厂商授权的组件会被阻止。在我们的流程中，我们通过一对lock和unlock的密钥解决这个问题，让未经认证的设备和组件无法在这个系统里面运行。我们也会非常严格的保护这个密钥，如果有任何入侵的话，都能够实时检测到。我们最终的目的还是要对平台和系统进行最严格的保护，来实现端到端的安全供应链的保护。”

所以，对于用户而言，SupplyGuard服务的好处主要有两点：一是降低成本，不需要在CM厂商那边部署安全设备，来提供比特文件保护；二是即使将来要更换不同的CM厂商，也不会对CM厂商的安全性有任何要求，具有灵活性。

事实上，SupplyGuard供应链保护服务与Sentry解决方案的最终目的都是提供动态的信任。

当前固件攻击在终端市场上日益严重，目前大多厂商仍采用静态的方案，不能提供全面的动态保护和恢复；而SupplyGuard攻击，包括over building、克隆、木马植入等也越来越多，特别是在新冠疫情等突发事件下，供应链上进行人工值守的难度会越来越大。谢征帆表示，也正为如此，莱迪思推出如SupplyGuard以及Sentry这样动态、并行、实时、快速响应的方案来帮助厂商管理这些问题。