如何防止器件“磚頭化”，只發(fā)出警告就夠了嗎?

“系統(tǒng)正在更新，請(qǐng)勿關(guān)閉電源。”我們都看到過這個(gè)警告，它通常在電子器件要在閃存安裝代碼更新時(shí)出現(xiàn)。如果更新被中斷，閃存將無法正確更新，代碼將會(huì)損壞，而器件無法運(yùn)行，即“磚頭化” (bricked)。這種大家熟悉的警告存在的原因，是因?yàn)槭褂瞄W存的大多數(shù)半導(dǎo)體器件在編程或擦除操作期間需要一直供電。顯然，防止器件“磚頭化”是非常重要的。但是，只發(fā)出警告就夠了嗎?有些嵌入式器件甚至都沒有用戶顯示器，因此無法產(chǎn)生警告。在設(shè)計(jì)中如何才能確?？煽壳野踩倪h(yuǎn)程系統(tǒng)更新呢?

嵌入式系統(tǒng)遠(yuǎn)程升級(jí)的重要性

遠(yuǎn)程升級(jí)對(duì)連接的嵌入式系統(tǒng)日益重要。通過互聯(lián)網(wǎng)遠(yuǎn)程修復(fù)漏洞或增加新特性，可以節(jié)省大量的維護(hù)費(fèi)用;當(dāng)部署數(shù)千個(gè)嵌入式系統(tǒng)時(shí)，維護(hù)便是一個(gè)大問題了。隨著嵌入式系統(tǒng)安全問題的不斷增加，通過遠(yuǎn)程安全定向代碼升級(jí)來修復(fù)潛在安全漏洞變得愈發(fā)重要。顯然，升級(jí)必須安全地完成，否則，攻擊算法便很容易利用不安全的更新來破壞系統(tǒng)。下面是一個(gè)典型系統(tǒng)的示例，有助于更好地了解安全可靠的遠(yuǎn)程升級(jí)設(shè)施的要求。

系統(tǒng)示例——控制平面橋

通信或網(wǎng)絡(luò)機(jī)箱內(nèi)的控制平面橋(Control Plane Bridge)，是需要遠(yuǎn)程更新的常見系統(tǒng)示例。這種子系統(tǒng)匯集了許多低速外設(shè)，比如模擬傳感器、電源管理模塊、風(fēng)扇、故障記錄存儲(chǔ)器和利用I2C、 SPI和GPIO接口的狀態(tài)輸出。然后，可以采用速度更快的總線——可能是通信和連網(wǎng)機(jī)箱內(nèi)很常見的子系統(tǒng)接口PCIe，與低速外設(shè)直接通信。這種機(jī)箱控制子系統(tǒng)能夠?qū)嵤┲悄軈R聚功能，當(dāng)規(guī)定啟動(dòng)點(diǎn)被激活，例如到達(dá)最高溫度或最低電壓水平時(shí)，便會(huì)“推進(jìn)”通信。圖1所示就是這樣一個(gè)系統(tǒng)，它是用配備片上微控制器的FPGA (通常稱為SoC FPGA) 實(shí)現(xiàn)的。

圖1 經(jīng)PCIe遠(yuǎn)程升級(jí)的機(jī)箱控制平面橋

FPGA和閃存

在上面的例子中，遠(yuǎn)程更新經(jīng)由PCIe總線實(shí)現(xiàn)，但并未對(duì)編程期間可能出現(xiàn)的斷電進(jìn)行保護(hù)。讓我們看看常見的FPGA實(shí)施類型，從而更好地防范閃存遠(yuǎn)程更新過程中突然斷電時(shí)可能出現(xiàn)的重大故障。

幾乎每個(gè)基于FPGA的系統(tǒng)都需要采用某種形式的非易失性存儲(chǔ)器來儲(chǔ)存配置存儲(chǔ)。一般說來，配置存儲(chǔ)器位于芯片外或芯片上?；赟RAM的FPGA需要外部閃存，用于上電時(shí)的配置?；陂W存的FPGA可以使用嵌在FPGA結(jié)構(gòu)(結(jié)構(gòu)嵌入閃存FPGA)內(nèi)的配置存儲(chǔ)器，或使用基于SRAM的結(jié)構(gòu)，但將一個(gè)閃存塊放在芯片上(側(cè)面閃存FPGA)。

基于SRAM的FPGA通常使用NOR SPI閃存，因?yàn)樗牡囊_數(shù)最少，幾家供應(yīng)商有同樣的引腳輸出，而且密度高達(dá)1 Gb。目前的NOR SPI閃存器件擁有32位地址選擇，可擴(kuò)展成為4GB器件，而且不需要改變指令和控制協(xié)議。當(dāng)這種SPI閃存處于程序或擦除模式 (電荷泵啟動(dòng)) 且電力消失時(shí)，會(huì)發(fā)生什么事情呢?電荷在哪里消失?是否有電路檢測到這些閃存的電力故障并將電荷安全地引導(dǎo)到地面?一般說來，正被寫入的頁面將出現(xiàn)數(shù)據(jù)損壞。

圖2 三種FPGA配置圖：帶外部配置閃存的基于SRAM的FPGA、側(cè)面閃存FPGA和嵌入閃存FPGA

側(cè)面閃存FPGA系統(tǒng)采用較寬的片上數(shù)據(jù)總線在上電時(shí)載入基于SRAM的配置存儲(chǔ)。通常，這種方法載入配置比基于SRAM的FPGA要快，因?yàn)楹笳呤遣捎猛獠块W存來配置器件的。但是，這種方法存在程序或擦除周期期間功率損失的問題。電荷去了哪里?閃存是否被破壞?是否僅寫入頁面被破壞?整個(gè)閃存都存在風(fēng)險(xiǎn)?FPGA是否能夠檢測被破壞的片上存儲(chǔ)器，或者，在上電期間，被破壞的數(shù)據(jù)是否被載入到配置存儲(chǔ)器內(nèi)?

閃存的破壞是個(gè)問題，如何確保遠(yuǎn)程數(shù)據(jù)的安全也非常重要。當(dāng)嵌入式產(chǎn)品可由終端用戶訪問時(shí)，就存在被篡改的可能。為了防止攻擊，必須同時(shí)采用軟件和硬件的安全功能。僅對(duì)遠(yuǎn)程配置數(shù)據(jù)文件進(jìn)行加密遠(yuǎn)遠(yuǎn)不夠。雖然這種軟件加密安全有用，但是還必須將解密數(shù)據(jù)的硬件 (FPGA) 置于安全保護(hù)內(nèi)。當(dāng)用戶訪問嵌入式器件時(shí)，加密數(shù)據(jù)文件很容易被提取。利用價(jià)格便宜的電磁探針和進(jìn)行差分功耗分析 (DPA) 即可實(shí)現(xiàn)這一點(diǎn)。采用這種方法提取FPGA安全密匙的例子很多。如果FPGA并未內(nèi)置DPA對(duì)抗措施，則任何遠(yuǎn)程更新都存在安全風(fēng)險(xiǎn)。當(dāng)用戶能夠訪問嵌入式產(chǎn)品時(shí)，如果沒有DPA對(duì)抗措施，便如同中門大開，沒有安全可言。

在嵌入閃存的FPGA中，配置儲(chǔ)存在芯片上，并緊密集成在FPGA結(jié)構(gòu)內(nèi)。例如，在美高森美SmartFusion2和IGLOO2 flash FPGA上，可經(jīng)由外部通信端口如USB、PCIe或JTAG等進(jìn)行編程，整個(gè)編程過程由片上專用編程接口管理。此外，SmartFusion2和 IGLOO2 FPGA使用了一種稱為“在應(yīng)用中編程”(IAP)的高級(jí)編程機(jī)制，即便在編程期間有功率損耗的情況下，仍可提供可靠且安全的編程。讓我們看看如何采用 IAP機(jī)制來實(shí)現(xiàn)目前嵌入式系統(tǒng)需要的可靠遠(yuǎn)程升級(jí)的能力。

在基于FPGA的嵌入式系統(tǒng)中實(shí)現(xiàn)可靠且安全的遠(yuǎn)程更新

嵌入閃存的FPGA可以提供更容易支持安全可靠的遠(yuǎn)程更新所需的關(guān)鍵功能。例如，SmartFusion2擁有實(shí)施關(guān)鍵橋接功能及安全和IAP功能需要的所有主流FPGA特點(diǎn)。如圖3所示，低速接口可以采用I2C和GPIO連接。高速主機(jī)接口PCIe則作為不需要FPGA結(jié)構(gòu)的專用端口。

圖3 SmartFusion2“在應(yīng)用中編程”(IAP)支持機(jī)箱控制平面橋，以實(shí)現(xiàn)安全可靠的遠(yuǎn)程更新

片上處理器可以利用高速存儲(chǔ)子系統(tǒng)(HSMS)訪問大型內(nèi)部閃存來進(jìn)行代碼儲(chǔ)存，訪問大型內(nèi)部SRAM來進(jìn)行數(shù)據(jù)緩沖，而專用DDR控制器則在有需要時(shí)訪問其它外部存儲(chǔ)器。專用系統(tǒng)控制器提供編程期間使用的安全功能，以及遠(yuǎn)程更新期間使用的IAP功能。圖4詳細(xì)描述了SmartFusion2 FPGA上可以提供的關(guān)鍵功能。