基于北斗衛(wèi)星導(dǎo)航系統(tǒng)的安全芯片設(shè)計(jì)

范長(zhǎng)永

(深圳華大北斗科技有限公司，深圳 518129)

0 引言

隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)聯(lián)時(shí)代已經(jīng)到來(lái)，萬(wàn)物互聯(lián)將成為趨勢(shì)，提高了生產(chǎn)效率的同時(shí)，給人們的生產(chǎn)、生活帶來(lái)極大便利。隨著物聯(lián)網(wǎng)在國(guó)家基礎(chǔ)設(shè)施、工業(yè)生產(chǎn)、自然資源、智能家居、智能駕駛、安防等方面的廣泛應(yīng)用，對(duì)信息安全的重視已上升到國(guó)家戰(zhàn)略高度，而安全芯片具有軟件不可比擬的抗攻擊性，成為了安全防護(hù)的核心部件。物聯(lián)網(wǎng)設(shè)備也正展現(xiàn)出移動(dòng)化、智能化等新的特點(diǎn)，如網(wǎng)聯(lián)汽車(chē)、兩客一危、特種車(chē)輛、手機(jī)、追蹤器等，要求移動(dòng)的物體在限定的范圍內(nèi)移動(dòng)，以保證其安全。

數(shù)據(jù)網(wǎng)絡(luò)及設(shè)備之間存在一個(gè)基本的信任就是：網(wǎng)絡(luò)內(nèi)部及各設(shè)備之間的時(shí)間是統(tǒng)一的。如通信系統(tǒng)和電力系統(tǒng)對(duì)時(shí)間統(tǒng)一的要求更為嚴(yán)格，一旦系統(tǒng)時(shí)間不一致，將導(dǎo)致整個(gè)通信系統(tǒng)和電力系統(tǒng)陷入癱瘓，攻擊者往往通過(guò)擾亂系統(tǒng)時(shí)間攻擊通信系統(tǒng)和電力系統(tǒng)，統(tǒng)一的時(shí)間關(guān)乎信息安全進(jìn)而威脅國(guó)家安全。

新的特點(diǎn)對(duì)安全芯片提出新的要求，使得對(duì)能夠識(shí)別位置和時(shí)間且不被黑客篡改和攻擊的傳感器的需求越來(lái)越強(qiáng)烈，但目前此類(lèi)技術(shù)在國(guó)內(nèi)外尚處于空白階段。

受限于導(dǎo)航定位芯片射頻基帶一體化SoC設(shè)計(jì)技術(shù)以及信息安全的跨界集成技術(shù)，目前市場(chǎng)上僅有安全芯片與全球衛(wèi)星定位系統(tǒng)(GPS)接收芯片組合的系統(tǒng)解決方案。GPS芯片實(shí)際起到了位置傳感器和時(shí)間傳感器的作用。從安全角度看，位置傳感器和時(shí)間傳感器與安全芯片內(nèi)部溫度、電壓等安全傳感器應(yīng)具有同等地位和防攻擊特性。但現(xiàn)有方案中GPS芯片和安全芯片在系統(tǒng)級(jí)是獨(dú)立的兩顆芯片，GPS芯片易于被旁路，其輸出的位置信息和時(shí)間信息也很容易被篡改。因此系統(tǒng)安全性大大降低，存在極大的安全隱患，設(shè)計(jì)一款整合位置傳感器和時(shí)間傳感器的安全芯片迫在眉睫。

使用GPS雖然可以解決位置和時(shí)間感知問(wèn)題，但它受美國(guó)軍方控制，給我國(guó)國(guó)家安全造成巨大隱患。隨著我國(guó)自主研發(fā)和建設(shè)的北斗衛(wèi)星導(dǎo)航系統(tǒng)(Beidou Navigation Satellite System，BDS)不斷完善，在國(guó)內(nèi)代替GPS已是勢(shì)在必行。

基于BDS的安全芯片設(shè)計(jì)方案解決了位置感知、時(shí)間感知的安全性問(wèn)題，填補(bǔ)了安全芯片設(shè)計(jì)領(lǐng)域的空白，同時(shí)也成為BDS在地面接收方面的新型應(yīng)用，對(duì)國(guó)家信息安全及北斗衛(wèi)星導(dǎo)航產(chǎn)業(yè)化推廣具有重大意義。

1 北斗導(dǎo)航系統(tǒng)概述

北斗衛(wèi)星導(dǎo)航系統(tǒng)是中國(guó)自行研制的全球衛(wèi)星導(dǎo)航系統(tǒng)，是繼美國(guó)全球定位系統(tǒng)(GPS)、俄羅斯格洛納斯衛(wèi)星導(dǎo)航系統(tǒng)(GLONASS)之后第三個(gè)成熟的衛(wèi)星導(dǎo)航系統(tǒng)。以上三者和歐盟伽利略衛(wèi)星導(dǎo)航系統(tǒng)(GALILEO)是聯(lián)合國(guó)衛(wèi)星導(dǎo)航委員會(huì)認(rèn)定的供應(yīng)商。

北斗衛(wèi)星導(dǎo)航系統(tǒng)由空間段、地面段和用戶(hù)段三部分組成，可在全球范圍內(nèi)全天候、全天時(shí)為各類(lèi)用戶(hù)提供高精度、高可靠的定位、導(dǎo)航和授時(shí)服務(wù)，并具有短報(bào)文通信能力，已經(jīng)初步具備區(qū)域?qū)Ш?、定位和授時(shí)能力，定位精度為10 m，測(cè)速精度為0.2 m/s，授時(shí)精度10 ns。

2017年11月5日，中國(guó)第三代導(dǎo)航衛(wèi)星順利升空，它標(biāo)志著中國(guó)正式開(kāi)始建造北斗全球衛(wèi)星導(dǎo)航系統(tǒng)，到2020年完成全球的組網(wǎng)覆蓋，將為全球提供服務(wù)。

2 北斗安全芯片整體方案

導(dǎo)航衛(wèi)星不但可以提供位置信息，而且能夠提供時(shí)間信息，即授時(shí)技術(shù)，但接收到的位置信息和時(shí)間信息易于被旁路和篡改，使得后臺(tái)管理系統(tǒng)收不到位置或時(shí)間信息，或者收到了假的位置或時(shí)間信息，導(dǎo)致系統(tǒng)的混亂，進(jìn)而使系統(tǒng)陷入癱瘓。

傳統(tǒng)的安全芯片通?？梢愿兄獪囟取㈦妷?、頻率等外部環(huán)境信息，以確定設(shè)備本身是否受到了外部攻擊。但目前尚未有安全芯片能夠感知位置和時(shí)間信息，無(wú)法針對(duì)位置和時(shí)間的攻擊做出判斷和響應(yīng)。

針對(duì)這些問(wèn)題，設(shè)計(jì)出將北斗衛(wèi)星系統(tǒng)、地面接收技術(shù)、安全防護(hù)技術(shù)相結(jié)合，具有位置和時(shí)間傳感器的安全芯片，應(yīng)對(duì)針對(duì)位置和時(shí)間的攻擊。

整體芯片技術(shù)方案如圖1所示。北斗衛(wèi)星接收單元接收衛(wèi)星信號(hào)并解算出位置和時(shí)間信息，輸出到安全控制單元，以判斷位置和時(shí)間是否在允許的范圍內(nèi)，并將判斷結(jié)果輸出到安全報(bào)警單元，以決定對(duì)判斷結(jié)果作出何種響應(yīng)，如復(fù)位、中斷、控制CPU運(yùn)行等。安全控制單元同時(shí)也接收溫度、電壓等其他安全傳感器信號(hào)，判斷溫度、電壓等是否在允許范圍內(nèi)，并通過(guò)安全報(bào)警單元控制復(fù)位、CPU、中斷等單元，對(duì)判斷結(jié)果作出響應(yīng)。

圖1方案中除北斗衛(wèi)星接收單元外，其他均為現(xiàn)有安全芯片通用結(jié)構(gòu)，且均有成熟產(chǎn)品和應(yīng)用，在此不再詳細(xì)描述。本文重點(diǎn)描述與北斗導(dǎo)航相關(guān)的安全技術(shù)。

圖1 北斗安全芯片整體結(jié)構(gòu)

3 北斗安全芯片的關(guān)鍵技術(shù)

北斗安全芯片的核心部分包括：北斗衛(wèi)星接收單元、安全位置傳感器、安全時(shí)間傳感器。

3.1 北斗衛(wèi)星接收單元

北斗衛(wèi)星接收單元由天線、低噪聲放大器、混頻器、濾波器、放大器、AD轉(zhuǎn)換器、數(shù)字信號(hào)處理通道及接收機(jī)處理器組成，如圖2所示。天線接收北斗衛(wèi)星信號(hào)，通過(guò)低噪聲放大器將天線上的微弱射頻信號(hào)放大，由于該放大器在射頻電路的最前端，其噪聲會(huì)在后級(jí)被放大，故對(duì)該放大器的噪聲系數(shù)要求較高?；祛l器將經(jīng)過(guò)放大的信號(hào)和本地精準(zhǔn)時(shí)鐘混頻，將調(diào)制在射頻信號(hào)里的有用信號(hào)混頻到較低頻率。濾波器抑制有用信號(hào)帶之外的噪聲信號(hào)，AD轉(zhuǎn)換器將有用信號(hào)量化成數(shù)字信號(hào)送至數(shù)字信號(hào)處理通道中處理，N個(gè)并行通道可以同時(shí)跟蹤來(lái)自N顆衛(wèi)星的載波和碼。每個(gè)通道包含碼跟蹤環(huán)和載波跟蹤環(huán)，以完成碼和載波相位的測(cè)量以及導(dǎo)航電文的解調(diào)。解調(diào)后的電文經(jīng)接收機(jī)處理器處理即能產(chǎn)生所需位置信號(hào)和時(shí)間信號(hào)。

圖2 北斗衛(wèi)星接收單元

接收機(jī)通過(guò)測(cè)量來(lái)自北斗衛(wèi)星導(dǎo)航定位信號(hào)的傳播時(shí)延，測(cè)得衛(wèi)星信號(hào)接收天線相位中心與北斗衛(wèi)星發(fā)射天線相位中心之間的距離(站星距離)，進(jìn)而將此距離和北斗衛(wèi)星在軌位置聯(lián)合解算，算出用戶(hù)的三維坐標(biāo)。

北斗衛(wèi)星通過(guò)星載時(shí)鐘發(fā)射結(jié)構(gòu)為“偽隨機(jī)噪聲碼”的信號(hào)，稱(chēng)為測(cè)距碼信號(hào)。該信號(hào)從衛(wèi)星發(fā)射經(jīng)時(shí)間Δt后，到達(dá)接收機(jī)天線，用Δt乘以電磁波在真空中的速度c，就是衛(wèi)星至接收機(jī)的空間幾何距離ρ，即ρ=c×Δt。由于傳播時(shí)間Δt中包含衛(wèi)星時(shí)鐘與接收機(jī)時(shí)鐘不同步的誤差、衛(wèi)星星歷誤差、接收機(jī)測(cè)量噪聲以及測(cè)距碼在大氣中傳播的延遲誤差等用戶(hù)等效距離誤差(UERE)，由此求得的距離并非真正的接收機(jī)和衛(wèi)星的幾何距離，習(xí)慣上稱(chēng)之為“偽距”。目前通過(guò)該技術(shù)獲得的位置精度為5～10 m。通過(guò)差分定位技術(shù)可以大幅減小上述誤差，使定位精度達(dá)到厘米級(jí)。目前差分定位技術(shù)有地基增強(qiáng)技術(shù)和星基增強(qiáng)技術(shù)等，在此不再詳述。

3.2 安全位置傳感器

使用北斗衛(wèi)星接收單元輸出的位置信息設(shè)計(jì)的安全位置傳感器，具備了不可旁路性、自檢、抵抗開(kāi)封和探針探測(cè)等安全特性，與傳統(tǒng)的芯片安全技術(shù)相結(jié)合，可應(yīng)對(duì)針對(duì)位置的黑客攻擊，保障移動(dòng)設(shè)備的安全。其結(jié)構(gòu)如圖3所示。

圖3 安全位置傳感器結(jié)構(gòu)

安全位置傳感器核心部分包括北斗衛(wèi)星接收單元、安全控制單元(位置自檢單元、實(shí)時(shí)位置監(jiān)控單元)、安全報(bào)警單元。安全位置傳感器實(shí)時(shí)對(duì)移動(dòng)設(shè)備進(jìn)行監(jiān)控，一旦超出設(shè)定的范圍則啟動(dòng)報(bào)警機(jī)制，如禁止或限制設(shè)備工作、向后臺(tái)管理系統(tǒng)發(fā)送報(bào)警信號(hào)等。

具有位置傳感器的安全芯片出廠前在內(nèi)部預(yù)置經(jīng)緯度信息，用于位置傳感器自檢。裝載安全芯片的設(shè)備出廠前在安全芯片內(nèi)部預(yù)置允許設(shè)備移動(dòng)的范圍即經(jīng)緯度信息。

其工作流程如圖4所示。

圖4 安全位置傳感器芯片工作流程

(1)芯片上電首先進(jìn)行位置傳感器自檢。

①導(dǎo)航衛(wèi)星接收單元發(fā)送預(yù)設(shè)的固定經(jīng)緯度信息給自檢單元，該經(jīng)緯度信息在安全芯片預(yù)設(shè)的范圍內(nèi)。自檢單元對(duì)接收到的位置信息進(jìn)行判斷，如果在范圍內(nèi)則第一步自檢通過(guò)。

②導(dǎo)航衛(wèi)星接收單元發(fā)送預(yù)設(shè)的固定經(jīng)緯度信息給自檢單元，該經(jīng)緯度信息不在安全芯片預(yù)設(shè)的范圍內(nèi)。自檢單元對(duì)接收到的位置信息進(jìn)行判斷，如果不在范圍內(nèi)則第二步自檢通過(guò)。

③自檢單元對(duì)第一步和第二步的結(jié)果進(jìn)行合并判斷，并將最終自檢結(jié)果發(fā)送給安全報(bào)警單元，只有前兩步全部通過(guò)則自檢通過(guò)，否則自檢不通過(guò)。

④如果自檢通過(guò)，安全報(bào)警單元?jiǎng)t釋放復(fù)位信號(hào)，等待其他安全傳感器自檢結(jié)果，自檢全部通過(guò)則CPU啟動(dòng)；如果自檢不通過(guò)則認(rèn)為位置傳感器受到攻擊，復(fù)位信號(hào)繼續(xù)有效，芯片一直處于復(fù)位狀態(tài)。

(2)其他安全傳感器自檢，自檢通過(guò)則CPU啟動(dòng)，否則芯片處于復(fù)位狀態(tài)。其他安全傳感器自檢可與位置傳感器自檢并行或串行進(jìn)行。

(3)芯片正常工作即CPU啟動(dòng)后，實(shí)時(shí)監(jiān)測(cè)單元實(shí)時(shí)監(jiān)控位置信息，并將結(jié)果傳遞給安全報(bào)警單元。

(4)如果位置信息超出了預(yù)設(shè)的經(jīng)緯度范圍，則安全報(bào)警單元發(fā)出報(bào)警信息，用戶(hù)可將報(bào)警信息設(shè)置為中斷或復(fù)位，由CPU進(jìn)行報(bào)警中斷處理或強(qiáng)制芯片處于復(fù)位狀態(tài)，避免信息泄露。

(5)芯片正常工作過(guò)程中，可通過(guò)CPU不定期發(fā)送自檢指令，對(duì)位置傳感器進(jìn)行自檢，以確認(rèn)位置傳感器是否受到攻擊，并將自檢結(jié)果發(fā)送給安全報(bào)警單元，自檢過(guò)程與上電自檢相同。

(6)安全報(bào)警單元通過(guò)中斷或復(fù)位的方式發(fā)出報(bào)警信號(hào)。

通過(guò)上述步驟1上電自檢和步驟5工作過(guò)程中自檢以確認(rèn)安全位置傳感器是否工作正常、是否受到了旁路攻擊，一旦受到攻擊則通過(guò)安全報(bào)警單元發(fā)出報(bào)警信號(hào)。

在位置數(shù)據(jù)存儲(chǔ)時(shí)增加校驗(yàn)位，每次讀出數(shù)據(jù)首先進(jìn)行數(shù)據(jù)校驗(yàn)，再與已存儲(chǔ)的校驗(yàn)位進(jìn)行對(duì)比，如果對(duì)比不一致則說(shuō)明位置數(shù)據(jù)已被篡改，該數(shù)據(jù)將被禁止使用，并發(fā)出報(bào)警信號(hào)，該報(bào)警信號(hào)將會(huì)導(dǎo)致系統(tǒng)進(jìn)入復(fù)位或中斷等安全狀態(tài)。

同時(shí)，芯片中的溫度、電壓等其他安全傳感器以及在芯片版圖設(shè)計(jì)中使用隨機(jī)邏輯布線、關(guān)鍵信號(hào)隱藏、冗余走線等方式同樣也會(huì)起到防篡改和防旁路的作用。

在安全時(shí)間傳感器設(shè)計(jì)中采用同樣的方法進(jìn)行安全防護(hù)。

3.3 安全時(shí)間傳感器

安全時(shí)間傳感器核心部分包括北斗衛(wèi)星接收單元、安全控制單元(時(shí)間自檢單元、實(shí)時(shí)時(shí)間監(jiān)控單元)、安全報(bào)警單元。

如圖5所示，時(shí)間傳感器為整個(gè)系統(tǒng)提供統(tǒng)一的時(shí)間，通過(guò)安全算法單元加密后再通過(guò)系統(tǒng)總線向整個(gè)系統(tǒng)廣播，并對(duì)是否遭受攻擊進(jìn)行實(shí)時(shí)檢測(cè)。系統(tǒng)總線上的設(shè)備通過(guò)解密后獲得正確的時(shí)間信息。

圖5 安全時(shí)間傳感器結(jié)構(gòu)

安全時(shí)間傳感器與安全位置傳感器類(lèi)似，結(jié)構(gòu)和工作流程相同的部分不再詳細(xì)描述，其主要差異在于系統(tǒng)中的應(yīng)用。通過(guò)時(shí)間傳感器獲得可靠的時(shí)間信息，并將此時(shí)間信息通過(guò)系統(tǒng)總線向系統(tǒng)的其他單元廣播，以保證整個(gè)系統(tǒng)的時(shí)間信息是統(tǒng)一的、可靠的。

實(shí)時(shí)監(jiān)測(cè)單元同時(shí)將監(jiān)測(cè)結(jié)果通過(guò)“有效標(biāo)識(shí)”信號(hào)傳遞給安全算法單元，當(dāng)“有效標(biāo)識(shí)”信號(hào)有效時(shí)，安全算法單元利用對(duì)稱(chēng)算法(如國(guó)密算法SM4)對(duì)實(shí)時(shí)時(shí)間信息進(jìn)行加密，以及利用雜湊算法(如國(guó)密算法SM3)進(jìn)行摘要運(yùn)算，將加密后的時(shí)間信息、摘要信息、有效標(biāo)識(shí)通過(guò)系統(tǒng)總線向設(shè)備進(jìn)行廣播。設(shè)備通過(guò)解密獲得時(shí)間明文信息，并用SM3進(jìn)行相同的摘要運(yùn)算，與接收到的摘要信息進(jìn)行比對(duì)以確定時(shí)間是否被篡改。

4 應(yīng)用前景及局限性

深圳華大北斗科技有限公司在北斗導(dǎo)航和信息安全兩大領(lǐng)域均有深厚的技術(shù)積累，在芯片設(shè)計(jì)方面已耕耘多年。2015年率先量產(chǎn)國(guó)內(nèi)第一顆射頻基帶一體化的SoC導(dǎo)航芯片，并于2016年量產(chǎn)集成國(guó)密和國(guó)際密碼算法的導(dǎo)航芯片，為集成安全位置傳感器和時(shí)間傳感器的安全芯片開(kāi)發(fā)項(xiàng)目掃清了技術(shù)障礙。

該項(xiàng)目采用TSMC 40 nm先進(jìn)工藝，目前已進(jìn)入小批量量產(chǎn)階段，并開(kāi)始在危險(xiǎn)品運(yùn)輸、智慧物流、冷鏈運(yùn)輸?shù)阮I(lǐng)域提供樣片開(kāi)發(fā)、試用，為上述領(lǐng)域的聯(lián)網(wǎng)車(chē)輛提供網(wǎng)絡(luò)安全防護(hù)，防止被黑客攻擊、跟蹤、控制。該芯片未來(lái)有望逐漸成為智能網(wǎng)聯(lián)車(chē)輛在車(chē)載端的核心安全部件。

該項(xiàng)目?jī)H解決了室外環(huán)境下定位和安全防護(hù)問(wèn)題。目前華大北斗已投入資源進(jìn)行室內(nèi)精準(zhǔn)定位技術(shù)的研發(fā)，有希望在不遠(yuǎn)的將來(lái)實(shí)現(xiàn)室內(nèi)外精準(zhǔn)定位和安全防護(hù)的無(wú)縫銜接。

5 結(jié)論

本文描述了如何使用北斗星導(dǎo)航系統(tǒng)與傳統(tǒng)的安全技術(shù)相結(jié)合設(shè)計(jì)出安全位置傳感器和安全時(shí)間傳感器，填補(bǔ)了傳統(tǒng)安全芯片無(wú)法抵御位置和時(shí)間攻擊的防護(hù)技術(shù)空白，滿足了設(shè)備對(duì)位置和時(shí)間的信息安全需求。

具有位置傳感器和時(shí)間傳感器的安全芯片，通過(guò)接收北斗衛(wèi)星信號(hào)獲取位置和時(shí)間信息，保證了位置信息和時(shí)間信息的可靠性及不可偽造性，同時(shí)具有上電自檢和實(shí)時(shí)檢測(cè)的功能，使位置傳感器和時(shí)間傳感器具有不可篡改性和不可旁路性等安全特性，可對(duì)移動(dòng)設(shè)備進(jìn)行實(shí)時(shí)有效的位置和時(shí)間信息防護(hù)。