范长永

(深圳华大北斗科技有限公司，深圳 518129)

0 引言

随着物联网技术的发展，网联时代已经到来，万物互联将成为趋势，提高了生产效率的同时，给人们的生产、生活带来极大便利。随着物联网在国家基础设施、工业生产、自然资源、智能家居、智能驾驶、安防等方面的广泛应用，对信息安全的重视已上升到国家战略高度，而安全芯片具有软件不可比拟的抗攻击性，成为了安全防护的核心部件。物联网设备也正展现出移动化、智能化等新的特点，如网联汽车、两客一危、特种车辆、手机、追踪器等，要求移动的物体在限定的范围内移动，以保证其安全。

数据网络及设备之间存在一个基本的信任就是：网络内部及各设备之间的时间是统一的。如通信系统和电力系统对时间统一的要求更为严格，一旦系统时间不一致，将导致整个通信系统和电力系统陷入瘫痪，攻击者往往通过扰乱系统时间攻击通信系统和电力系统，统一的时间关乎信息安全进而威胁国家安全。

新的特点对安全芯片提出新的要求，使得对能够识别位置和时间且不被黑客篡改和攻击的传感器的需求越来越强烈，但目前此类技术在国内外尚处于空白阶段。

受限于导航定位芯片射频基带一体化SoC设计技术以及信息安全的跨界集成技术，目前市场上仅有安全芯片与全球卫星定位系统(GPS)接收芯片组合的系统解决方案。GPS芯片实际起到了位置传感器和时间传感器的作用。从安全角度看，位置传感器和时间传感器与安全芯片内部温度、电压等安全传感器应具有同等地位和防攻击特性。但现有方案中GPS芯片和安全芯片在系统级是独立的两颗芯片，GPS芯片易于被旁路，其输出的位置信息和时间信息也很容易被篡改。因此系统安全性大大降低，存在极大的安全隐患，设计一款整合位置传感器和时间传感器的安全芯片迫在眉睫。

使用GPS虽然可以解决位置和时间感知问题，但它受美国军方控制，给我国国家安全造成巨大隐患。随着我国自主研发和建设的北斗卫星导航系统(Beidou Navigation Satellite System，BDS)不断完善，在国内代替GPS已是势在必行。

基于BDS的安全芯片设计方案解决了位置感知、时间感知的安全性问题，填补了安全芯片设计领域的空白，同时也成为BDS在地面接收方面的新型应用，对国家信息安全及北斗卫星导航产业化推广具有重大意义。

1 北斗导航系统概述

北斗卫星导航系统是中国自行研制的全球卫星导航系统，是继美国全球定位系统(GPS)、俄罗斯格洛纳斯卫星导航系统(GLONASS)之后第三个成熟的卫星导航系统。以上三者和欧盟伽利略卫星导航系统(GALILEO)是联合国卫星导航委员会认定的供应商。

北斗卫星导航系统由空间段、地面段和用户段三部分组成，可在全球范围内全天候、全天时为各类用户提供高精度、高可靠的定位、导航和授时服务，并具有短报文通信能力，已经初步具备区域导航、定位和授时能力，定位精度为10 m，测速精度为0.2 m/s，授时精度10 ns。

2017年11月5日，中国第三代导航卫星顺利升空，它标志着中国正式开始建造北斗全球卫星导航系统，到2020年完成全球的组网覆盖，将为全球提供服务。

2 北斗安全芯片整体方案

导航卫星不但可以提供位置信息，而且能够提供时间信息，即授时技术，但接收到的位置信息和时间信息易于被旁路和篡改，使得后台管理系统收不到位置或时间信息，或者收到了假的位置或时间信息，导致系统的混乱，进而使系统陷入瘫痪。

传统的安全芯片通常可以感知温度、电压、频率等外部环境信息，以确定设备本身是否受到了外部攻击。但目前尚未有安全芯片能够感知位置和时间信息，无法针对位置和时间的攻击做出判断和响应。

针对这些问题，设计出将北斗卫星系统、地面接收技术、安全防护技术相结合，具有位置和时间传感器的安全芯片，应对针对位置和时间的攻击。

整体芯片技术方案如图1所示。北斗卫星接收单元接收卫星信号并解算出位置和时间信息，输出到安全控制单元，以判断位置和时间是否在允许的范围内，并将判断结果输出到安全报警单元，以决定对判断结果作出何种响应，如复位、中断、控制CPU运行等。安全控制单元同时也接收温度、电压等其他安全传感器信号，判断温度、电压等是否在允许范围内，并通过安全报警单元控制复位、CPU、中断等单元，对判断结果作出响应。

图1方案中除北斗卫星接收单元外，其他均为现有安全芯片通用结构，且均有成熟产品和应用，在此不再详细描述。本文重点描述与北斗导航相关的安全技术。

图1 北斗安全芯片整体结构

3 北斗安全芯片的关键技术

北斗安全芯片的核心部分包括：北斗卫星接收单元、安全位置传感器、安全时间传感器。

3.1 北斗卫星接收单元

北斗卫星接收单元由天线、低噪声放大器、混频器、滤波器、放大器、AD转换器、数字信号处理通道及接收机处理器组成，如图2所示。天线接收北斗卫星信号，通过低噪声放大器将天线上的微弱射频信号放大，由于该放大器在射频电路的最前端，其噪声会在后级被放大，故对该放大器的噪声系数要求较高。混频器将经过放大的信号和本地精准时钟混频，将调制在射频信号里的有用信号混频到较低频率。滤波器抑制有用信号带之外的噪声信号，AD转换器将有用信号量化成数字信号送至数字信号处理通道中处理，N个并行通道可以同时跟踪来自N颗卫星的载波和码。每个通道包含码跟踪环和载波跟踪环，以完成码和载波相位的测量以及导航电文的解调。解调后的电文经接收机处理器处理即能产生所需位置信号和时间信号。

图2 北斗卫星接收单元

接收机通过测量来自北斗卫星导航定位信号的传播时延，测得卫星信号接收天线相位中心与北斗卫星发射天线相位中心之间的距离(站星距离)，进而将此距离和北斗卫星在轨位置联合解算，算出用户的三维坐标。

北斗卫星通过星载时钟发射结构为“伪随机噪声码”的信号，称为测距码信号。该信号从卫星发射经时间Δt后，到达接收机天线，用Δt乘以电磁波在真空中的速度c，就是卫星至接收机的空间几何距离ρ，即ρ=c×Δt。由于传播时间Δt中包含卫星时钟与接收机时钟不同步的误差、卫星星历误差、接收机测量噪声以及测距码在大气中传播的延迟误差等用户等效距离误差(UERE)，由此求得的距离并非真正的接收机和卫星的几何距离，习惯上称之为“伪距”。目前通过该技术获得的位置精度为5～10 m。通过差分定位技术可以大幅减小上述误差，使定位精度达到厘米级。目前差分定位技术有地基增强技术和星基增强技术等，在此不再详述。

3.2 安全位置传感器

使用北斗卫星接收单元输出的位置信息设计的安全位置传感器，具备了不可旁路性、自检、抵抗开封和探针探测等安全特性，与传统的芯片安全技术相结合，可应对针对位置的黑客攻击，保障移动设备的安全。其结构如图3所示。

图3 安全位置传感器结构

安全位置传感器核心部分包括北斗卫星接收单元、安全控制单元(位置自检单元、实时位置监控单元)、安全报警单元。安全位置传感器实时对移动设备进行监控，一旦超出设定的范围则启动报警机制，如禁止或限制设备工作、向后台管理系统发送报警信号等。

具有位置传感器的安全芯片出厂前在内部预置经纬度信息，用于位置传感器自检。装载安全芯片的设备出厂前在安全芯片内部预置允许设备移动的范围即经纬度信息。

其工作流程如图4所示。

图4 安全位置传感器芯片工作流程

(1)芯片上电首先进行位置传感器自检。

①导航卫星接收单元发送预设的固定经纬度信息给自检单元，该经纬度信息在安全芯片预设的范围内。自检单元对接收到的位置信息进行判断，如果在范围内则第一步自检通过。

②导航卫星接收单元发送预设的固定经纬度信息给自检单元，该经纬度信息不在安全芯片预设的范围内。自检单元对接收到的位置信息进行判断，如果不在范围内则第二步自检通过。

③自检单元对第一步和第二步的结果进行合并判断，并将最终自检结果发送给安全报警单元，只有前两步全部通过则自检通过，否则自检不通过。

④如果自检通过，安全报警单元则释放复位信号，等待其他安全传感器自检结果，自检全部通过则CPU启动；如果自检不通过则认为位置传感器受到攻击，复位信号继续有效，芯片一直处于复位状态。

(2)其他安全传感器自检，自检通过则CPU启动，否则芯片处于复位状态。其他安全传感器自检可与位置传感器自检并行或串行进行。

(3)芯片正常工作即CPU启动后，实时监测单元实时监控位置信息，并将结果传递给安全报警单元。

(4)如果位置信息超出了预设的经纬度范围，则安全报警单元发出报警信息，用户可将报警信息设置为中断或复位，由CPU进行报警中断处理或强制芯片处于复位状态，避免信息泄露。

(5)芯片正常工作过程中，可通过CPU不定期发送自检指令，对位置传感器进行自检，以确认位置传感器是否受到攻击，并将自检结果发送给安全报警单元，自检过程与上电自检相同。

(6)安全报警单元通过中断或复位的方式发出报警信号。

通过上述步骤1上电自检和步骤5工作过程中自检以确认安全位置传感器是否工作正常、是否受到了旁路攻击，一旦受到攻击则通过安全报警单元发出报警信号。

在位置数据存储时增加校验位，每次读出数据首先进行数据校验，再与已存储的校验位进行对比，如果对比不一致则说明位置数据已被篡改，该数据将被禁止使用，并发出报警信号，该报警信号将会导致系统进入复位或中断等安全状态。

同时，芯片中的温度、电压等其他安全传感器以及在芯片版图设计中使用随机逻辑布线、关键信号隐藏、冗余走线等方式同样也会起到防篡改和防旁路的作用。

在安全时间传感器设计中采用同样的方法进行安全防护。

3.3 安全时间传感器

安全时间传感器核心部分包括北斗卫星接收单元、安全控制单元(时间自检单元、实时时间监控单元)、安全报警单元。

如图5所示，时间传感器为整个系统提供统一的时间，通过安全算法单元加密后再通过系统总线向整个系统广播，并对是否遭受攻击进行实时检测。系统总线上的设备通过解密后获得正确的时间信息。

图5 安全时间传感器结构

安全时间传感器与安全位置传感器类似，结构和工作流程相同的部分不再详细描述，其主要差异在于系统中的应用。通过时间传感器获得可靠的时间信息，并将此时间信息通过系统总线向系统的其他单元广播，以保证整个系统的时间信息是统一的、可靠的。

实时监测单元同时将监测结果通过“有效标识”信号传递给安全算法单元，当“有效标识”信号有效时，安全算法单元利用对称算法(如国密算法SM4)对实时时间信息进行加密，以及利用杂凑算法(如国密算法SM3)进行摘要运算，将加密后的时间信息、摘要信息、有效标识通过系统总线向设备进行广播。设备通过解密获得时间明文信息，并用SM3进行相同的摘要运算，与接收到的摘要信息进行比对以确定时间是否被篡改。

4 应用前景及局限性

深圳华大北斗科技有限公司在北斗导航和信息安全两大领域均有深厚的技术积累，在芯片设计方面已耕耘多年。2015年率先量产国内第一颗射频基带一体化的SoC导航芯片，并于2016年量产集成国密和国际密码算法的导航芯片，为集成安全位置传感器和时间传感器的安全芯片开发项目扫清了技术障碍。

该项目采用TSMC 40 nm先进工艺，目前已进入小批量量产阶段，并开始在危险品运输、智慧物流、冷链运输等领域提供样片开发、试用，为上述领域的联网车辆提供网络安全防护，防止被黑客攻击、跟踪、控制。该芯片未来有望逐渐成为智能网联车辆在车载端的核心安全部件。

该项目仅解决了室外环境下定位和安全防护问题。目前华大北斗已投入资源进行室内精准定位技术的研发，有希望在不远的将来实现室内外精准定位和安全防护的无缝衔接。

5 结论

本文描述了如何使用北斗星导航系统与传统的安全技术相结合设计出安全位置传感器和安全时间传感器，填补了传统安全芯片无法抵御位置和时间攻击的防护技术空白，满足了设备对位置和时间的信息安全需求。

具有位置传感器和时间传感器的安全芯片，通过接收北斗卫星信号获取位置和时间信息，保证了位置信息和时间信息的可靠性及不可伪造性，同时具有上电自检和实时检测的功能，使位置传感器和时间传感器具有不可篡改性和不可旁路性等安全特性，可对移动设备进行实时有效的位置和时间信息防护。