目錄

摘要

DC-SCM是OCP硬件管理項目的一個子項目。DC-SCM實施模塊化服務器管理，包含了已存儲在典型處理器主板上的所有的固件狀態(tài)。DC-SCM通常將三個關鍵功能轉移到一個標準尺寸模塊（CFM）中。

?   管理——BMC功能和一個新的LTPI接口（低電壓差分信號通道協(xié)議和接口）

?   安全

?   控制

本文描述了DC-SCM的LTPI（服務器管理）、安全和控制三個方面。DC-SCM 2.0的所有三個關鍵功能都已經在萊迪思半導體的單個FPGA中實現(xiàn)。

DC-SCM 2.0規(guī)范的一個重要變化就是引入了低電壓差分信號通道協(xié)議和接口（LTPI）。本文描述了DC-SCM及其在萊迪思FPGA解決方案中的LTPI實現(xiàn)。

DC-SCM的安全模塊稱為ROT（可信根），可以用來解決黑客在保密固件的閃存中安裝惡意代碼的安全問題。萊迪思PFR（平臺固件保護恢復）解決方案可以作為DC-SCM的ROT，避免數(shù)據(jù)中心服務器中的此類漏洞。

萊迪思FPGA還包括了DC-SCM定義的控制功能，提供數(shù)據(jù)中心服務器所需的時序重置和電源管理功能。 

DC-SCM是什么？

開放計算項目（OCP）是一個在公司之間共享服務器和數(shù)據(jù)中心產品設計和最佳實踐的組織。DC-SCM（Datacenter-ready Secure Control Module）是OCP硬件管理項目的一個子項目。它提供了將常見的服務器管理、安全和控制功能從主板轉移到標準尺寸模塊（CFM）的指南。

DC-SCM架構定義了與CPU板互操作的輸入/輸出端口。DC-SCM服務器在HPM（主機處理器模塊）板上只有基本的中央計算元件（CPU）、高速存儲器和IO連接器，其他所有組件均在模塊化DC-SCM（安全、控制、管理）板上。

為什么要使用DC-SCM？

DC-SCM有諸多益處：

?   DC-SCM能輕松實現(xiàn)CPU/存儲器的設計和部署，因為管理、安全和控制功能都獨立于CPU/存儲器板的開發(fā)。

-  將BMC和RoT實施與服務器分離，實現(xiàn)獨立的開發(fā)和創(chuàng)新

-  通過將管理電路轉移到更小、更低價的PCB，從而節(jié)省成本

- 在多個項目和架構中使用通用的DC-SCM設計，節(jié)省驗證時間

-  簡化HPM電路板布局，縮短開發(fā)時間

使用DC-SCM之后，拓展機箱只需根據(jù)CPU和SoC供應商的指南進行簡單的常規(guī)開發(fā)即可

?   系統(tǒng)管理和安全性能不斷發(fā)展且獨立于CPU的更新?lián)Q代。

-  DC-SCM可以在一代產品內在平臺上部署管理和安全升級，無需重新設計更復雜的組件

?   DC-SCM使用開源模塊化方法，輕松實現(xiàn)互操作性。

-  標準化的常用模塊

- 采用高速互連（PCIe）等通用接口

?   DC-SCM的優(yōu)勢之一體現(xiàn)在服務器報廢時。模塊化設計的好處是可以單獨銷毀安全模塊，出售或回收報廢的服務器不會泄露安全數(shù)據(jù)/密鑰。 

DC-SCM架構

DC-SCM架構主要包括以下幾個部分：

?   BMC：基板管理控制器

?   BMC閃存：使用一個或等多個閃存器件（通常是兩個）來存儲BMC固件鏡像

?   BIOS閃存：使用一個或等多個閃存器件（通常是兩個）來存儲BIOS固件鏡像

?   DC-SCM CPLD：包含特定應用邏輯和LTPI 接口的可編程邏輯器件（DC-SCM 2.0 中引入了新的LVDS通道協(xié)議和接口）

?   RoT安全處理器： 負責驗證系統(tǒng)上的BMC、BIOS和/或其他固件鏡像的安全處理器

?   可信任平臺模塊（TPM）：可選的專用微控制器，通過集成的加密密鑰保護硬件

下圖是DC-SCM規(guī)范中所定義的DC-SCM架構模塊框圖：

 圖 1

DC-SCM LTPI

DC-SCM 2.0規(guī)范的一個重要變化是引入了低電壓差分信號通道協(xié)議和接口（LTPI）。LTPI解決了DC-SCM 1.0中的串行GPIO接口的缺點。

?   LTPI比GPIO延遲更低

?   它允許主機平臺模塊和DC-SCM模塊之間的多個管理接口進行通道通信（為 I2C、SMBus、UART、數(shù)據(jù)自定義協(xié)議提供通道）

DC-SCM LTPI架構

如下圖所示，LTPI接口采用了兩片F(xiàn)PGA/CPLD器件實現(xiàn)。

?   HPM FPGA——提供本地HPM接口到LTPI的橋接

?   SCM CPLD——提供LTPI到本地SCM接口的橋接

圖 2

LTPI接口用于在HPM和SCM之間傳輸各種低速信號。LVDS接口比DC-SCM 1.0中的SGPIO接口提供更高的帶寬和更好的擴展性。它不僅支持GPIO，還支持SMBus、I2C和UART等低速串行接口的通道傳輸。它還可以通過額外的專有OEM接口進行擴展，并為HPM CPLD和SCM CPLD之間的原始數(shù)據(jù)通道傳輸提供支持。

萊迪思LTPI

萊迪思DC-SCM LVDS通道協(xié)議和接口IP核是兼容OCP、DC-SCM標準的解決方案。萊迪思LTPI IP全面支持符合DC-SCM 2.0協(xié)議規(guī)范的接口和協(xié)議。該LTPI IP具有以下特性：

?   符合DC-SCM 2.0協(xié)議規(guī)范

-  鏈路初始化、發(fā)現(xiàn)和協(xié)商

?   支持多通道串行接口

-  支持GPIO、I2C、UART、OEM和數(shù)據(jù)通道聚合

-  總共支持多達7個通道的聚合/解聚合

?   最高支持64位GPIO通道，采樣率高達90kHz（低延遲GPIO可達5 MHz）

?   對于I2C/SMBus接口，每一個接口都可以配置為主控、從動或同時配置為主控/從動（用于多主控）

?   支持LVDS和sub-LVDS

?   LFMXO5器件LVDS數(shù)據(jù)速率高達1000Mbps

萊迪思LTPI通道架構

在DC-SCM LTPI規(guī)范的基礎上，萊迪思使用時分復用（TDM）高速LVDS全雙工鏈路在SCM和HPM之間發(fā)送和接收LTPI通道數(shù)據(jù)。

如下圖所示，對于每個相等的時隙 TN（下圖的示例幀T+1），都有一個LTPI幀在傳輸。在每個LVDS通道中都有部分LVDS幀在進行雙向傳輸。通過LTPI接口發(fā)送的每個幀中分配給特定通道的比特數(shù)與每個通道專用的LTPI帶寬成正比。

圖 3

萊迪思LTPI通道框圖

萊迪思LTPI參考設計的上層通道框圖如下所示。從外部通道接收的數(shù)據(jù)通過低壓差分信號（LVDS）接口在安全控制模塊（SCM）和主機處理器模塊（HPM）之間聚合和傳輸。來自LVDS接口的輸入數(shù)據(jù)被重新映射到相應的目標外部通道。

圖 4

DC-SCM/HPM LTPI IP由多路復用器、幀/數(shù)據(jù)包生成器/解析器、8b/10b編碼器/解碼器、字對齊器/鏈路同步器以及GDDR發(fā)送和接收模塊組成。

多路復用器

多路復用器連接外部通道。在鏈路訓練和特性協(xié)商之后，多路復用器模塊在每個通道之間切換采樣，形成有效載荷。

數(shù)據(jù)包生成器/解析器

幀生成器和解析器生成鏈路訓練和協(xié)商所需的數(shù)據(jù)包。TX使用幀生成器來生成要發(fā)送到通信接收器的幀。RX使用幀解析器來解析接收到的幀。

8b/10b編碼器/解碼器

LTPI IP對發(fā)送到接收主機/從接收主機接收到的數(shù)據(jù)執(zhí)行8b/10b編碼/解碼。對于TX，8位數(shù)據(jù)會根IEEE 802.3標準中指定的編碼規(guī)則轉換為10位數(shù)據(jù)。

GDDR串行器/解串器

數(shù)據(jù)以串行方式發(fā)送到接收主機。IP通過LFXMO5器件的通用DDR接口x5（10 bit：1 bit）和MachXO3L/LF/D器件的DDR接口x4（8 bit：1 bit）對數(shù)據(jù)進行串行化。同樣，在RX模式下，數(shù)據(jù)通過DDR接口進行解串。

萊迪思LTPI接口通道

萊迪思LTPI接口定義了以下通道：

?   GPIO通道：該通道實現(xiàn)了GPIO信號在HPM和SCM之間的互傳。GPIO通道可以區(qū)分低延遲和正常延遲GPIO（串行GPIO），從而為對時序要求嚴格的GPIO信號分配更多帶寬，并擴展傳輸?shù)腉PIO數(shù)量。

?   I²C/SMBus通道：將I2C/SMBus鏈路數(shù)據(jù)從SCM傳輸?shù)紿PM，以及從HPM傳輸?shù)絊CM。

?   UART通道：傳輸全雙工UART接口，支持SCM和HPM之間的流控制。

GPIO接口

正如DC-SCM規(guī)范中的定義，GPIO通道定義了低延遲和正常延遲GPIO（參見下圖）。這是萊迪思IP配置的一部分，這些接口模塊的每個實例都使用一個64位的通道。為了成功進行發(fā)送和接收，SCM或HPM的發(fā)送通道的PID（數(shù)據(jù)包標識符）應與接收通道的PID相匹配，該PID在發(fā)送模塊上實例化。

圖5

UART接口

UART接口通過GPIO接口發(fā)送，需要至少一個GPIO TX和一個GPIO RX通道的實例。

I2C接口

萊迪思LTPI IP使用I2C/SMBus通道通過LTPI接口為那些在SCM或HPM上只有一個控制器的鏈路傳輸I2C/SMBus總線數(shù)據(jù)。DC-SCM LTPI I2C/SMBus的主要用例如下圖所示，SCM上的BMC充當目標器件位于HPM上的I2C/SMBus鏈路的控制器。這些接口模塊的每個實例都使用一個通道。為了成功進行發(fā)送和接收，SCM或HPM的I2C主控通道的PID應與另一個模塊上實例化的I2C從通道的PID相匹配。

圖6

萊迪思LTPI通道分配

萊迪思LTPI通道可對用于SCM和HPM之間通信的特定類型接口進行功能分類。萊迪思LTPI還能實現(xiàn)接口映射的靈活性。LTPI的設計靈活性示例如下圖所示（參考DC-SCM LTPI規(guī)范）。在此示例中，GPIO通道被轉換為SGPIO接口，并在SCM CPLD中增加了額外的邏輯。

圖7

萊迪思DC-SCM安全實現(xiàn)

企業(yè)服務器通常包含多個處理組件，每個組件都有自己的非易失性SPI閃存緩存，用于存儲其固件。黑客通過未經授權訪問固件，可以暗中在組件的閃存中安裝惡意代碼。DC-SCM規(guī)范要求使用安全處理器來驗證系統(tǒng)的BMC、BIOS和/或其他保密的固件鏡像。

萊迪思安全/RoT（信任根）實現(xiàn)概述

為了解決黑客在保密固件的閃存中安裝惡意代碼的安全問題，美國國家標準與技術研究院（NIST）在2018年發(fā)布了NIST SP 800 193規(guī)范，定義了一種稱為平臺固件保護恢復（PFR）的統(tǒng)一保護機制。萊迪思的PFR解決方案可以作為DC-SCM的RoT來實現(xiàn)，解決了企業(yè)服務器的此類漏洞。萊迪思RoT的實現(xiàn)基于以下三個指導原則：

?   保護——萊迪思已經展示過基于狀態(tài)機的算法，能以納秒級響應時間檢測SPI存儲器的安全漏洞。這可以防止未經授權的訪問對SPI存儲器中固件的修改。該解決方案可通過簡單易用的數(shù)據(jù)庫進行定制。通過使用PFR算法的安全通信，BMC能夠授權對SPI存儲器的修改以支持在系統(tǒng)更新。

?   檢測——對存儲在每個SPI存儲器中的固件進行橢圓曲線加密（ECC）計算可以檢測所有未經授權的修改。檢測方法獨立于該設計中當前使用的固件安全方法。使用集成的電路板電源管理功能，可以在電路板啟動之前檢測到所有對固件未經授權的更改。

?   恢復——如果檢測到安全漏洞，萊迪思的實現(xiàn)方案提供可定制化的恢復機制。這種機制可以執(zhí)行簡單的回滾操作，恢復到以前的固件版本，或者完全恢復到固件的最新授權版本。還可以自定義電源管理和控制PLD算法，應對不同性質的入侵，對任何電路板實施完全受信任的恢復過程。

方案特性

萊迪思的PFR解決方案擁有許多客戶和開發(fā)人員期望的特性。例如：

?   可擴展——以納秒級響應保護板上的所有固件。該解決方案還可以通過與相應信任根的安全通信來保護其他附加的子系統(tǒng)

?   不可繞過——該解決方案實現(xiàn)了服務器主板的完整電源時序以及PFR，因此無法繞過它

?   自我保護——PFR實現(xiàn)革命性地使用了FPGA作為可信根。該FPGA可以動態(tài)控制其攻擊面并保護自身免受外部攻擊

?   自我檢測——可信根FPGA通過使用不可繞過的加密硬件模塊檢測其配置的任何安全漏洞

?   自我恢復——可信根FPGA在發(fā)現(xiàn)其活動配置遭到破壞時自動切換到已知完好的鏡像

萊迪思DC-SCM的控制實現(xiàn)

當今幾乎所有服務器都使用萊迪思FPGA器件來實現(xiàn)控制PLD的功能，例如電源/復位時序、各種類型的串行總線（I2C、SPI、eSPI、SGPIO等）、調試端口、LED驅動器、FAN PWM驅動器、前端面板開關感應和其他通用GPIO功能。萊迪思FPGA器件支持1 V信號，因而能夠執(zhí)行帶外信號集成，無需外部GTL收發(fā)器。

無中斷I/O

為了實現(xiàn)零停機，萊迪思開發(fā)了無中斷I/O功能。通常情況下，控制PLD能讓設計人員顯著縮短產品上市時間，幫助他們應對在規(guī)定時間內推出新的定制硬件的市場壓力。 有時，控制功能的實現(xiàn)或整個系統(tǒng)架構中可能存在錯誤，也可能需要引入新功能。完成設計修改的一種常見方法是通過在系統(tǒng)更新和電源重啟讓新編程的鏡像投入使用。為確保高可用性（High Availability ）系統(tǒng)的持續(xù)運行，萊迪思FPGA器件可以在進行配置刷新時保持I/O狀態(tài)不變，然后初始化新配置。

萊迪思產品革新：一種方案三種關鍵特性

萊迪思FPGA提供了將DC-SCM的三個關鍵功能集成到萊迪思解決方案中的獨特優(yōu)勢：

?   LTPI（管理功能）

?   安全（動態(tài)、實時、端到端的保護）

?   控制（可編程系統(tǒng)控制）

萊迪思FPGA非?？煽浚诨贔PGA的低功耗應用方面處于行業(yè)領先地位，其抗軟錯誤率（SER）性能是CMOS技術的100倍。萊迪思FPGA具有可靠的標準并遵循DC-SCM協(xié)議規(guī)范。Propel工具還為開發(fā)人員提供了便捷的拖放操作界面，大大簡化了配置。

支持DC-SCM的萊迪思產品

萊迪思非常重視DC-SCM。萊迪思擁有一系列支持DC-SCM、可信根和用戶電源控制邏輯的FPGA產品。以下是支持DC-SCM的現(xiàn)有產品列表。

 表 1

使用萊迪思SupplyGuard?實現(xiàn)端到端的保護

萊迪思SupplyGuard?為每個客戶分配唯一的訂購部件編號。這些編號對應鎖定萊迪思FPGA的加密憑證 并，并將平臺可信根保護擴展到整個供應鏈，從IC制造到產品最終報廢。萊迪思SupplyGuardTM的特性包括：

?   防止過度制造、克隆、偽造和未經授權的硬件修改

?   能夠在整個供應鏈中追蹤器件

?   OEM或ODM不需要特殊的高度安全的編程設備、流程或設施

?   外部IC的驗證憑證作為客戶加密配置位流的一部分被編程到萊迪思器件。這可以在工廠編程期間將系統(tǒng)中萊迪思FPGA的加密所有權安全地轉移給客戶

結論

萊迪思半導體致力于DC-SCM 2.0的推廣。萊迪思通過可行的單芯片解決方案實現(xiàn)并優(yōu)化了DC-SCM的三個關鍵功能。

萊迪思擁有經過充分驗證的DC-SCM參考設計，可供更廣泛的DC-SCM客戶和電路板設計人員使用，幫助他們輕松實現(xiàn)DC-SCM。萊迪思緊密集成的解決方案可以為電路板設計人員提供統(tǒng)一的單個FPGA解決方案，而無需針對LTPI、安全和控制提出不同的解決方案組合。萊迪思完善的DC-SCM解決方案可以提高性能，降低功耗，且在電路板上占用很小的空間。

萊迪思針對三個關鍵的DC-SCM功能提供了一個包括GUI和非GUI工具的框架。系統(tǒng)架構師和電路板設計人員可以從下拉列表中輕松實現(xiàn)特性。我們的集成設計工具可以在一個面板視圖中為架構師/設計師提供中整個解決方案，實現(xiàn)DC-SCM的三大特性。

參考文獻 

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-193.pdf https://drive.google.com/file/d/14mypJ0Pvej35Q64PkDeK-sixrOIzvnKG/view https://www.youtube.com/watch?v=SQy7Ztf3nGU https://www.youtube.com/watch?v=eI9k3j-L-_0&t=8s

https://2020ocpvirtualsummit.sched.com/event/bXZu/dc-scm-base-specification-and-design-details-presented-by-microsoft

https://www.intel.com/content/www/us/en/products/docs/processors/xeon/platform-firmware-resilience.html