嵌入式設計中的安全性多年來一直是一個熱門話題，但對于不同的人和組織來說，安全性意味著不同的東西。根據經驗，一個人認為安全的設計要求可能與其他人截然不同。

盡管人們對嵌入式系統(tǒng)需要更高級別的安全性進行了廣泛的認識和討論，但如今很少有系統(tǒng)具有強制性的安全規(guī)范。不幸的是，對于大多數設計規(guī)范來說，安全性是事后的想法。許多工程師和架構師認為軟件將保護系統(tǒng)，因此他們只需要關注保護進入其處理器或系統(tǒng)的IP。然而，事實遠非如此。

設計工程師和架構師不僅需要在軟件中實現安全功能，還需要在硬件中實現安全功能。硬件安全性可以：

防止產品被克隆或過度構建

保護知識產權，使公司能夠保持差異化

保護數據通信以防止欺詐并防止公司品牌受到玷污

如果您不了解如何實現這些功能，那么您并不孤單。幸運的是，有一些中檔密度FPGA形式的選項可以滿足現代安全要求。

下面介紹了使設計更加安全所需的關鍵功能。

分解安全要求

第一步是將設計的安全要求分為兩大類：設計安全性和數據安全性。

設計安全性意味著采取措施防止從硅中提取IP，這轉化為對差分功率分析（DPA）對策的要求。

數據安全涉及保護云和/或機器對機器（M2M）通信，利用安全存儲進行物理上不可克隆的基于功能（基于PUF）的密鑰生成和抗DPA加密引擎。

讓我們更詳細地看一下每個類別，并提供中端FPGA架構如何滿足其要求的應用示例。

設計安全性

大多數工程師都知道，保護FPGA的比特流不被提取非常重要。通常的方法是使用密鑰加密比特流。盡管密鑰是黑客攻擊的障礙，但它們不足以滿足當今的需求。為什么？因為一種叫做DPA的技術。

當設備執(zhí)行讀取密鑰或基于密鑰解密文件等操作時，它會發(fā)出磁信號。這些信號可以通過廉價的電磁探頭檢測到。在最近進行的一次遠離設計的測試中，DPA技術被證明能夠確定何時讀取或訪問密鑰。從那里，探頭和PC或邏輯分析儀只需幾分鐘即可找到信號中的模式并確定密鑰是什么。獲得密鑰后，您可以解密 FPGA 的比特流。

讓我重復一遍：您只需使用帶有廉價探頭和PC的DPA即可解密加密的比特流。

幸運的是，有一種方法可以消除DPA現象。設計人員需要尋找內置DPA對策的FPGA。

迄今為止，只有少數FPGA內置了此功能，其中許多設備都是高端且昂貴的。現在，成本優(yōu)化的中端密度 FPGA（如微塞米的 PolarFire 系列）集成了 DPA 對策，可用于各種應用。極地火災 FPGA 集成了解決 DPA 泄漏問題的設計特性，可防止 DPA 攻擊損害比特流。

數據安全

越來越多的設備連接到其他設備或云，這會使系統(tǒng)的數據安全面臨風險。硬件架構師需要負責解決這個問題，因為僅靠軟件解決方案是不夠的。

為了確保數據通信的安全，必須使用特定的算法和密鑰在接收端對發(fā)送的信息進行加密和解密。有許多常見的算法（包括 AES-256、SHA 和 ECC），它們必須基于要使用的密鑰。

要連接到云，需要稱為公鑰基礎結構 （PKI） 的雙密鑰策略。PKI 基于公鑰和私鑰。網絡上的每個節(jié)點都有一個經過認證的公鑰，該公鑰已由受信任的第三方批準（或簽名）。網絡上的每個節(jié)點也有自己的私鑰，只有該節(jié)點知道。

發(fā)送安全通信時，您可以使用要向其發(fā)送數據的節(jié)點的認證公鑰以及您自己的私鑰來加密數據。只有具有正確公鑰和相應私鑰的節(jié)點才能解密數據。這是對如何保護云中數據的基本描述。

但有兩個重要問題需要硬件工程師來解決。

首先是 DPA：加密引擎（FPGA 邏輯或加密處理器）是否內置了 DPA 對策？如果沒有，則可以確定私鑰，從而使您的數據通信面臨風險。

第二個是：私鑰是如何保護的？有許多硬件組件可以保護密鑰，但最安全的系統(tǒng)是在FPGA器件中設計PUF的系統(tǒng)。這利用了每個芯片的獨特屬性作為設備的一種生物識別標識符。

通過使用 PUF 和非易失性存儲器 （NVM），密鑰可以通過最高級別的加密進行存儲。當設計具有必須保護的數據通信時，請參考FPGA，該FPGA包含用于結構和院系的DPA對策，以實現安全的密鑰生成和存儲。

PolarFire FPGA 旨在保護私鑰并執(zhí)行完全安全的數據通信（圖 1）。所有密鑰構建模塊都包含在芯片上，包括 DPA 安全加密處理器、PUF、密鑰存儲和 RNG。設計人員只需對處理器進行編程，以使用RNG和特定的加密協議（如AES 256）生成密鑰，然后板載PUF提供安全密鑰存儲，加密處理器實現安全通信！用于實現安全通信的 FPGA 架構資源非常少。

圖 1.此處顯示的是中檔密度 PolarFire FPGA 的功能框圖，該 FPGA 由數據安全處理器、物理不可克隆函數 （PUF）、隨機數生成器 （RNG） 和安全非易失性存儲器 （NVM） 組成。

設計和數據安全：沒有任何借口

隨著保護設備變得越來越具有挑戰(zhàn)性，設計人員需要能夠使其系統(tǒng)本質上安全的技術構建模塊。現在，中端密度 FPGA 可解決嵌入式工程師面臨的新興安全挑戰(zhàn)，包括通過 DPA 對策實現設計安全性，以及使用加密處理器實現數據安全性。這些安全解決方案還以更小的外形尺寸提供更低的功耗。

審核編輯：郭婷