嵌入式設計中的安全性多年來一直是一個熱門話題，但對于不同的人和組織來說，安全性意味著不同的東西。根據經驗，一個人認為安全的設計要求可能與其他人截然不同。

盡管人們對嵌入式系統需要更高級別的安全性進行了廣泛的認識和討論，但如今很少有系統具有強制性的安全規范。不幸的是，對于大多數設計規范來說，安全性是事后的想法。許多工程師和架構師認為軟件將保護系統，因此他們只需要關注保護進入其處理器或系統的IP。然而，事實遠非如此。

設計工程師和架構師不僅需要在軟件中實現安全功能，還需要在硬件中實現安全功能。硬件安全性可以：

防止產品被克隆或過度構建

保護知識產權，使公司能夠保持差異化

保護數據通信以防止欺詐并防止公司品牌受到玷污

如果您不了解如何實現這些功能，那么您并不孤單。幸運的是，有一些中檔密度FPGA形式的選項可以滿足現代安全要求。

下面介紹了使設計更加安全所需的關鍵功能。

分解安全要求

第一步是將設計的安全要求分為兩大類：設計安全性和數據安全性。

設計安全性意味著采取措施防止從硅中提取IP，這轉化為對差分功率分析（DPA）對策的要求。

數據安全涉及保護云和/或機器對機器（M2M）通信，利用安全存儲進行物理上不可克隆的基于功能（基于PUF）的密鑰生成和抗DPA加密引擎。

讓我們更詳細地看一下每個類別，并提供中端FPGA架構如何滿足其要求的應用示例。

設計安全性

大多數工程師都知道，保護FPGA的比特流不被提取非常重要。通常的方法是使用密鑰加密比特流。盡管密鑰是黑客攻擊的障礙，但它們不足以滿足當今的需求。為什么？因為一種叫做DPA的技術。

當設備執行讀取密鑰或基于密鑰解密文件等操作時，它會發出磁信號。這些信號可以通過廉價的電磁探頭檢測到。在最近進行的一次遠離設計的測試中，DPA技術被證明能夠確定何時讀取或訪問密鑰。從那里，探頭和PC或邏輯分析儀只需幾分鐘即可找到信號中的模式并確定密鑰是什么。獲得密鑰后，您可以解密 FPGA 的比特流。

讓我重復一遍：您只需使用帶有廉價探頭和PC的DPA即可解密加密的比特流。

幸運的是，有一種方法可以消除DPA現象。設計人員需要尋找內置DPA對策的FPGA。

迄今為止，只有少數FPGA內置了此功能，其中許多設備都是高端且昂貴的。現在，成本優化的中端密度 FPGA（如微塞米的 PolarFire 系列）集成了 DPA 對策，可用于各種應用。極地火災 FPGA 集成了解決 DPA 泄漏問題的設計特性，可防止 DPA 攻擊損害比特流。

數據安全

越來越多的設備連接到其他設備或云，這會使系統的數據安全面臨風險。硬件架構師需要負責解決這個問題，因為僅靠軟件解決方案是不夠的。

為了確保數據通信的安全，必須使用特定的算法和密鑰在接收端對發送的信息進行加密和解密。有許多常見的算法（包括 AES-256、SHA 和 ECC），它們必須基于要使用的密鑰。

要連接到云，需要稱為公鑰基礎結構 （PKI） 的雙密鑰策略。PKI 基于公鑰和私鑰。網絡上的每個節點都有一個經過認證的公鑰，該公鑰已由受信任的第三方批準（或簽名）。網絡上的每個節點也有自己的私鑰，只有該節點知道。

發送安全通信時，您可以使用要向其發送數據的節點的認證公鑰以及您自己的私鑰來加密數據。只有具有正確公鑰和相應私鑰的節點才能解密數據。這是對如何保護云中數據的基本描述。

但有兩個重要問題需要硬件工程師來解決。

首先是 DPA：加密引擎（FPGA 邏輯或加密處理器）是否內置了 DPA 對策？如果沒有，則可以確定私鑰，從而使您的數據通信面臨風險。

第二個是：私鑰是如何保護的？有許多硬件組件可以保護密鑰，但最安全的系統是在FPGA器件中設計PUF的系統。這利用了每個芯片的獨特屬性作為設備的一種生物識別標識符。

通過使用 PUF 和非易失性存儲器 （NVM），密鑰可以通過最高級別的加密進行存儲。當設計具有必須保護的數據通信時，請參考FPGA，該FPGA包含用于結構和院系的DPA對策，以實現安全的密鑰生成和存儲。

PolarFire FPGA 旨在保護私鑰并執行完全安全的數據通信（圖 1）。所有密鑰構建模塊都包含在芯片上，包括 DPA 安全加密處理器、PUF、密鑰存儲和 RNG。設計人員只需對處理器進行編程，以使用RNG和特定的加密協議（如AES 256）生成密鑰，然后板載PUF提供安全密鑰存儲，加密處理器實現安全通信！用于實現安全通信的 FPGA 架構資源非常少。

圖 1.此處顯示的是中檔密度 PolarFire FPGA 的功能框圖，該 FPGA 由數據安全處理器、物理不可克隆函數 （PUF）、隨機數生成器 （RNG） 和安全非易失性存儲器 （NVM） 組成。

設計和數據安全：沒有任何借口

隨著保護設備變得越來越具有挑戰性，設計人員需要能夠使其系統本質上安全的技術構建模塊?，F在，中端密度 FPGA 可解決嵌入式工程師面臨的新興安全挑戰，包括通過 DPA 對策實現設計安全性，以及使用加密處理器實現數據安全性。這些安全解決方案還以更小的外形尺寸提供更低的功耗。

審核編輯：郭婷