利用Altera FPGA实现高水平产品安全性

随着联网设备数量的不断增加，安全设计不再只是一个附加优势，更是所有数字化产品的必备要素。

工业、汽车、医疗、航空电子和政府等众多领域早已确立了安全标准。现今，安全重点转向了所有联网产品。欧盟在 2024 年底通过的《网络弹性法案》 (Cyber Resilience Act) 便是这一趋势的例证。设计工程师不得不花费更多的时间来学习如何增强产品安全性，而无法完全专注于设计本身。

幸运的是，对于 FPGA 用户而言，Altera 早在十多年前就已在其产品中内置了出色的安全功能，客户只需启用这些功能，即可实现高水平的安全性。而对于那些正在为其新设计寻求 FPGA 的设计工程师来说，即便是小型的 Altera 设备，亦可帮助他们有力地抵御常见威胁。

如今的安全需求不再局限于加密支持，而可大致划分为三大类：设计安全、数据安全和供应链安全。

设计安全需求

此需求须确保在产品的整个生命周期内都拥有全面的控制能力，这可通过精心设计的系统安全方案来达成，通常侧重于系统中智能化水平最高的设备。在系统开机时，智能设备必须能够安全启动，并为设备自身及其周围的系统建立信任根 (ROT)。

Altera 设备具备多项设计安全功能，这些功能在 ROT 建立后即可使用。例如，Agilex 设备内置了最新版安全设备管理器 (SDM)。SDM 是一种灵活的安全子系统，它会先启动并建立 ROT，然后为整个系统提供安全服务。

图 1 展示了 Agilex 7 家族所含 SDM 的高级框图。这一功能强大的子系统可以利用冗余处理器，自开机起即运行 FPGA 的安全功能。SDM 负责执行多种任务，包括 FPGA 和 HPS 的安全配置、加密密钥和操作的安全处理、篡改检测、单粒子翻转 (SEU) 监控等。

图 1：Agilex 7 设备中的安全设备管理器 (SDM)

系统部署完成后，如何确保其未被入侵呢？这就需要利用 SDM 的另一项独特功能：认证功能 (Attestation)。验证 (authentication) 环节负责验证并批准 FPGA 或软件映像启动，而认证 (attestation) 功能则提供与之相关的功能，要求系统必须证明其身份和状态，以证实其未被篡改。这项功能可随时调用，作为系统所有者进行系统增强的一道“关口”，或是在认证失败时启用缓解措施的一项测试。

数据安全需求

作为第二大类需求，旨在保护系统处理或传输的所有数据。如前所述，SDM 拥有一个具备多种算法的加密引擎，可以帮助保护 FPGA 逻辑结构或 FPGA 嵌入式 ARM 硬核处理器系统 (HPS) 所触及的“敏感”数据。这些加密服务不仅包括可为数据存储提供加密的安全数据对象存储 (SDOS)，还包括基于 HMAC 的签名生成和验证，可助力确保数据的完整性和真实性。SDM 还提供其他类似功能，可用于 HPS 或 FPGA 逻辑结构所处理的各种数据，并可在密码、完整性和身份验证等多种所需功能中使用 AES、HMAC、SHA-2 和 ECDSA 算法。

部分 Agilex 7 设备[1] 还提供 MACsec IP 解决方案，每个实例的运行速度高达 200 Gbps（半双工）。该功能采用了现有的 AES 硬核加速器模块，而该模块也可用于其他 IP 解决方案。Agilex 7 设备提供多达 4 个实例，支持高达 800 Gbps 的 MACsec 带宽。

供应链安全需求

覆盖产品的整个生命周期，从为设计选择组件开始，贯穿于产品的制造、交付、维护，直至生命周期终结。为应对电子制造生态系统中的不足，Altera 扩展了安全功能。

例如，在与负责设备密钥编程的第三方原始设计制造商 (ODM) 合作时，机密性是一个普遍关注的问题。为解决这一问题，Altera 提供了黑密钥 (black key) 预配支持。该功能与 SDM 结合使用，可让您无论在何处编程都能安全隐藏设备密钥。

另一项能够从设备本身增强安全性的功能是物理不可克隆功能 (PUF)，类似于数字指纹。Altera 采用高度安全的制造工艺，可防止内部 PUF 密钥从设备中外泄，从而增强安全性，以保护重要资产。另外，PUF 密钥还能证明您购买的是真正的 Altera 产品，而非假冒设备。

其他供应链安全功能还包括：

- 安全远程更新：这一 IP 技术可让您在系统部署到客户方后，仍能对 FPGA 和软件映像进行安全更新；

- 安全调试：在无需访问内部 IP、数据或系统控制的情况下，从系统中收集调试所需的数据；

- 所有权转让：设置多租户所有权，或将所有权转让给另一方；

- 报废处理：以加密方式清除设备中的独特机密信息，防止设备被重新配置。

Altera 设备内置安全功能已有十余年。自 2016 年推出安全设备管理器 (SDM) 以来，Altera 始终致力于为其新添更为先进的功能[2]。凭借其灵活性、稳健性和可更新性，SDM 可以帮助客户构建更安全的产品。表 1 概述了本文重点介绍的安全功能。

表 1：近期推出的 Altera 产品家族安全功能矩阵

注：

[1] 仅适用于部分 Agilex 7 设备系列。

[2] Altera 的安全方法用户指南 (RDC ID# 724441) 中涵盖更多其他机密功能。这些内容需要签订保密协议 (NDA) 方可披露。该指南还包括关于如何充分利用这些功能来应对威胁环境。请联系 Altera 销售人员，以获取该文件以及与安全相关的其他机密文件。

[3] 安全设备管理器电路和 IP 在这一产品架构中首次实现。

[4] 仅适用于部分 Agilex 3 设备系列。