利用 Altera FPGA 实现更加可靠的全生命周期安全性

工业、汽车、医疗、航空电子和政府等众多领域早已确立了安全标准。现今，安全重点转向了所有联网产品。欧盟在 2024 年底通过的《网络弹性法案》 (Cyber Resilience Act) 便是这一趋势的例证。设计工程师不得不花费更多的时间来学习如何增强产品安全性，而无法完全专注于设计本身。

此需求须确保在产品的整个生命周期内都拥有全面的控制能力，这可通过精心设计的系统安全方案来达成，通常侧重于系统中智能化水平最高的设备。在系统开机时，智能设备必须能够安全启动，并为设备自身及其周围的系统建立信任根 (ROT)。

Altera 设备具备多项设计安全功能，这些功能在 ROT 建立后即可使用。例如，Agilex™ 设备内置了最新版安全设备管理器 (SDM)。SDM 是一种灵活的安全子系统，它会先启动并建立 ROT，然后为整个系统提供安全服务。

图 1 展示了 Agilex™ 7 家族所含 SDM 的高级框图。这一功能强大的子系统可以利用冗余处理器，自开机起即运行 FPGA 的安全功能。SDM 负责执行多种任务，包括 FPGA 和 HPS 的安全配置、加密密钥和操作的安全处理、篡改检测、单粒子翻转 (SEU) 监控等。

图 1：Agilex™ 7 设备中的安全设备管理器 (SDM)

系统部署完成后，如何确保其未被入侵呢？这就需要利用 SDM 的另一项独特功能：认证功能 (Attestation)。验证 (authentication) 环节负责验证并批准 FPGA 或软件映像启动，而认证 (attestation) 功能则提供与之相关的功能，要求系统必须证明其身份和状态，以证实其未被篡改。这项功能可随时调用，作为系统所有者进行系统增强的一道“关口”，或是在认证失败时启用缓解措施的一项测试。     

作为第二大类需求，旨在保护系统处理或传输的所有数据。如前所述，SDM 拥有一个具备多种算法的加密引擎，可以帮助保护 FPGA 逻辑结构或 FPGA 嵌入式 ARM 硬核处理器系统 (HPS) 所触及的“敏感”数据。这些加密服务不仅包括可为数据存储提供加密的安全数据对象存储 (SDOS)，还包括基于 HMAC 的签名生成和验证，可助力确保数据的完整性和真实性。SDM 还提供其他类似功能，可用于 HPS 或 FPGA 逻辑结构所处理的各种数据，并可在密码、完整性和身份验证等多种所需功能中使用 AES、HMAC、SHA-2 和 ECDSA 算法。

部分 Agilex™ 7 设备[1] 还提供 MACsec IP 解决方案，每个实例的运行速度高达 200 Gbps（半双工）。该功能采用了现有的 AES 硬核加速器模块，而该模块也可用于其他 IP 解决方案。Agilex™ 7 设备提供多达 4 个实例，支持高达 800 Gbps 的 MACsec 带宽。  

覆盖产品的整个生命周期，从为设计选择组件开始，贯穿于产品的制造、交付、维护，直至生命周期终结。为应对电子制造生态系统中的不足，Altera 扩展了安全功能。

例如，在与负责设备密钥编程的第三方原始设计制造商 (ODM) 合作时，机密性是一个普遍关注的问题。为解决这一问题，Altera 提供了黑密钥 (black key) 预配支持。该功能与 SDM 结合使用，可让您无论在何处编程都能安全隐藏设备密钥。

另一项能够从设备本身增强安全性的功能是物理不可克隆功能 (PUF)，类似于数字指纹。Altera 采用高度安全的制造工艺，可防止内部 PUF 密钥从设备中外泄，从而增强安全性，以保护重要资产。另外，PUF 密钥还能证明您购买的是真正的 Altera 产品，而非假冒设备。  

其他供应链安全功能还包括：

- 安全远程更新：这一 IP 技术可让您在系统部署到客户方后，仍能对 FPGA 和软件映像进行安全更新；

- 安全调试：在无需访问内部 IP、数据或系统控制的情况下，从系统中收集调试所需的数据；

- 所有权转让：设置多租户所有权，或将所有权转让给另一方；

- 报废处理：以加密方式清除设备中的独特机密信息，防止设备被重新配置。