正如云计算、软件即服务(SaaS)和物联网(IoT)的爆炸性增长为互联网(即网络安全)带来了全新的威胁类别,FPGA 产品和客户设计的复杂性也导致了对 FPGA 和 SoC 的潜在恶意攻击增加。
英特尔® Stratix® 10 设备产品家族在所有密度和设备产品家族变体中引入了新的安全设备管理器 (SDM) 功能。作为整个 FPGA 的中央命令中心,安全设备管理器控制配置、设备安全、单事件干扰 (SEU) 响应、电源管理等关键操作。安全设备管理器为整个设备建立了统一的安全管理系统,包括 FPGA 架构、 SoC 中的硬核处理器系统 (HPS)、嵌入式硬核 IP 模块,以及 I/O 模块。
SDM 提供的关键服务
安全设备管理器的主要优势
01 用户可配置启动流程
借助专用处理器管理配置,英特尔® Stratix® 10 FPGA 用户能够控制 FPGA 或者 SoC 设备中内核逻辑的配置顺序。您还可以选择 FPGA 设计先启动还是处理器应用先启动,第一个系统是否管理第二个系统的配置控制。与前一代 FPGA 和 SoC 相比,安全设备管理器支持用户选择以更灵活的方式进行配置控制。
02 SEU 和篡改检测的用户脚本响应
您可以使用安全设备管理器中的专用处理器来控制 FPGA 或者 SoC 对 SEU 和篡改检测的响应。英特尔® Stratix® 10 设备还支持用户脚本设备擦除,将响应数据清零作为一种安全响应。
03 密钥材料和身份的物理不可克隆功能
英特尔® Stratix® 10 设备支持用户访问物理不可克隆功能 (PUF),为设备标识提供唯一的设备指纹。它还可以用作设备加密与认证的安全密钥材料。
04 防篡改保护
英特尔® Stratix® 10 设备包括片内温度传感器和设备电压轨监视器,用于检测 FPGA 或者 SoC 上的篡改攻击。此外,安全设备管理器中的安全处理器支持您更新配置过程。如果发现某一配置过程对于威胁分析无效,那么,您可以部署不同的配置顺序或者在现场更新加密过程。
05 高级密钥管理方法
您可以选择不同的密钥对 FPGA 内核的各个部分(扇区)进行加密。您还可以针对不同安全或者敏感度等级的密钥设计不同的密钥处理过程。一个密钥可以用于多个扇区或者一个扇区,以降低整个设计的脆弱性。
此外,您可以更新 / 退回 / 替换用户密钥空间中的密钥并生成密钥,以便在 FPGA 或 SoC 中添加公共和私有密钥对。私有密钥不会在安全设备管理器之外展示。
06 全面的增强加密与认证
英特尔® Stratix® 10 FPGA 和 SoC 支持用户使用硬核 IP 加密和认证加速器。支持的加速器包括:
AES 256 加密 / 解密加速器。
SHA2 256/384 加速器。
ECDSA 256/384 加速器。
您可以在配置和重新配置过程,用户定义的加密和认证过程配置后使用这些加速器。
某些硬核 IP 加密和认证加速器可能会需要相应的用户许可。
07 高级设备管理
安全设备管理器的用户和命令认证功能还支持为英特尔® Stratix® 10 设备产品家族提供一整套全新的安全设备维护功能。这些功能包括:
安全远程更新(经过认证的)。
没有公开用户密钥的设备安全返回材料认证 (RMA)。
设计和 ARM* 处理器代码的安全调试。
安全密钥管理。
安全设备管理器结构图
以上内容来自英特尔 FPGA