如何為基于FPGA的嵌入式系統(tǒng)進行安全升級？

圖4 美高森美SmartFusion2 SoC FPGA擁有主流特點及可靠的安全和遠程更新能力

利用“在應用中編程”來實現安全可靠的升級

SmartFusion2和IGLOO2提供的IAP機制是一種安全可靠地遠程更新配置比特流的方法。IAP在FPGA內由專用系統(tǒng)控制器執(zhí)行，因此并不需要使用任何FPGA結構或其它用戶可配置邏輯。IAP功能采用一個外部SPI閃存器件，是一個兩步過程。在第一步中，外部SPI閃存器件通過任何可用的接口，比如PCIe、USB、JTAG甚至以太網，用需要的比特流編程。用于SmartFusion2器件編程的所有比特流都進行了加密，以確保它們不會被篡改。

在第二步中，系統(tǒng)控制器通過系統(tǒng)服務請求執(zhí)行IAP服務。用戶向系統(tǒng)控制器提供指針，指向外部SPI閃存內比特流位置的初始地址。IAP系統(tǒng)服務請求也有三個用戶選項：認證、編程或驗證。認證通常是在FPGA配置存儲器編程之前執(zhí)行的，以驗證SPI閃存內的比特流適用于正在編程的器件。在認證期間，器件正常運行。

包含新比特流的外部SPI閃存還包含一個額外的鏡像，即用作恢復目的的一個好版本。用戶可以在任何時間點使用恢復鏡像將FPGA配置為良好狀態(tài)?；謴顽R像可以 “原樣”保存，也可在需要時進行更新以便用于關鍵漏洞的修復。

IAP功能實施期間可以使用程序恢復功能。若編程期間斷電，啟動編程恢復，系統(tǒng)控制器會以可控的方式將編程FPGA的內部電荷泵禁動。在接下來的供電周期中，在啟動FPGA結構之前，系統(tǒng)控制器將檢測到器件編程操作已經被中斷，它將從外部SPI閃存中的比特流啟動編程周期。用戶可選擇從好的鏡像進行更新或從剛剛推送到SPI閃存的遠程更新鏡像進行更新。當外部比特流被載入到SmartFusion2 FPGA內時，它采用內置的DPA對抗邏輯，以確保沒有電磁探針能夠將加密匙解密，從而為嵌入式系統(tǒng)提供可信任的安全器件。

與安全加密比特流和比特流驗證一起使用，程序恢復可提供目前連接的嵌入式系統(tǒng)需要的安全可靠的遠程編程更新機制，即使FPGA配置存儲器在編程的過程中斷電也一樣。