在现代嵌入式系统与工业控制中,FPGA 已成为连接云端、网络与传感器的关键硬件平台。然而 FPGA 设计一旦离开实验室进入客户现场,就面临着各种物理与逻辑攻击、供应链风险和侧信道窃密。为了保护比特流、密钥与机密算法,FPGA 厂商与系统设计者共同发展出一套硬件与软件结合的安全能力。从 PUF(物理不可克隆函数)作为硬件根信任,到比特流与外部闪存加密、侧信道攻击缓解和反篡改机制,本文系统介绍这些技术原理、实现方式与工程实践建议,帮助工程师在设计阶段做出更安全的决策。 理解硬件根信任的价值对构建安全 FPGA 系统至关重要。PUF 利用制造过程中的微小随机性产生器件独一无二的指纹。
与将密钥以静态形式存储在非易失性存储器不同,PUF 在每次上电时从器件本身的物理属性重构密钥或密钥封装材料。通过初始注册阶段生成辅助数据(helper data),设备在各种温度、电压与老化条件下仍能稳定再生相同的密钥材料,从而形成可信任的密钥根。PUF 的核心优势在于密钥不以明文形式保存在外部或可读取的存储器中,降低了被复制或被提取的风险。不同厂商实现的 PUF 结构有所差异:一些 AMD 器件(如 Zynq UltraScale+、Versal、Spartan UltraScale+)利用 FPGA 内部布线与逻辑单元的延迟差异作为 PUF 来源;而 Microchip 的 PolarFire、PolarFire SoC 与 SmartFusion2 则常用 SRAM 上电自发模式作为 PUF 的随机性来源,并辅以辅助数据保证可重构性。无论实现细节,PUF 最常见的用途是派生 Key-Encryption Key(KEK),该 KEK 在芯片内部用于解封"黑钥匙"或在 AES 硬件引擎中加载工作密钥,整个过程避免把明文密钥暴露给软件或外部总线。 比特流与外部存储的保护是 FPGA 安全的另一核心环节。
许多 FPGA 依赖外部 QSPI 或 SPI 闪存存储配置比特流,这在没有加密或认证保护时会成为攻击目标。攻击者可以通过嗅探配置总线、物理读取闪存芯片或将比特流复制到另一块器件以逆向工程设计或盗用知识产权。为防止这种风险,厂商提供了比特流加密与认证机制。现代 FPGA 常用 AES-256 作为对称加密算法,并结合硬件密钥管理单元与 PUF 派生的 KEK 进行密钥封装。256 位 AES 不仅在传统计算攻防下足够强大,而且被认为对未来的量子攻击具有较高的抵抗性,因此成为业界倾向的选择。加密并认证的比特流在加载时首先在芯片内被解密与校验,只有在校验通过且设备与密钥绑定后,配置才能生效。
此外,部分平台支持对外部闪存链路进行加密传输或对闪存进行固件级保护,减小运行时被嗅探或篡改的风险。 侧信道攻击,如差分功耗分析(DPA)或电磁泄露分析(EMA),依靠物理测量泄露的功耗或电磁信号来推断加密密钥或内部状态。现实中,通过精密测量外设或芯片引脚的功耗波形并进行统计分析,能够从多次加密操作中恢复 AES 密钥。应对侧信道攻击的策略分为硬件层与设计层两部分。硬件层面,部分新一代 FPGA 集成了专门针对敏感子系统的侧信道防护机制,例如在 AES 硬核中加入随机化、掩蔽或时间扰动等技术;一些厂商利用第三方许可 IP(例如某些 PolarFire 设备采用的加固 IP)在硬件中提供强化防护。设计层面,工程师可以在实现中采用算法层面的掩蔽(masking)、操作顺序随机化、恒定功耗实现以及电路级噪声注入等方法来降低泄露信号的可利用性。
值得注意的是,虽然厂商可能没有对所有种类的侧信道(比如复杂的电磁外泄)提供专门硬件屏蔽,但设计者可以通过 PCB 布线、屏蔽外壳、选择合适的振荡器和电源去耦方案来进一步降低攻击面。理解并对系统进行侧信道威胁建模,有助于在关键路径上投入有限但有效的防护资源。 反篡改与物理安全措施则直接面对试图通过物理接触、调试接口或替换存储器来获取机密的攻击者。JTAG 调试接口是最常见的物理入口之一,若在 PCB 上暴露 JTAG 引脚,攻击者可利用它读取寄存器、触发重配置或绕过安全机制。工程实践上,一个可靠的策略是在产品离开受控环境时禁用 JTAG 或将其配置为受保护模式,仅在可信的维修或生产阶段通过安全流程启用。eFUSE、OTP(一次性可编程)存储单元与器件 DNA(设备唯一 ID)通常用于永久性或不可轻易修改的安全绑定。
通过将比特流或密钥与器件 DNA 绑定,系统可在检测到不匹配或非法复制时拒绝启动或触发密钥清零。现代器件还支持基于 tamper 检测的零化机制,当外界试图冷却器件、移除外壳或探测内部节点时自动擦除关键数据,从而极大提高对现场篡改的抵抗力。 在实际工程中,安全不仅仅是启用单一特性,而是通过端到端的安全生命周期管理来实现。安全的供应链与工厂上电配置流程要求建立稳健的密钥引导体系与配套的"钥匙典礼"(key ceremony)。生产阶段需要在受信任的环境中完成器件注册与密钥注入,生成的辅助数据与封装密钥必须通过受控通道传递并记录审计轨迹。设备在出厂后应支持安全升级与回滚保护,以便在发现漏洞时能够下发补丁,但同时防止被攻击者利用旧版固件进行降级攻击。
安全引导链(secure boot chain)通过硬件根信任将从引导加载程序到 FPGA 比特流的每一级固件都纳入签名与校验机制,确保只有经过授权的代码与比特流能够运行。 在兼顾安全与可维护性的前提下,设计师需要在开发流程中权衡调试可用性与泄露风险。开发和生产阶段通常需要保留调试入口以便测试与验证,但出厂后应通过策略将这些入口受限或移除。可配置的安全域、分级密钥策略以及远程密钥管理(如基于 PKI 的证书链与在线密钥注入)都可以在保证运维便利性的同时降低风险。对于高安全性应用,建议采用多重防线:硬件 PUF 与 eFUSE 的结合、比特流全盘加密与签名、在关键模块中使用硬化的加密核并实施侧信道防护策略、以及在外壳和 PCB 设计上加入物理屏蔽与篡改检测。 实际案例说明了这些技术的协同价值。
在需要强防护的国防或金融场景中,工程团队常常将 FPGA 用作可信执行环境的核心,利用 PUF 作为 HSM(硬件安全模块)的一部分来派生 KEK 并在器件内部管理工作密钥,比特流与外置存储全程加密,并独立部署侧信道缓解措施与物理篡改检测。一旦器件离开受控环境且检测到异常,系统可以触发密钥擦除与禁用敏感功能,最大限度降低数据泄露风险。对于消费或工业物联网节点,则可根据威胁等级选择轻量级的 PUF 派生与比特流签名方式,辅以远程更新与证书管理,从而在成本与安全之间取得平衡。 要将这些防护措施真正落地,设计团队应从项目早期就纳入安全威胁建模,明确资产(如密钥、算法、比特流)、潜在攻击者和攻击路径。基于风险评估的优先级排序可以指导对哪些模块应用 PUF、是否启用 AES-256 比特流加密、以及在哪些区域实施侧信道防护与物理封装改进。测试阶段应包含主动的红队测试与侧信道渗透测试,以验证已部署的防护是否达到预期效果。
与此同时,建立安全补丁与事件响应流程,确保在发现脆弱点后能够快速补救并进行后续改进。 FPGA 安全并非一次性工程,而是一个覆盖供应链、制造、部署与运维的长期承诺。随着 AMD、Microchip 等厂商在器件中不断集成更强的 PUF 能力、硬化的加密核与更灵活的密钥管理单元,设计者的可用工具越来越丰富。但技术本身不能替代周全的安全策略。通过结合硬件根信任、比特流加密、侧信道缓解与反篡改措施,以及系统级的安全生命周期管理,工程团队可以构建更能抵御现实世界威胁的 FPGA 系统。未来,随着量子计算、供应链复杂化与攻击技术演进,FPGA 安全将继续成为嵌入式安全实践中的核心课题,值得在每一个开发生命周期中被优先考虑与持续投入。
。
