2019年，具有創(chuàng)新性的可編程邏輯器件供應(yīng)商—廣東高云半導(dǎo)體科技股份有限公司(以下簡稱“高云半導(dǎo)體”)發(fā)布了的安全FPGA系列產(chǎn)品(SecureFPGAs)。

因其實現(xiàn)了硬件PUF(物理不可克隆功能)的安全性，從而為高云半導(dǎo)體的μSoC FPGAs提供了信任基礎(chǔ)。自此后，高云半導(dǎo)體一直在與各類安全技術(shù)人員合作開發(fā)應(yīng)用案例，以便快速推進其嵌入式產(chǎn)品上的安全開發(fā)。

近期，紐約理工學(xué)院(NYiT)溫哥華分校與高云半導(dǎo)體 SecureFPGAs合作開發(fā)了解決方案，并將其作為該校INCS 870網(wǎng)絡(luò)安全顧問研究生課程的一部分。 通過與高云半導(dǎo)體合作，學(xué)生們使用Secure FPGA、μSoC FPGA解決通用安全問題，并基于芯片附帶的ID Broadkey安全庫開發(fā)了安全啟動方案。

安全啟動作為一項行業(yè)標(biāo)準(zhǔn)，可確保PC或其他嵌入式設(shè)備的啟動僅能夠使用原始設(shè)備制造商(OEM)進行數(shù)字簽名和驗證。 通常，在應(yīng)用程序軟件之前會運行少量的啟動代碼，并在軟件啟動時使用非對稱密鑰對在應(yīng)用程序固件上執(zhí)行簽名驗證。

“通過本項目的實踐，學(xué)生們對嵌入式系統(tǒng)開發(fā)有了進一步的認(rèn)識，尤其是嵌入式系統(tǒng)因其多面性難以讓學(xué)生們進行全面的接觸與體驗，”紐約理工學(xué)院溫哥華分校的INCS 870課程的助理教授邵云龍說，“而在這個項目中，學(xué)生們使用GOWIN的SecureFPGA系統(tǒng)及其Broadkey安全庫，以非對稱密鑰對完成了應(yīng)用程序固件的簽名驗證過程。在此過程中學(xué)生們收獲了實踐經(jīng)驗和成就感，同時強化了理論概念。結(jié)果表明，學(xué)生們很認(rèn)可此項目并且達到了學(xué)習(xí)目標(biāo)?！?

SecureFPGA為安全啟動過程提供了多層安全保障。首先，SecureFPGA器件可在原廠配置，以便于根密鑰對在高云半導(dǎo)體原廠現(xiàn)場初始化。 其次，該器件使用基于SRAM的PUF技術(shù)，以其硬件SRAM的固有硅屬性來重新生成根密鑰對，而不是將其存儲在設(shè)備中。 第三，私鑰在一個開發(fā)人員永不可用的安全保護區(qū)內(nèi)被保護，該保護區(qū)只能通過提供的Broadkey安全庫進行訪問。

紐約理工學(xué)院溫哥華分校此項目成功推出的示例設(shè)計，現(xiàn)已可通過登陸高云半導(dǎo)體官方網(wǎng)站www.gowinsemi.com獲取，其可以使用GOWIN的DK-Start-GW1NSE-2C開發(fā)套件進行評估，為開發(fā)人員在未來產(chǎn)品開發(fā)提供了一個集成應(yīng)用程序固件檢查的良好起點。

紐約理工學(xué)院溫哥華研究生Duo Xu解釋說：“為了進行安全啟動，開發(fā)人員需要提供應(yīng)用程序固件的啟動地址和大小(以字節(jié)為單位)，用于驗證數(shù)字簽名。在數(shù)字簽名生成過程中，程序?qū)⒊跏蓟疘D Broadkey安全庫并生成數(shù)字簽名，并存儲在閃存中。簽名生成后，就可以在代碼中調(diào)用安全啟動函數(shù)來重新生成簽名，并與存儲在閃存中的數(shù)字簽名進行比較，以驗證應(yīng)用程序沒有被修改。如果驗證成功，啟動過程將跳轉(zhuǎn)到固件的第一個地址，如果驗證失敗，則顯示錯誤消息并跳轉(zhuǎn)到無限循環(huán)。”

“對于希望為嵌入式產(chǎn)品增加安全功能的客戶，安全啟動是我們收到的最常見的請求之一，” 高云半導(dǎo)體國際營銷總監(jiān)Grant Jennings說。”與紐約理工學(xué)院溫哥華分校的合作，使得從具有網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)知識的研究生那里，對高云半導(dǎo)體的安全產(chǎn)品應(yīng)用提供了極其寶貴的見解與經(jīng)驗。”