在廣泛的非國防市場，有些人認爲網絡安全完全可以滿足他們的需求。畢竟，他們設置了栅欄、大(dà)門、警衛、攝像頭和防火(huǒ)牆，并且由他們自己的員(yuán)工(gōng)來制造和/或生(shēng)産自己的系統，從而實現了“物(wù)理”安全。這可能就足夠了。但大(dà)家扪心自問，在什麽條件下(xià)任何人（可能是員(yuán)工(gōng)）都可以訪問一(yī)台設備，他們的哪些做法可使設備所具備的功能被利用或被秘密提取？

這勢必需要公司回答以下(xià)問題：我(wǒ)的供應鏈管理是否安全？設備或貨物(wù)是否曾“丢失”？設備如何停用？誰負責維修設備，設備如何升級？“誰可以在設備的使用壽命期間訪問該設備，他們可以如何處理該設備？”這些問題的答案将有助于推動組織的決策過程。

下(xià)面是需要考慮的關鍵安全主題：

生(shēng)産（制造印刷電(diàn)路闆）、配置和測試

在任何非易失性器件的編程過程中(zhōng)，公司是否使用了經過哈希運算且已簽名的映像？是否存在記錄已配置内容、已配置的電(diàn)路闆數量以及未通過出廠測試的電(diàn)路闆數量的可審核日志(zhì)？這些日志(zhì)是否經過哈希運算且已簽名？

是否禁止了調試端口？

發貨給客戶

組織能否對發貨件數與客戶收到的件數進行核對？大(dà)多數客戶會立即說“嘿，少了一(yī)件！”。但是，如果客戶因爲某種原因丢失了一(yī)件，該怎麽辦？這家公司不得不假定有一(yī)件設備流落在外(wài)。

公司及其客戶能否驗證交付設備的完整性？他們能否驗證設備在運輸過程中(zhōng)未遭到篡改？

已部署設備

• 設備上是否有防篡改密封？

• 是否隻允許獲得授權的技術人員(yuán)維修設備？

• 是否允許遠程更新？

• 如果允許，經過驗證後，這些映像是否是完整的和真實的？

• 是否有适當的機制來防止回滾？

• 設備停用時是否執行零值化？是否使其無法操作？是否将其銷毀？

如果對上述任何一(yī)個問題的回答都是“否”，那麽組織應該認真考慮内置防篡改對策的半導體(tǐ)，這樣他們便可根據設備在其生(shēng)命周期内可能出現的風險情況爲其量身定制篡改響應。例如，FPGA産品應該具有可用于定制威脅響應的多種防篡改功能（圖1）。示例包括：

• 足夠數量的數字篡改标志(zhì)

• 多個模拟窗口電(diàn)壓檢測器，可爲您提供每個關鍵電(diàn)源（Vdd、Vdd18和Vdda25）的高/低跳變點

• 數字窗口溫度，可爲您提供高/低管芯溫度

• 來自内置溫度檢測器的原始電(diàn)壓和溫度值

• 系統控制器慢(màn)速時鍾，用于指示系統控制器的欠壓條件

• 數字總線（至少5位），用于指示器件複位源（已觸發DEVRST引腳、篡改宏輸入、系統控制器看門狗和安全鎖定篡改檢測器，以及任何其他複位）

篡改檢測和響應

在對FPGA設計的篡改宏進行實例化時，應該可以使用多種類型的篡改标志(zhì)。每個标志(zhì)都有自己的用途：

響應與檢測同等重要。如果在單個事件、一(yī)系列事件或其中(zhōng)的任何事件組合發生(shēng)期間，公司決定因未經授權的篡改而采取行動，則随着時間的推移，應針對事件對響應進行調整。或者，組織可以打擊違例行爲，強化安全部分(fēn)。示例包括：

IO禁止

禁止所有用戶IO。将IO重置爲由其SEU抗擾配置位定義的狀态。專用（JTAG、SPI和XCVR等）IO或未通過配置位配置的IO除外(wài)。隻要将IO_DISABLE置爲有效，即會禁止IO。

安全鎖定

所有用戶鎖都設置爲其鎖定狀态。

複位

向系統控制器發送複位信号以開(kāi)始掉電(diàn)和上電(diàn)周期。

零值化

将任何或所有配置存儲元件清零并進行驗證。将内部易失性存儲器（例如LSRAM、uSRAM和系統控制器RAM）清零并進行驗證。零值化完成後，可以使用JTAG/SPI從指令檢索零值化證書(shū)，以确認零值化過程成功。如果使能系統控制器挂起模式，則此篡改響應不可用。用戶可以選擇在零值化後進入兩種不同的狀态：

• 出廠狀态——器件恢複到交付前的狀态。

• 不可恢複。甚至公司也無法訪問器件的内部。

零值化完成後，可以通過專用JTAG/SPI端口導出零值化證書(shū)，向外(wài)部實體(tǐ)保證器件确實已執行零值化。

在當今競争激烈的環境中(zhōng)，網絡安全還遠遠不夠。公司制造的設備有可能會落入其競争對手和危險分(fēn)子的手中(zhōng)。半導體(tǐ)産品必須具有各種内置的防篡改功能，組織可以利用這些功能來定制其對這些威脅的響應。