Intel® Quartus® Prime Pro Edition用户指南: Programmer

ID 683039
日期 12/16/2019
Public
文档目录

1.3.1. 使能Bitstream Authentication(Programming File Generator)

比特流验证需要生成包括根密钥和1个或多个设计签字密钥的一级签字链(.qky)。根密钥使能基本安全功能,并通过公共签字链验证设计签字密钥。根密钥将密钥的SHA-256或SHA-384散列存储于eFuses。
可选择使能固件联合签字功能,以要求对器件上运行的配置固件版本进行签字。随后FPGA器件仅可加载已签字的固件。
注: 请参阅 Intel® Stratix® 10器件安全用户指南了解逐步生成一级签字密钥的说明。

在Assembler中指定.qky后,Assembler将一级签名链附到您生成的.sof生成文件。

使用Programming File Generator生成.sof文件的已签字配置比特流。JTAG Indirect Configuration File (.jic)和Raw Programming Data File (.rpd)格式适用于Active Serial (AS)配置。Programmer Object File (.pof)和Raw Binary File (.rbf)适用于 Avalon® Streaming配置。

按照以下步骤使能比特流验证:

  1. 生成包含根密钥和1个或多个设计签字密钥的第一级签字链(.qky),如 Intel® Stratix® 10器件安全用户指南中说明。
  2. 将一级签字链添加到配置比特流,点击Assignments > Device > Device and Pin Options > Security,然后对Quartus key file选项指定第一级签字链 .qky
  3. 为使能更多物理器件安全选项,请在Security页面点击More Options按钮。更多安全选项对话框中介绍了所有选项。
    图 9. 安全选项卡(器件和管脚选项)
  4. 在Assembler中生成主要器件编程文件,如生成器件主要编程文件中所述。现在,主要器件编程文件包含使能第一级验证的数据。
  5. 要选择使能联合签字器件固件验证,请使用如下选项生成.jic.rbf辅助编程文件,如生成辅助编程文件(Programming File Generator)中所述:
    1. Programming File Generator中,点击Properties按钮。出现Input File Properties对话框。
      图 10. 使能联合签字器件固件验证( Intel® Stratix® 10器件)
    2. Enable signing tool设置为On
    3. 对于Private key file,指定一个设计签字密钥Privacy Enhanced Mail Certificates文件(.pem)用于固件联合签字。该密钥可从FPGA设计签字密钥中分离出来。
    4. 对于Co-signed firmware,请指定Quartus Co-Signed Firmware文件(.zip)。
    5. 点击OK
  6. 使用Programmer通过.jic.rbf配置器件。
Intel® Agilex™ 器件尚无安全选项。