FPGA设计的安全性和技术保护的应用设计
与开发成本很高的asic相比,fpga可重复编程的性能正受到系统设计者的青睐。此外, fpga的性能和功能也越来越强大,包括32位软处理器、serdes、dsp块和高性能的接口。现在的低成本fpga甚至可以满足大批量的应用。设计人员采用fpga能够快速开发产品,以应对产品快速上市(市场要求缩短产品的开发时间)和远程更新的需求。 但是,把器件生产、现场更新和固件远程重构的工作外包可能会导致fpga被复制、克隆或盗版。这对某些企业是个严重的问题,因为有些算法对企业保持竞争优势是必不可少的,而外包可能使这些算法被别人利用。因此,考虑fpga设计的安全性是一件非常重要的事。
fpga有两种类型 :基于sram、需要用外部引导器件配置的易失fpga,以及将配置保存在内存中因而不需要外部引导器件的非易失fpga。基于sram的fpga是易失器件。如果切断电源,配置即被删除,必须对器件进行重新配置,然后器件才能工作。这类器件可以用处理器或使用spi或并行闪存通过jtag端口编程。就安全性而言,它们是很脆弱的。一旦系统上电,盗版者就能轻而易举地获取fpga的位流。flash和反熔丝fpga是非易失性的器件,它们上电后即可编程,无需使用任何外部存储器。这些非易失器件拥有最高级别的安全性。但是,反熔丝fpga受到两个方面的制约: 1 )它们不能再次编程。2 )它们的性能和内存容量有限。而flash fpga和sram fpga是可以重复编程的。
盗版行为分为几种类型:“克隆”复制系统元件的行为,甚至不必知道内部的逻辑。通过拦截fpga的位流和复制配置,可以轻松地克隆一个低成本sramfpga。“逆向工程”需要理解fpga的逻辑功能,以便进行修改以满足盗版者的需要。盗版者可以分析无保护的位流以复制原先的设计,或解剖器件分析其内容。还有一个被广泛使用的盗版手段是“生产超过客户订购量的系统”,然后向市场出售多余的系统,而专利持有者却无法从中取得收益,没有任何方法可以阻止不择手段的分包商这样做。最后一种盗版方法是“盗窃服务”,盗版者通过破解系统的安全设置来获得特定的服务,如收看卫星电视节目。
打击盗版可以采用多种安全措施,最简单的方法的是使用一个保密位,防止fpga的配置数据被截获。有了这个保密位,盗版者如果试图读取配置数据,读出的数据将全部为零。所有的fpga都有这种类型的保护。然而,如果引导文件位于器件的外部,相对就比较容易复制配置,标准的sram fpga就是这种情况。如果配置数据是在器件内部,如非易失fpga ,保密位就会有很好的保密效果。
与反熔丝fpga不同 ,sramfpga和flashfpga是可重复编程的,它们允许用户调整设计或赋予fpga一个全新的功能。此外,现在甚至可以远程修改fpga配置文件,从而修改系统。虽然重构对某些应用来说是个优点,但它也可能成为一个安全隐患,因为盗版者可能拦截并获取新的码流。不过这可以通过在传输时保护位流来解决。
虽然flash fpga比sram fpga更安全 ,它们也有缺点。它们的密度和存储容量有限,功能和i/o的速度也有限。
针对这些缺点,莱迪思半导体公司已经开发出一种创新的技术,它结合了以下两种技术的优点:
* 性能和存储器容量较大的低成本sram
* 可以内部存储重构数据的flash
莱迪思独特的flexiflash技术,将sram和flash整合在同一个fpga中,可以同时实现以下几个方面的优点:
* 位流配置
* 以最短的系统中断时间进行远程重新配置
* 数据保护和器件加锁
复杂系统中的设计安全性
工程师正面临着构建日益复杂的系统的挑战。
图1 fpga与微处理器相连的系统
图1展示了一个fpga与微处理器相连的系统 。微处理器通过一个外部phy和一个集成在fpga内的mac与以太网连接。与竞争者的产品不同,这个微处理器中还包含用户逻辑。fpga通过一个flash来配置。flash和ram中包含有微处理器的程序和系统的数据。如果系统需要更新,就通过以太网来发送数据。为了保护设计,fpga数据和位流都经过了加密。但是,发送到微处理器的数据和指令未加扰,因此盗版者能够查看此数据并加以复制。一种可能的解决办法是在fpga内实现软微处理器,它可以访问fpga的内部存储器组,而从外部却无法看到存储器组。这些存储器组可以用来存储重要的算法和数据。
图2 处理器集成在fpga之中
图2展示了同一个设计,但处理器集成在fpga之中。图2中采用的软微处理器是latticemico32 。设计师构建了解扰器,因此加扰是机密的。使用解扰器允许加密的指令存储在外部存储器。为了加密位流,莱迪思为几款fpga提供了128位aes密钥。
图3 用128位aes密钥保护设计
首先,工程师应用莱迪思的软件设计工具套件isplever (7.0或更高版本)开发fpga代码,完成综合、映射、布局布线和仿真后,产生位流,经最后验证后再用ispvm系统(莱迪思的编程工具)对电路板编程。当设计师对系统的功能感到满意时,此时就要来做保护设计的工作。可以用莱迪思的isplever工具或莱迪思的编程工具ispvm system对位流加密,用户可选择128位密钥。编码的位流可以是十六进制(从0至f,不区分大小写)或一个ascii密钥(可用所有字母数字字符和空格,大小写敏感),然后使用任何非加密的文件编码将该位流加载到配置存储器中。
现在密钥应该已经保存在一个可编程存储区。编程是通过器件的jtag端口进行。应该注意到,用密钥对位流加了密,现在只能通过加密的位流对fpga进行配置。用sysconfig接口或jtag接口可以对莱迪思的fpga进行编程。该sysconfig接口可以让用户使用集中配置模式,或flashspi ,或以并行的方式使用并行配置模式重新输入数据。符合ieee 1149.1和ieee1532标准的jtag端口允许以突发位流(或快速编程)模式、或用1532模式对数据进行编程。jtag端口用来对器件中的aes128位密钥编程。不需要用特别的模式来保存fpga中的128位密钥。
在莱迪思的fpga中使用一个编码位流可以防止器件的配置被重新读取,但需要一些措施来确保配置能够正确地运作。位流未加密时,fpga执行crc操作。如果程序不正确,done信号保持在0,initn变为0 。用户仍然可以访问jtag usercode寄存器。对fpga的位流译码时,它存储位流用户码,用来存放fpga应用程序的版本号。
图4 加密位流的数据路径
图4展示了加密位流的数据路径。当数据进入fpga时,解码器读引导程序,前面所有的数据被忽略。即使解码器检测到加密的文件,如果fpga的密钥未被编程,数据则被阻止,done信号保持在‘0 ’ (表示配置失败)。如果密钥已被编程,fpga检查引导程序,指出后面所有的数据应通过解码器。然后fpga检查标准引导程序,得知数据是否已被压缩。如果数据没有被压缩,则将它直接发送到解码单元。如果数据已压缩,就先把它送到解压缩引擎,然后再送到解码单元。一旦通过crc校验,即对sram进行编程。done位被激活时,解压缩和译码擎不工作,允许其它jtag链元件接收配置数据。
莱迪思的经济型ecp2/mfpga拥有位流加密功能,内置闪存的非易失latticexp2 fpga也有此功能。latticexp2fpga把sram映射合并入同一块芯片,设计和含有位流配置的flash映射都在此芯片上工作。当设计师重点关注电路板的面积和快速启动时间时,这类器件特别有用。
内置闪存的fpga
非易失fpga提供额外的flash保护安全功能,可以防止内存因意外或未经授权的操作被擦除或重新编程。flash保护功能采用6?位密钥。
对器件进行删除或重新编程时, ispvm system会核查flash是否被保护。如果是,就要求用户输入6?位密钥,然后ispvm检查这个密钥是否与存储在器件中的密钥一致,如果一致就执行操作。但是,如果丢失了密钥,器件就再也不能被擦除了。
这些安全性措施不仅保护了用户电路板上的设计,而且也防止了试图修改系统功能的盗版行为。这些功能还有助于远程的系统更新。莱迪思fpga提供这一功能,使用户可以通过对fpga重复编程来更新他们的系统,而不会中断它与周围元件的联系。此功能被称为transfr 。
图5 用最短的中断系统时间进行远程更新
fpga最值得注意的的特点是设计人员很容易对器件进行重构。但是,重构通常意味着系统要中断很长时间。但是,莱迪思开发的transfr技术将重构的影响降至最低。莱迪思的几个fpga系列都支持transfr技术,包括那些含有内置闪存的器件,如machxo 、latticexp和latticexp2,以及像latticeecp2 /m那样的sram fpga。
transfr是一种同时使用基本任务编程和边界扫描单元的技术。基本任务编程修改非易失存储器的内容(内部的或外部的) ,以便使fpga的sram部分继续工作。莱迪思的fpga拥有可以取样和预加载的边界扫描单元,可以在编程时控制fpga的i/o。
图6 执行transfr的4个步骤
执行transfr的4个步骤:
1,进行基本任务编程。系统对fpga的非易失性存储器再编程,但不会中断sram的功能。
2,可以锁定i/o的状态,用户可以保持或预先确定i/o的状态。在整个重新配置过程中,i/o的值保持不变,以防止系统被关闭。
3, 接着用jtag命令把新的配置传输至非易失存储器。一完成对sram就执行全局复位,以便使该器件处于一个已知的状态。然后释放i/o的状态,并再次锁定pll。
4,释放输出,内部逻辑停止对i/o的监测。
要使用transfr,需要用到isplever开发工具和ispvm。
用户通过使用128位aes密钥加密文件和latticetransfr技术完成了更新过程,但仍有可能因为系统本身的弱点或违法行为引发系统故障。虽然fpga的位流是加密的,但是非法操作或传输中的错误都可能损坏它,从而导致fpga被阻塞,使系统无法正确地重启。为了解决这个问题,莱迪思推出了“双引导 ”功能。
双引导配置
在配置存储器中存储两个编程文件。
图7 双引导配置
激活program引脚或启动jtag刷新指令后,fpga下载存储在sector 1的位流 。如果crc出错,fpga自动恢复到sector0配置。lattice xp2非易失fpga也有此功能。该flash元件拥有主动配置,还有一个用来存放安全( “golden” )配置的spiflash。
莱迪思拥有许多能帮助设计人员保障设计安全的产品。lattice ecp2/mfpga是一款拥有128位aes密钥的高安全性器件。这些经济的器件提供了大存储容量(高达5.3 mbit)、高速i/o和serdes。非易失性latticexp2fpga是市场上一款很独特的器件,它有着极高的安全性。由于采用了flexiflash技术,位流存储在器件的flash中,并由128位aes密钥对它进行保护。此外, transfr更是保障了绝对安全的远程系统更新。
设计的安全性应该是设计过程的一部分,而不是事后再去考虑。无论选择了哪种技术,最重要的是要防止设计被篡改,无论这个篡改行为是无意的还是非法的。
创造性补偿使微型放大器能够驱动200mW负载
苹果三款新机将搭载无线充电
物联网是如何影响医疗电子市场的
LED 背光驱动厂商:凹凸科技(中国)有限公司简介
土壤pH测试仪与传统方法的对比,它有什么优势
FPGA设计的安全性和技术保护的应用设计
北鲲云超算平台助力模拟仿真降本增效
离线分析中,CANape 或 vSignalyzer 对不同信号进行时间同步
特斯拉超级电池厂改进电池芯设计
芯片行业竞争对手排排站 乐鑫科技营收能力远逊澜起科技
人工智能正在改变多个关键行业和市场 并且应用正在迅速扩展
索尼LSPX-S2晶雅音管上手 音质最好的“蜡烛”
AI手机如何改写我们的生活?
iPhoneSE2被曝于明年2月投产 3月发布上市
3G用户已达1808万 TD用户769万户
直接数字频率合成器设计方法
佳能EOS R5s将支持“像素偏移功能”增加分辨率
苹果降低iPhone12 mini产量
白噪声电子催眠器的频谱图
Linux内存映射与页表详解
fpga有两种类型 :基于sram、需要用外部引导器件配置的易失fpga,以及将配置保存在内存中因而不需要外部引导器件的非易失fpga。基于sram的fpga是易失器件。如果切断电源,配置即被删除,必须对器件进行重新配置,然后器件才能工作。这类器件可以用处理器或使用spi或并行闪存通过jtag端口编程。就安全性而言,它们是很脆弱的。一旦系统上电,盗版者就能轻而易举地获取fpga的位流。flash和反熔丝fpga是非易失性的器件,它们上电后即可编程,无需使用任何外部存储器。这些非易失器件拥有最高级别的安全性。但是,反熔丝fpga受到两个方面的制约: 1 )它们不能再次编程。2 )它们的性能和内存容量有限。而flash fpga和sram fpga是可以重复编程的。
盗版行为分为几种类型:“克隆”复制系统元件的行为,甚至不必知道内部的逻辑。通过拦截fpga的位流和复制配置,可以轻松地克隆一个低成本sramfpga。“逆向工程”需要理解fpga的逻辑功能,以便进行修改以满足盗版者的需要。盗版者可以分析无保护的位流以复制原先的设计,或解剖器件分析其内容。还有一个被广泛使用的盗版手段是“生产超过客户订购量的系统”,然后向市场出售多余的系统,而专利持有者却无法从中取得收益,没有任何方法可以阻止不择手段的分包商这样做。最后一种盗版方法是“盗窃服务”,盗版者通过破解系统的安全设置来获得特定的服务,如收看卫星电视节目。
打击盗版可以采用多种安全措施,最简单的方法的是使用一个保密位,防止fpga的配置数据被截获。有了这个保密位,盗版者如果试图读取配置数据,读出的数据将全部为零。所有的fpga都有这种类型的保护。然而,如果引导文件位于器件的外部,相对就比较容易复制配置,标准的sram fpga就是这种情况。如果配置数据是在器件内部,如非易失fpga ,保密位就会有很好的保密效果。
与反熔丝fpga不同 ,sramfpga和flashfpga是可重复编程的,它们允许用户调整设计或赋予fpga一个全新的功能。此外,现在甚至可以远程修改fpga配置文件,从而修改系统。虽然重构对某些应用来说是个优点,但它也可能成为一个安全隐患,因为盗版者可能拦截并获取新的码流。不过这可以通过在传输时保护位流来解决。
虽然flash fpga比sram fpga更安全 ,它们也有缺点。它们的密度和存储容量有限,功能和i/o的速度也有限。
针对这些缺点,莱迪思半导体公司已经开发出一种创新的技术,它结合了以下两种技术的优点:
* 性能和存储器容量较大的低成本sram
* 可以内部存储重构数据的flash
莱迪思独特的flexiflash技术,将sram和flash整合在同一个fpga中,可以同时实现以下几个方面的优点:
* 位流配置
* 以最短的系统中断时间进行远程重新配置
* 数据保护和器件加锁
复杂系统中的设计安全性
工程师正面临着构建日益复杂的系统的挑战。
图1 fpga与微处理器相连的系统
图1展示了一个fpga与微处理器相连的系统 。微处理器通过一个外部phy和一个集成在fpga内的mac与以太网连接。与竞争者的产品不同,这个微处理器中还包含用户逻辑。fpga通过一个flash来配置。flash和ram中包含有微处理器的程序和系统的数据。如果系统需要更新,就通过以太网来发送数据。为了保护设计,fpga数据和位流都经过了加密。但是,发送到微处理器的数据和指令未加扰,因此盗版者能够查看此数据并加以复制。一种可能的解决办法是在fpga内实现软微处理器,它可以访问fpga的内部存储器组,而从外部却无法看到存储器组。这些存储器组可以用来存储重要的算法和数据。
图2 处理器集成在fpga之中
图2展示了同一个设计,但处理器集成在fpga之中。图2中采用的软微处理器是latticemico32 。设计师构建了解扰器,因此加扰是机密的。使用解扰器允许加密的指令存储在外部存储器。为了加密位流,莱迪思为几款fpga提供了128位aes密钥。
图3 用128位aes密钥保护设计
首先,工程师应用莱迪思的软件设计工具套件isplever (7.0或更高版本)开发fpga代码,完成综合、映射、布局布线和仿真后,产生位流,经最后验证后再用ispvm系统(莱迪思的编程工具)对电路板编程。当设计师对系统的功能感到满意时,此时就要来做保护设计的工作。可以用莱迪思的isplever工具或莱迪思的编程工具ispvm system对位流加密,用户可选择128位密钥。编码的位流可以是十六进制(从0至f,不区分大小写)或一个ascii密钥(可用所有字母数字字符和空格,大小写敏感),然后使用任何非加密的文件编码将该位流加载到配置存储器中。
现在密钥应该已经保存在一个可编程存储区。编程是通过器件的jtag端口进行。应该注意到,用密钥对位流加了密,现在只能通过加密的位流对fpga进行配置。用sysconfig接口或jtag接口可以对莱迪思的fpga进行编程。该sysconfig接口可以让用户使用集中配置模式,或flashspi ,或以并行的方式使用并行配置模式重新输入数据。符合ieee 1149.1和ieee1532标准的jtag端口允许以突发位流(或快速编程)模式、或用1532模式对数据进行编程。jtag端口用来对器件中的aes128位密钥编程。不需要用特别的模式来保存fpga中的128位密钥。
在莱迪思的fpga中使用一个编码位流可以防止器件的配置被重新读取,但需要一些措施来确保配置能够正确地运作。位流未加密时,fpga执行crc操作。如果程序不正确,done信号保持在0,initn变为0 。用户仍然可以访问jtag usercode寄存器。对fpga的位流译码时,它存储位流用户码,用来存放fpga应用程序的版本号。
图4 加密位流的数据路径
图4展示了加密位流的数据路径。当数据进入fpga时,解码器读引导程序,前面所有的数据被忽略。即使解码器检测到加密的文件,如果fpga的密钥未被编程,数据则被阻止,done信号保持在‘0 ’ (表示配置失败)。如果密钥已被编程,fpga检查引导程序,指出后面所有的数据应通过解码器。然后fpga检查标准引导程序,得知数据是否已被压缩。如果数据没有被压缩,则将它直接发送到解码单元。如果数据已压缩,就先把它送到解压缩引擎,然后再送到解码单元。一旦通过crc校验,即对sram进行编程。done位被激活时,解压缩和译码擎不工作,允许其它jtag链元件接收配置数据。
莱迪思的经济型ecp2/mfpga拥有位流加密功能,内置闪存的非易失latticexp2 fpga也有此功能。latticexp2fpga把sram映射合并入同一块芯片,设计和含有位流配置的flash映射都在此芯片上工作。当设计师重点关注电路板的面积和快速启动时间时,这类器件特别有用。
内置闪存的fpga
非易失fpga提供额外的flash保护安全功能,可以防止内存因意外或未经授权的操作被擦除或重新编程。flash保护功能采用6?位密钥。
对器件进行删除或重新编程时, ispvm system会核查flash是否被保护。如果是,就要求用户输入6?位密钥,然后ispvm检查这个密钥是否与存储在器件中的密钥一致,如果一致就执行操作。但是,如果丢失了密钥,器件就再也不能被擦除了。
这些安全性措施不仅保护了用户电路板上的设计,而且也防止了试图修改系统功能的盗版行为。这些功能还有助于远程的系统更新。莱迪思fpga提供这一功能,使用户可以通过对fpga重复编程来更新他们的系统,而不会中断它与周围元件的联系。此功能被称为transfr 。
图5 用最短的中断系统时间进行远程更新
fpga最值得注意的的特点是设计人员很容易对器件进行重构。但是,重构通常意味着系统要中断很长时间。但是,莱迪思开发的transfr技术将重构的影响降至最低。莱迪思的几个fpga系列都支持transfr技术,包括那些含有内置闪存的器件,如machxo 、latticexp和latticexp2,以及像latticeecp2 /m那样的sram fpga。
transfr是一种同时使用基本任务编程和边界扫描单元的技术。基本任务编程修改非易失存储器的内容(内部的或外部的) ,以便使fpga的sram部分继续工作。莱迪思的fpga拥有可以取样和预加载的边界扫描单元,可以在编程时控制fpga的i/o。
图6 执行transfr的4个步骤
执行transfr的4个步骤:
1,进行基本任务编程。系统对fpga的非易失性存储器再编程,但不会中断sram的功能。
2,可以锁定i/o的状态,用户可以保持或预先确定i/o的状态。在整个重新配置过程中,i/o的值保持不变,以防止系统被关闭。
3, 接着用jtag命令把新的配置传输至非易失存储器。一完成对sram就执行全局复位,以便使该器件处于一个已知的状态。然后释放i/o的状态,并再次锁定pll。
4,释放输出,内部逻辑停止对i/o的监测。
要使用transfr,需要用到isplever开发工具和ispvm。
用户通过使用128位aes密钥加密文件和latticetransfr技术完成了更新过程,但仍有可能因为系统本身的弱点或违法行为引发系统故障。虽然fpga的位流是加密的,但是非法操作或传输中的错误都可能损坏它,从而导致fpga被阻塞,使系统无法正确地重启。为了解决这个问题,莱迪思推出了“双引导 ”功能。
双引导配置
在配置存储器中存储两个编程文件。
图7 双引导配置
激活program引脚或启动jtag刷新指令后,fpga下载存储在sector 1的位流 。如果crc出错,fpga自动恢复到sector0配置。lattice xp2非易失fpga也有此功能。该flash元件拥有主动配置,还有一个用来存放安全( “golden” )配置的spiflash。
莱迪思拥有许多能帮助设计人员保障设计安全的产品。lattice ecp2/mfpga是一款拥有128位aes密钥的高安全性器件。这些经济的器件提供了大存储容量(高达5.3 mbit)、高速i/o和serdes。非易失性latticexp2fpga是市场上一款很独特的器件,它有着极高的安全性。由于采用了flexiflash技术,位流存储在器件的flash中,并由128位aes密钥对它进行保护。此外, transfr更是保障了绝对安全的远程系统更新。
设计的安全性应该是设计过程的一部分,而不是事后再去考虑。无论选择了哪种技术,最重要的是要防止设计被篡改,无论这个篡改行为是无意的还是非法的。
创造性补偿使微型放大器能够驱动200mW负载
苹果三款新机将搭载无线充电
物联网是如何影响医疗电子市场的
LED 背光驱动厂商:凹凸科技(中国)有限公司简介
土壤pH测试仪与传统方法的对比,它有什么优势
FPGA设计的安全性和技术保护的应用设计
北鲲云超算平台助力模拟仿真降本增效
离线分析中,CANape 或 vSignalyzer 对不同信号进行时间同步
特斯拉超级电池厂改进电池芯设计
芯片行业竞争对手排排站 乐鑫科技营收能力远逊澜起科技
人工智能正在改变多个关键行业和市场 并且应用正在迅速扩展
索尼LSPX-S2晶雅音管上手 音质最好的“蜡烛”
AI手机如何改写我们的生活?
iPhoneSE2被曝于明年2月投产 3月发布上市
3G用户已达1808万 TD用户769万户
直接数字频率合成器设计方法
佳能EOS R5s将支持“像素偏移功能”增加分辨率
苹果降低iPhone12 mini产量
白噪声电子催眠器的频谱图
Linux内存映射与页表详解