隨著設計需求的不斷復雜化,設計工程規模的越來越大,整個設計會分給多個人,甚至多組人來協同開發。每個部分由擅長的人來處理。
如果一個設計是由多個組/公司來協同完成的,通常會引入一個新問題:知識版權的保護。有些創新的設計方案并不想讓對方簡單獲取。這樣,就有對原始設計進行保護的一些方案。
還有一種情況是,整個FPGA設計都由一個組來進行設計,但是不希望硬件層面上被簡單復制(防止抄板),所以對整個FPGA的設計及交付的配置鏡像,也需要一些保護方案。
文本簡單討論一下相關的保護方案。請注意,沒有一種方案可以百分之百保護設計的安全。大部分方案只是提高破解成本。當破解成本比較高的時候就足夠了。
關于子模塊的方案保護
這種情況常見于兩組(或者更多組)協同開發一個工程,其中一組設計一個子模塊,并將設計交予另一組進行系統集成,同時不希望系統集成的人員獲取原始設計思路。
這種情況最常見的方案就是IP。FPGA的EDA工具ISE、Vivado和Quartus都提供了大量IP,其中的不少IP都是不提供底層源碼的。用戶可以使用但是并不能獲取原始設計。
比較常見的做法是提供綜合后的網表。ISE使用綜合后的ngc文件,Vivado的網表文件都是dcp文件。Quartus中使用過qxb和qdb文件。另外Vivado也是支持通用的EDIF格式文件,Quartus沒有確認過,不過道理上應該也是支持EDIF的。
Vivado dcp文件就是一個zip壓縮包
使用網表就可以正常進行布局布線。優點是制作/提供網表的操作上手方便,使用簡單。弊端是:
1.不方便調式,尤其是不方便在系統集成時使用嵌入式邏輯分析儀;
2.如果時序有問題,不容易做優化;
不過使用IP、網表和其他原設計保護方案都有這個問題,所以算是通病,也沒有很好的辦法解決。
使用網表的另一個問題是無法仿真,尤其是ngc/dcp這樣EDA工具自己定義的網表格式。IP內部除了包含網表文件還有仿真需要的文件。綜合/布局布線時使用對應的網表,仿真時使用仿真專用的文件/網表。所以單單提供網表,對仿真是個大問題。如果有額外的人力,可以提供相關仿真文件。但是為了保證網表和仿真文件行為一致,并且需要依據項目的進度進行網表文件與仿真文件的同步更新,這個工作量并不小。通常只有專業的團隊,才會有足夠的人員來做這件事情。
這其實也就是版本管理的困難,當版本中的文件越來越多,版本管理的難度就越來越來。通常子模塊的設計團隊都很難有足夠的人力/時間來很好的處理可綜合設計和不可綜合的仿真版本之間的版本管理。這里需要注意的是
仿真版本設計的難度并不比可綜合設計簡單。
1.如果簡單的提供可綜合版本的源代碼,則無法起到保護原始設計的作用。
2.如果使用加密或者仿真工具支持的非源代碼格式,首先要保證仿真工具支持這個功能,其次綁定了工具對版本管理也是增加了負擔。
3.比較常用的方法是使用不可綜合的仿真代碼來實現一樣的功能。這就需要較為復雜的設計。代碼中要盡量做到不涉及原始設計思路,等于是要徹底換一個思路來設計一樣的東西,而且還要盡量做到難看懂。
還有一種做法就是用C語言實現功能,然后用Verilog和C語言的接口來實現仿真。這樣核心功能是C語言實現的,自然保證了無法綜合。同時,軟件語言也更加容易做到無法獲取原始設計思路。這部分可以參考Verilog PLI。
這里要插一句,Vivado工具可以將dcp文件,進行適當分析并生成Verilog文件。生成的文件可讀性很差,但是可以用于仿真。不過從功能角度說,工具反推回來的Verilog是否正確,就不太容易保證了。本人曾經嘗試過這種方法,在仿真階段遇到了諸多問題,雖然最終可以解決問題并且實現仿真,但需要修改和調整的地方還是非常多的,有一定的工作量。
目前Xilinx Vivado工具提供了一種加密方式來對源代碼進行加密。使用這種方法后,可以直接提供加密后的源代碼。這樣的好處很多:1.源代碼不綁定器件,所以跨器件的移植更容易;2.原代碼參與綜合,這樣綜合工具可以在綜合階段就有機會進行合適的優化;3.不影響仿真。
這種方法幾乎和源代碼一樣、唯一的問題是需要解密。由于Vivado是全功能的工具(Quartus的仿真功能使用的是Modelsim,所以嚴格說不是全功能的工具),所以只要購買了這一功能的license,就可以用Vivado工具來進行設計。不過同時帶來的問題是,只能使用Vivado。具體的影響是:
1.使用的器件必須是Vivado所支持的,也就是說如果設計需要在Spartan-6或者Altera的器件上運行,就需要另外的加密手段,也就無法統一保護代碼/設計的手段,從公司和項目角度來看,這種方法會增加維護的成本。
2.部分公司的開發流程是使用獨立的仿真工具/綜合工具,這樣就需要第三方工具也支持這個加密與解密,可能會一定程度上限制使用。
第三種保護原始設計的方法,擁有之前兩種方法的幾乎全部缺點,而且更加麻煩。但是相對的,保護原始設計的程度最高。這種方法就是,部分動態重配置。
這種方法的做法是子模塊的設計團隊可以獲取頂層工程,然后依據工程設計出子模塊的部分動態重配置的配置文件。FPGA最終加載的時候,先加載不包含子模塊的靜態部分配置文件,然后加載子模塊的配置文件,通過兩次加載來組合出完整的功能。
這種方法的優點是最終提供的是配置文件,所以幾乎不可能恢復出原始設計,而且部分的配置文件和整體工程是相關聯的,導致一個配置文件只適配一個工程(甚至只適配一個工程的一個版本)。這樣就非常容易控制好子模塊的使用情況。但缺點就是過于復雜和麻煩,不僅僅無法仿真,無法調試,而且也固定器件型號,并固定EDA工具版本。同時還需要做大量的時序優化來減少設計分區對時序的影響。由于這一方案的成本過高,所以只有極為少數的公司在非常看重保密的條件下,才會使用動態重配置技術。
最后一種方案是從可讀性入手。如果源代碼的功能正常,但是可讀性非常非常差,就可以既保證源代碼的使用,同時又可以一定程度來保護原始設計。這種方法可以稱之為代碼加擾,或者代碼混淆。(下文會使用代碼混淆這個稱呼)
代碼混淆是在不違反語法錯誤的條件下對信號名和代碼結構進行重新處理,處理后的代碼可讀性非常非常低。通常情況下,在不熟悉代碼結構的時候就直接讀沒有文檔沒有注釋代碼,本身就是一個非常辛苦的工作(所以基本上寫代碼的童鞋都不愿意讀別人寫的代碼)。如果再對變量名和代碼結構做一定程度的調整,可以大大增加讀代碼的困難。通讀代碼、理清結構的成本已經和完全重新設計差不多高,以此來達到保護設計的目的。
通常代碼混淆分為變量混淆和格式混淆。變量混淆是將信號名全部替換成無意義的字符串。格式混淆是將代碼格式進行打亂,不容易理解代碼的“分段”,從而增加理解代碼結構的難度。從最終出來的效果看,想要讀懂代碼的難度實在太大了。
這種方法交付的依然是原始代碼,擁有源代碼的所有優點,可以進行仿真,便于移植。同時由于是合乎語法的處理,所以對工具沒有任何限制。所以呢,如果看到一個寫的很糟糕的代碼,不要直接下定義認為是作者太隨意或者水平太差,也許是故意寫出來不想讓別人看懂呢。
FPGA配置文件的保護方式
通常配置文件是保存在FPGA片外Flash中。FPGA和Flash之間的連接是通過PCB連線。這樣的問題是,很容易獲取Flash中的原始數據(取下Flash或者截取加載時的原始數據)。為了對配置文件進行保護,Xilinx平臺的FPGA可以有以下幾種方案可以考慮。Altera平臺沒有深入的研究過,猜測推想,應該是有類似的加密功能。
內置Flash
部分FPGA芯片內置了配置用的Flash,這樣很好的保護了Flash和其于FPGA的連接。一般來說很難獲取Flash中的數據。目前這一類芯片有Xilinx Spartan-3AN和Altera Max10。這一方案比較大的問題是,可選芯片太少。
AES加密
Xilinx的FPGA提供了AES加密功能,具體就是由用戶定義一個(或者用工具隨機生成一個)密鑰,存儲在FPGA中,同時對bit文件進行加密。由加密后的bit文件衍生的MCS/BIN文件都是經過了加密的,所以最終Flash中存儲的版本也是經過加密的。這樣即使Flash中的數據被獲取,沒有密鑰也無法使用。根據密鑰存儲的不同分為AES-BRAM和AES-EFUSE。
AES-BRAM是將密鑰存儲在一個特殊的BRAM中,這個BRAM可以用單獨的電源供電。當徹底掉電時,密鑰立即丟失,無法回復。所以這一方案需要為存儲密鑰的BRAM電源提供一個紐扣電池進行供電。
AES-EFUSE是將密鑰存儲在FPGA內置的,只能寫入一次的EFUSE寄存器中,同時必須使用原廠的JTAG Cable。寫入后密鑰將永遠保存在EFUSE中,用于解密。
DNA加密
Xilinx的FPGA,每一個芯片都有一個唯一的編碼,成為eFuse ID。這個eFuse ID是64bit,其中57bit作為DNA提供給客戶使用。大部分情況下,用戶拿到的量產芯片中,DNA是不會重復的。此時可以作為一個加密的方法。
DNA加密的原理是在設計中加入讀取DNA的模塊,讀取DNA后和內置存儲的數據作對比,如果發現不一樣則停止工作。
由于這種方法是寫入設計中的,所以如果沒有原始工程,幾乎無法破解。另外DNA又幾乎不會重復,所以一個bit文件對應一個FPGA芯片,可控性非常好。但是麻煩的是,對于量產的產片,每個產品都需要準備一個bit文件,這很大程度上加大了生產成本。
由于這個問題,出現了幾種DNA用法的變種。
1.自動處理DNA
這種方法是在設計中先查看Flash特定的區域,是否有需要的標識符。如果沒有,則自動讀取DNA,并通過一定的加密計算(當然也可以直接使用原始數據)換算出另一個值,然后將數據寫入Flash,并填充標志位。如果發現有標志位,則按規定的地址讀取DNA數據,進行解密,然后和DNA進行對比。這種方案及利用了DNA的唯一性,又便于批量生產。但是代價是DNA數據是存儲在Flash中的。如果檢查Flash的數據,是有機會找到DNA的數據,此時結合FPGA的DNA原始數據,在加密算法不麻煩的情況下有機會做解密。這樣是可以進行破解的。如果使用更強大的加密算法,又會增加設計的成本。
2.部分動態重配置
主體設計中不包含DNA信息,將DNA的讀取和識別放入一個占用資源極少、交互接口最簡單的動態重配置部分,這樣極大的降低使用部分動態重配置的難度。在生產環節,交付統一的配置文件進行生產。在測試環節,如果產品需要逐一進行測試(現在很多電子產品都是100%測試而不是抽查),選擇合適的動態配置文件寫入Flash進行測試。這樣一定程度上降低了使用成本并有較高的保密性。這種方案僅適合需要對產品進行100%充分測試的生產流程,否則依然會極大的提高生產成本。
-
FPGA
+關注
關注
1630文章
21777瀏覽量
604731
發布評論請先 登錄
相關推薦
評論