利用異步采樣電路提高SRAM工藝FPGA的設計安全性

隨著(zhù)FPGA的容量、性能以及可靠性的提高及其在消費電子、汽車(chē)電子等領(lǐng)域的大規模應用，FPGA設計的安全性問(wèn)題越來(lái)越引起人們的關(guān)注。相比其他工藝FPGA而言，處于主流地位的SRAM工藝FPGA有一些優(yōu)勢，但是由于SRAM的易失性，掉電以后芯片中的配置信息將丟失，所以每次系統上電時(shí)都需要重新配置。這就使得剽竊者可以通過(guò)對FPGA的配置數據引腳進(jìn)行采樣，得到該FPGA的配置數據流，實(shí)現對FPGA內部設計電路的克隆。為了保護設計者的知識產(chǎn)權以及推動(dòng)SRAM工藝FPGA更大規模的應用，產(chǎn)業(yè)界和學(xué)術(shù)界從加密算法的角度對SRAM工藝FPGA的設計安全性提出了多種解決方案 [1～2]。

異步電路的競爭和險象問(wèn)題所導致的不確定性，是數字電路設計中令人頭疼的問(wèn)題。但是，如果把這種不確定性應用在本安全方案中，同樣可以困擾剽竊者，從而更有效地保護設計。為此，本文提出了利用異步采樣電路的不確定性提高SRAM工藝FPGA設計安全性的方法，以提高系統的安全性。

1 方案簡(jiǎn)介

1.1 設計方案的指導思想

(1) CPLD是難以用反向工程等物理手段進(jìn)行破解的，而且用這些方法破解CPLD的成本和設計的開(kāi)發(fā)成本相近。Xilinx公司聲稱(chēng)其CoolRunner- II系列CPLD的安全性完全可以達到ASIC相當的等級[3]。并且，CPLD也可以用抗攻擊性強的小規模反熔絲FPGA來(lái)代替[4]。

(2) CPLD中觸發(fā)器資源較少，因此應盡量降低CPLD中的電路復雜度。

本方案借助了跳頻的理念，在FPGA和CPLD中分別保存兩個(gè)密鑰表，在一開(kāi)始同步之后，FPGA中的密鑰選擇狀態(tài)機根據異步采樣電路輸出的狀態(tài)跳轉指示信號進(jìn)行跳轉。同時(shí)CPLD接收FPGA送來(lái)的狀態(tài)跳轉信號，其中的密鑰狀態(tài)機也進(jìn)行相應的跳轉，并將密鑰傳回給FPGA。在沒(méi)有差錯的情況下，這兩個(gè)狀態(tài)機將一致地跳轉。FPGA通過(guò)對CPLD送來(lái)的密鑰進(jìn)行確認來(lái)驗證CPLD的合法性：檢驗是否和自己的密鑰狀態(tài)機所選擇的密鑰一致，如果一致，則說(shuō)明所連接的CPLD為合法的CPLD，FPGA電路正常工作;否則認為所連接的CPLD為非法，停止FPGA電路工作。由以上指導思想設計的系統框圖如圖1所示。

此外，CPLD向FPGA傳遞的密鑰先利用M序列進(jìn)行加密，這樣使得對系統的破解首先需要對M序列加密算法進(jìn)行破解，從而進(jìn)一步提高了系統的抗攻擊能力。

1.2 異步采樣電路

溫度的變化、電壓的波動(dòng)等因素都會(huì )使晶振所輸出的時(shí)鐘發(fā)生抖動(dòng)。因此，用一個(gè)時(shí)鐘去采樣另一個(gè)時(shí)鐘驅動(dòng)的信號，其采樣值是不可預測的。異步采樣電路的機理就是利用兩個(gè)時(shí)鐘之間相位和頻率的不確定性，產(chǎn)生一個(gè)不可預測的序列。單比特異步采樣電路的示意圖如圖2所示。圖中有4個(gè)觸發(fā)器(FF1、FF2、FF3、 FF4)和兩個(gè)時(shí)鐘(clk、clks)。FF1、FF2由clks信號驅動(dòng)，其中FF1是用于防止亞穩態(tài)出現的觸發(fā)器，它的輸入信號同步于clk的信號，FF2的輸出信號則同步于clks的信號。FF3、FF4由clk信號驅動(dòng)，其中FF3的作用和FF1類(lèi)似，用于防止亞穩態(tài)的出現，它的輸入信號同步于clks的信號;FF4的輸出信號則同步于clk的信號。通過(guò)上述處理后，FF4的輸出產(chǎn)生了一個(gè)隨機序列，這個(gè)隨機序列不同于同步電路產(chǎn)生的偽隨機序列，其狀態(tài)的轉移同溫度、電壓等外界因素有關(guān)，是一個(gè)完全不可預測的隨機序列。此外，異步采樣電路對兩個(gè)時(shí)鐘之間的相位敏感，所以在電路板每次上電時(shí)所生成的序列也是不同的。

異步采樣模塊的VHDL實(shí)現如下：

--this process is triggered by clks

process(rst, clks)

begin

if rst=‘0’ then

ff1 = (others=>‘0’);

ff2 = (others=>‘0’);

elsif clks‘event and clks=‘1’ then

ff1 = din; --din is the signal triggered by clk

ff2 = ff1;

end if;

end process;

-- this process is triggered by clk

process(rst, clk)

begin

if rst=‘0’ then

ff3 = (others=>‘0’);

ff4 = (others=>‘0’);

elsif clk′event and clk=‘1’ then

ff3 = ff2;

ff4 = ff3;

end if;

end process;

dout = ff4; -- dout is output random signal

其中：din為同步于clk的輸入序列，dout為輸出的隨機序列。

將本文所設計的方法應用到Altera公司的Cyclone[5]系列FPGA中，利用Quartus II中的SignalTapII Logical Analyzer工具，兩次采樣復位后FPGA內異步采樣電路的輸入輸出信號，得到如圖3所示的波形，其中兩個(gè)時(shí)鐘：clk為2.000MHz，clks 為2.048MHz。觀(guān)察系統復位后異步采樣電路輸出序列的隨機性可以發(fā)現，每次將系統復位后，采用同步電路設計的偽隨機序列發(fā)生器產(chǎn)生相同的偽隨機序列 (din);但是，將這個(gè)偽隨機序列(din)輸入異步采樣電路后，在輸出(dout)卻得到不同的隨機序列。這說(shuō)明同一塊電路板每次上電時(shí)都將生成不同的隨機序列。

1.3 密鑰選擇狀態(tài)機

FPGA 和CPLD中各有一個(gè)完全相同的密鑰選擇狀態(tài)機，該狀態(tài)機根據異步采樣電路輸出的隨機序列進(jìn)行跳轉，其跳轉規則可以自定義。在本文設計的系統中，密鑰表中存放有8個(gè)32位長(cháng)的密鑰，密鑰狀態(tài)機共有8個(gè)狀態(tài)，記為狀態(tài)0～狀態(tài)7，每個(gè)狀態(tài)分別對應一個(gè)密鑰，記為密鑰0～密鑰7。

假設當前狀態(tài)為狀態(tài)i，異步采樣電路的輸出為j，其中i、j∈N，且0≤i, j≤7。那么可以采用如下簡(jiǎn)單的跳轉規則：當采樣電路的輸出為0時(shí)，跳轉到狀態(tài)0;否則，跳轉到狀態(tài)(i+j)mod8。為了提高系統的安全性，也可以采用各種無(wú)序的跳轉規則，通過(guò)改變跳轉規則和密鑰表，可以得到不同的系統。

1.4 M序列加密解密電路

由于CPLD向 FPGA傳遞密鑰之前，先利用M序列進(jìn)行加密，使得對系統的破解首先需要對M序列加密算法進(jìn)行破解，這樣既防止了密鑰的明文傳輸，又提高了系統的安全性。之所以采用M序列作為加密算法，主要考慮的是解密的自同步特性。此外根據本設計的假設即CPLD的破解是不可行的，考慮到CPLD觸發(fā)器資源緊張，對 FPGA向CPLD之間的跳轉指示信號的傳輸沒(méi)有進(jìn)行加密，為此而節省了CPLD中的電路。

M序列的級數越大，生成的隨機序列的周期越長(cháng)，破解的難度也越大。這里采用20階的M序列，其本原多項式為x20+x3+1。

1.5 密鑰校驗

CPLD 將其密鑰狀態(tài)機所對應的密鑰回送給FPGA，FPGA則通過(guò)對CPLD送來(lái)的密鑰進(jìn)行確認來(lái)驗證CPLD的合法性。為了不至于多占用引腳，32位密鑰是串行傳輸的。串行傳輸給剽竊者的破解也增加了難度，但同時(shí)帶來(lái)的問(wèn)題是：FPGA需要先進(jìn)行同步和串并轉換之后才能進(jìn)行密鑰校驗。

密鑰校驗的狀態(tài)機如圖4所示。狀態(tài)機共有失步、預同步、同步和保護四種狀態(tài)。預同步狀態(tài)的設置是為了防止假同步，只有連續三次校驗正確才認為找到了同步。保護狀態(tài)的設置是為了防止誤碼引起不必要的失步，使得偶爾的誤碼并不會(huì )導致校驗狀態(tài)機失步。下面分別介紹密鑰校驗電路在這四種狀態(tài)的具體工作方式：

(1)失步狀態(tài)：系統剛啟動(dòng)時(shí)，FPGA的密鑰校驗狀態(tài)機處于失步狀態(tài)，此時(shí)異步采樣電路不工作，輸出為0，CPLD一直發(fā)送密鑰0。密鑰校驗電路在M序列解密電路輸出的串行密鑰流里搜索密鑰0的碼型，在搜索到密鑰0的碼型后，密鑰校驗狀態(tài)機跳轉到預同步狀態(tài)。

(2)預同步狀態(tài)：當密鑰校驗狀態(tài)機處于預同步狀態(tài)時(shí)，異步采樣電路仍然不工作，輸出跳轉指示為0，CPLD仍發(fā)送密鑰0。密鑰校驗電路進(jìn)行密鑰0校驗，如果連續三次密鑰校驗正確，則進(jìn)入同步態(tài);否則返回失步態(tài)重新進(jìn)行密鑰搜索。

(3)同步狀態(tài)：此時(shí)異步采樣電路開(kāi)始工作，輸出隨機序列指示FPGA和CPLD中兩個(gè)密鑰狀態(tài)機進(jìn)行跳轉。此時(shí)密鑰校驗電路將CPLD送來(lái)的密鑰和FPGA內部選擇的密鑰進(jìn)行對比，如果發(fā)生校驗錯誤則跳轉至保護狀態(tài);否則繼續進(jìn)行密鑰校驗工作。

(4)保護狀態(tài)：異步采樣電路依然工作，密鑰校驗電路繼續進(jìn)行密鑰校驗，如果連續三次密鑰校驗錯誤則跳轉到失步狀態(tài)重新進(jìn)行密鑰搜索;否則返回同步狀態(tài)。

在密鑰校驗電路中設有錯誤計數器，該計數器在失步狀態(tài)下計數。一旦錯誤計數器的計數超過(guò)設定的閾值，則認為密鑰檢驗失敗，停止FPGA電路的工作使能。

2 安全性分析

這里列舉幾種常見(jiàn)的攻擊方法，并簡(jiǎn)要分析本方案在這些攻擊下的安全性。由于本設計假設CPLD的破解是不可行的，所以不考慮對CPLD進(jìn)行反向工程直接破解等方法。

2.1 對配置數據流進(jìn)行采樣

剽竊者通過(guò)對FPGA的配置數據引腳(圖1中的位置①)進(jìn)行采樣，得到該FPGA的配置數據流，實(shí)現對FPGA內部設計電路的克隆。

這種方法顯然是不可行的，因為FPGA只有在確認了所連接的為合法CPLD以后才能正常工作，也就是說(shuō)，需要同時(shí)克隆一份CPLD內的設計才能使得FPGA正常工作。

2.2 對密鑰數據流進(jìn)行采樣

剽竊者利用2.1中所述方法對FPGA內部設計電路進(jìn)行克隆以后，又對密鑰數據流(圖1中的位置②)進(jìn)行采樣，用存儲器將這些密鑰數據流存起來(lái)，在FPGA上電后將這個(gè)密鑰數據流發(fā)送給FPGA，企圖模擬一個(gè)合法的CPLD。

這種方法也是不可行的。因為異步采樣電路對兩個(gè)時(shí)鐘之間的相位敏感，所以在電路板每次上電時(shí)所生成的隨機序列是不同的，也就是說(shuō)，每次上電后產(chǎn)生的密鑰數據流是不同的。因此，經(jīng)過(guò)這次采樣得到的密鑰數據流，下次上電時(shí)能用的可能性很小。

2.3 CPLD工作原理分析

由以上分析可以發(fā)現，本方案能夠很好地抵抗克隆攻擊。所以，要破解本方案，剽竊者只有同時(shí)對FPGA和CPLD之間的數據進(jìn)行采樣(圖1中的位置②和③)，根據CPLD的輸入輸出分析CPLD的工作原理，從算法層面上破解CPLD，但很難成功破解。因為：

(1)由于FPGA和CPLD之間的密鑰數據流經(jīng)過(guò)M序列加密以后再進(jìn)行傳輸，所以破解M序列加密算法是分析CPLD的第一步。同時(shí)加密時(shí)因采用了20階M序列，并且每32個(gè)周期改變一下密鑰，提高了序列綜合進(jìn)行分析的難度。

(2)有8個(gè)32位的密鑰，而密鑰的長(cháng)度和個(gè)數對于剽竊者來(lái)說(shuō)都是未知的。

(3)在破解了M序列加密算法和獲得所有的密鑰以后，還需要破解毫無(wú)規律的密鑰選擇狀態(tài)機。即使一個(gè)8狀態(tài)的狀態(tài)機，因每個(gè)狀態(tài)有8種轉移的可能性，總的轉移關(guān)系就有88=16 777 216種。

因此，想要破解本系統所需的精力和成本都相當高。剽竊者需要知道足夠的系統設計參數，例如M序列生成多項式、密鑰個(gè)數、密鑰長(cháng)度、密鑰狀態(tài)機個(gè)數以及密鑰選擇狀態(tài)機轉移規則等，才能對本方案成功破解。

對 FPGA設計安全性的思考源于所采用的Xilinx公司的Spartan3系列和Altera公司的Cyclone系列FPGA進(jìn)行產(chǎn)品的開(kāi)發(fā)。本文所提出的方案是利用異步采樣電路的不確定性使得系統不易被克隆。將該方案融合到其他加密方案中，可進(jìn)一步提高這些方案的安全性。