帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
FPGA設計安全性與商業模式剖析
 

【作者: 夏明威】   2002年11月05日 星期二

瀏覽人次:【4930】

光罩成本升高和日漸增加的每批最小量要求,是當前半導體業界的兩種經濟趨勢﹔這兩種趨勢使FPGA元件比與之競爭的ASIC元件,具有更高的成本效益,並使得FPGA元件的市場佔有率,和以FPGA元件實現設計的“價值”不斷增加。隨著FPGA設計“價值”的增加,對於FPGA的“設計安全性”需求也在增加。設計圈中希望FPGA元件的安全性,至少要達到ASIC技術的水準。本文將闡述一些獨特的設計安全性問題及概念,並將FPGA技術(SRAM型、反熔絲型和Flash型)的安全性,與ASIC技術進行比較。本文並將討論由非揮發性反熔絲型及Flash型FPGA的安全特性,所帶來的一種新型商業模式。


設計安全性相關問題

有兩類獨特的設計安全性需求,見(圖一):


《圖一  設計安全性需求的分類》
《圖一 設計安全性需求的分類》
  • (1)智財權(IP)的安全:設計人員需要保護FPGA或ASIC平台的設計或IP,


  • 以防止被複製或反向工程。


  • (2)數據安全:設計人員需要防止經由FPGA或 ASIC平台出入的數據被複製、毀壞或干擾。



IP安全性不僅是憑藉設計能力獲得競爭優勢的IP研發商最關注的問題,也是擔心受到仿冒品損害的中、高產量消費性電子產品製造商所最關心的事。


這些用戶包括軍事(核子武器系統或通信系統)、金融機構(銀行自動提款機)、消費電子製造商(收費電視和機頂盒)和對侵犯版權敏感的企業(遊戲製造商)。


IP的安全性主要依賴以下三個要素:


  • (1)需保護的設計及秘密的價值:其範圍包括極為重要的應用(如保護核武設施的觸發器)到重要性較低的應用(如單一電話卡的儲值)﹔通常這種價值和時間相關(如消費產品的銷售對象或機頂盒的使用壽命)。


  • (2)實現安全措施的成本:此類成本可能由零(無需做任何事)到極其昂貴(將環氧樹脂材料包覆的電路板,安裝在上鎖的機箱內,並帶有全天候的監視或密鑰設施)。


  • (3)攻擊或打破安全措施預計成本:這種成本也可能由極低(如複製SRAM FPGA啟動元件的成本)到過高(如逃避監視進行拆卸,及環氧樹脂包覆的電路板進行反向工程)。



設計人員保護其設計的成本,與其對設計的估價成正比。而設計獲得的安全性,又同設計價值與攻擊、或破解該設計所需的成本之差成正比。


保護設計免受攻擊

對應於不同的安全級制,積體電路反向工程的可能性可劃分為三個不同級別。發表在IBM系統期刊上Abraham等人的論文“事務安全系統”,對這三個級別進行了討論:


  • * 第一級:這類元件可由具有一定知識的人,利用低成本、易於獲得的工具反求得到,因而是不安全的。這種人通常對末端用戶產品,如電話卡、預付卡和機頂盒感興趣。


  • * 第二級:這類元件具有中等安全性,可由具有豐富知識的個人,通常是行內人,利用昂貴的實驗設備反求。實現這種類別反向工程的個人通常與某個商業公司相關聯,如遊戲複製人員。


  • * 第三類:這類元件具有高度的安全性,對於這類元件的反向工程只能由政府支持的實驗室,利用無限的資源來實現,如NSA。



ASIC對於第二類的攻擊是安全的

就其自身而言,ASIC技術(標準單元,或較差的閘陣列)具有二級安全性。這種技術已為上文所提到的所有安全方案採納(如軍事、金融等領域)。對於要求防護第三類攻擊的應用領域,就需要增加環氧材料包覆和爆破裝置。


SRAM FPGA易受第一級攻擊

隨著FPGA實現設計的價值提高,佔支配地位的SRAM型FPGA技術的安全侷限性,也開始逐漸限制該技術的市場前景。SRAM型FPGA技術的安全性受到限制,已為人們熟知,由於必須用非揮發性啟動PROM或微處理器將位元流複製到SRAM FPGA,這個元件便可很容易地複製出來,如(圖二)。這對應於第一級攻擊。


《圖二  複製SRAM FPGA》
《圖二 複製SRAM FPGA》

一些SRAM FPGA製造商已意識到這種侷限性,因此在其最新一代的元件中整合了防止複製攻擊的裝置,這種裝置採用了具有晶片內建密鑰的晶片內建位元流解碼引擎,而密鑰由電路製造商寫入電路上,由電池供電的晶片內建記憶體,因而可對啟動PROM中的位元流進行加密,這種位元流在沒有晶片內建密鑰的情況下,對手複製是沒有用的,見(圖三)。


《圖三  帶有晶片內建位元流解碼的SRAM FPGA》
《圖三 帶有晶片內建位元流解碼的SRAM FPGA》

儘管這種防護裝置很有效,但也需要花費相當的成本,包括:


  • ˙電路製造廠為實現和維護編碼密鑰資料庫或設備所需的成本。


  • ˙由電池供電的密鑰儲存機制,在可靠性上的成本。如果電池當場故障,則電路也不能動作。



非揮發性的Flash型和反熔絲型FPGA比ASIC更安全

與不安全、易複製的SRAM FPGA相比,有兩種非揮發性FPGA技術,甚至比相應的ASIC技術更安全──用反熔絲技術的FPGA和Flash 技術的FPGA。這兩種技術的安全性來自於:


  • * 非揮發性使元件能在出貨到使用者之前進行設置。與SRAM技術不同,這種元件不存在可攔截的位元流。


  • * 確定可編程組件中可編程元件的狀態(開或關)具有相當的難度。與ASIC元件易於可見的貫孔不同,確定一個可編程反熔絲或Flash開關元件的開關狀態極其困難。


  • * 由巨量的開關元件組成(在最大型的元件中有數百萬個)。如果說某個開關狀態難以確定,那麼要確定數百萬個開關的狀態就是幾乎不可能的了。



反熔絲型FPGA的直接物理攻擊

確定某個反熔絲的狀態是極其困難的。用反熔絲技術的FPGA,利用一小片面積小於1μm正方形的電介質,作為兩個金屬線路之間的開路開關。在需要連接兩個金屬線路時,利用可編程脈衝來使該電介質短路。這種短路的直徑小於100 nm,從頂部是看不到這些短路電介質的。因此要對其進行物理驗證,必須對這些元件進行反處理,或截取橫斷面。這種方法算不上是一種精確的方法,需要經歷多次試驗和錯誤,並且通常需要截取多個橫斷面,才能找到一個用於短路的電介質,如(圖四)。


《圖四  編程器反熔絲的橫斷面》
《圖四 編程器反熔絲的橫斷面》

Flash型FPGA的直接物理攻擊

與反熔絲型 FPGA類似,用Flash技術的FPGA也利用開關,來連接或斷開交叉的金屬線。可利用一個浮動柵充電或放電,來設定連接兩個金屬線之間開關的狀態,如(圖五)。由於可編程元件或開關元件未發生任何物理變化,因此透過材料分析探測不到任何結果。發生變化的只有浮動柵的電荷數。因為用Flash技術的開關在編程時沒有任何可見的變化,因而用Flash技術的FPGA比反熔絲FPGA更難以運用反向工程。


《圖五  Flash FPGA開關的示意圖》
《圖五 Flash FPGA開關的示意圖》

其它攻擊方法

前文我們指出ASIC可藉由觀察金屬層或貫孔的方式,直接進行物理攻擊。我們也已證明,由於物理識別數百萬的開關狀態極其艱難,因此這種對於反熔絲或Flash FPGA的直接攻擊,就算是可能的話也是極其困難的。不過還是有人開發出另一些能攻擊任何技術的先進方法,但都需要耗費巨資,難度也非常大。


IBM 公司即開發出一種極其先進的技術,用於實際觀測金屬線路的邏輯狀態。這項技術是通過在其電壓要被觀察的物品上,放置一塊鈮酸鋰晶體來實現的﹔這種物質的折射率,會隨著施加在其上的電場變化而變化,其下金屬的電位,可利用低掠入射晶格的紫外線雷射光束讀取。利用這項技術可讀取頻率高達25MHz的5.0V信號。


Sandia實驗室開發的另一項技術(最近剛解密),則利用了一種對矽晶片透明的紅外線雷射。該技術由背側照射雷射,誘導產生受邏輯狀態影響的光電流,進而確定電晶體的邏輯狀態。


最後需提及的是,反熔絲和Flash FPGA元件的結構設計,都可防止利用燒錄器或其它電子方法對可編程元件的攻擊,如(圖六)。這兩種元件均包含了被設置後能鎖定編程,和回讀功能的電路,在設計時就考慮了鎖定電路,使其難以通過電子或直接物理攻擊的方法來破解。在反熔絲FPGA中,由於熔絲通常被設計為單向功能,因而就算不使用鎖定裝置,其結構也不允許進行電子回讀。


《圖六  編程器攻擊的防護》
《圖六 編程器攻擊的防護》

安全非揮發性FPGA帶來的獨特商業模式

在最近十年裡,半導體業發生了劇烈的變化,已由一些橫向整合的公司,變遷為許多利用專業晶圓代工服務的無晶圓廠式半導體公司。預計下一步巨變將是,數百家為系統級結構和積體電路商提供服務的設計服務和智財權公司,持續走向分裂。這一預測尚未實現,設計服務和智財權供應商們,仍然在為獲得其價值鏈上的佔有率而奮鬥。


安全非揮發性FPGA為克服這種奮鬥的兩大障礙提供了解決辦法。第一個障礙是安全性的問題﹔考慮到儘管設計服務公司,已開始通過法律和行政的手段來保護其智財權,但最終需要的成本極高,只能確保最大的合約。業界已經付出了巨大的努力開發設計加密方案,在網路表等級(netlist level)時保護設計,但如果這種設計是SRAM型 FPGA的話,那麼它對於簡單的複製攻擊依然暴露無遺。與此相反,非揮發性的反熔絲或Flash FPGA可防止這種攻擊,並提供比ASIC更高的安全性。


業界的第二個障礙,在於設計服務公司沒有方便可信的途徑,來為其提供服務收取特許權費用。所有營利只能通過收取預付許可費獲得,同樣,這筆收入也只能由最大的合約來保障。通過採用安全非揮發性FPGA技術,設計服務公司就可以變為一個實際上的ASIC公司,銷售明確標價的預編程FPGA或收取高於未編程FPGA成本的版權費。如果FPGA銷售商備有編程文件,最後客戶就可從FPGA銷售處購買預編程單元,而由FPGA銷售商負責標價收取最終客戶費用,並按標價轉交給設計服務供應商,如(圖七)。這種流程消除了設計服務公司的運作成本,並使其能按個別單元收費,而不是預收整個合同的費用。


《圖七  利用非揮發性FPGA 保護擁有版權的位元流》
《圖七 利用非揮發性FPGA 保護擁有版權的位元流》

結論

相對於與FPGA競爭的技術而言,FPGA的複雜度、功能和市場佔有率正在逐漸增加,對於以FPGA實現的元件的安全性的要求也在增加。由於SRAM FPGA對於第一級複製攻擊是透明的,因而其安全性不足。而非揮發性反熔絲或Flash FPGA,甚至比其替代的ASIC的安全性更高,因而可滿足日益增長的市場需求。此外,由這些技術帶來的可編程性和安全性,可用來滿足半導體工業的潛在要求,即設計服務和智財權公司要求其在價值鏈中佔有率的需求,利用該技術它們可以在整個設計周期內徵收版稅,而不是在預付許可使用金時收取所有費用。


(作者為ACTEL公司中國區經理)


〈參考資料


1. Abraham, D.G., Dolan, G. P. Double and J. V. Stevens. " Transaction Security System", IBM Systems Journal vol. 30 no.2(1991):206-229


2. Blythe, S., B. Fraboni, S. Lall, H.. Ahmed, U. de Riu. "Layout Reconstruction of Complex Silicon Chips" , IEEE Journal of Solid-State Circuits vol.28 no. 2(Feb 93):138-145


3. Algotronics Consulting . "Secure Configuration of Field Programmable Gate Arrays"


4. Wiesenfeld, J.M. "Electro-optic Sampling of High Speed Devices and Integrated Circuits", IBM Journal of Research and Development vol. 34 no. 2/3(March/May):141-161


5. Ajluni, C. "Two New Imaging Techniques Promise to Improve IC Defect Identification", Electronic Design vol. 43 no.14(10 July 1995)"37-38[User1]


[User1]〉


相關文章
氫能競爭加速,效率與安全如何兼得?
智慧製造移轉錯誤配置 OT與IT整合資安防線
創新光科技提升汽車外飾燈照明度
以模擬工具提高氫生產燃料電池使用率
眺望2025智慧機械發展
comments powered by Disqus
相關討論
  相關新聞
» 豪威集團推出用於存在檢測、人臉辨識和常開功能的超小尺寸感測器
» ST推廣智慧感測器與碳化矽發展 強化於AI與能源應用價值
» ST:AI兩大挑戰在於耗能及部署便利性 兩者直接影響AI普及速度
» 慧榮獲ISO 26262 ASIL B Ready與ASPICE CL2認證 提供車用級安全儲存方案
» 默克完成收購Unity-SC 強化光電產品組合以滿足半導體產業需求


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.137.159.17
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw