现场可编程门阵列(FPGA)作为重复可编程逻辑器件,在过去的几十年中被广泛应用于大多数数字系统的开发。与专用集成电路(ASIC)相比,FPGA具有密度高、可重复编程的灵活性、非重复性工程成本(NRE)低、产品上市时间快等优点,这些优点使FPGA成为医学、通信、消费电子、军事装备等各种应用领域流行的设计平台,但也同样导致FPGA成为剽窃盗版的主要目标。随着半导体工艺技术的快速发展,集成电路(IC)设计复杂度不断提高,这使得单一主体在FPGA上设计一个完整的高级的功能系统成为一项几乎无法完成的任务。因此,可重用的知识产权(IP)设计模块被广泛应用于越来越复杂的FPGA开发平台,以减轻设计人员的工作负担,提高设计效率并缩短设计开发的周期。然而,流行是把双刃剑,IP核的普及流行在为集成电路设计开发带来便利的同时,也同样为IP侵权打开了方便之门。FPGA或IP设计是由字符串表示的,这些字符串也被称为比特流,因此通过窃听等手段复制有价值的设计是容易实现的。仿冒ASIC是一项耗时、费力、且价格昂贵的工作,相比之下,盗取和复制配置比特流则相对简单,因此FPGA成了这些恶意窃贼的主要目标。不幸的是,近年来,IP盗版情况愈演愈烈,并造成了许多严重的后果。日益严重的盗版现象不仅会降低正品盈利及所占市场份额,给供应商和设计者造成巨大的经济损失,还会对品牌信誉造成巨大损害,更会严重打击设计者的积极性甚至影响整个行业的发展。因此,如何才能有效地遏制IP盗版现象是亟待解决的问题,也是FPGA和IP设计者的迫切愿望及巨大挑战。另一个需要考虑的问题是,目前IP核的商业交易模式需要用户为无限制的使用预先支付大量的许可费用,这削弱了FPGA的低NRE优势,并且IP有可能被滥用。此外,对于低到中等规模的开发系统,按次付费的许可模型更加实用,因为它们仅需为要使用的设备支付少量费用代替昂贵的预付费用。本课题立足于实际的应用价值,旨在提出有效的方案以弥补现有保护机制的不足,并以可接受的低开销实现更好的安全性。目前针对FPGA IP的盗版方式有多种,其中克隆、逆向工程(RE)和恶意篡改已成为开发人员关注的主要安全问题。克隆是最常见的安全漏洞,通过非法窃听等手段盗取的未经保护的明文比特流可被直接用于配置其他FPGA芯片,而无需按照规定支付相应的许可费用。RE是指原始的明文比特流可被逆向工程至网表级,从而暴露有价值的设计信息。篡改指的是恶意的攻击者可能通过修改比特流以达到未经认证地使用有价值的设计、泄露秘密的设计信息、甚至扰乱正常功能等目的。为了抵御设计被剽窃的风险,很多先进技术随之被提出。现有IP保护机制主要分为以下几类:基于签名的机制通过在IP核中嵌入加密签名(例如水印、指纹)来表示所有权;基于比特流加密的方法是目前最流行的IP保护技术,主要通过使用用户定义的密钥对明文比特流文件进行加密,并在载入FPGA时利用存储在非易失性存储器中的相同密钥对其进行解密,很多高端商用FPGA系列均提供此服务;基于绑定的机制是指在特定FPGA平台上绑定IP,以限制被保护的IP只能在授权的设备上使用。虽然这些技术已经在学术界和产业界进行了相当长时间的广泛研究,它们仍然存在一些各自不同的局限性以及需要解决的安全缺陷。基于数字签名的机制属于被动保护技术,并不能主动防止IP核被非法复制及滥用;基于加密的机制只能保护单一的FPGA设计而不能保护单独的IP核,同时加密模块的引入会导致很大的开销,因此不适合于资源受限的应用场景,而且由于其永久的解密秘钥存储可能引入安全隐患;近年被提出的基于PUF和状态机结合的方案属于主动保护技术,也是首个基于非加密的保护机制,并能提供使用一次授权一次的模型,可以有效解决前两种机制引入的缺陷,但其自身也存在一些普遍的安全性问题。首先,该方案选取了较小的加锁结构,这不仅不能提供足够的安全性,此情况下得到的低开销也不具备参考价值。并且,针对蛮力攻击的安全级别,总是被简化为最小子集的安全性,该绑定方案将PUF信息分解为独立的小子集,每个子集用于控制状态机每一步的转换,如果每个子集部分PUF信息很短,攻击者很容易在相当长的时间内推断出来正确的PUF响应,这大大降低了蛮力攻击的难度。但如果使用较长的PUF序列来控制状态转移,那么添加至原始FSM的状态数量将成指数增加,这无疑会增大改造状态机的难度并引入很大的开销。所以,该方案无法实现安全性和设计开销之间的适当折衷。此外,我们发现该方案在解锁完成所有转移之后,状态总是会跳转至原始FSM同一个明显的初始状态,这一设定可能被攻击者利用来旁路掉整个加锁结构以实现非法使用。PUF,即物理不可克隆函数,是一种激励响应映射机制,通过提取芯片制造过程中造成的不可预测不可控制的差异,来生成每个芯片独有的信息。自从第一次引入PUF概念以来,各种各样的PUF结构层出不穷。由于其不可预测和不可克隆的特点,PUF并被广泛应用于各种有安全需求的场合用以生成芯片唯一的密钥信息。PUF作为常用的硬件安全原语应该首先确保其安全性,并且当其被用作密钥生成时只应被特定角色所获取。然而,几乎所有的研究都默认各方之间传递的PUF信息是安全的,并且信息传递过程中可能被窃取的安全问题也总是被忽略。因此,深入研究如何有效地提取PUF信息保证其安全性具有十分重要的意义。为解决上述所有存在的不足,本课题在深入分析现有机制缺陷的基础上,提出了一种新的保护方法,在提供按次付费机制的同时,利用PUF信息与FSM相结合的方式实现锁和钥匙的结构来保护IP设计,此方法适用于大多数的数字系统。本方案中的锁通过改造原IP的FSM结构来实现,其钥匙与芯片特有的PUF响应和设计者定义的信息有关。改造之后的结构还可以被复用于PUF信息的提取,从而能够很好地保护基于PUF的密钥信息。我们可采用基于并行扫描链的PUF设计或基于D触发器随机上电状态的PUF设计,来生成每个FPGA IP实例的唯一ID。这些PUF设计基于原始的扫描设计来实现,有利于最小化安全设计占用的资源开销。FSM作为上层的电路设计抽象模型,很难从底层的网表级信息中被提取出来,并且我们将保护结构与原始设计融合在一起,可有效抵制尝试移除或者旁路掉添加结构以实现解锁的攻击方式,因此我们通过改造FSM设计来实现加锁结构并安全地提取任意长度的PUF信息。我们在原始设计中引入了额外的FSM(EFSM)设计,PUF设计电路生成的原始PUF响应作为EFSM的输入以控制EFSM的转移路径,IP设计者根据EFSM的输出以及只有设计者已知的设计信息,可以逆推出原始的PUF响应并计算出相应的密钥许可。只有当FPGA开发人员得到IP供应商提供的正确密钥许可时,原始IP的FSM才能被解锁并开始执行正常功能,因此,FPGA IP可以有效地被保护以免受非法使用或分配。除此之外,如果只有一条从EFSM到原始FSM的转移,那么攻击者很容易识别真正的复位状态并旁路掉整个EFSM加锁结构,从而盗用原始设计。因此,我们提出在EFSM和原始FSM之间引入一些新的状态作为伪复位状态(PRS),使得真正的原始复位状态难以识别。新增的PRS结构不仅可以保持原有设计的功能,而且能够很好地隐藏原始复位状态。所以,这些添加的状态应该模拟真实原始复位状态的所有功能,同时拥有一些特性差异,以便加以区分。我们在本方案中采用了基于D触发器随机上电状态的PUF来进行控制器的设计,用以生成特定的控制信号从而控制整个提取和解锁的过程。我们根据所提方案对一些电路进行了改造,这些FSM设计电路来自LGSyth91系列基础电路或由GenFSM工具随机生成,并在Xilinx Virtex5 FPGA XC5VLX50T上进行了实现,之后我们用Design Compiler和ISE14.7综合了所有改造前和改造后的设计,整理得到面积、功耗还有延时开销的数据。从实验结果可以看出该方案在面积、功耗和延时方面均能实现可接受的低开销,同时安全性分析表明此方法对一些典型的入侵和非入侵式恶意攻击均具有很好的抵抗能力。我们同样通过DC综合了单独的控制器设计,以f300-2电路为例,控制器设计引入的开销仅占其安全设计的0.96%。由于FSM设计通常也只占到整体设计的一小部分,因此控制器设计所带来的开销基本可以忽略不计。因此,我们提出的方法可以保证IP核只能在已授权的FPGA设备上使用,IP供应商也可以通过按需付费的许可提供服务对其设计产权的使用进行精确的控制,并且采用我们提出的EFSM结构还可有效解决现有其他方案的安全漏洞。