劉海堂

（中國(guó)航空計(jì)算技術(shù)研究所，陜西西安，710065）

基于FPGA的設(shè)計(jì)安全考慮

劉海堂

（中國(guó)航空計(jì)算技術(shù)研究所，陜西西安，710065）

現(xiàn)代商業(yè)產(chǎn)品設(shè)計(jì)中，針對(duì)設(shè)計(jì)安全的問題往往考慮不足，這容易引發(fā)知識(shí)產(chǎn)權(quán)糾紛，產(chǎn)品設(shè)計(jì)被篡改，產(chǎn)品被仿制等諸多問題。為了提高產(chǎn)品的設(shè)計(jì)信息的安全性，文中介紹了幾種方法，可以降低甚至消除產(chǎn)品設(shè)計(jì)信息被竊取的風(fēng)險(xiǎn)。

知識(shí)產(chǎn)權(quán)（IP）；設(shè)計(jì)保護(hù)；FPGA

0 引言

現(xiàn)代社會(huì)中，設(shè)計(jì)安全不足正成為以知識(shí)產(chǎn)權(quán)為基礎(chǔ)的經(jīng)濟(jì)的最大威脅之一。據(jù)國(guó)際商會(huì)估計(jì)，7%的世界貿(mào)易是假冒商品，假冒市場(chǎng)每年約有2500億美元的規(guī)模，并且每年會(huì)造成75萬人失業(yè)。IP竊取包括多種形式，從商業(yè)秘密到產(chǎn)品的假冒仿制。已有很多文獻(xiàn)證明，逆向工程中的IP竊取者會(huì)給公司帶來成百上千萬的利潤(rùn)損失，尤其是該IP被競(jìng)爭(zhēng)對(duì)手獲取后用來設(shè)計(jì)競(jìng)爭(zhēng)產(chǎn)品的情況。更為嚴(yán)重的是，IP竊取者會(huì)用竊取的IP來仿造和原始設(shè)計(jì)極其相似的產(chǎn)品并將其投放到市場(chǎng)中，但是仿造品的售后、維護(hù)及產(chǎn)品可靠性等責(zé)任仍有原公司來承擔(dān)，從而給公司帶來更大的損失。

現(xiàn)在越來越多的跨國(guó)公司開始將代工廠移至海外，從而導(dǎo)致產(chǎn)品被仿制的風(fēng)險(xiǎn)顯著增高。比如說代工廠的產(chǎn)品過度加工，即他們生產(chǎn)遠(yuǎn)多于訂單量的產(chǎn)品并通過其他途徑把產(chǎn)品投放到公開市場(chǎng)中。這樣不僅會(huì)造成產(chǎn)品原始制造商在已銷售的產(chǎn)品上損失利潤(rùn)，而且還會(huì)擾亂公司的銷售戰(zhàn)略，造成產(chǎn)品的局部產(chǎn)能過剩，最終危及到產(chǎn)品的整體利潤(rùn)率。

例如，基于SRAM的FPGA讓IP竊取者們有機(jī)可乘。IP竊取者們通過逆向工程，也就是仿制一個(gè)電路板，然后通過技術(shù)手段截取基于SRAM的FPGA上電時(shí)的配置流信息，再將截取的配置流信息重新寫入新的FPGA中去。這樣，即使不了解FPGA中的設(shè)計(jì)初衷，也能將產(chǎn)品仿制出來并投放到市場(chǎng)中進(jìn)行銷售。當(dāng)然，這種問題也存在于未經(jīng)過加密處理的需要從外部Flash芯片加載配置信息的FPGA芯片。

1 專利保護(hù)的神話

很多公司錯(cuò)誤的認(rèn)為通過申請(qǐng)專利保護(hù)是一種應(yīng)對(duì)設(shè)計(jì)竊取的有效措施。雖然申請(qǐng)專利保護(hù)確實(shí)可以防止一些有知名度的公司去逆向設(shè)計(jì)一款產(chǎn)品，但是卻不能完全阻止設(shè)計(jì)竊取，況且這還受制于國(guó)家和地區(qū)的法律法規(guī)政策。IP竊取者們往往并不在乎法律法規(guī)的限制，實(shí)際上，這種事情多發(fā)生在不太重視甚至完全忽略IP保護(hù)的國(guó)家和地區(qū)。在一些尊重IP權(quán)利的國(guó)家和地區(qū)，即使可以對(duì)IP侵權(quán)者提出控告，但是這需要投入很多的時(shí)間和人力成本。假設(shè)侵權(quán)行為可以被很好的識(shí)別出來，原告方也可能不具備足夠的經(jīng)濟(jì)實(shí)力去保證這樣一次訴訟。哪怕是贏得了對(duì)一個(gè)已經(jīng)破產(chǎn)的公司的10億元經(jīng)濟(jì)判罰，也無非是贏得了一場(chǎng)道德上的勝利。因?yàn)榇蛄硕嗄旯偎竞蟀l(fā)現(xiàn)，專利保護(hù)為你贏得了官司也僅限在經(jīng)濟(jì)上提供微不足道的補(bǔ)償，更不用提時(shí)間成本上的損失。利用物理設(shè)計(jì)保護(hù)加申請(qǐng)專利保護(hù)來提高產(chǎn)品安全性不失為一種好辦法，尤其是在品牌保護(hù)層面。

2 產(chǎn)品篡改

盡管不少公司可能在IP產(chǎn)權(quán)保護(hù)上有很高的警覺性，但是針對(duì)產(chǎn)品設(shè)計(jì)保護(hù)的考慮不周還是會(huì)帶來很嚴(yán)重的問題。例如，1982年的9月29日至10月1日期間，美國(guó)芝加哥當(dāng)?shù)赜胁糠志用穹昧颂┲Z林后，發(fā)生了氰化物中毒事件，最終共造成7人死亡，這在當(dāng)時(shí)引起人們廣泛的關(guān)注。事故調(diào)查清楚后，官方確認(rèn)責(zé)任并不能完全怪罪在泰諾林的制造商身上，事故的真相是由于人們服用了假冒的泰諾林。盡管如此，泰諾林的制造商還是為此承受了巨大的經(jīng)濟(jì)損失。在這個(gè)事件發(fā)生之后的一個(gè)月內(nèi)，華盛頓的食品和藥物管理局共統(tǒng)計(jì)了270余起產(chǎn)品或者包裝篡改引起的糾紛。即使在今天，我們依然在使用泰諾林。但是我們可以發(fā)現(xiàn)明顯的不同：在今天的產(chǎn)品外包裝上我們會(huì)發(fā)現(xiàn)明顯的防偽標(biāo)記和防篡改措施，哪怕是在再不起眼的藥物上—這都是當(dāng)年的“泰諾林事件”造成的影響。這類問題在電子產(chǎn)品領(lǐng)域中更加棘手，隨著可編程半導(dǎo)體器件的大量出現(xiàn)，這種設(shè)計(jì)篡改往往更加隱蔽，更難被發(fā)現(xiàn)或者被定為。所以售后產(chǎn)品被篡改的問題已引起越來越廣泛的關(guān)注。這種篡改可能會(huì)導(dǎo)致監(jiān)管或產(chǎn)品責(zé)任歸咎于原始制造商，并且更有甚者會(huì)影響公共安全。采取有效的設(shè)計(jì)安全措施即使不能消除也能大大地降低這種風(fēng)險(xiǎn)。

隨著科技的發(fā)展，產(chǎn)品的可重新配置能力已由固件擴(kuò)展到了硬件本身，尤其是在可編程邏輯領(lǐng)域。然而不幸的是，這種靈活性又導(dǎo)致了新的問題：用戶現(xiàn)在可以重寫OEM的出廠設(shè)置，這有可能導(dǎo)致產(chǎn)品工作在有害甚至是危險(xiǎn)的模式下。在一個(gè)愛打官司的社會(huì)中，如果一個(gè)消費(fèi)者因此而受到傷害，產(chǎn)品的制造商極有可能會(huì)面臨一場(chǎng)不可避免的訴訟。

這種類型的產(chǎn)品設(shè)計(jì)篡改還會(huì)帶來其他的問題。例如，通過修改發(fā)動(dòng)機(jī)電子控制器的設(shè)置可以給汽車帶來更強(qiáng)的動(dòng)力，但同時(shí)會(huì)縮短發(fā)動(dòng)機(jī)壽命并帶來汽車生產(chǎn)商的產(chǎn)品質(zhì)保問題。由于消費(fèi)者在提起訴訟前可以將產(chǎn)品的配置恢復(fù)成出廠模式，從而使問題定位更加困難，消費(fèi)者可以規(guī)避自己的責(zé)任，而將責(zé)任歸咎于產(chǎn)品制造商。更有甚者，黑客們有能力修改關(guān)鍵服務(wù)產(chǎn)品和基礎(chǔ)設(shè)施的功能配置，如果他們是出于不可告人的目的，這將對(duì)使用者的生命安全帶來潛在的威脅。因此，產(chǎn)品被篡改可能已經(jīng)成為制造商擔(dān)心的頭等問題，他們主要有以下幾方面的考慮。

（1）如何防止產(chǎn)品被篡改。

（2）能否確保產(chǎn)品不被變態(tài)者或者恐怖分子利用，從而導(dǎo)致無辜的人受害或者毀壞公司名譽(yù)。

（3）如何才能保護(hù)好客戶的身體健康和生命安全，以及公司的信譽(yù)。

（4）如果產(chǎn)品被篡改了，能否第一時(shí)間發(fā)現(xiàn)具體是哪里被篡改，而又是通過什么方式篡改。

3 產(chǎn)品設(shè)計(jì)安全實(shí)現(xiàn)

產(chǎn)品設(shè)計(jì)安全實(shí)現(xiàn)的方法有兩種：轉(zhuǎn)變?cè)O(shè)計(jì)思路和選用考慮設(shè)計(jì)安全的關(guān)鍵芯片。第一種，轉(zhuǎn)變?cè)O(shè)計(jì)思路是一種防止簡(jiǎn)單的產(chǎn)品被篡改的方法。例如選用可編程邏輯芯片（通過內(nèi)嵌軟處理器核）來替代基于處理器芯片的設(shè)計(jì)，設(shè)計(jì)者可以保留產(chǎn)品可重編程能力的靈活性的同時(shí)，降低存儲(chǔ)在FLASH存儲(chǔ)器中的程序被篡改的風(fēng)險(xiǎn)。第二種方法，選用考慮設(shè)計(jì)安全的關(guān)鍵芯片。隨著FPGA性能、容量與功能的不斷提升，今天的FPGA 已成為系統(tǒng)的心臟、知識(shí)產(chǎn)權(quán)的集合，所以如果FPGA存在安全性問題的話，與其相關(guān)的產(chǎn)品將遭受嚴(yán)重打擊。由于器件生產(chǎn)、現(xiàn)場(chǎng)更新和固件遠(yuǎn)程重構(gòu)的工作外包可能會(huì)導(dǎo)致FPGA中的設(shè)計(jì)信息被竊取。這是不可回避的問題，很多公司產(chǎn)品器件焊接、固化等都需要外包，這時(shí)候就更容易出現(xiàn)上述問題。即便生產(chǎn)所有流程都不外包，F(xiàn)PGA中的配置流信息也有被竊取的風(fēng)險(xiǎn)。例如，選用基于FLASH技術(shù)的FPGA來替代基于SRAM的FPGA，這樣，不僅可以保持產(chǎn)品設(shè)計(jì)的可重新編程能力的靈活性，也可以避免包含設(shè)計(jì)信息的比特流在加載過程中被竊取。由于基于FLASH技術(shù)的FPGA將編程信息集成在一個(gè)芯片中，去掉了產(chǎn)品在每次上電時(shí)從外部器件重新讀取配置信息的步驟。一旦被編程，基于FLASH技術(shù)的FPGA可以將配置信息一直保留到下一次被重新編程。

行業(yè)中的一些產(chǎn)品具有明顯的優(yōu)勢(shì)，例如Actel的FlashLock技術(shù)，通過一個(gè)79到263位的密鑰來保護(hù)產(chǎn)品的設(shè)計(jì)信息。FlashLock技術(shù)甚至還允許用戶永久的鎖定芯片，禁止芯片的設(shè)計(jì)內(nèi)容回讀。

還有一些基于Flash技術(shù)的FPGA提供配置信息流加密的選項(xiàng)（例如采用128位密鑰的AES加密技術(shù)），這些加密的配置信息再通過片內(nèi)的解密芯片來解讀，從而為更高級(jí)的工業(yè)產(chǎn)品提高安全性。

如果還有更高的設(shè)計(jì)安全考慮，可以采用基于FuseLock技術(shù)的反熔絲FPGA芯片。由于沒有任何的配置信息加載，反熔絲FPGA可以避免被克隆。同時(shí)，反熔絲FPGA芯片也斷絕了通過光學(xué)設(shè)備探測(cè)編程信息的可能性。

上述基于FLASH和反熔絲的兩種技術(shù)，基本杜絕了產(chǎn)品被逆向工程破解和設(shè)計(jì)信息被篡改的可能性。更進(jìn)一步講，由于產(chǎn)品編程可以在安全可控的環(huán)境里實(shí)現(xiàn)，編程文件的接觸范圍可以被嚴(yán)格的限制，因此可以防止未被授權(quán)的分銷商重建設(shè)計(jì)信息。

4 結(jié)論

欠缺設(shè)計(jì)安全考慮的產(chǎn)品不僅會(huì)面臨知識(shí)產(chǎn)權(quán)被竊取的風(fēng)險(xiǎn)，還往往會(huì)導(dǎo)致公司經(jīng)濟(jì)上蒙受巨大的損失，以及產(chǎn)品被篡改而影響公司形象等負(fù)面問題。設(shè)計(jì)者可以通過轉(zhuǎn)變?cè)O(shè)計(jì)思路來消除或者降低上述風(fēng)險(xiǎn)，當(dāng)然，更有效的措施是采用考慮設(shè)計(jì)安全的關(guān)鍵芯片來降低知識(shí)產(chǎn)權(quán)被竊取的風(fēng)險(xiǎn)。

[1]石必勝.數(shù)字網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)司法保護(hù)[M].北京：知識(shí)產(chǎn)權(quán)出版社,2016.11.

[2]王剛.反熔絲的研究與應(yīng)用[J].材料導(dǎo)報(bào)，2011.

環(huán)球儀器攜先進(jìn)汽車電子解決方案亮相德國(guó)慕尼黑電子展

環(huán)球儀器以“邁向高速生產(chǎn)”為題，將參加在11月14至17日于德國(guó)慕尼黑舉行的電子展（A2館433號(hào)展位）。環(huán)球儀器將在現(xiàn)場(chǎng)向觀眾演示其高度靈活的Uflex? 自動(dòng)化平臺(tái)及FuzionSC?先進(jìn)半導(dǎo)體封裝平臺(tái)，不單能應(yīng)對(duì)各式各樣汽車電子組裝工藝，兼且表現(xiàn)卓越，成績(jī)斐然。

Uflex平臺(tái)可以應(yīng)對(duì)復(fù)雜電子組裝工藝所需的多種不同工序。以汽車內(nèi)的副駕駛位置乘員分類系統(tǒng)作為例子，這個(gè)裝置內(nèi)含一個(gè)壓力傳感器、一個(gè)硅油填充囊、與及一個(gè)汽車專用單片機(jī)。在組裝過程中，Uflex平臺(tái)需要在墊片和密封膠上點(diǎn)膠，再在其上面及底部放上蓋子、將組裝線路板插進(jìn)傳感器內(nèi)、貼上標(biāo)簽、及進(jìn)行測(cè)試。Uflex平臺(tái)不單可以完美地執(zhí)行這些工序，更能達(dá)致極高的質(zhì)量，能完全滿足汽車行業(yè)嚴(yán)格的安全要求。

Uflex平臺(tái)的另一大好處是可以在客戶的生產(chǎn)車間內(nèi)，現(xiàn)場(chǎng)進(jìn)行重新設(shè)置，并配備用戶可以操作的電腦程序，能輕輕松松地把機(jī)器重新配置，以制造新的產(chǎn)品，給用家提供最高的投資保障。上述生產(chǎn)副駕駛位置乘員分類系統(tǒng)的多種工序，同樣適用于制造高級(jí)駕駛員輔助系統(tǒng)、自動(dòng)駕駛系統(tǒng)、安全系統(tǒng)、與及各種各樣信息娛樂選項(xiàng)。

針封LED車前燈組裝上，環(huán)球儀器展示其專有的高精準(zhǔn)LED組裝方案，即上部校準(zhǔn)工藝。這套工藝給廠家提供一個(gè)經(jīng)濟(jì)、精準(zhǔn)、高速、可以重復(fù)組裝LED元件、與及確保精準(zhǔn)地校準(zhǔn)LED元件的解決方案，最終生產(chǎn)出更明亮及適應(yīng)能力更強(qiáng)(顏色方向、強(qiáng)度)的車前燈。

上部校準(zhǔn)工藝充分利用FuzionSC貼片機(jī)本身具備的精準(zhǔn)度，再加上其配備的七軸FZ7?貼裝頭的群組拾取能力，實(shí)現(xiàn)無可比擬的產(chǎn)出水平。FuzionSC貼片機(jī)已經(jīng)成功運(yùn)用上部校準(zhǔn)工藝，來進(jìn)行CPV組裝、相機(jī)傳感器、與及激光器二極管應(yīng)用上。

“我們提倡的解決方案，一直引領(lǐng)汽車電子制造潮流?！杯h(huán)球儀器市場(chǎng)副總裁Glenn Farris稱?！碍h(huán)球儀器預(yù)計(jì)柔性混合電子將驅(qū)動(dòng)整個(gè)汽車電子市場(chǎng)的發(fā)展，我們已經(jīng)為此準(zhǔn)備就緒。

“FuzionSC貼片機(jī)結(jié)合Flexbond?熱壓焊接機(jī)，為柔板組裝提供了一個(gè)卓越的解決方案。這個(gè)組合可以實(shí)現(xiàn)一個(gè)高度靈活、高產(chǎn)出的整合解決方案，完成所有工序，包括焊劑轉(zhuǎn)移、高精度貼片及熱壓焊接。我們深信這些解決方案，可以推動(dòng)汽車電子業(yè)的發(fā)展?！盕arris續(xù)稱。

FPGA based design security

Liu Haitang
（Aeronautics Computing Technique Research Institute，Xi’an Shaanxi,710065）

Inadequate design security is emerging as one of the single largest threats to the products design of the modern world Consequences of inadequate design security can cause IP rights dispute,products tampering and products counterfeit, etc This paper introduces some ways to improve overall design security, which can lower or even eliminate the threats to products design

intellectual property;design protect;FPGA

劉海堂，1987年1月，男，籍貫山東青島，本科，工程師,研究領(lǐng)域:嵌入式計(jì)算機(jī)。