光罩成本升高和日漸增加的每批最小量要求，是當前半導體業界的兩種經濟趨勢﹔這兩種趨勢使FPGA元件比與之競爭的ASIC元件，具有更高的成本效益，並使得FPGA元件的市場佔有率，和以FPGA元件實現設計的“價值”不斷增加。隨著FPGA設計“價值”的增加，對於FPGA的“設計安全性”需求也在增加。設計圈中希望FPGA元件的安全性，至少要達到ASIC技術的水準。本文將闡述一些獨特的設計安全性問題及概念，並將FPGA技術（SRAM型、反熔絲型和Flash型）的安全性，與ASIC技術進行比較。本文並將討論由非揮發性反熔絲型及Flash型FPGA的安全特性，所帶來的一種新型商業模式。

設計安全性相關問題

有兩類獨特的設計安全性需求，見(圖一)：

《圖一 設計安全性需求的分類》

IP安全性不僅是憑藉設計能力獲得競爭優勢的IP研發商最關注的問題，也是擔心受到仿冒品損害的中、高產量消費性電子產品製造商所最關心的事。

這些用戶包括軍事（核子武器系統或通信系統）、金融機構（銀行自動提款機）、消費電子製造商（收費電視和機頂盒）和對侵犯版權敏感的企業（遊戲製造商）。

IP的安全性主要依賴以下三個要素：

設計人員保護其設計的成本，與其對設計的估價成正比。而設計獲得的安全性，又同設計價值與攻擊、或破解該設計所需的成本之差成正比。

保護設計免受攻擊

對應於不同的安全級制，積體電路反向工程的可能性可劃分為三個不同級別。發表在IBM系統期刊上Abraham等人的論文“事務安全系統”，對這三個級別進行了討論：

ASIC對於第二類的攻擊是安全的

就其自身而言，ASIC技術（標準單元，或較差的閘陣列）具有二級安全性。這種技術已為上文所提到的所有安全方案採納（如軍事、金融等領域）。對於要求防護第三類攻擊的應用領域，就需要增加環氧材料包覆和爆破裝置。

SRAM FPGA易受第一級攻擊

隨著FPGA實現設計的價值提高，佔支配地位的SRAM型FPGA技術的安全侷限性，也開始逐漸限制該技術的市場前景。SRAM型FPGA技術的安全性受到限制，已為人們熟知，由於必須用非揮發性啟動PROM或微處理器將位元流複製到SRAM FPGA，這個元件便可很容易地複製出來，如(圖二)。這對應於第一級攻擊。

《圖二 複製SRAM FPGA》

一些SRAM FPGA製造商已意識到這種侷限性，因此在其最新一代的元件中整合了防止複製攻擊的裝置，這種裝置採用了具有晶片內建密鑰的晶片內建位元流解碼引擎，而密鑰由電路製造商寫入電路上，由電池供電的晶片內建記憶體，因而可對啟動PROM中的位元流進行加密，這種位元流在沒有晶片內建密鑰的情況下，對手複製是沒有用的，見(圖三)。

《圖三 帶有晶片內建位元流解碼的SRAM FPGA》

儘管這種防護裝置很有效，但也需要花費相當的成本，包括：

非揮發性的Flash型和反熔絲型FPGA比ASIC更安全

與不安全、易複製的SRAM FPGA相比，有兩種非揮發性FPGA技術，甚至比相應的ASIC技術更安全──用反熔絲技術的FPGA和Flash 技術的FPGA。這兩種技術的安全性來自於：

反熔絲型FPGA的直接物理攻擊

確定某個反熔絲的狀態是極其困難的。用反熔絲技術的FPGA，利用一小片面積小於1μm正方形的電介質，作為兩個金屬線路之間的開路開關。在需要連接兩個金屬線路時，利用可編程脈衝來使該電介質短路。這種短路的直徑小於100 nm，從頂部是看不到這些短路電介質的。因此要對其進行物理驗證，必須對這些元件進行反處理，或截取橫斷面。這種方法算不上是一種精確的方法，需要經歷多次試驗和錯誤，並且通常需要截取多個橫斷面，才能找到一個用於短路的電介質，如(圖四)。

《圖四 編程器反熔絲的橫斷面》

Flash型FPGA的直接物理攻擊

與反熔絲型 FPGA類似，用Flash技術的FPGA也利用開關，來連接或斷開交叉的金屬線。可利用一個浮動柵充電或放電，來設定連接兩個金屬線之間開關的狀態，如(圖五)。由於可編程元件或開關元件未發生任何物理變化，因此透過材料分析探測不到任何結果。發生變化的只有浮動柵的電荷數。因為用Flash技術的開關在編程時沒有任何可見的變化，因而用Flash技術的FPGA比反熔絲FPGA更難以運用反向工程。

《圖五 Flash FPGA開關的示意圖》

其它攻擊方法

前文我們指出ASIC可藉由觀察金屬層或貫孔的方式，直接進行物理攻擊。我們也已證明，由於物理識別數百萬的開關狀態極其艱難，因此這種對於反熔絲或Flash FPGA的直接攻擊，就算是可能的話也是極其困難的。不過還是有人開發出另一些能攻擊任何技術的先進方法，但都需要耗費巨資，難度也非常大。

IBM 公司即開發出一種極其先進的技術，用於實際觀測金屬線路的邏輯狀態。這項技術是通過在其電壓要被觀察的物品上，放置一塊鈮酸鋰晶體來實現的﹔這種物質的折射率，會隨著施加在其上的電場變化而變化，其下金屬的電位，可利用低掠入射晶格的紫外線雷射光束讀取。利用這項技術可讀取頻率高達25MHz的5.0V信號。

Sandia實驗室開發的另一項技術（最近剛解密），則利用了一種對矽晶片透明的紅外線雷射。該技術由背側照射雷射，誘導產生受邏輯狀態影響的光電流，進而確定電晶體的邏輯狀態。

最後需提及的是，反熔絲和Flash FPGA元件的結構設計，都可防止利用燒錄器或其它電子方法對可編程元件的攻擊，如(圖六)。這兩種元件均包含了被設置後能鎖定編程，和回讀功能的電路，在設計時就考慮了鎖定電路，使其難以通過電子或直接物理攻擊的方法來破解。在反熔絲FPGA中，由於熔絲通常被設計為單向功能，因而就算不使用鎖定裝置，其結構也不允許進行電子回讀。

《圖六 編程器攻擊的防護》

安全非揮發性FPGA帶來的獨特商業模式

在最近十年裡，半導體業發生了劇烈的變化，已由一些橫向整合的公司，變遷為許多利用專業晶圓代工服務的無晶圓廠式半導體公司。預計下一步巨變將是，數百家為系統級結構和積體電路商提供服務的設計服務和智財權公司，持續走向分裂。這一預測尚未實現，設計服務和智財權供應商們，仍然在為獲得其價值鏈上的佔有率而奮鬥。

安全非揮發性FPGA為克服這種奮鬥的兩大障礙提供了解決辦法。第一個障礙是安全性的問題﹔考慮到儘管設計服務公司，已開始通過法律和行政的手段來保護其智財權，但最終需要的成本極高，只能確保最大的合約。業界已經付出了巨大的努力開發設計加密方案，在網路表等級(netlist level)時保護設計，但如果這種設計是SRAM型 FPGA的話，那麼它對於簡單的複製攻擊依然暴露無遺。與此相反，非揮發性的反熔絲或Flash FPGA可防止這種攻擊，並提供比ASIC更高的安全性。

業界的第二個障礙，在於設計服務公司沒有方便可信的途徑，來為其提供服務收取特許權費用。所有營利只能通過收取預付許可費獲得，同樣，這筆收入也只能由最大的合約來保障。通過採用安全非揮發性FPGA技術，設計服務公司就可以變為一個實際上的ASIC公司，銷售明確標價的預編程FPGA或收取高於未編程FPGA成本的版權費。如果FPGA銷售商備有編程文件，最後客戶就可從FPGA銷售處購買預編程單元，而由FPGA銷售商負責標價收取最終客戶費用，並按標價轉交給設計服務供應商，如(圖七)。這種流程消除了設計服務公司的運作成本，並使其能按個別單元收費，而不是預收整個合同的費用。

《圖七 利用非揮發性FPGA 保護擁有版權的位元流》

結論

相對於與FPGA競爭的技術而言，FPGA的複雜度、功能和市場佔有率正在逐漸增加，對於以FPGA實現的元件的安全性的要求也在增加。由於SRAM FPGA對於第一級複製攻擊是透明的，因而其安全性不足。而非揮發性反熔絲或Flash FPGA，甚至比其替代的ASIC的安全性更高，因而可滿足日益增長的市場需求。此外，由這些技術帶來的可編程性和安全性，可用來滿足半導體工業的潛在要求，即設計服務和智財權公司要求其在價值鏈中佔有率的需求，利用該技術它們可以在整個設計周期內徵收版稅，而不是在預付許可使用金時收取所有費用。

（作者為ACTEL公司中國區經理）

〈參考資料

1. Abraham, D.G., Dolan, G. P. Double and J. V. Stevens. " Transaction Security System", IBM Systems Journal vol. 30 no.2（1991）:206-229

2. Blythe, S., B. Fraboni, S. Lall, H.. Ahmed, U. de Riu. "Layout Reconstruction of Complex Silicon Chips" , IEEE Journal of Solid-State Circuits vol.28 no. 2（Feb 93）:138-145

3. Algotronics Consulting . "Secure Configuration of Field Programmable Gate Arrays"

4. Wiesenfeld, J.M. "Electro-optic Sampling of High Speed Devices and Integrated Circuits", IBM Journal of Research and Development vol. 34 no. 2/3（March/May）：141-161

5. Ajluni, C. "Two New Imaging Techniques Promise to Improve IC Defect Identification", Electronic Design vol. 43 no.14（10 July 1995）"37-38[User1]

[User1]〉