[发明专利]一种配置数据流安全性高的可编程逻辑器

说明书

技术领域

本发明属于可编程逻辑器技术领域，具体涉及一种包含片内非挥发存储器以提高配置数据流安全性的可编程逻辑器。

背景技术

可编程逻辑器(Programmable Logic Device, PLD)包括现场可编程门阵列(Field Programmable Gate Array, FPGA)和复杂可编程逻辑器件(Complex Programmable Logic Device, CPLD)等，是一种众所周知的电子信息器件。它可以实现任何数字电路功能，设计者只需将设计仿真验证之后，编译成配置数据流，再将配置数据流加载到可编程逻辑器上，就可以在不修改硬件的情况下，快速实现设计方案。随着可编程逻辑器越来越多地应用于关键领域，基于可编程逻辑器的系统的安全性问题变得严峻。

在PLD中，最为关键的是配置数据流的安全性。配置数据流，也叫配置文件，它是PLD底层结构的镜像。配置数据流体现着系统设计者的知识产权和用户的敏感数据，对配置数据流的窃取可以直接复制整个系统，对配置数据流的篡改可以破坏整个系统。因此，配置数据流通常会成为黑客攻击者的首要目标，对配置数据流在存储和使用中提供高安全保护成为PLD安全的首要任务。

现有技术中，为了保护配置数据流不被窃取和恶意加载，采取了诸如加密、认证等多项技术。以FPGA为例，图1给出了目前主流的基于SRAM的挥发式FPGA中的结构及采取的安全措施，例如Xilinx的Virtex II（参考文献：“Virtex-II Family Overview”, Datasheet, Xilinx website.）。其中系统设计者主机130上设计编译好的配置数据流，存储在片外的非挥发配置存储器120中，为了安全起见，该配置数据流可以加密后的形式存储。在FPGA器件110中，包括基于SRAM配置层的FPGA阵列111、解密等安全电路112、挥发式的密钥存储器113。其中113主要是基于SRAM的，因为其无法在断电后保持数据，所以还需要一个电池140模块来维持供电。系统上电时，配置数据流从120模块进入FPGA器件110内，通过解密等安全电路112利用113模块中存储的密钥进行解密，加载到111模块中的SRAM配置层，完成配置，之后FPGA开始工作。

在这种结构中，一种面临的风险是配置数据流从片外非挥发配置存储器传输到片内SRAM配置层的过程中，攻击者可以通过探测连接处的信号来拦截窃取数据流，或者注入假的数据流来将系统篡改成错误的功能。另一种风险是，采取了加密措施后，密钥存储在片上的挥发存储器113中，用以供电的电池140引入了额外的风险，攻击者可以移除电池，将密钥擦除，从而破坏系统。

另一种现有技术如图2所示，主要部分跟图1的技术相同，只是片内的密钥存储采取了一次编程的非挥发密钥存储213，例如在Altera的高端产品Stratix II（参考：“Stratix II Device Handbook”, Datasheet, Altera website.）中采用了只能一次编程的非易失存储器作为片内密钥存储。尽管可以消除了供电电池以及它所带来的安全风险，但是这种结构仍然面临接口处的拦截风险，同时由于它出于集成制造的可行性和成本考虑，采取了一次编程的非易失存储器作为密钥存储，无法更新数据，在重配置过程中可能面临重播攻击(replay attack)风险，即攻击者从接口处拦截到旧版本的配置数据流，可以发送给FPGA器件210，即使该配置数据流是加密的，因为片内的密钥和认证标签不能更新，攻击者手中的旧版本仍然能够配置FPGA器件。假如此时的系统已经更新版本并修改过之前的安全隐患，那么此时攻击者发送的旧版本就会带来安全威胁，尤其是在一些需要远程重配置的领域，例如航天及军用系统中。同时，一次编程的非挥发存储器无法进行真正的测试，其良率会较低，进而带来整体FPGA器件良率的降低。