楊 燕

(貴州理工學(xué)院工程訓(xùn)練中心，貴州 貴陽 550003)

0 引言

隨著IC 行業(yè)和制造工藝的發(fā)展，芯片集成度越來越高。 現(xiàn)在，數(shù)以億計的晶體管可以被集成在一塊芯片上，這大大增加了IC 設(shè)計的難度和周期，導(dǎo)致IC 設(shè)計公司投入的資金劇增，而且由于制造工業(yè)的改進(jìn)也需要IC 設(shè)計公司投入巨額的資金，所以越來越多的IC 公司由于難以承受資金上的壓力而選擇將芯片制造外包給專門生產(chǎn)芯片的公司。 IC 行業(yè)逐漸由以前的自己設(shè)計自己制造模式變成IC 設(shè)計和制造分離的商業(yè)模式，商業(yè)模式的轉(zhuǎn)變減輕了IC 設(shè)計公司的資金壓力，但是同時也帶來了很多問題，比如芯片版權(quán)和安全問題。 IC 計量技術(shù)是指一種機(jī)制、方法和協(xié)議，使設(shè)計人員能夠控制芯片的后端制造，計數(shù)生產(chǎn)的芯片數(shù)量并防止芯片盜版和過度制造。 根據(jù)實現(xiàn)方案，現(xiàn)有的IC 計量技術(shù)可以分為主動式計量技術(shù)和被動式計量技術(shù)。

1 被動式的IC 計量技術(shù)

如圖1 所示，被動式的IC 計量可以分為幾個類型。 根據(jù)其是否與功能相關(guān)，可以分為被動式非功能計量和被動式功能計量技術(shù)。

1.1 被動式非功能計量技術(shù)

被動式非功能IC 計量技術(shù)已經(jīng)使用了很多年。 該技術(shù)通常通過在每個芯片上雕刻唯一ID或?qū)D 存儲在非易失性存儲器中來實現(xiàn)。 眾所周知，英特爾奔騰III 處理器包含唯一的序列號[1]。 但是，通過這兩種方法生成的芯片ID 可以很容易地被攻擊者刪除或復(fù)制。 此外，這兩種方法不能防止代工廠制造過多的芯片，因為它們可以輕松地將相同的ID 復(fù)制或?qū)懭胂嗤腎D到過度制造的芯片上。 因此，如果我們可以為每個芯片提供一個未克隆的ID，則可以克服這些缺陷。

為了克服上述IC 計量技術(shù)的不足，Lofstrom等[2]提出了解決方案，首先引入了不可復(fù)制的ID技術(shù)，稱為ICID，該技術(shù)基于不可克隆的變化進(jìn)行更改。 由于IC 工作過程中的物理變化無法由任何人控制，因此制作芯片的ID 將有所不同。繼ICID 之后，又開發(fā)出了一些更先進(jìn)和可接受的標(biāo)識和認(rèn)證技術(shù)，包括文獻(xiàn)[3]和文獻(xiàn)[4]中提到的PUF。 由于上述方法獨(dú)立于設(shè)計來實現(xiàn)，因此被稱為外部非功能計量方法。 到目前為止，對于非克隆ID 技術(shù)，如果在原始電路設(shè)計中引入了新的附加電路結(jié)構(gòu)，則可以將其劃分為外部識別方法[2]，否則，它是內(nèi)部識別方法。 文獻(xiàn)[2－4]是最早提出的不可克隆方法和PUF 技術(shù)。 文獻(xiàn)[5]和文獻(xiàn)[6]是內(nèi)在方法。 文獻(xiàn)[2－6]的結(jié)果表明，IC 設(shè)計可以為芯片創(chuàng)建唯一的序列號。如果將外部測試向量給芯片制造商并測試結(jié)構(gòu)，則可以防止芯片被盜版。

1.2 被動式功能計量技術(shù)

在文獻(xiàn)[7]中，提出了一種典型的被動式IC計量方案，該方案要求相同設(shè)計的每個芯片都具有唯一的鎖定控制路徑，這需要特定的控制序列。 但是，使用相同掩模制作的芯片必須具有相同的輸入和輸出行為，因此，需要使每個芯片具有特定的控制序列。 文獻(xiàn)[7]和文獻(xiàn)[8]中的工作提出，每個芯片有單個數(shù)據(jù)路徑，該數(shù)據(jù)路徑可以由多個控制路徑控制，所有這些路徑均滿足上述要求。 編譯后的控制路徑設(shè)計已集成到每個芯片的后端設(shè)計中。 在此基礎(chǔ)上，文獻(xiàn)[7]和文獻(xiàn)[8]中的工作還提出了其他設(shè)計方法，以混淆分配給特定寄存器的變量的子集。 在此方案中，在邏輯綜合過程中基于一組選定的狀態(tài)創(chuàng)建冗余的等效狀態(tài)，然后根據(jù)設(shè)計約束選擇狀態(tài)組，這意味著必須將并發(fā)狀態(tài)存儲在單獨(dú)的變量中，以減少內(nèi)存開銷和每個變量的副本，在文獻(xiàn)[7]中實現(xiàn)狀態(tài)的不同分布。 分配給每個副本的任何不同排列都適用于那些等效狀態(tài)，因此生成的冗余狀態(tài)對應(yīng)于添加到狀態(tài)轉(zhuǎn)換圖(STG)的頂點，其邊緣與將頂點復(fù)制到新頂點，并且寄存器的可編程讀取邏輯設(shè)計使設(shè)計者可以為每條唯一控制路徑選擇適當(dāng)?shù)淖兓蛄衃8]。

被動計量方法可以監(jiān)視和計數(shù)制造的芯片，以檢測盜版芯片。 通過在檢測芯片之前將特定的控制路徑序列加載到可編程部分中來實現(xiàn)此技術(shù)，并且如果檢測結(jié)果顯示多個芯片具有相同的序列，則這些芯片將被標(biāo)記為盜版芯片，條件是大多數(shù)芯片可以在線工作，而設(shè)計公司可以訪問其內(nèi)部控制序列，設(shè)計人員可以通過執(zhí)行異或運(yùn)算或檢查文獻(xiàn)[8]中狀態(tài)變體的完整性來實現(xiàn)在線訪問以檢查這些狀態(tài)的總和。

通過文獻(xiàn)[7]和文獻(xiàn)[8]中的工作，實驗結(jié)果表明可以在最小開銷下實現(xiàn)不同的序列。 被動式計量的明顯缺點是在專用集成電路(ASIC)中引入了可編程組件。 引入了額外的版圖設(shè)計，這意味著大量的開銷。 此外，該方案要求大多數(shù)芯片都可以在線工作，并且可以訪問其內(nèi)部序列，但是，此條件不能總是得到滿足。 因為此方法是基于對市場和統(tǒng)計數(shù)據(jù)的監(jiān)視，所以時間、金錢和人力是不可避免的。 因此，需要一種更好的方法來解決此問題。

2 主動式IC 計量技術(shù)

與被動式IC 計量技術(shù)相比，主動式IC 計量技術(shù)不僅可以唯一地識別芯片，還可以讓芯片設(shè)計者成為訪問或解鎖芯片功能的唯一人員，并且可以進(jìn)一步分為內(nèi)部主動式IC 計量和外部主動式IC 計量技術(shù)[9]。 主動式計量的設(shè)計流程如圖2 所示。

2.1 內(nèi)部主動式IC 計量技術(shù)和攻擊

Alkabani 等[10]于2007 年首次提出了第一種主動式IC 計量方法。 Koushanfar 提出了一種改進(jìn)的方案，并在文獻(xiàn)[11]中提出了一些新的安全證明。 圖2 描述了該方案的設(shè)計過程:第一步是名為Alice 的設(shè)計人員利用高級描述語言來實現(xiàn)其設(shè)計[11]。 VHDL 是超高速集成電路硬件描述語言的縮寫，而HDL 是Verilog 硬件描述語言的縮寫。 然后，提取原始設(shè)計的FSM，并將鎖插入到原始FSM 設(shè)計中。 我們稱改進(jìn)的FSM 為升級的FSM(BFSM)[11]。 將設(shè)計規(guī)范即GDS II 文件和IC 測試向量發(fā)送到代工廠制造芯片。 由于芯片的功能已被鎖定，制成的芯片無法正常工作，因此在解鎖之前無法測試制成的芯片。 BFSM 的上電狀態(tài)需要發(fā)送回設(shè)計室，以獲取用于解鎖芯片的鑰匙。 當(dāng)每個芯片的密鑰返回到代工廠時，代工廠可以使用它來解鎖芯片。 最后，將制造的芯片送去測試和封裝。 鎖定結(jié)構(gòu)如圖3 所示。

芯片上電時，PUF 電路生成響應(yīng)，這些響應(yīng)用于添加的額外觸發(fā)器(FF)中。 PUF 響應(yīng)確定添加狀態(tài)之一為芯片的加電狀態(tài)。 為了使芯片正常工作，必須將BFSM 從加電狀態(tài)轉(zhuǎn)換為原始FSM 的真實初始狀態(tài)。 如圖3 所示，假設(shè)上電狀態(tài)為S5，S0為FSM 的初始狀態(tài)，當(dāng)輸入密鑰(IK):(P1，P2，P3)時，電路將從S5過渡到S0，芯片可以正常工作[11]。 如果密鑰不正確，則BSFM的狀態(tài)可能會轉(zhuǎn)換到未知的添加狀態(tài)，從而導(dǎo)致芯片鎖定。 由于狀態(tài)轉(zhuǎn)換圖(STG)僅為設(shè)計機(jī)構(gòu)所知，無法從GDS II 文件中提取狀態(tài)轉(zhuǎn)換圖，并且設(shè)計機(jī)構(gòu)是唯一可以根據(jù)加電狀態(tài)計算IK的機(jī)構(gòu)，因此可以確保在芯片設(shè)計中的鎖定機(jī)制是安全的[11]。 而且，可以使芯片正常工作的正確密鑰是唯一的，并且經(jīng)過身份驗證的密鑰可以用作文獻(xiàn)[11]中所述的所有權(quán)證明。

該方案中的鎖定是通過增強(qiáng)有限狀態(tài)機(jī)(FSM)設(shè)計以實現(xiàn)內(nèi)部主動式計量方案來實現(xiàn)的。 PUF 電路用于生成隨機(jī)響應(yīng)，這將使設(shè)計進(jìn)入其他非功能狀態(tài)之一。 這些狀態(tài)可以轉(zhuǎn)換為原始FSM 的功能復(fù)位狀態(tài)，但是確定這種轉(zhuǎn)換的輸入只有設(shè)計者才知道。 因此，鎖定和解鎖機(jī)制可以使設(shè)計人員從相同的版圖主動控制制造的IC 數(shù)量。 重要的是PUF 電路可以產(chǎn)生許多不同的輸出響應(yīng)，所有這些響應(yīng)都應(yīng)在FSM 中視為非功能狀態(tài)。 結(jié)果，F(xiàn)SM 的復(fù)雜性增加，并且隨之而來的開銷可能會非常高。 因此，設(shè)計人員可以使用鎖定和解鎖機(jī)制來主動控制來自掩模的已激活I(lǐng)C 的數(shù)量。 但是，增加狀態(tài)的數(shù)量應(yīng)不少于制造芯片的數(shù)量，以提高原始設(shè)計的安全性。許多增加的狀態(tài)和相關(guān)的轉(zhuǎn)換會增加FSM 的復(fù)雜性并導(dǎo)致大面積的開銷。 在文獻(xiàn)[12]中，Alkabani 等提出了一種類似的方法來主動控制，該方案的過程可以討論如下。

首先，要添加足夠多的其他狀態(tài)，以確保添加的狀態(tài)之一是上電狀態(tài)，并且上電狀態(tài)是功能狀態(tài)之一的可能性足夠低。 用來迷惑攻擊者的狀態(tài)呈指數(shù)級增長，可以保證這一點。

接下來，存在PUF 的可靠性問題。 眾所周知，PUF 的響應(yīng)可能會隨著老化問題或溫度和電壓的變化而變化。 如果PUF 響應(yīng)更改，則先前的密鑰可能無法解鎖芯片。 在文獻(xiàn)[13]中，Yu 和Devadas 建議設(shè)計者可以使用糾錯碼(ECC)來確保PUF 響應(yīng)正確，但是糾錯碼邏輯需要關(guān)聯(lián)輔助數(shù)據(jù)，因此會產(chǎn)生大量開銷。

在文獻(xiàn)[10]中，BFSM 的引入增加了設(shè)計的復(fù)雜性。 為了減少添加狀態(tài)和相關(guān)轉(zhuǎn)換的數(shù)量，文獻(xiàn)[14]中的工作建議通過復(fù)制FSM 的幾個狀態(tài)并給狀態(tài)轉(zhuǎn)換添加控件來鎖定每個工作的IC，如圖4 所示，S2是初始狀態(tài)，將S2復(fù)制兩次得到S21和S22，其中狀態(tài)S2和兩個復(fù)制的狀態(tài)具有相同的功能，但在文獻(xiàn)[14]中具有不同的輸入。 我們假設(shè)FSM 有兩個輸入端口和FSM 的映射關(guān)系，它們可以使S1轉(zhuǎn)移到下一個狀態(tài):文獻(xiàn)[14]中的01，S1到S2；10，S1到S21；11，S1到S22。

當(dāng)FSM 轉(zhuǎn)換為S1時，PUF 電路被激活以創(chuàng)建隨機(jī)響應(yīng)，部分響應(yīng)用于控制狀態(tài)S2、S21以及S22的轉(zhuǎn)換，這意味著轉(zhuǎn)換將隨機(jī)跳至對應(yīng)于映射的狀態(tài)之一。其余部分取決于IK。 除非有正確的密鑰，否則FSM 無法跳轉(zhuǎn)到S3。 該映射只有設(shè)計者已知。因此，設(shè)計者可以積極地防止過度制造的問題。

盡管文獻(xiàn)[14]中的方法可以在不引入許多狀態(tài)的情況下主動控制芯片后端處理過程，但是該方法將影響設(shè)計的性能。 當(dāng)芯片開始工作時，如圖4 所示，狀態(tài)轉(zhuǎn)換到S1，為了使FSM 正常工作，它必須提供驅(qū)動信號來調(diào)用PUF 來生成響應(yīng)[14]。 最后，該響應(yīng)充當(dāng)控制信號，以使?fàn)顟B(tài)從S1傳輸?shù)较乱粋€狀態(tài)。 此過程會延遲原始芯片的運(yùn)行。

在文獻(xiàn)[15]中Zhang 等[15]提出了一種不同于上述兩種計量結(jié)構(gòu)的新方法，其機(jī)理如圖5 所示。 此方法與文獻(xiàn)[10]和文獻(xiàn)[11]中的方法完全不同，在文獻(xiàn)[10]和文獻(xiàn)[11]中，每個芯片的初始上電狀態(tài)都固定為Sr。 在文獻(xiàn)[15]中，部分PUF 響應(yīng)用于控制狀態(tài)轉(zhuǎn)換，部分響應(yīng)與IK 進(jìn)行異或運(yùn)算，可以使?fàn)顟B(tài)轉(zhuǎn)換為固定節(jié)點狀態(tài)。設(shè)計公司是唯一知道這種映射關(guān)系的實體，如圖5 所示，M層狀態(tài)被添加到設(shè)計中以綁定原始FSM，在文獻(xiàn)[15]中，添加的狀態(tài)分布在每個層。由偶數(shù)索引的每一層包含m個狀態(tài)，而由奇數(shù)索引的每一層僅包含一個狀態(tài)，狀態(tài)從奇數(shù)層到偶數(shù)層的轉(zhuǎn)移取決于PUF 響應(yīng)，狀態(tài)如何從偶數(shù)層轉(zhuǎn)移由文獻(xiàn)[15]中的PUF 響應(yīng)和IK 確定一個奇數(shù)。 例如，可靠的PUF 響應(yīng)為0100，前兩位(01)用于控制Sr到下一層的傳輸，后兩位用于綁定密鑰，以便將狀態(tài)傳輸?shù)狡鏀?shù)層，從Sr到下一層的映射關(guān)系如下:11，Sr→S6；01，Sr→S7；10，Sr→S8；00，Sr→S9。 下一個映射關(guān)系是01，S6→Sor。 文獻(xiàn)[15]中的10，S7→Sor；11，S8→Sor；00，S9→Sor。 因此，我們知道FSM 可以從Sr過渡到S7。為了使?fàn)顟B(tài)轉(zhuǎn)換到原始重置狀態(tài)Sor，我們在文獻(xiàn)[15]中推論IK 為“ 10”，可以將其IK 排除或與“00”一起使用以獲得“10”。

總體而言，內(nèi)部主動式硬件計量在較高的設(shè)計水平上實現(xiàn)了鎖定機(jī)制，并具有較高的抵抗基于逆向工程攻擊的能力[11]。 但是，也很難預(yù)測或控制總成本。 此外，這些計量方法可能會受到入侵的攻擊，特別是文獻(xiàn)[11]中的方法。 文獻(xiàn)[15]中提出的方法比文獻(xiàn)[10]和文獻(xiàn)[11]中提出的方法需要更多的PUF 響應(yīng)位，盡管該方法可以抵抗入侵攻擊。

2.2 外部主動式IC 計量技術(shù)

外部主動式IC 計量通常在物理設(shè)計級別實現(xiàn)鎖定和解鎖機(jī)制，并引入加密模塊以確保無法訪問用于解鎖設(shè)計的密鑰。 在文獻(xiàn)[16]和文獻(xiàn)[17]中提出了一種終結(jié)集成電路盜版(EPIC)的方案，并且由于許多外部計量方法都源于該技術(shù)，因此詳細(xì)闡述了基于EPIC 的外部主動式計量。 EPIC 的協(xié)議如圖6 所示。 EPIC 通過在選定的非關(guān)鍵組合路徑上插入XOR 門以及連接到公共密鑰寄存器(CK)的控制信號，從而在芯片的主要部分實現(xiàn)了鎖定機(jī)制。 當(dāng)正確的CK 輸入到電路中時，該電路等效于原始設(shè)計。 否則，芯片功能不正常。

EPIC 隨機(jī)生成CK 以防止其被盜，因此該方案可以抵抗許多已知的攻擊[16]。 但是，除了用于生成一對公鑰和私鑰的單元之外，還需要在設(shè)計中插入兩個解密部分，這會導(dǎo)致較高的硬件開銷，因為解密過程比加密過程的計算量大得多。相比之下，文獻(xiàn)[18]中的計量方案只需要在芯片上加上加密模塊來隱藏簽名，該簽名結(jié)合了PUF信息和用戶特定的輸入。 解密工作已交給芯片設(shè)計人員完成。 然后，將解密的結(jié)果傳遞給用戶，用戶將其存儲在芯片上的非易失性存儲器中，從而使授權(quán)用戶可以解鎖電路。 為了避免由于XOR 門的引入而影響組合路徑的時序，在文獻(xiàn)[19]中提出了一種新的基于鎖定掃描單元的主動式IC 計量技術(shù)。

文獻(xiàn)[20]中提出了一種基于總線的集成電路保護(hù)方法。 該方法通過與中央總線的干擾來鎖定設(shè)計，從而防止在沒有正確密鑰的情況下使用IC。 芯片和設(shè)計設(shè)備之間共享的密鑰和組合邏輯接口用于同一芯片中的多核連接和接口。它的應(yīng)用僅限于總線設(shè)計。 Huang 等[18]提出受保護(hù)的設(shè)計在資源受限的情況下實施認(rèn)證方案，它僅使用加密部分而不是兩個解密部分[16－17]。盡管文獻(xiàn)[17]和文獻(xiàn)[18]中的方案都將鎖定放置在非關(guān)鍵路徑中，但定時的累積延遲可能會影響關(guān)鍵路徑延遲。 文獻(xiàn)[21]中的工作建議在芯片中引入一個特定的可編程部分，該部分對制造商而言是透明的，并且只能使用鑰匙來激活。 顯然，由于在專用集成電路(ASIC)的應(yīng)用中引入了可編程組件，因此增加了工藝和掩模開銷。

所有這些外部主動計量技術(shù)都引入了物理不可克隆技術(shù)(PUF)設(shè)計來生成用于解鎖設(shè)計的密鑰，并且使用非對稱加密模塊對密鑰進(jìn)行加密，以便只有設(shè)計者才能檢索基于PUF 的密鑰。 但是，加密模塊通常會產(chǎn)生較大的面積開銷，并且由于容易將加密模塊標(biāo)識為完整性，因此可以繞開該模塊，這使得基于PUF 的密鑰容易受到攻擊。

3 結(jié)語

在本文中，對大多數(shù)現(xiàn)有的IC 計量方法進(jìn)行了回顧和評估。 被動式的計量方法在實際應(yīng)用中有很大的局限性，因為它不能防止過度生產(chǎn)的芯片投入應(yīng)用。 主動式的IC 計量技術(shù)為有效控制芯片的后處理，但是，內(nèi)部和外部主動式的IC 計量技術(shù)在魯棒性和設(shè)計開銷方面均存在一些弱點，因此亟需一種更加安全和低開銷的主動式IC 計量技術(shù)來控制芯片后端制造保護(hù)設(shè)計者的知識版權(quán)。 對現(xiàn)有IC 計量技術(shù)的充分了解，可以為后續(xù)的研究提供方向，具有一定的現(xiàn)實意義。