刘海堂

（中国航空计算技术研究所，陕西西安，710065）

基于FPGA的设计安全考虑

刘海堂

（中国航空计算技术研究所，陕西西安，710065）

现代商业产品设计中，针对设计安全的问题往往考虑不足，这容易引发知识产权纠纷，产品设计被篡改，产品被仿制等诸多问题。为了提高产品的设计信息的安全性，文中介绍了几种方法，可以降低甚至消除产品设计信息被窃取的风险。

知识产权（IP）；设计保护；FPGA

0 引言

现代社会中，设计安全不足正成为以知识产权为基础的经济的最大威胁之一。据国际商会估计，7%的世界贸易是假冒商品，假冒市场每年约有2500亿美元的规模，并且每年会造成75万人失业。IP窃取包括多种形式，从商业秘密到产品的假冒仿制。已有很多文献证明，逆向工程中的IP窃取者会给公司带来成百上千万的利润损失，尤其是该IP被竞争对手获取后用来设计竞争产品的情况。更为严重的是，IP窃取者会用窃取的IP来仿造和原始设计极其相似的产品并将其投放到市场中，但是仿造品的售后、维护及产品可靠性等责任仍有原公司来承担，从而给公司带来更大的损失。

现在越来越多的跨国公司开始将代工厂移至海外，从而导致产品被仿制的风险显著增高。比如说代工厂的产品过度加工，即他们生产远多于订单量的产品并通过其他途径把产品投放到公开市场中。这样不仅会造成产品原始制造商在已销售的产品上损失利润，而且还会扰乱公司的销售战略，造成产品的局部产能过剩，最终危及到产品的整体利润率。

例如，基于SRAM的FPGA让IP窃取者们有机可乘。IP窃取者们通过逆向工程，也就是仿制一个电路板，然后通过技术手段截取基于SRAM的FPGA上电时的配置流信息，再将截取的配置流信息重新写入新的FPGA中去。这样，即使不了解FPGA中的设计初衷，也能将产品仿制出来并投放到市场中进行销售。当然，这种问题也存在于未经过加密处理的需要从外部Flash芯片加载配置信息的FPGA芯片。

1 专利保护的神话

很多公司错误的认为通过申请专利保护是一种应对设计窃取的有效措施。虽然申请专利保护确实可以防止一些有知名度的公司去逆向设计一款产品，但是却不能完全阻止设计窃取，况且这还受制于国家和地区的法律法规政策。IP窃取者们往往并不在乎法律法规的限制，实际上，这种事情多发生在不太重视甚至完全忽略IP保护的国家和地区。在一些尊重IP权利的国家和地区，即使可以对IP侵权者提出控告，但是这需要投入很多的时间和人力成本。假设侵权行为可以被很好的识别出来，原告方也可能不具备足够的经济实力去保证这样一次诉讼。哪怕是赢得了对一个已经破产的公司的10亿元经济判罚，也无非是赢得了一场道德上的胜利。因为打了多年官司后发现，专利保护为你赢得了官司也仅限在经济上提供微不足道的补偿，更不用提时间成本上的损失。利用物理设计保护加申请专利保护来提高产品安全性不失为一种好办法，尤其是在品牌保护层面。

2 产品篡改

尽管不少公司可能在IP产权保护上有很高的警觉性，但是针对产品设计保护的考虑不周还是会带来很严重的问题。例如，1982年的9月29日至10月1日期间，美国芝加哥当地有部分居民服用了泰诺林后，发生了氰化物中毒事件，最终共造成7人死亡，这在当时引起人们广泛的关注。事故调查清楚后，官方确认责任并不能完全怪罪在泰诺林的制造商身上，事故的真相是由于人们服用了假冒的泰诺林。尽管如此，泰诺林的制造商还是为此承受了巨大的经济损失。在这个事件发生之后的一个月内，华盛顿的食品和药物管理局共统计了270余起产品或者包装篡改引起的纠纷。即使在今天，我们依然在使用泰诺林。但是我们可以发现明显的不同：在今天的产品外包装上我们会发现明显的防伪标记和防篡改措施，哪怕是在再不起眼的药物上—这都是当年的“泰诺林事件”造成的影响。这类问题在电子产品领域中更加棘手，随着可编程半导体器件的大量出现，这种设计篡改往往更加隐蔽，更难被发现或者被定为。所以售后产品被篡改的问题已引起越来越广泛的关注。这种篡改可能会导致监管或产品责任归咎于原始制造商，并且更有甚者会影响公共安全。采取有效的设计安全措施即使不能消除也能大大地降低这种风险。

随着科技的发展，产品的可重新配置能力已由固件扩展到了硬件本身，尤其是在可编程逻辑领域。然而不幸的是，这种灵活性又导致了新的问题：用户现在可以重写OEM的出厂设置，这有可能导致产品工作在有害甚至是危险的模式下。在一个爱打官司的社会中，如果一个消费者因此而受到伤害，产品的制造商极有可能会面临一场不可避免的诉讼。

这种类型的产品设计篡改还会带来其他的问题。例如，通过修改发动机电子控制器的设置可以给汽车带来更强的动力，但同时会缩短发动机寿命并带来汽车生产商的产品质保问题。由于消费者在提起诉讼前可以将产品的配置恢复成出厂模式，从而使问题定位更加困难，消费者可以规避自己的责任，而将责任归咎于产品制造商。更有甚者，黑客们有能力修改关键服务产品和基础设施的功能配置，如果他们是出于不可告人的目的，这将对使用者的生命安全带来潜在的威胁。因此，产品被篡改可能已经成为制造商担心的头等问题，他们主要有以下几方面的考虑。

（1）如何防止产品被篡改。

（2）能否确保产品不被变态者或者恐怖分子利用，从而导致无辜的人受害或者毁坏公司名誉。

（3）如何才能保护好客户的身体健康和生命安全，以及公司的信誉。

（4）如果产品被篡改了，能否第一时间发现具体是哪里被篡改，而又是通过什么方式篡改。

3 产品设计安全实现

产品设计安全实现的方法有两种：转变设计思路和选用考虑设计安全的关键芯片。第一种，转变设计思路是一种防止简单的产品被篡改的方法。例如选用可编程逻辑芯片（通过内嵌软处理器核）来替代基于处理器芯片的设计，设计者可以保留产品可重编程能力的灵活性的同时，降低存储在FLASH存储器中的程序被篡改的风险。第二种方法，选用考虑设计安全的关键芯片。随着FPGA性能、容量与功能的不断提升，今天的FPGA 已成为系统的心脏、知识产权的集合，所以如果FPGA存在安全性问题的话，与其相关的产品将遭受严重打击。由于器件生产、现场更新和固件远程重构的工作外包可能会导致FPGA中的设计信息被窃取。这是不可回避的问题，很多公司产品器件焊接、固化等都需要外包，这时候就更容易出现上述问题。即便生产所有流程都不外包，FPGA中的配置流信息也有被窃取的风险。例如，选用基于FLASH技术的FPGA来替代基于SRAM的FPGA，这样，不仅可以保持产品设计的可重新编程能力的灵活性，也可以避免包含设计信息的比特流在加载过程中被窃取。由于基于FLASH技术的FPGA将编程信息集成在一个芯片中，去掉了产品在每次上电时从外部器件重新读取配置信息的步骤。一旦被编程，基于FLASH技术的FPGA可以将配置信息一直保留到下一次被重新编程。

行业中的一些产品具有明显的优势，例如Actel的FlashLock技术，通过一个79到263位的密钥来保护产品的设计信息。FlashLock技术甚至还允许用户永久的锁定芯片，禁止芯片的设计内容回读。

还有一些基于Flash技术的FPGA提供配置信息流加密的选项（例如采用128位密钥的AES加密技术），这些加密的配置信息再通过片内的解密芯片来解读，从而为更高级的工业产品提高安全性。

如果还有更高的设计安全考虑，可以采用基于FuseLock技术的反熔丝FPGA芯片。由于没有任何的配置信息加载，反熔丝FPGA可以避免被克隆。同时，反熔丝FPGA芯片也断绝了通过光学设备探测编程信息的可能性。

上述基于FLASH和反熔丝的两种技术，基本杜绝了产品被逆向工程破解和设计信息被篡改的可能性。更进一步讲，由于产品编程可以在安全可控的环境里实现，编程文件的接触范围可以被严格的限制，因此可以防止未被授权的分销商重建设计信息。

4 结论

欠缺设计安全考虑的产品不仅会面临知识产权被窃取的风险，还往往会导致公司经济上蒙受巨大的损失，以及产品被篡改而影响公司形象等负面问题。设计者可以通过转变设计思路来消除或者降低上述风险，当然，更有效的措施是采用考虑设计安全的关键芯片来降低知识产权被窃取的风险。

[1]石必胜.数字网络知识产权司法保护[M].北京：知识产权出版社,2016.11.

[2]王刚.反熔丝的研究与应用[J].材料导报，2011.

环球仪器携先进汽车电子解决方案亮相德国慕尼黑电子展

环球仪器以“迈向高速生产”为题，将参加在11月14至17日于德国慕尼黑举行的电子展（A2馆433号展位）。环球仪器将在现场向观众演示其高度灵活的Uflex™ 自动化平台及FuzionSC™先进半导体封装平台，不单能应对各式各样汽车电子组装工艺，兼且表现卓越，成绩斐然。

Uflex平台可以应对复杂电子组装工艺所需的多种不同工序。以汽车内的副驾驶位置乘员分类系统作为例子，这个装置内含一个压力传感器、一个硅油填充囊、与及一个汽车专用单片机。在组装过程中，Uflex平台需要在垫片和密封胶上点胶，再在其上面及底部放上盖子、将组装线路板插进传感器内、贴上标签、及进行测试。Uflex平台不单可以完美地执行这些工序，更能达致极高的质量，能完全满足汽车行业严格的安全要求。

Uflex平台的另一大好处是可以在客户的生产车间内，现场进行重新设置，并配备用户可以操作的电脑程序，能轻轻松松地把机器重新配置，以制造新的产品，给用家提供最高的投资保障。上述生产副驾驶位置乘员分类系统的多种工序，同样适用于制造高级驾驶员辅助系统、自动驾驶系统、安全系统、与及各种各样信息娱乐选项。

针封LED车前灯组装上，环球仪器展示其专有的高精准LED组装方案，即上部校准工艺。这套工艺给厂家提供一个经济、精准、高速、可以重复组装LED元件、与及确保精准地校准LED元件的解决方案，最终生产出更明亮及适应能力更强(颜色方向、强度)的车前灯。

上部校准工艺充分利用FuzionSC贴片机本身具备的精准度，再加上其配备的七轴FZ7™贴装头的群组拾取能力，实现无可比拟的产出水平。FuzionSC贴片机已经成功运用上部校准工艺，来进行CPV组装、相机传感器、与及激光器二极管应用上。

“我们提倡的解决方案，一直引领汽车电子制造潮流。”环球仪器市场副总裁Glenn Farris称。“环球仪器预计柔性混合电子将驱动整个汽车电子市场的发展，我们已经为此准备就绪。

“FuzionSC贴片机结合Flexbond™热压焊接机，为柔板组装提供了一个卓越的解决方案。这个组合可以实现一个高度灵活、高产出的整合解决方案，完成所有工序，包括焊剂转移、高精度贴片及热压焊接。我们深信这些解决方案，可以推动汽车电子业的发展。”Farris续称。

FPGA based design security

Liu Haitang
（Aeronautics Computing Technique Research Institute，Xi’an Shaanxi,710065）

Inadequate design security is emerging as one of the single largest threats to the products design of the modern world Consequences of inadequate design security can cause IP rights dispute,products tampering and products counterfeit, etc This paper introduces some ways to improve overall design security, which can lower or even eliminate the threats to products design

intellectual property;design protect;FPGA

刘海堂，1987年1月，男，籍贯山东青岛，本科，工程师,研究领域:嵌入式计算机。