《電子技術應用》
您所在的位置:首頁 > 可編程邏輯 > 解決方案 > Xilinx Zynq-7000如何保護客戶的知識產(chǎn)權

Xilinx Zynq-7000如何保護客戶的知識產(chǎn)權

2013-07-11

摘要:本文描述了Xilinx Zynq-7000如何通過芯片內(nèi)嵌的AES-256解密引擎和HMAC (Keyed-hashed message authentication code)認證引擎來保護客戶的知識產(chǎn)權,防止拷貝、抄板等損害客戶知識產(chǎn)權事件的發(fā)生。

 

基本原理:

Xilinx Zynq-7000內(nèi)含AES-256解密引擎和HMAC認證引擎,并支持Secure Boot啟動方式,用于保護客戶的設計(包括軟件的二進制可執(zhí)行代碼,數(shù)據(jù)以及FPGA的bitstream編程文件)不被竊取和使用。

 

客戶在完成設計后,可以使用Xilinx ISE軟件為設計添加用于認證的256-bit的校驗碼,然后再用256-bit密鑰AES算法進行加密。

 

256-bit AES密鑰由客戶生成,保存在FPGA內(nèi)部,不能被外部讀取。

 

啟動時,Zynq-7000首先執(zhí)行芯片內(nèi)部ROM中的代碼。BOOTROM代碼首先通過AES-256解密引擎對對被保護的設計進行解密,然后通過HMAC引擎認證完整性,只有通過認證的設計才能被加載并執(zhí)行。

 

對于試圖通過“抄板”竊取知識產(chǎn)權的行為,因為缺少和FLASH內(nèi)容相對應的AES密鑰,F(xiàn)LASH中內(nèi)容將不會被加載并執(zhí)行。256-bit AES密鑰對應的組合達到1.15×1077種,可以充分保證客戶知識產(chǎn)權的安全。

 

Xilinx Zynq-7000內(nèi)含的硬件安全引擎的特點:

 

1. HMAC硬件認證引擎

  • 在內(nèi)層保護客戶設計不被非法篡改,保證客戶設計的完整性。
  • 使用美國國家標準技術研究所的SHA256 FIPS PUB-182-2算法和HMAC FIPS PUB-198 算法,這些算法由美國國家標準技術研究所(National Institute of Standards and Technology, NIST)提供

http://csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf

http://csrc.nist.gov/publications/fips/fips198-1/FIPS-198-1_final.pdf

  • HMAC簽名保存在Boot Image中。

 

2. AES-256硬件解密引擎

  • 在外層保護客戶設計不被反向工程,不被分析破解,不被拷貝。
  • 密鑰保存在片上的eFuse或者BBRAM(battery-backed RAM),不能被JTAG或者FPGA邏輯讀取。eFuse僅支持一次可編程,掉電內(nèi)容不丟失。BBRAM可支持反復編程,但是掉電內(nèi)容丟失,因此需要外接電池。
  • AES算法是美國國家標準技術研究所(National Institute of Standards and Technology, NIST)和美國商務部的正式標準(http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf )。Xilinx支持最高安全等級的256-bit密鑰加解密方式。

 

通過Xilinx ISE保護客戶設計

Xilinx SDK用于生成Boot Image的工具支持SHA-256算法校驗碼生成和AES-256算法加密:

1. 啟動Xilinx SDK

2. 點擊Xilinx Tools->Create Boot Image,SDK彈出如下窗口

 

1.png

 

3. 在Tab Basic里面配置好輸入的文件位置和生成的image的位置后,在Tab Advanced里面可以配置是否加密、密鑰的存放位置以及密鑰等內(nèi)容:

 

2.png

 

在生成的Boot Image里面,偏移量0x28位置的內(nèi)容決定了Boot Image是否加密:

 

Boot Image Header 0x028位置的內(nèi)容

描述

0xA5C3C5A3

密鑰保存在eFuse中

0x3A5C3C5A

密鑰保存在BBRAM中

其他值

Boot Image未加密

 

Boot Image的文件頭和分區(qū)頭不參與加密,被加密的只有各個分區(qū)的數(shù)據(jù)。Boot Image的格式如下圖所示:

 

3.png

 

注意:

如果選擇加密Boot Image,將對所有分區(qū)(Partition)的數(shù)據(jù)進行加密。

Zynq-7000的啟動過程

Zynq-7000上電后首先執(zhí)行芯片內(nèi)部BootRom中的代碼。BootRom中的代碼由Xilinx開發(fā)并保證安全;代碼保存在只讀存儲器中,用戶無法修改。

 

BootRom支持三種啟動模式:

  • Secure, encrypted image, master mode
  • Non-secure master mode
  • Non-secure slave mode via JTAG

 

BootRom通過Boot Image文件頭0x28位置的內(nèi)容判斷Boot Image是否加密,代碼執(zhí)行流程如下:

 

4.png

 

注意:

在Secure Boot Mode下,Boot Rom不會使能JTAG接口,這時無法通過JTAG讀取Zynq-7000內(nèi)部的信息,無論是軟件二進制可執(zhí)行代碼,AES密鑰,還是FPGA的配置信息。

 

Boot Image只有在認證了FSBL(First Stage Boot Loader)的完整性后,才會認為它是安全的,并將控制權移交給FSBL代碼。 FSBL需要加載的Second Stage Boot Loader, 操作系統(tǒng)和應用可以是明文的,也可以是加密的。 一般不建議客戶使用明文的PS (Processing System) Image。如果必須要這樣做,需要充分考慮系統(tǒng)級別的安全性。如果這些內(nèi)容是加密的,系統(tǒng)不允許切換AES密鑰。

 

Secure Boot Mode僅限于NOR, NAND, SDIO, 和Quad-SPI flash,不支持JTAG或任何其他對外接口。

 

密鑰的管理

256-bit AES密鑰可以由用戶指定,用Xilinx BitGen工具生成加密的bitstream,也可以由工具生成隨機密鑰。

 

AES密鑰由Xilinx iMPACT軟件通過JTAG寫入Zynq-7000芯片中。

 

寫入AES密鑰時,所有FPGA中的存儲器(密鑰存儲器和配置存儲器)都會被清空。密鑰寫入后,沒有任何辦法可以重新讀出寫入的密鑰,也不可能在不清空全部存儲器的情況下改寫密鑰。

 

當采用BBRAM保存密鑰時,需要在VCCBATT上外接電池,確保系統(tǒng)掉電的情況下BBRAM中的內(nèi)容不會丟失。系統(tǒng)正常工作時,由VCCAUX對BBRAM供電,而不會使用VCCBATT上的電池供電。當系統(tǒng)掉電時,VCCBATT需要的電流很?。╪A級別),一塊手表紐扣電池可以使用很長時間。

其他Zynq-7000的安全要點

除了上面的內(nèi)容,Xilinx還充分考慮了其他各種復雜情況下的如何保證用戶知識產(chǎn)權的安全。

 

BootROM檢測到Boot Image未加密后,進入非安全狀態(tài)。AES解密引擎和HMAC認證引擎被關閉,只有上電復位才能使能它們。沒有任何機制可以從非安全狀態(tài)轉換到安全狀態(tài)(除了上電復位)。如果在加載未加密數(shù)據(jù)后試圖加載加密數(shù)據(jù),將導致系統(tǒng)鎖定,只有重新上電后才能復位。

 

當PS或者PL檢測到以下非法狀態(tài)時,將清空OCM,系統(tǒng)緩存,復位PL,然后PS進入鎖定狀態(tài)。只有重新上電復位才能清楚系統(tǒng)鎖定狀態(tài):

  • Non-secure boot and eFuse secure boot set
  • PS DAP enabled and JTAG chain disable eFuse set
  • SEU error tracking has been enabled in the PS and the PL reports an SEU error
  • A discrepancy in the redundant AES enable logic
  • Software sets the FORCE_RST bit of the Device Configuration Control register

 

Xilinx Zynq-7000 BootRom支持fall-back功能:在當前的Boot Image不可用的情況下,會搜索并運行golden image。在這種情況下,系統(tǒng)要求golden image的加密狀態(tài)和FSBL的加密狀態(tài)是一致的,即:如果FSBL是加密的,golden image必須也是加密的;如果FSBL未加密,golden image必須也是不加密的。

 

在secure boot模式下,PS DAP和PL TAP控制器被關閉,這樣排除了通過JTAG訪問芯片內(nèi)部的可能。

 

PS的DAP控制器可以通過eFuse的JTAG CHAIN DISABLE永久關閉。在生成PL bitstream時,可以配置DISABLE_JTAG選項(see UG628, Command Line Tools User Guide for more information)

,禁止通過JTAG訪問PL。

 

 

小結

通過以上的分析,我們可以看到Xilinx Zynq-7000提供了充分的安全措施,來保證客戶的知識產(chǎn)權和設計的安全性,是客戶設計的重要選擇。

 

 

參考文獻:

UG585, Zynq-7000 EPP Technical Reference Manual

UG470, 7 Series FPGAs Configuration User Guide

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。