ＳｏＣ設計中的ＩＰ核保護方法研究

摘 要：對現有主要IP核保護方法的原理和性能進行了研究分析，指出了各種方法的優缺點，同時指出了IP核保護方法的發展方向。

關鍵詞：片上系統； 知識產權核； 數字水印； 簽名

中圖法分類號：TP309文獻標識碼：A

文章編號：1001—3695(2007)02—0113—03

1 引言

隨著集成電路的規模依據摩爾定律不斷呈指數增長，目前已經可以將整個系統集成到一塊單硅芯片上，片上系統（System on a Chip，SoC）的概念也應運而生。然而對于大型的SoC來說，無論從設計的費用、周期還是可靠性來考慮，傳統的設計方法均已不能滿足需求，因此，基于知識產權（Intellectual Pro-perty，IP）核復用的設計方法也就隨之出現。

在基于IP核復用的設計方法中，構成SoC的各關鍵部件都由可復用的IP核實現，這樣不但使得設計周期大大縮短，而且設計的可靠性也有大幅度提高。但是隨著大量可復用IP核的出現和廣泛使用，如何保證其不被非法傳播成為人們最為關注的問題。本文對現有的幾種主要的IP核保護方法進行了深入研究，對各自特點進行了分析與比較，并指出了IP核保護今后的發展方向。

2 IP核的分類

SoC的一般設計流程如圖1所示[3]。在不同的層次，可以使用不同形式的IP核。IP核標準化團體VSIA（Virtual Socket Interface Alliance）的結構文檔[13]中指出了IP核存在的三種主要形式：

（1）軟IP（Soft IP）。它以可綜合的寄存器傳輸級（Register Transfer Level，RTL）描述發放，具有很高的靈活性，但不能保證其在延時、面積和功率等方面的性能。

（2）硬IP（Hard IP）。它以版圖的形式發放，對延時、功耗及面積等性能參數進行了優化，具有明確的性能參數，但靈活性差。

（3）固IP（Firm IP）。它是一種處于軟IP與硬IP之間的折中方案，以門級網表的形式發放，使用比硬IP更加靈活，可靠性比軟IP更有保障。

3 IP核保護方法

由于不同形式的IP核有著各自不同的特點，因此其保護方法也會有所不同。國外，弗吉尼亞大學的John Lach[6]、馬里蘭大學的Gang Qu[9]、里斯本技術大學的Oliveira[8]以及瑞士聯邦工學院的Edoardo Charbon[5]等人在IP核保護領域已取得了一定的研究成果；國內，目前還沒有對IP核保護方面進行深入、系統的研究，沒有形成可以接受的創新理論。

VSIA在其IP核保護白皮書[10]中指出了用于IP核保護的三種主要途徑：

（1）威懾（Deterrent）。IP核擁有者通過法律的威懾力來阻止IP核的非法使用和傳播，如專利（Patents）、版權（Copyrights）和商業秘密（Trade Secrets）等。

（2）保護（Protection）。IP核擁有者通過許可證（License Agreements）和加密（Encryption）的方法阻止IP核的非授權使用。

（3）檢測（Detection）。IP核擁有者通過水印（Watermar-king）和指紋（Fingerprinting）等技術手段，對IP核的合法性進行檢測與追蹤。

以下討論的均為上述第三種IP核保護方法，這幾種方法都需要在IP核的設計過程中嵌入IP核擁有者的信息，以便在檢測時能表明擁有者的身份。待嵌入信息的生成過程如圖2所示。

3.1 基于FPGA的簽名隱藏技術

這種IP核保護技術主要用在基于現場可編程門陣列（Field Programmable Gate Array，FPGA）的IP核設計中。對大多數基于FPGA的設計而言，都存在大量空閑的可重配置邏輯塊，這些可重配置邏輯塊中含有一定數量的查找表（Look Up Table，LUT）。在物理層設計過程中，可以通過未用的LUT來存儲用戶信息，每一個未用的LUT位可以存儲一位用戶信息[6]。

信息嵌入過程如下：①按照圖2所示的方法生成待嵌入信息；②對原始設計的網表進行布局布線；③檢查剩余資源是否滿足待嵌入信息的需求，如不滿足，則減少待嵌入信息或增加空閑資源；④通過修改網表和布局約束以嵌入待嵌入信息；⑤重新進行布局布線，生成帶有簽名信息的設計。

當IP核擁有者懷疑其IP核被盜用時，可申請由中立的第三方組織按如下步驟對IP核的所有權進行驗證：①根據IP核擁有者提供的相關信息找出用來隱藏嵌入信息的LUT；②提取在LUT中隱藏的嵌入信息；③將IP核擁有者提供的嵌入信息和提取出的嵌入信息進行比較，若兩者相等，即可驗證IP核擁有者對該IP核的所有權。

3.2 基于測試電路的水印保護方法

在SoC中進行IP核復用的同時，對IP核的測試功能也進行了復用，以確保IP核集到SoC后的可測性。因此可以將水印信息嵌入到測試電路的測試向量中，與原始設計一起形成嵌入有水印信息的IP核[4]。水印的嵌入和檢測過程如圖3所示。其過程如下：①按照圖2所示的方法生成待嵌入信息；②根據待嵌入信息生成水印產生電路；③水印產生電路和測試電路一起構成如圖4所示的測試、水印電路，其輸出序列可以按事先約定的方式由輸出測試向量和水印序列組合生成；④將測試、水印電路嵌入到原始IP核中，以生成含有水印信息的IP核。

檢測水印信息時：①使芯片工作在測試模式；②輸入相應的輸入測試向量；③在輸出端獲取輸出序列；④根據預先定義的組合方式從輸出序列中提取出水印序列，并與用戶提供的水印序列進行比較，若兩者相等，即可驗證IP核擁有者對該IP核的所有權。

3.3 基于約束的水印保護方法

在IP核的設計實現過程中，需要解決一定的優化問題，這些優化問題通常是NP問題，它們的實例可以描述為一組約束，其求解過程可以描述為利用優化器找出滿足所有約束的解或解空間的過程[7]。例如可滿足性問題中的每一個句子和圖的頂點著色問題中的每一條邊，都可以看作一條約束。

傳統的設計過程如圖5（a）所示，用戶將綜合工具作用于原始約束，生成滿足所有原始約束的未帶水印的設計結果。而在如圖5（b）所示的基于約束的水印方法[7]中，其設計過程如下：①按圖2所示的方法生成待嵌入的水印信息；②將水印信息輸入約束生成器，通過一定的編碼規則，轉換為一組附加約束；③將綜合工具同時作用于原始約束和附加約束，生成帶有水印的設計結果。最終的設計結果不但滿足原始約束的需求，而且也滿足附加約束的需求。

檢測水印信息時：①計算由原始約束生成帶有水印的設計結果的概率Pc，如果Pc足夠低，則說明有附加約束的存在；②根據附加約束恢復嵌入的水印信息；③將恢復的水印信息與IP核擁有者提供的水印信息進行比較，即可驗證IP核擁有者對該IP核的所有權。

3.4 基于未用轉換的FSM水印方法

HDL設計中的Case和If語句通常會被編譯為有限狀態機（Finite State Machine，FSM）。大多數設計中的FSM都會存在著大量的未用轉換，這些未用轉換可以用來存儲用戶的水印信息，以達到表征IP核擁有者對IP核的所有權[5]。

嵌入水印信息時：①按照圖2所示的方法生成待嵌入的水印信息；②如圖6（a）所示，在行為層建立所要保護IP核的FSM描述；③如果所實現的FSM為完全指定的FSM（Completely Specified FSM，CSFSM），則通過擴展輸入/輸出對的方法將其轉換為非完全指定的FSM（Incompletely Specified FSM，ISFSM）；④遍歷ISFSM，找出其中所有的未用轉換，其數目為UTmax；⑤通過UTmax和水印強度的需求，計算出需添加的未用轉換的最少數目UTmin；⑥對IP核的原有FSM進行修改，加入UTmin個未用轉換，使得這些轉換所構成的輸出序列等于待嵌入的水印信息，如圖6（b）和圖6（c）所示；⑦對修改后的FSM進行綜合，生成帶有水印的IP核設計。

檢測時，①IP核擁有者給出設計時所添加轉換的輸入序列；②將該輸入序列作用于需要檢測的IP核，得到相應的輸出序列；③將檢測到的輸出序列和IP核擁有者提供的水印信息進行比較，以判斷IP核擁有者對該IP核的所有權。

4 分析和比較

對于不同的IP核保護方法，通常用以下的指標對其性能進行評價。

4.1 額外開銷

額外開銷指由于在原始設計中嵌入水印信息而引入的設計開銷。

第3節的方法1、方法2和方法3中，由于嵌入信息時不需要過多的資源，也沒有大量的計算，因此不會造成過多的額外開銷；方法4中嵌入水印信息時，需要遍歷整個狀態轉換圖，以找出其中的未用轉換，這個過程可能會給設計帶來過大的額外開銷。

4.2 可檢測性

可檢測性是指從已嵌入水印信息的設計中提取水印信息的能力。通常，在一個設計層次中嵌入的水印信息，能夠在本層和本層以下的各層中被檢測出。

方法1實現于物理層設計，因此只能在物理層對嵌入的信息進行檢測；方法2和方法4均實現于行為層設計，因此在行為層及其以下各層中都可以檢測出嵌入的水印信息；方法3在行為層、門級及物理層均可實現，但對于物理層的實現，目前還沒有很好的檢測算法可用。

4.3 對性能的影響

這一指標表明了由于水印信息的引入而對系統性能方面所造成的影響。

方法1中，由于所嵌入的簽名信息與IP核的原始功能無關，因此不會對系統性能造成太大影響；方法2中，由于水印產生電路只與測試電路相關，因此不會對系統其他部分的性能造成明顯的影響；方法3中，由于附加約束的影響，綜合結果可能與原綜合結果之間存在較大偏離，當附加約束與原始約束產生矛盾時，甚至會無法得到正確的綜合結果；方法4中，用于嵌入水印信息的未用轉換可能會使最終設計結果與最佳結果有偏離，但不會對系統性能造成過大影響。

4.4 安全性

安全性指已嵌入水印信息的設計對各種試圖破壞水印信息行為的抵抗能力。

方法1中，嵌入的簽名信息與原IP核的功能無關，一旦成功地進行了反向設計，就可以對與設計功能無關的簽名信息進行破壞；方法2、方法3和方法4中，水印信息與原IP核的功能密切相關，入侵者一旦用反向設計對水印信息進行破壞，原IP核的功能也會隨之被破壞，因此這幾種保護方法具有更高的安全性。各種IP核保護方法的性能比較如表1所示。

5 結論

在基于IP核復用的SoC設計中，如何保證IP核不被非法傳播成為人們日益關注的熱點問題。對于不同的設計層次，目前出現了多種IP核保護方法，但這些方法在額外開銷、可檢測性、對性能的影響及安全性等方面都存在一定的問題。在以后IP核保護的研究過程中，在不同的設計層次中實現多層次IP核保護，將會成為新的發展方向。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。