解读FPGA设计的安全性

　　首先，工程师应用莱迪思的软件设计工具套件ispLEVER （ 7.0或更高版本）开发FPGA代码，完成综合、映射、布局布线和仿真后，产生位流，经最后验证后再用ispVM系统（ 莱迪思的编程工具）对电路板编程。当设计师对系统的功能感到满意时，此时就要来做保护设计的工作。可以用莱迪思的ispLEVER工具或莱迪思的编程工具ispVM System对位流加密，用户可选择128位密钥。编码的位流可以是十六进制（从0至F ，不区分大小写）或一个ASCII密钥（可用所有字母数字字符和空格，大小写敏感），然后使用任何非加密的文件编码将该位流加载到配置存储器中。

图3 用128位AES密钥保护设计
　　现在密钥应该已经保存在一个可编程存储区。编程是通过器件的JTAG端口进行。应该注意到，用密钥对位流加了密，现在只能通过加密的位流对FPGA进行配置。用sysCONFIG接口或JTAG接口可以对莱迪思的FPGA进行编程。该sysCONFIG接口可以让用户使用集中配置模式，或Flash SPI ，或以并行的方式使用并行配置模式重新输入数据。符合IEEE 1149.1和IEEE 1532标准的JTAG端口允许以突发位流（或快速编程）模式、或用1532模式对数据进行编程。JTAG端口用来对器件中的AES 128位密钥编程。不需要用特别的模式来保存FPGA中的128位密钥。

　　在莱迪思的FPGA中使用一个编码位流可以防止器件的配置被重新读取，但需要一些措施来确保配置能够正确地运作。位流未加密时，FPGA执行CRC操作。如果程序不正确，DONE信号保持在0，INITN变为0 。用户仍然可以访问JTAG Usercode寄存器。对FPGA的位流译码时，它存储位流用户码，用来存放FPGA应用程序的版本号。

　　图4展示了加密位流的数据路径。当数据进入FPGA时，解码器读引导程序，前面所有的数据被忽略。即使解码器检测到加密的文件，如果FPGA的密钥未被编程，数据则被阻止，DONE信号保持在'0 ' （表示配置失败） 。如果密钥已被编程，FPGA检查引导程序，指出后面所有的数据应通过解码器。然后FPGA检查标准引导程序，得知数据是否已被压缩。如果数据没有被压缩，则将它直接发送到解码单元。如果数据已压缩，就先把它送到解压缩引擎，然后再送到解码单元。一旦通过CRC校验，即对SRAM进行编程。DONE位被激活时，解压缩和译码擎不工作，允许其它JTAG链元件接收配置数据。

图4 加密位流的数据路径

　　莱迪思的经济型ECP2/M FPGA拥有位流加密功能，内置闪存的非易失LatticeXP2 FPGA也有此功能。LatticeXP2 FPGA把SRAM映射合并入同一块芯片，设计和含有位流配置的Flash映射都在此芯片上工作。当设计师重点关注电路板的面积和快速启动时间时，这类器件特别有用。

　　内置闪存的FPGA

　　非易失FPGA提供额外的Flash保护安全功能，可以防止内存因意外或未经授权的操作被擦除或重新编程。Flash保护功能采用64位密钥。

　　对器件进行删除或重新编程时， ispVM System会核查Flash是否被保护。如果是，就要求用户输入64位密钥，然后ispVM检查这个密钥是否与存储在器件中的密钥一致，如果一致就执行操作。但是，如果丢失了密钥，器件就再也不能被擦除了。

　　这些安全性措施不仅保护了用户电路板上的设计，而且也防止了试图修改系统功能的盗版行为。这些功能还有助于远程的系统更新。莱迪思FPGA提供这一功能，使用户可以通过对FPGA重复编程来更新他们的系统，而不会中断它与周围元件的联系。此功能被称为TransFR 。

　　FPGA最值得注意的的特点是设计人员很容易对器件进行重构。但是，重构通常意味着系统要中断很长时间。但是，莱迪思开发的TransFR技术将重构的影响降至最低。莱迪思的几个FPGA系列都支持TransFR技术，包括那些含有内置闪存的器件，如MachXO 、LatticeXP和LatticeXP2 ，以及像LatticeECP2 /M那样的SRAM FPGA。

图5 用最短的中断系统时间进行远程更新