利用1-Wire®接口的SHA-1安全存储器实现Xilinx® FPGA的识别及防拷贝机制

摘要：本文描述了如何利用安全存储器来完成身份识别功能，以实现对FPGA设计的保护。在完成身份识别特性的同时，还可实现软功能管理和电路板识别(IFF)功能。本文所涉及的FPGA均来自Xilinx, Inc.。
利用1-Wire 接口的SHA-1安全存储器实现Xilinx FPGA的识别
及防拷贝机制
Bernhard Linke, 首席技术专家
Dec 26, 2006

摘要：本文描述了如何利用安全存储器来完成身份识别功能，以实现对FPGA 设计的保护。在完成身份识别特性的同时，还可实现软功
能管理和电路板识别(IFF) 功能。本文所涉及的FPGA 均来自Xilinx, Inc.。


动机
开发电子产品，包括嵌入式FPGA 的配置代码，其成本是相当高的。因此应当防止未经授权的机构对这些设计和配置进行拷贝，以保护
设计者的知识产权。有很多种方法能实现这样的保护功能。如在Xilinx Virtex-II和Virtex-4这类的高端FPGA 中，支持对配置数据流的
加密操作。这样仅当FPGA 中含有相同的密钥时，这些数据流才可以工作。但是这种加密的方法对更为广泛的、对成本很敏感的应用场
合来说不甚合适。因此，这里利用另一种可行的身份识别法来防止意外拷贝。这种方法对所有FPGA 家族都适用，包括低端的Xilinx
Spartan-3和Spartan-6 FPGA 。


前提
在身份识别的概念中，要求FPGA 的设计者实现与一个安全存储器通讯的功能以进行认证工作。图1是实现该设计的一个简化原理图。




图1. Maxim 的1-Wire存储器件为FPGA 提供安全控制和保护的简化框图

安全存储芯片需满足下列要求：
包含用于芯片内部操作的密钥，该密钥对外界不可见。
包含一个唯一的不可改变的识别号。可用该识别号来计算一个与设备绑定的密钥。
能够进行包含密钥、随机数( 用做质询机制) 、唯一识别号及附加数据( 常数) 在内的HASH 运算。

为了满足应用所需的安全性，该HASH 算法应满足：
不可逆―要使从一个HASH 结果逆推出与之相关的输入数据在