Device DNA的高级数据操作

Device DNA和存储校验码对于外界来说不是机密，任何人都可以获得这些信息，DeviceDNA设计级安全的奥秘在于“安全算法”。对于一些设计，安全要求需要超过默认的51位DeviceDNA来增强保护，以免受到蛮力攻击。Device DNA设计具有增加额外位以提高安全性的能力，采用的Device DNA位数越多，完成蛮力攻击所需的时间就越长。蛮力攻击是指当克隆者或过度构建者试图通过破解安全算法来生成存储校验码。有时这种攻击所需的时间会非常长，因此在某种程度上不太可能，或不值得进行蛮力攻击。蛮力攻击的总时间是DeviceDNA位数和存储校验码位数的组合。

如图1所示，通过采用Device DNA的数据操作可提供额外的安全性，以协助阻止蛮力攻击。在本例中，设计为Device DNA增加了64000位。并存储在Spartan-3AN用户Fash存储器中，可以像存储在配置存储器或系统存储器中一样简单。在DeviceDNA后面的设计中插入一个分类器，分类器其实就是一个多路分配器和一个被解码以便控制多路分配器的选择线路的计数器。多路分配器的第1个输出将数据发送至安全算法，第2个输出将比特位置入位桶。这个简单的电路现在将Device DNA关系更改为存储校验码，使蛮力攻击或反向工程安全算法变得更加困难。

图1 Device DNA的数据操作

(1) 存储校验码和算法控制的高级数据操作

数据操作技术的进一步扩展可以用于整合存储校验码，图2所示为一个实例。其中数据操作分类器已经被扩展，从而整合了额外的Device DNA位和存储校验码。现在克隆者或过度构建者只看到Device DNA被读入FPGA，使得克隆者或过度构建者反向工程Device DNA、存储校验码和垃圾位，然后继续反向工程安全算法变得非常困难。在本例中，添加了第3个多路分配器输出，用于分离存储校验码并将其发送至比较器。

图2 存储校验码上的数据操作

如图3所示，通过为多路分配器添加第4个输出并将其直接连至安全算法，可进一步获得该数据操作。基于选择的安全算法，可以允许设计者改变其种子值、安全密钥，甚至是算法本身。从而形成另一层安全保护，以防克隆或过度构建。通过该数据操作，FPGA中的硬件设计仍然完全相同，但是安全算法却变了。通过增加安全算法实现的改变可以在制造流程中，甚至是现场环境下轻松升级设计安全性。

图3 为多路分配器添加第4个输出

(2) 逻辑资源要求

数据操作分类器是一个多路分配器和一个被解码以控制多路分配器的选择线路的计数器，这些线路可以在数十个逻辑单元内实现。

(3) 高级数据操作结论

高级数据操作有助于保护FPGA设计不被克隆者和过度构建者蛮力攻击，同时还提供了简单而又快速地升级安全性的方法。