IC 計量技術綜述

楊 燕

(貴州理工學院工程訓練中心，貴州 貴陽 550003)

0 引言

隨著IC 行業和制造工藝的發展，芯片集成度越來越高。 現在，數以億計的晶體管可以被集成在一塊芯片上，這大大增加了IC 設計的難度和周期，導致IC 設計公司投入的資金劇增，而且由于制造工業的改進也需要IC 設計公司投入巨額的資金，所以越來越多的IC 公司由于難以承受資金上的壓力而選擇將芯片制造外包給專門生產芯片的公司。 IC 行業逐漸由以前的自己設計自己制造模式變成IC 設計和制造分離的商業模式，商業模式的轉變減輕了IC 設計公司的資金壓力，但是同時也帶來了很多問題，比如芯片版權和安全問題。 IC 計量技術是指一種機制、方法和協議，使設計人員能夠控制芯片的后端制造，計數生產的芯片數量并防止芯片盜版和過度制造。 根據實現方案，現有的IC 計量技術可以分為主動式計量技術和被動式計量技術。

1 被動式的IC 計量技術

如圖1 所示，被動式的IC 計量可以分為幾個類型。 根據其是否與功能相關，可以分為被動式非功能計量和被動式功能計量技術。

1.1 被動式非功能計量技術

被動式非功能IC 計量技術已經使用了很多年。 該技術通常通過在每個芯片上雕刻唯一ID或將ID 存儲在非易失性存儲器中來實現。 眾所周知，英特爾奔騰III 處理器包含唯一的序列號[1]。 但是，通過這兩種方法生成的芯片ID 可以很容易地被攻擊者刪除或復制。 此外，這兩種方法不能防止代工廠制造過多的芯片，因為它們可以輕松地將相同的ID 復制或寫入相同的ID到過度制造的芯片上。 因此，如果我們可以為每個芯片提供一個未克隆的ID，則可以克服這些缺陷。

為了克服上述IC 計量技術的不足，Lofstrom等[2]提出了解決方案，首先引入了不可復制的ID技術，稱為ICID，該技術基于不可克隆的變化進行更改。 由于IC 工作過程中的物理變化無法由任何人控制，因此制作芯片的ID 將有所不同。繼ICID 之后，又開發出了一些更先進和可接受的標識和認證技術，包括文獻[3]和文獻[4]中提到的PUF。 由于上述方法獨立于設計來實現，因此被稱為外部非功能計量方法。 到目前為止，對于非克隆ID 技術，如果在原始電路設計中引入了新的附加電路結構，則可以將其劃分為外部識別方法[2]，否則，它是內部識別方法。 文獻[2－4]是最早提出的不可克隆方法和PUF 技術。 文獻[5]和文獻[6]是內在方法。 文獻[2－6]的結果表明，IC 設計可以為芯片創建唯一的序列號。如果將外部測試向量給芯片制造商并測試結構，則可以防止芯片被盜版。

1.2 被動式功能計量技術

在文獻[7]中，提出了一種典型的被動式IC計量方案，該方案要求相同設計的每個芯片都具有唯一的鎖定控制路徑，這需要特定的控制序列。 但是，使用相同掩模制作的芯片必須具有相同的輸入和輸出行為，因此，需要使每個芯片具有特定的控制序列。 文獻[7]和文獻[8]中的工作提出，每個芯片有單個數據路徑，該數據路徑可以由多個控制路徑控制，所有這些路徑均滿足上述要求。 編譯后的控制路徑設計已集成到每個芯片的后端設計中。 在此基礎上，文獻[7]和文獻[8]中的工作還提出了其他設計方法，以混淆分配給特定寄存器的變量的子集。 在此方案中，在邏輯綜合過程中基于一組選定的狀態創建冗余的等效狀態，然后根據設計約束選擇狀態組，這意味著必須將并發狀態存儲在單獨的變量中，以減少內存開銷和每個變量的副本，在文獻[7]中實現狀態的不同分布。 分配給每個副本的任何不同排列都適用于那些等效狀態，因此生成的冗余狀態對應于添加到狀態轉換圖(STG)的頂點，其邊緣與將頂點復制到新頂點，并且寄存器的可編程讀取邏輯設計使設計者可以為每條唯一控制路徑選擇適當的變化序列[8]。

被動計量方法可以監視和計數制造的芯片，以檢測盜版芯片。 通過在檢測芯片之前將特定的控制路徑序列加載到可編程部分中來實現此技術，并且如果檢測結果顯示多個芯片具有相同的序列，則這些芯片將被標記為盜版芯片，條件是大多數芯片可以在線工作，而設計公司可以訪問其內部控制序列，設計人員可以通過執行異或運算或檢查文獻[8]中狀態變體的完整性來實現在線訪問以檢查這些狀態的總和。

通過文獻[7]和文獻[8]中的工作，實驗結果表明可以在最小開銷下實現不同的序列。 被動式計量的明顯缺點是在專用集成電路(ASIC)中引入了可編程組件。 引入了額外的版圖設計，這意味著大量的開銷。 此外，該方案要求大多數芯片都可以在線工作，并且可以訪問其內部序列，但是，此條件不能總是得到滿足。 因為此方法是基于對市場和統計數據的監視，所以時間、金錢和人力是不可避免的。 因此，需要一種更好的方法來解決此問題。

2 主動式IC 計量技術

與被動式IC 計量技術相比，主動式IC 計量技術不僅可以唯一地識別芯片，還可以讓芯片設計者成為訪問或解鎖芯片功能的唯一人員，并且可以進一步分為內部主動式IC 計量和外部主動式IC 計量技術[9]。 主動式計量的設計流程如圖2 所示。

2.1 內部主動式IC 計量技術和攻擊

Alkabani 等[10]于2007 年首次提出了第一種主動式IC 計量方法。 Koushanfar 提出了一種改進的方案，并在文獻[11]中提出了一些新的安全證明。 圖2 描述了該方案的設計過程:第一步是名為Alice 的設計人員利用高級描述語言來實現其設計[11]。 VHDL 是超高速集成電路硬件描述語言的縮寫，而HDL 是Verilog 硬件描述語言的縮寫。 然后，提取原始設計的FSM，并將鎖插入到原始FSM 設計中。 我們稱改進的FSM 為升級的FSM(BFSM)[11]。 將設計規范即GDS II 文件和IC 測試向量發送到代工廠制造芯片。 由于芯片的功能已被鎖定，制成的芯片無法正常工作，因此在解鎖之前無法測試制成的芯片。 BFSM 的上電狀態需要發送回設計室，以獲取用于解鎖芯片的鑰匙。 當每個芯片的密鑰返回到代工廠時，代工廠可以使用它來解鎖芯片。 最后，將制造的芯片送去測試和封裝。 鎖定結構如圖3 所示。

芯片上電時，PUF 電路生成響應，這些響應用于添加的額外觸發器(FF)中。 PUF 響應確定添加狀態之一為芯片的加電狀態。 為了使芯片正常工作，必須將BFSM 從加電狀態轉換為原始FSM 的真實初始狀態。 如圖3 所示，假設上電狀態為S5，S0為FSM 的初始狀態，當輸入密鑰(IK):(P1，P2，P3)時，電路將從S5過渡到S0，芯片可以正常工作[11]。 如果密鑰不正確，則BSFM的狀態可能會轉換到未知的添加狀態，從而導致芯片鎖定。 由于狀態轉換圖(STG)僅為設計機構所知，無法從GDS II 文件中提取狀態轉換圖，并且設計機構是唯一可以根據加電狀態計算IK的機構，因此可以確保在芯片設計中的鎖定機制是安全的[11]。 而且，可以使芯片正常工作的正確密鑰是唯一的，并且經過身份驗證的密鑰可以用作文獻[11]中所述的所有權證明。

該方案中的鎖定是通過增強有限狀態機(FSM)設計以實現內部主動式計量方案來實現的。 PUF 電路用于生成隨機響應，這將使設計進入其他非功能狀態之一。 這些狀態可以轉換為原始FSM 的功能復位狀態，但是確定這種轉換的輸入只有設計者才知道。 因此，鎖定和解鎖機制可以使設計人員從相同的版圖主動控制制造的IC 數量。 重要的是PUF 電路可以產生許多不同的輸出響應，所有這些響應都應在FSM 中視為非功能狀態。 結果，FSM 的復雜性增加，并且隨之而來的開銷可能會非常高。 因此，設計人員可以使用鎖定和解鎖機制來主動控制來自掩模的已激活IC 的數量。 但是，增加狀態的數量應不少于制造芯片的數量，以提高原始設計的安全性。許多增加的狀態和相關的轉換會增加FSM 的復雜性并導致大面積的開銷。 在文獻[12]中，Alkabani 等提出了一種類似的方法來主動控制，該方案的過程可以討論如下。

首先，要添加足夠多的其他狀態，以確保添加的狀態之一是上電狀態，并且上電狀態是功能狀態之一的可能性足夠低。 用來迷惑攻擊者的狀態呈指數級增長，可以保證這一點。

接下來，存在PUF 的可靠性問題。 眾所周知，PUF 的響應可能會隨著老化問題或溫度和電壓的變化而變化。 如果PUF 響應更改，則先前的密鑰可能無法解鎖芯片。 在文獻[13]中，Yu 和Devadas 建議設計者可以使用糾錯碼(ECC)來確保PUF 響應正確，但是糾錯碼邏輯需要關聯輔助數據，因此會產生大量開銷。

在文獻[10]中，BFSM 的引入增加了設計的復雜性。 為了減少添加狀態和相關轉換的數量，文獻[14]中的工作建議通過復制FSM 的幾個狀態并給狀態轉換添加控件來鎖定每個工作的IC，如圖4 所示，S2是初始狀態，將S2復制兩次得到S21和S22，其中狀態S2和兩個復制的狀態具有相同的功能，但在文獻[14]中具有不同的輸入。 我們假設FSM 有兩個輸入端口和FSM 的映射關系，它們可以使S1轉移到下一個狀態:文獻[14]中的01，S1到S2；10，S1到S21；11，S1到S22。

當FSM 轉換為S1時，PUF 電路被激活以創建隨機響應，部分響應用于控制狀態S2、S21以及S22的轉換，這意味著轉換將隨機跳至對應于映射的狀態之一。其余部分取決于IK。 除非有正確的密鑰，否則FSM 無法跳轉到S3。 該映射只有設計者已知。因此，設計者可以積極地防止過度制造的問題。

盡管文獻[14]中的方法可以在不引入許多狀態的情況下主動控制芯片后端處理過程，但是該方法將影響設計的性能。 當芯片開始工作時，如圖4 所示，狀態轉換到S1，為了使FSM 正常工作，它必須提供驅動信號來調用PUF 來生成響應[14]。 最后，該響應充當控制信號，以使狀態從S1傳輸到下一個狀態。 此過程會延遲原始芯片的運行。

在文獻[15]中Zhang 等[15]提出了一種不同于上述兩種計量結構的新方法，其機理如圖5 所示。 此方法與文獻[10]和文獻[11]中的方法完全不同，在文獻[10]和文獻[11]中，每個芯片的初始上電狀態都固定為Sr。 在文獻[15]中，部分PUF 響應用于控制狀態轉換，部分響應與IK 進行異或運算，可以使狀態轉換為固定節點狀態。設計公司是唯一知道這種映射關系的實體，如圖5 所示，M層狀態被添加到設計中以綁定原始FSM，在文獻[15]中，添加的狀態分布在每個層。由偶數索引的每一層包含m個狀態，而由奇數索引的每一層僅包含一個狀態，狀態從奇數層到偶數層的轉移取決于PUF 響應，狀態如何從偶數層轉移由文獻[15]中的PUF 響應和IK 確定一個奇數。 例如，可靠的PUF 響應為0100，前兩位(01)用于控制Sr到下一層的傳輸，后兩位用于綁定密鑰，以便將狀態傳輸到奇數層，從Sr到下一層的映射關系如下:11，Sr→S6；01，Sr→S7；10，Sr→S8；00，Sr→S9。 下一個映射關系是01，S6→Sor。 文獻[15]中的10，S7→Sor；11，S8→Sor；00，S9→Sor。 因此，我們知道FSM 可以從Sr過渡到S7。為了使狀態轉換到原始重置狀態Sor，我們在文獻[15]中推論IK 為“ 10”，可以將其IK 排除或與“00”一起使用以獲得“10”。

總體而言，內部主動式硬件計量在較高的設計水平上實現了鎖定機制，并具有較高的抵抗基于逆向工程攻擊的能力[11]。 但是，也很難預測或控制總成本。 此外，這些計量方法可能會受到入侵的攻擊，特別是文獻[11]中的方法。 文獻[15]中提出的方法比文獻[10]和文獻[11]中提出的方法需要更多的PUF 響應位，盡管該方法可以抵抗入侵攻擊。

2.2 外部主動式IC 計量技術

外部主動式IC 計量通常在物理設計級別實現鎖定和解鎖機制，并引入加密模塊以確保無法訪問用于解鎖設計的密鑰。 在文獻[16]和文獻[17]中提出了一種終結集成電路盜版(EPIC)的方案，并且由于許多外部計量方法都源于該技術，因此詳細闡述了基于EPIC 的外部主動式計量。 EPIC 的協議如圖6 所示。 EPIC 通過在選定的非關鍵組合路徑上插入XOR 門以及連接到公共密鑰寄存器(CK)的控制信號，從而在芯片的主要部分實現了鎖定機制。 當正確的CK 輸入到電路中時，該電路等效于原始設計。 否則，芯片功能不正常。

EPIC 隨機生成CK 以防止其被盜，因此該方案可以抵抗許多已知的攻擊[16]。 但是，除了用于生成一對公鑰和私鑰的單元之外，還需要在設計中插入兩個解密部分，這會導致較高的硬件開銷，因為解密過程比加密過程的計算量大得多。相比之下，文獻[18]中的計量方案只需要在芯片上加上加密模塊來隱藏簽名，該簽名結合了PUF信息和用戶特定的輸入。 解密工作已交給芯片設計人員完成。 然后，將解密的結果傳遞給用戶，用戶將其存儲在芯片上的非易失性存儲器中，從而使授權用戶可以解鎖電路。 為了避免由于XOR 門的引入而影響組合路徑的時序，在文獻[19]中提出了一種新的基于鎖定掃描單元的主動式IC 計量技術。

文獻[20]中提出了一種基于總線的集成電路保護方法。 該方法通過與中央總線的干擾來鎖定設計，從而防止在沒有正確密鑰的情況下使用IC。 芯片和設計設備之間共享的密鑰和組合邏輯接口用于同一芯片中的多核連接和接口。它的應用僅限于總線設計。 Huang 等[18]提出受保護的設計在資源受限的情況下實施認證方案，它僅使用加密部分而不是兩個解密部分[16－17]。盡管文獻[17]和文獻[18]中的方案都將鎖定放置在非關鍵路徑中，但定時的累積延遲可能會影響關鍵路徑延遲。 文獻[21]中的工作建議在芯片中引入一個特定的可編程部分，該部分對制造商而言是透明的，并且只能使用鑰匙來激活。 顯然，由于在專用集成電路(ASIC)的應用中引入了可編程組件，因此增加了工藝和掩模開銷。

所有這些外部主動計量技術都引入了物理不可克隆技術(PUF)設計來生成用于解鎖設計的密鑰，并且使用非對稱加密模塊對密鑰進行加密，以便只有設計者才能檢索基于PUF 的密鑰。 但是，加密模塊通常會產生較大的面積開銷，并且由于容易將加密模塊標識為完整性，因此可以繞開該模塊，這使得基于PUF 的密鑰容易受到攻擊。

3 結語

在本文中，對大多數現有的IC 計量方法進行了回顧和評估。 被動式的計量方法在實際應用中有很大的局限性，因為它不能防止過度生產的芯片投入應用。 主動式的IC 計量技術為有效控制芯片的后處理，但是，內部和外部主動式的IC 計量技術在魯棒性和設計開銷方面均存在一些弱點，因此亟需一種更加安全和低開銷的主動式IC 計量技術來控制芯片后端制造保護設計者的知識版權。 對現有IC 計量技術的充分了解，可以為后續的研究提供方向，具有一定的現實意義。