Abstract:
Heutzutage bieten field-programmable gate arrays (FPGAs) enorme Rechenleistung und Flexibilität. Zudem sind sie oft auf einem einzigen Chip mit eingebetteten Multicore-Prozessoren, DSP-Engines und Speicher-Controllern integriert. Dadurch sind sie für große und komplexe Anwendungen geeignet. Gleichzeitig führten die Fortschritte auf dem Gebiet der High-Level-Synthese und die Verfügbarkeit standardisierter Schnittstellen (wie etwa das Advanced eXtensible Interface 4) zur Entwicklung spezialisierter und neuartiger Funktionalitäten durch Designhäuser. All dies schuf einen Bedarf für ein Outsourcing der Entwicklung oder die Lizenzierung von FPGA-IPs (Intellectual Property). ... mehrEin Pay-per-Use IP-Lizenzierungsmodell, bei dem diese IPs vor allen Marktteilnehmern geschützt sind, kommt den Entwicklern der IPs zugute. Außerdem handelt es sich bei den Entwicklern von FPGA-Systemen in der Regel um kleine bis mittlere Unternehmen, die in Bezug auf die Markteinführungszeit und die Kosten pro Einheit von einem solchen Lizenzierungsmodell profitieren können.
Im akademischen Bereich und in der Industrie gibt es mehrere IP-Lizenzierungsmodelle und Schutzlösungen, die eingesetzt werden können, die jedoch mit zahlreichen Sicherheitsproblemen behaftet sind. In einigen Fällen verursachen die vorgeschlagenen Sicherheitsmaßnahmen einen unnötigen Ressourcenaufwand und Einschränkungen für die Systementwickler, d. h., sie können wesentliche Funktionen ihres Geräts nicht nutzen. Darüber hinaus lassen sie zwei funktionale Herausforderungen außer Acht: das Floorplanning der IP auf der programmierbaren Logik (PL) und die Generierung des Endprodukts der IP (Bitstream) unabhängig vom Gesamtdesign.
In dieser Arbeit wird ein Pay-per-Use-Lizenzierungsschema vorgeschlagen und unter Verwendung eines security framework (SFW) realisiert, um all diese Herausforderungen anzugehen. Das vorgestellte Schema ist pragmatisch, weniger restriktiv für Systementwickler und bietet Sicherheit gegen IP-Diebstahl. Darüber hinaus werden Maßnahmen ergriffen, um das System vor einem IP zu schützen, das bösartige Schaltkreise enthält. Das „Secure Framework“ umfasst ein vertrauenswürdiges Betriebssystem, ein reichhaltiges Betriebssystem, mehrere unterstützende Komponenten (z. B. TrustZone- Logik, gegen Seitenkanalangriffe (SCA) resistente Entschlüsselungsschaltungen) und Softwarekomponenten, z. B. für die Bitstromanalyse. Ein Gerät, auf dem das SFW läuft, kann als vertrauenswürdiges Gerät betrachtet werden, das direkt mit einem Repository oder einem IP-Core-Entwickler kommunizieren kann, um IPs in verschlüsselter Form zu erwerben. Die Entschlüsselung und Authentifizierung des IPs erfolgt auf dem Gerät, was die Angriffsfläche verringert und es weniger anfällig für IP-Diebstahl macht. Außerdem werden Klartext-IPs in einem geschützten Speicher des vertrauenswürdigen Betriebssystems abgelegt. Das Klartext-IP wird dann analysiert und nur dann auf der programmierbaren Logik konfiguriert, wenn es authentisch ist und keine bösartigen Schaltungen enthält. Die Bitstrom-Analysefunktionalität und die SFW-Unterkomponenten ermöglichen die Partitionierung der PL-Ressourcen in sichere und unsichere Ressourcen, d. h. die Erweiterung desKonzepts der vertrauenswürdigen Ausführungsumgebung (TEE) auf die PL. Dies ist die erste Arbeit, die das TEE-Konzept auf die programmierbare Logik ausweitet.
Bei der oben erwähnten SCA-resistenten Entschlüsselungsschaltung handelt es sich um die Implementierung des Advanced Encryption Standard, der so modifiziert wurde, dass er gegen elektromagnetische und stromverbrauchsbedingte Leckagen resistent ist. Das geschützte Design verfügt über zwei Gegenmaßnahmen, wobei die erste auf einer Vielzahl unterschiedler Implementierungsvarianten und veränderlichen Zielpositionen bei der Konfiguration basiert, während die zweite nur unterschiedliche Implementierungsvarianten verwendet. Diese Gegenmaßnahmen sind auch während der Laufzeit skalierbar. Bei der Bewertung werden auch die Auswirkungen der Skalierbarkeit auf den Flächenbedarf und die Sicherheitsstärke berücksichtigt.
Darüber hinaus wird die zuvor erwähnte funktionale Herausforderung des IP Floorplanning durch den Vorschlag eines feinkörnigen Automatic Floorplanners angegangen, der auf gemischt-ganzzahliger linearer Programmierung basiert und aktuelle FPGAGenerationen mit größeren und komplexen Bausteine unterstützt. Der Floorplanner bildet eine Reihe von IPs auf dem FPGA ab, indem er präzise rekonfigurierbare Regionen schafft. Dadurch werden die verbleibenden verfügbaren Ressourcen für das Gesamtdesign maximiert. Die zweite funktionale Herausforderung besteht darin, dass die vorhandenen Tools keine native Funktionalität zur Erzeugung von IPs in einer eigenständigen Umgebung bieten. Diese Herausforderung wird durch den Vorschlag eines unabhängigen IP-Generierungsansatzes angegangen. Dieser Ansatz kann von den Marktteilnehmern verwendet werden, um IPs eines Entwurfs unabhängig vom Gesamtentwurf zu generieren, ohne die Kompatibilität der IPs mit dem Gesamtentwurf zu beeinträchtigen.
Abstract (englisch):
Nowadays, field-programmable gate arrays (FPGAs) offer enormous computational power and flexibility. Furthermore, they are often integrated on a single chip with embedded multi-core processors, DSP engines, and memory controllers. This makes them suitable for large and complex applications. Simultaneously, the progress made in the field of high-level synthesis and availability of standardized interfaces (such as Advanced eXtensible Interface 4) led to the development of specialized and novel functionalities by design houses. All this created a need for outsourcing or licensing FPGA intellectual properties (IPs). ... mehrA pay-per-use IP licensing model where these IPs are protected from all the market participants will benefit the developers of the IPs. Also, FPGA system developers are usually small to medium enterprises that can benefit from it in terms of time-to-market and per-unit cost.
In academia and industry, several IP licensing models and protection solutions are available that can be deployed; however, they are prone to multiple security challenges. In some cases, the proposed security measures caused unnecessary resource overhead and restrictions for the system developers, i.e., they are restricted from using the essential features of their device. Furthermore, they do not address two functional challenges: the floorplanning of the IP on the programmable logic (PL) and the generation of IP’s end-product (bitstream) independent of the overall design.
In this work, a pay-per-use licensing scheme is proposed and realized using a security framework (SFW) to address all these challenges. The scheme is pragmatic, less restrictive for the system developers, and offers security against IP theft. Furthermore, measures are taken to protect the system from an IP that has malicious circuitry in it. The SFW comprises a trusted operating system (OS), a rich OS, several supporting components (e.g., TrustZone logic, side-channel attack (SCA) resistant decryption engine), and software components, e.g., bitstream analysis. A device running the SFW can be considered a trusted device that can directly communicate with a repository or an IP core developer to acquire the IP in an encrypted form. The decryption and authentication of the IP happen on the device, which reduces the attack surface and makes them less prone to IP theft attacks. Also, the plaintext IP is stored in a protected memory of the trusted OS. The plaintext IP is then analyzed and only configured on the PL if it is authentic and has no malicious circuitry. The bitstream analysis functionality and the SFW subcomponents make it possible to partition the PL resources into secure and non-secure ones, i.e., extending the trusted execution environment (TEE) concept to the PL. This is the first work so far that has extended the TEE to the PL.
The aforementioned SCA-resistant decryption engine is an advanced encryption algorithm’s implementation that is modified to resist electromagnetic and power consumption leakages. The protected design has two countermeasures where the first one supports implementation diversity and moving target defense, while the second one only supports implementation diversity. These countermeasures are scalable even at run-time. The evaluation of these countermeasures also includes scalability’s effect on the area overhead and security strength.
In addition, the earlier mentioned functional challenge of floorplanning IPs is addressed by proposing mixed-integer linear programming based fine-grained Automatic Floorplanner, which targets recent, larger, and complex FPGA devices. The floorplanner maps a set of IPs on the FPGA by creating precise reconfigurable regions. This maximizes the remaining available resources for the overall design. The second functional challenge is that existing tools do not provide a flow to generate IPs in a standalone environment. The challenge is addressed by proposing an independent IP generation flow. This flow can be used by the market participants to generate IPs of a design independent of the overall design without compromising IPs’ compatibility with the overall design.
