技術領域

本發明涉及基于靜態隨機存儲器(SRAM)的可編程門陣列(FPGA)設計領域，特別涉及一種基于靜態隨機存儲器的可編程門陣列芯片加密方法及系統。

背景技術

現場可編程門陣列(Field-Programmable?Gate?Array，FPGA)以其自身速度快、密度高、價格低、和靈活的在線可升級優勢正廣泛被使用。將FPGA設計程序送入FPGA芯片的過程或操作一般稱為對FPGA芯片的配置，經過配置的FPGA，即具有用戶所需的功能。FPGA芯片在正常工作狀態下，其配置數據存儲在FPGA的編程元件SRAM(靜態隨機存儲器)中，由于SRAM的易失性，掉電以后FPGA芯片中的配置信息將丟失，所以每次系統上電時，均需要對FPGA芯片進行重配置，這就使得可以通過監視FPGA芯片的配置數據流，進行克隆設計。

通常采用的克隆手段是利用一定的電路對配置FPGA的數據引腳進行采樣,利用記錄下來的配置數據可以對另一塊FPGA芯片進行配置,這就實現了對FPGA內部配置電路的克隆。

為了應對上述的克隆設計，現有技術中常采用以下兩種方式：

一、內置加密芯片方式：在FPGA芯片內部設置解密模塊，具有內部解密模塊的FPGA芯片在上電時，接收加密的配置數據，由解密模塊對加密的配置數據進行解密后，對FPGA芯片中的電路進行業務功能配置；在利用前述克隆技術時，雖然通過一定電路對配置數據流采樣后，可以得到加密的配置數據流，但利用加密的配置數據流不能完成對其他FPGA芯片進行業務功能配置，從而對FPGA芯片起到了良好的保護作用。但是采用此種方式簡單、實用，但加密成本高，使得大部分FPGA，特別是中、低檔FPGA都不具備此類加密功能。

二、外部加密芯片方式：在FPGA芯片外部設置加密芯片，如圖1所示，首先，上電后，FPGA芯片接收配置數據，并利用配置數據對電路進行配置形成業務功能電路，并使業務功能電路處于等待狀態，并不工作；FPGA內部與外設加密芯片中均設置有密鑰模塊，且置入相同的加密算法，FPGA芯片中的隨機數產生模塊在FPGA芯片接收到配置數據流后生成隨機數，并將隨機數發送至加密芯片中的接收模塊，FPGA芯片中的第一序列加密器根據密鑰模塊提供的密鑰和隨機數進行運算，生成第一校驗碼發送至FPGA芯片的比較器，同時加密芯片中與第一序列加密器相同的第二序列加密器根據加密芯片中的密鑰模塊提供的密鑰和接收到的隨機數進行運算，生成第二校驗碼，并通過加密芯片中的輸出電路發送至FPGA芯片的比較器，由比較器比較第一、第二校驗碼，若二者一致，則啟用FPGA芯片中被配置的電路，若不一致則不啟用FPGA芯片中被配置的電路。采用此種方式，即便利用現有的克隆技術獲得了配置數據，由于不能收到啟動信號，克隆得到的FPGA芯片配置電路不能正常工作，如此使FPGA芯片得到保護。

雖然上述兩種方式均能在一定程度上起到對FPGA芯片的保護作用，但是上述兩種方式中，密鑰只工作一次，容易被破解，因此還需進一步提高FPGA芯片的保護效果。

發明內容

有鑒于此，本發明的主要目的在于提供一種基于靜態隨機存儲器的可編程門陣列芯片加密方法及系統，以提高FPGA芯片的加密可靠性。

為實現上述目的，本發明提供了一種基于靜態隨機存儲器的可編程門陣列芯片加密方法，包括：

初始化配置步驟：

外置存儲器向FPGA芯片發送配置數據，所述配置數據包括用于配置業務功能電路的第一配置信息和用于配置與業務功能電路對應的授權電路的第二配置信息；

所述FPGA芯片根據配置數據對電路進行配置，以形成業務功能電路和與業務功能電路對應的授權電路，并使所述業務功能電路處于等待狀態，將所述授權電路置于工作狀態；

業務處理步驟：

當需要業務功能電路進行工作時，與該業務功能電路對應的授權電路向協處理器發起服務請求；

所述協處理器根據所述服務請求生成密鑰種子，并將密鑰種子發送至所述微處理器和授權電路，將服務請求發送至所述微處理器；

所述微處理器根據所述服務請求生成授權信息，并利用密鑰種子加密所述授權信息得到授權信息密文，將所述授權信息密文發送至所述授權電路；

所述授權電路利用密鑰種子解密所述授權信息密文得到所述授權信息的明文后，授權其對應的業務功能電路進入工作狀態。

進一步，所述第一配置信息包括其配置的業務功能電路的功能等級信息，所述第二配置信息包括不同級別的業務功能電路對應不同的授權電路，相同級別的業務功能電路對應相同的授權電路的對應信息。