1. 项目概述在当今高度全球化的半导体产业链中芯片设计公司为了应对激烈的市场竞争和紧迫的上市时间越来越依赖于第三方IP供应商和外包制造。这种模式虽然提升了效率但也将核心知识产权暴露在供应链的多个不可信环节中IP盗版、逆向工程和非法超量生产等威胁如影随形。传统的硬件安全防护手段如逻辑混淆通过在电路中插入密钥控制的门电路来隐藏真实功能但其本质上是一种静态防御。攻击者一旦通过SAT攻击、机器学习辅助分析或物理探测等手段获取了密钥或逼近了功能整个防护便宣告失效。这就像给大门上了一把固定的锁一旦锁芯被破解整个防御体系就形同虚设。近年来嵌入式FPGA作为一种可重构硬件为IP保护提供了新的思路。其核心思想是将SoC中的关键IP模块替换为一个通用的、可编程的eFPGA逻辑阵列而IP的真实功能则被编码成秘密的比特流在芯片制造完成后才加载。这种方法提供了“结构上的不可区分性”因为攻击者面对的是一个千篇一律的可编程逻辑块难以从中分辨出具体实现了什么功能。然而道高一尺魔高一丈最新的研究表明即使面对eFPGA攻击者仍能通过黑盒查询的方式仅通过观察输入输出引脚的行为逐步逼近甚至还原出被隐藏IP的功能。这暴露了静态防护体系的根本弱点它无法应对持续演进、适应性强的攻击。正是在这样的背景下SOAR应运而生。SOAR的全称是“Secure Once, Adapt at Runtime”其核心理念是“一次配置运行时自适应”。它不再将eFPGA仅仅视为一个静态的秘密容器而是充分利用其与生俱来的“动态可重构”能力构建了一个能够感知威胁、动态响应的主动防御体系。简单来说SOAR让硬件安全防护从“一堵固定的墙”变成了“一个会移动、会变形的迷宫”。当攻击者试图摸索迷宫路径时迷宫本身会改变结构让攻击者之前探索的成果全部作废。这篇文章我将结合自己多年在硬件安全与FPGA设计交叉领域的实践经验深入拆解SOAR架构的每一个技术细节从设计动机、实现原理到实操中的坑与技巧为你呈现一个完整、可落地的动态IP保护方案。2. SOAR架构的核心设计思路2.1 从静态隐藏到动态博弈的范式转变传统的eFPGA IP隐匿方案其安全假设建立在“结构不可区分性”上。也就是说攻击者拿到的是一个空白的、未配置的eFPGA fabric逻辑阵列他们无法从网表中推断出任何关于最终功能的信息。这听起来很完美但问题出在“交互”上。一旦芯片上电运行攻击者就获得了与这个eFPGA模块交互的能力——他们可以施加输入信号观察输出响应。像FuncTeller这样的攻击正是利用了这种黑盒交互。它通过系统地、有策略地遍历输入空间寻找能使输出为“真”的最小项然后像拼图一样将这些最小项组合成质蕴涵项最终重构出近似的布尔函数。这个过程本质上是在“测绘”eFPGA内部的功能地形图。SOAR的设计哲学正是针对这种交互式攻击的命门。它承认一个事实在复杂的SoC中完全隔绝攻击者对eFPGA输入输出引脚的访问是极其困难甚至不可能的。因此防御的重点不应是“完全禁止访问”而应是“让访问变得毫无意义”。SOAR引入了两个核心机制来实现这一目标运行时监控与阻断在eFPGA fabric外部部署一个轻量级的监控模块。这个模块不关心数据的具体内容而是专注于分析输入数据的“模式”。例如FuncTeller攻击在遍历输入空间时会产生具有特定规律的汉明距离序列。监控模块就像是一个经验丰富的保安他不检查每个访客的身份证而是观察他们的行为模式——是否在门口反复试探、徘徊一旦发现这种可疑模式立即拉响警报。动态重配置与功能混淆警报拉响后系统不会坐以待毙。SOAR会触发eFPGA的完全重配置加载一个全新的、功能等效但内部实现完全不同的比特流。这相当于瞬间改变了迷宫的内部结构。更妙的是重配置过程会重新映射eFPGA的输入输出引脚。攻击者之前辛辛苦苦测绘的“引脚A对应功能X”的映射关系瞬间失效他们必须从头开始。此外SOAR还会在eFPGA内部插入大量“虚拟”输入和逻辑门。这些虚拟元件不参与实际功能但它们的存在极大地膨胀了攻击者需要探索的输入空间使其搜索复杂度呈指数级增长。2.2 威胁模型与安全假设在深入细节之前我们必须明确SOAR所防御的敌人是谁以及我们的安全边界在哪里。这是任何安全设计的第一步也是最容易出错的一步。SOAR采用了一个相当强的威胁模型与eFPGA隐匿领域的前沿研究保持一致。我们假设攻击者拥有以下能力网表访问攻击者可以获得包含eFPGA fabric的SoC门级网表。他们拥有两个版本一个是没有加载比特流的“锁定”设计另一个是已加载正确比特流、可以正常工作的“功能预言机”。黑盒交互攻击者能够控制和观察eFPGA模块的所有输入输出引脚。他们可以施加任意测试向量并记录对应的输出响应。这是发起FuncTeller等查询式攻击的基础。结构识别攻击者有能力从网表中识别并隔离出eFPGA fabric部分。由于eFPGA fabric具有高度规整和同质化的结构由大量重复的CLB、连接块、开关块组成这在实践中是可行的。同时我们做出以下安全假设这些也是SOAR安全性的基石比特流安全存储与加载我们假设存在一个可信的硬件安全模块来安全地存储和加载比特流。例如比特流可以加密存储在片外Flash中并由芯片内部的硬件信任根在启动时解密和验证。SOAR本身不解决比特流在存储和传输过程中的机密性与完整性保护问题它专注于运行时防御。物理攻击暂不考虑我们假设攻击者无法通过光学探测、电子束探测等物理手段直接读取eFPGA配置存储器的内容。这类攻击属于另一个维度需要不同的防护措施如防篡改封装、传感器网格等。在这个威胁模型下攻击者的终极目标就是恢复出能够正确配置eFPGA、使其实现原始IP功能的比特流。SOAR的所有设计都是为了让这个目标在计算上不可行或在时间上不可接受。2.3 系统级集成与自动化流程一个优秀的安全方案如果集成复杂、需要手动修改大量前端代码其落地难度和引入新风险的概率都会大增。SOAR在设计之初就考虑了这一点它被实现为OpenFPGA平台的一个“即插即用”的后端增强模块。OpenFPGA是一个开源的eFPGA fabric生成框架它能够将用户定义的硬件描述语言代码自动综合、布局布线成可配置的逻辑阵列。SOAR的巧妙之处在于它通过扩展OpenFPGA的工具链将监控模块的插入、虚拟逻辑的添加、看门狗机制的集成等步骤全部自动化。具体流程如下设计输入工程师像往常一样使用Verilog/SystemVerilog编写RTL代码标识出需要保护的关键IP模块。SOAR增强在OpenFPGA的流程中通过一个XML配置文件指定需要添加的虚拟输入数量、类型以及部分看门狗状态机的描述。同使用高层综合工具生成监控模块的硬件描述。自动化生成扩展后的OpenFPGA工具链会接管后续所有工作它调用Yosys进行逻辑综合使用VPR进行布局布线并在这个过程中自动将虚拟逻辑嵌入到eFPGA fabric中将部分看门狗逻辑与目标IP一起映射到可配置逻辑块里并生成最终的比特流。多配置生成为了支持动态重配置工具链会使用不同的随机种子多次运行VPR生成多个功能等效但内部布局布线完全不同的比特流。这些比特流被预先计算并安全地存储在片外Flash中。这个自动化流程的最大好处是对前端设计透明。硬件设计工程师无需为了安全而修改他们的功能代码只需在后台配置文件中指定安全参数。这极大地降低了使用门槛也避免了手动修改可能引入的功能错误。3. 核心机制深度解析3.1 监控与阻断模块的设计与实现监控与阻断模块是SOAR的“眼睛”和“哨兵”。它的设计必须满足几个苛刻的要求低开销、高时效、算法感知。低开销意味着它不能显著增加芯片的面积和功耗高时效要求它必须能实时处理数据流不能成为系统性能瓶颈算法感知则是指它必须针对特定攻击的行为特征进行优化。以防御FuncTeller攻击为例我们来深入看看MB模块是如何工作的。FuncTeller攻击的核心是“质蕴涵项提取”。为了找到一个质蕴涵项攻击算法会从一个“on-set”最小项开始然后依次翻转其中的每个文字变量生成一系列新的测试向量。这个过程会产生一个关键的行为特征连续输入的测试向量之间的汉明距离会呈现出有规律的、重复的模式。例如假设攻击从一个最小项abcd1011开始。为了扩展它它会依次翻转a、b、c、d位生成0011,1111,1001,1010等向量。这些向量与上一个向量之间的汉明距离很可能是1只翻转一位。在寻找下一个最小项时攻击算法通常会使用SAT求解器并施加距离约束倾向于选择与当前质蕴涵项汉明距离最小的候选向量。这会导致在攻击过程中出现大量汉明距离为1或2的连续输入对。MB模块的算法实现正是捕捉这一特征。其伪代码的核心是一个汉明距离跟踪器它持续计算当前输入向量与上一个输入向量之间的汉明距离。维护一个计数器记录相同汉明距离连续出现的次数。当这个次数超过一个预设的阈值时就触发攻击警报。这个阈值不是随便设定的需要基于对正常业务流量和攻击流量的分析进行经验性调优。在SOAR的实验中对于RISC-V处理器的数据通路模块阈值设为20对于寄存器文件控制器阈值设为17。设置过低会导致误报影响系统正常运行设置过高则会给攻击者留出太多时间。在实际部署中这个阈值可以设计为可配置的甚至可以通过机器学习模型动态调整。实操心得阈值设定的艺术确定MB的检测阈值是门技术活。我的经验是首先要收集目标SoC在典型工作负载下的输入向量流统计分析其汉明距离的分布特别是连续相同HD出现的最大长度。这个值可以作为安全基线。然后在仿真环境中对受保护的IP模块运行FuncTeller攻击观察其HD模式。阈值应设置在远高于正常基线但明显低于攻击模式典型值的区间。一个实用的技巧是引入一个“学习模式”让SoC在受控的安全环境下运行一段时间自动建立正常行为的HD模型。3.2 看门狗机制守护监控者自身的安全一个显而易见的攻击思路是既然MB模块是检测机制的核心那么攻击者能否直接绕过、禁用或篡改它呢SOAR通过一个分布式看门狗机制来防御这种“斩首行动”。这个看门狗被巧妙地分割成两部分静态部分集成在SoC的固定逻辑中通常是一个状态机负责维护主计时和状态。动态部分与需要保护的IP一起被映射到eFPGA fabric内部。这两部分通过一个“心跳”信号进行同步。eFPGA内部的动态部分会周期性地例如每N个时钟周期向SoC侧的静态部分发送一个特定的脉冲或序列。SoC侧的看门狗逻辑会检查这个心跳信号是否在预期的时间窗口内到达以及其内容是否正确。如果eFPGA内部的MB逻辑被攻击者通过某种手段瘫痪或篡改导致其无法正常发送心跳信号或者发送了错误的信号SoC侧的看门狗就会检测到异常。一旦异常发生看门狗不会尝试修复——因为这本身可能不可信——而是会立即触发最严厉的响应清空eFPGA的当前配置使其进入一个未定义或安全的状态从而彻底阻断攻击者的任何进一步操作。这种设计确保了即使攻击者部分控制了eFPGA也无法在不惊动整个系统的情况下关闭监控。它增加了攻击的复杂度和成本因为攻击者现在需要同时对付MB模块和看门狗机制。3.3 虚拟输入与逻辑指数级膨胀的攻击面eFPGA fabric通常为了通用性会提供远多于实际IP所需的输入输出引脚。在传统的隐匿方案中这些未使用的引脚是悬空或接固定电平的。攻击者通过分析网表可以相对容易地识别出哪些是“活跃”引脚哪些是“闲置”引脚从而将攻击目标聚焦在活跃引脚上大大缩小了搜索空间。SOAR的第二个杀手锏就是将这些“闲置资源”转化为防御武器。虚拟输入指的是那些被连接到eFPGA内部但不影响核心IP正确功能的输入引脚。它们可能被连接到一些无关紧要的组合逻辑比如一个环形振荡器或者直接通过一个缓冲器连接到某个输出形成一条“直通”但无功能的路径。虚拟逻辑则是在eFPGA内部添加的、不参与实际计算的门电路。这些逻辑的存在使得eFPGA的内部网表变得更加复杂和混乱。它们的防御价值体现在两个方面空间膨胀假设原始IP有n个有效输入。添加m个虚拟输入后攻击者面对的输入空间从2^n膨胀到2^(nm)。对于FuncTeller这类需要遍历或采样输入空间的攻击其所需的查询次数和计算复杂度会呈指数级增长。表格数据显示对于某些RISC-V子模块每增加一个虚拟输入FuncTeller攻击所需的迭代次数就会增加数倍。功能混淆虚拟输入和逻辑会引入大量“伪”on-set最小项。攻击者通过黑盒查询无法区分一个输出为“真”的结果是因为触发了真实功能还是因为满足了某个虚拟输入的组合条件。这会导致攻击者重构出的电路逻辑与原始设计大相径庭功能完全错误。在SOAR的测试中面对集成了虚拟逻辑的防护有超过三分之一的基于SAT的攻击实例即使“成功”解出了一个密钥其对应的功能也是错误的。注意事项虚拟逻辑的设计陷阱添加虚拟逻辑并非越多越好也非随意连接即可。需要避免几个常见陷阱避免引入时序关键路径虚拟逻辑不应被放置在可能影响原始IP关键时序路径的位置。需要在布局布线阶段施加约束。避免形成可观测的旁路虚拟逻辑不应创建一条从输入到输出的、过于简单直接的路径这可能会被攻击者利用作为探测点。理想情况下虚拟逻辑应形成一些带有反馈的小型状态机或无实际能的组合环增加分析难度。功耗与面积权衡虽然虚拟逻辑开销很小但在资源极度受限的设计中仍需谨慎。SOAR的实验表明对于较大的eFPGA阵列如17x17添加虚拟逻辑带来的面积和延迟开销通常可以控制在10%以内这是可以接受的。4. 动态重配置策略与系统集成4.1 重配置的触发与执行流程SOAR的动态性最终体现在“重配置”这一动作上。整个流程是一个闭环的“检测-响应”系统持续监控MB模块在系统总线如AXI上持续嗅探发往和来自eFPGA的数据流实时计算汉明距离等特征。攻击判定当检测到的模式特征如连续相同HD次数超过阈值MB模块断言一个“攻击检测”信号。处理器中断该信号会触发RISC-V等主处理器的一个高优先级中断。处理器中断当前任务执行安全响应例程。随机选择新配置处理器从存储在安全Flash中的多个预先生成的比特流中随机选择一个。随机性在这里至关重要它确保了攻击者无法预测下一次会切换到哪个配置。发起重配置处理器通过配置接口如ICAP、PCAP或自定义配置总线向eFPGA控制器发起重配置命令加载新的比特流。引脚重映射新的比特流不仅改变了内部逻辑功能也重新定义了eFPGA外部IO引脚与内部逻辑之间的映射关系。这是通过可配置的多路复用器实现的。虽然物理走线是固定的但逻辑连接关系已经改变。恢复运行重配置完成后处理器清除中断系统恢复正常运行。对于攻击者而言他们之前建立的所有输入输出映射关系和部分功能模型瞬间失效必须从头开始。整个过程的延迟主要来自比特流加载时间。对于中等规模的eFPGA在片外Flash存储、通过SPI接口加载的情况下重配置时间可能在毫秒级。这对于需要连续运行的系统来说是一个中断但考虑到攻击探测和重构通常需要数小时甚至数天这个中断成本是完全可以接受的。4.2 比特流池的管理与存储动态重配置的基石是拥有一个多样化的比特流池。这些比特流必须满足两个条件1) 功能等效即都能正确实现被保护IP的原始功能2) 结构迥异即内部布局布线、逻辑映射、引脚分配尽可能不同。如何生成多样化的比特流SOAR利用OpenFPGA工具链中的VPR布局布线器通过改变初始随机种子来生成不同的实现方案。VPR的算法具有随机性不同的种子会导致完全不同的布局布线结果从而生成结构上差异巨大的比特流尽管它们描述的是同一个逻辑功能。需要存储多少比特流这取决于可用存储空间和安全性需求。论文中评估了一个典型的场景使用16Mb的片外SPI Flash其中约14Mb可用于存储比特流。对于一个较大的17x17 eFPGA fabric其比特流大小约为92.3KB。那么可以存储的比特流数量约为14Mb / 92.3KB ≈ 155个。对于较小的2x2 fabric比特流更小可存储的数量超过1400个。这是一个非常充裕的池子。存储与选择策略安全存储比特流池应加密存储在非易失性存储器中。加载时由芯片内的硬件信任根进行解密和验证。随机选择每次重配置时应从池中均匀随机地选取一个比特流。可以使用一个真随机数发生器作为熵源。耗尽策略理论上攻击者如果有无穷的时间和资源可以遍历所有比特流。但在实践中拥有上百个候选且每次检测到攻击就切换使得攻击者的努力很难积累。也可以设计更复杂的策略如避免在短时间内重复使用同一个比特流。4.3 与SoC的集成AXI总线与软硬件协同将eFPGA集成到现代SoC中总线选择是关键。SOAR采用了AXI总线作为eFPGA与SoC其他部分如处理器核心、内存、外设的互联标准。AXI的高性能、广泛支持和分层结构非常适合这种场景。具体集成方式如图3所示模块解耦将需要保护的IP模块从原始设计中“剪切”出来。AXI接口封装为该IP模块创建一个AXI从设备接口包装器。这个包装器将IP的原始信号转换为AXI读写事务。总线互联通过一个AXI互连开关将eFPGA现在内部运行着被保护的IP作为一个从设备挂载到系统总线上。处理器访问RISC-V等主处理器通过AXI主端口像访问普通内存映射设备一样访问被保护的IP功能。这种集成方式带来了几个好处软件透明运行在处理器上的软件无需知道IP是在硬核中还是在eFPGA中它通过相同的内存地址进行访问。易于监控MB模块可以作为一个轻量级的AXI监听器挂载在总线上观察所有流向eFPGA的数据事务而无需侵入性地修改数据路径。配置管理处理器可以通过另一个AXI端口或专用的配置总线如APB来控制和触发eFPGA的重配置过程实现软硬件协同的安全响应。5. 评估、开销与实战考量5.1 硬件开销量化分析任何安全增强都会带来开销关键在于是否在可接受的范围内。SOAR的开销主要来自三部分MB监控模块、看门狗状态机、以及eFPGA内部的虚拟逻辑。根据论文中的实验数据基于Skywater 130nm工艺综合MB模块开销对于一个完整的RISC-V SoC子系统添加针对FuncTeller攻击的HD监控器及看门狗带来的面积开销小于4%功耗增加约9.5%对关键路径延迟的影响可以忽略不计。这是一个非常轻量级的代价。虚拟逻辑开销这是开销的大头但依然可控。以保护一个RISC-V数据通路模块使用17x17 eFPGA为例添加虚拟逻辑后面积eFPGA fabric本身的面积会有小幅增加主要来自布线资源的额外占用而可配置逻辑块本身的面积基本不变。延迟关键路径延迟的增加通常低于10%。这是因为虚拟逻辑主要添加在非关键路径上或者其引入的额外逻辑深度被工具链优化。比特流大小由于虚拟逻辑也需要被配置比特流大小会有轻微增长但相对于Flash的总容量来说微不足道。表格不同规模eFPGA fabric在集成SOAR机制前后的开销对比示例eFPGA 规模场景面积 (等效门数)关键路径延迟 (ns)比特流大小 (KB)5x5基线 (仅隐匿)45,2002.112.55x5SOAR (含虚拟逻辑)47,800 (5.8%)2.3 (9.5%)13.1 (4.8%)17x17基线 (仅隐匿)312,0005.892.317x17SOAR (含虚拟逻辑)328,000 (5.1%)6.2 (6.9%)96.5 (4.5%)实操心得开销优化的几个方向监控模块定制化MB模块的检测算法可以根据目标IP的输入位宽进行优化。对于宽位输入可以并行计算多个位的汉明距离或者采用采样监控而非全量监控以节省面积。虚拟逻辑选择性插入不是所有未使用的CLB和引脚都需要添加虚拟逻辑。可以通过分析工具选择那些对时序影响最小、但对增加布线复杂性贡献最大的位置进行插入。部分重配置探索目前SOAR采用完全重配置。如果eFPGA支持部分重配置可以只重配置被攻击行为“探测”到的那个逻辑区域这能大幅减少重配置时间和比特流存储空间。这是未来一个重要的优化方向。5.2 安全有效性评估安全不是纸上谈兵需要用数据说话。SOAR论文通过大量仿真实验验证了其有效性对FuncTeller攻击的防御在235次独立的攻击仿真中MB模块100%成功在攻击执行的早期阶段前20%的查询内检测到了攻击行为。在检测发生时攻击者平均只提取到了不到6%的目标功能信息。这意味着攻击在刚起步时就被扼杀。由虚拟逻辑引入的复杂性如表6所示随着虚拟输入数量的增加FuncTeller攻击成功所需的查询次数呈指数级增长。对于一个有8个真实输入的模块添加5个虚拟输入后攻击所需迭代次数从数千次激增到数十万次使得攻击在计算上变得不可行。对SAT类攻击的韧性即使攻击者试图使用基于循环简化的SAT攻击来破解eFPGA的循环结构SOAR仍然表现出色。在长达48小时的攻击超时测试中有36%的案例SAT求解器虽然返回了一个“密钥”但由此配置出的电路功能是错误的。这正是虚拟逻辑导致功能混淆的直接证据。5.3 常见问题与实战排查指南在实际部署SOAR或类似动态防护架构时你可能会遇到以下问题问题1误报率过高频繁触发重配置影响系统可用性。排查首先检查MB模块的检测阈值是否设置过低。收集系统在最大负载、最复杂业务场景下的输入向量流重新分析HD分布。某些特定的软件算法或数据传输模式可能会产生有规律的HD序列。解决调整阈值至一个更保守的值。或者实现更复杂的检测算法不仅看连续HD还结合输入向量的熵值、访问频率等多维度特征进行综合判断。也可以引入一个“白名单”机制将已知的正常业务模式排除在检测之外。问题2重配置期间系统服务中断时间过长。排查测量从攻击检测到重配置完成、功能恢复的总时间。瓶颈通常在于a) 比特流从Flash读取的速度b) 配置接口的带宽c) eFPGA内部配置存储器的写入速度。解决使用更快的片外存储器如MRAM或考虑将常用比特流缓存于片内SRAM。优化配置接口采用更宽的总线或DMA传输。如前所述探索部分重配置只更新部分逻辑这能极大缩短时间。设计“热备份”区域在重配置一个eFPGA区域时系统可短暂切换到另一个已预配置好的备份区域如果面积允许。问题3虚拟逻辑意外影响了系统功能或时序。排查进行全面的带虚拟逻辑的时序仿真和形式验证。检查虚拟逻辑是否被意外地综合到了关键路径上或者是否引入了新的组合环路。解决在综合和布局布线阶段对原始IP的关键路径和虚拟逻辑区域施加严格的位置约束和时序约束。确保虚拟逻辑被放置在远离关键路径的区域。使用形式验证工具证明添加虚拟逻辑后原始IP的功能在所有输入条件下保持不变。问题4比特流池管理复杂如何确保比特流之间的差异性足够大排查分析生成的多个比特流检查它们在布局布线上的相似度。如果所有比特流都高度相似那么重配置的防御效果会大打折扣。解决除了改变VPR的随机种子还可以尝试对原始RTL代码进行语义等价但结构不同的转换如逻辑重写、寄存器重定时再分别生成比特流。在OpenFPGA架构定义文件中微调CLB的结构或布线资源生成略有不同的eFPGA底层架构再分别进行映射。开发一个简单的分析脚本计算不同比特流对应的eFPGA配置位的差异率确保它们低于某个阈值例如差异率30%才被纳入池中。SOAR架构代表了一种硬件安全设计思维的进化从静态的、被动的隐藏转向动态的、主动的对抗。它将eFPGA从“秘密的棺材”变成了“会变形的盾牌”。通过轻量级监控、动态重配置和智能混淆的有机结合它为面临严峻供应链安全挑战的SoC设计者提供了一个强有力的新工具。当然没有银弹SOAR也需要根据具体应用场景进行细致的调优和集成。但毫无疑问它为我们指明了一条通往更弹性、更智能的硬件IP保护之路。在实际项目中引入此类技术时我的体会是安全必须与架构设计早期绑定并与验证流程深度融合才能以可接受的成本构筑起真正可靠的防线。