AES-DLC逻辑锁定：为DSP IP核打造抗SAT攻击的硬件安全防线-编程实验室

1. 项目概述：当DSP IP核遇上“逻辑锁”

在芯片设计领域，尤其是消费电子和通信设备中，数字信号处理器（DSP）IP核因其高性能和可重用性，成为了众多SoC设计的核心模块。然而，这也使其成为了硬件安全攻击的“高价值目标”。想象一下，你花费数年心血研发的、用于下一代图像处理或5G基带的DSP核心，被竞争对手轻易复制、篡改甚至植入后门，这不仅是巨大的经济损失，更可能引发严重的安全信任危机。传统的软件加密手段在硬件层面往往力不从心，因为一旦芯片流片，内部的电路结构就固化了。这时，“逻辑锁定”技术便应运而生，它就像给芯片的“大脑”加上了一把精密的物理锁。

逻辑锁定，本质上是一种硬件混淆与加密技术。它的核心思想并非将整个设计变成黑盒，而是在设计的关键数据通路或控制逻辑中，巧妙地插入一系列受密钥控制的特殊逻辑单元。只有当你输入正确的密钥时，这些单元才会表现出预期的功能，整个电路才能正常工作；否则，电路输出将是混乱或无意义的。这就像给你的家门装了一套复杂的机械锁芯，只有原配钥匙能打开，暴力拆解或尝试错误的钥匙只会损坏锁芯本身。本文探讨的，正是一种结合了高级加密标准（AES）与动态逻辑单元（DLC）结构的增强型逻辑锁定方案。它不仅仅满足于“加把锁”，更致力于打造一把能抵御“万能钥匙”（如SAT攻击）和“暴力拆除”（移除攻击）的超级锁，旨在为可重用的DSP IP核提供从设计到流片的全周期、高鲁棒性安全防护。

2. 核心安全威胁与逻辑锁定的挑战

在深入技术细节前，我们必须先理解对手是谁，以及传统方案为何会“失守”。硬件IP面临的安全威胁是多维度的，逻辑锁定技术正是在与这些威胁的攻防对抗中不断演进。

2.1 主要攻击模型剖析

IP盗版与非法超量生产：这是最直接的商业威胁。攻击者通过逆向工程获取网表或GDSII文件后，直接进行非法复制和生产，或者将IP核集成到自己的产品中而不支付授权费用。
硬件木马插入：攻击者在获取设计后，可能在电路中植入恶意电路（硬件木马）。这些木马平时潜伏，在特定条件下被触发，可能导致功能错误、信息泄露甚至物理损坏。要有效插入木马，攻击者必须深刻理解电路的功能和结构，而逻辑锁定的混淆特性正是为了增加这种理解的难度。
逆向工程：攻击者使用延迟层析、电路提取等技术，试图从物理芯片反推出门级网表甚至RTL代码，从而完全掌握设计知识产权。
针对逻辑锁定本身的攻击：这是攻防的前沿阵地，主要包括：
- SAT攻击：这是当前对逻辑锁定最具威胁的攻击之一。攻击者通过获取一个“激活”的芯片（即已知正确密钥和对应输入/输出关系的芯片），利用布尔可满足性（SAT）求解器，通过反复查询和排除，逐步缩小密钥搜索空间，最终破解密钥。传统逻辑锁定的一个致命弱点是，攻击者可以通过对比正确和错误密钥下的输出差异，来逐步排除错误密钥。
- 移除攻击：如果攻击者能识别出设计中用于逻辑锁定的特殊单元（即锁存单元），并成功将其从网表中移除或旁路，那么整个锁定机制就失效了。这要求锁定结构本身具有隐蔽性和与周围电路的融合性。

2.2 传统逻辑锁定的阿喀琉斯之踵

早期的逻辑锁定方案，如在电路中插入简单的XOR/XNOR门或MUX单元，其密钥直接以明文形式输入。这类方案在面对SAT攻击时异常脆弱。因为SAT求解器可以高效地利用输入/输出对，通过逻辑推理剔除大量无效密钥组合。此外，这些锁定单元结构简单，在综合后的网表中相对容易被模式识别工具定位并移除。

因此，一个强大的逻辑锁定方案必须同时解决两个核心问题：第一，如何让密钥的验证过程变得对SAT求解器“不友好”；第二，如何让锁定单元本身“隐形”于整个设计中，难以被识别和移除。本文提出的AES-DLC方案，正是从这两个痛点出发，构建的一套系统性防御体系。

3. AES-DLC方案的整体架构与设计思路

我们的目标不是发明一种全新的锁，而是构建一个更安全的“锁具系统”。这个系统由两大核心部件协同工作：一个负责生成不可预测的“锁芯编码”（密钥），另一个负责实现具有自毁机制的“锁芯结构”（DLC）。

3.1 系统级工作流程

整个方案的流程可以类比为一个高度安全的物理门禁系统：

设计阶段（锁具制造）：设计师在DSP IP核的RTL代码中，选择关键节点插入一种名为“动态逻辑单元”的特殊结构。同时，将一个经过定制的AES-128加密模块集成到设计中。
密钥生成（锁芯编码）：设计师设定一个固定的AES主密钥。对于每一个需要插入的DLC，其所需的解锁密钥（例如2比特）并非直接由设计师指定，而是由AES模块对一个特定输入（如设计序列号或随机数）进行加密后的输出片段所决定。这意味着，解锁密钥是加密生成的，且与AES的主密钥和输入强绑定。
综合与实现（锁具安装与伪装）：将集成了DLC和AES模块的完整设计一起进行逻辑综合与物理实现。在综合优化过程中，DLC内部的逻辑门和触发器会与DSP核心及AES模块中固有的逻辑资源相互融合、映射，使得在最终的网表中，DLC的边界变得模糊，难以被区分。
使用阶段（开锁）：当芯片上电工作时，需要从外部输入正确的、与内部AES加密结果相匹配的密钥序列。只有密钥完全正确，所有DLC才会被正确配置，DSP功能才正常。否则，输出错误。

3.2 为何选择AES与DLC的组合？

这个选择背后有深刻的工程考量：

AES的角色：密钥的“熔炉”与保护层
- 不可逆性：AES是一个强大的加密标准，其过程在不知道主密钥的情况下是计算上不可逆的。攻击者即使探测到AES的输出比特（即DLC的密钥），也无法倒推出AES的输入或主密钥，从而无法通过分析密钥模式来推断锁定策略。
- 密钥派生：它将设计师手中的一个固定主密钥，“扩散”成大量、看似随机的DLC子密钥，极大地增加了密钥空间的复杂性和关联性。攻击者无法独立猜测单个DLC的密钥。
- 定制化：方案中强调使用“定制设计的AES架构”，而非公开的标准IP。这增加了移除攻击的难度，因为攻击者无法用已知的标准AES网表进行精确匹配。
DLC的角色：具有状态记忆的“智能锁芯”DLC与传统静态锁定单元（如密钥控制的MUX）的根本区别在于，DLC是一个具有内部状态的时序单元。它通常包含组合逻辑和边沿触发的D触发器。其关键特性在于：
- 状态依赖：DLC的输出不仅取决于当前输入的密钥比特，还可能取决于其内部触发器的历史状态。
- 错误密钥惩罚机制（抗SAT核心）：这是最精妙的设计。如果攻击者首次施加了错误的密钥，即使后续立刻施加正确的密钥，DLC也可能因为内部状态被错误地改变而永远无法恢复到正确的输出。这就像一把锁，如果用错误的钥匙强行拧过，锁芯内部结构会卡死，即使后来找到原配钥匙也无法打开。这一特性直��破坏了SAT攻击的基础——通过对比正确/错误输出以排除密钥的能力。因为一旦首次尝试错误，后续就再也得不到“正确输出”来做对比了。

4. 动态逻辑单元（DLC）的详细结构与抗攻击原理

DLC是防御的第一线，其结构设计直接决定了锁的坚固程度。我们深入其内部，看看它如何实现“一次错，终身错”的防御机制。

4.1 DLC的基本结构剖析

一个典型的DLC可能包含以下部分（具体电路结构因实现而异，但原理相通）：

密钥输入端口：接收来自AES模块的加密密钥比特（例如2位）。
数据输入/输出端口：嵌入在DSP的数据通路中，承载实际信号。
内部状态单元：通常由一个或多个D触发器构成，用于记忆DLC的“健康状况”。
配置逻辑：一组由密钥控制的多路选择器（MUX）和逻辑门，它们决定了数据通路如何连接，以及内部状态如何更新。

其工作模式可以简化为两种：

正确密钥模式：密钥匹配，DLC像一个透明的缓冲区或一个简单的逻辑门，让数据无损通过，并且内部状态维持在一个“正常”态。
错误密钥模式：密钥不匹配，DLC可能将数据通路导向一个错误路径（如固定为0/1，或与无关信号异或），同时，内部状态触发器会被驱动到一个“锁定”或“错误”状态。

4.2 抗SAT攻击的数学与电路解释

SAT攻击之所以强大，是因为它能将逻辑锁定问题转化为布尔可满足性问题，并利用“区分输入对”来快速排除密钥。假设一个锁定电路有k个密钥比特，理论上需要尝试 2^k 次。但SAT攻击可以利用输入输出对，将搜索空间指数级缩小。

DLC通过引入“状态”打破了这一模型。我们设：

K_c为正确密钥。
K_w为某个错误密钥。
S0为DLC的初始正确状态。
F(K, S, I)表示在密钥K、状态S、输入I下的输出O和新状态S‘。

对于传统静态锁定单元，有：F(K_w, S0, I) != O_c，但F(K_c, S0, I) = O_c。SAT求解器可以利用这个不等式来排除K_w。

而对于本文的DLC，其关键特性在于：

首次施加K_w：F(K_w, S0, I) = O_w，且新状态S1 = G(K_w, S0) != S0（状态被改变）。
随后即使施加K_c：F(K_c, S1, I) != O_c。因为状态S1已不是初始正确状态S0。

这意味着，对于同一个输入I，错误密钥K_w和正确密钥K_c可能产生相同的错误输出（都不是正确的O_c）。SAT求解器因此无法利用(I, O_c)这个“正确对”来区分K_w和K_c，因为两者在非初始状态下都得不到O_c。攻击者必须第一次就猜中所有DLC的正确密钥，这个概率极低，使得SAT攻击在计算上变得不可行。

注意：DLC的具体电路实现需要精心设计，确保状态转换函数G是单向或至少是难以逆向的，并且错误密钥导致的状态迁移是持久性的，无法通过简单的复位信号恢复（除非是全局上电复位）。

4.3 抗移除攻击的伪装策略

即使攻击者理论上知道DLC的存在，要在数百万甚至数千万个标准单元构成的网表中精准定位并移除它们，也极其困难。本方案从三个层面设置了障碍：

结构随机化：DLC的内部结构（使用了哪些逻辑门，如何连接）是由AES的加密输出动态配置的。这意味着，对于不同的设计或不同的AES输入，生成的DLC电路结构是不同的。攻击者无法拥有一个通用的“DLC模板库”来进行模式匹配。
综合后混淆：在逻辑综合阶段，DLC、DSP核心逻辑、AES模块的电路被一起优化。综合工具为了满足时序和面积约束，会对逻辑进行重组、合并。DLC中的某个与非门（NAND）可能和邻近的DSP逻辑中的一个与非门合并；DLC中的D触发器也可能和设计中的寄存器文件在物理布局上难以区分。这种“你中有我，我中有你”的融合，使得从网表中剥离DLC如同从融合的合金中分离出特定金属一样困难。
位置随机化：DLC插入的位置由设计师通过一个私有变量μ及其编码规则决定。攻击者不知道μ，就无法知道在庞大的网表中，究竟哪些节点被“动了手脚”，更不知道插入了多少个DLC。这迫使攻击者必须分析整个网表，成本极高。

5. 方案实现、评估与对比分析

理论再完美，也需要实际的实验数据来验证。我们基于15nm工艺库，对多个32位DSP基准电路（如FIR滤波器、DWT变换器等）进行了实现和评估，并与前人的优秀工作进行了对比。

5.1 安全性评估：攻击时间与密钥概率

安全性最直观的度量，一是攻击者暴力破解所需的时间，二是在穷举尝试中找到正确密钥的概率。

找到正确密钥的概率：对于有n个DLC，每个DLC密钥为m比特的方案，传统方法的密钥空间是2^(n*m)，但受SAT攻击影响，有效搜索空间会大幅缩减。而本方案由于DLC的抗SAT特性，攻击者只有第一次尝试的机会。假设密钥总长度为L比特，那么首次尝试即命中正确密钥的概率P_ck仅为1/(2^L)。在我们的实验中，这个概率最低达到了惊人的2.9 × 10^(-39)，这几乎是一个天文数字级别的安全强度。
攻击时间估算：假设攻击者拥有一个强大的硬件，每秒可以尝试10亿个密钥。对于传统方案，由于其密钥可能被SAT攻击破解，攻击时间可能是几天或几个月。而对于本方案，由于穷举攻击无效，攻击者只能依赖首次猜测。以P_ck = 2.9E-39计算，其期望攻击时间远远超过宇宙年龄，在工程上可视为“无限长”。下表对比了与两种典型前作的安全性：

评估指标	前作 [4]	前作 [8]	本方案 (AES-DLC)
理论密钥空间	较大	大	大
抗SAT攻击能力	弱	中等	强
找到正确密钥的概率 (P_ck)	较高	中等	极低 (最低~2.9E-39)
估算攻击时间	有限（数天至数年）	有限（更长）	接近无限

5.2 加密强度与面积开销分析

安全性的提升不能以过高的硬件成本为代价，否则将失去实用性。

加密强度：我们定义加密强度为“受一个AES-128模块加密的密钥比特占总密钥比特的百分比”。由于我们的方案通过AES派生多个DLC密钥，且DLC本身密钥位数需求较低（如2比特/输出），而AES一次加密可产生128位输出，因此单个AES模块可以保护非常多的密钥比特，加密强度远高于那些需要大量独立密钥输入或使用简单加密的前作。
面积开销：面积开销主要体现在增加的逻辑门和触发器数量上。实验数据显示：
- 与非门数量：相较于前作[4]和[8]，本方案的平均与非门数量分别减少了约25.8%和1.9%。这是因为DLC结构相对精简，且AES模块是共享的。
- D触发器数量：由于DLC内部引入了状态触发器，本方案的D触发器数量有所增加，这是实现抗SAT特性必须付出的代价。
- 总面积：综合来看，整体资源消耗（门+触发器）实现了净减少。这意味着本方案在显著提升安全性的同时，实��了更低的面积开销。这对于对芯片成本和功耗极其敏感的消费电子领域至关重要。

实操心得：在评估面积时，一定要使用目标工艺库进行综合，并查看综合后的实际门级网表统计。仅仅比较RTL代码的行数或抽象单元数是不可靠的。同时，需要将AES模块的面积分摊到它所保护的所有DLC上，才能公平地评估整体开销。

5.3 对其它攻击的防御能力

IP盗版与超量生产：没有正确密钥，锁定的IP核无法正常工作，盗版芯片就是一堆废硅。即使攻击者进行超量生产，也无法使用。
硬件木马插入：插入有效的木马需要对电路功能有清晰理解。逻辑锁定严重模糊了电路的功能，使得攻击者难以找到安全、隐蔽且能按预期触发的插入点，大大增加了木马插入的难度和风险。
逆向工程：即使攻击者通过物理手段逆向出了网表，得到的也是一个被锁定的、功能混乱的电路。没有密钥，逆向出的网图毫无实用价值。

6. 工程实践中的关键考量与避坑指南

将AES-DLC逻辑锁定方案投入实际芯片设计流程，会面临一些具体的工程挑战。以下是我在研究和实践中总结的一些要点。

6.1 DLC的插入策略与自动化工具

手动在RTL中插入DLC是繁琐且易错的。需要一个自动化脚本或工具来完成：

关键节点选取：并非所有节点都适合插入DLC。优先选择：
- 数据通路的关键计算节点：如乘法器、加法器的输出，这些地方信号变化丰富，混淆效果好。
- 控制逻辑的决策点：如状态机跳转条件、多路选择器的选择信号。锁定这里可以彻底改变系统行为。
- 避免时序关键路径：在建立时间和保持时间非常紧张的路径上插入额外逻辑，可能导致时序违例，需要后续大量优化。
插入算法：需要开发算法，根据设计师指定的密度（μ），自动在选定的节点插入DLC实例，并生成对应的、与AES输出相连的密钥连线网表。
与综合流程集成：插入DLC的步骤最好能集成到标准的RTL综合流程（如使用Synopsys Design Compiler的Tcl脚本）中，作为一个可选的“安全加固”步骤。

6.2 AES模块的定制与轻量化

标准AES-128硬件实现面积较大。在资源受限的DSP核中，需要权衡安全性与开销。

定制化：可以采用轮数减少的AES变体（如AES-128/10轮是标准，可考虑研究更少轮数但针对此场景仍安全的版本），或者使用面积更小的S盒实现。
共享与复用：一个AES模块可以为整个IP核中所有的DLC提供密钥派生服务。需要设计一个简单的控制逻辑，按需为不同的DLC输出加密后的密钥片段。
防侧信道攻击：如果芯片面临物理攻击威胁，AES模块本身需要具备抗功耗分析、电磁分析等侧信道攻击的能力，这可能会进一步增加面积。需要根据安全等级要求进行取舍。

6.3 测试与验证的复杂性

锁定后的电路给芯片测试带来了挑战。

制造测试：如何在不知道正确密钥的情况下，测试芯片制造是否存在缺陷？解决方案是采用“测试模式”。可以设计一个旁路机制，当输入一个特定的测试密钥时，DLC被配置为直通模式（或已知的测试模式），以便进行扫描链测试、内存BIST等。这个测试密钥必须与功能密钥完全独立，并在测试后确保无法被访问。
功能验证：对锁定后的设计进行仿真验证时，需要同时提供测试向量和正确的密钥。验证环境需要集成密钥加载机制。建议使用脚本自动化这一过程，生成带密钥的测试用例。
形式验证：需要证明锁定后的电路在输入正确密钥时，功能与原始电路等价；而在输入错误密钥时，输出与原始电路不匹配。这需要用到等价性检查工具，并可能需要为DLC建立特定的验证模型。

6.4 密钥管理与交付

密钥的安全管理是整个链条的最后一环，也是薄弱环节。

密钥存储：正确密钥需要安全地存储在芯片的非易失性存储器（如eFuse，PUF）中，并在上电时安全加载到密钥寄存器。存储和加载过程应防止物理探测和读取。
密钥交付：IP提供商如何将密钥安全交付给芯片制造商（Foundry）进行芯片编程？这通常需要建立一套基于硬件安全模块和加密通信的信任体系。
多密钥与分片：对于更复杂的场景，可以考虑使用多个密钥或密钥分片技术，进一步增加攻击难度。

7. 常见问题与排查技巧实录

在实际操作中，你可能会遇到以下典型问题。这里记录了我的排查思路和解决方法。

问题1：综合后时序违例严重，无法满足时钟频率要求。

排查：首先使用静态时序分析工具报告违例路径。很可能是因为DLC插入了某些高速路径。
解决：
1. 回溯RTL插入点：检查违例路径上的DLC，考虑将其移动到前级驱动能力更强的节点，或后级负载更轻的节点。
2. 调整DLC内部结构：简化DLC内部的组合逻辑，例如减少MUX的级数，或使用更快的逻辑门实现。
3. 综合约束优化：对包含DLC的模块或路径设置更宽松的时序约束（如果系统允许），或进行路径分组优化。
4. 迭代插入：采用“插入-综合-分析-调整”的迭代流程，而不是一次性插入所有DLC。

问题2：面积开销比预期大很多。

排查：使用综合报告，查看面积贡献最大的模块。通常是AES模块或某些DLC集群。
解决：
1. 分析AES面积：考虑替换为更轻量级的加密模块（如PRESENT， SIMON）或定制的伪随机数发生器，但需重新评估安全性。
2. 优化DLC密度：降低插入密度（μ）。通过安全-面积权衡分析，找到满足安全要求下的最小密度。
3. 共享逻辑：检查多个DLC中是否有可以共享的子逻辑，在RTL插入阶段进行优化。

问题3：形式验证无法证明锁定后电路与原始电路在正确密钥下等价。

排查：检查形式验证工具的报告，看反例是在什么输入和密钥条件下产生的。很可能是因为DLC的状态机模型在验证环境中没有被正确初始化或复位。
解决：
1. 确保全局复位：验证时，必须对包括DLC内部状态寄存器在内的所有触发器施加一个全局复位信号，使其进入已知的初始状态。
2. 提供正确的密钥序列：验证工具需要知道在复位后，施加的是正确的、且与AES输出匹配的密钥。需要编写正确的断言和约束。
3. 检查验证模型：为DLC编写一个简化的、行为级的验证模型，替代复杂的门级网表，可能有助于工具进行推理。

问题4：担心AES模块本身成为移除攻击的目标。

排查：这是合理的担忧。攻击者可能尝试在网表中识别并移除AES模块。
解决：
1. 深度混淆：如前所述，使用定制化、非标准的AES实现，增加识别难度。
2. 逻辑融合：将AES计算的一部分逻辑与DSP核的某些计算单元（如查找表、算术逻辑）在综合时进行融合。
3. 分布式实现：不采用一个集中的AES模块，而是将其功能拆分成多个小的、分布式的逻辑块，散布在整个设计中，但这会大幅增加设计复杂度。

逻辑锁定技术，特别是像AES-DLC这样的增强型方案，为硬件IP保护提供了一个强有力的主动防御手段。它从“让攻击者看不懂”（混淆）和“让攻击者改不了”（锁定）两个维度构建防线。然而，没有任何安全方案是银弹。在实际应用中，它需要与物理不可克隆函数、传感器、主动防护等其它硬件安全技术相结合，形成纵深防御体系。同时，安全性与面积、功耗、性能的权衡将是一个永恒的课题。对我而言，设计这样的安全电路，就像在微观世界里构筑一座城堡，既要让城堡坚固到足以抵御各种奇袭，又要确保住在里面的“功能”居民生活便捷。每一次对DLC结构的微调，每一次对AES模块的裁剪，都是在寻找那个精妙的平衡点。这个过程充满挑战，但看到自己设计的“锁”能够真正守护创新的价值，那种满足感是无可替代的。如果你也正在为你的IP寻找铠甲，不妨从理解这些基础的锁与钥匙的原理开始，逐步构建起属于自己的硬件安全防线。