Xilinx FPGA烧写文件加密方法

作者： East FPGA那点事儿

Xilinx公司所有FPGA都采用外部Flash存储bit流文件，通常是未经加密的二进制代码—所以直接读取Flash中的数据即可获取bit流文件，并可随意复制产品。在知识产权越受重视的今天，我们需要对bit流文件进行加密以防止非法窃取知识产权。

Xilinx公司针对该需求推出了加密方案，在FPGA内集成了AES解密引擎。IES或Vivado在生成ROM文件时使用指定的秘钥将文件加密，将经过加密的ROM文件烧写到Flash中；另外，将相同的秘钥也存放在FPGA中；当FPGA加载Flash中的bit流文件时，使用AES解密引擎恢复出原始bit流实现加载。

经过加密后，他人虽可读取Flash中的数据，但如果没有秘钥则无法破解bit流文件。复制的文件在FPGA加载时AES解密引擎无法恢复出原始bit流，不能完成加载，实现了保护功能。

哪些FPGA支持bit流加密？ 7系列所有FPGA、Virtex-6系列所有FPGA、Spartan-6系列部分FPGA、以及新推出的UltraScale系列FPGA都支持AES加密功能（较老的FPGA有部分支持）。

怎样加密bit流文件？ IES或Vivado加密bit流的步骤大同小异： 1. 在软件中打开加密功能，并设置好秘钥等参数； 2.重新生成ROM文件（MCS、bin等格式），方式与以前相同； 3. 烧写秘钥文件； 4. 烧写Flash，方式与以前相同。

怎样设置加密功能？

以Vivado为例，设置加密功能的方式有多种，下面介绍其中两种：

第一种是在软件中直接设置，步骤如下： 1.先综合一次，可不生成bit文件，到这一步即可：

2.打开bit流设置选项，选择高级设置：

3.使能加密功能：

4.选择FPGA中秘钥存储方式：

5.手动输入秘钥或指定秘钥文件：

6.点“ok”完成设置，此时软件会在xdc文件中插入加密设置代码。

第二种方式是直接在xdc文件中输入加密设置代码，例如： set_propertyBITSTREAM.ENCRYPTION.ENCRYPT YES [current_design] set_propertyBITSTREAM.ENCRYPTION.ENCRYPTKEYSELECT EFUSE [current_design] set_propertyBITSTREAM.ENCRYPTION.KEY0 256'hF20B [current_design]

注意：这里需要xilinx 官方的USB JTAG来进行烧写，盗版的失效！

DNA加密 AES是一种通用加密算法，但应用上很多小器件还是不支持的，例如Spartan6 LX9； 如果工程师使用了这些器件，则需要通过DNA加密的方法。DNA顾名思义，类似一种特殊的芯片识别码使用Impact 工具 很容易读取每个芯片的DNA Code：

生产流程如下： A. 读取FPGA DNA，经过运算的密文烧写到FPGA的BRAM初始化文件； B. 固定BRAM的位置； C. FPGA上电后读取目前芯片的DNA，经过算法计算后验证；同BRAM中存取的合法DNA运算结果比对，合法后工作正常，否则程序功能失效。