防止出現故障時可編程晶片上部件之間的信息洩漏的製作方法

2023-05-09 15:28:26 1

專利名稱：防止出現故障時可編程晶片上部件之間的信息洩漏的製作方法
技術領域：
本公開涉及將不同的智慧財產權(IP)部件分隔以防止信息洩漏。
背景技術：
器件設計者通常在同一晶片上實現諸如加密部件之類的安全部件以及諸如射頻部件之類的非安全部件。安全與非安全部件之間的信息交換被小心地控制。通過隔離安全部件，減小了從單個晶片上一類部件至另一類部件的無意的信息洩漏的可能性，即使當出現潛在的片上故障時。片上故障可能是硬故障或軟故障。軟故障的示例是單事件翻轉(SEU)，而硬故障的示例是導體之間的物理短路。一個目標在於即使在出現硬故障和軟故障時也維持部件分隔。現有的電子設計自動化(EDA)工具要求用戶通過小心的布圖來隔離安全部件。用戶明確地指定晶片上每個信號可以布線的位置。然而，布圖具有重大限制。因此，理想的是提供用於防止出現故障時信息洩漏的改進方案。


通過參考結合附圖的以下說明可以最佳地理解本公開，附圖示出了本發明的一些特定實施例。圖I是具有安全和非安全區域的可編程晶片的圖示表示。圖2A至圖2M是示出了部件之間的沿著合法和非法路徑的信息交換的圖示表示。圖3是示出了後續信號路徑可以使得先前信號路徑非法的示例的圖示表示。圖4A和圖4B是具有和不具有布線接口的布圖示例。圖5A和圖5B是合法和非法跳躍的不例。圖6是示出了用於實現可編程晶片的技術的圖示表示。圖7是描繪了計算機系統的圖示表示。
具體實施例方式現在將對包括由發明人構思的用於執行本發明的最佳模式的本發明的一些特定示例進行詳細參考。在附圖中示出了這些特定實施例的示例。儘管結合這些特定實施例描述了本發明，但是可以理解並不旨在將本發明限定在所述實施例。相反地，旨在覆蓋可以由所附權利要求限定的本發明的精神和範圍內包括的替代、修改以及等同方案。例如，將在特定種類器件的上下文中描述本發明的技術和方案。但是應該注意本發明的技術和方案應用於各種不同種類器件。在以下描述中，闡述了眾多特定細節以便提供對本發明的全面理解。可以不使用這些特定細節中的某些或全部來實現本發明的特定示意性實施例。在其他情形下，未詳細描述已知的處理操作以避免不必要地模糊本發明。有時將為了明晰而以簡單的形式描述本發明的各種技術和方案。然而，應該注意，某些實施例包括技術的多次重複或者方案的多個實例，除非另有指示。例如，系統在各種情形下使用處理器。然而，可以理解，系統可以使用多個處理器而仍保持在本發明範圍內，除非另有指示。此外，本發明的技術和方案有時將描述在兩個實體之間的連接。應該注意，兩個實體之間的連接並非必然意味著直接、未受阻礙的連接，這是因為各種其他實體可以駐留於兩個實體之間。例如，處理器可以連接至存儲器，但是可以理解，各種橋和控制器可以駐留於處理器和存儲器之間。因此，連接並非必然意味著直接、未受阻礙的連接，除非另有指示。綜述提供方案以防止實施在諸如現場可編程門陣列(FPGA)之類的可編程晶片上實現的部件之間的信息洩漏。在使用來自用戶的最小輸入實施安全約束並且同時提供器件的有效利用的情形下，自動化布線算法是有效的。識別並且鎖定可兼容的信號集合，因而產生了布線資源的保留(reservation)。重新布線剩餘的信號直至滿足所有信號約束。可以通過自動化布線方案的迭代來實現具有一個或多個安全級別以及一個或多個安全區域的指定的安全約束。特定實施例信息可以從諸如現場可編程門陣列(FPGA)之類的電子設備中的智慧財產權(IP)部件潛在地洩漏出。為了防止洩漏，隔離某些安全IP部件，從而使得信息不洩漏至非安全目的地。對於這種類型的分隔的通用術語是紅/黑分隔，其中「紅」部件是包含了機密明文的部件，而「黑」部件是用於那些未包含機密明文的部件。一個目的在於防止任何非加密信息在紅部件和黑部件之間無意地洩漏。一個示例是無線電發射器/接收器，該無線電發射器/接收器在黑部件中接收加密消息並且在紅部件中解密消息。一旦解密了消息，將該消息與黑部件隔離，從而使得機密明文並未無意地洩漏。此外，設計者可以出於確保在出現潛在的片上故障時持續操作的目的而選擇在他們的設計中實現冗餘。這樣的一個示例是三倍冗餘設計，其中用戶實現相同部件的三份拷貝並且隨後使用三個等同輸出中的大多數作為正確輸出。當一個部件未返回與其他兩個結果相同的結果時，器件還報警故障。在這種情形下，重要的是每個部件單獨地故障，這是因為不會有片上故障將同時引起兩個區域失效。這些部件也被視為要求隔離的安全部件。傳統地，使用多個晶片通過物理分隔而實現物理隔離。在使用單晶片方案的情形下，用於物理分隔和/或詳述布線的傳統技術花費可觀的邏輯和布線資源，並且通常通過仔細且耗時的設計來實現。用戶明確地並且辛苦地劃分晶片上的可以布線每個信號的位置。因為無法容易地優化諸如可布線性、時序和功耗之類的傳統晶片設計關注，因此該處理是低效的。針對安全性的布圖是潛在地耗時的，並且可能對諸如可布線性、時序和功耗之類 的其他傳統FPGA關注具有負面影響。一些其他EDA工具要求用戶指定確切的信號路徑以通過使用「硬體宏」來實現布線隔離。然而，劃界的布圖和硬體宏經常未充分利用資源並且可能是傾向於錯誤的。隨著可編程邏輯器件(PLD)變得日益複雜和強大，物理隔離安全部件變得越來越困難。因此，提供了本發明的技術和方案以在出現故障時防止FPGA上部件之間的洩漏。本文將可以使用多個部件以及部件之間的布線線路配置的任何可編程器件稱作FPGA。根據多個實施例，通過執行迭代處理來防止洩漏。在特定實施例中，使用現有的布線算法來初始地正常布線設計中的所有信號。布線問題包括 為在設計中指定的每個信號選擇在晶片上的布線資源集合。鎖定不違反安全準則的所有信號。在信號之間的信息洩漏將不構成信息的洩漏的信號集合(稱作可兼容集合)變為鎖定的。這些信號所用的布線資源視為是鎖定的或者不可改變的。基於安全準則限定接線使用。在一些特定實施例中，為晶片上鎖定的資源建立保留。保留是即使在出現器件故障時也確保安全的器件。通過標註可以能夠被設計中的一些信號洩漏或者可以被設計中的一些信號洩漏的資源來完成這種保留。重新布線剩餘的網絡。根據多個實施例，重新布線設計中的、未被鎖定並且違反了由先前鎖定信號建立的保留的任何信號。這種處理本質上包括從安全性角度而言合法化現有的布線。在此修訂對任何安全準則的違反。在該步驟之後，經布線的信號將不會違反之前已鎖定的任何信號的安全。根據多個實施例，隨後鎖定附加的信號並且該過程重複直至鎖定所有信號。圖I是顯示了可應用本發明的技術的可編程晶片的一個示例的圖示表示。使用諸如Verilog或者VHDL之類的硬體描述語言(HDL)來配置的諸如現場可編程門陣列(FPGA)或PLD之類的任何器件在此稱作可編程晶片。可編程晶片101包括邏輯元件103、嵌入式存儲器、以及諸如布線資源和硬體編碼邏輯塊之類的其他資源。可編程晶片使用可以可交替地用於不同分配以實現可編程晶片的不同種類資源。在一個示例中，可編程晶片使用邏輯元件、嵌入式存儲器以及用於在可編程晶片上實現各種部件中的每一個的硬體編碼邏輯的混合。根據多個實施例，邏輯資源是邏輯元件(LE) 103、邏輯陣列塊(LAB)或邏輯單元。通常可以使用諸如反熔絲、靜態RAM以及EPROMS之類的部件來實現邏輯元件。將在給定數目的輸入線上執行運算以基於編程的信息而提供一個或多個輸出的可編程晶片上的任何方案在此稱作邏輯元件。一些邏輯元件實現為查找表和用於在輸入線上執行布爾運算的開關的組合。在一個示例中，邏輯元件包括可以實現任意4輸入邏輯功能的16位SRAM查找表(LUT)、形成快速進位鏈和快速級聯鏈的電路、寄存器、以及用於寄存器預置/重置的邏輯。邏輯元件也可以用於實施各種安全和非安全部件。例如，區域105和109可以是具有一個或多個安全部件的安全區域。區域107和111可以是具有非安全部件的非安全區域。使用互連結構或布線資源來連接可編程晶片系統部件。將用於在系統中連接部件的任何方案或邏輯在此稱作布線資源。在一個示例中，布線資源是可以用於連接兩個邏輯部件的片上物理接線。布線資源也可以包括連接若干接線的多路多路復用器和控制了哪條接線通過多路復用器連接的配置RAM(CRAM)。參照圖1，線121、123、131和133表示邏輯部件之間預期的合法連接。線125、127和129表示部件之間的可能是或者可能不是洩漏的、各種非預期的信息交換。線125示出了在兩個安全區域105和109之間的信息交換，兩個安全區域105和109不具有另外的合法連接。合法連接是不違反安全約束的預期信息交換。線125是洩漏，這是因為否則這些兩個區域不具有連接。線127示出了連接安全區域和非安全區域的兩個合法信號121和123之間的信息交換。由於線127將導致將預期用於區域107的數據誤表示至區域111，因此這也是洩漏。線129示出了在兩個非安全區域107和111之間的非預期信息交換。由於該區域是非安全的，因此取決於由用戶定義的安全約束，這種信息交換可能是或者可能不是洩漏。非預期信息交換可能由於諸如軟故障或硬故障的故障而發生。軟故障是單事件翻轉(SEU)。在一個示例中，源自多路復用器的輸出可能被單隨機事件改變，該單隨機事件諸如翻轉RAM的隨機顆粒或者能量束，或者保持導通或關斷的損壞的電晶體。硬故障可能是導體之間的物理短路或者是有源器件失效。兩個接線製造得相互太靠近可能引起物理短路。半導體介電絕緣體中的製造缺陷也可能引起物理短路。用戶可以指定安全部件與其隔離的隨機事件的數目。通常的數目是I或者2個隨 機事件，但是可以指定任何數目的事件。然而，並非所有隨機事件都將導致引起被視為是洩漏的非預期信息交換類型的故障。圖2A至圖2M示出了隨機事件可以引起非預期信息交換的各種路徑，根據多個實施例，其中一些路徑被視為是故障和洩漏而一些則不被視為故障和洩漏。注意，這些說明是示例。取決於器件設計和功能需求，可以通過重新定義將什麼信號視為是兼容的，來改變構成故障的規則。因此可以使用更多或更少或不同的規則。根據本發明的多個實施例，應用規則的技術並非專用於任何具體的規則列表。如圖2A所示，只要到區域間(inter-region)信號上的故障在區域間信號203的任何分支之前發生，則安全區域A中的局部信號201可以到達源自相同安全區域A並且終止於非安全區域C或B的區域間信號203。這種非預期信息交換與在安全區域A內部已發生的交換具有相同的效果一併且區域內的這些交換不視為故障。在圖2B中，安全區域A中的局部信號205到達源自不同區域A』的區域間信號209。儘管已經存在兩個區域A和B之間的區域間信號207，但是非預期信息交換將改變區域之間跨接(crossing)的數目並且被視為為故障。在圖2C中，局部信號213在分支點之後到達區域間信號211。由於區域之間跨接的數目已經改變，因此這也被視為故障。在圖2D中，如果在安全區域B與區域間信號217上的任何區域間分支點之間的區域間信號217上發生了故障，則局部信號215可以到達進入相同的安全區域B的區域間信號217。該非預期信息交換並不被視為故障。在圖2E中示出了源自圖2D的推論情形，其中局部信號219交換至在區域間分支點與另一個安全區域A之間的區域間信號221上。該交換是故障。這些圖示考慮了僅發生一個事件的模式。當需要針對多於一個隨機事件(例如兩個事件)的安全時，必須考慮導致到任何其他安全區域的非預期信息交換的第二事件的可能性。在圖2F中示出一種這樣的可能性。源自區域B的局部信號225可以交換至位於區域間分支與區域B之間的區域間信號223上。如果僅考慮一個隨機事件，則該交換將不是故障，就如圖2D中一樣。然而，對於兩個隨機事件，必須要考慮在225與其他區域間分支之間的隨後的交換227。因為第二事件將形成在區域B與C之間的跨接，這是施加至局部信號225的故障。圖2G和圖2H示出了當區域間信號之間的非預期信息交換不是故障的情形。如圖2G所示，只要第一區域間信號231在第二區域間信號分支之前被交換至第二區域間信號229上，則第一區域間231可以到達源自相同安全區域A的第二區域間信號229。這與故障發生在安全區域A內部具有相同的效果。在圖2H中，來自安全區域A』的區域間信號239連接至安全區域A。來自區域間信號239的局部信號235交換至源自區域A的另一個區域間信號237上。在該情形下，效果也與故障發生在安全區域A內部的效果相同。圖21和圖2J也示出了當在區域間信號之間的非預期信息交換不是故障的情形。如圖21和圖2J所示，第一區 域間信號241也可以經由245而短路至第二區域間信號243上(即使是源自不同安全區域的信號)，只要故障不引起第一區域間信號供應其不連接的任何區域。對於具有兩個隨機事件的安全模式而言，作為第二事件的結果的非預期信息交換被視為是源自第一事件的結果。換言之，如圖2K所示，第二區域間信號的、由第一區域間信號在其上發生故障的子樹將不小於遠離未連接至第一區域間信號的任何區域的兩個故障。在圖2K中，第一隨機事件致使區域間信號251經由在區域間分支之後交換至區域間信號249中。如果沒有第二隨機事件，則交換不被視為故障，就如圖2J中一樣。然而，如果有第二隨機事件，則可以經由255將該信號進一步交換至區域間信號249的其他分支，從而引起跨接到區域C的附加區域。因此，圖2K中的第一事件在具有兩個隨機事件的安全模式下是故障。在圖2L和圖2M中，區域間信號交換至另一個區域間信號上。在這兩個情形下均出現故障。如這些圖示所示，在安全區域與非安全區域之間的故障並非簡單應用於非預期信息交換的情形。在某些情形下，如果可以通過區域內部的交換獲得相同的結果，則非預期信息交換不被視為故障。如果非預期信息交換並未建立區域之間的附加跨接，則交換也不被視為故障。可以由要求不同安全功能或者提高的數據完整性的用戶來選擇這些規則。當安全模式要求多於一個隨機事件的評估時，增加了附加的複雜度。在那些情形下，不僅必須評估第一事件的可能性，還必須評估根據第二事件的所有後續可能性。對於穿過遍布晶片的許多多路復用器的複雜布線和布線，這種評估可能包括非常高數目的可能性，這是因為隨機事件的數目隨著安全收緊而增大。根據本發明的多個實施例，在此描述的技術和工具評估了這些可能性並且在布線資源周圍設定了保留區域。用戶指定電子設計自動化工具(EDA)中的需要被隔離的層級，並且可選地指定包含這些層級的物理區域。層級可以是邏輯或者硬體群組。工具隨後能夠自動地增強安全而無需來自的用戶進一步輸入。例如，不需要諸如指定接口區域、布線走廊、圍欄區域或其他布線分配之類的進一步輸入。因此，減少了用戶輸入和幹預的級別。在此描述的布線技術將不是用戶可觀測的。EDA工具實現了安全需求以及布線迭代。然而，一個可觀測特徵是「按鈕」 CAD解決方案，該「按鈕」 CAD解決方案是不要求附加用戶約束並同時有效實施安全限制並對結果質量具有最小影響的第一這類解決方案。另一個特徵是所展示的算法的一般本質；它們以數據驅動方式實施了可以由用戶定義的各種任意安全約束。它們也可以應用於許多已有的可編程晶片(PLD和FPGA)布線算法。這些技術應用於器件內安全邏輯區域和非安全邏輯區域的混合區域，該器件即使是不同安全級另O，諸如絕密、秘密以及非密。計算機輔助技術即使在存在安全區域和多個事件安全模式時也允許高效利用器件。
根據多個實施例，提供了用於布線電子設計以防止部件之間信息洩漏的技術。根據電子設計來布線信號。通常，設計中的布線信號包括在不考慮信號安全的情形下使用已有布線算法。布線包括針對在用戶設計中基於設計的功能指定的每個信號而選擇晶片上的布線資源集合。布線輸出可以用於編程晶片以及用於後續安全驗證。 確定信號的可兼容集合。可兼容集合是一組網絡，其中集合中形成到集合中另一個信號的網絡上的故障路徑的任何一個信號不引起信息的非法傳輸。圖2A至圖2M中討論了可能的傳輸的各種模式。通常，具有相同開始或結束區域的所有信號是可兼容的。取決於安全規則和布線設計的難度，可兼容集合的一個可能的合法群組包括不同集合中每個網絡。然而，通過在單個可兼容集合中分組多個網絡，加速了描述的算法。在確定了可兼容集之後，選擇信號的一個或多個可兼容集合，並且提交由一個或多個所選的可兼容集合使用的布線資源。這些經提交的布線資源是鎖定的或不可改變的，直至選擇了信號的可兼容集合。經提交的布線資源不可以用於布線其他信號。確定並且設定用於經提交的布線資源的保留。保留是在指定數目故障內可能洩漏至經提交的布線資源的或者由經提交的布線資源洩漏的被標記的資源。保留的布線資源可以僅用於布線與產生保留的網絡的分支兼容的附加信號。根據多個實施例，即使在出現器件故障時保留也確保安全。通過計算隨機事件和信息交換的所有可能模式，該保留考慮了特定數目的故障。隨著布線資源的數目以及故障的指定數目的增加，圍繞可兼容信號集合的保留的大小增加。該保留將包括所有配置RAM，該配置RAM是遠離任何經提交的資源指定數目的故障以及位於一定距離(例如某些數目的微米)之內的所有接線。重新布線對應於未選擇的可兼容集合的信號以及電子設計中的其他信號。在某些情形下，僅當信號違反了由先前鎖定的信號建立的保留時，才重新布線信號。該操作包括從安全的角度而言合法化現有布線——將修訂對關於經保留的或者經提交的資源的安全規則的任何違反。在該步驟之後，將不再有違反先前已鎖定任何信號的安全的經布線的信號。在某些實施例中，由於並非所有剩餘信號可以具有合法布線，因此重新布線失效。在這些實施例中，使用可兼容信號集合和經重新提交和保留的布線資源的不同群組來重複過程的某些部分，直至可以合法地布線所有信號。該過程可以採用多次迭代以在安全約束內對每個信號實現布線。通常，通過選擇所有可兼容信號集合而開始迭代。如果無法找到合法布線設計，則取消選定一些已選擇的可兼容信號集合併且重複該過程。在有限數目的情形下，具有安全約束的設計可能不適配於該器件。可以在重新布線失效一定次數之後通知用戶以改變或者放鬆安全約束。該過程考慮了稍後的布線和安全約束。CRAM設定中的改變可以改變兩個布線資源之間隨機事件的數目。例如，可以通過切換一些CRAM位設定以寄生地連接分開充足數目事件的兩個資源，將該兩個資源轉變為洩漏。圖3示出了通過引入第三布線而減少了在寄生洩漏中的兩個布線之間分隔的情形。在圖3中，CRAM顯示為框，諸如301、303、305和307。設定由盒子內的「I」或「O」指出。在沒有布線信號B2的情形下，CRAM301、303、305和307都是「O」。在信號B I與信號Rl之間，存在三個產生洩漏的故障。即，CRAM301、303和307將均需要開啟以導致在這些兩個接線BI和Rl之間的非預期信息交換。如果安全模式是三個事件或者更少，則這些兩個接線隨後被充分地分隔。然而，後續經布線的信號B2(元件309)可以改變B I和Rl之間分隔的程度下降至兩個故障。對於信號Rl和R2而言，B2是合法布線。附加的布線使得CRAM301和305被設置並且如果在303和307處發生故障則允許故障路徑311發生。如圖3所示，稍後布線的信號可以改變兩個先前布線信號之間的故障分隔。因此，關於可兼容集合的迭代技術用於確保之前布線信號的合法性。「一次性」(all-at-0nce)技術也需要保持所有先前布線信號的軌跡。「一次性」技術將超出大多數處理器的能力，特別是對於更複雜設計而言。 因此同時解決電合法化和洩漏合法化兩者將特別困難。在其他一些方面，提供了一種實現電子器件的技術。使用與不同安全級別相關聯的信號指定器件的電子設計。重新布線信號並且確定信號的可兼容集合。鎖定對應於信號的一個或多個可兼容集合的信號並且提交它們的布線資源。通過使用安全需求，設定用於經提交的資源的保留。如果保持為非鎖定的一個或多個信號違反保留，則通過僅使用針對經提交的資源的不可兼容的保留之外的未提交資源，來確定用於一個或多個信號的新合法布線。然而，如果沒有合法布線可用，則解除信號集合的鎖定以釋放布線資源。重複這一過程，直至合法布線所有信號而不違反安全。該技術可以包括通過使用電子設計規範來布圖一個或多個安全區域和/或布局安全通道，儘管這些步驟並非必須。圖4A和圖4B是布圖示例。在圖4A中，布線工具自動地布圖所有的區域I-區域4(405至411)並且使用布線接口 401和403將它們連接起來。區域I (405)和區域2 (407)經由布線接口 403連接。區域3 (409)和區域4(411)經由布線接口 401連接。這些布線接口 401和403是安全通道，兩個連接的區域之間的所有信號必須穿過該安全通道。布局約束(例如I/O管腳位置)可以使得設計難於以平面方式布圖，這是因為待連接的區域數目以及待連接的區域的集合的數量增加。如圖4A所示，在嚴格平面的布圖中，區域2(407)可以不被連接到在晶片外圍處的I/O管腳。然而，該方案提供了透明度並且允許更容易的用戶介入，這是因為所有約束可以自動地集成。圖4B是另一個布圖示例。在該示例中，布線工具自動地布圖所有的區域I至區域4(421-427)。通過使用在此的技術而不採用安全通道(圖4A中所示布線接口)來對可編程晶片進行布線。這允許工具充分使用布線資源，諸如可以垂直布線而不允許數據洩漏(如圖所示的結429)可能性的兩個接線。因為所公開的技術即使水平地物理相交時仍將通過最小數目故障而分隔兩個不可兼容信號，所以根本沒有必要布線接口。根據本發明的多個實施例，通過指定預設保留給資源、布線電子設計的信號以及鎖定和傳播來執行本發明的技術。基於部件的布圖，對晶片上所有布線資源建立初始保留。器件中的每個資源由資源可以洩漏至其上或者其可以洩漏至資源上的區域來保留。布線資源可以能夠源自多個區域並且布線至多個目標區域。對於每個區域和每個輸出而言，可以標記如下可能的資源，該資源可以在指定數目故障內洩漏至輸出上。對於每個區域和每個輸入而言，也標記如下可能的資源，該資源可以在指定數目故障內洩漏至輸入上。該操作標記了可以僅能夠被去往和來自每個區域的信號使用的所有資源。通常使用標準布線工具以某些約束來執行布線。例如，當評估資源作為在布線中使用的候選時，計算網絡連接標記和布線資源保留的聯接(join)。網絡連接是單個網絡上的單個目的地。網絡連接標記的形式為S(x)D(y)，其中X是網絡的源區域而y是連接的目標區域。網絡連接標記的x、y自變量必須均指向特定區域。在其中預先知道分支點的布線工具的另一種類型中，布線分段具有標記，表示該分段的源區域以及在該分段的下遊分支的目標區域的集合。聯接是採取兩個保留或標記並且確定針對那些實體之間的交互的安全關注的運算。聯接確定了一個連接的布線是否可以安全地使用已被保留的接線，或者該交互是否將構成洩漏。此外，聯接用作將兩個保留組合為表示了針對該接線的最嚴格保留的單個保留。聯接是可交換函數。可以使用全局標記來保留資源，這意味著該資源與去往或者來自所有區域的信號可兼容。因此，使用全局標記的任何區域的聯接將導致實際區域，從而指示了去往/來自該特定區域的信號與資源可兼容。也可以使用區域的集合來保留資源，從而指示了該資源僅與去往/來自精確相同集合區域的信號可兼容。在該情形下，集合的聯接運算符將自身返回集合。使用自身的區域聯接導致其自身，從而指示了去往/來自給定區域的信號與具有 相同來源或目的地的另一個信號可兼容。在任何其他情形下，聯接運算符返回「空」，從而指示了信號與資源不可兼容。兩個保留的聯接是確定兩個保留配對的可兼容性的運算，其中作為輸出的保留具有Sout (s)Dout (d)的格式。Sout是經聯接的保留的源的標記部分,而Dout是經聯接的保留的目的地的標記部分。對於兩個保留的聯接SI (X)Dl (y)和S2(a)D2(b)而言，如下計算聯接結果Sout (s) Dout (d)。自變量「s」是保留的源區域X與a的聯接-除非結果是空，則使用X與b的聯接。自變量「d」是保留的目的地區域y與b的聯接-除非結果是空，則使用y與a的聯接。再次參照布線運算，首先計算網絡連接標記與布線資源保留的聯接。如果聯接導致對於源和目的地均「沒有區域」，則可以不使用資源。該步驟確保了網絡不會洩漏至與之不可兼容的區域中。注意，洩漏仍然可能從連接在其中不具有源和宿的區域內發生。對於具有標記S (r)的區域間連接而言，在聯接的輸出中不具有該r的第一資源下遊處所使用的所有資源可以不在其保留中包含S(r)或者D(r)。這確保了區域間網絡一旦離開區域之後不會再次進入區域r。對於具有標記D(r)的區域間連接而言，在聯接的輸出中具有r的第一資源的下遊處所使用的所有資源必須在其保留中包含r。這確保了區域間網絡一旦已進入區域不會離開該區域。對於具有S(x)D(y)作為其標記的連接而言，資源被評估為用於區域間網絡上的分支點的候選。如果區域間網絡尚未離開區域X，則分支點必須是具有包含了 X的保留的資源。如果區域間網絡已離開區域X，但是尚未進入區域y，則分支點必須是在其保留中具有「所有區域」的資源。如果區域間網絡已進入區域y，則分支點必須是在其保留中具有y的資源。這些規則確保了信號僅離開區域一次並且僅進入區域一次。與標準布線算法結合的這些約束可以產生滿足時序約束以及任何其他常規布線約束的電合法布線。布線也具有精確的區域進入點和離開點，並且沒有網絡能夠直接洩漏進入其不屬於的區域。然而，布線可能在區域間布線之間包含洩漏。這些種類洩漏在鎖定和傳播操作中處理。可兼容集合是網絡群組，其中如果一個集合中的任何信號將形成至集合中其他網絡上的故障路徑，則這將不會形成信息的非法傳輸。結合圖2A至圖2M來論述信息的非法 和合法傳輸。注意，用戶可以基於設計需求修改傳輸的合法性。電子設計中的每個網絡被分配給一個可兼容集合。例如，區域的內部區域的集合形成一個可兼容集合，這是因為這些網絡可以自由地傳輸至另一個上，並且這將僅在區域內構成故障，而這不被視為洩漏。可兼容集合的另一個示例是具有精確目的地區域集合lx，y，z}的所有網絡的集合，該集合內的、洩漏至該集合內任何其他網絡上的任何網絡將僅構成去往對該信息已保密的區域的信息傳輸。可兼容集合的備選有效群組包括在其自身集合中的每個網絡。然而，由於算法的逐次鎖定本質，通過在單個集合中分組多個網絡而加速了該算法。逐次鎖定可兼容的集合。選擇尚未鎖定的單個可兼容集合以用於鎖定。根據多個實施例，鎖定集合包括提交將要由該集合專有地使用的其所有布線資源。通過設計，使得由單個可兼容集合所用的布線相對於早先保留而言為故障的布線合法化，並且相對於集合中所有網絡合法。對於所有鎖定的可兼容集合傳播保留信息。傳播涉及通過修改保留在遍及晶片上的布線資源應用網絡保留。一般而言，傳播算法遍歷晶片上的布線資源，從而計算絕對意義上和按故障而言的距離，並且沿著該路徑修改保留。信號根據每個使用的布線資源生產保留，從而指示其他信號的哪些集合與該資源的使用是潛在可兼容的。如果與生成保留的網絡的特定分支可兼容的信號待洩漏至該分支上，則不會發生安全規則違反。注意，在分支點 之前和之後由信號產生的保留可以不同，這是因為用於那兩個接線分段的目的地的集合是不同的。如果那些布線資源由跳躍相連，則保留可以從一個布線資源傳播至另一個布線資源。當傳播保留時，修改傳播至的資源的保留，從而確定了針對該資源的使用的最嚴格的約束。可以向上遊或者下遊傳播。上遊傳播涉及跳躍遍歷，其中跳躍是從一個資源至可以在其上形成的洩漏另一個資源。下遊傳播涉及從一個布線資源至可以在其上形成洩漏的另一個布線資源的跳躍遍歷。在所有情形下，當已遍歷了特定數目的邏輯或者物理跳躍時，停止傳播。跳躍傳播的數目由用戶根據設計而確定。跳躍是晶片上兩個布線資源之間的連接。布線資源之間的跳躍表示了晶片上資源之間的合法和非法連接兩者。如圖5A所示，合法連接的一個示例是未使用的接線，該接線具有連接至其驅動MUX的一些輸入的已使用的接線。一個和多個CRAM位翻轉可以將該輸入連接至輸出驅動器。這類CRAM位翻轉標記為「X」。在圖5B中，示出了布線資源之間的非法連接的一個示例。均輸入至第三接線的兩個已使用的接線通過在第三接線的驅動器的輸入側將它們連接起來的位翻轉而寄生地連接。每個跳躍具有權重，該權重表示CRAM位翻轉的數目或者寄生地連接兩個資源的物理距離。傳播所有已鎖定資源的保留。在兩個鎖定的網絡集合之間應不存在使故障非法的布線，這是因為使用其他網絡的保留將每個可兼容集布線在合適位置。這意味著沒有鎖定資源的保留將僅包含「沒有區域」。然而，未使用或者由未鎖定的網絡使用的資源可以包含區域或者「沒有區域」，後者意味著它們不可以由任何網絡使用。必須重新布線未鎖定的、當前使用了具有「沒有區域」保留或者任何其他不可兼容保留的資源的網絡。在傳播了來自鎖定的集合的保留之後，如果針對給定的非鎖定可兼容集合未檢測到非可兼容的保留，則選擇將該集合鎖定，並且對於該集合重複傳播步驟。如果不存在這種可兼容集合，也即，針對所有可兼容集合檢測到了保留不可兼容性，則重新布線所有非鎖定集合的網絡。所得的新布線必須是電合法的，並且必須遵循鎖定的可兼容集合的所有保留。在重新布線之後，重複鎖定和傳播步驟，直至已鎖定所有可兼容集合。如本文所述的那樣，根據多個實施例的技術提供了其中後續布線改變經先前布線的信號的安全特性的情形。在每次迭代之後，保留使得針對待布線的信號僅剩餘合法布線。在無法使用合法布線來布線剩餘信號的情形下，繼而可以解鎖一個和多個可兼容網絡集合併且重複該過程，直至找到完全合法的布線。圖6是示出了可以使用本發明技術的電子器件的一個實現方式的圖示表示。輸入級601接收通常來自用戶的、用於邏輯的選擇信息，該邏輯諸如處理器內核以及待在電子器件上實現的其他部件。在一個示例中，接收的輸入的形式是高級語言程序。生成器程序605建立邏輯描述，並且向多種綜合工具、布圖和布線程序以及邏輯配置工具中的任一種提供邏輯描述以及其他用戶自定義邏輯，從而允許在電子器件上實現邏輯描述。在一個示例中，輸入級601經常允許待在電子器件上使用的部件的選擇和參數 化。輸入級601也允許硬編碼邏輯的配置。在一些示例中，向輸入級提供的部件包括智慧財產權函數、超大函數以及智慧財產權核心。輸入級601可以是使用嚮導的圖形用戶界面，以允許信息的有效和方便輸入。輸入級也可以是文字界面或讀取數據文件的程序，該數據文件諸如電子表格、資料庫表格或用以獲得選擇信息的示意圖。輸入級601產生包含了關於所選的各種模塊的信息的輸出。在該級處，用戶可以輸入關於需要被隔離的單個部件的安全信息。例如，可以輸入不同級別的部件安全以及允許哪些部件相互通信。在一些典型的實施方式中，生成器程序605可以識別選擇並且生成具有用於實現各種模塊的信息的邏輯描述。生成器程序605可以是Perl腳本，該Perl腳本根據由用戶輸入的模塊信息建立諸如Verilog、Abel、VHDL以及AHDL文件之類的HDL文件。在一個示例中，生成器程序識別高級語言程序的一部分以加速。其他代碼留作用於在處理器核心上執行。根據多個實施例，生成器程序605識別指針並且為每個指針提供埠。具有生成器程序能力的一種工具是可編程片上系統(SOPC)構建器，其可以從加利福利亞州的聖何塞市的Altera公司獲得。生成器程序605也為綜合工具607提供信息，以允許自動地綜合HDL文件。在一些示例中，由設計者直接提供邏輯描述。由用戶選擇的多個部件之間的接線圖也由生成器程序進行互連。一些可用的綜合工具是可以從威爾遜維爾市的Mentor Graphics公司獲得的Leonardo Spectrum、可以從加利福利亞州森尼韋爾市的Synplicity公司獲得的Oregon和Synplify。HDL文件可以包含僅由綜合工具可讀的專用技術代碼。在該點處可以將HDL文件傳送至仿真工具609。如本領域技術人員將理解的那樣，輸入級601、生成器程序605以及綜合工具607可以是分立的程序。分立程序之間的接口可以是在程序之間傳輸的資料庫文件、日誌或者簡單消息。例如，作為寫文件用以存儲的替代，輸入級601可以將消息直接發送至生成器程序605以允許生成器程序創建邏輯描述。類似地，生成器程序可以將信息直接提供至綜合工具，而不是寫HDL文件。類似地，也可以將輸入級601、生成器程序605以及綜合工具607集成在單個程序中。用戶可以選擇多個模塊，並且集成程序可以隨後採用用戶的選擇並且輸出形式為綜合網表而非中間文件的邏輯描述。用於描述在電子器件上待實現的邏輯的任何方案在此都被稱作邏輯描述。根據多個實施例，邏輯描述是HDL文件，諸如VHDL、Abel、AHDL或Verilog文件。邏輯描述可以在用戶選擇部件和參數至器件的最終配置之間的處理的各個階段中。根據其他一些實施例，邏輯描述是綜合網表，諸如電子設計交互格式輸入文件(EDF文件)。EDF文件是可以由綜合工具607輸出的綜合網表文件的一個示例。綜合工具607可以採用HDL文件並輸出EDF文件。綜合工具允許在電子器件上邏輯設計的實現。一些可用的綜合工具是可以從威爾遜維爾市的Mentor Graphics公司可獲得的Leonardo Spectrum、可從加利福利亞州的森尼維耳市的Synplicity公司獲得的Oregon和Synplify。本領域技術人員知曉各種綜合網表格式。驗證級613通常在綜合級607之後。驗證級檢查設計的精確度以確保中間或者最終設計實現預期需求。驗證級通常包括仿真工具和時序分析工具。用於仿真的工具允許在不實現物理器件的情形下施加輸入並且觀測輸出。仿真工具為設計者提供設計的功能和時序驗證的成本有效和高效的方案。功能驗證包括獨立於時序考慮的電路邏輯運算。忽略了諸如門延遲之類的參數。時序驗證包括使用時間延遲來分析設計的運算。確認用於諸如觸發器電路之類的時序器件的設置、保持以及其他時序需求。一些可用的仿真工具包括可以從加利福利亞州的Synopsys公司獲得的Synopsys VCS、VSS和Scirocco,以及可以從加利福利亞州的聖何塞市的 Cadence Design Systems 獲得的 Cadence NC-Verilog 和 NC-VHDL。在驗證級 613之後，綜合網表文件可以提供至包括布圖和布線以及配置工具的物理設計工具619。布圖和布線工具根據實現電子設計所需的邏輯和安全需求在目標硬體器件的特定邏輯元件上定位邏輯單元並且在多個邏輯元件的輸入和輸出之間連接接線。根據本發明的多個實施例，布圖和布線工具可以執行本發明的技術以實現由用戶定義的各種安全需求和準則。迭代技術可以對於用戶透明，但是可以在623物理測試最終器件。對於可編程邏輯器件而言，可編程邏輯配置級可以採用布圖和布線工具的輸出以使用用戶選擇和參數化的模塊來編程邏輯器件。根據多個實施例，在Quartus開發工具中提供布圖和布線工具以及邏輯配置級，該Quartus開發工具可以從加利福利亞州的聖何塞市的Altera公司獲得。如本領域技術人員將理解的那樣，可以通過使用本發明的各種技術來使用各種綜合、布圖和布線以及可編程邏輯配置工具。如上所述，可以以各種方式集成不同的級和程序。根據一個實施例，將輸入級601、生成器程序605、綜合工具607、驗證工具613以及物理設計工具619集成在單個程序中。各種級是自動運行的並且對於用戶透明。程序可以接收用戶選定的模塊，生成描述用於實現各種選定模塊的邏輯的邏輯描述、以及實現電子器件。如本領域技術人員將理解的那樣，HDL文件和EDF文件僅是邏輯說明的示例。其他一些文件格式以及內部程序表示是邏輯說明的其他一些示例。圖7是示出了可以用於實現具有不同隔離部件的可編程晶片的典型計算機系統的圖示表示。計算機系統700包括任意數目的處理器702 (也稱作中央處理單元或CPU)，處理器702耦合至包括存儲器706 (通常是隨機訪問存儲器或「RAM」)、存儲器704 (通常是只讀存儲器或「ROM」)的器件。處理器702可以配置為生成電子設計。如本領域熟知的那樣，存儲器704用作單向地向CPU傳輸數據和指令，而存儲器706通常用於以雙向方式傳輸數據和指令。 這些存儲器裝置均可以包括如上所述的任何合適種類的計算機可讀介質。大容量存儲裝置708還雙向地耦合至CPU702並提供附加的數據存儲容量，並且可以包括上述任何計算機可讀介質。大容量存儲裝置708可以用於存儲程序、數據等，並且通常是諸如比存儲器慢的硬碟之類的輔助存儲介質。大容量存儲裝置708可以用於保持預封裝邏輯或智慧財產權功能的程序庫或資料庫，以及關於生成特定配置的信息。應當理解，保持在大容量存儲裝置708中的信息在合適的情形下可以以標準方式作為虛擬存儲器而組合為存儲器706的部分。諸如CD-ROM714之類的特定的大容量存儲裝置也可以單向地向CPU傳輸數據CPU702也耦合至接口 710，接口 710包括一個或多個輸入/輸出裝置，諸如視頻監視器、軌跡球、滑鼠、鍵盤、麥克風、觸敏顯示器、傳感器卡讀取器、磁帶或紙帶讀取器、圖形輸入板、觸針、語音或手寫識別器、或者其他已知輸入裝置(當然，諸如其他計算機)。CPU702可以是設計工具處理器。最終，CPU702可選地可以使用在712處總體示出的網絡連接而耦合至計算機或無線通信網絡。使用這種網絡連接，可以構思，CPU在執行上述過程步驟期間可以從網絡接收信息，或者可以向網絡輸出信息。注意，系統700也可以與用於將完成的設計傳輸至可編程晶片上的裝置相關聯。計算機硬體和軟體領域的技術人員將熟悉上述裝置和材料。儘管為了方便以上以單數形式描述了許多部件和過程，但是本領域技術人員將理解的是，也可以使用多個部件和重複的過程來實現本發明的技術。儘管已參照其具體實施例具體示出和描述了本發明的一些特定實施例，但是本領域技術人員將要理解的是，可以不脫離本發明的精神或者範圍而改變所公開實施例的形式和細節。例如，本發明的實施例可以採用多個部件並且不限於上述中的一個。因此，其意在將本發明解釋為包括落入本發明的真實精神和範圍內的所有變形和等同方案。
權利要求
1.一種方法，包括 在具有多個部件的電子設計中布線信號，所述多個部件包括用於在可編程晶片上實現的安全部件和非安全部件； 使用設計工具處理器選擇信號的可兼容集合，其中所述信號的可兼容集合是在信號的集合中的任何兩個信號之間形成的故障路徑將不導致信息的非法傳輸的信號的集合； 提交由所述信號的可兼容集合所使用的布線資源； 設置用於經提交的布線資源的保留，其中，即使在出現故障時所述保留也提供安全；以及 重新布線在所述信號的可兼容集合之外的信號。
2.根據權利要求I所述的方法，進一步包括，使用設計工具處理器從經重新布線的信號中選擇信號的第二可兼容集合，其中，所述信號的第二可兼容集合是在信號的第二集合中的任何兩個信號之間形成的故障路徑將不導致信息的非法傳輸的信號的集合。
3.根據權利要求I所述的方法，進一步包括，設置用於經提交的布線資源的保留，其中，即使在出現故障時所述保留也提供安全。
4.根據權利要求I所述的方法，進一步包括，重新布線在所述信號的可兼容集合和所述信號的第二可兼容集合之外的信號。
5.根據權利要求I所述的方法，進一步包括，接收一個或多個安全準則。
6.根據權利要求5所述的方法，其中，使用所述一個或多個安全準則來設定用於經提交的布線資源的所述保留。
7.根據權利要求5所述的方法，其中，所述一個或多個安全準則包括將洩漏定義為能夠經過特定數目故障傳遞的信息的安全級別。
8.根據權利要求5所述的方法，其中，所述故障是軟故障或硬故障。
9.根據權利要求5所述的方法，其中，所述一個或多個安全準則包括定義一個或多個安全區域。
10.根據權利要求5所述的方法，其中，每一個安全區域與安全級別關聯。
11.一種設備，包括 接口，配置為接收多個部件，所述多個部件包括用於在可編程晶片上實現的安全部件和非安全部件； 處理器，配置為選擇信號的可兼容集合，並且提交由在信號的集合中的任何兩個信號之間形成的故障路徑將不導致信息的非法傳輸的信號的可兼容集合所用的布線資源； 其中，所述處理器被進一步配置為設置用於經提交的布線資源的保留，並且重新布線在所述信號的可兼容集合之外的信號，即使在出現故障時所述保留也提供安全。
12.根據權利要求11所述的設備，其中，所述處理器被進一步配置為從所述重新布線中選擇信號的第二可兼容集合，其中所述信號的第二可兼容集合是在信號的第二集合中的任何兩個信號之間形成的故障路徑將不導致信息的非法傳輸的信號的集合。
13.根據權利要求11所述的設備，其中，所述處理器被進一步配置設置用於經提交的布線資源的第二保留，其中即使在出現故障時所述第二保留也提供安全。
14.根據權利要求11所述的設備，其中，所述處理器進一步被配置重新布線在所述信號的可兼容集合以及所述信號的第二可兼容集合之外的信號。
15.根據權利要求11所述的設備，其中，所述處理器進一步被配置為收一個或多個安全準則。
16.根據權利要求15所述的設備，其中，使用所述一個或多個安全準則來設定所述用於經提交的布線資源的保留。
17.根據權利要求15所述的設備，其中，所述一個或多個安全準則包括將洩漏定義為能夠經過特定數目故障傳遞信息的安全級別。
18.根據權利要求15所述的設備，其中，所述一個或多個安全準則包括定義一個或多個安全區域。
19.根據權利要求15所述的設備，其中，每一個安全區域與安全級別相關聯。
20.一種計算機可讀介質，包括在其中體現為用於使用處理器執行的電腦程式代碼， 所述計算機可讀介質包括 用於在具有多個部件的電子設計中布線信號的計算機代碼，所述多個部件包括用於在可編程晶片上實現的安全部件和非安全部件； 用於使用設計工具處理器選擇信號的可兼容集合的計算機代碼，其中所述信號的可兼容集合是在信號的集合中的任何兩個信號之間形成的故障路徑將不導致信息的非法傳輸的信號的集合； 用於提交由所述信號的可兼容集合所使用的布線資源的計算機代碼； 用於設置用於經提交的布線資源的保留的計算機代碼，其中即使在出現故障時所述保留也提供安全；以及 用於重新布線在所述信號的可兼容集合之外的信號的計算機代碼。
全文摘要
提供方案以防止在諸如現場可編程門陣列(FPGA)之類的可編程晶片上實現的部件之間的信息洩漏。自動化布線算法對於以來自用戶的最小輸入增強安全限定而同時提供有效利用器件是有效的。識別並且鎖定信號的可兼容集合，並且產生布線資源的保留。重新布線剩餘的信號直至滿足所有信號約束。可以通過自動化布線方案的迭代而實施具有一個或多個安全級別以及一個或多個安全區域的特定的安全約束。
文檔編號G06F15/16GK102656576SQ201080054798
公開日2012年9月5日 申請日期2010年12月3日 優先權日2009年12月4日
發明者D·S·戈德曼, M·鮑爾吉奧特 申請人:阿爾特拉公司