1295133 九、發明說明: 【發明所屬之技術領域】 本發明係關於-種積體電路石夕智財產之數位智產權管 -理(DRM)系統平台方法,尤指依據身分認證碼與積體電路 - 數位智產權管理平台,追蹤來源的積體電路石夕智財產之數 位智產權管理(DRM)系統平台方法。 【先前技術】 目丽ic設計的趨勢均朝向系統晶片(System on a Chip, S〇C)發展’ @此频電路约財却p)職念也被提出。 透過一個個預先設計與驗證好的IPC0re,整 '统晶片。所以,很多IP模組均可被重複次使用成4= 系統晶片在也不用從頭到尾完全自己開發。 然而,若IP在未經授權的情況下,被整合進IC之中 時’由於經過Synthesis、P&R之後,往往無法從ph〇t〇graph 或佈局(layout)之中辨識出哪個部分屬於未經授權使用的 IP 〇 據非正式統計報告所稱,每年因為這類非法使用的 IP,而造成咼達5億美元的工業損失。許多ic設計公司常 常為了保護自身的權益,常常彼此互相興訟。有時,往往 因為缺乏直接證據,這類訴訟也常常不了 了之。 為了讓1C設計者的智慧財產權能夠受到有效且便利 的方式保護,進而使得設計者更願意從事〗P c 〇 r e的設計與 創作,使得整個1C設計產業能夠更快速的發展,目前市場 6 1295133 會 上確實需要一種此夠徹底追蹤ip c〇re的流向、在使用Eda 工具時仍不會受到過多的限制的管理方式。 數位智產權管理(Digital right management,DRM)原是 應用在多媒體方面,用來保護及管理多媒體擁有者的數位 - 智產權,完整的數位智產權管理,可達到防止盜拷及智權 認證的目的。然而,目前尚未有的積體電路石夕智財產的數 位智產權管理技術,此外,目前也尚未有積體電路石夕智財 • |的保密機制平台,因此,目前電子產業急需-個積體電 路矽智財產之數位智產權管理(DRM)系統平台與方法,以 維護積體電路騎難提供者及設計者的智慧財產權。 【發明内容】
基於上述目的,本發明積體電路矽智財產管理方法, 主要建立由通用認證碼(Ge_l ID)、安全認證碼(s_ ID) =且成的身分認證碼,並將之喪人IpeGre硬體程式碼的行 石級之中,並湖本發明所提出的公開鑰匙密 馬保濩對IP c 〇re進行加密保護。由於使用者或客戶並益法 本發明之主要目的在提供一種積體電路矽智財產之數 位智產權管理平台及綠,藉著公騎匙等技術將身分認 ,碼鼓入IP eGre以及藉著網路環境資輯行來源認證程 ’而確實掌握IP的流向’有效地追查財法散佈ιρ的 公司或個人’達到保護積體電路碎智財產的目的。同時, 由於許多額外賴護程料是在不干擾或改魏有工具的 情況下進行的,因此可以大幅提高市場接受度。 7 、1295133 察見身77 碼’因此正被非法散佈出去後,便可依據身 分認證碼追查違法散佈的公司。 ‘ 力入身77確認碼以及餘匙密碼(pubHc key 和 - Private 後’接下來在矽智財產供應者(IP vendor)、電 子設計自動錄體(EDA)供應商、客戶端、晶圓廠和設計 者之間的保在平台中,均採用網路環境資訊、身分確認碼 做為為證依據’且採用加密的Ip硬體程式碼、石夕智產文 • ,每设计層級的模擬/驗證模型以及模擬訊號與測 試訊號(test pattern) ’在不干擾EDA軟體工具的情況下, 辅助客戶端進行設計與模擬程序。 關於本發明之優點與精神可以藉由以下的發明詳述及 所附圖式得到進一步的瞭解。 【實施方式】 請參閱第一圖,第一圖為本發明積體電路矽智財產之 鲁 數位智產權管理(DRM)系統平台之示意圖。如第一圖所 示,積體電路矽智財產之數位智產權管理(DRM)系統平台 中’電子設計自動化軟體工具(EDAt〇〇1)提供應商16已事 先和妙智財產供應者l〇(IP vend〇r)與設計者i8(IpDesigner) 約定好的保護方式(身分認證碼、公開鑰匙密碼(public key)、私密鑰匙密碼(privatekey)、網路環境資訊等),並將 此EDA工具交給客戶端12使用。最後,矽智財產供應者 10會將客戶端12所需的IP以及客戶端12的佈局(lay〇ut) 送到晶圓廠14下線。公開鑰匙密碼編碼程序主要可由電子 8 J295133 設計自動錄體(EDA)供顧収義,料有躲密碼編 瑪程序則主要可切智財產供應者1G所定義。客戶端12 在使用此EDA工具時,仍和以往的EDA工具沒有太大的 差異’客戶端12幾乎不會感受到本發明積體電路砍智財產 管理方法的存在。底下將針對身分認證碼、公·起密碼 (public key)、私密鑰匙密碼(private key)、客戶端ι2在使 用此加入本發明管理機制的EDA工具的情況。 本發明積體電路矽智財產管理方法之所以可以追查正 究竟是哪個公司或個人非法散佈出去的,是因為碎智財產 供應者ίο在提供其所擁有的IPc〇re給客戶端ι2之前,必 須將由通用認證碼(General ID)、安全認證碼(Secure ID)所 組成的身分認證碼嵌入IP c〇re硬體程式碼的行為模式設 汁層級之中。由於通用認證碼乃相對於矽智財產供應者 10,而安全認證碼則是相對於客戶端12,因此當ιρ被非 法散佈出去後’便可依據身分認證碼追查哪個公司或個人 (客戶端12)違法散佈哪個矽智財產供應者1〇的Ip。 明參閱第一 A〜二B圖,第二a〜二B圖為本發明通用 認證碼、安全認證碼之示意圖。如第二人圖所示,上述通 用認證碼至少包含矽智財產編號(Ip number)、矽智財產設 计么司(IP design company)、版本、製程編號(manufacturing information)和確認碼(check bit),而如第二B圖所示,安 王tr心*碼至少包含指紋序列(泡㊁哪丨丨此叩sequence)和確 認碼(check bit)。 J295133 4閱第二圖’第三圖為本發明Ip提供㈣、設計 者,EDA提供廠商與客戶端之_保密平台之示意圖。簡 略=言’在本發明IP S供廠商、設計者,EDA提供廠商 與客戶端之間的保密平台中,IP設計者18將設計好的正 提供給IP提供絲1G ’ IP設計者18與IP提供廠商1〇根 據簽約内容’加人IP的身份認證碼(通賴證碼與安全認 證碼)’ IP設計者18接著採用合成軟體(synthesist〇〇1),將 行為模式設計層級程式碼(behavi〇r design丨”叫轉換成邏 輯设计層級程式碼(gate design ievei)。接著ip採用自動繞 線佈局軟體’將邏輯設計層級程式碼(gate design levd)轉換 成實體没计層級程式碼(phySicai design level),並進一步完 成佈局〇7〇叫與〇11(:、五11(:驗證。 具體而言’為了能夠順利達成將身分認證碼嵌入Ip core硬體程式碼的行為模式設計層級之中,仍需進一步密 碼保護的機制,亦即公開鍮匙密碼編碼程序、私有鍮匙密 碼編碼程序。 請參閱第四圖,第四圖為本發明公開鑰匙密碼編碼程 序之示意圖。如第四圖所示,當身分認證碼加入IP中的原 始碼後,電子設計自動化軟體(EDA)供應商所設計的EDA 工具會解讀以’protect和’endprotect標示需要加密保護的範 圍(舉例說明),接著以EDA供應商事先決定好的公開鑰匙 密碼開始對範圍内的内容進行編碼運算,而產生出第一已 編碼矽智財產碼。本發明公開鑰匙密碼編碼運算主要為替 代程式規則和交替排序程序規則。 1295133 口月今阅弟五A〜五B圖’第石口回从 魏之示意圖。如UA__ # ®為本發明公開 硬體沪、+、& 圖所不,替代程式規則主要是將 所言中的如__嶋_,來置換如第四圖 protect ^endprotect , 做進—牛交替排序程序規麟編碼範_的描述 起ί碼特別注意的是,本發明公開翰
W馬運异亚不見得非得如第五Α〜五β圖所示之運 ίϊ二i只要能財效加密/解㈣方法都仍屬於本發明公 開鍮处密碼編碼運算。 由於第五A〜五B圖所示之公開鑰匙密碼編碼運算屬 解=公_編碼方式,有心人仍有辦法從職供應商取得 解饴的方法,因此在完成編碼的第一已編碼矽智財產碼, ,,有IP⑽智財產供應者1G提供私密鑰匙密碼編 崎運算。 ^凊參閱第六圖,第六圖為本發明私密鑰匙密碼編碼運 异之示意圖。如第六圖所示,矽智財產供應者1〇藉著自行 以至少500位元(bits)且每一位元均為二進位位數的私有鑰 匙密碼,對如第四圖所示之第一已編碼矽智財產碼進行編 碼,並產生出第二已編碼矽智財產碼。 請參閱第七圖,第七圖為本發明私密鑰匙之示意圖。 如第七圖所示,本發明私密鑰匙為每1〇個位元為一組,會 將第一已編碼石夕智財產碼根據不同位元的密碼,將硬體描 述語言重新打散,並加以排列。
1295133 請參為本發明解碼程序之示意圖。 示’t希望追查究竟是哪個公司或個人(客戶端 )延法放佈哪㈣智財產供應者1〇的ιΡ時,便可以再取 得公開輪匙、私密鑰匙後,如第八圖所示般――還原,亦 =推如第四圖和第六圖所示之運算程序。待解碼完成 後’ P可依據相對於⑦智職供應者的通用認證碼(Generai ID)以及姆於客彳_安全認證碼(Se_叫騎追查。 對IP設計者18而言,便可將第二已編碼矽智財產碼 轉換成邏輯設計層級(gate design levd)程式碼,然後將邏輯 »又β十層級私式碼轉換成實體設計層(physical如以明丨^^) 程式碼,最後依據實體設計層程式碼完成佈局(lay〇m)、 DRC、ERC驗證。每完成一階段設計後,Ip設計者18、矽 曰財產供應者1 〇均可利用上述的方法,將ip做保護。 在完成以上所述將身分認證碼嵌入IP C0re硬體程式 碼的行為模式設計層級之中,並將之完成編碼程序後,此 時的IP就已經受到保護,而可以如一般的IP提供給客戶 端使用。但是為了更強化對IP的保護,另提供一個保護平 台0 請參閱第九圖,第九圖為本發明保護平台之示意圖。 設計層級(design level model)共可分為暫存器傳送層級 (register transfer level,RTL)、邏輯設計層級和實體設計厣 級,所以這個保護平台仍必須針對不同的設計層級分別如 第九圖所示之傳送給客戶端12的已加密IP等等(相對於不 12 .1295133 同設計層級且客戶端12可以察覺)以及客戶端12無法察覺 的傳送鑰匙(Key)、進行來源認證程序、進行身分認證程序。 具體而& ’各戶端12依據不同的設計層級(design level ^ model)要求矽智財產供應者10提供相對的第二已編碼矽 „ 智財產碼(經密碼加密且相對於該設計層級的矽智財產)、 矽智財產文件、相對於設計層級的模擬/驗證模型以及模擬 訊號與測試訊號(test pattern)予客戶端12。 ❿ 接著,依據客戶端12的網路環境資訊進行來源認證程 序。網路環境資訊至少由網路卡MAC位址以及吓位址所 組成,且由客戶端12事先提供給矽智財產供應者1〇。 待通過來源認證程序以及確認第二已編碼石夕智財產碼 内含的身分認證碼分別與矽智財產供應者1〇、客戶端12 吻合後’則提供組鑰匙(key)給客戶端12。 依據矽智財產文件將矽智財產碼整合進客戶端12的 系統晶片,並依據模擬/驗證模型進行驗證程序。 • 若設計層級為暫存器傳送層級、邏輯設計層級時,完 成模擬與驗證的驗證程序後,客戶端12會向矽智財產供= 者10提供相對於設計層級的硬體程式碼。 若設計層級為該實體設計層級時,完成模擬與驗證的 驗證程序後,客戶端η會將相對於設計層級的佈局(layout) 明晶圓廠14下線,且騎職供應者1G也會提供解穷 後的發智財產碼給晶圓廠14,以完成晶片下線的動作。山 請參閱第十圖,第十圖為黑盒子模擬之示意圖。如第 十圖所不,依據矽智財產文件將矽智財產碼整合進客戶端 13 1295133 12的系統晶片,並依據模擬/驗證模型進行驗證程序,這個 私序被稱之為黑盒子模擬。此正如同傳統使用離散元件 一般,只要有資料薄(Data sheet)就可以使用離散冗元件。 請參閱第十-A〜十-B圖,第十_A〜十—B圖為本 發明保遵平台的實現方式之流程圖。 流程1 ·當客戶端12向IP提供廠商丨〇購買一個正, 客戶端12與IP提供廠商1〇將會簽署一份Ip交易合約與 保密合約,IP提供廠商10會要求客戶端12提供一個網路 環境資訊(LAN card number 與 Internet Protocol Address)。 流程2 :簽約後,IP提供廠商i〇首先提供「經由密 碼加密的RTL設計層級ip」,「ip說明文件(ip Document)」,「RTL設計層級的模擬與驗證模型(simulati〇n and verification model)」與「模擬訊號與測試訊號⑼以 pattern)」給客戶端12。 流程3 : IP提供廠商10為了認證,經由網路,向客 戶端12所使用的EDA Tool發出Identify訊息,以確認客 戶端12的網路環境資訊(LAN card number與Internet Protocol Address)及IP裡面的身份認證碼(general ID與 secure ID),這個步驟是客戶端12無法察覺的訊息,只有 IP提供廠商10與EDA Tool察覺到這個過程。 流程4:客戶端12的EDA Tool提供網路環境資訊(LAN card number 與 Internet Protocol Address)與身份認證石馬 (generallD與securelD),這個步驟亦是客戶端12無法察 14 J295133 覺的汛息,只有IP提供廠商ι〇與EDA τ〇〇ι察覺到這個 過程。 流程5 :若網路環境資訊(LAN card number與Internet
Protocol Address)與身份認證碼(generai id 與 secure ID)認 證符合’則IP提供廠商l〇提供客戶端12的EDa T〇〇i — 組输起(Key),這個步驟亦是客戶端12無法察覺的訊息, 只有IP提供廠商10與EDA Tool察覺到這個過程。 流程6 ··客戶端12的根據將ip說明文件與RTl設計 層級的模擬與驗證模型,將IP整合進入系統晶片之中,ιρ 的功此可透過RTL设計層級的模擬與驗證模型(simulation and verification model)加以模擬驗證,這種驗證方式,我們 稱之為黑盒子模擬(black-box simulation),正如我們傳統使 用離散1C元件(discrete component)—般,只要有資料薄 (Data Sheet)就可以使用離散ic元件。 流程7:客戶端12做完RTL設計層級的模擬與驗證之 後,透過網路向IP提供廠商1〇發出訊息,要求IP提供廠 商10提供邏輯設計層級(Gate design level model)硬體程式 碼。 流程8 : IP提供廠商1〇為了認證,經由網路,向客戶 端12所使用的EDA Tool發出identify訊息,以確認客戶 端 12 的網路環境資訊(LAN card number 與 Internet Protocol Address)及IP裡面的身份認證碼(generai id與secure ID), 這個步驟是客戶端12無法察覺的訊息,只有ip提供廠商 10與EDA Tool察覺到這個過程。 1295133 流程9:客戶端丨2的EDA Το〇ι提供網路環境資訊(lan card number 與 lnternet pr〇t〇c〇l Address)與身份認證碼 (generallD與secure π)),這個步驟亦是客戶端12無法察 覺的訊息,只有IP提供廠商10與EDA Tool察覺到這個過 程0 流程10:若網路環境資訊(LAN card number與Internet Protocol Address)與身份認證碼(generai id 與 secure id)認 證符合,則IP提供廠商l〇提供「經由密碼加密的邏輯設 计層級IP」’「IP說明文件(IP Document)」,「邏輯設計層級 的模擬與驗證模型(simulation and verification model)」與 「模擬訊號與測試訊號(testpattern)」給客戶端12,這個步 驟亦是客戶端12可以察覺的過程。 流程11 :接著IP提供廠商1〇提供客戶端12的EDa Tool —組鑰匙(Key),這個步驟是客戶端丨2無法察覺的訊 息’只有IP提供薇商1〇與EDA Tool察覺到這個過程。 流程12:客戶端12的根據將IP說明文件與邏輯設計 層級的模擬與驗證模型,將IP整合進入系統晶片之中,ιρ 的功能可透過邏輯設計層級的模擬與驗證模型(simulati〇n and verification model)加以模擬驗證。 流程13 :客戶端12做完邏輯設計層級的模擬與驗證 之後,透過網路向IP提供廠商1〇發出訊息,要求Ip提供 廠商10提供實體設計層級(Physical design level model)硬 體程式碼。 16 1295133 流程14 : IP提供廠商ι〇為了認證,經由網路,向客 戶端12所使用的EDA Tool發出Identify訊息,以碟認客 戶端12的網路環境資訊(LAN card number與Internet Protocol Address)及IP裡面的身份認證碼(general ID與 secure ID),這個步驟是客戶端12無法察覺的訊息,只有 IP提供廠商10與EDA Tool察覺到這個過程。 流程15 :客戶端12的EDA Tool提供網路環境資訊 (LAN card number 與 Internet Protocol Address)與身份認證 碼(general ID與secure ID),這個步驟亦是客戶端12無法 察覺的訊息,只有IP提供廠商10與EDA Tool察覺到這 個過程。 流程16:若網路環境資訊(LAN card number與Internet Protocol Address)與身份認證碼(general ID 與 secure ID)認 證符合,則IP提供廠商10提供「經由密碼加密的實體設 計層級IP」’「IP說明文件(IPDocument)」,「實體設計層級 的模擬與驗證模型(simulation and verification model)」與 「模擬訊號與測試訊號(testpattern)」給客戶端12,這個步 驟亦是客戶端12可以察覺的過程。 流程17 :接著IP提供廠商1〇提供客戶端丨2的EDA Tool —組鑰匙(Key),這個步驟是客戶端12無法察覺的訊 息’只有IP提供廠商10與EDA Tool察覺到這個過程。
流程18 ·客戶端12的根據將ip說明文件與實體設計 層級的模擬與驗證模型,將IP整合進入系統晶片之中,IP 17 1295133 的功能可透過實體設計層級的模擬與驗證模型(simulati()n and verification model)加以模擬驗證。 流程19 ··當客戶端12通過實體設計層級的模擬與驗 證’各戶端12將完成的實體設計層級layout(經過保密的 layout)送到晶圓廠14下線。 流程20 : IP提供廠商1〇提供晶圓廠14解密後的ip layout給晶圓廠14,完成晶片下線的動作。 綜上所述,積體電路矽智財產管理方法,藉著將Secure ID嵌入IP core之中,藉由Public key加以保護,並採用 網路環境資訊作為認證的憑證。當[p被授權後,透過p u b i i c key、Secure ID、網路環境資訊做層層認證,不單單能保護 行為模式設計層級的IP,還可以保護邏輯設計層級、實體 设計層級的IP。透過Secure Π)的認證流程,驗證IP的原 始創作者、歸屬,不需要打開1C包裝或是追蹤程序碼即可 得知IP的設計歸屬。 藉由以上較佳具體實施例之詳述,係希望能更加清楚 描述本發明之特徵與精神,而並非以上述所揭露的較佳具 體實施例來對本發明之範疇加以限制。相反地,其目的是 希望能涵蓋各種改變及具相等性的安排於本發明所欲申請 之專利範圍的範轉内。 1295133 【圖式簡單說明】 第一圖為本發明積體電路矽智財產之數位智產權管理 (DRM)系統平台之示意圖; 第二A〜二B圖為本發明通用認證碼、安全認證碼之示 意圖; =圖為本發明IP提供廢商、設計者、eda提供廠商 各戶端之間的保密平台之示意圖; 第四圖為本發明公開鑰匙密碼編碼程序之示意圖; ,五A〜五B圖為本發明公開鑰匙之示意圖·, 第六圖為本發明私密鑰匙密碼編碼運算之示竟圖; 第七圖為本發明私密鑰匙之示意圖-第八圖為本發明解碼程序之示意圖 第九圖為本發明保護平台之示意圖 弟十圖為黑盒子模擬之示意圖;以及 A〜十—B圖林發縣護平台的實現方式之流 【主要元件符號說明】 10矽智財產供應者 12 客戶端 14 晶圓廢 16 EDA提供廠商 18 設計者 19