周昱1,2,于宗光1,3
(1.中国电子科技集团公司第五十八研究所,江苏无锡214072;2.中国电子科学研究院北京100041;3.西安电子科技大学微电子学院,陕西西安710071)
摘要:软件木马曾被认为是计算机系统的唯一安全威胁,计算机系统内的硬件即集成电路
被普遍认为是安全可信的。但随着硬件木马这一针对集成电路及其应用的新的安全威胁的出现,打破了硬件安全可信的传统观点。硬件木马是集成电路在设计与制造过程中遭到人为恶意篡改而形成的影响电路功能、性能等参数的各种逻辑后门与漏洞。硬件木马的攻击模型有很多种,有的会改变电路的逻辑功能;有的会泄露电路内部的机密信息;还有的既不改变电路的功能,也不泄露电路内的机密信息,但能协助软件木马来攻击整个系统。随着集成电路设计的日益复杂,制造成本日趋高昂,集成电路产业正朝着全球合作的方向发展,集成电路在其产业链各环节受到硬件木马攻击的威胁将会越来越大,因此发展硬件木马的识别技术来保证集成电路的安全性已迫在眉睫。文章主要分析硬件木马造成的威胁,包括各种攻击模型及其分类,介绍当前硬件木马识别技术的最新研究进展,阐述未来该领域的研究热点。
关键词:硬件木马;IP安全性验证;旁路分析;逻辑测试;光学分析
中图分类号:TP309文章编号:1671-1122( 2016) 01-0011-070引言
集成电路是所有信息化设备不可或缺的核心部件,不仅在民用领域有广泛的应用,在国防和国家安全领域更是起着举足轻重的作用。随着集成电路设计的日益复杂,制造成本日趋高昂,集成电路产业正朝着全球合作的趋势发展。因此集成电路在研发过程中,不可避免地会涉及到第三方IP/设计服务、本土以外的晶圆制造以及封装测试,在这些环节中,集成电路很可能受到反向分析,并被人为恶意修改,造成集成电路在功能、性能上可能存在潜在的漏洞(也被称为硬件木马)。美国国防部、美国参议院、美国半导体设备与材料学会等相关部门都曾发布白皮书或研究报告,表示对集成电路的安全性和可靠性的担忧。“斯诺登棱镜门伊朗震网”等热点事件表明,硬件木马可以作为一种武器来进行信息战、网络战,甚至物理摧毁军事装备与关键设施,严重威胁国家安全。
1硬件木马的攻击机理和分类
1.1攻击机理
硬件木马的种类有很多。有些硬件木马会改变电路的功能,进而影响电路的正常工作,在一些关键的应用场合如空间卫星、火箭、导弹、飞机以及核设施等,可能会造成灾难性的后果。有些硬件木马通过内置后门,在数据传输的过程中泄露机密信息。还有些硬件木马本身不对电路的工作产生任何影响,也不泄露机密信息,但其为软件木马提供后门,协助软件木马对系统进行攻击。
1)改变电路功能
图1为硬件木马改变电路功能的实例。在一个CPU内核流水线架构中,当硬件木马中的计数器达到饱和状态,即所有比特位全部为逻辑1时,该硬件木马会将输入的数据进行取反操作,数据由A变成A的相反数A*,从而改变了数据值,改变了CPU执行指令进行数据运算的值,严重危害到使用该CPU的系统的安全性。例如,在火箭发射过程中,一旦存在类似的情形,很有可能造成发射失败的严重后果。
2)泄露电路内部机密信息
图2为泄露电路内部机密信息型的硬件木马实例。在 一个CPU内核流水线架构中,内部寄存器内的机密信息不仅供译码和执行器使用,还存在一条人为恶意添加的隐匿路径将寄存器与输出端口相连,当内部的时序逻辑木马达到一个触发状态时,输出端口处的二选一多路选择器会选择将寄存器的信息输出,从而造成电路内部机密信息的泄露。当前很多民用的加解密芯片都采用类似的架构,一旦内部被植入此类的硬件木马,很有可能造成芯片内的密钥信息被泄露。
3)协助软件木马控制系统
图3是协助软件木马控制系统的示意图。在一个CPU内核中存在两命指令执行器,一个执行正常指令,另一个执行特殊指令,作为用户只知道执行正常指令的执行器的存在。万一攻击者想要对系统进行控制攻击,只需要远程输入特殊指令,则隐藏在CPU内核中的硬件木马会为执行特殊指令的执行器2打开路径,这样用户便无法再对CPU进行任何操作,只有知道特殊指令的攻击者才能够控制操作系统。
4)物理摧毁
图4是利用硬件木马实现对集成电路物理性摧毁的实例。在集成电路的电源网络中,电源VDD和接地VSS之间被植入开关晶体管,控制这个晶体管开关的控制信号来自一个计数器。当计数器没有达到饱和状态,即输出为0时,此开关晶体管关闭;当计数器达到饱和状态,即所有比特位全部为逻辑l时,该硬件木马会将这个连接VDD与VSS的晶体管打开,从而造成电源与地的短路,进而烧毁整个电路的供电网络,使得电路完全报废。攻击者可以通过巧妙设置该计数器的饱和时间点,使得该集成电路在考核、测试阶段都不会触发此硬件木马,只有当电路装备后,用于工作中时才会触发,从而造成极大的危害。
1.2分类
硬件木马的分类方式有很多:按照电路类型可以分为数字电路型硬件木马、模拟电路型硬件木马和数模混合型硬件木马;按照逻辑类型可以分为时序逻辑型硬件木马、组合逻辑型硬件木马以及混合逻辑型硬件木马;按照对电路的危害可以分为功能型硬件木马和参数型硬件木马。但上述分类方法都存在一定的局限性,无法将所有的硬件木马类型都包含在内。图5提供了一个更高层次上根据不同属性对硬件木马的分类,这些属性分别是植入阶段、抽象层次、激活机理、危害性和木马位置,通过这5个属性来描述硬件木马。通过基于对硬件木马定义的这5个属性的分类方法,能够对硬件木马分类建立模型,使硬件木马的类别与模型一一对应,并进行相关的研究。
2硬件木马的识别技术
硬件木马识别、检测理论与技术在国外已经成为非常热门的研究领域,且有较多的研究成果。对硬件木马的检测可以分为流片前检测和流片后检测两个大类。流片前的检测主要是在芯片进行制造之前对设计中使用到的不可控的第三方IP/设计服务进行安全性验证。流片后的检测目前可以分为四类,分别是破坏性检测、旁路分析检测、逻辑测试检测以及光学分析检测。图6是对当前硬件木马检测技术的分类。
2.1 l P安全性验证
当今的S o C芯片不仅规模大而且设计复杂度高,且集成了多种不同功能的l P。这些IP 一般都来自于不同的供应商,很难保证这些IP安全可信且内部不含有硬件木马。IP中硬件木马的植入可以通过特殊的标准单元或者内部的CAD工具等多种方式实现。目前尚没有一个完整、成熟的解决方案可以应对IP的安全性验证,针对IP的安全性验证与测试方法还是通过功能测试与结构测试完成。功能测试通过输入各种功能测试向量来观察IP的输出是否正常,如果能够获得保证安全可信的l P黄金模型,则可以将IP的输出结果与黄金模型的输出进行比较,从而判断是否有硬件木马,但是黄金模型往往极难获得。介绍了一种验证方法:首先,通过功能测试向量将一些功能验证覆盖到的节点排除;其次,通过ATPG工具使电路到达一些功能上不可能到达的状态,从而再继续排除一部分电路节点,得到疑似问题节点;最后,通过激活疑似问题节点,将此电路与用户根据规范设计的类似电路模型进行功能上的对比,判断IP内部是否含有硬件木马。
2.2破坏性检测
破坏性检测是将待测芯片去外壳,然后使用扫描电镜等设备对电路逐层进行拍照,然后与原始版图作对比,从而判断芯片中有无硬件木马。此方法虽然最为直观,但只适用于规模较小的电路。因为随着电路规模的增大,其难度与耗费时间也会显著增加,且针对一批芯片中只有少数几颗芯片含有硬件木马的情况,这种破坏性检测方法有可能漏检。因此,此方法更多是作为一种辅助手段,在用其他某些检测方法确定待测芯片含有硬件木马后,再通过此方法来确定待测芯片中的硬件木马的形态与结构,便于未来分析。
2.3旁路分析
旁路分析即利用芯片工作时的旁路信息(如电磁辐射、电流或者电路延时等信息)来对木马进行检测。其原理是电路中植入的硬件木马会对芯片的一些旁路信号,如电流、频率或路径延时产生影响,因此通过观察芯片的旁路信号并与原始芯片的旁路信息作比较,进而检测出芯片中是否有硬件木马的存在。对电路进行基于旁路分析的硬件木马检测的最大优点是可以使硬件木马在不被触发的情形下被检测出来。但是该方法也有明显的缺点,即当待测电路的总体规模很大,电路内部被植入硬件木马规模很小时,一些旁路信息,如电流和路径延时,其变化幅度极小。考虑到测量过程中引入的噪声,以及芯片制造过程中由于工艺漂移带来的噪声,这种极小的旁路信号变化将无法被实际测量出来,或者即使被测量出来,也难以确定是由于硬件木马引起的,还是由于测量噪声、工艺漂移噪声引起的。图7即为工艺漂移对电路的电流以及频率的影响示意图。
为了克服基于旁路分析的检测技术中较大工艺漂移的影响,人们想了很多信号处理方法来过滤各种噪声。提出了一种基于概率统计的Karhunen- Loeve展开方法将噪声与木马产生的瞬电流区分出来,如图8所示。由于电路的最大工作频率与平均瞬时态电流之间存在关系,提出了一种多参数检测硬件木马的方法,即通过平均动态电流与最大频率之间的关系来判断电路内部是否含有硬件木马,如图9所示。先获得不含有硬件木马电路的频率与动态电流曲线关系,并作为基准曲线;然后对待测芯片进行相同的测试,获得频率与动态电流曲线;再与基准曲线进行比较,判断曲线之间是否存在超出阈值范围的偏差。由于电路在工作时除了产生动态电流以外,还有静态电流产生,且随着工艺角的变小,静态电流在总电流中所占的比重越来越大,当电路内部的硬件木马规模达到一定的比例后,硬件木马即使不处于工作状态,其产生的静态电流也相当可观。介绍了三种利用电路的静态电流来检测电路内部是否含有硬件木马的方法。由于在电路内部植入硬件木马后,电路的逻辑路径会发生改变,因此有可能会使得某些路径的逻辑延迟发生变化,介绍了两种通过测量逻辑路径的延时来判断电路内部有无硬件木马的方法。
2.4逻辑测试
基于旁路分析的硬件木马检测技术的主要优点是能够检测规模较大的硬件木马电路,且测试向量比较容易产生。但其缺点也比较明显,受工艺漂移的影响较大,并且对于电路规模较小的硬件木马较难检测出来。为了克服上述缺点,基于逻辑测试的硬件木马检测技术也被较多地进行研究。基于逻辑测试的检测技术其主要优点是不受工艺漂移的影响,并且能够有效地检测电路规模较小的硬件木马。其主要缺点是不适于检测较大规模电路的硬件木马。
逻辑测试技术类似于电路的功能测试以及DFT测试,如图10所示。通过在电路的输入端施加各种测试向量,并观察电路的输出是否和预期的输出一致,从而判断电路内部是否被植入硬件木马。图10中的硬件木马的触发输入来自原始电路,且原始电路的输出也连接到硬件木马的有效载荷电路中,当该硬件木马触发时,该电路的输出即与原始输出有不同。
硬件木马之所以难被检测的一个重要原因就是随着电路设计复杂度的提高,电路内部的节点数量越来越多,由这些电路节点通过各种组合形成的可能的硬件木马触发开关将是一个天文数字,现实中根本无法通过穷举法来测试所有可能,无法达到100%的测试覆盖率,以致一些很难触发的情况在验证及测试环境中被遗漏,从而造成潜在的威胁。当前基于逻辑测试的硬件木马检测方法大都基于概率统计理论。介绍了一种基于概率统计的逻辑测试方法,通过产生特殊的测试向量来尽可能提高电路内部节点的测试覆盖率。该方法首先将电路内部翻转概率较低的电路节点找出,然后生成多组特殊的测试向量,从而使每一个翻转概率极低的电路内部节点翻转多次,通过提高这些低翻转概率节点翻转的次数,触发隐藏在电路内部的硬件木马。
前面已经介绍过,逻辑测试无法达到100%覆盖的原因是随着电路规模的增大,电路内部节点的数量呈指数级增长,实际情况下无法保证每个节点在0、1翻转的条件都能覆盖到。为了克服这种局限,介绍了一种在电路内部插入虚拟扫描触发器,从而控制电路节点翻转的方法。该方法根据想要控制的节点变0或者变1的需求,人为地改变节点的0、1翻转,从而触发一些逻辑验证或者测试覆盖不到的地方,提高硬件木马被触发的概率。图11为一种“虚拟D触发器一门”电路结构。当一个电路节点0的概率远远小于1的概率的时候,在此电路节点处添加虚拟D触发器加与门的结构,让设计人员用类似扫描的方式,人为设置此电路节点的值为0,触发某些低概率事件,使隐藏在低概率事件中的硬件木马被检测出来。同理,当一个电路节点1的概率远远小于0的概率的时候,则在此电路节点处添加虚拟D触发器加或门的结构,设置电路节点的值为1,触发低概率事件,进而检测出木马。
提出了一种利用内建自测试(Built-in SelfTest,BIST)的方法,通过对电路输入经过外部可编程密钥产生的特殊测试向量,经过电路内部的自测试逻辑后输出一组特殊向量,然后将这个向量与预测向量进行比较。如果输出向量与预测向量不一致,则认为电路被修改。由于密钥和正确的预测向量无法被人获知,攻击者难以对电路进行篡改。
基于旁路分析和逻辑测试的硬件木马检测技术是当前研究最广泛的两种技术,优缺点对比如表1所示。
2.5光学分析
集成电路在工作的时候会产生光、热和电磁等辐射,通过特殊的光学仪器如近红外显微镜进行扫描后,对应于不同的辐射信息,能形成层次不同的辐射分布图。介绍了一种非破坏性的基于光学分析的硬件木马识别方法。基于晶体管在上电或者逻辑翻转时会发光的这一原理,通过探测芯片工作时的光辐射图来判断电路内部是否含有硬件木马。介绍一种非破坏性基于近红外辐射的光学分析方法。首先对可信的版图进行仿真,得到模拟的近红外辐射仿真图。然后通过近红外照相机从测试芯片的背面对芯片的一个区域进行拍照,得到图12a),与图12b)进行对比,可以看出相对于仿真图,照片中多了_一些未知亮点。对一些可信芯片中同样的区域进行拍照,如图12c)所示,却未见相同亮点,由此可以怀疑测试芯片内部可能存在硬件木马。
基于光学分析的硬件木马检测方法的优点是不需要进行复杂的电测试和逻辑测试,且检测结果更为直观。但是对于面积较大的电路检测非常耗费时间,且对于规模较小的硬件木马,该方法需要较高的检测分辨率。但该方法仍值得继续深入研究。
3结束语
随着集成电路设计的复杂度和成本越来越高,集成电路的全球化合作越来越紧密。由于全球化合作中存在很多不受控制的环节,因此集成电路在设计、制造以及封装等各个环节中被植入硬件木马的可能性也越来越高。与软件木马相比,硬件木马更复杂、更隐蔽、破坏性更大、检测难度更大。硬件木马主要通过改变电路功能、泄露电路内部机密信息、协助软件木马控制系统等途径实施攻击,目前主要识别和检测硬件木马的方法有l P安全性验证、破坏性检测、旁路分析检测、逻辑测试以及光学分析检测等。
针对当前硬件木马检测技术研究的现状,以及未来可能出现的新的影响集成电路安全的潜在威胁,未来在硬件木马领域的研究热点有以下几个方面:1)完善当前硬件木马检测技术,解决当前存在的如检测效率较低、检测复杂度高,检测指标多样等问题,实现技术的实用化;2)探索固件型硬件木马的检测方法与技术,从软硬件结合的角度来实现对硬件木马的识别;3)探索新的硬件木马攻击模型,以及在芯片设计、制造、封装和测试等各个IC产业链环节上可能存在的尚未发现的硬件木马攻击模型。
下一篇:返回列表
