基于DPA的硬件木马检测方法.DOCVIP

一种针对关键节点的硬件木马检测方法 李水晶涛 隋强 陈吉华 李晓卫 【摘 要】随着集成电路设计与生产的全球化，电路容易被植入额外的恶意逻辑，这种额外逻辑被称为硬件木马。硬件木马更多地被攻击者植入在密码芯片中加密、解密等关键节点。本文提出一种利用差分功耗分析来检测关键节点是否被植入硬件木马的方法。该方法不需要对被攻击电路有深入地了解，但需要采集大量功耗样本用于分析。设计以AES的s-box模块作为实例，实验结果表明此方法对检测集成电路中的硬件木马是有效的。 【关键词】硬件木马检测；差分功耗分析；AES 1 引言 随着电子商务和便携式通信设备的出现，密码学已成为当今非常重要的学科。远程和安全的数据访问需要使用适当的防护方法，为了适应多种通信系统的一体化，现代密码学迎来了新的设计挑战。密码电路很容易受到各种边信道的攻击，导致硬件内部存储的秘密信息被窃取。 由于经济利益的需求，外包设计和制造过程已成为集成电路（IC）的趋势，以限制客户控制IC供应链。竞争对手利用这种限制在IC供应链中恶意植入额外的逻辑（硬件木马电路）[1]。攻击者可以在不影响设计的主要功能的条件下，修改设计网表或制造时的设计掩膜。这给集成电路的安全性和可信性带来了巨大挑战。硬件木马是一种实体的电路结构，一旦芯片制作完成，硬件木马将会长久存在，因此开展有关硬件木马防御技术的研究显得尤为重要。目前集成电路的防御技术主要集中在 2 个方面：(1)硬件木马检测技术；(2)集成电路安全性设计技术[2]。 随着芯片设计的复杂程度越来越大，对芯片内部做一点微小的改动是很难被发现的，同时硬件木马设计方法又多种多样，功能各异，涉及各个层次，加大了硬件木马检测的难度。这导致很难形成统一的检测方法，使得硬件木马的检测方法趋向于多样化，针对不同的木马可能有不同的检测方法，针对同一种木马又可能使用多种检测方法的组合。目前主要的硬件木马检测方法有破坏性检测方法和非破坏性检测方法两类。破坏性检测方法包括物理检测方法，非破坏性检测方法包括逻辑功能测试方法、旁路信息分析方法等，如图1所示。 图1 硬件木马检测技术分类 物理检测方法 物理检测方法是一种相对普遍，但带有破坏性、不可逆的检测手段。它需要将待检测的器件开封，利用扫描电镜、电子探针、半导体参数分析仪、聚焦离子束等硬件设备对芯片各层版图进行扫描分析，从而准确地定位出信号具体的传输结构图，或者通过逆向手段将芯片电路的版图扫描显现出来，以此来获得原始设计，最后通过与相对标准的版图或原设计进行比较找到电路中的硬件木马。 （2）逻辑功能测试方法 逻辑功能测试方法是一种基于自动测试向量生成（ATPG）的硬件木马检测方法，该方法通过在电路输入端口输入特定的激励信号，观测电路的输出是否与预期的输出相符合，如果发现异常，则判断电路中存在硬件木马。由于大部分硬件木马只在特定的条件下才能被激活，同时电路规模越来越大，因此必须要根据一定的算法来产生测试向量，提高测试向量对于电路的覆盖率和硬件木马的激活概率。该方法在检测组合逻辑电路时具有较好的效果，但是对于包含大量时序逻辑的电路，检测效果往往不理想。 （3）旁路信息分析方法 旁路信息（功耗、时序、辐射等）检测是现阶段使用相对广泛的检测方法。从前面对硬件木马的介绍中可知，将硬件木马添加到芯片中，肯定会导致芯片某些设计参数的改变。例如降低芯片运行性能或者增大某些节点的功耗等。这些宏观上的物理特性的改变就会导致电路连线或者逻辑门上微观功耗和延时的改变。基于功耗的旁路分析可以使芯片内部微观的活动性和结构框架显现出来，这样无需通过激活就可以将冗余的木马电路结构检测出来。 本文的检测方法主要是针对密码芯片中关键节点的旁路信息（功耗）检测分析，所谓关键节点指的是容易被挂接硬件木马的电路节点，包括利用翻转率低的节点（少态点）和加密过程中不可或缺的中间节点等。采用差分功耗分析的方法，能有效检测小规模硬件木马，突显木马功耗的影响。 2 差分功耗分析（DPA） 目前信息安全逐渐成为信息领域的重要研究方向，而加密器件作为信息安全的主要载体，其攻击和防护的研究也是当前信息安全的研究热点。功耗攻击与电磁辐射攻击相类似，是一种利用密码芯片运行时泄漏的功耗信息来分析算法密钥的攻击方法[2]。由于现阶段集成电路大多采用的静态CMOS逻辑门，当输出端发生“0→1”（或“1→0”）的信号翻转时，会产生从电源到输出端的充电电流（或从输出端到地的放电电流），而当CMOS逻辑门不发生信号翻转时，则不会产生动态电流。差分功耗分析[4]（differential power analysis，DPA）是加密器件攻击的一个主要手段，利用加密器件产生的功耗与所处理数据的相关性来获取密钥。DPA攻击的目的是通过分析大批量的功耗样本曲线来寻