作者：Miron Abramovici，Peter L. Levin

隨著復(fù)雜的集成電路在消費(fèi)、工業(yè)和軍事電子產(chǎn)品的幾乎所有方面及其周圍運(yùn)行，這些設(shè)備的安全制造已成為一個(gè)至關(guān)重要的問題。出于經(jīng)濟(jì)原因，幾乎所有的IC都是由外國代工廠制造的，包括由各種第三方技術(shù)提供商提供的知識(shí)產(chǎn)權(quán)（IP）內(nèi)核。IC開發(fā)通常外包給設(shè)計(jì)和測(cè)試服務(wù)供應(yīng)商，他們使用來自許多不同供應(yīng)商的自動(dòng)化工具。

從設(shè)計(jì)到制造的這一常見過程為不法行為者提供了大量機(jī)會(huì)來插入特洛伊木馬邏輯，實(shí)際上是旨在破壞 IC 關(guān)鍵任務(wù)功能的硬件黑客攻擊。到目前為止，還沒有可靠的方法來保證對(duì)這種流氓硅攻擊的部署前檢測(cè)。這個(gè)問題對(duì)國家安全的影響具有驚人的意義：特洛伊木馬可以對(duì)基本的民用基礎(chǔ)設(shè)施（電網(wǎng)、通信和銀行網(wǎng)絡(luò)）造成嚴(yán)重破壞，破壞關(guān)鍵任務(wù)，禁用武器系統(tǒng)，或提供對(duì)其他高度安全的系統(tǒng)的后門訪問。然而，新的可重新配置的晶圓廠后驗(yàn)證IP儀器旨在解決特洛伊木馬問題。

特洛伊木馬攻擊和可能的防御

特洛伊木馬攻擊可以通過多種方式發(fā)生。例如，特洛伊木馬可能入作為 RTL 模型提供的 IP 核中。此類特洛伊木馬可以設(shè)計(jì)為通過定時(shí)炸彈機(jī)制（例如，“在系統(tǒng)重置一個(gè)月后禁用內(nèi)核”）或通過誘殺機(jī)制（例如，“在處理了 1000 億個(gè)數(shù)據(jù)包后將內(nèi)核設(shè)置為測(cè)試模式”?ù）在現(xiàn)場(chǎng)部署的 IC 中激活。諸如此類的入侵可確保在硅前驗(yàn)證（使用仿真或仿真）甚至傳統(tǒng)硅驗(yàn)證期間不會(huì)激活特洛伊木馬。形式驗(yàn)證方法無法處理當(dāng)今SoC設(shè)計(jì)的全部功能范圍。如果該木馬在仿真或仿真期間從未激活，則可以通過在硅前驗(yàn)證期間分析功能覆蓋率低的區(qū)域來識(shí)別它。但通常情況下，復(fù)雜的IC被送去流片，許多區(qū)域的功能覆蓋仍然不完整，因?yàn)樵趯?shí)踐中無法實(shí)現(xiàn)完全覆蓋。

在硅后測(cè)試中，大多數(shù)提出的特洛伊木馬檢測(cè)技術(shù)分析IC的不同物理特性（如功耗、時(shí)序變化和布局結(jié)構(gòu)），以獲得完美且完全可信的參考。但是，在設(shè)備的 RTL 模型中存在特洛伊木馬排除了擁有如此完美的“?úgolden 模型”?ù;這使作為大多數(shù)檢測(cè)方法基石的基本假設(shè)無效。即使黃金模型確實(shí)存在，這樣的模型也只涵蓋功能邏輯。在設(shè)計(jì)中插入基礎(chǔ)結(jié)構(gòu)邏輯以實(shí)現(xiàn)可測(cè)試性、可靠性、可制造性等，為隱藏特洛伊木馬提供了許多額外的機(jī)會(huì)。

考慮一個(gè)兩階段攻擊，首先使用備用門在布局模型中插入特洛伊木馬，而不與功能邏輯有任何連接，然后進(jìn)行聚焦離子束 （FIB） 攻擊，將特洛伊木馬連接到功能邏輯。在FIB攻擊發(fā)生之前，此類木馬是不可見的。破壞性逆向工程技術(shù)不適用，因?yàn)镕IB攻擊僅針對(duì)制造IC的一個(gè)子集。今天，我們沒有任何可擴(kuò)展的非破壞性技術(shù)能夠檢測(cè)FIB攻擊引入的修改。但是，即使我們有這樣的技術(shù)，在大量IC上有效地使用它也是極其困難的。

表 1 總結(jié)了對(duì)不同類型的部署前特洛伊木馬檢測(cè)技術(shù)的分析。不可避免的結(jié)論是，經(jīng)典的檢測(cè)方法無法保證現(xiàn)場(chǎng)部署的IC沒有木馬。（這并不意味著我們不應(yīng)該使用部署前檢測(cè)技術(shù)。它們是必要的，但還不夠。

表1

（單擊圖形可縮放 1.4 倍）

顯然，當(dāng)今復(fù)雜的IC設(shè)計(jì)需要深度嵌入式基礎(chǔ)設(shè)施邏輯，以便在正常運(yùn)行期間實(shí)施部署后安全檢查。然而，全面檢查整個(gè)IC的安全性所需的嵌入式邏輯量可能非常昂貴。此外，安全性要求檢查邏輯對(duì)攻擊者和在相關(guān)設(shè)備上運(yùn)行的任何嵌入式軟件不可見。到目前為止，沒有任何有效的解決方案能夠滿足這些要求。

一種檢測(cè) SoC 中木馬攻擊的新方法

檢測(cè) SoC 中特洛伊木馬的新方法涉及在功能設(shè)計(jì)中添加可重新配置的啟用安全設(shè)計(jì) （DEFENSE） 邏輯，以實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)視器。此基礎(chǔ)架構(gòu)邏輯由嵌入式、軟件可配置的硅“?úinstruments”組成，可以實(shí)施一系列安全檢查，以監(jiān)控 IC‘??s 操作是否存在意外或非法行為。可重新配置性允許在共享 IP 儀器硬件上實(shí)施大量和多樣化的檢查。由于可重新配置，其功能對(duì)于分析電路的逆向工程工作是不可見的。此外，與類似FPGA的硬宏不同，軟可重構(gòu)邏輯無法與功能性ASIC邏輯區(qū)分開來。

可重新配置的 IP 儀器可以在設(shè)計(jì)的任何階段（RTL、網(wǎng)表、布局和芯片）插入，不依賴于黃金參考模型，并且獨(dú)立于應(yīng)用和技術(shù)。在此實(shí)現(xiàn)中，’?úservice‘?ù 邏輯與 ’?úmission‘?ù 邏輯無法區(qū)分?！?úService‘邏輯對(duì)應(yīng)用程序和系統(tǒng)軟件也是不可見的，因此可以免受基于軟件的攻擊。圖 1 顯示了插入了基礎(chǔ)設(shè)施邏輯的 SoC 架構(gòu)。插入在 RTL 完成，設(shè)計(jì)人員選擇要監(jiān)控的重要信號(hào)。然后通過標(biāo)準(zhǔn)芯片設(shè)計(jì)流程處理檢測(cè)的 RTL 模型。

圖1

信號(hào)探測(cè)網(wǎng)絡(luò) （SPN） 配置為選擇受監(jiān)控信號(hào)的子集并將其傳輸?shù)桨踩O(jiān)視器 （SM）。SPN 是一種分布式流水線 MUX 網(wǎng)絡(luò)，旨在支持多個(gè)時(shí)鐘域。SM 是一個(gè)可編程事務(wù)引擎，用于實(shí)現(xiàn) FSM，以檢查當(dāng)前帶到其輸入端進(jìn)行分析的信號(hào)的用戶指定行為屬性。安全和控制處理器 （SECORPRO） 重新配置 SPN 以選擇要由 SMS 檢查的信號(hào)組，并重新配置 SM 以執(zhí)行所需的檢查。一個(gè)SM的配置不會(huì)中斷正常的系統(tǒng)操作或其他SM的檢查活動(dòng)。所有配置都經(jīng)過加密并存儲(chǔ)在安全閃存中，所有安全檢查都取決于應(yīng)用和電路。

插入IC中的儀器邏輯執(zhí)行兩種類型的檢查。第一種類型是一組用戶指定的安全違規(guī)，例如：

嘗試訪問受限地址空間

應(yīng)處于非活動(dòng)狀態(tài)的控制信號(hào)被激活

發(fā)生拒絕服務(wù)

一個(gè)核心響應(yīng)發(fā)往另一個(gè)核心的請(qǐng)求

時(shí)鐘停用的內(nèi)核具有輸出更改

內(nèi)核進(jìn)入在當(dāng)前系統(tǒng)狀態(tài)下非法的操作模式

第二類檢查包括系統(tǒng)行為的一般正確性屬性。這樣做的理由是激活的特洛伊木馬將使系統(tǒng)以不正確的方式運(yùn)行。這些檢查可能與在硅前驗(yàn)證中執(zhí)行的檢查相同。例如，這些可能包括仿真中使用的斷言，以驗(yàn)證片上使用的標(biāo)準(zhǔn)通信協(xié)議（AMBA、PCI 等）的正確實(shí)現(xiàn)或特定塊的行為。

因此，提供了用于為可重新配置的儀器定義“?úpersonalities”?ù的工具。為了定義檢查，芯片設(shè)計(jì)人員指定要由安全監(jiān)視器實(shí)現(xiàn)的 FSM。所有檢查都是在安全環(huán)境中預(yù)先部署和驗(yàn)證的，其相應(yīng)的配置預(yù)加載到安全閃存中。芯片制造商無法訪問，因此無法知道閃存的內(nèi)容。

在斷電芯片中，可重構(gòu)邏輯為“?úblank”?ù（未編程），因此其功能對(duì)試圖對(duì)設(shè)備進(jìn)行逆向工程的攻擊者完全隱藏。同樣，SECORPRO 的控制邏輯是在安全閃存通電時(shí)配置的，因此其功能對(duì)攻擊者也是不可見的。如圖 1 所示，無法從功能邏輯或嵌入式軟件訪問安全檢查器。同樣，SECORPRO 對(duì)其他片上應(yīng)用處理器也是不可見的。

對(duì)策第一

當(dāng)檢測(cè)到攻擊時(shí)，第一步應(yīng)該是部署對(duì)策，例如禁用可疑塊或強(qiáng)制安全操作模式。智能基礎(chǔ)設(shè)施平臺(tái)可以通過信號(hào)控制塊控制指定信號(hào)來實(shí)現(xiàn)對(duì)策，該模塊使SECORPRO能夠覆蓋信號(hào)的值（再次參見圖1）。例如，如果內(nèi)核表現(xiàn)出非法行為，SECORPRO 可以通過禁用其時(shí)鐘、關(guān)閉電源、連續(xù)重置或在其輸出上強(qiáng)制使用安全值來隔離該內(nèi)核。

這些僅代表需要集成到系統(tǒng)級(jí)解決方案中的基本對(duì)策，以便在檢測(cè)到的攻擊中幸存下來。系統(tǒng)級(jí)恢復(fù)可以結(jié)合提供故障安全狀態(tài)、替換行為異常邏輯的備用邏輯以及返回到上一個(gè)安全檢查點(diǎn)等技術(shù)。但是，這些主題超出了本次討論的范圍。

現(xiàn)代 IC 確保安全

當(dāng)今集成電路的安全性需要一個(gè)可重新配置的基礎(chǔ)設(shè)施平臺(tái)，用于部署后檢測(cè)任務(wù)關(guān)鍵型應(yīng)用中針對(duì)IC的特洛伊木馬攻擊。這種技術(shù)是DAFCA，Inc.設(shè)計(jì)的商用硅驗(yàn)證平臺(tái)的自然延伸，用于系統(tǒng)內(nèi)硅驗(yàn)證和調(diào)試，以防止不法分子損害或干擾IC’??s的關(guān)鍵任務(wù)功能。這種方法解決的國家安全問題可以引入新的保護(hù)水平，防止基礎(chǔ)設(shè)施中斷、武器系統(tǒng)破壞或其他此類安全漏洞。

審核編輯：郭婷