作者：Miron Abramovici，Peter L. Levin

隨著復(fù)雜的集成電路在消費、工業(yè)和軍事電子產(chǎn)品的幾乎所有方面及其周圍運行，這些設(shè)備的安全制造已成為一個至關(guān)重要的問題。出于經(jīng)濟原因，幾乎所有的IC都是由外國代工廠制造的，包括由各種第三方技術(shù)提供商提供的知識產(chǎn)權(quán)（IP）內(nèi)核。IC開發(fā)通常外包給設(shè)計和測試服務(wù)供應(yīng)商，他們使用來自許多不同供應(yīng)商的自動化工具。

從設(shè)計到制造的這一常見過程為不法行為者提供了大量機會來插入特洛伊木馬邏輯，實際上是旨在破壞 IC 關(guān)鍵任務(wù)功能的硬件黑客攻擊。到目前為止，還沒有可靠的方法來保證對這種流氓硅攻擊的部署前檢測。這個問題對國家安全的影響具有驚人的意義：特洛伊木馬可以對基本的民用基礎(chǔ)設(shè)施（電網(wǎng)、通信和銀行網(wǎng)絡(luò)）造成嚴重破壞，破壞關(guān)鍵任務(wù)，禁用武器系統(tǒng)，或提供對其他高度安全的系統(tǒng)的后門訪問。然而，新的可重新配置的晶圓廠后驗證IP儀器旨在解決特洛伊木馬問題。

特洛伊木馬攻擊和可能的防御

特洛伊木馬攻擊可以通過多種方式發(fā)生。例如，特洛伊木馬可能入作為 RTL 模型提供的 IP 核中。此類特洛伊木馬可以設(shè)計為通過定時炸彈機制（例如，“在系統(tǒng)重置一個月后禁用內(nèi)核”）或通過誘殺機制（例如，“在處理了 1000 億個數(shù)據(jù)包后將內(nèi)核設(shè)置為測試模式”?ù）在現(xiàn)場部署的 IC 中激活。諸如此類的入侵可確保在硅前驗證（使用仿真或仿真）甚至傳統(tǒng)硅驗證期間不會激活特洛伊木馬。形式驗證方法無法處理當(dāng)今SoC設(shè)計的全部功能范圍。如果該木馬在仿真或仿真期間從未激活，則可以通過在硅前驗證期間分析功能覆蓋率低的區(qū)域來識別它。但通常情況下，復(fù)雜的IC被送去流片，許多區(qū)域的功能覆蓋仍然不完整，因為在實踐中無法實現(xiàn)完全覆蓋。

在硅后測試中，大多數(shù)提出的特洛伊木馬檢測技術(shù)分析IC的不同物理特性（如功耗、時序變化和布局結(jié)構(gòu)），以獲得完美且完全可信的參考。但是，在設(shè)備的 RTL 模型中存在特洛伊木馬排除了擁有如此完美的“?úgolden 模型”?ù;這使作為大多數(shù)檢測方法基石的基本假設(shè)無效。即使黃金模型確實存在，這樣的模型也只涵蓋功能邏輯。在設(shè)計中插入基礎(chǔ)結(jié)構(gòu)邏輯以實現(xiàn)可測試性、可靠性、可制造性等，為隱藏特洛伊木馬提供了許多額外的機會。

考慮一個兩階段攻擊，首先使用備用門在布局模型中插入特洛伊木馬，而不與功能邏輯有任何連接，然后進行聚焦離子束 （FIB） 攻擊，將特洛伊木馬連接到功能邏輯。在FIB攻擊發(fā)生之前，此類木馬是不可見的。破壞性逆向工程技術(shù)不適用，因為FIB攻擊僅針對制造IC的一個子集。今天，我們沒有任何可擴展的非破壞性技術(shù)能夠檢測FIB攻擊引入的修改。但是，即使我們有這樣的技術(shù)，在大量IC上有效地使用它也是極其困難的。

表 1 總結(jié)了對不同類型的部署前特洛伊木馬檢測技術(shù)的分析。不可避免的結(jié)論是，經(jīng)典的檢測方法無法保證現(xiàn)場部署的IC沒有木馬。（這并不意味著我們不應(yīng)該使用部署前檢測技術(shù)。它們是必要的，但還不夠。

表1

（單擊圖形可縮放 1.4 倍）

顯然，當(dāng)今復(fù)雜的IC設(shè)計需要深度嵌入式基礎(chǔ)設(shè)施邏輯，以便在正常運行期間實施部署后安全檢查。然而，全面檢查整個IC的安全性所需的嵌入式邏輯量可能非常昂貴。此外，安全性要求檢查邏輯對攻擊者和在相關(guān)設(shè)備上運行的任何嵌入式軟件不可見。到目前為止，沒有任何有效的解決方案能夠滿足這些要求。

一種檢測 SoC 中木馬攻擊的新方法

檢測 SoC 中特洛伊木馬的新方法涉及在功能設(shè)計中添加可重新配置的啟用安全設(shè)計 （DEFENSE） 邏輯，以實現(xiàn)實時安全監(jiān)視器。此基礎(chǔ)架構(gòu)邏輯由嵌入式、軟件可配置的硅“?úinstruments”組成，可以實施一系列安全檢查，以監(jiān)控 IC‘??s 操作是否存在意外或非法行為?？芍匦屡渲眯栽试S在共享 IP 儀器硬件上實施大量和多樣化的檢查。由于可重新配置，其功能對于分析電路的逆向工程工作是不可見的。此外，與類似FPGA的硬宏不同，軟可重構(gòu)邏輯無法與功能性ASIC邏輯區(qū)分開來。

可重新配置的 IP 儀器可以在設(shè)計的任何階段（RTL、網(wǎng)表、布局和芯片）插入，不依賴于黃金參考模型，并且獨立于應(yīng)用和技術(shù)。在此實現(xiàn)中，’?úservice‘?ù 邏輯與 ’?úmission‘?ù 邏輯無法區(qū)分?！?úService‘邏輯對應(yīng)用程序和系統(tǒng)軟件也是不可見的，因此可以免受基于軟件的攻擊。圖 1 顯示了插入了基礎(chǔ)設(shè)施邏輯的 SoC 架構(gòu)。插入在 RTL 完成，設(shè)計人員選擇要監(jiān)控的重要信號。然后通過標準芯片設(shè)計流程處理檢測的 RTL 模型。

圖1

信號探測網(wǎng)絡(luò) （SPN） 配置為選擇受監(jiān)控信號的子集并將其傳輸?shù)桨踩O(jiān)視器 （SM）。SPN 是一種分布式流水線 MUX 網(wǎng)絡(luò)，旨在支持多個時鐘域。SM 是一個可編程事務(wù)引擎，用于實現(xiàn) FSM，以檢查當(dāng)前帶到其輸入端進行分析的信號的用戶指定行為屬性。安全和控制處理器 （SECORPRO） 重新配置 SPN 以選擇要由 SMS 檢查的信號組，并重新配置 SM 以執(zhí)行所需的檢查。一個SM的配置不會中斷正常的系統(tǒng)操作或其他SM的檢查活動。所有配置都經(jīng)過加密并存儲在安全閃存中，所有安全檢查都取決于應(yīng)用和電路。

插入IC中的儀器邏輯執(zhí)行兩種類型的檢查。第一種類型是一組用戶指定的安全違規(guī)，例如：

嘗試訪問受限地址空間

應(yīng)處于非活動狀態(tài)的控制信號被激活

發(fā)生拒絕服務(wù)

一個核心響應(yīng)發(fā)往另一個核心的請求

時鐘停用的內(nèi)核具有輸出更改

內(nèi)核進入在當(dāng)前系統(tǒng)狀態(tài)下非法的操作模式

第二類檢查包括系統(tǒng)行為的一般正確性屬性。這樣做的理由是激活的特洛伊木馬將使系統(tǒng)以不正確的方式運行。這些檢查可能與在硅前驗證中執(zhí)行的檢查相同。例如，這些可能包括仿真中使用的斷言，以驗證片上使用的標準通信協(xié)議（AMBA、PCI 等）的正確實現(xiàn)或特定塊的行為。

因此，提供了用于為可重新配置的儀器定義“?úpersonalities”?ù的工具。為了定義檢查，芯片設(shè)計人員指定要由安全監(jiān)視器實現(xiàn)的 FSM。所有檢查都是在安全環(huán)境中預(yù)先部署和驗證的，其相應(yīng)的配置預(yù)加載到安全閃存中。芯片制造商無法訪問，因此無法知道閃存的內(nèi)容。

在斷電芯片中，可重構(gòu)邏輯為“?úblank”?ù（未編程），因此其功能對試圖對設(shè)備進行逆向工程的攻擊者完全隱藏。同樣，SECORPRO 的控制邏輯是在安全閃存通電時配置的，因此其功能對攻擊者也是不可見的。如圖 1 所示，無法從功能邏輯或嵌入式軟件訪問安全檢查器。同樣，SECORPRO 對其他片上應(yīng)用處理器也是不可見的。

對策第一

當(dāng)檢測到攻擊時，第一步應(yīng)該是部署對策，例如禁用可疑塊或強制安全操作模式。智能基礎(chǔ)設(shè)施平臺可以通過信號控制塊控制指定信號來實現(xiàn)對策，該模塊使SECORPRO能夠覆蓋信號的值（再次參見圖1）。例如，如果內(nèi)核表現(xiàn)出非法行為，SECORPRO 可以通過禁用其時鐘、關(guān)閉電源、連續(xù)重置或在其輸出上強制使用安全值來隔離該內(nèi)核。

這些僅代表需要集成到系統(tǒng)級解決方案中的基本對策，以便在檢測到的攻擊中幸存下來。系統(tǒng)級恢復(fù)可以結(jié)合提供故障安全狀態(tài)、替換行為異常邏輯的備用邏輯以及返回到上一個安全檢查點等技術(shù)。但是，這些主題超出了本次討論的范圍。

現(xiàn)代 IC 確保安全

當(dāng)今集成電路的安全性需要一個可重新配置的基礎(chǔ)設(shè)施平臺，用于部署后檢測任務(wù)關(guān)鍵型應(yīng)用中針對IC的特洛伊木馬攻擊。這種技術(shù)是DAFCA，Inc.設(shè)計的商用硅驗證平臺的自然延伸，用于系統(tǒng)內(nèi)硅驗證和調(diào)試，以防止不法分子損害或干擾IC’??s的關(guān)鍵任務(wù)功能。這種方法解決的國家安全問題可以引入新的保護水平，防止基礎(chǔ)設(shè)施中斷、武器系統(tǒng)破壞或其他此類安全漏洞。

審核編輯：郭婷