專利名稱:一種基于活性測度的硬件木馬檢測方法
技術領域:
本發(fā)明涉及硬件木馬檢測方法�,具體的說是涉及一種基于活性測度的硬件木馬檢測方法,屬于芯片安全檢測領域�����。
背景技術:
硬件木馬(hardware trojan),是指芯片在設計或制造過程中�,被攻擊方添加、插入到目標電路(target circuit,又稱golden chip)中的惡意硬件模塊�。在一定條件下,硬件木馬被觸發(fā),能夠實現干擾�����、破壞電路的正常工作或者竊取電路機密信息的目的����。伴隨著半導體制造產業(yè)的全球化發(fā)展,芯片被引入安全隱患的可能性越來越 大�。出于降低成本的需要,制造廠商由原來的高成本區(qū)域向低成本區(qū)域轉移��,使得制造過程中缺乏有效的安全性監(jiān)瞀�。而為了加快上市速度,在大規(guī)模芯片設計中通常采用了大量由第三方提供的IP (Intellectual Property)模塊��、模型和EDA (ElectronicDesignAutomation,設計自動化)工具等等,也使得設計過程中的具體細節(jié)不可控�����。這些都帶來了巨大的安全隱患���。硬件木馬可能存在于專用集成電路���、微處理器���、微控制器、網絡處理器和數字信號處理器�����,甚至可能存在于FPGA (Field Programmable Gate Array,現場可編程門陣列)中����。硬件木馬通常由觸發(fā)部分(trigger)和載荷部分(payload)兩部分構成。觸發(fā)部分用來監(jiān)測目標電路特定邏輯狀態(tài)�����、特定邏輯狀態(tài)組合或者特定信號�,完成對硬件木馬的激活。載荷部分執(zhí)行木馬的攻擊操作����,實現目標電路機密信息泄露或者破壞目標電路原有功能的目的。硬件木馬具有下述特點I����、規(guī)模小,占用目標芯片面積開銷小�。由于這ー特點,硬件木馬電路給目標電路帶來的相關參數増益小���,因而在電路的各種旁路參數或電磁參數中表現的不明顯�����,很容易為エ藝波動����、測量噪聲所覆蓋��。2���、隱蔽性強��。硬件木馬一般都設置了較為隱蔽的觸發(fā)條件����,因而能夠在正常電路大部分運行周期中��,都處于“沉寂”狀態(tài),不影響目標電路的正常工作��。這ー特性�,使之能夠逃避常規(guī)的基于功能的芯片檢測手段。3����、破壞性強。由于芯片屬于當今系統(tǒng)的核心部分�����,一旦發(fā)生功能異常��,整個系統(tǒng)隨之失效��。芯片已經成為信息社會的物理基礎����,滲透到社會生活的各個方面,尤其在軍事��、金融和通信領域�,更是如此。因而芯片的安全性要求日益提升到重要的角度�。正是由于硬件木馬存在的巨大可能性和廣泛性�,由于芯片在現實社會的基礎性��,使得進行硬件木馬檢測方法的研究有迫切的現實意義����。圍繞硬件木馬的檢測�����,Mohammad等人提出了基于反向工程(reverseengineering)的方法����。該方法是指通過對芯片去封裝,完整提取電路的版圖信息����,還原電路結構,從而做出電路中是否存在硬件木馬的判斷��。但是超大規(guī)模集成電路的復雜性���,使得進行這一方法成本高昂��。芯片特征尺寸向深亞微米發(fā)展�����,使得進行反向工程面臨較大困難��。即便運用反向工程方法能夠判斷所檢測芯片中是否含有硬件木馬����,但是仍舊不能斷定未檢測芯片中是否包含硬件木馬。由于反向工程是破壞性方法��,在確認無硬件木馬后��,芯片已經不可使用�。由于硬件木馬加入目標電路后,會給目標電路帶來額外的旁路信息増益�,因而學術界提出了基于旁路信息分析的方法。該方法通過比對待測電路(circuit under test)與目標電路的相應旁路信息參數�,例如延時、瞬態(tài)電流和功耗等等��,做出待測電路是否包含硬件木馬的判斷����。這種方法不依賴對硬件木馬的徹底激活,不考察電路的邏輯功能����。通常情形下����,由于硬件木馬規(guī)模小����,而隨著特征尺寸的不斷減小,エ藝波動帶來的參數波動加大����,木馬帶來的旁路信息參數波動會被エ藝波動帶來的參數波動掩蓋��。由于エ藝波動從特征上 滿足正態(tài)分布����,而硬件木馬給目標電路帶來的波動是線性的,因而借助于特征分析��、模式識別和數據處理中的算法����,如主成分分析法(Principal Component Analysis),奇異值分解(Singular Value Decomposition),對待測電路數據和目標電路數據進行處理,能夠將兩者區(qū)分開來�。硬件木馬的輸入通常來源于目標電路中特定節(jié)點���,當目標電路出現特定邏輯狀態(tài)或者邏輯狀態(tài)序列時,硬件木馬會被激活��,從而影響目標電路功能�����。因而圍繞將硬件木馬激活�,從而在功能的角度將硬件木馬檢測出來也是硬件木馬檢測的ー個方向。為有效激活硬件木馬�,Banga等人提出了一種基于區(qū)域分割的分析方法。其思路為通過對電路進行劃分�,形成ー組待檢測的區(qū)域,然后使用隨機測試方法產生測試矢量�,進ー步篩選出能夠滿足激活特定區(qū)域而對其他區(qū)域影響較小的矢量,實現通過矢量對電路的分割��。Wolff等人提出了另ー種基于測試矢量生成的硬件木馬檢測方法���。他們指出�,硬件木馬觸發(fā)部分的輸入端應該來自于目標電路中活性較低的節(jié)點���,從而使得硬件木馬不易被激活���。但是對于電路中節(jié)點的活性�,沒有提出定量度量的方法��。
發(fā)明內容
本發(fā)明的技術目的是提供一種基于活性測度的硬件木馬檢測方法�,從而實現芯片安全性檢測。為了達到上述目的��,本發(fā)明開發(fā)了對于組合電路和時序電路進行活性測度的方法��,以及在此基礎上進行硬件木馬檢測的步驟����。本發(fā)明實現目的的技術方案是本發(fā)明提供的一種基于活性測度的硬件木馬檢測方法��,如圖I所示�����,包含三個部分.bench文件生成��,電路活性測度和硬件木馬檢測測試矢量集生成����。.bench文件生成主要是按照圖2轉換原則,對目標電路門級網表中數據進行轉換,形成新的文件格式�����,為程序語言構建數據結構�����,還原電路拓撲提供入ロ文件��。對于時序電路�,在.bench文件生成中,將觸發(fā)器輸出端轉換為電路輸入端ロ(PPI)�,將觸發(fā)器輸入端轉換為電路輸出端ロ(PPO)。電路活性的測度方法是在隨機測試模式下����,電路輸入端ロ邏輯值為O和I的活性分別為0. 5,隨著路徑的加深和邏輯器件類型的不同���,節(jié)點O�、I邏輯值的活性會趨向于不均衡����,活性低的節(jié)點容易為硬件木馬所利用��。通過對電路分級��,即可將電路所有節(jié)點的活性計算出來�����,節(jié)點活性的大小反映出被插入硬件木馬可能性的大小�。
硬件木馬檢測測試矢量集生成步驟主要包括�����,在選取出容易被硬件木馬利用的節(jié)點列表后�,通過排斥性分析,生成節(jié)點狀態(tài)組合���,使用測試矢量覆蓋每ー組狀態(tài)組合����,從而完成低活性節(jié)點組合的測試矢量集生成�����,完成硬件木馬檢測的工作����。本發(fā)明的有益效果在于本發(fā)明針對組合電路和時序電路,提出了完整的節(jié)點活性測度方法��,有助于對可能被硬件木馬用作輸入端ロ的節(jié)點判斷���,定量掲示了硬件木馬可能存在的位置����。對于可能被硬件木馬利用的節(jié)點狀態(tài)組合����,本發(fā)明使用測試矢量來完整覆蓋這些狀態(tài)組合,不必插入控制點��,不產生硬件開銷���。同時可以通過對不同活性層次的節(jié)點進行考慮���,分別產生測試矢量,具有靈活性強的特點����。本發(fā)明還可以用作硬件木馬可測性設計中保護節(jié)點的選取�。
圖I本發(fā)明流程示意圖����。 圖2本發(fā)明針對時序電路處理示意圖。圖3本發(fā)明電路網表轉換規(guī)則示意圖�����。圖4本發(fā)明提出的活性測度方法示意圖���。圖5本發(fā)明節(jié)點分組與測試矢量集生成示意圖�。
具體實施例方式為使本發(fā)明的目的�����、技術方案和優(yōu)點更加清楚�,以下結合附圖對本發(fā)明作進ー步地詳細說明。本發(fā)明ー種基于活性測度的硬件木馬檢測方法�����,其步驟包括第一階段數據預處理I�、檢查輸入文件格式,若電路格式符合提出的.bench文件格式���,如圖3所示���,則進入下ー階段。2�、使用peri語言,按照圖3所示轉換原則將目標電路門級網表結構轉換為.bench文件格式���。該轉換簡化了電路表達形式���,有利于使用程序語言還原電路的拓撲結構。對于時序電路���,由于時序器件的存在��,使得電路正常工作時�����,節(jié)點邏輯與時間相關�����,在這種模式下測度節(jié)點活性較為困難��。在當前的電路設計中���,為后期芯片測試的需要�����,通常會將觸發(fā)器轉換為掃描觸發(fā)器�����,在測試模式下���,可以實現對掃描觸發(fā)器輸入端ロ的直接邏輯控制,如圖2所示�。因此,在測試模式下�����,觸發(fā)器輸出與電路輸入有相同的意義��。因而在.bench文件生成中��,將觸發(fā)器輸出端轉換為電路輸入端(PPI),觸發(fā)器輸入端轉換為電路輸出端(PPO)��,經過轉換�����,電路完全成為組合電路形式���。第二階段電路活性測度3、使用程序語言讀入.bench文件����,將每ー邏輯門與數組元素對應,在數組中�,使用指針,把邏輯門扇入��、扇出關系建立起來��,數組元素中存儲門邏輯類型��、扇入�、扇出以及節(jié)點O、I活性等信息��。4、按照從輸入到輸出的關系將電路分級��。5���、逐級計算節(jié)點活性��。如圖4所示�,設置輸入端ロ邏輯O和I的活性均為0.5�����,圖中用(0.5�����,0.5)表示�,前者為節(jié)點出現邏輯O的活性值,后者為節(jié)點出現邏輯I的活性值���。按照邏輯門的類型���,計算輸出節(jié)點邏輯O和邏輯I的活性。對于邏輯“與”門,其輸出為I的活性等于各輸入為I的活性乘積���。邏輯“或”門�,其輸出為O的活性等于各輸入為O的活性乘積�����。其他邏輯門同理計算�����。節(jié)點邏輯O和邏輯I的活性之和為I��。第三階段測試矢量集生成與硬件木馬檢測下列步驟結合圖5說明�。圖5為電路中部分節(jié)點示意���,其中節(jié)點i為I活性較低節(jié)點�,j為O活性較低節(jié)點�,k為I活性較低節(jié)點。6���、設置活性閾值����,生成低活性節(jié)點列表。圖5中i�、j、k即為低活性節(jié)點�����,節(jié)點列表為L = [i (I)����,j (O),k (I)]��,其含義為電路中i節(jié)點邏輯值為I�,j邏輯值為0,k邏輯值為I的狀態(tài)都有可能被硬件木馬利用���。7����、按照排斥性原則對節(jié)點進行元素最大化分組�����。對于圖5,首先生成A = [i(l)],B= [j(0)]����,C= [K(I)]三組,每組包含ー個元素��。第二���,對于節(jié)點列表中的其他節(jié)點����,逐一做添加判定如果要添加節(jié)點的活性矢量與組中已有節(jié)點的活性矢量無沖突�,將該節(jié)點添加到本組中���?;钚允噶渴侵甘枪?jié)點i為其活性值時要求的輸入矢量��。圖5中�����,i (I)����、j (O)活性沖突���,即節(jié)點i為I和節(jié)點j為O不能被同時滿足,因而不能被添加到同一組中���。經過該步�,最終產生兩組A= [i(l)���,k(l)]��,B= [j(0)�����,k(l)]�。其含義為��,電路中容易被硬件木馬利用的狀態(tài)組合有A和B兩種形式�。8、測試矢量集生成�。產生滿足狀態(tài)A和狀態(tài)B的測試矢量,形成矢量集����。以上所述僅為本發(fā)明的實施例而已����,并不用于限制本發(fā)明����,對于本領域的技術人 員來說,本發(fā)明可以有各種更改和變化�����。凡在本發(fā)明的精神和原則之內����,所作的任何修改�、等同替換、改進等等�,均應包含在本發(fā)明的權利要求范圍之內。
權利要求
1.一種基于活性測度的硬件木馬檢測方法����,其特征在于,包含三個部分.bench文件生成���,電路活性測度和硬件木馬檢測測試矢量集生成�����;其中�����,硬件木馬檢測測試矢量集生成包括三個步驟 1)生成電路低活性節(jié)點列表�; 2)將每ー節(jié)點添加到一組,將節(jié)點列表中其余節(jié)點逐一判定如果判定節(jié)點活性矢量與該組中已有節(jié)點的活性矢量無沖突���,則將所判定節(jié)點添加到該組���; 3)針對每組對應節(jié)點狀態(tài),生成測試矢量�,形成測試矢量集。
2.如權利要求I所述的活性測度及其方法�,其特征在于,對組合邏輯直接進行電路分級���,按照門邏輯類型進行活性計算�����,對于時序邏輯將觸發(fā)器單元轉換為掃描觸發(fā)器���,將掃描觸發(fā)器輸出端視為電路輸入端ロ計算�����。
3.如權利要求I所述的低活性節(jié)點�����,其特征在于����,在對電路進行隨機測試情形下�,電路中節(jié)點邏輯值為O或者為I的活性低于所設定的活性閾值。
4.如權利要求I所述的活性矢量�,其特征在于,使得0(1)活性較低的節(jié)點邏輯值為0(1)對應的輸入矢量��。
全文摘要
本發(fā)明公開了一種基于活性測度的硬件木馬檢測方法�,該方法包括三個部分.bench文件生成��,電路活性測度和硬件木馬檢測測試矢量集生成���。本發(fā)明通過分析電路網表����,計算電路內部節(jié)點的活性值,產生電路低0活性節(jié)點和低1活性節(jié)點列表���,然后對節(jié)點進行判定分組���,生成硬件木馬檢測測試矢量集。本發(fā)明可以設置不同活性閾值����,不帶來檢測硬件木馬的額外硬件開銷,能夠有效檢測組合邏輯型硬件木馬�����。本發(fā)明也可用作硬件木馬可檢測設計方法中目標節(jié)點選取�����。
文檔編號G01R31/3183GK102662144SQ20121009066
公開日2012年9月12日 申請日期2012年3月30日 優(yōu)先權日2012年3月30日
發(fā)明者馮建華, 安輝耀, 尚子靖, 張興, 李蕾, 王新安 申請人:北京大學