基于概率簽名的硬件木馬檢測(cè)技術(shù)

鄭朝霞，李一帆，余 良，田 園，劉政林

?

基于概率簽名的硬件木馬檢測(cè)技術(shù)

鄭朝霞，李一帆，余 良，田 園，劉政林

(華中科技大學(xué)光學(xué)與電子信息學(xué)院，武漢 430074)

針對(duì)集成電路芯片被植入硬件木馬后帶來的安全問題，提出一種基于概率簽名的硬件木馬檢測(cè)技術(shù)。通過邏輯功能檢測(cè)，采用隨機(jī)算法構(gòu)建芯片電路(布爾函數(shù))的概率簽名，作為唯一的識(shí)別符模板，當(dāng)被測(cè)電路的簽名與模板不匹配時(shí)發(fā)出告警。設(shè)計(jì)全加器和AES加密2款電路，植入常見硬件木馬并進(jìn)行攻擊實(shí)驗(yàn)，對(duì)這2種電路的原始電路以及植入硬件木馬后電路的概率簽名是否發(fā)生改變進(jìn)行理論分析與研究。采用統(tǒng)計(jì)學(xué)參數(shù)估計(jì)法在FPGA平臺(tái)進(jìn)行實(shí)驗(yàn)，結(jié)果表明，該概率簽名技術(shù)能檢測(cè)出一般規(guī)模組合邏輯電路中植入的硬件木馬，置信度達(dá)到95%。

集成電路芯片；硬件安全；硬件木馬；概率簽名；AES加密

1 概述

近年來，硬件木馬引起了世界各國(guó)工業(yè)界和學(xué)術(shù)界的極大關(guān)注[1]，眾多國(guó)外大學(xué)和科研機(jī)構(gòu)就這一領(lǐng)域展開了研究，并在硬件木馬實(shí)現(xiàn)技術(shù)[2]方面取得了相當(dāng)?shù)难芯砍晒鸞3]，而針對(duì)硬件木馬檢測(cè)[4]技術(shù)，目前的研究主要集中于電流、電壓[5]等電路旁路信息[6]方面。國(guó)內(nèi)鮮有相關(guān)文章發(fā)表，由于硬件木馬等惡意電路的隱蔽性，攻擊者可以利用其竊取機(jī)密信息，破壞硬件電路，造成嚴(yán)重的經(jīng)濟(jì)損失與社會(huì)危害。本文研究了概率簽名技術(shù)在硬件木馬檢測(cè)中的有效性，基于一位全加器和AES加密電路，對(duì)它們分別植入硬件木馬，然后對(duì)這2種電路污染前和污染后的概率簽名進(jìn)行理論分析與FPGA實(shí)驗(yàn)驗(yàn)證。

2 電路的概率簽名原理

根據(jù)這一理論可以分析測(cè)試芯片的概率簽名是否與原始設(shè)計(jì)電路的概率簽名一致，以判斷該芯片是否被植入了硬件木馬，而原始電路的概率簽名可以直接在設(shè)計(jì)時(shí)得到。

3 一位全加器電路的概率簽名木馬檢測(cè)

3.1 一位加法器的概率簽名

根據(jù)電路概率簽名的原理，研究其在簡(jiǎn)單電路中的硬件木馬檢測(cè)應(yīng)用，設(shè)計(jì)了一個(gè)原始的一位全加器，其電路如圖1所示，其邏輯表達(dá)式如下：

3.2 植入硬件木馬的一位全加器概率簽名改變

分別采用2種木馬插入方式來研究該全加器的概率簽名在受污染后是否發(fā)生概率簽名，具體實(shí)驗(yàn)如下：

(1)針對(duì)和信號(hào)的木馬植入及其概率簽名改變情況

圖2 針對(duì)和Si信號(hào)的木馬插入

(2)針對(duì)進(jìn)位的木馬植入及其概率簽名改變情況

假設(shè)另外一種木馬破壞情況，假設(shè)電路的+1輸出出錯(cuò)，電路受到木馬干擾后電路改變?nèi)鐖D3所示。

圖3 針對(duì)進(jìn)位Ci+1的木馬插入

4 AES電路的概率簽名木馬檢測(cè)

對(duì)于輸入端口較多的設(shè)計(jì)，在其概率簽名的計(jì)算中，輸入概率分布會(huì)趨向于一個(gè)數(shù)量級(jí)龐大的分式表達(dá)式，造成電路概率簽名的獲取實(shí)際上變得不可行。因此，對(duì)于一個(gè)輸入輸出端口較多的設(shè)計(jì)，無法直接按照上述方案進(jìn)行概率簽名分析。

4.1 原始AES的電路設(shè)計(jì)

AES算法[11]是一種典型的迭代型分組密碼，它的分組長(zhǎng)度和密鑰長(zhǎng)度均是在128bit、192bit或者256bit這3種中進(jìn)行選取。

本文取分組長(zhǎng)度和密鑰長(zhǎng)度均為128 bit，因此，這里的AES算法是將輸入的一組數(shù)據(jù)(明文或密文)劃分成 16 Byte，以4×4狀態(tài)矩陣的形式對(duì)其進(jìn)行后續(xù)操作，具體流程如圖4所示。首先進(jìn)行初始密鑰加(add round key)操作，即數(shù)據(jù)和密鑰的異或運(yùn)算。然后便開始總共10輪的輪變換操作，每一輪依次經(jīng)過字節(jié)代換(substitute byte)、行移位(shift row)、列混合(mix column)和輪密鑰加(add round key) 4步變換，其中，第10輪不進(jìn)行列混合(mix columns)操作。對(duì)于解密操作，其與加密過程類似，可分為直接解密和等價(jià)解密，在等價(jià)解密算法中，只需將每一輪中的各個(gè)替換成相應(yīng)的逆操作，而順序保持不變，同時(shí)將用于密鑰加操作的輪密鑰做出相應(yīng)的調(diào)整。

圖4 AES加密算法流程

4.2 AES電路的硬件木馬插入與實(shí)現(xiàn)

根據(jù)對(duì)硬件木馬的分類，實(shí)現(xiàn)了下面這4種硬件木馬，用于植入到本文AES加密的關(guān)鍵路徑S盒設(shè)計(jì)中[12]：

(1)硬件木馬1：小規(guī)模組合電路，對(duì)輸入明文寄存器text_in_r中的連續(xù)某些位與特定的數(shù)據(jù)進(jìn)行比較，當(dāng)兩者一致時(shí)觸發(fā)木馬，此時(shí)將輸入明文某一個(gè)字節(jié)相對(duì)應(yīng)的初始密鑰sa22加1。

(2)硬件木馬2：時(shí)序計(jì)數(shù)器電路，電路開始工作時(shí)開始計(jì)數(shù)，當(dāng)計(jì)到某一個(gè)較大的數(shù)量時(shí)觸發(fā)木馬，此時(shí)將篡改輪變換中某一字節(jié)輪密鑰sa22_next的輸出。

(3)硬件木馬3：序列檢測(cè)器，檢測(cè)輸入明文的某一位，此處對(duì)text_in進(jìn)行檢測(cè)，當(dāng)檢測(cè)出特定的序列時(shí)觸發(fā)木馬，將加密輸出text_out篡改為所輸入的明文。

(4)硬件木馬4：輸入條件比對(duì)，當(dāng)輸入明文為某一特定數(shù)據(jù)時(shí)觸發(fā)木馬，將此時(shí)的密鑰作為輸出。

將4種硬件木馬分別植入AES加密電路，然后基于聯(lián)電UMC 0.18 μm工藝分別對(duì)其進(jìn)行ASIC后端設(shè)計(jì)，其最終的版圖結(jié)果如圖5所示。

按照最終的芯片密度及最初的布局規(guī)劃換算得到core等價(jià)面積(含布線)如表1所示。從表1中可以看出，本文插入的木馬對(duì)版圖面積的影響微乎其微，控制在0.1%~0.3%左右。

圖5 4種硬件木馬的AES最終版圖

表1 帶木馬AES與原始AES后端面積對(duì)比

4.3 概率簽名的實(shí)驗(yàn)結(jié)果

在本文實(shí)驗(yàn)中，基于Altera的DE2-70開發(fā)板，利用Nios II軟核，設(shè)計(jì)硬件木馬的測(cè)試與偵測(cè)平臺(tái)如圖6所示。

圖6 基于FPGA的硬件木馬實(shí)驗(yàn)平臺(tái)

在該FPGA平臺(tái)上，同時(shí)實(shí)現(xiàn)2種AES模塊：原始的AES模塊和植入有木馬的AES模塊。通過控制電路，按照概率簽名要求輸入測(cè)試向量，將128位明文和初始密鑰同時(shí)送入2個(gè)AES模塊中，然后測(cè)試輸出為1的次數(shù)，并對(duì)樣本數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析、參數(shù)估計(jì)，評(píng)估出被測(cè)電路的概率簽名，然后同原始電路的概率簽名進(jìn)行比對(duì)，從而概率性地判斷該電路模塊是否遭到篡改，從圖6中可以看到，當(dāng)受硬件木馬污染的電路觸發(fā)時(shí)，利用Nios軟核編寫相應(yīng)軟件，可將相關(guān)結(jié)果通過控制窗口打印顯示出來。

接下來嘗試采用概率簽名對(duì)這些受木馬污染的AES電路進(jìn)行偵測(cè)的可能性。sbox-square模塊是用于實(shí)現(xiàn)S盒中的平方運(yùn)算，由于模塊的輸入、輸出均為4位，對(duì)于該電路模塊的輸入端口，按照概率簽名原理要求進(jìn)行賦1。其中以更嚴(yán)格的要求，根據(jù)輸入數(shù)量，取4，=0表示0，=1表示1，=2表示2，=3表示3。以此對(duì)4個(gè)輸出端0、1、2、3分別計(jì)算它們的概率簽名。通過計(jì)算分別得到原始電路中0的概率簽名為0.202，1的概率簽名為0.996，2的概率簽名是0.058 8，3的概率簽名是0.999，這樣在電路設(shè)計(jì)時(shí)便得到sbox-square電路模塊的“唯一標(biāo)示符”。

然后采用概率統(tǒng)計(jì)的方法，基于DE2-70的FPGA平臺(tái)對(duì)上面4種受不同硬件木馬污染的電路進(jìn)行偵測(cè)測(cè)試。通過編寫軟件來實(shí)現(xiàn)電路的概率簽名統(tǒng)計(jì)，步驟如下：

(1)按照概率簽名原理要求對(duì)輸入端口賦值1，并將其施加到被測(cè)電路和原始電路中。

(2)如果對(duì)于某一特定輸入向量，如果被測(cè)電路和原始電路的概率簽名不同，算法終止并以該輸入向量作為被感染硬件木馬的鑒別指紋。

(3)在施加了個(gè)向量后，并且被測(cè)電路和設(shè)計(jì)電路的輸出均相同，便可運(yùn)用統(tǒng)計(jì)學(xué)推理得出一個(gè)能說明它們的概率簽名相同的置信區(qū)間，即被測(cè)電路無木馬[8]。

因?yàn)檩斎胂蛄糠恼龖B(tài)分布，假定能接受的被測(cè)電路無木馬的置信度為95%，則=0.05，當(dāng)仿真向量的個(gè)數(shù)為1 000時(shí)，可計(jì)算得到檢驗(yàn)統(tǒng)計(jì)量0為-1.025，0.025=1.96，由于本文情況中-1.96≤0≤1.96，可以95%地確信被測(cè)電路不含木馬并且以此終止測(cè)試。如果在經(jīng)過次模擬仿真后，被測(cè)電路的各個(gè)輸出與設(shè)計(jì)相比均未表現(xiàn)出差異，那么要求與每個(gè)主要輸出相應(yīng)的假設(shè)的置信度至少要達(dá)到能斷定被測(cè)電路無木馬的必須的置信度大小。因此，如果要求能以95%的置信度判定一個(gè)被測(cè)電路無木馬，那么對(duì)于被測(cè)電路的每一個(gè)輸出，能夠說明輸出為1的平均值等于概率簽名的這一假設(shè)成立的顯著性為0.05。

本文對(duì)4種植入了不同木馬的樣片分別進(jìn)行1 000次實(shí)驗(yàn)，利用參數(shù)估計(jì)分別計(jì)算出它們的概率簽名如表2所示，表2中第2行~第5行分別是插入4種不同硬件木馬后的概率簽名，最后一行是沒有受到硬件木馬污染的電路的概率簽名，從表中可以看出，被硬件木馬污染后電路的概率簽名不在原始電路概率簽名95%的置信空間內(nèi)，換句話說，被硬件木馬污染的AES樣片通過檢測(cè)其概率簽名是可以被檢測(cè)出來的。

表2 AES電路的概率簽名參數(shù)估計(jì)

5 結(jié)束語(yǔ)

本文分別對(duì)2個(gè)組合電路：一位全加器和AES加密電路進(jìn)行了硬件木馬植入，然后基于概率簽名進(jìn)行了硬件木馬檢測(cè)技術(shù)研究，實(shí)驗(yàn)結(jié)果表明該方法是可行的。盡管在現(xiàn)階段的研究中這種概率簽名分析只能應(yīng)用到組合邏輯電路中，但在實(shí)際芯片的硬件木馬檢測(cè)中，為了降低檢測(cè)復(fù)雜度，可以利用拆分電路的思想分別對(duì)芯片中各個(gè)關(guān)鍵的子模塊進(jìn)行概率簽名分析，然后將所有這些概率簽名信息綜合起來，視作鑒別指紋進(jìn)行硬件木馬的檢測(cè)與定位。

[1] Wolff F, Papachristou C, Bhunia S, et al. Towards Trojan-free Trusted ICs: Problem Analysis and Detection Scheme[C]// Proc. of Conference on Design, Automation and Test in Europe. Munich, Germany: IEEE Press, 2008.

[2] King S T, Tucek J, Cozzie A, et al. Designing and Imple- menting Malicious Hardware[C]//Proc. of the 1st USENIX Workshop on Large-scale Exploits and Emergent Threats. San Franciso, USA: IEEE Press, 2008.

[3] Alkabani Y, Koushanfar F. Extended Abstract: Designer’s Hardware Trojan Horse[C]//Proc. of IEEE International Workshop on Hardware-oriented Security and Trust. Anaheim, USA: IEEE Press, 2008.

[4] Ratanpal G B, Williams R D, Blalock T N. An On-chip Signal Suppression Countermeasure to Power Analysis Attacks[J]. IEEE Transactions on Dependable and Secure Computing, 2004, 1(3): 179-189.

[5] Rad R, Plusquellic J, Tehranipoor M. Sensitivity Analysis to Hardware Trojans Using Power Supply Transient Signals[C]// Proc. of IEEE International Workshop on Hardware-oriented Security and Trust. Anaheim, USA: IEEE Press, 2008.

[6] Agrawal D, Baktir S, Karakoyunlu D, et al. Trojan Detection Using IC Fignerprinting[C]//Proc. of IEEE Symposim on Security and Privacy. Oakland, USA: IEEE Press, 2007.

[7] Jha S, Jha S K. Randomization Based Probabilistic Approach to Detect Trojan Circuits[C]//Proc. of the 11th IEEE High Assurance Systems Engineering Symposium. Nanjing, China: IEEE Press, 2008.

[8] Wu S C, Wang Chunyao. Peach: A Novel Architecture for Probabilistic Combinational Equivalence Checking[C]//Proc. of IFIP International Conference on Very Large Scale Integration. Nice, France: IEEE Press, 2006.

[9] Rivest L, Shamir A, Adleman L. A Method for Obtaining Digital Signature and Public Key Cryptosystems[J]. Communications of the ACM,1978, 21(2): 120-126.

[10] Jain J, Abraham J A, Bitner J R, et a1. Probabilistic Verification of Boolean Functions[J]. Formal Methods in System Design, 1992, 1(1): 61-115.

[11] Daemen J, Rijmen V. 高級(jí)加密標(biāo)準(zhǔn)(AES)算法: Rijndael的設(shè)計(jì)[M]. 谷大武, 徐勝波, 譯. 北京: 清華大學(xué)出版社, 2003.

[12] 余 良. 數(shù)字IC中硬件木馬的特性與檢測(cè)技術(shù)研究[D]. 武漢: 華中科技大學(xué), 2012.

編輯 任吉慧

Hardware Trojan Detection Technology Based on Probabilistic Signature

ZHENG Zhao-xia, LI Yi-fan, YU Liang, TIAN Yuan, LIU Zheng-lin

(School of Optical and Electronic Information, Huazhong University of Science and Technology, Wuhan 430074, China)

Trojan circuits can bypass traditional defensive techniques as they occupy a layer below the entire software stack. This paper proposes a hardware trojan detection technology based on probabilistic signature. Based on logic detection technology, using random and hypothesis algorithm, this paper constructs the probability signature of circuits(Boolean functions), as the unique identifier template. When the signature of circuit under test does not match the template, an alarm is launched. It designs two circuits that implement full adder and AES encryption, and then they are implanted with common hardware Trojan. It makes in-depth theoretical analysis and research on whether the probabilistic signature of the circuits implanted with hardware Trojans is changed in comparison with the two kinds of original circuits. It tests the circuits based on FPGA platform via probabilistic method. As a result, it is verified that based on the probability signature, it can easily achieve a 95% level of confidence on the detection of hardware Trojans implanted into the combinational logic circuits.

integrated circuit chip; hardware security; hardware trojan; probabilistic signature; AES encryption

1000-3428(2014)03-0018-05

A

TN452

國(guó)家自然科學(xué)基金資助項(xiàng)目(61006020)。

鄭朝霞(1975－)，女，副教授、博士，主研方向：SoC及其安全技術(shù)；李一帆、余 良、田 園，碩士研究生；劉政林，教授、博士。

2013-08-09

2013-10-10 E-mail：zxzheng@hust.edu.cn

10.3969/j.issn.1000-3428.2014.03.004