09-23;修回日期:2012-10-30基金项目:国家863计划资助项目(2009AA01Z434)
作者简介:牛小鹏(1983-),男,河南焦作人,博士生,主要研究方向为网络信息安全,
E-mail :xiaoyuer8082@163.com ;李清宝(1967-),男,博士,教授,主要研究方向为计算机体系结构、网络信息安全。
DOI :10.3969/j.issn.1671-0673.2012.06.019
硬件木马技术研究综述
牛小鹏1,李清宝1,王炜1,张丹2(1.信息工程大学网络空间安全学院,河南郑州450002;2.河南郑州供电公司,河南郑州450000)
摘要:集成电路芯片在设计、制造及使用过程中都可能会被植入硬件木马,电子设备的安全受
到极大威胁。近年来,硬件木马的设计和检测技术逐渐受到重视,已成为研究热点。首先分析
了硬件木马的特性和概念,然后在介绍硬件木马主要分类方法的基础上,提出了用于评价硬件
木马隐藏特性的功能分散粒度、激活概率和阈值功耗等衡量指标。探讨了几种典型硬件木马
的设计思路和检测方法,
分析了硬件木马检测方法存在的问题与面临的挑战,最后对硬件木马相关技术的研究与发展提出建议。
关键词:集成电路;硬件木马;旁路型木马;硬件木马检测;状态驱动
中图分类号:TP309文献标识码:A 文章编号:1671-0673(2012)06-0740-09
Survey on the Hardware Trojan Technologies
NIU Xiao-peng 1,LI Qing-bao 1,WANG Wei 1,ZHANG Dan 2
(1.Institute of Cyberspace Security ,Information Engineering University ,Zhengzhou 450002,China ;
2.Henan Zhengzhou Power Supply Company ,Zhengzhou 450000,China )
Abstract :Integrated circuits are vulnerable to hardware Trojan horse either in design or during fabri-cation ,which threatens the security of key equipment hardware.The hardware Trojan horse technol-ogy has raised serious concerns and become a new research focus.The characteristics of hardware
Trojan horse were described after studying kinds of horse ,and the classification of hardware Trojan
horse was analyzed.Then ,the disperation of function ,power consumption and activation probability
were proposed to study the hiding property of hardware Trojan horse.The state-of-art of hardware
Trojan horse design and detection technology were reviewed ,and problems with detection methods
and major challenge to be addressed in future researches were also discussed.Last ,recommenda-tions for future research on hardware Trojan horse were proposed.
Key words :integrated circuits chip ;hardware Trojan horse ;side channel horse ;detection of hard-ware Trojan ;state drive
集成电路芯片的应用已经渗透到现代科技的各个领域,对社会发展起着越来越大的推动作用。同时,基于硬件木马的攻击行为也逐渐增多,成为电子设备和信息系统最大的安全威胁之一,其重要性逐渐引起人们的广泛关注。早在2003年美国针对国家信息安全发表的中就明确指出了硬件木马严重
威胁的问题[1]。研究硬件木马的隐蔽触发方式以及触发后的工作原理是实施硬件木马设计和
检测工作的关键技术之一。
硬件木马是指被植入电子系统中的特殊模块或者设计者无意留下的缺陷模块,在特殊条件触发下,该
第6期牛小鹏等:硬件木马技术研究综述741模块能够被攻击者利用以实现破坏性功能。硬件木马可以完成攻击功能,如泄露信息给攻击者、改变电路功能、甚至直接破坏电路;也可以在上层恶意软件的协同配合下完成类似功能。硬件木马能够实现对专用集成电路(ASIC )、微处理器、微控制器、网络处理器、数字信号处理器等硬件的修改以及对FPGA 比
特流的修改
[2-4]。图1硬件木马结构图图1为一类硬件木马模型,一般情况下该设备正常处理输入信
号,输出结果信号。硬件木马触发后,通过多路复用器的通路选择作用,使输入信号绕过标准功能模块,经过木马功能模块的处理后从输
出端口发出恶意信号。
芯片中的硬件木马只在特殊条件下才被激活,其余时间不影响
原始电路功能,很难被检测出来。与软件恶意代码一样,硬件木马也具有破坏性、传染性、寄生性、隐蔽性和潜伏性。另外,硬件木马攻击目的性更强,隐蔽更深,难以检测与清除。1硬件木马的分类硬件木马的组成包括触发模块和有效载荷两部分,触发模块激活木马电路,而有效载荷是木马触发后
发挥攻击功能的电路模块[5]。硬件木马可以分为数字型和模拟型,其触发方式分为内部触发和外部触
发。内部触发依赖于芯片内部的事件,
比如特定时间或状态;外部触发依赖芯片外部的信号输入。木马触发后会发送一个或者一组信号给有效载荷,激励有效
载荷发生作用,
对原始芯片或者系统进行干扰破坏。数字型木马可对电路节点的逻辑值产生影响,或改变
存储单元的值。模拟型木马一方面可以影响电路的
参数,如功率、噪声容限、延时等;另一方面可以在电
路中产生一些干扰性的活动,虽然不改变芯片的功
能,
但会使芯片加速老化。根据不同特性和指标,已有多种硬件木马分类方
法。文献[6]提出了基于电路类型的分类方法,将硬
件木马分为组合型和时序型。组合型木马是指木马
工作电路中不含寄存器电路,输出功能完全取决于输
入信号,图2为一典型的组合型硬件木马示例。当芯
片引脚上的信号[a ,b ,c ,d ,e ,f ]为101011时触发
硬件木马,通过异或门改变芯片本身的信号输出ER
为ER *。
时序型木马是指木马工作电路中含有寄存器,其
状态的变化受时钟和输入信号的控制,输出不仅与输
入有关,而且与系统内部的状态有关。时序电路内部
状态机存在隐藏状态、冗余状态和孤立状态,增强了
时序型硬件木马的隐蔽性。图3为一典型的时序型
硬件木马及与其对应的状态机。
图3(a )为一时序型硬件木马示例,
[a 1,a 2,a 3,a 4]和CLK 分别是木马寄生电路为木马提供的输入信
号与时钟。时序型硬件木马内部一般都会存在一个
有限状态机(finite state machine ,FSM ),图3(b )是图
3(a )时序型硬件木马芯片中对应的状态机。当木马
电路依序捕获到101100010010信号时会触发硬件木
742信息工程大学学报2012年
马功能,通过异或门改变芯片本身的信号输出ER 为ER *。
文献[3]按照硬件木马的物理特性、激活特性、活动特性将硬件木马分为3个主要类别。文献[7]将这种分类方法进行重新组织和扩展,增加了对硬件木马的形成阶段、抽象层次、具体位置等因素的考虑,形
成了新的分类方法,
如图4所示。在集成电路芯片设计生产的过程中,攻击者几乎在每一个阶段都可以采用多种方式对目标芯片植入
硬件木马
[8-9]。图5为芯片设计生产的过程链以及在每一个阶段可能存在的被攻击者利用的薄弱环节。芯片内硬件木马分布在不同的抽象层次,主要包括系统级、RTL (寄存器传输)级、门级、晶体管级和物
理级。文献[10]给出了8种RTL 级的硬件木马设计,并将木马应用在Alpha 结构处理器芯片的设计中。
硬件木马的活动特性是对其分类的重要参考因素,它可以对目标系统产生微小的干扰,也可以产生致
命的破坏,
主要包括修改功能、修改规格属性、泄露核心信息和拒绝服务攻击。硬件木马可以完整地寄生于处理器单元、内存单元、I /O 接口、电源和时钟等关键模块,也可以分散在
各个模块中互相协同工作,分散式的硬件木马隐蔽性更强。
2硬件木马的设计
为增强硬件木马的抗检测性,设计木马模块电路时需要在如下几个方面提高能力。
①功能分散度:硬件电路所使用的逻辑门数目要最小化,木马功能要最大程度地分散到各个模块中。②阈值功耗:木马电路的功耗相对于载体电路的总功耗要最小化,存在一个可调的阈值范围,避免出现较大规模变动。
③隐蔽激活:木马电路在任何时刻都不能影响正常电路模块的工作,这就要求木马模块需要尽可能地减少与外界的通信,降低激活概率,提高硬件木马活性。
2.1旁路型木马
旁路攻击是利用密码算法在软硬件实现中泄露出的功耗、路径延迟和电磁辐射等物理信息来破解密钥的分析方式,它不用直接破译复杂的密码算法,因而对密码系统攻击者有较大的吸引力。在旁路攻击迅图6RF 旁路型木马的编码电路和调制电路
速发展的同时,各种抗旁路分析的电路设计方法也先
后出现,使传统旁路信号泄露逐渐失去应用价值。为
解决旁路失效问题,研究人员提出了在芯片中植入旁
路型硬件木马,以隐蔽方式制造附加的旁路,取代密
码芯片内部本来的旁路。
文献[2]提出了一种利用AM 调制方式泄露芯片
内部密钥的RF 旁路型硬件木马,该木马利用FPGA
芯片的某个管脚作为天线,将芯片内的关键信息调制
成射频信号发射出去,如图6所示为该木马的编码和
调制电路。该木马电路用26位计数器(时钟频率为
50MHz )的第15位输出形成760Hz 的音频信号,用第
4位输出形成1.56MHz 的载波信号。上述两个信号
第6期牛小鹏等:硬件木马技术研究综述743与beeps 信号一起经与门相乘后形成载波为1.56MHz 的调制信号,然后经电路板的某个闲置引脚将该信
号发射出去,调制接收机在特殊频段上接收并解调后就能听见“嘀,嘀嘀,…”这样的声音,攻击者根据听
到的声音能直接获取密钥的二进制序列。26位计数器的高3位输出[C25、C24、C23]是编码电路的输入,
D in 是被编码的信息(密钥),D out 是编码后的输出。该文提出了利用旁路类型的硬件木马泄露秘密信息的
思想以及简单实现,
其中仍有许多问题需要解决。该种木马的设计方法由于缺少优化策略,无法对抗硬件木马旁路信号分析方法的检测[11-12];泄漏出去的信号很容易被其他人员接收并分析出来,缺少隐蔽性。
文献[13]提出了一种基于FPGA 芯片的功率旁路型硬件木马设计思想,形成功率旁路通道,达到泄
图7功率旁路硬件木马设计原理图
露芯片内隐密信息的目的,其结构如图7所示。该木马利用扩频通信原理,通过不同的伪随机数
(pseudo-random number ,PRN )序列对密钥或秘密
数据进行扩频调制,
将每位密钥的功率泄漏到多个时钟周期中,以达到同时泄漏多位密钥并互不干扰
的目的。接收者通过相关性分析技术在可接受的
样本量下提取密钥信息,从而在有效的器件噪声级
别下实现秘密信息的故意泄露。
图7(a )表示了木马电路整体设计,其中虚线框
内为旁路木马电路,
PRNG 表示伪随机数产生电路,LC 表示功耗泄漏电路。LC 泄漏电路可以采用多个
寄存器翻转模仿一个大电容达到功率泄露的目的。
图7(b )表示伪随机数生成器的电路设计,采用20
位的寄存器,在时钟控制下,每个时钟周期进行循
环左移,并通过反馈异或运算以产生新的伪随机
数。反馈系数基于本原多项式x 20+x 13+x 9+x 5+1
以增加伪随机数的随机性。
文献[
13]提出了上述功率旁路硬件木马的设计思想,文献[14]研究并实现了该种硬件木马,验证了该种木马主动攻击的有效性,但是缺少实验数据支
撑。文献[15]首次在数字模拟混合电路中利用无线信道的模拟特性(幅度、频率、相位)设计了无线旁路
硬件木马,
实现了木马的深度隐藏。2.2恶意处理器
目前大部分的硬件木马都是针对某个具体硬件或者防御措施设计的,而文献[16]提出了一种结构性
的带有攻击后门的处理器(illinosis malicious processor ,IMP ),该处理器可以支持多种攻击方式。该文的创新之处在于它不是针对某个具体芯片植入硬件木马,而是从结构的角度设计了两种基于硬件的攻击模式:“特殊内存访问机制”和“影子模式”,利用这些模式可以展开多种攻击手段。如图8所示。图8影子模式及其性能分析
744信息工程大学学报2012年“特殊内存访问机制”使硬件支持恶意程序突破操作系统的内存访问控制策略,在用户模式下访问特
权存储区域。“影子模式”允许攻击者隐蔽地执行任何固件代码。该模式类似于Intel 的系统管理模式(system manage mode ,SMM ),它对CPU 具有完全的控制能力,操作系统不能够直接对它进行管理。与SMM 不同,“影子模式”专门从cache 中划分出了一块指令cache 行和数据cache 行作为保留存储区域,称作“影子cache ”。该区域存储攻击行为的指令和数据,并且只有IMP 可以使用,其它硬件模块对“影子cache ”的存在及“影子cache ”中发生的操作事件都不可见。
为完成攻击过程,IMP 对系统的引导模式进行了修改,即在原始引导程序尾部增加了一段用于初始化
攻击程序的附加引导模块。系统启动时首先跳转到附加引导模块处执行,由该模块完成攻击程序的加载和初始化操作,然后再回跳到原始引导程序模块,进行正常引导。
图8(a )表示IMP 运行在“正常模式”和“影子模式”时的内存访问情况。由于“影子cache ”中的操作
指令直接被CPU 处理核使用,
不会有任何数据出现在内存总线上,“影子模式”对其它软件或硬件模块都不可见。
该文利用“特殊内存访问机制”和“影子模式”设计了3种攻击方式:越权访问内存、非法登录系统和
窃取密码,并且从板级和系统级对两种结构性硬件木马经行了测试。测试结果显示“特殊内存访问机制”
比原系统增加了959个逻辑门,“影子模式”比原系统增加了1341个逻辑门。对“影子模式”作系统运
行效率测试,结果表明如果仅在攻击时启用“影子模式”则对系统影响不大,平均降低性能1.32%左右,与
得到系统Root 权限的效率接近;如果一直启用“影子模式”则对系统影响比较大,性能降低13.0%左右。
2.3基于时序状态密码触发的硬件木马
文献[17]提出了基于时间有限状态机触发的硬件木马设计思想,其主要意图是通过有限的输入信号
来尽可能地降低触发概率。比如触发模式为ab ,
其中0≤a ≤9,0≤b ≤9,那么触发模式空间为100,触发概率为1/10ˑ1/10=10-2。如果考虑时间因素,即规定b 必须在a 输入后的某一段时间内输入,否则为错
误模式。这样模式空间会急剧膨胀,几乎为无限大,触发概率极小,因此该种触发模式也非常具有隐蔽性。3硬件木马的检测
由于硬件木马的巨大危害性,对它的检测就非常重要。普通的芯片测试技术主要是保证芯片能够完成预期的功能,并不关心其中是否有额外的恶意功能。因此不能用常规的芯片测试方法检测芯片内是否被植入有硬件木马。
3.1检测方法分类
硬件木马种类繁多,功能各异,其植入方式与触发方式也不尽相同,因此不存在通用的检测方法能够
检测到所有的硬件木马,通常一种方法仅能检测一类或几类硬件木马。图9为Chakraborty 在文献[18]中
图9硬件木马检测方法分类
讨论的硬件木马检测方法分类。
其中破坏式硬件木马检测需要打开芯片的封装进行反向分析,由分析结果重构原始电路设计,将恢复
出的设计与原始设计进行对比分析来判断芯片是否存在硬件木马[19]。这种方法对结构较简单的芯片检
测效果不错,但该方法十分耗时,而且费用昂贵,并
且随着芯片集成度不断提高,结构日趋复杂,特别
是纳米技术的应用,这种检测方法就为力。
非破坏性检测包括侵入式检测和非侵入式检
测,其中非侵入式检测不用改变芯片的原始设计,
侵入式检测需要在芯片原始设计基础上嵌入一部
分特征电路,辅助硬件木马检测,降低检测难度。
Chakraborty 等提出一种反硬件木马的电路设计方
法,它通过在每个模块增加“自检逻辑”来暴露系统
中可能存在的硬件木马,“自检逻辑”由特殊密钥启
动,它会以一些很少发生的事件或低概率数值来测
试系统功能,然后输出一个“签名”,“签名”是“自检逻辑”启动密钥与自检结果的组合,最后按照签名判断系统是否含有硬件木马[20]。
文献[21]提出了在硬件逻辑设计的过程中加入虚拟触发器,如果电路中被植入硬件木马,该虚拟触发器可以提高硬件木马的活性,增加它被激活的概率,降低对硬件木马分析的难度。文献[22]提出了在内存和CPU中间设置总线监控核,过滤检查所有的写内存行为,只允许带签名的写内存行为发生,防止恶意硬件或者软件非法操作内存。该方法使系统运行效率降低很多,约30%左右。文献[23]基于部分硬件木马一定会访问数据总线的特性提出DFTT(design for trojan test)芯片设计方法,辅助检测芯片内信息窃取类型的硬件木马。DFTT主要包括代码评估、敏感路径选择和测试点插入3个主要部分。DFTT目前只支持Verilog HDL代码,不支持其它硬件描述语言的代码。文献[24]作了类似的研究工作,使得电路本身对硬件木马有一定的免疫力,其核心思想是使硬件木马的恶意功能更容易触发,曝露其行为。
非侵入式检测不用修改原始电路设计,目前研究较多的是基于逻辑测试的检测方法和基于旁路分析的检测方法[25]。逻辑测试检测方法需要产生测试向量,激活电路中的隐蔽触发条件,以最大的概率激活可能存在的硬件木马。这种方法借鉴了集成电路故障测试中的ATPG(automatic test pattern generation)测试思想,不受芯片工艺和各种噪声的影响,能较好地检测出电路中各种小型硬件木马。但由于大部分硬件木马的活性很低,测试向量的生成比较复杂。
状态驱动检测属于逻辑测试方法的一种,它不用产生特殊的测试向量去激活芯片内的硬件木马,但需要施加激励信号,采集芯片内的工作全集状态转移关系,然后判断芯片内是否含有硬件设计缺陷。基于旁路信号分析的硬件木马检测方法是目前使用最多、最有效的检测方法之一,主要通过检测分析电路中的旁路信号,如时序、功率、电磁、热等,判断电路中是否含有木马。
3.2旁路分析检测
文献[26]建立了基于旁路信号分析的硬件木马检测模型,形式化地描述了针对硬件木马的旁路信号分析问题。对于密码芯片I,在I上执行加(解)密算法C,执行过程中用测量装备M采集旁路信号(功耗,电磁辐射)轨迹,则旁路信号轨迹上时刻t的值为r(t,I,C,M)。旁路信号r(t,I,C,M)包括如下3个部分:①与密码运算C相关的旁路信号均值p(t,C);②过程噪声n p(t,I,C),主要包括与运算相关的噪声和与芯片相关的噪声;③测量噪声n m(t,M),测试过程中产生的噪声。则纯净芯片I的旁路信号可表述为
r g (t,I,C,M)=p(t,C)+n
p
(t,I,C)+n
m
(t,M)(1)
含有硬件木马的密码芯片对应的旁路信号轨迹包括木马电路T产生的信号轨迹τ(t,I,C),则内嵌有硬件木马的芯片I的旁路信号可表示为
r g (t,I,C,M)=p(t,C)+n
p
(t,I,C)+n
m
(t,M)+τ(t,I,C)(2)
在上式中,测量噪声在每次测量过程中都不相同。由于旁路信号中其它部分都与测量噪声无关,因此测量噪声n m(t,M)可以通过对同一个密码芯片进行多次测量求均值的方法来消除。因此,(1)式和(2)式可以改写为
r g (t,I,C,M)=p(t,C)+n
p
(t,I,C)(3)
r t (t,I,C,M)=p(t,C)+n
p
(t,I,C)+τ(t,I,C)(4)
(4)式是密码芯片I在时刻t的旁路信号组成,则芯片运行过程中连续采集m个时刻的旁路信号组成一条旁路信号轨迹向量T=[r0,r1,…,r m-1],其中r i符合(4)式的描述。按照上面的规定,基于旁路信号模板的硬件木马检测问题定义[26]如下:
定义1基于旁路信号模板的硬件木马检测。已知不含硬件木马的芯片I
g ,采集I
g
运行C时对应的
旁路信号轨迹向量T g。对另外一个同类型的未知芯片I x以及相应的旁路信号轨迹向量T x,则以旁路信号向量T g为标准模板,判断芯片I x中是否含有硬件木马的过程就是基于旁路信号模板的硬件木马检测。
对未知芯片I x有如下两个假设:①H g:T x=T g,②H t:T x=T g+Tτ,式中Tτ表示由木马电路产生的旁路信号轨迹。基于旁路模板信号的硬件木马检测问题就是根据上述旁路信号确定哪个假设是正确的。
上述硬件木马检测问题本质上可以看作是旁路信号特征判别问题,需要做的就是刻画纯净芯片对应旁路信号的特征,以这种特征作为模板检测未知芯片的旁路信号轨迹中是否与模板存在显著差异。文献
746信息工程大学学报2012年
[26]使用KL 扩展分析方法[27-28]从“纯净”的芯片旁路信号中生成特征向量μ和偏差δ作为模板特征向
量。当未知芯片的信号特征落在μʃ4δ之内,则认为该芯片正常;落在μʃ4δ之外,则认为该芯片被植入了旁路型硬件木马。
3.3状态驱动检测
PLD 可编程逻辑芯片的设计电路中可能存在孤立状态节点或者孤立状态环,称作孤立状态[29]。如果在孤立状态设置异常功能,譬如死机、自毁等,将导致整个系统不能正常运行。另外在芯片设计过程中很可能需要添加一些冗余逻辑以实现容错校验功能,这些冗余功能可以提高系统的可靠性,但也可以在冗余
逻辑中埋置恶意攻击后门。文献[30]提出了针对PLD 逻辑芯片的缺陷检测技术。
PLD 逻辑芯片的缺陷检测的主要思路是首先判断待检测芯片引脚IO 属性,施加激励向量,驱动芯片内逻辑状态机运行,采集芯片工作全集数据,绘制片内状态转移图,依据状态转移图寻找发现孤立状态。利用在线式采集技术尽可能地获取PLD 芯片的工作集,通过芯片全集与工作集的比较运算求得冗余状态集。PLD 芯片安全缺陷的检测重点在于采集芯片的工作数据、生成状态转移图以及根据状态转移图进行安全缺陷检测。其检测流程如图10所示:
图10基于状态转移图的安全缺陷检测流程
当前主要的逻辑芯片数据采集算法包括如
下几种:①基于环的数据采集算法[30];②基于
树的数据采集算法[31];③分状态数据采集算
法;④基于环树的数据采集算法。
4种算法的空间复杂度均为O (N ),数据采
集算法的时间包括路径驱动时间和状态加全时
间,4种算法的最坏时间复杂度为O (MN 2),其
中M =|IA |为输入全集,
N =|SA |为状态全集。算法④与其它算法相比减少了搜索次数,在同种条件下其时间复杂度均优于其它3种算法。
3.4检测方法总结由于硬件木马植入方式的灵活性和自身的隐蔽性,很难通过单一的检测方法检测出各种未知的恶意
电路。目前,
各种检测技术还不成熟,仍然存在多种不同的局限性,并且很多方法还只是在仿真实验阶段,并没有真正应用于实际工程之中,需要进一步的发展。基于旁路信号分析的方法是目前发展比较好的硬件木马检测方法,能有效地检测出规模较大的木马。但其容易受到工艺变量和各种噪声的影响,对小型木
马的检测效果不理想;而逻辑检测方法不受工艺噪声的影响,
能有效地检测出小型木马,但测试向量生成复杂,对大型木马的检测效果不够理想;基于状态驱动的缺陷检测方法可以有效地检测PLD 芯片内是否存在安全缺陷,该方法需要采集芯片内部状态数据,随着芯片规模的增大,寄存器输出引脚数量增多,采集到的数据量显著增大,状态数急剧膨胀,会该方法的使用。
目前硬件木马检测技术发展所面临的最大挑战是缺少实际的木马样本供研究人员分析考察,没有样本就没有数据,难以采用科学的方法有的放矢进行硬件木马检测研究。现在解决这个问题的可行方法是先设计硬件木马,然后再针对这些硬件木马研究具体的检测方法。
4结束语
近年来,我国集成电路设计与制造水平已取得了很大的进步,与发达国家的差距正逐步缩小,但大多数集成电路依赖进口的局面尚未改变,也有部分集成电路芯片需要第三方代工生产。对于采购的集成电路,其中是否含有其数据手册描述之外的电路结构或功能并不会公布。而这些集成电路几乎会应用到、军事、航空电子、决策、通信、交通、银行等重要系统的所有关键电子设备中,给我们国家和社会安全带来了巨大的潜在威胁。
由于集成电路设计方法的改变,参与集成电路设计制造的人员和环节也越来越多,致使植入硬件木马的可能性也越来越大。因此开展对硬件木马的隐蔽设计技术、无损检测和防范技术等内容的研究就很有必要。硬件木马相关技术还是一个较新的研究领域,硬件木马的设计、隐藏、检测和预防等都是充满挑战
的研究课题。未来硬件木马研究发展需要重点解决如下问题:
①安全电路设计方法。传统的电路设计方法只考虑功能是否能够实现,而忽视了是否会留下安全漏洞,被硬件木马所利用。因此需要拓展硬件电路设计新思路,不仅实现功能需求,而且要安全可靠地实现。
②硬件木马模型。如前所述,硬件木马植入的时机和方法都非常灵活,目前缺少统一规范的方法对其进行描述。这给硬件木马的防范和检测造成了困难,只能针对具体的木马设计特定的检测方法。因此需要构建硬件木马模型,统一描述硬件木马的行为特征,进而研究如何对其进行检测。
③硬件木马仿真实验环境的构建。硬件木马的实验具有成本高、实施困难等特点,影响了相关研究性实验的展开。因此,研究构建高集成度的硬件木马仿真实验环境有利于相关研究的展开,尤其是木马样本的动态生成。
参考文献:
[1]Lieberman J I.Whitepaper on National Security Aspects of the Global Migration of the U.S.Semiconductor Industry[EB/OL].[2011-01-08].http://www.fas.org/congress/2003_cr/s060503.html.
[2]Baumgaten A,Steffen M,Clausman M,et al.A case study in hardware Trojan design and implementation[J].International Journal of Information Security,2011,10(1):1-14.
[3]Wang Xiao-Xiao,Tehranipoor M,Plusquellic J.Detecting malicious inclusions in secure hardware challenge and solutions [C]//Proceedings of the2008IEEE International Workshop on Hardware-Oriented Security and Trust(HOST’2008).IEEE Computer Society,2008:15-19.
[4]TehRanipoor M,Koushanfar F.A survey of hardware Trojan taxonomy and detection[J].Journal of IEEE Design&Test of Computers,2010,27(1):10-25.
[5]Wolff F,Papachristou C,Bhunia S,et al.Towards Trojan-Free Trusted ICs:Problem Analysis and Detection Scheme[C]// Proceedings of the conference on Design,Automation and Test in Europe(DATE’2008).2008:1362-1365.
[6]Banga M,Michael S H.A Region Based Approach for the Identification of Hardware Trojans[C]//Proceedings of the2008 IEEE International Workshop on Hardware-Oriented Security and Trust(HOST’2008).Washington,DC:IEEE Computer So-ciety,2008:40-47.
[7]Rajendran J,Gavas E,Jimenez J.Towards a comprehensive and systematic classification of hardware Trojans[C]//Proceed-ings of2010IEEE international Symposium on Circuits and Systems(ISCAS’2010).Paris,France,2010:1871-1874.[8]Karri R,Rajendran J,Rosenfeld K.Trustworthy hardware:Identifying and classifying hardware Trojans[J].Journal of Com-puter,2010,43(10):39-46.
[9]Bloom G,Narahari B,Simha R.Fab Forensics:Increasing Trust in IC Fabrication[C]//Proceedings of the2010IEEE Inter-national Conference on Technologies for Homeland Security.2010:99-105.
[10]Jin Y,Kupp N,Makris Y.Experiences in Hardware Trojan design and implementation[C]//Proceedings of the2009IEEE International Workshop on Hardware-Oriented Security and Trust(HOST’2009).IEEE Computer Society,2009:50-57.[11]Beareyes.The Whole Process of Designing Large-Scale Chip Study[EB/OL].[2010-04-20].http://www.fpga.com.cn/ others/icdesign_example.htm.
[12]Chakraborty R S,Wolff F,Paul S,et al.MERO:A statistical approach for hardware trojan detection[C]//Proceedings of the11th International Workshop on Cryptographic Hardware and Embedded Systems(CHES’2009).Springer-Verlag,2009:396-410.
[13]Lin L,Kasper M,Guneysu T,et al.Trojan Side-Channel:Light weight hardware trojans through side-channel Engineering [C]//Proceedings of the11th International Workshop on Cryptographic Hardware and Embedded Systems(CHES’2009).Springer-Verlag,2009:382-395.
[14]张鹏,邹程,邓高明,等.基于电磁泄漏相关性分析的硬件木马设计[J].华中科技大学学报:自然科学版,2010,38(10):1-4.
[15]Jin Y,Makris Y.Hardware Trojans in Wireless Cryptographics Ics[J].Journal of IEEE Design&Test on Computers,Spe-cial issue on Verifying Physical Trustworthiness of Integrated Circuits and Systems,2010,27(1):26-35.
[16]King S T,Tucek J,Cozzie A,et al.Designing and implementing malicious hardware[C]//Proceedings of the1st USENIX Workshop on Large-Scale Exploits and Emergent Threats(LEET’2008).2008:1-8.
[17]Niu Xiao-Peng,Li Qing-Bao,Xie Xiao-Dong.The Research of Hiding Technology of Hardware Trojan in Chip[C]//Pro-748信息工程大学学报2012年
ceedings of the3rd International Conference on Computer and Electrical Engineering(ICCEE’2010).2010:233-236.[18]Chakraborty R S,Narasimhan S,Bhunia S.Hardware trojan:Threats and emerging solutions[C]//Proceedings of High Lev-el Design Validation and Test Workshop(HLDVT’2010).2010:166-171.
[19]Sanno B.Detecting hardware Trojans[EB/OL].[2012-04-01]http://www.crypto.rub.de/imperia/md/content/semin-are/itsss09/benjamin_sanno.semembsec_termpaper_20090732_final.pdf.
[20]Chakraborty R S,Paul S,Bhunia S.On-demand transparency for improving hardware trojan detectability[C]//Proceedings of the2008IEEE International Workshop on Hardware-Oriented Security and Trust(HOST’2008).IEEE Computer Society,2008:48-50.
[21]Salmani H,Tehranipoor M,Plusquellic J.A Novel Technique for Improving Hardware Trojan Detection and Reducing Trojan Activation Time[C]//Proceedings of the2009IEEE International Workshop on Hardware-Oriented Security and Trust (HOST’2009).IEEE Computer Society,2009:112-125.
[22]Das A,Memik G,Zambreno J,et al.Detecting/preventing information leakage on the memory bus due to malicious hardware [C]//Proceedings of the Conference on Design,Automation and Test in Europ(DATE'2010).2010:861-866.
[23]Jin Y,Kupp N.DFTT:Design for Trojan Test[C]//Proceedings of2010IEEE International Conference on Electronics Cir-cuits and Systems(ICECS’2010).2010:1166-1171.
[24]Banga M,Michael S H.ODTETTE:A non-scan design-for-test methodology for Trojan detection in Ics[C]//Proceedings of the2011IEEE International Workshop on Hardware-Oriented Security and Trust(HOST’2011).IEEE Computer Society,2011:18-23.
[25]Beaumont M,Hopkins B,Newby T.Hardware Trojans-Prevention,Detection,Countermeasures[M].DSTO Defence Sci-ence and Technology Organisation,2011:17-22.
[26]Agrawal D,Baktir S,Karakoyunlu D,et al.Trojan Detection using IC fingerprinting[C]//Proceedings of the2007IEEE Symposium on Security and Privacy(SP’2007).2007:1-15.
[27]Fukunaga K.Introduction to Statistical Pattern Recognition[M].New York:Academic Press,1990.
[28]Harry L.Detection,Estimation,and Modulation Theory[M].Part I.NewYork:Wiley-Interscience,2001.
[29]周丽.PLD安全性漏洞检测平台研究与实现[D].郑州:信息工程大学,2010.
[30]徐仑峰,熊光泽.未知时序电路状态图生成算法及状态间路径的递归导出[J].计算机辅助设计与图形学学报,1998,10(2):173-179.
[31]樊敏.OLRDS结构技术研究[D].郑州:信息工程大学,2009.下载本文
