2.2 硬件木马设计

自第一篇关于硬件木马的论文发表以来[6],硬件木马的研究领域取得了重大进展。为了挖掘硬件木马的潜在风险,人们开发了各种各样的硬件木马。对于设计良好的硬件木马,传统的功能测试方法很难检测[7]。通常,硬件木马包含两个基本部分:木马触发器(实施木马激活)和有害电路(实施有害功能)。硬件木马的抽象模型如图2.2所示。木马触发器是一个可选部件,用于监控电路中的各种信号或一系列事件。有害电路通常从原始(无木马)电路和木马触发器的输出中获取信号。一旦木马触发器检测到预先确定的事件或条件,就会激活有害电路执行恶意行为。通常情况下,木马触发器会在极为罕见的情况下被激活,因此有害电路大部分时间均保持非活动状态。当有害电路处于非活动状态时,IC就像一个无木马的电路,很难将木马检测出来。

图2.2 硬件木马的抽象模型

根据木马触发机制的不同,硬件木马可分为:组合木马和时序木马。一些木马触发机制采用组合和顺序混合机制设计。图2.3展示了组合硬件木马的抽象模型。恶意电路行为由同时发生的一组触发条件激活。组合硬件木马不使用触发器或锁存器来存储状态信息。图2.4展示了时序硬件木马的抽象模型。木马被一系列状态转换激活。文献[8]阐述了在寄存器传输级(register transfer level, RTL)设计和实现硬件木马的经验。阅读文献[8]可以进一步了解硬件木马的外观及其对IC的影响。

图2.3 组合硬件木马的抽象模型

图2.4 时序硬件木马的抽象模型

图2.5给出了硬件木马的触发机制和有害功能机制。现有的硬件木马设计可分为基于触发机制和基于有害功能机制两类。硬件木马的识别主要依赖于识别触发机制和有害功能机制。因此,硬件安全的研究者重点关注这两种机制,以这两种机制为突破口,探索和评估新的硬件木马。

图2.5 硬件木马的触发机制和有害功能机制[9]

1. 触发机制

对于模拟电路木马,触发的条件包括检测到物理环境发生变化,如通过片上传感器检测到过程变化、设备老化和温度变化等。例如,在文献[10]中,基于工艺可靠性的硬件木马被用来降低IC的可靠性,硬件木马由加速的CMOS晶体管的损耗机制激活。对于数字电路木马,触发机制可以是数字电路中的组合逻辑或时序逻辑。最新实例是文献[11]中提出的“Don't Care”状态,它将硬件木马插入设计中,且不会产生太多开销。最近,文献[12]中的A2木马采用开关电容结构来捕获寄存器的翻转,涉及数字和模拟功能。由于A2开销很小,在设计中部署灵活,因此给硬件木马检测带来了新的挑战。

2. 有害功能机制

硬件木马的有害功能机制可以修改电路中的功能或信号值,通过逻辑或侧信道泄露信息[13],甚至影响设备老化。硬件中的附加区域、时序、功率或辐射等侧信道效应自然会导致信息泄露[14]。即使设计人员考虑了侧信道,嵌入式木马也会使其努力功亏一篑。在文献[15]中,由侧信道启用的恶意片外泄露(malicious off-chip leakage enabled by side-channels, MOLES)通过电源侧信道从高级加密标准(advanced encryption standard, AES)电路泄露机密。此外,文献[15]还利用了无线信道等其他特性。文献[16]中的硬件木马能够通过超宽带(ultra-wide-band, UWB)发射机泄露AES电路的敏感密钥。

硬件木马还有许多攻击方法,通过优化硬件木马设计,可以减少硬件木马对电路的影响。文献[17]中展示了零开销硬件木马,可在微处理器中产生权限升级。文献[17]介绍了一种木马增强方法。该方法隐藏了木马对无损检测的影响,提高了硬件木马的生存能力。为了抵御硬件木马攻击,研究者设计了标准测试基准,用于测试和评估硬件木马,以实现各种探测方法[18],包含在RTL、门级和布局级探测各种类型的硬件木马并设计防护对策和工具。