FPGA产品硬件安全难点.pdfVIP

第３章　硬件安全的难点 摘要：本章主要讨论ＦＰＧＡ产品中的恶意硬件，或者门件 （ｇａｔｅｗａｒｅ）所带来 的问题。同时还讨论了恶意硬件的分类、晶圆代工厂的可信度，以及由植入的恶意 硬件发起的攻击。本章还阐述了ＦＰＧＡ中的隐蔽信道问题，并对ＦＰＧＡ器件中一般 的隐蔽信道进行正式定义，介绍ＦＰＧＡ器件中隐蔽信道的具体例子。同时讨论探测 并消除这些隐蔽信道的方法。 ３１　恶意硬件 第２章中针对高可信软件讨论所获得的相关结果同样适用于ＦＰＧＡ的设计过 程。之所以从软件开始讨论，是因为已完成的很多和软件相关的计算机安全工作可 供借鉴。由于现代ＦＰＧＡ设计过程在很多方面均类似于软件开发 （硬件描述语言和 高级程序语言对应，ＩＰ复用等），现在已经开始使用门件这个术语来描述载入到 ＦＰＧＡ中的电路设计。 恶意硬件的历史可以追溯到冷战时期，当时美国和苏联互相刺探情报并一直延 续到了今天。 ３１１　恶意硬件的分类 攻击者可以把恶意功能植入硬件或者软件之中。恶意硬件和恶意软件有很多相 同点，恶意软件的分类方式也适用于恶意硬件。对付恶意硬件是很困难的，一般情 ［３１］ 况下很难确定计算机程序 （或者硬件模块）的可信度，因为根据Ｒｉｃｅ定理 ，这 种分析等同于挂起问题。规避恶意硬件需要采用安全的设计方式，包括强制的访问 控制机制、安全系统的形式验证和配置管理。 后门或者暗门允许未获得授权的用户访问某系统。这些功能可以在系统开发阶 段被植入，也可以在系统升级阶段被植入。 破坏开关是另一种破坏性的植入体，攻击者只要操纵破坏开关就能禁用硬件或 ［５］ 软件的某些功能 。在系统的开发或系统维护过程中可以与暗门一样植入破坏开 关，但其破坏功能不是由授权其执行非法访问，而是由于其拒绝执行某些服务 （ＤｏＳ）而造成的。破坏开关可以作为比特流的一部分被植入芯片中，也可以由第 三方开发工具，或者由海外晶圆代工厂内的敌方人员植入到芯片中。 已经证实，部分ＦＰＧＡ病毒能够对ＦＰＧＡ器件进行配置，使其发生短路，最终 ·６６· ＦＰＧＡ安全性设计指南 ［１１］ 导致器件的损毁 。病毒可以通过软件 （带有恶意 ＦＰＧＡ配置信息的恶意软件） 或者硬件复制 （比软件更加困难）进行传播。尽管ＦＰＧＡ病毒并不常见，但对于 敏感性应用领域而言，必须考虑到可能性极小的事件。就像所述的ＦＰＧＡ比特流的 成功逆向工程一样。尽管非常难以实现，但在特定的环境中必须加以考虑。 ［３８］ 硬件木马是硬件安全行业中的一个术语 ，用来表明在集成电路中存在恶意 的更改或者被植入恶意的组件。王 （Ｗａｎｇ）、特仑尼普 （Ｔｅｈｒａｎｉｐｏｏｒ）和布勒思奎 立克 （Ｐｌｕｓｑｕｅｌｌｉｃ）开发了一个可以对集成电路中的恶意更改进行分类的框架。该 ［３８］ 框架可用于评估发现恶意更改 。王 （Ｗａｎｇ）等人根据其物理特性、激活方式以 及行为特征对硬件木马进行分类。把其中的物理特性进一步划分为以下四种属性： 类型 （通过添加还是删除晶体管或门器件来实现）； 规模 （添加，删除或者弃 ① ② 用的芯片部件的数量）； 分布 （恶意组件在芯片的物理布局中是集中分布还是离 ③ 散分布的）； 结构。Ｗａｎｇ等人提出的分类学中使用了四个物理属性、一个激活 ④ ［３８］ 属性和一个行为属性，共计六个属性 。硬件木马可以从外部激活或从内部激活， 木马行为可以分为三大类： 篡改芯片的功能； 篡改芯片的参数属性 （例如， ① ② 延迟时间）； 将关键信息传输给攻击者。发现硬件木马和减轻它的破坏作用是目 ③ 前研究的热点。 ３１２　晶圆代工厂的可信度 在硬件可信度问题中，国防高