基于概率簽名的硬件木馬檢測技術

鄭朝霞，李一帆，余 良，田 園，劉政林

?

基于概率簽名的硬件木馬檢測技術

鄭朝霞，李一帆，余 良，田 園，劉政林

(華中科技大學光學與電子信息學院，武漢 430074)

針對集成電路芯片被植入硬件木馬后帶來的安全問題，提出一種基于概率簽名的硬件木馬檢測技術。通過邏輯功能檢測，采用隨機算法構建芯片電路(布爾函數)的概率簽名，作為唯一的識別符模板，當被測電路的簽名與模板不匹配時發出告警。設計全加器和AES加密2款電路，植入常見硬件木馬并進行攻擊實驗，對這2種電路的原始電路以及植入硬件木馬后電路的概率簽名是否發生改變進行理論分析與研究。采用統計學參數估計法在FPGA平臺進行實驗，結果表明，該概率簽名技術能檢測出一般規模組合邏輯電路中植入的硬件木馬，置信度達到95%。

集成電路芯片；硬件安全；硬件木馬；概率簽名；AES加密

1 概述

近年來，硬件木馬引起了世界各國工業界和學術界的極大關注[1]，眾多國外大學和科研機構就這一領域展開了研究，并在硬件木馬實現技術[2]方面取得了相當的研究成果[3]，而針對硬件木馬檢測[4]技術，目前的研究主要集中于電流、電壓[5]等電路旁路信息[6]方面。國內鮮有相關文章發表，由于硬件木馬等惡意電路的隱蔽性，攻擊者可以利用其竊取機密信息，破壞硬件電路，造成嚴重的經濟損失與社會危害。本文研究了概率簽名技術在硬件木馬檢測中的有效性，基于一位全加器和AES加密電路，對它們分別植入硬件木馬，然后對這2種電路污染前和污染后的概率簽名進行理論分析與FPGA實驗驗證。

2 電路的概率簽名原理

根據這一理論可以分析測試芯片的概率簽名是否與原始設計電路的概率簽名一致，以判斷該芯片是否被植入了硬件木馬，而原始電路的概率簽名可以直接在設計時得到。

3 一位全加器電路的概率簽名木馬檢測

3.1 一位加法器的概率簽名

根據電路概率簽名的原理，研究其在簡單電路中的硬件木馬檢測應用，設計了一個原始的一位全加器，其電路如圖1所示，其邏輯表達式如下：

3.2 植入硬件木馬的一位全加器概率簽名改變

分別采用2種木馬插入方式來研究該全加器的概率簽名在受污染后是否發生概率簽名，具體實驗如下：

(1)針對和信號的木馬植入及其概率簽名改變情況

圖2 針對和Si信號的木馬插入

(2)針對進位的木馬植入及其概率簽名改變情況

假設另外一種木馬破壞情況，假設電路的+1輸出出錯，電路受到木馬干擾后電路改變如圖3所示。

圖3 針對進位Ci+1的木馬插入

4 AES電路的概率簽名木馬檢測

對于輸入端口較多的設計，在其概率簽名的計算中，輸入概率分布會趨向于一個數量級龐大的分式表達式，造成電路概率簽名的獲取實際上變得不可行。因此，對于一個輸入輸出端口較多的設計，無法直接按照上述方案進行概率簽名分析。

4.1 原始AES的電路設計

AES算法[11]是一種典型的迭代型分組密碼，它的分組長度和密鑰長度均是在128bit、192bit或者256bit這3種中進行選取。

本文取分組長度和密鑰長度均為128 bit，因此，這里的AES算法是將輸入的一組數據(明文或密文)劃分成 16 Byte，以4×4狀態矩陣的形式對其進行后續操作，具體流程如圖4所示。首先進行初始密鑰加(add round key)操作，即數據和密鑰的異或運算。然后便開始總共10輪的輪變換操作，每一輪依次經過字節代換(substitute byte)、行移位(shift row)、列混合(mix column)和輪密鑰加(add round key) 4步變換，其中，第10輪不進行列混合(mix columns)操作。對于解密操作，其與加密過程類似，可分為直接解密和等價解密，在等價解密算法中，只需將每一輪中的各個替換成相應的逆操作，而順序保持不變，同時將用于密鑰加操作的輪密鑰做出相應的調整。

圖4 AES加密算法流程

4.2 AES電路的硬件木馬插入與實現

根據對硬件木馬的分類，實現了下面這4種硬件木馬，用于植入到本文AES加密的關鍵路徑S盒設計中[12]：

(1)硬件木馬1：小規模組合電路，對輸入明文寄存器text_in_r中的連續某些位與特定的數據進行比較，當兩者一致時觸發木馬，此時將輸入明文某一個字節相對應的初始密鑰sa22加1。

(2)硬件木馬2：時序計數器電路，電路開始工作時開始計數，當計到某一個較大的數量時觸發木馬，此時將篡改輪變換中某一字節輪密鑰sa22_next的輸出。

(3)硬件木馬3：序列檢測器，檢測輸入明文的某一位，此處對text_in進行檢測，當檢測出特定的序列時觸發木馬，將加密輸出text_out篡改為所輸入的明文。

(4)硬件木馬4：輸入條件比對，當輸入明文為某一特定數據時觸發木馬，將此時的密鑰作為輸出。

將4種硬件木馬分別植入AES加密電路，然后基于聯電UMC 0.18 μm工藝分別對其進行ASIC后端設計，其最終的版圖結果如圖5所示。

按照最終的芯片密度及最初的布局規劃換算得到core等價面積(含布線)如表1所示。從表1中可以看出，本文插入的木馬對版圖面積的影響微乎其微，控制在0.1%~0.3%左右。

圖5 4種硬件木馬的AES最終版圖

表1 帶木馬AES與原始AES后端面積對比

4.3 概率簽名的實驗結果

在本文實驗中，基于Altera的DE2-70開發板，利用Nios II軟核，設計硬件木馬的測試與偵測平臺如圖6所示。

圖6 基于FPGA的硬件木馬實驗平臺

在該FPGA平臺上，同時實現2種AES模塊：原始的AES模塊和植入有木馬的AES模塊。通過控制電路，按照概率簽名要求輸入測試向量，將128位明文和初始密鑰同時送入2個AES模塊中，然后測試輸出為1的次數，并對樣本數據進行統計分析、參數估計，評估出被測電路的概率簽名，然后同原始電路的概率簽名進行比對，從而概率性地判斷該電路模塊是否遭到篡改，從圖6中可以看到，當受硬件木馬污染的電路觸發時，利用Nios軟核編寫相應軟件，可將相關結果通過控制窗口打印顯示出來。

接下來嘗試采用概率簽名對這些受木馬污染的AES電路進行偵測的可能性。sbox-square模塊是用于實現S盒中的平方運算，由于模塊的輸入、輸出均為4位，對于該電路模塊的輸入端口，按照概率簽名原理要求進行賦1。其中以更嚴格的要求，根據輸入數量，取4，=0表示0，=1表示1，=2表示2，=3表示3。以此對4個輸出端0、1、2、3分別計算它們的概率簽名。通過計算分別得到原始電路中0的概率簽名為0.202，1的概率簽名為0.996，2的概率簽名是0.058 8，3的概率簽名是0.999，這樣在電路設計時便得到sbox-square電路模塊的“唯一標示符”。

然后采用概率統計的方法，基于DE2-70的FPGA平臺對上面4種受不同硬件木馬污染的電路進行偵測測試。通過編寫軟件來實現電路的概率簽名統計，步驟如下：

(1)按照概率簽名原理要求對輸入端口賦值1，并將其施加到被測電路和原始電路中。

(2)如果對于某一特定輸入向量，如果被測電路和原始電路的概率簽名不同，算法終止并以該輸入向量作為被感染硬件木馬的鑒別指紋。

(3)在施加了個向量后，并且被測電路和設計電路的輸出均相同，便可運用統計學推理得出一個能說明它們的概率簽名相同的置信區間，即被測電路無木馬[8]。

因為輸入向量服從正態分布，假定能接受的被測電路無木馬的置信度為95%，則=0.05，當仿真向量的個數為1 000時，可計算得到檢驗統計量0為-1.025，0.025=1.96，由于本文情況中-1.96≤0≤1.96，可以95%地確信被測電路不含木馬并且以此終止測試。如果在經過次模擬仿真后，被測電路的各個輸出與設計相比均未表現出差異，那么要求與每個主要輸出相應的假設的置信度至少要達到能斷定被測電路無木馬的必須的置信度大小。因此，如果要求能以95%的置信度判定一個被測電路無木馬，那么對于被測電路的每一個輸出，能夠說明輸出為1的平均值等于概率簽名的這一假設成立的顯著性為0.05。

本文對4種植入了不同木馬的樣片分別進行1 000次實驗，利用參數估計分別計算出它們的概率簽名如表2所示，表2中第2行~第5行分別是插入4種不同硬件木馬后的概率簽名，最后一行是沒有受到硬件木馬污染的電路的概率簽名，從表中可以看出，被硬件木馬污染后電路的概率簽名不在原始電路概率簽名95%的置信空間內，換句話說，被硬件木馬污染的AES樣片通過檢測其概率簽名是可以被檢測出來的。

表2 AES電路的概率簽名參數估計

5 結束語

本文分別對2個組合電路：一位全加器和AES加密電路進行了硬件木馬植入，然后基于概率簽名進行了硬件木馬檢測技術研究，實驗結果表明該方法是可行的。盡管在現階段的研究中這種概率簽名分析只能應用到組合邏輯電路中，但在實際芯片的硬件木馬檢測中，為了降低檢測復雜度，可以利用拆分電路的思想分別對芯片中各個關鍵的子模塊進行概率簽名分析，然后將所有這些概率簽名信息綜合起來，視作鑒別指紋進行硬件木馬的檢測與定位。

[1] Wolff F, Papachristou C, Bhunia S, et al. Towards Trojan-free Trusted ICs: Problem Analysis and Detection Scheme[C]// Proc. of Conference on Design, Automation and Test in Europe. Munich, Germany: IEEE Press, 2008.

[2] King S T, Tucek J, Cozzie A, et al. Designing and Imple- menting Malicious Hardware[C]//Proc. of the 1st USENIX Workshop on Large-scale Exploits and Emergent Threats. San Franciso, USA: IEEE Press, 2008.

[3] Alkabani Y, Koushanfar F. Extended Abstract: Designer’s Hardware Trojan Horse[C]//Proc. of IEEE International Workshop on Hardware-oriented Security and Trust. Anaheim, USA: IEEE Press, 2008.

[4] Ratanpal G B, Williams R D, Blalock T N. An On-chip Signal Suppression Countermeasure to Power Analysis Attacks[J]. IEEE Transactions on Dependable and Secure Computing, 2004, 1(3): 179-189.

[5] Rad R, Plusquellic J, Tehranipoor M. Sensitivity Analysis to Hardware Trojans Using Power Supply Transient Signals[C]// Proc. of IEEE International Workshop on Hardware-oriented Security and Trust. Anaheim, USA: IEEE Press, 2008.

[6] Agrawal D, Baktir S, Karakoyunlu D, et al. Trojan Detection Using IC Fignerprinting[C]//Proc. of IEEE Symposim on Security and Privacy. Oakland, USA: IEEE Press, 2007.

[7] Jha S, Jha S K. Randomization Based Probabilistic Approach to Detect Trojan Circuits[C]//Proc. of the 11th IEEE High Assurance Systems Engineering Symposium. Nanjing, China: IEEE Press, 2008.

[8] Wu S C, Wang Chunyao. Peach: A Novel Architecture for Probabilistic Combinational Equivalence Checking[C]//Proc. of IFIP International Conference on Very Large Scale Integration. Nice, France: IEEE Press, 2006.

[9] Rivest L, Shamir A, Adleman L. A Method for Obtaining Digital Signature and Public Key Cryptosystems[J]. Communications of the ACM,1978, 21(2): 120-126.

[10] Jain J, Abraham J A, Bitner J R, et a1. Probabilistic Verification of Boolean Functions[J]. Formal Methods in System Design, 1992, 1(1): 61-115.

[11] Daemen J, Rijmen V. 高級加密標準(AES)算法: Rijndael的設計[M]. 谷大武, 徐勝波, 譯. 北京: 清華大學出版社, 2003.

[12] 余 良. 數字IC中硬件木馬的特性與檢測技術研究[D]. 武漢: 華中科技大學, 2012.

編輯 任吉慧

Hardware Trojan Detection Technology Based on Probabilistic Signature

ZHENG Zhao-xia, LI Yi-fan, YU Liang, TIAN Yuan, LIU Zheng-lin

(School of Optical and Electronic Information, Huazhong University of Science and Technology, Wuhan 430074, China)

Trojan circuits can bypass traditional defensive techniques as they occupy a layer below the entire software stack. This paper proposes a hardware trojan detection technology based on probabilistic signature. Based on logic detection technology, using random and hypothesis algorithm, this paper constructs the probability signature of circuits(Boolean functions), as the unique identifier template. When the signature of circuit under test does not match the template, an alarm is launched. It designs two circuits that implement full adder and AES encryption, and then they are implanted with common hardware Trojan. It makes in-depth theoretical analysis and research on whether the probabilistic signature of the circuits implanted with hardware Trojans is changed in comparison with the two kinds of original circuits. It tests the circuits based on FPGA platform via probabilistic method. As a result, it is verified that based on the probability signature, it can easily achieve a 95% level of confidence on the detection of hardware Trojans implanted into the combinational logic circuits.

integrated circuit chip; hardware security; hardware trojan; probabilistic signature; AES encryption

1000-3428(2014)03-0018-05

A

TN452

國家自然科學基金資助項目(61006020)。

鄭朝霞(1975－)，女，副教授、博士，主研方向：SoC及其安全技術；李一帆、余 良、田 園，碩士研究生；劉政林，教授、博士。

2013-08-09

2013-10-10 E-mail：zxzheng@hust.edu.cn

10.3969/j.issn.1000-3428.2014.03.004