一種基于物理安全防護機制的系統設計與原型實現*

龐 軍， 王 謙， 李 誠， 陳 瑜， 蔡 堅,2

(1.清華大學 微電子學研究所，北京 100084；2.清華信息科學與技術國家實驗室(籌)，北京 100084)

?

一種基于物理安全防護機制的系統設計與原型實現*

龐 軍1， 王 謙1， 李 誠1， 陳 瑜1， 蔡 堅1,2

(1.清華大學 微電子學研究所，北京 100084；2.清華信息科學與技術國家實驗室(籌)，北京 100084)

針對常規的對芯片和系統的物理攻擊，尤其是侵入式解剖攻擊，提出了一種多種檢測機制耦合的物理安全防護系統，該系統包括功能模塊、檢測模塊和響應模塊。關鍵的檢測模塊包括由分布電阻網絡、壓力感應模塊、光照感應模塊構成的物理安全邊界以及由溫度感應模塊構成的異常檢測模塊。基于現有的系統構成條件，利用印制電路板實現了便于展示和測試的安全防護系統原型。對原型感應模塊進行了功能測試，對分布電阻網絡檢測方案進行了測試評估，分析了檢測機制的耦合作用。原型系統能夠對多種常見攻擊手段做出有效的防護，并保證一定的有效性。

物理攻擊； 安全防護系統； 耦合檢測機制； 分布電阻網絡

0 引 言

在對芯片和系統的安全特性要求越來越高的今天，硬件防護的重要性逐漸凸顯[1]。設計良好的硬件安全防護系統能夠抵御大多數物理攻擊，將攻擊成本提升到攻擊者難以承受的程度。

根據物理攻擊對系統/芯片造成的損傷程度不同，可將攻擊分為三類：侵入式攻擊(需破壞器件封裝，同時去除芯片鈍化層)、非侵入式攻擊(無需破壞器件封裝)和半侵入式攻擊(需破壞器件封裝，無需去除芯片鈍化層)。

本文選擇四種能夠覆蓋多種攻擊的防護手段：分布電阻網絡、壓力感應、光照感應、溫度感應。此系統的防護核心是防止對封裝的解剖，同時兼顧對異常狀態的監測。

1 攻擊—防護的關聯

綜合分析可得圖1所示的攻擊—防護關聯圖[2]。

2 原型設計

本文通過一個安全防護系統的原型設計與制作，探索其物理安全防護機制，設計了基本的驗證方法。

2.1 模塊劃分

一般的，硬件系統結構可采用三重邊界進行區分，如圖2。

圖1 攻擊—防護關聯圖

1)硬件邊界1：由PCB定義，這一邊界通常沒有保護措施；

2)硬件邊界2：由封裝定義，能夠提供一定程度的防護，利用BGA,SiP等先進封裝技術能大幅增加攻擊成本；

3)硬件邊界3：由芯片本身定義，可以提供一定程度的保護，如芯片表層的有源屏蔽層[3]。

圖2 硬件系統的結構層次

將圖2的硬件邊界與三種類型的攻擊對應起來：進行非侵入式、半侵入式、侵入式攻擊的條件分別是進入硬件邊界1、邊界2、邊界3。對于合格的安全防護系統，敏感信息主要存在于邊界3內，幾乎不出現在邊界2外。本文的研究主要是探索硬件邊界2，即防解剖封蓋防護機制的安全性。

安全防護系統典型的構成包含功能模塊、檢測模塊、響應模塊[4]。關鍵的檢測模塊采用的物理安全邊界由壓力感應模塊、光照感應模塊、防解剖封蓋(即包含分布電阻網絡的密封封蓋)[5]構成，采用的異常檢測模塊由溫度感應模塊構成。電阻網絡密布在防解剖封蓋中，對電阻網絡進行通電并實時監控內部測試點的電位值即可實現導電回路即安全邊界完整性的檢測；壓力感應模塊輸出為表征物理安全邊界內壓強是否與外界壓強相同的電壓信號；光照感應模塊輸出為表征是否有環境光射入物理安全邊界內的電壓信號。異常檢測模塊中的溫度感應模塊輸出表征系統是否處于異常高/低溫環境的信號。控制器接收異常檢測模塊、物理安全邊界輸出的檢測信號，經邏輯運算判定是否遭到攻擊，輸出信號到響應模塊。如果響應模塊接收到表征受到攻擊的信號，就擦除安全存儲器的數據。原型原理圖如圖3所示。

圖3 系統原理圖

通過對器件性能、尺寸、功耗的綜合考慮，微控制器采用ST公司的STM32，其內部Flash存儲敏感信息。壓力傳感器采用MEAS公司的MS5611，光照傳感器采用Rohm公司的BH1750。MS5611,BH1750分別不斷采集安全邊界內的壓強/溫度值、照度值，通過I2C接口傳輸至主控制單元STM32。

2.2 分布電阻網絡的分析與設計

基于檢測穩定性考慮，采用監測直流電阻方案[6]。布線網絡由一條手風琴型蛇形走線構成。采用對于X-Ray基本透明且電阻率較大的鋁布線，其覆蓋區域長為L，寬為W，線寬線距均為P，方塊電阻為R□。假設物理解剖的最小尺度為Wa，則攻擊至少破壞Wa/2P根走線，對應阻值變化WWaR□/2P2。

將電阻網絡均分為M個串聯子網絡，每個子網絡阻值為WLR□/2MP2，每個破壞區域都可以近似劃分到某子網絡中。為模擬子網絡上的短/斷路情況，將每段子網絡等效為電阻R0和R的串聯。R用于模擬子網絡中因攻擊而導致阻值變化的部分：R=0代表該段有Wa的區域發生短路，R=+∞代表發生斷路，R=RR代表子網絡完好，R0等于該段子網絡中有Wa的區域被短路時的阻值。其中,RR=WR□Wa/2P2，R0=WR□(L-MWa)/2MP2，RR即系統的電阻檢測精度。

ΔVmin為當系統實際遭到攻擊時電位變化值的最小值

(1)

為保證系統正常工作，需滿足

Vres

(2)

式中Vres為系統電位檢測的分辨率，本文利用STM32的12位ADC采樣，故Vres=(Vcc/212)V=(3.3/212)V；VT為翻轉閾值。Vres

2.3 感應模塊的設計

壓力/光照感應模塊要表征物理安全邊界的完整性，必須處于特定的環境中[7]。壓力感應需要氣密環境，光照感應需要遮光環境，故原型采用金屬封裝。

原型中感應模塊均位于物理安全邊界內。出于測試考慮，邊界內空腔通過歧管與外界相通，防解剖封蓋采用玻璃作為載體。改變外界壓強時檢測壓力讀數就能實現壓力感應的測試；改變外界照度時檢測照度讀數就能實現光照感應的測試。后續只需通過歧管抽真空(使得邊界內壓強與外界壓強不同)并密封即可實現壓強隔離；將玻璃封蓋替換為非透光材料(使得邊界內完全黑暗)即可實現光照隔離。

2.4 模塊耦合分析

為評估系統整體性能，引入以下概念：

第一類失效：實際遭受攻擊，檢測系統認為沒有遭受攻擊；

第二類失效：實際未遭受攻擊，檢測系統認為遭受攻擊。

安全邊界對應的三種機制獨自檢測時都存在缺陷：防解剖封蓋中多點同時被破壞時電阻網絡檢測可能失效；解封環境壓強與安全邊界內壓強相同時壓強感應失效；解封環境照度與安全邊界內照度相同時照度感應失效。對此采取的判定策略是，三個子模塊的輸出取或，即任一模塊超出閾值就認為遭受攻擊。由于邊界完整性檢測對應侵入式攻擊，在系統的整個生命周期它只會觸發一次，因此,它的兩類失效都非常致命。而或邏輯會增大第二類失效率，為減緩該效應，三個模塊的觸發閾值選取采取保守策略。

3 原型實現

3.1 系統集成

圖4是原型的結構示意圖。PCB1右部是防解剖檢測模塊，該模塊邊界由金屬封裝和防解剖封蓋構成。金屬封裝內部是集成有壓力/光照/溫度感應模塊的PCB2，PCB2通過引線鍵合與金屬外殼引腳的內引線端相連，金屬外殼引腳的外引線端焊接到PCB1上。玻璃封蓋表面鋁布線通過銅導線連接到PCB1的鍵合焊盤上。

圖4 原型結構示意圖

3.2 分布電阻網絡實現

為實現原型的可重復檢測，引入輔助電阻網絡模擬通斷：將玻璃上電阻網絡均分為8段串聯子網絡，在子網絡間加入7段位于PCB1上的輔助電阻網絡—模擬短/斷路的開關、電阻組合。通過調整開關的通斷，實現網絡遭受攻擊阻值發生變化的模擬。

本文采用檢測方式是監測網絡內部節點的電位。監測點位于子網絡間，其電位值通過ADC連續采樣，一旦檢測電位與預設正常電位之差大于系統設定閾值，就判定為異常。防解剖封蓋的制備通過在玻璃片上制作蛇形布線形成分布電阻網絡實現，布線線寬/線距均為30 μm。每段子網絡的實測直流電阻約為1 kΩ。組裝后的原型實物如圖5。

圖5 安全防護系統原型實物

4 原型測試與評估

4.1 感應模塊測試

原型測試環境包括計算機、電源模塊和防護系統原型。正常工作時，系統壓強、溫度的測量值分別為101.85 kPa,28.5 ℃。讀數與未集成的壓力傳感器相同，壓強/溫度感應模塊測試通過。

用固定照度光源照射原型，并改變光源與玻璃封蓋的相對位置，所得讀數如表1。返回讀數與照度傳感器芯片資料描述的工作特性基本相符，可認為照度感應模塊功能正常。

表1 固定光源處于不同位置時的照度讀數(lx)

Tab 1 Illuminance values of fixed light source placed in different places

光源和玻璃封蓋的相對位置第1次第2次第3次第4次第5次平均值正上方1cm處482234789348596483264794648197正上方2cm處211562126321616214532135321368正上方4cm處104201068610796106801057310631斜上方4cm處615661066133618061036136

4.2 分布電阻網絡測試評估

改變輔助網絡接入通路的阻值，所得監測點電位值差見表2。第1列表示7段輔助網絡分別接入分布電阻網絡的阻值，單位為kΩ；第2～8列表示7個監測點采集到的實際電位與電阻網絡完整時的差值；第9列是有效電位差檢測值ΔSVmin=ΔVmin×4 096/V，即第2～8列中數值最大的電位差。表2中電位均乘以4 096/V進行歸一化。

表2 不同通斷情況下7個監測點的采樣值

Tab 2 Sampling values at seven detecting points with different open/short conditions

通斷情況ΔAD0ΔAD1ΔAD2ΔAD3ΔAD4ΔAD5ΔAD6ΔSVmin022222232628423418513894453262022222-4827823118213593432782202222-42-8424118914298472412220222-45-87-13818914094441892222022-48-94-141-18813693441882222202-57-97-142-189-23893442382222220-45-90-136-186-234-27647276

將M=8，R0=1 kΩ，RR=2 kΩ代入式(1)得理論ΔSVmin=163，表2中實測為188。理論和實測基本相符，下用理論計算評估鋁的電阻率隨溫度、壓力、磁場發生漂移的非理想效應。鋁電阻率ρ=ρ0(1+α0(T-T0))，α0=0.004 3/℃為鋁的溫度系數。系統工作溫度為-45～85 ℃，對應電阻率漂移為-26 %～28 %。正常情況下，R0=1 kΩ，RR=2 kΩ。假設溫度、壓力、磁場影響相當且可線性疊加，則R0,RR的波動范圍約為25 %～175 %。此時，ΔSVmin隨R0,RR的變化如圖6所示。

圖6 ΔSVmin與R0,RR之間的關系

非理想效應導致ΔSVmin在46～239之間波動。減小翻轉閾值ΔSVT可提升檢測精度，減小漏報率，但系統的噪聲容限也會減小。在實際的原型中，R0,RR由鋁在相同區域的布線構成，兩者電阻率的變化方向基本相同，此時ΔSVmin的波動很小。故翻轉閾值ΔSVT適當向ΔSVmin變化范圍的下限選取，可獲得較高的有效性。本原型中，選擇ΔSVT=100，對應的電阻檢測精度RR約為1 kΩ。

4.3 系統整體評估

假設分布電阻網絡、壓力感應、光照感應的第一/二類失效率分別為α1/β1,α2/β2,α3/β3。考慮到最終標志是否遭受攻擊的信號由這三個模塊的輸出信號進行或運算獲得，故對于檢測系統整體而言，其第一類失效率α=α1α2α3，第二類失效率β=1-(1-β1)(1-β2)(1-β3)。假設非理想效應導致壓力感應模塊的檢測值均勻分布，則有α2+β2=c2，其中，c2為常數。考慮壓力感應模塊后，系統總失效率

λ=αP+β(1-P)=[(β1-1)+(1+α1-β1)P]α2+

(1-P)(β1+c2-β1c2).

當發生攻擊的概率P較大時，系統總失效率隨壓力感應模塊第一類失效率增大而遞增。從而在α1已經確定的前提下，根據系統適用的場所，判斷系統遭受攻擊可能的概率P，并依此選取壓力感應模塊的翻轉閾值，以使得檢測系統總失效率盡可能小。類似的，光照感應模塊翻轉閾值選取遵循相同原則。

綜合以上的分析，在原型測試中，暫時固定溫度、壓強，改變照度和電阻網絡的接入電阻阻值(對這兩種檢測量變化能夠正常響應說明對另外兩種檢測量變化也能正常響應)。選擇照度上限翻轉閾值為10 000 lx，電阻網絡的歸一化上限翻轉閾值為100。當照度值或接入電阻阻值使得系統處于翻轉閾值外時，檢測模塊判定遭受攻擊，響應模塊將Flash中的預設數據0x12345678擦除為0x11111111，見圖7。

圖7 檢測到攻擊時Flash預設數據被擦除

5 結 論

本文在對現有的攻擊—防護手段進行分析的基礎上，設計實現了一個由四種防護機制耦合的安全防護原型系統。該防護原型系統包括功能模塊、檢測模塊和響應模塊，關鍵的檢測模塊實現了包括由分布電阻網絡、壓力感應模塊、光照感應模塊構成的物理安全邊界以及由溫度感應模塊構成的異常檢測模塊。照度感應和分布電阻網絡的測試成功證明原型能夠對攻擊做出正確響應。

致 謝:

國家科技重大專項資助項目(2012ZX01026003)。

[1] Gutmann Peter.Cryptographic security architecture:Design and verification[M].New York:Springer,2002:1-42.

[2] Mohammad Tehranippor,Wang Cliff.Introduction to hardware security and trust[M].New York:Springer,2011:65-101,143-194.

[3] Andrea Beit-Grogger,Josef Riegebauer.Integrated circuit having an active shield:US,6962294[P].2005—11—08.

[4] Sean W.Weingart Smith Steve.Building a high-performance, programmable secure coprocessor[J].Computer Networks,1999,31:831-860.

[5] Stefano Sergio Oggioni,Vincenzo Condorelli,Nihad Hadzic.Tamper-proof caps for large assembly:US,2007/0038865 A1[P].2007—02—15.

[6] 李麗仙，崔云龍，王華斌.一種芯片的多層網格探測器及其防攻擊方法:CN,1696863A[P].2005—11—16.

[7] Brand H Baltes.Microsensor packaging[J].Microsystem Technologies,2002,7:205-208.

龐 軍(1989-),男，湖北荊州人，碩士研究生，主要研究方向為硬件安全防護和集成電路封裝設計。

蔡堅，通訊作者，E—mail:jamescai@tsinghua.edu.cn。

A system design and prototype implementation based on physical security protection mechanism*

PANG Jun1, WANG Qian1, LI Cheng1, CHEN Yu1, CAI Jian1,2

(1.Institute of Microelectronics,Tsinghua University,Beijing 100084,China;2.National Laboratory for Information Science and Technology at Tsinghua,Beijing 100084,China)

Aiming at regular physical attacks to chips and systems especially invasive decapsulation attack,a physical security protection system which contains couples several detection mechanisms,is proposed,and the system comprises function module,detection module and response module.The key detection module is made up of physical security boundary, consisting of distributed resistor network,pressure sensing module and sensing module,and anomaly detection module, consisting of temperature sensing module.Based on current condition of system constitution,a prototype which is easy to exhibit and test is achieved with printed circuit board.The relevant functional testing is done,the testing scheme of distributed resistor network is evaluated and the coupling function of detecting mechanism is analyzed.In conclusion, the prototype system can make an effective protection against common means of attack and ensure the effectiveness to some extent.

physical attack; security protection system; coupling detection mechanism; distributed resistor network

2015—01—15

國家科技重大專項項目(2012ZX01026003)

10.13873/J.1000—9787(2015)09—0072—04

TP 271.5

A

1000—9787(2015)09—0072—04