一種時(shí)序型總線硬件木馬的植入與檢測(cè)

黃姣英，李勝玉，高 成，楊達(dá)明

（北京航空航天大學(xué)可靠性與系統(tǒng)工程學(xué)院，北京100191）

0 概述

隨著集成電路規(guī)模的不斷擴(kuò)大和結(jié)構(gòu)復(fù)雜程度的不斷提高，集成電路的設(shè)計(jì)和制造均向全球化發(fā)展，安全問題日益突出［1］。現(xiàn)有RS 系列總線集成電路具有傳輸距離長、抗干擾能力強(qiáng)、傳輸速率高等特點(diǎn)，并且利用FPGA 實(shí)現(xiàn)RS 系列總線集成電路串口通信可以使整個(gè)系統(tǒng)更為靈活、緊湊，減小整個(gè)電路的體積，提高系統(tǒng)的可靠性和穩(wěn)定性［2］。

近年來，研究人員對(duì)硬件木馬檢測(cè)技術(shù)以及總線硬件木馬的設(shè)計(jì)、激活以及防護(hù)等問題進(jìn)行了研究。2009 年，JIN 在寄存器傳輸級(jí)（Register Transfer Level，RTL）設(shè)計(jì)插入了多個(gè)硬件木馬電路，當(dāng)木馬電路被激活時(shí)，造成輸出信息被替換和芯片功耗增大，失效、加密信息通過RS232 接口和鍵盤指示燈泄露等破壞系統(tǒng)功能［3］。2011 年，WANG 等人提出一種帶有啟用信號(hào)的k位同步計(jì)數(shù)器硬件木馬，即常規(guī)時(shí)序型硬件木馬，它有一個(gè)確定的觸發(fā)時(shí)間2k-1時(shí)鐘周期，其中k是計(jì)數(shù)器中狀態(tài)元素的數(shù)目［4］。2012 年，康涅狄格大學(xué)的SALMANI 等人提出一種能夠有效縮短木馬激活時(shí)間的結(jié)構(gòu)，通過在掃描鏈中插入該結(jié)構(gòu)，可以在測(cè)試中提高木馬節(jié)點(diǎn)的激活概率［5］。同年，凱斯西儲(chǔ)大學(xué)的NARASIMHAN 等人提出了一種合理利用硬件木馬的功能，并通過在數(shù)字IP 中的狀態(tài)機(jī)內(nèi)植入非惡意的木馬來實(shí)現(xiàn)IP 版權(quán)保護(hù)的方法［6］。

總線集成電路的功耗與時(shí)鐘頻率有很大關(guān)系，在基于側(cè)信道硬件木馬識(shí)別的過程中，經(jīng)常以時(shí)鐘頻率作為信號(hào)采集樣本集的一個(gè)特征值［7］。2016 年，華南理工大學(xué)的黃哲在寄存器傳輸級(jí)設(shè)計(jì)了一個(gè)基于時(shí)鐘倍頻的可逆計(jì)數(shù)器硬件木馬觸發(fā)電路，并進(jìn)行實(shí)驗(yàn)仿真驗(yàn)證［8］。2017 年，華南理工大學(xué)的黃山提出一種以RS232 電路為目標(biāo)，利用其波特率倍頻特性和停止位特性，在RTL 層設(shè)計(jì)了一款信息泄露型硬件木馬電路［9］。

本文設(shè)計(jì)一種基于可逆計(jì)數(shù)器的硬件木馬，在一般情況下隱藏于電路中，當(dāng)特定的閾值觸發(fā)可改變RS232 總線集成電路的正常傳輸功能，達(dá)到攻擊者設(shè)定的目的。該木馬可以根據(jù)實(shí)際傳輸數(shù)據(jù)位數(shù)靈活植入，以在與常規(guī)時(shí)序型硬件木馬同位數(shù)和同觸發(fā)參數(shù)下完成更多的總線數(shù)據(jù)傳輸。

1 時(shí)序型硬件木馬

硬件木馬從結(jié)構(gòu)上可劃分為時(shí)序型和組合型2 種，并且具有靜默和攻擊兩種活動(dòng)狀態(tài)［10］。根據(jù)這兩部分特點(diǎn)本文稱為觸發(fā)結(jié)構(gòu)（Trigger）和有效載荷（Payload），有效載荷需要觸發(fā)結(jié)構(gòu)給定指令信號(hào)，但觸發(fā)結(jié)構(gòu)的運(yùn)行不依賴有效載荷［11］。時(shí)序型觸發(fā)結(jié)構(gòu)特點(diǎn)是結(jié)構(gòu)簡單、體積小、便于選擇監(jiān)測(cè)信號(hào)且容易隱藏在集成電路中的正常時(shí)序結(jié)構(gòu)中，集成電路中大量的時(shí)序結(jié)構(gòu)網(wǎng)絡(luò)，為時(shí)序型觸發(fā)結(jié)構(gòu)的設(shè)計(jì)與植入提供了條件。

根據(jù)觸發(fā)信號(hào)來源，硬件木馬觸發(fā)條件可分為內(nèi)部觸發(fā)和外部觸發(fā)［12］兩大類。內(nèi)部觸發(fā)條件是電路中某個(gè)節(jié)點(diǎn)或者組合節(jié)點(diǎn)的產(chǎn)生，外部觸發(fā)條件是集成電路外部輸入的信號(hào)，通常由接收外部環(huán)境變量信號(hào)形成或外界人為攻擊操作而產(chǎn)生。有關(guān)基于時(shí)序邏輯的木馬中一般包含寄存器時(shí)序電路，其激活可通過內(nèi)部觸發(fā)條件計(jì)數(shù)器實(shí)現(xiàn)［13］。

如圖1 所示，時(shí)序型硬件木馬觸發(fā)結(jié)構(gòu)可以調(diào)整時(shí)間寄存器位數(shù)n與觸發(fā)閾值m，幾何級(jí)地降低觸發(fā)率，大幅降低硬件木馬被邏輯功能檢測(cè)的測(cè)試向量激發(fā)的可能性，基于時(shí)序型的硬件木馬具有極低的誤觸率，并且要比組合型硬件木馬更難被檢測(cè)［14-15］。

圖1 n 位同步計(jì)數(shù)器時(shí)序型硬件木馬Fig.1 n bit synchronous counter sequential hardware Trojan

2 基于總線硬件木馬的載體設(shè)計(jì)

本文針對(duì)常規(guī)型和可逆型硬件木馬，在Verilog代碼層設(shè)計(jì)相應(yīng)的RS232 總線代碼作為硬件木馬的載體。如圖2 所示，RS232 總線集成電路數(shù)據(jù)傳輸系統(tǒng)包括模擬串口數(shù)據(jù)收發(fā)器和RS232 模塊兩部分。

圖2 RS232 總線集成電路數(shù)據(jù)傳輸系統(tǒng)Fig.2 RS232 bus integrated circuit data transmission system

2.1 模擬串口數(shù)據(jù)收發(fā)器

本文設(shè)計(jì)一種模擬PC 功能的串口數(shù)據(jù)收發(fā)器，可以對(duì)所設(shè)計(jì)的RS232 總線平臺(tái)實(shí)現(xiàn)串口數(shù)據(jù)的發(fā)送和接收功能，并將發(fā)送和接收的數(shù)據(jù)用$display 函數(shù)顯示，通過顯示信息判斷RS232 總線數(shù)據(jù)傳輸系統(tǒng)是否正常，排除無關(guān)變量的干擾。

2.2 RS232 模塊

RS232 模塊可分為頂層模塊、接收模塊和發(fā)送模塊，每個(gè)模塊都可以作為時(shí)序型硬件木馬的目標(biāo)電路。本文采用接收模塊作為本次硬件木馬植入的載體，未植入木馬的接收模塊部分Verilog 代碼如下：

本文運(yùn)用Modelsim 仿真反映RS232 總線集成電路數(shù)據(jù)傳輸系統(tǒng)能否正常運(yùn)行。首先采用模擬串口數(shù)據(jù)收發(fā)器隨機(jī)發(fā)送500 個(gè)數(shù)據(jù)，從圖3 可以看出，RS232 總線通過接收模塊接收到Rx_data 數(shù)據(jù)并通過發(fā)送模塊發(fā)送Tx_data 數(shù)據(jù)，驗(yàn)證了RS232 總線集成電路數(shù)據(jù)傳輸系統(tǒng)能夠正常運(yùn)行。

圖3 RS232 模塊接收和發(fā)送數(shù)據(jù)仿真圖Fig.3 Simulation diagram of RS232 module receiving and transmitting data

3 可逆時(shí)序型硬件木馬的植入

通過特定的方法把微小惡意電路模塊放入正常目標(biāo)電路中的過程稱為硬件木馬的植入［16］。本文采用25 MHz 系統(tǒng)時(shí)鐘為RS232 總線集成電路數(shù)據(jù)傳輸系統(tǒng)的內(nèi)部環(huán)境，運(yùn)用ISE 將常規(guī)型與可逆型硬件木馬從RTL 層解析為Verilog 代碼并插入到上述RS232 接收模塊代碼中，同時(shí)采用代號(hào)為num2 的4 位計(jì)數(shù)器，常規(guī)時(shí)序型硬件木馬部分Verilog 代碼如下：

圖4 所示為基于總線數(shù)據(jù)的硬件木馬工作流程。本文在原有總線數(shù)據(jù)傳輸系統(tǒng)基礎(chǔ)上添加了一個(gè)計(jì)數(shù)器和木馬的硬件代碼，當(dāng)計(jì)數(shù)器值沒有達(dá)到攻擊者所設(shè)計(jì)的觸發(fā)閾值時(shí)，木馬在計(jì)數(shù)器內(nèi)處于休眠狀態(tài)，系統(tǒng)A 傳輸?shù)较到y(tǒng)B 的總線數(shù)據(jù)一切正常；當(dāng)計(jì)數(shù)器數(shù)值達(dá)到設(shè)計(jì)觸發(fā)閾值時(shí)，總線數(shù)據(jù)發(fā)生異常，系統(tǒng)B 接收到異常數(shù)據(jù)。

圖4 總線硬件木馬工作流程Fig.4 Working procedure of bus hardware Trojan

兩種硬件木馬根據(jù)總線數(shù)據(jù)判斷位植入到總線集成電路的工作原理如圖5 和圖6 所示。

圖5 常規(guī)時(shí)序型木馬植入示意圖Fig.5 Schematic diagram of conventional sequential Trojan horse implantation

圖6 可逆時(shí)序型木馬植入示意圖Fig.6 Schematic diagram of reversible sequential Trojan horse implantation

從圖5 可以看出，常規(guī)時(shí)序型硬件木馬計(jì)數(shù)器只能在每幀數(shù)據(jù)完成傳輸時(shí)進(jìn)行加1 的操作，此時(shí)木馬處于靜默狀態(tài)，當(dāng)計(jì)數(shù)器數(shù)值增加到所設(shè)置的觸發(fā)閾值時(shí)，有效荷載被觸發(fā)進(jìn)而對(duì)總線數(shù)據(jù)進(jìn)行攻擊造成其異常，此時(shí)硬件木馬屬于攻擊狀態(tài)。

從圖6 可以看出，本文設(shè)計(jì)的是一種基于總線傳輸數(shù)據(jù)內(nèi)部的新型時(shí)序型硬件木馬，可以根據(jù)數(shù)據(jù)傳輸情況先對(duì)數(shù)據(jù)最高位、最低位或者中間位進(jìn)行“0”“1”判斷，實(shí)現(xiàn)木馬計(jì)數(shù)器數(shù)值變化的依據(jù)，體現(xiàn)了可逆型木馬的靈活性。以本次選取傳輸?shù)? 位數(shù)據(jù)為例，設(shè)置最高位為判斷位，當(dāng)最高位為“1”時(shí)，num2 計(jì)數(shù)器數(shù)值加1，當(dāng)前最高位為“0”時(shí)，num2 計(jì)數(shù)器數(shù)值減1，當(dāng)最高位為“0”且num2 計(jì)數(shù)器數(shù)值為“0”時(shí)，計(jì)數(shù)器數(shù)值保持不變。

4 激活驗(yàn)證與數(shù)據(jù)分析

為了保證實(shí)驗(yàn)數(shù)據(jù)的準(zhǔn)確性，有關(guān)數(shù)據(jù)隨機(jī)性問題本文采用Matlab 隨機(jī)函數(shù)y=dec2bin（randi（［0，255］，500，1），8）生成一組500 個(gè)8 位0～255 的數(shù)據(jù)，將生成的隨機(jī)數(shù)據(jù)復(fù)制在模擬PC 串口數(shù)據(jù)收發(fā)器來進(jìn)行總線數(shù)據(jù)傳輸。為提供大量實(shí)驗(yàn)樣本，本文利用本次搭建的總線數(shù)據(jù)傳輸平臺(tái)完成了100 次數(shù)據(jù)傳輸，進(jìn)一步減少實(shí)驗(yàn)數(shù)據(jù)的誤差。

當(dāng)兩種木馬計(jì)數(shù)器num2 觸發(fā)閾值分別達(dá)到0，1，…，15 時(shí)，硬件木馬有效荷載被觸發(fā)，總線數(shù)據(jù)丟失并且輸出數(shù)據(jù)00000000，每組數(shù)據(jù)需要先后16 次設(shè)置觸發(fā)閾值，同時(shí)記錄每次激活時(shí)已傳輸數(shù)據(jù)的個(gè)數(shù)。

為驗(yàn)證可逆型硬件木馬的優(yōu)越性，本文隨機(jī)選取了1 組常規(guī)型和4 組可逆型數(shù)據(jù)在同位數(shù)計(jì)數(shù)器且同觸發(fā)值情況下進(jìn)行數(shù)據(jù)分析，如圖7 所示。

圖7 同觸發(fā)閾值下兩種木馬已傳輸數(shù)據(jù)對(duì)比Fig.7 Comparison of transmitted data between two kinds of Trojans under the same trigger threshold

從圖7 可以看出：

1）當(dāng)觸發(fā)閾值為0～3 時(shí)，可逆型組與常規(guī)型組已傳輸數(shù)據(jù)個(gè)數(shù)相差無幾。

2）當(dāng)觸發(fā)閾值為4～15 時(shí)，常規(guī)型組已傳輸數(shù)據(jù)個(gè)數(shù)按正比例增長，但可逆型組顯示為類指數(shù)型增長。

上述結(jié)果表明，在具有更多傳輸數(shù)據(jù)需求情況下，可逆時(shí)序型木馬在有效荷載觸發(fā)前可以傳輸更多數(shù)據(jù)，即具有更低的觸發(fā)率，進(jìn)而導(dǎo)致該木馬在邏輯測(cè)試中難以激活，因此不能生成合適的特征向量被檢測(cè)，具有更強(qiáng)的隱蔽性。

5 硬件木馬的檢測(cè)

影響傳統(tǒng)硬件木馬檢測(cè)率的關(guān)鍵檢測(cè)因素是硬件木馬的大小和激活率［17］。

本文采用側(cè)信道硬件木馬檢測(cè)技術(shù)對(duì)兩種木馬進(jìn)行檢測(cè)對(duì)比［18］。側(cè)信道分析技術(shù)通過芯片在正常運(yùn)行中的功耗［19］、時(shí)間延時(shí)［20］、電磁信息［21］或者熱［22］進(jìn)行監(jiān)測(cè)，然后對(duì)采集的側(cè)信道數(shù)據(jù)進(jìn)行處理與分析，最后對(duì)目標(biāo)樣本進(jìn)行對(duì)比來判斷有無木馬。

隨機(jī)抽取3 組數(shù)據(jù)，設(shè)置能成功傳輸500 個(gè)總線數(shù)據(jù)的前提條件，運(yùn)用ISE 通過PLL 鎖相環(huán)改變總線傳輸環(huán)境，控制時(shí)鐘頻率為25 MHz，每增加2.5 MHz 分析一次被植入和未植入硬件木馬電路的FPGA 功率，直至80 MHz，運(yùn)用Xpower 對(duì)其進(jìn)行功耗數(shù)據(jù)采集分析。如圖8 所示，隨著時(shí)鐘頻率的增加，常規(guī)型硬件木馬比可逆型硬件木馬與無木馬的總線傳輸系統(tǒng)的功耗差異比數(shù)值要大，若更有效地檢測(cè)可逆型硬件木馬則需要測(cè)試更長的時(shí)鐘周期。

圖8 兩種木馬功耗仿真對(duì)比Fig.8 Simulation comparison of power consumption of two Trojans

在兩種硬件木馬觸發(fā)閾值相同的情況下，電路特性對(duì)比如表1 所示，可逆型比常規(guī)型slice 資源利用僅多出0.172%，但激活率卻降低了近89%。當(dāng)總線集成電路其他功能越復(fù)雜時(shí)，資源利用越多，則可逆型硬件木馬相比同級(jí)別的常規(guī)時(shí)序型木馬更有優(yōu)勢(shì)。

表1 兩種硬件木馬電路特性對(duì)比Table 1 Comparison of circuit characteristics of two hardware Trojans

6 結(jié)束語

RS 總線硬件木馬的設(shè)計(jì)不僅是對(duì)現(xiàn)有硬件木馬類型的補(bǔ)充，也是對(duì)硬件木馬檢測(cè)技術(shù)的加強(qiáng)。本文在常規(guī)時(shí)序型硬件木馬的基礎(chǔ)上，設(shè)計(jì)一種新型的可逆時(shí)序型硬件木馬。該木馬潛伏周期隨觸發(fā)閾值的增加呈類指數(shù)型增長，同時(shí)在完成一次觸發(fā)時(shí)復(fù)位，可形成較常規(guī)時(shí)序型硬件木馬更長的觸發(fā)周期，并且在總線傳輸數(shù)據(jù)量越大的情況下隱蔽性越強(qiáng)。仿真結(jié)果表明，相對(duì)于基于時(shí)鐘頻率的時(shí)序型硬件木馬，本文可逆型硬件木馬基于總線內(nèi)部數(shù)據(jù)，受時(shí)鐘頻率影響較小，進(jìn)一步增強(qiáng)了隱蔽性。本文設(shè)計(jì)的可逆時(shí)序型木馬在RS 系列總線集成電路防護(hù)領(lǐng)域具有廣闊的應(yīng)用前景，可為后續(xù)總線硬件木馬的設(shè)計(jì)及研究提供支持。