用于硬件木馬檢測的電磁輻射分析方法研究

唐永康，胡星，蘇颋，李少青

用于硬件木馬檢測的電磁輻射分析方法研究

唐永康，胡星，蘇颋，李少青

（國防科技大學計算機學院，湖南 長沙 410073）

隨著集成電路產(chǎn)業(yè)全球化的發(fā)展，硬件木馬已成為集成電路的主要安全威脅之一。目前能較好權(quán)衡檢測成本與檢測能力的側(cè)信道分析方法越來越受到研究人員的關(guān)注，其中，電磁輻射分析方法是研究熱點之一。重點分析并驗證電磁輻射分析方法對硬件木馬的檢測能力，并探究限制其檢測性能的原因。在現(xiàn)場可編程邏輯門陣列（FPGA）上進行驗證實驗，實驗結(jié)果表明，電磁輻射分析方法可以很好地檢測電磁輻射頻率分布獨特的硬件木馬電路，但無法適用于電磁輻射頻率分布復雜的硬件木馬。

檢測能力評估；電磁輻射；硬件木馬檢測；側(cè)信道分析

1 引言

集成電路（IC，integrated circuit）已成為金融、通信與軍事等信息領(lǐng)域的重要硬件支撐，但其也面臨著諸多硬件安全威脅。硬件木馬[1]是為實現(xiàn)對IC關(guān)鍵信息的修改與監(jiān)控而對IC原始電路進行的惡意篡改，其已成為多方關(guān)注的焦點。而隨著IC設(shè)計復雜度的日益增長，IC設(shè)計者們不得不使用第三方知識產(chǎn)權(quán)核緩解設(shè)計壓力；同時由于經(jīng)濟、技術(shù)能力的限制，大部分設(shè)計團隊只能將設(shè)計好的IC數(shù)據(jù)交由第三方代工廠生產(chǎn)。因此，一些惡意的知識產(chǎn)權(quán)核供應(yīng)商與代工廠可以很輕易地將硬件木馬電路植入IC中。不同于傳統(tǒng)安全威脅，硬件木馬直接以硬件的形式實現(xiàn)，一旦植入IC中就無法移除，被感染的IC必須被棄用。因此硬件木馬的隱蔽性與威脅程度極高，必須對其進行防護。

學術(shù)界為應(yīng)對硬件木馬威脅進行了大量的研究，包括逆向工程[2]、功能測試[3]以及側(cè)信道分析[1,4-14]等。其中，側(cè)信道分析方法已被證明可以通過采集、分析IC工作時產(chǎn)生的功耗、電磁輻射以及紅外圖像等信息有效地實現(xiàn)硬件木馬檢測。

Agrawal等[1]在2007年提出將側(cè)信道分析應(yīng)用到硬件木馬檢測中。隨后，電磁輻射分析方法被提出并逐漸成熟，側(cè)信道分析也成為最熱門的硬件木馬檢測方法之一。電磁輻射分析方法通過比較目標IC與可信參考（純凈母本IC[1]或寄存器傳輸級設(shè)計數(shù)據(jù)[8]等）的電磁輻射差異以實現(xiàn)硬件木馬檢測。文獻[4，9-10]直接在時域上分析被測IC與母本IC電磁輻射強度曲線的絕對差異來識別被感染的IC。Chen等[6]將二維主成分分析應(yīng)用于電磁輻射強度數(shù)據(jù)分析，并使用反向傳播神經(jīng)網(wǎng)絡(luò)實現(xiàn)硬件木馬檢測。該方法可以檢測占宿主電路0.31%以上規(guī)模的硬件木馬。He等[7]提出在頻域上比較電磁輻射分布仿真曲線與實際電磁輻射曲線的特定頻率點可以實現(xiàn)硬件木馬檢測，基于該方法其成功檢測了Trust-Hub中11種不同的硬件木馬。文獻[8]使用神經(jīng)網(wǎng)絡(luò)進一步提升了此方法的檢測能力。現(xiàn)有研究已證明電磁輻射分析方法可以用于硬件木馬檢測，但它們沒有探究具有何種特征的硬件木馬可以被電磁輻射分析檢測，且并未討論該類方法的局限性。

研究局限性就必須分析限制側(cè)信道分析檢測性能的主要因素：噪聲。微弱的硬件木馬信號極易被各種類型的噪聲（測量噪聲、環(huán)境噪聲、工藝偏差和其他隨機噪聲）所掩蓋[1]。分析電磁輻射分析實現(xiàn)硬件木馬檢測過程中的噪聲對研究該類方法的局限性具有重要意義。但是，現(xiàn)有文獻對電磁輻射分析時的噪聲模型考慮并不完整，并且其對噪聲的分類未考慮電磁輻射的特性。

本文將針對電磁輻射分析方法，研究其用于硬件木馬檢測的有效性與局限性，分析其可以有效檢測具有何種特征的硬件木馬以及不適用于何種場景下的硬件木馬檢測。本文將首先介紹電磁輻射分析方法實現(xiàn)硬件木馬檢測的物理機理；然后，分析電磁輻射分析過程中所有可能的噪聲源，完善噪聲模型，并結(jié)合各噪聲的異同點與電磁輻射分析的特點提出專用噪聲模型；接著，在分析模型中各類噪聲對檢測的影響形式與程度的基礎(chǔ)上討論電磁輻射分析方法的有效性與局限性；最后，將在現(xiàn)場可編程邏輯門陣列（FPGA，field programmable gate array）中驗證評估電磁輻射分析方法的有效性與局限性。目前還未有相關(guān)工作研究電磁輻射分析的專用噪聲模型，并系統(tǒng)地分析評估該類方法的檢測能力。本文的貢獻如下。

（1）基于電磁輻射分析方法檢測硬件木馬的物理機理，提出專用于電磁輻射分析的噪聲模型。

（2）分析噪聲模型中各類噪聲的干擾形式與影響程度，并討論電磁輻射分析可以有效檢測的硬件木馬的特征以及電磁輻射分析方法的局限性。

（3）在FPGA上驗證了電磁輻射分析方法的檢測有效性和局限性。實驗結(jié)果表明，電磁輻射側(cè)信道分析方法可以很好地檢測電磁輻射頻率分布獨特的硬件木馬，但無法適用于電磁輻射頻率分布復雜的硬件木馬。

2 研究背景

本節(jié)主要介紹電磁輻射分析方法檢測硬件木馬的物理機理，并回顧現(xiàn)有的電磁輻射分析方法。

2.1 檢測物理機理

電磁輻射分析的基本理論是麥克斯韋方程[15]，其中描述電磁轉(zhuǎn)換和磁電轉(zhuǎn)換過程的部分方程如下：

其中，和是磁通密度和磁場強度，和是電場強度和電位移。

根據(jù)電位移的定義和Biot-Savart定律，和分別由式(3)、式(4)給出。

可以看到，電磁輻射是電流（）的結(jié)果，并且與其頻率有關(guān)。電磁輻射有兩個重要特征：輻射強度和頻率分布。因此，有兩種不同的硬件木馬檢測思路，即在時域上分析待測IC的電磁輻射強度或在頻域上分析其電磁輻射頻率分布。同時，IC中每個電路塊的電流強度和工作頻率不盡相同，這就導致整個IC的電磁輻射信息量巨大[16]。因此，大部分方法會對IC進行分塊，并在不同區(qū)域分別進行電磁輻射采集與分析[10]。

從本質(zhì)上來說硬件木馬也是電路，其工作時同樣會產(chǎn)生相應(yīng)的電磁輻射強度和頻率分布。在第三方代工廠或不可信知識產(chǎn)權(quán)核供應(yīng)商向IC中植入硬件木馬后，被感染區(qū)域內(nèi)部電路工作時，電流特征將被改變，進而改變該區(qū)域的電磁輻射信息。這種變化可以被近場電探針[16]或磁探針[17]捕捉到。通常，硬件木馬由觸發(fā)邏輯和工作邏輯兩部分組成，而只有觸發(fā)邏輯會始終工作以判斷觸發(fā)信號是否出現(xiàn)并觸發(fā)工作電路。因此，本文主要關(guān)注觸發(fā)邏輯所產(chǎn)生的電磁輻射信息。

2.2 現(xiàn)有研究

Soll等[10]提出了一種基于待測IC的電磁輻射檢測硬件木馬的技術(shù)，將IC劃分為多個區(qū)域，并成功地檢測到了占128位AES（advanced encryption standard）電路規(guī)模0.68%的硬件木馬。但是，該檢測方法僅關(guān)注每個區(qū)域的電磁輻射強度，檢測容易受到工藝偏差和電磁輻射干擾（EMI，electromagnetic interference）的影響。當硬件木馬位于不同區(qū)域時EMI可能導致檢測性能的差異。

隨后Balasch等[4]也參考上述方法實現(xiàn)了硬件木馬檢測。證明了該方法能夠檢測到占AES面積1.3%的硬件木馬，但當木馬的占比從1.3%降低到0.1%時，該方法就將無法實現(xiàn)檢測。Ngo等[9]的研究表明，使用電磁輻射分析方法，檢測到占原始電路面積0.5%、1%和1.7%的硬件木馬的成功率分別為74%、83%和95%。Chen等[6]進一步提出，二維主成分分析可以抑制電磁輻射強度曲線比較過程中噪聲的影響，并提升檢測的精度。該方法檢測到占宿主電路規(guī)模1.38%以上的時序型硬件木馬的成功率大于88%，檢測占比大于0.31%的組合型硬件木馬的成功率大于78%。王品等[18]提出以高斯濾波的方式抑制木馬芯片和非木馬芯片差分電磁輻射信號中的噪聲部分，并使用K最鄰近算法對二者進行區(qū)分。該方法能以90%的準確率檢測面積占宿主電路0.76%的硬件木馬。

He等[7]應(yīng)用空間投影變換的思想，將電磁輻射強度曲線從時域轉(zhuǎn)換到頻域，并比較特定頻率點。該方法可以應(yīng)對工藝偏差的影響，同時他們沒有采用純凈母本芯片作為參考，而利用芯片設(shè)計數(shù)據(jù)進行電磁輻射的仿真作為硬件木馬檢測的純凈參考，成功地檢測到了Trust-Hub中11種不同的硬件木馬。為提高其方法的性能，將神經(jīng)網(wǎng)絡(luò)應(yīng)用于被感染IC的識別[8]，該方法的平均檢測成功率高達89.2%。但該方法關(guān)注的是待測IC的全局電磁輻射，并且這種仿真方法忽略了一些重要的噪聲因素，如EMI噪聲。

Supon等[19]與He等[20]采用片上電磁傳感器采集芯片的電磁輻射信息以實現(xiàn)硬件木馬檢測。該類方法已驗證可以在128位AES中檢測到4種不同類型的硬件木馬[20]，但他們同樣沒有將檢測過程中的噪聲模型考慮完全，并且添加電磁傳感器可能會影響芯片性能。

綜上所述，現(xiàn)有研究僅基于硬件木馬的規(guī)模或觸發(fā)邏輯類型來評估方法的檢測能力，并未深入考慮其可檢測的硬件木馬的本質(zhì)特性。并且現(xiàn)有方法進行檢測時考慮的噪聲模型并不完整，尤其并未將周圍電路對電磁輻射分析的影響考慮在內(nèi)。而一些電磁輻射信息與周圍普通電路類似的硬件木馬很可能被隱藏在EMI噪聲中，如果采取最高級的降噪方法消除EMI噪聲，那么隱藏在其中的硬件木馬信號也會隨之被消減，這對分析評估電磁輻射分析方法的有效性和局限性是不利的。因此不同于現(xiàn)有的研究，本文將針對電磁輻射分析方法的特性建立專門的噪聲模型，以全面分析影響硬件木馬檢測性能的潛在噪聲因素。并通過分析不同噪聲的干擾形式與影響程度研究電磁輻射分析方法的有效性與局限性。

3 噪聲分析

本節(jié)首先分析硬件木馬檢測過程中的噪聲源，并簡單介紹這些噪聲的特征；然后建立專用于電磁輻射分析的噪聲模型；最后討論這些噪聲對硬件木馬檢測的影響。

3.1 噪聲模型

由第2節(jié)的分析可知，電磁輻射分析可以用于檢測硬件木馬，但其檢測性能容易受到各種類型噪聲的影響。如圖1所示，電磁輻射分析過程中噪聲通常來自3個不同的階段：電磁輻射采集階段、IC制造階段以及IC工作階段。

首先，在IC制造階段，工藝偏差是主要噪聲源。工藝偏差是IC制造時由于晶體管和金屬線尺寸的細微不同而導致的制造偏差。文獻[21]將工藝偏差分為片間偏差和片內(nèi)偏差兩類，分別代表兩個同批次IC間的差異以及同一IC中兩個晶體管間的差異。隨著MOS晶體管的特征尺寸減小，越來越難以精確控制IC的制造過程[22]。而MOS管閾值電壓和溝道長度的變化將影響電路的工作電流[23]，從而影響其電磁輻射信息。因此在比較待測IC與可信參考之間的電磁輻射時，硬件木馬信號可能被工藝偏差造成的噪聲所掩蓋。

然后，采集IC電磁輻射時的噪聲主要包括環(huán)境噪聲和設(shè)備噪聲。其中環(huán)境噪聲主要來自宇宙噪聲和大氣噪聲[24]，它們服從正態(tài)分布，并且功率頻譜密度在頻譜中近似均勻分布；電磁輻射采集設(shè)備中的主要噪聲源包括熱噪聲[25]、散粒噪聲[26]、閃爍噪聲和量化噪聲。其中熱噪聲、散粒噪聲以及閃爍噪聲存在于所有電子設(shè)備中。由示波器中的模數(shù)轉(zhuǎn)換電路（ADC）引起的一系列量化誤差被稱為量化噪聲[27]。

最后，在IC工作時除了熱噪聲與閃爍噪聲等隨機噪聲外，EMI是最主要的噪聲源[17]。這是因為IC中每個電路模塊不僅會產(chǎn)生自己的電磁輻射，還會通過電路結(jié)構(gòu)和耦合影響其他電路模塊的輻射[8]。因此，IC各區(qū)域的電磁輻射信息可能會受到周圍電路的極大干擾。文獻[4,10]中的實驗結(jié)果表明，如果將硬件木馬放置在某些大功率電路旁，那么該硬件木馬的電磁輻射將會被掩蓋。雖然一些規(guī)模龐大的硬件木馬也可能影響周圍電路的電磁輻射，從而更容易被檢測到。但實際中，硬件木馬的電磁輻射信號通常非常微弱，因此EMI是電磁輻射分析時最主要的噪聲之一。

其中，代表電磁輻射分析過程中的所有噪聲。

Figure 1 Types of noise sources

然后，基于電磁輻射分析的特性對噪聲進行分類、合并。本文將從時域上的電磁輻射強度和在頻域上的頻率分布來考慮這5種噪聲的異同。

3.2 噪聲影響分析

要實現(xiàn)硬件木馬信號的檢測，必須使其硬件木馬的電磁輻射信號擺脫噪聲的干擾。實現(xiàn)此目標的最有效方法是噪聲抑制，這也是電磁輻射分析檢測硬件木馬的必要步驟。但實際上，硬件木馬信號與某些噪聲之間可能存在一定的聯(lián)系，從而使在抑制噪聲的同時，削弱硬件木馬的電磁輻射。因此，需要分析模型中各類噪聲對檢測的影響形式與程度，并探究它們與硬件木馬信號間是否可能存在聯(lián)系。

（1）底噪

由3.1節(jié)的分析可知，底噪的各組成部分在時域上都服從正態(tài)分布。本文對底噪的實際電磁輻射數(shù)據(jù)進行了采集驗證。圖2是采集到的數(shù)據(jù)（100組）中某一組的概率密度函數(shù)（PDF，probability density function）。紅色曲線是由實際數(shù)據(jù)的均值和標準差建立的理想正態(tài)分布PDF，藍色曲線是實際數(shù)據(jù)的PDF，兩條曲線匹配度較高。同時，本文使用Jarque-Bera檢驗[28]對正態(tài)分布進行了擬合優(yōu)度檢驗，數(shù)據(jù)通過Jarque-Bera檢驗的概率為75%，因此可將底噪影響視為正態(tài)分布。

圖2 底噪概率密度函數(shù)

Figure 2 Probability density function of background noise

根據(jù)以上特性，可以使用簡單的均值濾波方法消除底噪的影響。即采用取多次連續(xù)采樣后平均值的方法或者直接使用示波器內(nèi)置的均值算法來實現(xiàn)降噪。降噪結(jié)果如圖3所示，藍色曲線代表底噪的原始數(shù)據(jù)，紅色曲線是均值濾波降噪的結(jié)果。結(jié)果表明，即使采用最簡單的降噪方法，也可以很好地抑制底噪。

雖然均值濾波是最簡單有效的降噪方法，但該方法無法描述實際電磁輻射信號的非平穩(wěn)特性，這意味著在其降噪電磁輻射時會丟失一些細節(jié)。因此，在驗證評估電磁輻射分析方法的檢測能力時，應(yīng)使用更合適的降噪方法來更好地處理原始數(shù)據(jù)。此時，更青睞于使用在非平穩(wěn)信號處理中應(yīng)用廣泛的小波濾波[29]。小波濾波的基本理論是連續(xù)小波變換，表示如下：

Figure 3 The result of mean filtering

使用小波函數(shù)的線性組合近似原始信號可以將該信號分解為多個頻率段信號分量，噪聲通常存在高頻分量中。根據(jù)閾值選擇性處理高頻分量后可以將信號重構(gòu)為降噪信號[26]。小波濾波可以根據(jù)信號的頻率特性抑制噪聲，并保留目標信號的更多特征，因此更適合電磁輻射信號分析。

（2）工藝偏差噪聲

電磁輻射分析方法對硬件木馬的檢測很容易受到工藝偏差的影響，但受經(jīng)濟成本的限制，無法通過實際實驗檢驗工藝偏差對檢測的影響。因此，只能通過蒙特卡洛模型[23,31]來進行工藝偏差的仿真實驗。本文將IC分為961個電路塊，每個模塊由相同的AES部分電路組成。在Hspice中，仿真了工藝偏差噪聲的影響。圖4是130 nm工藝下的IC受工藝偏差噪聲影響的電磁輻射仿真，顏色深度代表電磁輻射的強度。同時，隨著制造工藝的提升，工藝偏差噪聲對電磁輻射強度的影響只會越來越大。因此，對于時域上的電磁輻射強度分析，工藝偏差噪聲的影響將非常大。但理論上工藝偏差噪聲幾乎不會影響頻域中的電磁輻射分析，其原因如下。

Figure 4 The electromagnetic radiation intensity under process variation

在分析電路模塊的電磁輻射強度時，一般會在時域中對電磁輻射強度取均值，此時主要關(guān)注靜態(tài)分量部分。在對電磁輻射信號應(yīng)用快速傅立葉變換（FFT）后可以將其變換到頻域，如式(13)所示。

根據(jù)傅立葉變換的性質(zhì)有：

綜上所述，工藝偏差噪聲的影響主要發(fā)生在0 Hz附近，不會改變IC的電磁輻射特征頻率分布，并且其對信號幅度改變很小，不會影響頻域上的硬件木馬檢測。

（3）EMI噪聲

對EMI噪聲的研究需要分析干擾的產(chǎn)生原理。由文獻[8,10]可知，EMI主要由待測區(qū)域附近其他電路模塊的載流元件工作引起電磁輻射干擾。圖5是EMI噪聲產(chǎn)生原理，中心處的電路塊代表待測區(qū)域，其周圍其他電路塊會產(chǎn)生相應(yīng)的EMI噪聲。

圖5 EMI噪聲產(chǎn)生原理

Figure 5 Physical mechanism of EMI noise

分析EMI時最重要的概念是電偶極子和磁偶極子[15]，可以認為EMI主要由它們產(chǎn)生。它們的分析方法相似，所以本文以磁偶極子為例進行分析。圖5中待測區(qū)域周圍的每個電路模塊都由許多磁偶極子組成。磁偶極子影響空間中特定點（）的原理如圖6所示，其可表示為

其中，是磁偶極矩[15]，可以由下式給出：

然后，上述等式將轉(zhuǎn)化為

其中，是由一個磁偶極子引起的磁通量。r和是基于球坐標的方向向量。是近場探頭和磁偶極子之間的角度。因此僅代表磁場的方向。是真空的磁導率。由此可得，決定磁偶極子EMI的主要參數(shù)是電流、電路面積以及磁探針與磁偶極子之間的距離。

Figure 6 The effect on point P

因此，待測區(qū)域周圍的總EMI噪聲（）可以由下式給出：

由待測區(qū)域周圍的電路塊數(shù)量決定，代表每個電路塊的面積。

綜上，EMI噪聲的主要由各電路塊的電流和面積、磁探針和磁偶極子之間的距離以及電路塊的數(shù)量所決定。EMI噪聲是不可避免的，而且很難消除，因此，本文將此噪聲視為限制電磁輻射分析方法檢測精度的最主要因素。

4 檢測能力分析

上一節(jié)討論了電磁輻射分析過程中主要的噪聲以及它們的影響形式。由以上分析可知，在時域上分析電磁輻射強度檢測硬件木馬的干擾因素遠比頻域上復雜，因此本節(jié)將主要討論在頻域上分析電磁輻射頻率檢測硬件木馬的有效性與局限性。

4.1 有效性分析

如果要實現(xiàn)硬件木馬信號的檢測，必須將硬件木馬信號與噪聲進行區(qū)分。在頻域上則為：找出硬件木馬信號與噪聲的電磁輻射頻率分布存在的差異。而在對電磁輻射信號進行降噪處理后，頻域中的主要噪聲為周圍電路工作產(chǎn)生的EMI噪聲。在決定EMI噪聲的4個主要因素中，各電路塊的面積對于同種IC來說是相同的，并且磁探針和待測IC之間的位置是相對固定的。而實際IC中不同電路塊工作時電流變化頻率不盡相同，因此隨著電路塊數(shù)量的增加，EMI噪聲的頻率分布會越發(fā)復雜。但是，當電路正常工作時，它們的頻率分布相對固定。因此，要在頻域上有效地檢測硬件木馬至少需要滿足以下兩個條件之一：硬件木馬的電磁輻射的頻率分布與EMI噪聲存在明顯的不同；硬件木馬的電磁輻射影響足夠大。

由3.2節(jié)的分析可知，EMI噪聲是由周圍普通電路工作產(chǎn)生的。因此，對于采用與普通電路有明顯不同的特殊電路結(jié)構(gòu)（如采用模擬電路設(shè)計等）或工作方式的硬件木馬來說，其電磁輻射在頻域中的分布將相對獨特，且會區(qū)別于普通電路。這樣可能造成待測區(qū)域的電磁輻射頻譜中出現(xiàn)額外的特征頻段。此時，被感染IC的電磁輻射分布與純凈參考進行差分將可以發(fā)現(xiàn)這些異常的特征頻率段，并實現(xiàn)該類硬件木馬的檢測。當硬件木馬的電磁輻射的特征頻段與EMI噪聲部分重合時，若硬件木馬產(chǎn)生的電磁輻射影響足夠大，那么在將其與純凈參考進行差分后，電磁輻射頻譜中這些區(qū)域?qū)⑷匀淮嬖诿黠@的特征頻率，由此可以實現(xiàn)硬件木馬檢測。

4.2 局限性分析

電磁輻射分析方法實現(xiàn)硬件木馬檢測首先需要近場探針可以探測到由硬件木馬引起的IC電磁輻射變化，因此電磁輻射分析必須進行底噪抑制。但是，即使用最高級的降噪方法，也會有一些噪聲殘留。因此，當硬件木馬電路的活躍度極低時（最極端的情況下觸發(fā)邏輯幾乎不工作時），其對IC的電磁輻射影響極小，將無法從殘余的底噪中被區(qū)分出來，甚至探頭無法獲取硬件木馬的電磁輻射信號，這也是電磁輻射分析方法研究所面臨的最大難題之一。現(xiàn)有方法一般采用輸入特定激勵，盡可能提升觸發(fā)邏輯的開關(guān)活躍度以實現(xiàn)硬件木馬檢測。

但是，即使硬件木馬電路的活躍度增加，硬件木馬的電磁輻射信號也可能無法與EMI噪聲區(qū)分。現(xiàn)有研究大多是將硬件木馬的電磁輻射與EMI噪聲分離考慮的，并且大多數(shù)方法認為盡可能地抑制噪聲就可以實現(xiàn)硬件木馬檢測，但實際上它們并不是完全獨立的。實際中大部分硬件木馬與普通電路的功能結(jié)構(gòu)是類似的，因此其電磁輻射頻率分布也十分復雜，其特征頻率將散布在多個頻率段內(nèi)，并且產(chǎn)生的信號強度很弱。此時硬件木馬的電磁輻射會隱藏在EMI噪聲中，當盡可能抑制EMI噪聲時，硬件木馬的電磁輻射信號將受到影響而被削弱。

此外，根據(jù)3.2節(jié)的分析可知EMI噪聲的頻率分布相對固定但對檢測的影響很大，并且因為周圍電路也受到隨機噪聲的影響，因此EMI噪聲具有一定的隨機性。同時，探頭重復定位存在隨機偏差。而根據(jù)電磁輻射的原理可知，電磁輻射的總體強度與電路塊的功率有關(guān)，當硬件木馬的電磁輻射頻率分布復雜時，本就微弱的硬件木馬信號在各子區(qū)域的電磁輻射影響將變得更小。從而硬件木馬信號會被EMI噪聲所掩蓋，電磁輻射分析方法將可能無法實現(xiàn)硬件木馬檢測。

4.3 驗證評估方案

本小節(jié)評估驗證電磁輻射分析方法的硬件木馬檢測能力，驗證電磁輻射分析方法可適用于具有何種電磁輻射特征的硬件木馬，以及該類方法在何種情況下可能失效。本文考慮了3種情況：硬件木馬的電磁輻射特征獨特與普通電路有明顯差異的情況；硬件木馬電路的活躍度極低的情況；硬件木馬的電磁輻射頻率分布復雜的情況（將硬件木馬與EMI噪聲聯(lián)系起來）。

如圖7所示，驗證評估方案包括兩部分：有效性和局限性評估驗證。后者將進一步分為兩種情況。因此，本文將分3步評估驗證電磁輻射分析方法的硬件木馬檢測能力。

首先，考慮硬件木馬的電磁輻射特征獨特的情況。在該場景下將使用單獨的觸發(fā)信號控制硬件木馬電路的工作，然后遵循現(xiàn)有研究采用的策略盡可能提高硬件木馬的活躍度。此時評估驗證的是電磁輻射分析方法是否可以將電磁輻射特征獨特的硬件木馬從噪聲中檢測出來。

然后，考慮硬件木馬電路的活躍度極低的情況。此時，評估驗證的是當硬件木馬的電磁輻射信號表現(xiàn)得像底噪一樣時，電磁輻射分析方法是否可以成功實現(xiàn)檢測，為此本文將盡可能降低硬件木馬的活躍度。但需要說明的是，實現(xiàn)硬件木馬檢測具體需要多大的活躍度不在本文研究范圍內(nèi)。

最后，考慮硬件木馬的電磁輻射頻率分布復雜的情況。在該場景下，本文將繼續(xù)盡可能提高硬件木馬的活躍度，同時將周圍電路的信號接入硬件木馬的觸發(fā)邏輯中，使其特征頻率散布到EMI噪聲中。此時評估驗證電磁輻射分析方法對頻率分布復雜的硬件木馬是否會檢測失敗。

圖7 驗證評估方案

Figure 7 The validation scheme

5 實驗與驗證

本節(jié)在介紹實驗環(huán)境后先驗證EMI噪聲的影響形式。然后，在FPGA上驗證電磁輻射分析方法檢測硬件木馬的有效性。最后，在兩種情況下驗證該類方法的檢測局限性。

5.1 實驗環(huán)境

本文的實驗平臺包括3個主要部分：FPGA、近場探針和示波器。實驗使用的是Xilinx Spartan-3E XC3S50 FPGA。本文將AES電路作為測試基準電路，并使用PlanAhead軟件的增量編譯方式在不改變電路原始布局的條件下向其中植入硬件木馬電路。本文將NFP-3-P4近場磁探針（頻響范圍為30 MHz～3 GHz）放置在FPGA的上方，進行電磁輻射的采集。探針采集到的電磁輻射信息將被泰克TDS3052C示波器（采樣頻率為500 MHz）捕獲，并將其傳輸?shù)缴衔挥嬎銠C中進行進一步分析。整個實驗包含3部分。

實驗1 EMI影響驗證實驗：用于驗證EMI噪聲的影響形式。為了完全排除其他噪聲的影響，該實驗將在同一塊FPGA上進行。實驗中，待測區(qū)域包含硬件木馬電路，AES電路將圍繞待測區(qū)域布置。

實驗2 有效性驗證實驗：用于驗證電磁輻射分析方法的有效性。實驗中，一塊FPGA將配置為純凈的AES電路作為純凈參考。其他3塊FPGA作為待測電路，其中包含相同的AES電路植入了不同的硬件木馬。其中一塊FPGA中的硬件木馬電路如圖8所示。該硬件木馬將在“Enable”信號出現(xiàn)后幾個周期觸發(fā)（時延由4位信號“d”決定），并修改原始信號“p”。該硬件木馬的功能由一個多路選擇器（圖8中的“MUX”）和一個減法計數(shù)器（圖8中的“SUB_COUNTER”）實現(xiàn)。另外兩塊FPGA中的硬件木馬分別是Trust-Hub中的AES-T400（時序型硬件木馬）和AES-T700（組合型硬件木馬）。

實驗3 局限性驗證實驗：用于驗證電磁輻射分析方法的局限性。實驗中，4塊FPGA中插入了4種不同的硬件木馬。本實驗基于實驗2中硬件木馬的電路結(jié)構(gòu)對它們進行了一些修改，調(diào)整了它們監(jiān)控的信號，因此其部分電路工作時的電流頻率將會改變，進而改變其電磁輻射頻率分布。

對于電磁輻射數(shù)據(jù)的預(yù)處理，利用均值濾波方法來抑制底噪的影響。為防止殘留噪聲的干擾，在驗證評估電磁輻射分析方法的檢測能力時，將使用小波降噪法進一步提高結(jié)果的可信度。降噪后的數(shù)據(jù)將通過FFT轉(zhuǎn)換到頻域上進行分析。由于設(shè)備頻率范圍的限制，本文僅關(guān)注30 ～500 MHz頻率段的電磁輻射。

圖8 硬件木馬電路結(jié)構(gòu)

Figure 8 The circuit of hardware Trojan

5.2 EMI影響驗證實驗

EMI噪聲的主要由每個電路塊的電流和面積、磁探針和磁偶極子之間的距離以及電路塊的數(shù)量所決定。由于檢測時電路塊面積以及磁探針和待測IC之間的垂直位置相對固定，因此本文主要研究的是電路塊的數(shù)量、電流頻率（）以及待測區(qū)域與周圍電路的水平距離對EMI噪聲的影響。

首先，保持待測區(qū)域與周圍的每個電路塊之間的距離不變，實驗結(jié)果如圖9所示。圖中藍色曲線是EMI噪聲的頻率分布，其中包含3個不同電路模塊的EMI噪聲，分別在62 MHz、128.5 MHz和309 MHz附近。此外，紅色曲線表示待測區(qū)域中僅硬件木馬（電路結(jié)構(gòu)如圖8所示）工作時的電磁輻射分布。由圖9可知，周圍電路塊的增加會使待測區(qū)域的頻譜復雜程度增加，進而影響檢測。

圖9 EMI噪聲頻率分布

Figure 9 The frequency of electromagnetic radiation of EMI noise

然后，保持電路塊的數(shù)量以及各電路塊中的電路不變，改變待測區(qū)域與周圍電路塊之間的距離。如圖10所示，硬件木馬電路的電磁輻射主要分布在76.5 MHz附近，并且周圍電路塊距離變化對其分布影響不大。但由于圖10(a)中的電路塊間的距離比圖10(b)中的更遠，因此前者的電磁輻射幅值明顯低于后者。

圖10 電路塊間距離對EMI噪聲的影響

Figure 10 The effect of different distance on EMI noise

通過信噪比（SNR）可以比較不同距離對硬件木馬檢測的影響。SNR的計算如式(23)所示。

表1 信噪比

根據(jù)以上分析可知，電路塊的數(shù)量增加會影響待測區(qū)域電磁輻射頻譜的復雜性；電路塊間的距離會影響各區(qū)域EMI噪聲的幅度，因而，EMI噪聲是限制電磁輻射分析方法在頻域中實現(xiàn)硬件木馬檢測的主要因素。但EMI噪聲的分布是相對確定的，因此可以使用差分方法進行一定的抑制。

5.3 有效性驗證實驗

在硬件木馬檢測實驗前，先基于圖10(a)的實驗條件，使用小波降噪處理電磁輻射數(shù)據(jù)，其結(jié)果如圖11所示。比較圖10(a)與圖11可以很明顯看到，與均值濾波相比，小波濾波能更好地抑制噪聲。在圖11中出現(xiàn)噪聲的頻率段更少，并且EMI噪聲的幅值變小，而電磁輻射信號的有用細節(jié)（76.5 MHz和100 MHz附近）得以更完全地保留。比較表1中SNR也可得出類似結(jié)論。

圖11 小波濾波降噪結(jié)果

Figure 11 The result of wavelet filtering

硬件木馬的檢測結(jié)果如圖12所示，其中紅色圓圈內(nèi)是硬件木馬產(chǎn)生的電磁輻射。在圖12(a)中，HT I（電路結(jié)構(gòu)如圖8所示）的電磁輻射主要分布在76.5 MHz和100 MHz附近。（105 MHz和310 MHz附近的波峰是EMI噪聲的頻率偏差造成的異常波動）。HT Ⅱ（AES-T400）的檢測結(jié)果如圖12(b)所示，其電磁輻射分布在184.5 MHz、227.5 MHz和256.5 MHz附近。圖12(c)是HT Ⅲ（AES-T700）的電磁輻射分布，其主要出現(xiàn)在95.5 MHz和172 MHz附近。從表1中的SNR值（明顯的異常峰值已被去除）可以看出，本次實驗中的各項SNR明顯高于其他實驗。實驗結(jié)果證明，電磁輻射分析可以有效地對電磁輻射頻率分布獨特的硬件木馬進行檢測。

圖12 電磁輻射特征獨特的硬件木馬檢測結(jié)果

Figure 12 Detection result for hardware Trojan with special features

5.4 局限性驗證實驗

本文的最后一個實驗用于評估局限性。因為低活躍度硬件木馬的檢測結(jié)果相似，因此僅展示HT Ⅰ硬件木馬降低電路活躍度后（HT Ⅳ）的檢測結(jié)果。在第二個場景中，本文根據(jù)評估驗證方案修改了圖8中的硬件木馬（HT Ⅴ），AES-T400（HT Ⅵ）和AES-T700（HT Ⅶ）。

場景I

第一種情況是在硬件木馬的電路活躍度很低的情況下進行硬件木馬檢測。圖13給出了HT Ⅳ硬件木馬的電磁輻射與底噪進行比較的結(jié)果。

在圖13中幾乎找不到硬件木馬的特征頻率。基于整個曲線來計算SNR得到如表1中所示的結(jié)果，由此可得電磁輻射分析方法未能檢測該硬件木馬。

圖13 低活躍度硬件木馬檢測結(jié)果

Figure 13 Detection result for hardware Trojan with low activity

場景Ⅱ

第二種情況是在硬件木馬的電磁輻射頻率分布復雜的情況下進行硬件木馬檢測。在盡可能增加硬件木馬電路的活躍性后，圖14中的紅色曲線是待測區(qū)域僅硬件木馬工作時的電磁輻射，藍色曲線是硬件木馬的檢測結(jié)果。

比較圖14(a)中的紅色和藍色曲線，可以發(fā)現(xiàn)在硬件木馬電磁輻射的頻率特征散布到EMI噪聲中（即頻率分布復雜）時，電磁輻射分析方法無法檢測到HT Ⅴ分布在80 MHz、161 MHz和274 MHz附近的電磁輻射特征。同樣，HT Ⅵ（圖14(b)中105 MHz、177.5 MHz和261 MHz附近）和HT Ⅶ（圖14(c)中95.5 MHz、170 MHz和260 MHz附近）的特征頻率也無法從EMI噪聲中檢測出。因此可得當硬件木馬的頻率分布復雜度與普通電路類似時，即使硬件木馬電路活躍度很高，電磁輻射分析也很難檢測到該類硬件木馬。

圖14 電磁輻射分布復雜的硬件木馬檢測結(jié)果

Figure 14 Detection result for hardware Trojan with complex distribution

6 結(jié)束語

本文首先介紹了電磁輻射分析方法檢測硬件木馬的檢測機理和噪聲源。然后，提出一個專用于電磁輻射分析的噪聲模型，并分析該模型中每種噪聲的影響。在此基礎(chǔ)上，討論了硬件木馬電磁輻射信號和噪聲之間的可能聯(lián)系，并提出了電磁輻射分析方法的有效性以及可能存在的局限性。在此基礎(chǔ)上，提出了相應(yīng)的驗證評估方案，并在FPGA上進行了實驗，驗證了其有效性和局限性。

基于實驗結(jié)果可以得知，對于采用與普通電路有明顯不同的特殊電路結(jié)構(gòu)（如采用模擬電路設(shè)計等）或工作方式的硬件木馬，其電磁輻射特征獨特，電磁輻射分析方法可以有效地對其實現(xiàn)檢測。后續(xù)研究可以對這些為了規(guī)避常規(guī)檢測方法而采用特殊設(shè)計的硬件木馬建立電磁輻射特征庫。此后可以通過直接識別待測IC電磁輻射數(shù)據(jù)中是否存在這些異常特征，對庫中硬件木馬實現(xiàn)無純凈母本芯片檢測。

同時，由于實際中大多數(shù)硬件木馬與普通電路的功能結(jié)構(gòu)類似，其電磁輻射頻率分布復雜，特征頻率將分布在多個頻率區(qū)域內(nèi)，并且產(chǎn)生的信號強度很弱。此時電磁輻射分析方法可能無法對該類硬件木馬實現(xiàn)有效地檢測，因此電磁輻射分析方法通用性受限。后續(xù)可以研究克服該局限性的措施或?qū)ふ伊硪环N在通用性上表現(xiàn)更好的方法（如紅外圖像側(cè)信道分析方法）協(xié)同進行檢測，彌補電磁輻射分析的局限性。

電磁輻射分析方法的檢測效率主要由電磁輻射采集效率與電磁輻射信號降噪算法效率決定。后續(xù)研究可以通過設(shè)計信號采集板卡將電磁輻射采集與噪聲處理進行集成等方式，以硬件降噪的形式提升電磁輻射分析方法的檢測效率。

[1]AGRAWAL D, BAKTIR S, KARAKOYUNLU D, et al. Trojan detection using IC fingerprinting[C]//2007 IEEE Symposium on Security and Privacy (SP'07). Berkeley, CA: IEEE, 2007: 296-310.

[2]LIU C, CRONIN P, YANG C. A mutual auditing framework to protect IoT against hardware Trojans[C]//2016 21st Asia and South Pacific Design Automation Conference (ASP-DAC). 2016.

[3]CHAKRABORTY R S, WOLFF F, PAUL S, et al. MERO: a statistical approach for hardware Trojan detection[C]//CryptographicHardware and Embedded Systems - CHES 2009. Berlin, Heidelberg: Springer, 2009: 396-410.

[4]BALASCH J, GIERLICHS B, VERBAUWHEDE I. Electromagnetic circuit fingerprints for hardware trojan detection[C]//2015 IEEE International Symposium on Electromagnetic Compatibility (EMC). Dresden, Germany: IEEE, 2015: 246-251.

[5]BANGA M, HSIAO M S. A region based approach for the identification of hardware Trojans[C]//2008 IEEE International Workshop on Hardware-Oriented Security and Trust. 2018.

[6]CHEN Z, GUO S, WANG J, et al. Toward FPGA security in IoT: a new detection technique for hardware Trojans[J]. IEEE Internet of Things Journal, 2019, 6(4): 7061-7068.

[7]HE J, ZHAO Y, GUO X, et al. Hardware Trojan detection through chip-free electromagnetic side-channel statistical analysis[J]. IEEE Transactions on Very Large Scale Integration (VLSI) Systems, 2017, 25(10): 2939-2948.

[8]HE J, LIU Y, YUAN Y, et al. Golden chip free trojan detection leveraging electromagnetic side channel fingerprinting[J]. IEICE Electronics Express, 2019, 16(2): 20181065-20181065.

[9]NGO XT, EXURVILLE I, BHASIN S, et al. Hardware Trojan detection by delay and electromagnetic measurements[C]//2015 Design, Automation Test in Europe Conference Exhibition (DATE). 2015.

[10]SOLL O, KORAK T, MUEHLBERGHUBER M, et al. EM-based detection of hardware Trojans on FPGAs[C]//2014 IEEE International Symposium on Hardware-Oriented Security and Trust (HOST). Arlington, VA, USA: IEEE, 2014: 84-87.

[11]TANG Y, FANG L, LI S. Activity factor based hardware Trojan detection and localization[J]. Journal of Electronic Testing, 2019, 35(3): 293-302.

[12]TANG Y, LI S, FANG L, et al. Golden-chip-free hardware Trojan detection through quiescent thermal maps[J]. IEEE Transactions on Very Large Scale Integration (VLSI) Systems, 2019, 27(12): 2872-2883.

[13]TANG Y, LI S, ZHANG F, et al. Thermal maps based HT detection using spatial projection transformation[J]. IET Information Security, 2018, 12(4): 356-361.

[14]HAYASHI Y, KAWAMURA S. Survey of hardware trojan threats and detection[C]//2020 International Symposium on Electromagnetic Compatibility-EMC EUROPE. Rome, Italy: IEEE, 2020: 1-5.

[15]NOTAROS B M. 電磁學[M]. 北京: 清華大學出版社, 2018.

NOTAROS B M. Electromagnetics[M]. Beijing: Tsinghua University Press, 2018.

[16]BOSSUET L, FISCHER V, BAYON P. Contactless transmission of intellectual property data to protect FPGA designs[C]//2015 IFIP/IEEE International Conference on Very Large Scale Integration (VLSI-SoC). 2015: 19-24.

[17]QIU H, LUO C, FANG W, et al. Noncontact time-domain EMI measurement of two adjacent traces on a PCB[C]//2018 IEEE Symposium on Electromagnetic Compatibility, Signal Integrity and Power Integrity (EMC, SI & PI). Long Beach, CA: IEEE, 2018: 634-639.

[18]王品, 趙毅強, 劉燕江, 等. 基于高斯濾波和K最鄰近算法融合的硬件木馬電磁信息檢測技術(shù)研究[J]. 南京大學學報(自然科學), 2020, 56(2): 264-269.

WANG P, ZHAO Y Q, LIU Y J, et al. Hardware Trojan electromagnetic information detection based on fusion of Gaussian filter and K-nearest neighbour algorithm[J]. Journal of Nanjing University (Natural Science), 2020,56(2): 264-269.

[19]SUPON T M, RASHIDZADEH R. On-Chip magnetic probes for hardware Trojan prevention and detection[J]. IEEE Transactions on Electromagnetic Compatibility, 2020: 1-12.

[20]HE J, GUO X, MA H, et al. Runtime trust evaluation and hardware trojan detection using on-chip EM sensors[C]//2020 57th ACM/IEEE Design Automation Conference (DAC). San Francisco, CA, USA: IEEE, 2020: 1-6.

[21]MITTAL S. A Survey of architectural techniques for managing process variation[J]. ACM Computing Surveys, 2016, 48(4): 1-29.

[22]RAI D, LACH J. Performance of delay-based trojan detection techniques under parameter variations[C]//2009 IEEE International Workshop on Hardware-Oriented Security and Trust. San Francisco, CA, USA: IEEE, 2009: 58-65.

[23]HOU B, HE C, WANG L, et al. Hardware Trojan detection via current measurement: a method immune to process variation Effects[C]//2014 10th International Conference on Reliability, Maintainability and Safety (ICRMS). Guangzhou, China: IEEE, 2014: 1039-1042.

[24]TUZLUKOV V P. Signal Processing Noise[M]. Boca Raton: CRC Press, 2002.

[25]LEE E A, MESSERSCHMITT D G. Digital communication[M]. Boston, MA: Springer US, 1993.

[26]BEENAKKER CWJ, BüTTIKER M. Suppression of shot noise in metallic diffusive conductors[J]. Physical Review B, Condensed Matter, 1992, 46(3): 1889-1892.

[27]GRAY R M, NEUHOFF D L. Quantization[J]. IEEE Transactions on Information Theory, 1998, 44(6): 2325-2383.

[28]JARQUE C M, BERA A K. A test for normality of observations and regression residuals[J]. International Statistical Review / Revue Internationale de Statistique, 1987, 55(2): 163.

[29]DAUBECHIES I, BATES B J. Ten lectures on wavelets[J]. The Journal of the Acoustical Society of America, 1993, 93(3): 1671.

[30]DONOHO D L, JOHNSTONE I M. Ideal spatial adaptation by wavelet shrinkage[J]. Biometrika, 1994, 81(3): 425-455.

[31]CHA B, GUPTA S K. Efficient Trojan detection via calibration of process variations[C]//2012 IEEE 21st Asian Test Symposium. Niigata, Japan: IEEE, 2012: 355-361.

Research on electromagnetic radiation based side-channel analysis method for hardware Trojan detection

TANG Yongkang, HU Xing, SU Ting, LI Shaoqing

College of Computer, National University of Defense Technology, Changsha 410073, China

With the globalization of the integrated circuit industry, hardware Trojan is becoming the main threat to integrated circuits. At present, the side-channel analysis which can make a good trade-off between detection ability and cost, has attracted more attention from the academia. The side-channel analysis method based on electromagnetic radiation is one of the hotspots in hardware security field. The ability evaluation of electromagnetic radiation analysis method to detect hardware Trojan was focused, and the factor that limited their detection performance was explored. The experimental results on FPGA show that the electromagnetic radiation analysis method can effectively detect hardware Trojan whose electromagnetic radiation distribution is significantly different from surrounding circuits, but it cannot be applied to hardware Trojan with complex frequency distribution of electromagnetic radiation.

detection ability evaluation, electromagnetic radiation, hardware Trojan detection, side-channel analysis

TP393

A

10.11959/j.issn.2096?109x.2021030

2020?11?16；

2021?03?01

蘇颋，suting@nudt.edu.cn

國家自然科學基金重點項目（61832018）

The Key Program of National Natural Science Foundation of China (61832018)

唐永康, 胡星, 蘇颋, 等. 用于硬件木馬檢測的電磁輻射分析方法研究[J]. 網(wǎng)絡(luò)與信息安全學報, 2021, 7(2): 43-56.

TANG Y K, HU X, SU T, et al. Research on electromagnetic radiation based side-channel analysis method for hardware Trojan detection[J]. Chinese Journal of Network and Information Security, 2021, 7(2): 43-56.

唐永康（1992? ），男，山東煙臺人，國防科技大學博士生，主要研究方向為芯片與信息安全。

胡星（1989? ），女，江西贛州人，國防科技大學工程師，主要研究方向為芯片與信息安全。

蘇颋（1996? ），男，湖南茶陵人，國防科技大學碩士生，主要研究方向為芯片與信息安全。

李少青（1963? ），男，陜西西安人，國防科技大學研究員，主要研究方向為芯片與信息安全。