第2期2011年4月Journa l of CA EITV o.l 6No .2A pr .2011新概念武器 专题收稿日期:2011 01 29 修订日期:2011 03 13新情况下的特殊武器!!!硬件木马任立儒(南开大学信息技术科学学院,天津 300071)摘 要:现今的集成电路,在设计中就有可能植入恶意电路,这种恶意电路被称为硬件木马,硬件木马会影响系统的功能或将关键信息传输给对手。

过去几年里这个问题已经获得了巨大关注。

依据危害结果对硬件木马进行了分类,分为功能破坏型、性能劣化型、数据窃取型、后门预留型。

作者介绍硬件木马的植入途径及其防范方法,硬件木马的危害;还介绍并分析了硬件木马检测的现状,并给出可行方法的建议。

关键词:集成电路;恶意电路;植入;硬件木马检测中图分类号:TN 40 文献标识码:A 文章编号:1673 5692(2011)02 140 03Speci alW eapons i n Ne w Sit uati on !Hardware TrojansREN L i r u(N ankai U nivers it y Co lleg e o f Infor m ati on T echno logy Sc i ence Institute ,T i anji n 300071,Ch i na)Abst ract :I n today s I ntegrated C ircu its desi g n and fabricati o n process ,t h e possi b ility ofm a lic i o us circuit i n serti o n have ra ised i n a design .Such m alicious circu its are entitled as H ardware T r o jans .H ar dw are Tro j a ns w ou l d i m pact the functionality or trans m it key i n for m ation to the adversary .Th is proble m has gai n ed si g n ificant a ttention over the past fe w years .In th is article the author classify H ardw are T r o jans by hazards resu lts :the function destr uction type ,the perfor m ance deteriorati o n type ,t h e data theft type ,the back door reserved type .The author i n troduce that the w ays ofH ar dw are Tro jans i n sertion and the guar d m ethods ,t h e hazards o f H ardw are T rojans .The author i n troduce and analyze the current situati o n o f H ardw are Tro j a ns detection ,and g ive the reco mm endations of possi b le w ays .K ey w ords :i n tegrated c ircu its ;m alicious circu i;t i n sertion ;har dw are trojans detection0 引 言硬件木马是对集成电路安全威胁最大的手段之一。

该问题从近几年受到关注,西方国家已经在这方面做了一些工作,其中以美国最为积极。

2003年6月美国国会的半导体工业向全球转移对国家安全影响的白皮书报告中明确指出了硬件木马对 国家安全的威胁 ,引起了白宫的关注[1],并且将中国列为头号潜在敌人。

硬件木马很可能已经成为国家打击对手的战略手段。

2007年9月6日,以色列轰炸了位于叙利亚腹地的核武库,而在受到攻击时叙利亚的雷达系统居然形同虚设,这个谜团越来越被公开地推测为叙利亚军用雷达中的商用通用微处理器被故意植入了硬件木马。

近来在中东之外的地区也频繁出现了大量同样的猜测,根据美国国防部供应商匿名提供的情况,一个 欧洲芯片制造商 在它的微处理器中加入了可以远程访问的毁灭开关。

2007年12月美国五角大楼的研发机构Defense Advanced Research Pr o jects Agency (DARPA )开始了一个为期3年的集成电路信赖计划,用以发现一种可以为军方和防卫部门确保微电子系统可靠的方法,目前已经设计出带有硬件木马的CPU,美国陆军和空军都已经表示不论结果如何都将采用该技术[2]。

联想2011年第2期任立儒:新情况下的特殊武器!!!硬件木马141到大多数的商用微处理器都产于美国,硬件木马很可能成为美国未来打击对手的秘密武器。

1 什么是硬件木马硬件木马是一种植入电子系统的恶意电路模块,通过改变系统功能以达到监控、直至打击对手或潜在对手的目的。

对系统而言它本身是冗余的,与电子系统的正常功能无关,或者可以说是完全不应该存在,它存在的全部目的都是恶意的。

硬件木马极为隐蔽、难以发现,只在特定时机才被以特定的方法激活,而在未激活的情况下系统将表现得完全正常,但是硬件木马一旦激活其危害极为巨大。

潜在的硬件木马植入者很可能是具有完备能力的外国政府或情报机构,使得硬件木马攻击的对象一般都会是针对目标国的国家安全和国计民生的重要部门和领域,也就使得其危害尤其严重。

硬件木马依据其产生的破坏结果可以分为:功能破坏型,硬件木马激活后会使系统功能无法实现,甚至造成硬件的永久破坏;性能劣化型,硬件木马激活后会使电路的性能参数产生劣化,如精度下降、计算错误、速度变慢和功耗急剧增加等;数据窃取型,硬件木马激活后会将保密数据传送至木马植入者;后门预留型,硬件木马激活后会使木马植入者直接取得系统的终极控制权,如超级用户权限。

2 硬件木马的植入途径目前,集成电路产业链的上游被美国、日本和欧洲等国家和地区占据,设计、生产和装备等核心技术大部分都由其掌握。

集成电路最重要生产过程包括:开发EDA (电子设计自动化)工具,应用EDA 进行集成电路设计,根据设计结果在硅圆片上加工芯片,对加工完毕的芯片进行测试,为芯片进行封装,最后经过应用开发将其装备到整机系统上。

由于技术的进步,以C AD 、ATE 为基础的硅编译技术,使得系统设计实现了自动化,即使不熟悉集成电路工艺的设计者也可方便地利用计算机高级语言进行功能描述或结构描述,完成ASI C 的设计和分析及验证。

对电子系统的高度集成化导致了更多的ASI C 的应用,也导致了更多的人参与集成电路的设计。

由于半导体制造需要巨额的投资,致使越来越多的时候对集成电路获取依赖于对外采购或代工方式以降低成本。

这就使得硬件木马被植入集成电路的机会增加,总结起来有可能植入硬件木马到集成电路中有以下几个环节。

(1)集成电路的规模越来越大,要依赖于较大团队来设计,团队越大则混有不可靠甚至敌对方渗入人员的可能可性越大,设计团队中有不可靠的设计人员故意植入恶意代码,这种情况很难被发现,只能通过人员的筛选来避免。

(2)使用EDA 工具成为设计集成电路的必要手段,不可靠的综合工具和综合库对综合结果植入恶意结构(网表直至GDSII 文件)。

现代集成电路的设计不可能离开EDA 工具,而且对EDA 工具的输出结果很难彻底检测,因此选择可靠的E DA 工具成为唯一办法。

(3)由于集成电路功能越来越复杂,很多时候采用设计和购买I P 相结合的方式,不可靠的硬件I P 也可能包含恶意电路或额外结构,采用自有I P 就可以解决这一问题。

(4)不可靠的掩模生产商在掩模中植入恶意电路或者额外结构。

(5)不可靠的代工厂在制造和封装过程中植入恶意电路或者额外结构。

总之,集成电路设计制造环节越多,所需的工具和合作方越多,则被植入硬件木马的可能性则越大。

3 硬件木马的危害硬件木马对系统功能恶意改变一般会有三种目的:(1)破坏系统功能,使系统在关键时刻不能正常工作,如改变计算结果、使集成电路速度变慢、功耗增加直至完全失效等,从而造成被攻击方的巨大损失。

(2)窃取保密数据,发布至低密级的区域或者传送给潜在对手,从而可以使被攻击方在战略层面受到对手的监控。

(3)系统预留后门,使硬件木马的植入者可以在需要时取得系统的控制权,如超级用户权限,使整个系统暴露在敌对方的绝对控制之下。

不管是哪一种恶意情况,其后果都将极其严重。

因为硬件木马一旦植入系统,就无法像对软件木马一样查杀继而得到一个健康的系统,而是不得不通过重新设计、更换硬件将木马从系统中清除。

这样就必然需要更长的时间和更大的成本,其后果都很可能是不可承受的,因此对于硬件木马一定要以防为主,杜绝其植入硬件系统或使其无法激活。

硬件木马的攻击有可能是战术的也有可能是战略的。

战术攻击包括使战场上的所有武器及其辅助系统失灵,如雷达扫描,导弹制导,飞机或坦克的火控系统等;战略攻击则可能包含更广阔的范围,如使整个社会1422011年第2期的交通瘫痪,通讯中断,金融系统崩溃等。

而且硬件木马的性质决定了其攻击极其隐蔽,一旦发动则破坏在短时间内修复几乎不可能,这就使其危害远超一般武器。

4 硬件木马的检测由于硬件木马的巨大危害性,对硬件木马的检测就显得非常重要。

近些年来针对软件木马的侦测和防治取得了很大的进展,出现了很多有效的方法,但从目前掌握资料来看对硬件木马还缺乏有效的方法。

硬件木马的植入有两种可能情况:(1)部分集成电路植入硬件木马,即有的集成电路中存在硬件木马,而更多的集成电路则是健康的。

在这种情况下,由于集成电路结构不一致,可以依据不同芯片之间的特性比较,来判断集成电路是否存在可疑之处。

(2)所有集成电路都植入硬件木马。

在这种情况下,由于所有集成电路结构都是一致的,不能用比较的方法判断是否植入硬件木马。

不管是哪一种情况,都要对每一片芯片进行检测,这就要求保证检测不能对集成电路造成损伤。

因此检测时不可以采用破坏性的手段,必须是无损检测。

美国的一些大学目前作了一些相关的研究,一种典型的研究是关于半导体热载流子注入硬件木马的特性[3],这种类型的硬件木马不需要植入额外的电路结构,但能破坏电路特性和功能,激活也无法受控,因此容易被检出。

严格地说,这种硬件木马还不能算是真正的硬件木马。