34 /中国信息安全/2011.06

CNITSEC硬件安全问题逐渐浮出水面信息技术早已渗透社会发展、人们生活的方方面面，在带来高效、便捷的同时，也蕴含着巨大的安全隐患。当今，人们对软件安全问题已经相当熟悉，各种查杀软件与新型病毒一直在进行着“道”与“魔”的较量。而软件赖以应用的基础——硬件也同样面临着同一个问题：在集成电路芯片设计过程中考虑不周全或恶意植入不受使用方控制的程序或电路引起的安全隐患。近年来，有多起涉及芯片的信息安全事故被披露，一些芯片设计者在其设计中植入了恶意电路的报道已经出现了。2005年，美国国防部的一份报告首先提出由于IC设计与生产过程分离，导致集成电路供应中会存在可信问题。这份报告同时警告说，硬件电路中可能存在的非认证设计会严重威胁国防安全。2005年，希腊首相、雅典市长及其它百余名高官的手机发现被窃听一年以上，而经过近一年追踪调查，窃听者仍未找到。2007年9月份，以色列喷气式飞机轰炸了叙利亚东北部的一个可疑核设施。在这次攻击中有一个谜团就是叙利亚宣称的最先进雷达为什么未能预警来犯的攻击。不久，各个军事博客都定论这次攻击是一起电子战。有人推测在叙利亚雷达中的商用微处理器可能在制造时植入了“后门电

编者按： 作为现代信息系统硬件设备的“灵魂”部件——芯片，在从个人PC到大型智能工控系统设备的运转过程中，发挥着绝对核心的作用。芯片安全是信息安全产业链上尤为重要的一环，芯片技术的自主可控，成为整个硬件自主可控的关键所在。为什么芯片的自主可控是如此关键？来自芯片的信息安全最新威胁是如何产生的？本专题特别约请在芯片安全领域有着多年深入和独到研究的北京大学安辉耀教授，专稿讲述芯片安全和硬件木马问题，以飨读者。

路”。攻击者通过在这些芯片中发送预编程的代码，就可以破坏芯片的功能并临时关闭雷达。2010年，戴尔公司承认出售的部分服务器的主板含有恶意软件，并警告：小心硬件木马。据我国有关部门对西方国家多种信息安全产品和安全保密芯片的解剖分析，发现存在可以被窃密利用的安全漏洞。这种在正常芯片加工过程中被制作、附加或被篡改的恶意电路模块，被称为“硬件木马”。不难发现，这种恶意攻击的行为出现的可能性非常大。

如此微不足道的事情如何能够对国家机密形成威胁？

集成电路（IC），或称为芯片，是信息产业的基石，大到卫星、飞船，小到手机、U盘，几

芯片安全与 文/安辉耀教授 2011.06/中国信息安全/ 35CNITS

E

C

芯片安全问题的产生芯片发展的起源可以追述到1958年——集成电路(IC)发明，并用来解决日益复杂的电子设备的问题。集成电路是包含一系列互相连接的微小电子元件的一个硅片（或者其他半导体材料）。集成电路发展的价值链包含五个主要部分：设计、版图生成、制造、封装、以及测试。在这五个部分中，芯片的设计、加工过程中都有可能被敌方植入硬件木马。出于成本的考虑，当今集成电路行业普遍采用代工的方式进行生产，也就是说集成电路设计、加工、封装、测试一般都是分离的，各自有不同的厂商，而设计过程又常常使用第三方IP、标准单元、多种EDA工具，甚至外包服务等。由于再加上全球化的趋势，一个IC产品可能需要在多个不同国家流转，这就加剧了芯片设计和制造的易攻击性。这样一颗芯片从提出设计要求到最终应用，要经过多个步骤、多家单位，每个单位都有可能植入硬件木马，其可信度如下图所示。黄色框图表示可能植入硬件木马的环节，使用的IP核、EDA工具、标准单元和模型会修改设计，制造过程中会修改电路的版图，在测试和封装过程中会通过聚焦离子束刻蚀机（FIB）修改版图。电子显微镜供应商FEI工程师Chad Rue说，采用聚焦离子束刻蚀机和足够的经验，可修改制造后的芯片。

全球化更加重了芯片的不可控程度，在这些步骤中，特别是加工过程，往往涉及非本土的厂商，增加了安全隐患，我国的集成电路大多数是从各个国家采购的，面临着更大的风险。

焦 点Focus

硬件木马乎都离不开集成电路。同时集成电路也是程序与数据的载体，若集成电路本身含有木马，则其上运行的软件、存储的数据都不再安全。在宇宙空间的测评、交流，国防以及国家安全应用等方面都离不开专用集成电路。国家安全取决于它在半导体、芯片和集成电路等领域的研究、发展，以及制造的持续领先位置，并保证可靠的供应源。在过去的十年中，美国半导体工业的设计、生产和IC的集成技术已经开始飘洋过海到达马来西亚、日本、新加坡、台湾和中国大陆。美国政府的一些部门开始意识到可靠芯片的来源面临消失的危机，国防部和国家安全局亡羊补牢，建造了以IBM为首的可靠生产线，保证美国政府拥有可靠的集成电路和芯片对重点需求的供应。因此集成电路的安全性从硬件基础上决定了信息产业的安全，检测硬件木马、保证芯片安全对保障信息网络和信息系统的安全具有十分重要的意义。

全球化和代工模式给芯片带来巨大的安全隐患36 /中国信息安全/2011.06

CNITSEC硬件木马的特点及危害性硬件木马是芯片从设计到制造的过程中，人为植入的带有特定恶意目的的硬件电路。攻击者通过植入的木马电路，干扰系统的正常工作，泄露系统机密，甚至破坏系统。这种攻击会对国家的军事系统、金融系统、通讯保密系统及经济基础设施等国家安全，甚至个人应用都构成严重威胁。硬件木马攻击具有以下的特点：·大部分攻击可以直接在物理层进行，这和常见的软件安全问题完全不同，它不是一段程序，因此杀毒软件对它无效，既不能通过软件检测，也不能清除。所以已有的软件木马防御方法就不能奏效，而其危害却也十分巨大；·木马电路面积占整个芯片面积的比例微小，且其部件可以分散在整个芯片内，所以在物理结构上它的隐蔽性很强，它更为隐蔽、难以检测；·木马电路行为也很隐蔽，它大部分时间可能不会被激活，有些木马可以通过计时器在芯片工作一定时间之后才起作用，避免在测试中被发现，甚至有些在芯片使用过程中仍处于潜伏状态，难于察觉，只有在一定条件下或一定时刻才发挥作用；

·硬件木马破坏性大，且攻击对象广泛。芯片在物理层上提供了植入木马的可能性，一旦攻击者获得了植入木马的机会，木马就可植入。而硬件木马可以有各种用途，窃取机密、破坏芯片功能等都可以实现；·潜在危害大，有些时候木马的行为是能够观测到的，比如破坏芯片功能，可能会导致系统死机，如战时造成武器失灵、飞机停飞等；有些则是隐藏的，像一颗隐形炸弹一样，使系统在某些条件下或某个时刻失效，或者潜伏下来伺机窃取信息，如间谍木马，芯片的使用者并不容易发觉，如到特定时期向外发送涉密数据和信息。尽管目前硬件木马被披露的情况还不多，但是它的潜在威胁性是巨大的。一方面是因为半导体工业作为信息社会的一大基础，它已深入到社会生产、生活的各个方面，集成电路芯片的应用越发的广泛。另一方面是半导体生产的全球化趋势，以及硬件木马本身的强大的攻击特征，为攻击者植入木马提供了可能性和可行性。

硬件木马的组成结构一个硬件木马通常由三部分组成：a）触发部分，它用来开启硬件木马。触发可以来自芯片内部（如时钟），也可来自外部（如外部输入序列）。b）存储部分，存放木马激活后的操作，可以是存储器也可以是时序电路。c）载荷部分。它执行木马操作。尽管木马的行为在某些情景下可以被观察到，但在其他大部分情况下是隐蔽的。对于这三个部分，攻击者可以用各种方法来实现。在原电路中插入一个木马电路一般需要开展两个工作：a）连接工作。就是将木马的触发输入端连到电路的边线上。这里的边线通常是指芯片内部的电路连线；b）缝合工作。即断开一条电路边线，然后把它的一边连到木马载荷部件的输入端而另一边连到木马输出端。当然，具体的木马电路的输入数和输出数是可以进行扩展的。实际当中，很多时候是利用隐蔽信道或者无线信道，实现与电路其它部分无连线连接的硬件木马结构，就样隐蔽性更强。硬件木马的分类及其典型战争时期芯片中的木马会使武器系统失效、发送机密和干扰系统工作

芯片设计与加工过程的安全隐患2011.06/中国信息安全/ 37

CNITSEC了许多实地调查, 获得了详尽的第一手材料和具体的半导体技术/产业发展态势信息。 经过一系列相关焦点研讨会分析研究, 最后形成了一份精华材料汇总的报告。 从这里我们可以看出, 这项报告一定程度上反映了美国军方对半导体技术产业发展问题的深度和广度性的思考，包括他们认为的现状，格局，以及美国面临的挑战, 特别是发展半导体新技术对美国国防安全的重要性和应该如何优先发展的战略思考。2008年，美国国防部（DOD）称下一代F-35 联合攻击战斗机就可能用到几个危险的芯片。估计制造一个完整的飞机需要几百个到上千个的提供商，查明一个零件的供应商不是件容易的事。美国国防部意识到这个极大的风险后，不久五角大楼的研发机构美国国防高级研究计划局（DARPA）启动了一个为期3 年的计划，称为集成电路可信工程（Trust in IC）计划。该计划的研究可以给军方和生产像F-35 武器系统等敏感微电子设备的国防承包商提供一种可靠方法。这个计划要求3 家公司Raytheon, Luna Innovations 和Xradia 检测由麻省理工学院林肯实验室（MIT's Lincoln Laboratory）研究人员故意植入到芯片中的恶意元件。IBM的华生实验室提出由于IC制造过程外包，在IC中可能存在“硬件木马”威胁，讨论了利用功耗分析方式检测硬件木马的可行性。2008年，澳大利亚国防部也提出关注芯片安全问题；2010年，俄罗斯《未来科技发展远景规划》提出8个优先发展领域：安全与反恐、生命科学、纳米技术与材料工业、信息与远程通信技术等几个领域都将芯片安全问题列为重要研究对象。

硬件木马的分类方法也有很多种，它们各自依据不同的标准，常用的有：1) 依据物理特性分类，包括大小、类型、分布方式、结构等。典型的如分布方式木马是在设计中是将木马电路分成几个小部分，每一个部分都是一个不完整的木马并且无破坏性，而若将它们组合在一起时，木马就形成了。例如，主机中设计一小部分木马电路，显示器设计一小部分木马电路，键盘等外设中设计一小部分木马电路，当三者组合在一起使用时，就形成完整的硬件木马。2) 依据触发机制分类，可分为内部触发和外部触发，外部触发如通过内置接收机或天线接收信号，内部触发如用时钟信号、中断信号、状态机等触发，也有些木马是时刻工作的。从触发机制上还可以分为数字和模拟两类，其中数字触发在某种逻辑条件下或一段特定时间（定时炸弹）后触发，模拟触发利用片内传感器感应某一模拟物理量，例如芯片温度达到一定条件时触发。3) 依据行为表现分类。有些木马改变芯片的功能，有些影响性能，而间谍木马窃取信息，还有些木马使芯片完全失效。从行为表现上也可以分为数字、模拟类，数字类型改变某些节点或存储器的数值，模拟类型可能改变芯片的功耗、延迟、寿命等。窃取信息类的木马可能通过天线或电路的侧信道特性发送信息。硬件木马带来的芯片安全问题引起高度重视硬件木马引起了世界各国工业界和学术界的极大关注。2005年，在美国国防科学委员会的一份报告中，首先提出由于集成电路的设计与生产过程分离，因而在集成电路供应中会存在可信问题。美国国防部的一份报告2005年首先提出由于IC设计与生产过程分离，导致在IC供应中会存在可信问题。2007年美国空军国防学院(ICAF)电气工业研讨班通过一系列的调查、报告、分析和集体讨论，最后形成了美军半导体技术和产业发展的研究报告和一系列对美国政府的建言。为了使得参与研讨会的人员更有效地在半导体技术和产业发展上提出攸关美国国家经济与国防安全的深度看法和有价值的意见，高级别军方官员对华盛顿地区、纽约州、加州硅谷、台湾以及中国大陆进行