龐 軍， 王 謙， 李 誠， 陳 瑜， 蔡 堅(jiān),2

(1.清華大學(xué) 微電子學(xué)研究所，北京 100084；2.清華信息科學(xué)與技術(shù)國家實(shí)驗(yàn)室(籌)，北京 100084)

?

一種基于物理安全防護(hù)機(jī)制的系統(tǒng)設(shè)計(jì)與原型實(shí)現(xiàn)*

龐 軍1， 王 謙1， 李 誠1， 陳 瑜1， 蔡 堅(jiān)1,2

(1.清華大學(xué) 微電子學(xué)研究所，北京 100084；2.清華信息科學(xué)與技術(shù)國家實(shí)驗(yàn)室(籌)，北京 100084)

針對(duì)常規(guī)的對(duì)芯片和系統(tǒng)的物理攻擊，尤其是侵入式解剖攻擊，提出了一種多種檢測機(jī)制耦合的物理安全防護(hù)系統(tǒng)，該系統(tǒng)包括功能模塊、檢測模塊和響應(yīng)模塊。關(guān)鍵的檢測模塊包括由分布電阻網(wǎng)絡(luò)、壓力感應(yīng)模塊、光照感應(yīng)模塊構(gòu)成的物理安全邊界以及由溫度感應(yīng)模塊構(gòu)成的異常檢測模塊。基于現(xiàn)有的系統(tǒng)構(gòu)成條件，利用印制電路板實(shí)現(xiàn)了便于展示和測試的安全防護(hù)系統(tǒng)原型。對(duì)原型感應(yīng)模塊進(jìn)行了功能測試，對(duì)分布電阻網(wǎng)絡(luò)檢測方案進(jìn)行了測試評(píng)估，分析了檢測機(jī)制的耦合作用。原型系統(tǒng)能夠?qū)Χ喾N常見攻擊手段做出有效的防護(hù)，并保證一定的有效性。

物理攻擊； 安全防護(hù)系統(tǒng)； 耦合檢測機(jī)制； 分布電阻網(wǎng)絡(luò)

0 引 言

在對(duì)芯片和系統(tǒng)的安全特性要求越來越高的今天，硬件防護(hù)的重要性逐漸凸顯[1]。設(shè)計(jì)良好的硬件安全防護(hù)系統(tǒng)能夠抵御大多數(shù)物理攻擊，將攻擊成本提升到攻擊者難以承受的程度。

根據(jù)物理攻擊對(duì)系統(tǒng)/芯片造成的損傷程度不同，可將攻擊分為三類：侵入式攻擊(需破壞器件封裝，同時(shí)去除芯片鈍化層)、非侵入式攻擊(無需破壞器件封裝)和半侵入式攻擊(需破壞器件封裝，無需去除芯片鈍化層)。

本文選擇四種能夠覆蓋多種攻擊的防護(hù)手段：分布電阻網(wǎng)絡(luò)、壓力感應(yīng)、光照感應(yīng)、溫度感應(yīng)。此系統(tǒng)的防護(hù)核心是防止對(duì)封裝的解剖，同時(shí)兼顧對(duì)異常狀態(tài)的監(jiān)測。

1 攻擊—防護(hù)的關(guān)聯(lián)

綜合分析可得圖1所示的攻擊—防護(hù)關(guān)聯(lián)圖[2]。

2 原型設(shè)計(jì)

本文通過一個(gè)安全防護(hù)系統(tǒng)的原型設(shè)計(jì)與制作，探索其物理安全防護(hù)機(jī)制，設(shè)計(jì)了基本的驗(yàn)證方法。

2.1 模塊劃分

一般的，硬件系統(tǒng)結(jié)構(gòu)可采用三重邊界進(jìn)行區(qū)分，如圖2。

圖1 攻擊—防護(hù)關(guān)聯(lián)圖

1)硬件邊界1：由PCB定義，這一邊界通常沒有保護(hù)措施；

2)硬件邊界2：由封裝定義，能夠提供一定程度的防護(hù)，利用BGA,SiP等先進(jìn)封裝技術(shù)能大幅增加攻擊成本；

3)硬件邊界3：由芯片本身定義，可以提供一定程度的保護(hù)，如芯片表層的有源屏蔽層[3]。

圖2 硬件系統(tǒng)的結(jié)構(gòu)層次

將圖2的硬件邊界與三種類型的攻擊對(duì)應(yīng)起來：進(jìn)行非侵入式、半侵入式、侵入式攻擊的條件分別是進(jìn)入硬件邊界1、邊界2、邊界3。對(duì)于合格的安全防護(hù)系統(tǒng)，敏感信息主要存在于邊界3內(nèi)，幾乎不出現(xiàn)在邊界2外。本文的研究主要是探索硬件邊界2，即防解剖封蓋防護(hù)機(jī)制的安全性。

安全防護(hù)系統(tǒng)典型的構(gòu)成包含功能模塊、檢測模塊、響應(yīng)模塊[4]。關(guān)鍵的檢測模塊采用的物理安全邊界由壓力感應(yīng)模塊、光照感應(yīng)模塊、防解剖封蓋(即包含分布電阻網(wǎng)絡(luò)的密封封蓋)[5]構(gòu)成，采用的異常檢測模塊由溫度感應(yīng)模塊構(gòu)成。電阻網(wǎng)絡(luò)密布在防解剖封蓋中，對(duì)電阻網(wǎng)絡(luò)進(jìn)行通電并實(shí)時(shí)監(jiān)控內(nèi)部測試點(diǎn)的電位值即可實(shí)現(xiàn)導(dǎo)電回路即安全邊界完整性的檢測；壓力感應(yīng)模塊輸出為表征物理安全邊界內(nèi)壓強(qiáng)是否與外界壓強(qiáng)相同的電壓信號(hào)；光照感應(yīng)模塊輸出為表征是否有環(huán)境光射入物理安全邊界內(nèi)的電壓信號(hào)。異常檢測模塊中的溫度感應(yīng)模塊輸出表征系統(tǒng)是否處于異常高/低溫環(huán)境的信號(hào)?？刂破鹘邮债惓z測模塊、物理安全邊界輸出的檢測信號(hào)，經(jīng)邏輯運(yùn)算判定是否遭到攻擊，輸出信號(hào)到響應(yīng)模塊。如果響應(yīng)模塊接收到表征受到攻擊的信號(hào)，就擦除安全存儲(chǔ)器的數(shù)據(jù)。原型原理圖如圖3所示。

圖3 系統(tǒng)原理圖

通過對(duì)器件性能、尺寸、功耗的綜合考慮，微控制器采用ST公司的STM32，其內(nèi)部Flash存儲(chǔ)敏感信息。壓力傳感器采用MEAS公司的MS5611，光照傳感器采用Rohm公司的BH1750。MS5611,BH1750分別不斷采集安全邊界內(nèi)的壓強(qiáng)/溫度值、照度值，通過I2C接口傳輸至主控制單元STM32。

2.2 分布電阻網(wǎng)絡(luò)的分析與設(shè)計(jì)

基于檢測穩(wěn)定性考慮，采用監(jiān)測直流電阻方案[6]。布線網(wǎng)絡(luò)由一條手風(fēng)琴型蛇形走線構(gòu)成。采用對(duì)于X-Ray基本透明且電阻率較大的鋁布線，其覆蓋區(qū)域長為L，寬為W，線寬線距均為P，方塊電阻為R□。假設(shè)物理解剖的最小尺度為Wa，則攻擊至少破壞Wa/2P根走線，對(duì)應(yīng)阻值變化WWaR□/2P2。

將電阻網(wǎng)絡(luò)均分為M個(gè)串聯(lián)子網(wǎng)絡(luò)，每個(gè)子網(wǎng)絡(luò)阻值為WLR□/2MP2，每個(gè)破壞區(qū)域都可以近似劃分到某子網(wǎng)絡(luò)中。為模擬子網(wǎng)絡(luò)上的短/斷路情況，將每段子網(wǎng)絡(luò)等效為電阻R0和R的串聯(lián)。R用于模擬子網(wǎng)絡(luò)中因攻擊而導(dǎo)致阻值變化的部分：R=0代表該段有Wa的區(qū)域發(fā)生短路，R=+∞代表發(fā)生斷路，R=RR代表子網(wǎng)絡(luò)完好，R0等于該段子網(wǎng)絡(luò)中有Wa的區(qū)域被短路時(shí)的阻值。其中,RR=WR□Wa/2P2，R0=WR□(L-MWa)/2MP2，RR即系統(tǒng)的電阻檢測精度。

ΔVmin為當(dāng)系統(tǒng)實(shí)際遭到攻擊時(shí)電位變化值的最小值

(1)

為保證系統(tǒng)正常工作，需滿足

Vres

(2)

式中Vres為系統(tǒng)電位檢測的分辨率，本文利用STM32的12位ADC采樣，故Vres=(Vcc/212)V=(3.3/212)V；VT為翻轉(zhuǎn)閾值。Vres

2.3 感應(yīng)模塊的設(shè)計(jì)

壓力/光照感應(yīng)模塊要表征物理安全邊界的完整性，必須處于特定的環(huán)境中[7]。壓力感應(yīng)需要?dú)饷墉h(huán)境，光照感應(yīng)需要遮光環(huán)境，故原型采用金屬封裝。

原型中感應(yīng)模塊均位于物理安全邊界內(nèi)。出于測試考慮，邊界內(nèi)空腔通過歧管與外界相通，防解剖封蓋采用玻璃作為載體。改變外界壓強(qiáng)時(shí)檢測壓力讀數(shù)就能實(shí)現(xiàn)壓力感應(yīng)的測試；改變外界照度時(shí)檢測照度讀數(shù)就能實(shí)現(xiàn)光照感應(yīng)的測試。后續(xù)只需通過歧管抽真空(使得邊界內(nèi)壓強(qiáng)與外界壓強(qiáng)不同)并密封即可實(shí)現(xiàn)壓強(qiáng)隔離；將玻璃封蓋替換為非透光材料(使得邊界內(nèi)完全黑暗)即可實(shí)現(xiàn)光照隔離。

2.4 模塊耦合分析

為評(píng)估系統(tǒng)整體性能，引入以下概念：

第一類失效：實(shí)際遭受攻擊，檢測系統(tǒng)認(rèn)為沒有遭受攻擊；

第二類失效：實(shí)際未遭受攻擊，檢測系統(tǒng)認(rèn)為遭受攻擊。

安全邊界對(duì)應(yīng)的三種機(jī)制獨(dú)自檢測時(shí)都存在缺陷：防解剖封蓋中多點(diǎn)同時(shí)被破壞時(shí)電阻網(wǎng)絡(luò)檢測可能失效；解封環(huán)境壓強(qiáng)與安全邊界內(nèi)壓強(qiáng)相同時(shí)壓強(qiáng)感應(yīng)失效；解封環(huán)境照度與安全邊界內(nèi)照度相同時(shí)照度感應(yīng)失效。對(duì)此采取的判定策略是，三個(gè)子模塊的輸出取或，即任一模塊超出閾值就認(rèn)為遭受攻擊。由于邊界完整性檢測對(duì)應(yīng)侵入式攻擊，在系統(tǒng)的整個(gè)生命周期它只會(huì)觸發(fā)一次，因此,它的兩類失效都非常致命。而或邏輯會(huì)增大第二類失效率，為減緩該效應(yīng)，三個(gè)模塊的觸發(fā)閾值選取采取保守策略。

3 原型實(shí)現(xiàn)

3.1 系統(tǒng)集成

圖4是原型的結(jié)構(gòu)示意圖。PCB1右部是防解剖檢測模塊，該模塊邊界由金屬封裝和防解剖封蓋構(gòu)成。金屬封裝內(nèi)部是集成有壓力/光照/溫度感應(yīng)模塊的PCB2，PCB2通過引線鍵合與金屬外殼引腳的內(nèi)引線端相連，金屬外殼引腳的外引線端焊接到PCB1上。玻璃封蓋表面鋁布線通過銅導(dǎo)線連接到PCB1的鍵合焊盤上。

圖4 原型結(jié)構(gòu)示意圖

3.2 分布電阻網(wǎng)絡(luò)實(shí)現(xiàn)

為實(shí)現(xiàn)原型的可重復(fù)檢測，引入輔助電阻網(wǎng)絡(luò)模擬通斷：將玻璃上電阻網(wǎng)絡(luò)均分為8段串聯(lián)子網(wǎng)絡(luò)，在子網(wǎng)絡(luò)間加入7段位于PCB1上的輔助電阻網(wǎng)絡(luò)—模擬短/斷路的開關(guān)、電阻組合。通過調(diào)整開關(guān)的通斷，實(shí)現(xiàn)網(wǎng)絡(luò)遭受攻擊阻值發(fā)生變化的模擬。

本文采用檢測方式是監(jiān)測網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)的電位。監(jiān)測點(diǎn)位于子網(wǎng)絡(luò)間，其電位值通過ADC連續(xù)采樣，一旦檢測電位與預(yù)設(shè)正常電位之差大于系統(tǒng)設(shè)定閾值，就判定為異常。防解剖封蓋的制備通過在玻璃片上制作蛇形布線形成分布電阻網(wǎng)絡(luò)實(shí)現(xiàn)，布線線寬/線距均為30 μm。每段子網(wǎng)絡(luò)的實(shí)測直流電阻約為1 kΩ。組裝后的原型實(shí)物如圖5。

圖5 安全防護(hù)系統(tǒng)原型實(shí)物

4 原型測試與評(píng)估

4.1 感應(yīng)模塊測試

原型測試環(huán)境包括計(jì)算機(jī)、電源模塊和防護(hù)系統(tǒng)原型。正常工作時(shí)，系統(tǒng)壓強(qiáng)、溫度的測量值分別為101.85 kPa,28.5 ℃。讀數(shù)與未集成的壓力傳感器相同，壓強(qiáng)/溫度感應(yīng)模塊測試通過。

用固定照度光源照射原型，并改變光源與玻璃封蓋的相對(duì)位置，所得讀數(shù)如表1。返回讀數(shù)與照度傳感器芯片資料描述的工作特性基本相符，可認(rèn)為照度感應(yīng)模塊功能正常。

表1 固定光源處于不同位置時(shí)的照度讀數(shù)(lx)

Tab 1 Illuminance values of fixed light source placed in different places

光源和玻璃封蓋的相對(duì)位置第1次第2次第3次第4次第5次平均值正上方1cm處482234789348596483264794648197正上方2cm處211562126321616214532135321368正上方4cm處104201068610796106801057310631斜上方4cm處615661066133618061036136

4.2 分布電阻網(wǎng)絡(luò)測試評(píng)估

改變輔助網(wǎng)絡(luò)接入通路的阻值，所得監(jiān)測點(diǎn)電位值差見表2。第1列表示7段輔助網(wǎng)絡(luò)分別接入分布電阻網(wǎng)絡(luò)的阻值，單位為kΩ；第2～8列表示7個(gè)監(jiān)測點(diǎn)采集到的實(shí)際電位與電阻網(wǎng)絡(luò)完整時(shí)的差值；第9列是有效電位差檢測值ΔSVmin=ΔVmin×4 096/V，即第2～8列中數(shù)值最大的電位差。表2中電位均乘以4 096/V進(jìn)行歸一化。

表2 不同通斷情況下7個(gè)監(jiān)測點(diǎn)的采樣值

Tab 2 Sampling values at seven detecting points with different open/short conditions

通斷情況ΔAD0ΔAD1ΔAD2ΔAD3ΔAD4ΔAD5ΔAD6ΔSVmin022222232628423418513894453262022222-4827823118213593432782202222-42-8424118914298472412220222-45-87-13818914094441892222022-48-94-141-18813693441882222202-57-97-142-189-23893442382222220-45-90-136-186-234-27647276

將M=8，R0=1 kΩ，RR=2 kΩ代入式(1)得理論ΔSVmin=163，表2中實(shí)測為188。理論和實(shí)測基本相符，下用理論計(jì)算評(píng)估鋁的電阻率隨溫度、壓力、磁場發(fā)生漂移的非理想效應(yīng)。鋁電阻率ρ=ρ0(1+α0(T-T0))，α0=0.004 3/℃為鋁的溫度系數(shù)。系統(tǒng)工作溫度為-45～85 ℃，對(duì)應(yīng)電阻率漂移為-26 %～28 %。正常情況下，R0=1 kΩ，RR=2 kΩ。假設(shè)溫度、壓力、磁場影響相當(dāng)且可線性疊加，則R0,RR的波動(dòng)范圍約為25 %～175 %。此時(shí)，ΔSVmin隨R0,RR的變化如圖6所示。

圖6 ΔSVmin與R0,RR之間的關(guān)系

非理想效應(yīng)導(dǎo)致ΔSVmin在46～239之間波動(dòng)。減小翻轉(zhuǎn)閾值ΔSVT可提升檢測精度，減小漏報(bào)率，但系統(tǒng)的噪聲容限也會(huì)減小。在實(shí)際的原型中，R0,RR由鋁在相同區(qū)域的布線構(gòu)成，兩者電阻率的變化方向基本相同，此時(shí)ΔSVmin的波動(dòng)很小。故翻轉(zhuǎn)閾值ΔSVT適當(dāng)向ΔSVmin變化范圍的下限選取，可獲得較高的有效性。本原型中，選擇ΔSVT=100，對(duì)應(yīng)的電阻檢測精度RR約為1 kΩ。

4.3 系統(tǒng)整體評(píng)估

假設(shè)分布電阻網(wǎng)絡(luò)、壓力感應(yīng)、光照感應(yīng)的第一/二類失效率分別為α1/β1,α2/β2,α3/β3?？紤]到最終標(biāo)志是否遭受攻擊的信號(hào)由這三個(gè)模塊的輸出信號(hào)進(jìn)行或運(yùn)算獲得，故對(duì)于檢測系統(tǒng)整體而言，其第一類失效率α=α1α2α3，第二類失效率β=1-(1-β1)(1-β2)(1-β3)。假設(shè)非理想效應(yīng)導(dǎo)致壓力感應(yīng)模塊的檢測值均勻分布，則有α2+β2=c2，其中，c2為常數(shù)?？紤]壓力感應(yīng)模塊后，系統(tǒng)總失效率

λ=αP+β(1-P)=[(β1-1)+(1+α1-β1)P]α2+

(1-P)(β1+c2-β1c2).

當(dāng)發(fā)生攻擊的概率P較大時(shí)，系統(tǒng)總失效率隨壓力感應(yīng)模塊第一類失效率增大而遞增。從而在α1已經(jīng)確定的前提下，根據(jù)系統(tǒng)適用的場所，判斷系統(tǒng)遭受攻擊可能的概率P，并依此選取壓力感應(yīng)模塊的翻轉(zhuǎn)閾值，以使得檢測系統(tǒng)總失效率盡可能小。類似的，光照感應(yīng)模塊翻轉(zhuǎn)閾值選取遵循相同原則。

綜合以上的分析，在原型測試中，暫時(shí)固定溫度、壓強(qiáng)，改變照度和電阻網(wǎng)絡(luò)的接入電阻阻值(對(duì)這兩種檢測量變化能夠正常響應(yīng)說明對(duì)另外兩種檢測量變化也能正常響應(yīng))。選擇照度上限翻轉(zhuǎn)閾值為10 000 lx，電阻網(wǎng)絡(luò)的歸一化上限翻轉(zhuǎn)閾值為100。當(dāng)照度值或接入電阻阻值使得系統(tǒng)處于翻轉(zhuǎn)閾值外時(shí)，檢測模塊判定遭受攻擊，響應(yīng)模塊將Flash中的預(yù)設(shè)數(shù)據(jù)0x12345678擦除為0x11111111，見圖7。

圖7 檢測到攻擊時(shí)Flash預(yù)設(shè)數(shù)據(jù)被擦除

5 結(jié) 論

本文在對(duì)現(xiàn)有的攻擊—防護(hù)手段進(jìn)行分析的基礎(chǔ)上，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)由四種防護(hù)機(jī)制耦合的安全防護(hù)原型系統(tǒng)。該防護(hù)原型系統(tǒng)包括功能模塊、檢測模塊和響應(yīng)模塊，關(guān)鍵的檢測模塊實(shí)現(xiàn)了包括由分布電阻網(wǎng)絡(luò)、壓力感應(yīng)模塊、光照感應(yīng)模塊構(gòu)成的物理安全邊界以及由溫度感應(yīng)模塊構(gòu)成的異常檢測模塊。照度感應(yīng)和分布電阻網(wǎng)絡(luò)的測試成功證明原型能夠?qū)糇龀稣_響應(yīng)。

致 謝:

國家科技重大專項(xiàng)資助項(xiàng)目(2012ZX01026003)。

[1] Gutmann Peter.Cryptographic security architecture:Design and verification[M].New York:Springer,2002:1-42.

[2] Mohammad Tehranippor,Wang Cliff.Introduction to hardware security and trust[M].New York:Springer,2011:65-101,143-194.

[3] Andrea Beit-Grogger,Josef Riegebauer.Integrated circuit having an active shield:US,6962294[P].2005—11—08.

[4] Sean W.Weingart Smith Steve.Building a high-performance, programmable secure coprocessor[J].Computer Networks,1999,31:831-860.

[5] Stefano Sergio Oggioni,Vincenzo Condorelli,Nihad Hadzic.Tamper-proof caps for large assembly:US,2007/0038865 A1[P].2007—02—15.

[6] 李麗仙，崔云龍，王華斌.一種芯片的多層網(wǎng)格探測器及其防攻擊方法:CN,1696863A[P].2005—11—16.

[7] Brand H Baltes.Microsensor packaging[J].Microsystem Technologies,2002,7:205-208.

龐 軍(1989-),男，湖北荊州人，碩士研究生，主要研究方向?yàn)橛布踩雷o(hù)和集成電路封裝設(shè)計(jì)。

蔡堅(jiān)，通訊作者，E—mail:jamescai@tsinghua.edu.cn。

A system design and prototype implementation based on physical security protection mechanism*

PANG Jun1, WANG Qian1, LI Cheng1, CHEN Yu1, CAI Jian1,2

(1.Institute of Microelectronics,Tsinghua University,Beijing 100084,China;2.National Laboratory for Information Science and Technology at Tsinghua,Beijing 100084,China)

Aiming at regular physical attacks to chips and systems especially invasive decapsulation attack,a physical security protection system which contains couples several detection mechanisms,is proposed,and the system comprises function module,detection module and response module.The key detection module is made up of physical security boundary, consisting of distributed resistor network,pressure sensing module and sensing module,and anomaly detection module, consisting of temperature sensing module.Based on current condition of system constitution,a prototype which is easy to exhibit and test is achieved with printed circuit board.The relevant functional testing is done,the testing scheme of distributed resistor network is evaluated and the coupling function of detecting mechanism is analyzed.In conclusion, the prototype system can make an effective protection against common means of attack and ensure the effectiveness to some extent.

physical attack; security protection system; coupling detection mechanism; distributed resistor network

2015—01—15

國家科技重大專項(xiàng)項(xiàng)目(2012ZX01026003)

10.13873/J.1000—9787(2015)09—0072—04

TP 271.5

A

1000—9787(2015)09—0072—04