盧新元 陳華軍 許 超 王 劍*

(*計(jì)算機(jī)體系結(jié)構(gòu)國(guó)家重點(diǎn)實(shí)驗(yàn)室(中國(guó)科學(xué)院計(jì)算技術(shù)研究所) 北京 100190)(**中國(guó)科學(xué)院計(jì)算技術(shù)研究所 北京 100190)(***中國(guó)科學(xué)院大學(xué) 北京 100049)(****龍芯中科技術(shù)有限公司 北京 100190)

0 引 言

伴隨著現(xiàn)代通信以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息安全問(wèn)題變得尤為重要，通過(guò)加密算法加密傳輸或存儲(chǔ)數(shù)據(jù)成為保證信息安全的重要手段。加密方式通常分為軟件加密和硬件加密2種，通常軟件加密的方式加密效率較低，因此基于硬件加密的芯片設(shè)計(jì)成為近些年信息安全領(lǐng)域研究和應(yīng)用的熱點(diǎn)。為有效地檢測(cè)加密芯片的可靠性，可測(cè)試性設(shè)計(jì)必不可少。掃描設(shè)計(jì)作為廣泛應(yīng)用的可測(cè)性設(shè)計(jì)方法之一，能夠有效提高電路的可控制性和可觀測(cè)性，保證測(cè)試覆蓋率。掃描設(shè)計(jì)能夠有效地提高加密芯片可測(cè)試能力，但也降低了其安全性。有研究表明，采用數(shù)據(jù)加密標(biāo)準(zhǔn)(data encryption standard，DES)或改進(jìn)加密標(biāo)準(zhǔn)(advanced encryption standard，AES)且?guī)в袙呙柙O(shè)計(jì)的加密芯片都可以被掃描旁路攻擊方式[1]獲取加密信息。

為保護(hù)密碼芯片免于掃描旁路攻擊，文獻(xiàn)[2]提出了基于模式切換復(fù)位的保護(hù)策略，但在文獻(xiàn)[3，4]中該策略被證明對(duì)只基于測(cè)試模式的攻擊方法無(wú)效。文獻(xiàn)[5]提出了基于線性反饋移位寄存器(linear feedback shift register, LFSR)結(jié)構(gòu)的內(nèi)建自測(cè)試方法，可以有效保障密碼芯片的安全，但該方案不利于故障診斷。文獻(xiàn)[6]提出了將保存密鑰信息的觸發(fā)器不放在掃描鏈上的部分掃描設(shè)計(jì)方法，能有效地防止密鑰信息泄露，但會(huì)降低加密電路部分的可測(cè)試性。文獻(xiàn)[7]提出了增加鏡像密鑰寄存器的方法，測(cè)試模式下可以用鏡像密鑰寄存器將密鑰同加密模塊隔離，但該方法需要在模式切換時(shí)進(jìn)行系統(tǒng)復(fù)位，無(wú)法支持在線測(cè)試。文獻(xiàn)[8]中的安全掃描測(cè)試結(jié)構(gòu)為保證測(cè)試模式下密鑰被屏蔽，只能有一拍捕獲時(shí)鐘，雖然可以支持在線測(cè)試，但無(wú)法支持延遲故障測(cè)試。文獻(xiàn)[9]中提出了可以支持延遲故障測(cè)試的結(jié)構(gòu)設(shè)計(jì)，但由于測(cè)試模式下密鑰會(huì)被屏蔽，依然存在測(cè)試模式下密鑰故障無(wú)法檢測(cè)的問(wèn)題。

不同于上述屏蔽密鑰的方法，文獻(xiàn)[10-16]提出了另一種保障密碼芯片安全的方法，即混淆觀測(cè)數(shù)據(jù)。文獻(xiàn)[10]通過(guò)動(dòng)態(tài)打亂子掃描鏈順序的方法實(shí)現(xiàn)觀測(cè)數(shù)據(jù)混淆，但已被證明可以用簽名攻擊破解。文獻(xiàn)[11，12]提出了在掃描鏈中添加反相器或異或門的方法，但也被證明可以通過(guò)復(fù)位攻擊等方法破解。文獻(xiàn)[13]選擇通過(guò)添加LFSR結(jié)構(gòu)動(dòng)態(tài)改變異或門在掃描鏈上的位置，該方法可以抵抗現(xiàn)有的掃描旁路攻擊方法，但會(huì)帶來(lái)較大的面積開(kāi)銷。文獻(xiàn)[14]提出掃描數(shù)據(jù)加解密的方法，未授權(quán)的使用者移出的掃描數(shù)據(jù)將會(huì)被加密，但該方法會(huì)增加測(cè)試時(shí)間。文獻(xiàn)[15]提出了靜態(tài)混淆觀測(cè)數(shù)據(jù)的方法，通過(guò)添加控制器和一組移位寄存器(shift register，SR)對(duì)掃描鏈上部分觸發(fā)器的掃描使能進(jìn)行控制，只有當(dāng)SR中移入正確的測(cè)試密鑰才能保證被控制的掃描觸發(fā)器進(jìn)行正確的移位操作，但該方法可以用測(cè)試模式下簽名攻擊破解。文獻(xiàn)[16]提出了動(dòng)態(tài)混淆觀測(cè)數(shù)據(jù)的方法，動(dòng)態(tài)改變被選擇的掃描觸發(fā)器，很大程度上增加了攻擊的難度，但也無(wú)法證明這種動(dòng)態(tài)混淆觀測(cè)數(shù)據(jù)的方法是不可逆的。

針對(duì)以上方法存在的問(wèn)題，本文提出一種基于授權(quán)機(jī)制的抗掃描旁路攻擊方法，使用者需要在功能模式下輸入預(yù)設(shè)的功能指令序列進(jìn)行安全測(cè)試權(quán)限認(rèn)證，在獲取安全測(cè)試授權(quán)后，才能在安全測(cè)試模式下進(jìn)行掃描測(cè)試。該方法不需要添加用來(lái)保存測(cè)試密鑰的觸發(fā)器，因此只需要很少量的面積開(kāi)銷，并且不會(huì)帶來(lái)額外的測(cè)試時(shí)間開(kāi)銷。本文所提出的基于授權(quán)機(jī)制的抗掃描旁路攻擊方法既能夠保證無(wú)法被現(xiàn)有攻擊方法所破解，又可以檢測(cè)到密鑰故障，在保證安全性的同時(shí)，不會(huì)損失故障覆蓋率。

1 背景介紹

1.1 掃描測(cè)試原理

基于掃描鏈的掃描測(cè)試是可測(cè)試性設(shè)計(jì)中的一種關(guān)鍵測(cè)試方法，能夠?yàn)樾酒峁┝己玫目煽刂菩院涂捎^測(cè)性。掃描鏈結(jié)構(gòu)如圖1所示，通過(guò)在普通觸發(fā)器前增加一個(gè)選擇器的方式，將其串聯(lián)成一條由多個(gè)觸發(fā)器組成的長(zhǎng)鏈。選擇器的2個(gè)輸入，分別來(lái)自于掃描輸入(scan in，SI)和功能邏輯，并由測(cè)試控制(test control，TC)信號(hào)控制選擇器選擇數(shù)據(jù)輸入來(lái)源。在測(cè)試模式下，首先將TC置1，此時(shí)芯片處于移位模式，多拍時(shí)鐘后將掃描輸入值移入鏈上觸發(fā)器中。然后將TC置0，芯片從移位模式切換到捕獲模式，經(jīng)過(guò)一拍或多拍時(shí)鐘將功能邏輯值捕獲到觸發(fā)器中。最后再次將TC置1，將鏈上觸發(fā)器中的值移出觀測(cè)[17]。功能模式下，TC值保持為0，掃描鏈上觸發(fā)器的數(shù)據(jù)輸入來(lái)源于功能邏輯。

圖1 掃描鏈結(jié)構(gòu)圖

1.2 AES加密結(jié)構(gòu)

相比于DES加密算法，AES加密算法因安全性較高、迭代對(duì)稱而被廣泛應(yīng)用。以AES加密芯片為例，其加密模塊結(jié)構(gòu)如圖2所示。加密過(guò)程中，首先將初始密鑰和明文數(shù)據(jù)送入加密結(jié)構(gòu)中進(jìn)行第一次的異或操作，再將異或結(jié)果送入輪加密邏輯中。輪加密邏輯是AES加密結(jié)構(gòu)的核心部件，輪加密邏輯中主要包括3個(gè)順序完成的操作，分別是S盒、行移位和列混合。列混合完成的數(shù)據(jù)會(huì)同密鑰生成器中產(chǎn)生的密鑰再進(jìn)行一次異或操作，并將結(jié)果存放在輪觸發(fā)器中，這個(gè)過(guò)程稱之為一次完整的輪加密操作。之后輪加密邏輯會(huì)多次重復(fù)上述的輪操作，直至最終加密完成。每一輪的數(shù)據(jù)都來(lái)源于上一輪操作中輪觸發(fā)器保存的值，每一次輪加密操作中的密鑰都由密鑰生成器重新產(chǎn)生，并保存在密鑰觸發(fā)器中。根據(jù)密鑰的長(zhǎng)度不同，輪加密的次數(shù)也會(huì)不同，一般128位的密鑰設(shè)計(jì)需要10次的輪加密操作，能夠抵抗已知所有的數(shù)學(xué)攻擊方法。

圖2 具有掃描鏈的AES加密模塊結(jié)構(gòu)

在AES加密芯片的可測(cè)試性設(shè)計(jì)中為了滿足覆蓋率的需求，通常需要將存放加密中間狀態(tài)值的密鑰觸發(fā)器和輪觸發(fā)器放在掃描鏈中，本文將密鑰觸發(fā)器和輪觸發(fā)器統(tǒng)稱為加密相關(guān)觸發(fā)器。在功能模式下，芯片可以進(jìn)行正常的加密操作，加密的中間狀態(tài)值保存在加密相關(guān)觸發(fā)器中。當(dāng)由功能模式切換到測(cè)試模式后，可以通過(guò)掃描鏈將加密相關(guān)觸發(fā)器的值移出觀測(cè)。攻擊者利用該特性，在功能模式下輸入一些特殊的明文，然后在第一次的輪操作完成后切換到測(cè)試模式下，將加密相關(guān)觸發(fā)器的中間狀態(tài)值移出觀測(cè)，這樣攻擊者可以很容易獲取密鑰。

2 基于授權(quán)機(jī)制的安全掃描設(shè)計(jì)

2.1 模式切換機(jī)制

傳統(tǒng)的無(wú)安全設(shè)計(jì)的芯片模式切換關(guān)系如圖3(a)所示。

當(dāng)系統(tǒng)復(fù)位完成后，由測(cè)試控制信號(hào)TC控制芯片的模式切換。TC為0時(shí)，芯片進(jìn)入功能模式，可以進(jìn)行正常的加密運(yùn)算，但無(wú)法進(jìn)行掃描鏈移位操作。TC為1時(shí)，芯片由功能模式切換到測(cè)試模式，掃描鏈可以進(jìn)行正常的移位和捕獲操作，攻擊者可通過(guò)掃描鏈將加密相關(guān)觸發(fā)器值直接移出觀測(cè)，此時(shí)芯片處于一種容易被攻擊的狀態(tài)，無(wú)法保障密碼芯片的安全。

本文提出的改進(jìn)方法如圖3(b)所示，將測(cè)試模式分為安全測(cè)試模式和非安全測(cè)試模式，并增加了一個(gè)模式切換信號(hào)Trigger。當(dāng)TC由0跳變到1時(shí)，芯片由功能模式切換到測(cè)試模式，此時(shí)如果Trigger信號(hào)為1，則進(jìn)入安全測(cè)試模式；如果Trigger信號(hào)為0，則進(jìn)入非安全測(cè)試模式。當(dāng)TC信號(hào)由1跳變?yōu)?時(shí)，芯片由測(cè)試模式回歸到正常的功能模式。

(a)無(wú)安全設(shè)計(jì)的模式切換

非安全測(cè)試模式下，密鑰以及加密相關(guān)觸發(fā)器值被屏蔽，測(cè)試者只能對(duì)其他觸發(fā)器所在的掃描鏈進(jìn)行正常的掃描測(cè)試。安全測(cè)試模式下，密鑰不被屏蔽，加密相關(guān)觸發(fā)器置在掃描鏈上可以進(jìn)行正常掃描測(cè)試。

2.2 安全掃描設(shè)計(jì)的結(jié)構(gòu)實(shí)現(xiàn)

本文的安全掃描結(jié)構(gòu)設(shè)計(jì)主要包括測(cè)試權(quán)限分析模塊、測(cè)試控制模塊以及屏蔽模塊，如圖4所示。

圖4 安全掃描設(shè)計(jì)結(jié)構(gòu)圖

測(cè)試權(quán)限分析模塊負(fù)責(zé)在功能模式下對(duì)測(cè)試權(quán)限進(jìn)行認(rèn)證，并產(chǎn)生Trigger信號(hào)送入測(cè)試控制模塊中。測(cè)試控制模塊接收測(cè)試控制信號(hào)TC以及來(lái)自于測(cè)試權(quán)限分析模塊的Trigger信號(hào)，控制和實(shí)現(xiàn)模式切換，并產(chǎn)生安全測(cè)試信號(hào)Secure_test送入屏蔽模塊中。最終屏蔽模塊根據(jù)Secure_test的值決定是否對(duì)密鑰和加密相關(guān)觸發(fā)器進(jìn)行屏蔽。

2.2.1 測(cè)試權(quán)限分析模塊

測(cè)試權(quán)限分析模塊主要包括控制器以及測(cè)試權(quán)限生成模塊，其結(jié)構(gòu)如圖5所示?？刂破鹘邮詹⑻幚韥?lái)自于中央處理器(central processing unit，CPU)[18]的譯碼信息，該譯碼信息為使用者輸入正確的功能指令序列后CPU譯碼產(chǎn)生特定的信息，隨后發(fā)出控制信號(hào)并送入測(cè)試權(quán)限生成模塊中。測(cè)試權(quán)限生成模塊包括一個(gè)有限狀態(tài)機(jī)和一個(gè)信號(hào)生成器，由控制信號(hào)驅(qū)動(dòng)有限狀態(tài)機(jī)工作，當(dāng)有限狀態(tài)機(jī)到達(dá)特定的狀態(tài)后，觸發(fā)生成器負(fù)責(zé)將觸發(fā)信號(hào)Trigger置1，并送入測(cè)試控制模塊中。每次對(duì)系統(tǒng)進(jìn)行復(fù)位后，觸發(fā)信號(hào)Trigger會(huì)重新置0。

圖5 測(cè)試權(quán)限分析模塊

2.2.2 測(cè)試控制模塊

測(cè)試控制模塊在整個(gè)過(guò)程中起著核心樞紐作用，負(fù)責(zé)接收Trigger信號(hào)完成模式切換，并產(chǎn)生Secure_test信號(hào)實(shí)現(xiàn)對(duì)屏蔽模塊的控制。測(cè)試控制模塊由1個(gè)觸發(fā)器FF1、1個(gè)時(shí)鐘門控CG、1個(gè)異或門A1以及1個(gè)反相器I1組成，其結(jié)構(gòu)如圖6所示。觸發(fā)器FF1為異步觸發(fā)器，由復(fù)位信號(hào)reset進(jìn)行復(fù)位。觸發(fā)器的時(shí)鐘端連接時(shí)鐘門控CG的輸出，CG的使能端EN連接測(cè)試控制信號(hào)TC。TC和觸發(fā)信號(hào)Trigger連接異或門A1的兩輸入端，A1的輸出端同觸發(fā)器FF1的D端連接。觸發(fā)器FF1的Q端與反相器I1輸入相連，反相器輸出安全測(cè)試信號(hào)Secure_test。該測(cè)試控制模塊如何完成模式切換以及控制屏蔽模塊將在下文3.1和3.2節(jié)中進(jìn)行詳細(xì)說(shuō)明。

圖6 測(cè)試控制模塊

2.2.3 屏蔽模塊

屏蔽模塊包括2個(gè)部分：密鑰屏蔽模塊和加密相關(guān)觸發(fā)器屏蔽模塊，其結(jié)構(gòu)如圖4中虛線框內(nèi)所示。密鑰屏蔽模塊中主要由二選一多路選擇器構(gòu)成。干擾數(shù)據(jù)(干擾數(shù)據(jù)位寬和密鑰位寬一致)和密鑰作為選擇器的2個(gè)輸入，安全測(cè)試信號(hào)Secure_test作為選擇器的選擇信號(hào)。當(dāng)攻擊者無(wú)法獲取安全測(cè)試權(quán)限時(shí)，干擾數(shù)據(jù)會(huì)被送入加密模塊中，密鑰被屏蔽。

加密相關(guān)觸發(fā)器屏蔽模塊主要由一個(gè)與門構(gòu)成，與門的其中一個(gè)輸入端同安全測(cè)試信號(hào)Secure_test相連，另一個(gè)輸入端則連接測(cè)試控制信號(hào)TC，并將輸出結(jié)果作為加密相關(guān)觸發(fā)器的掃描使能信號(hào)。該模塊可以根據(jù)Secure_test的值，選擇是否對(duì)加密相關(guān)觸發(fā)器掃描鏈移出值進(jìn)行屏蔽，因此當(dāng)使用者沒(méi)有通過(guò)測(cè)試權(quán)限分析模塊的測(cè)試權(quán)限認(rèn)證時(shí)，無(wú)法根據(jù)掃描鏈的觀測(cè)值恢復(fù)密鑰。

3 安全掃描設(shè)計(jì)操作流程

通過(guò)實(shí)現(xiàn)基于授權(quán)機(jī)制的安全掃描設(shè)計(jì)，得到安全掃描操作流程圖如圖7所示。

圖7 安全掃描操作流程圖

3.1 功能模式操作

芯片完成上電操作進(jìn)入工作模式后，將TC信號(hào)置為0，芯片會(huì)進(jìn)入正常的功能模式。根據(jù)圖6中測(cè)試控制模塊結(jié)構(gòu)可知，此時(shí)測(cè)試控制模塊中時(shí)鐘門控CG使能EN無(wú)效，時(shí)鐘無(wú)法通過(guò)CG，觸發(fā)器FF1不能完成時(shí)鐘沿觸發(fā)而發(fā)生跳變，因此觸發(fā)器Q端輸出值保持復(fù)位后的值0，經(jīng)過(guò)反相器I1取反后，Secure_test值為1，測(cè)試控制模塊輸出安全測(cè)試信號(hào)。當(dāng)屏蔽模塊接收到為1的Secure_test信號(hào)后，密鑰屏蔽模塊選擇將密鑰輸出并送入到加密模塊中。加密相關(guān)觸發(fā)器屏蔽模塊輸出的掃描使能信號(hào)保持不變，加密相關(guān)觸發(fā)器的輸入來(lái)自于功能邏輯，加密模塊可以進(jìn)行正常的加密運(yùn)算，并輸出密文。注意到當(dāng)TC為0時(shí)，Secure_test的值不受觸發(fā)信號(hào)Trigger影響，因此無(wú)論是否在功能模式下對(duì)安全測(cè)試權(quán)限認(rèn)證，功能操作都不受影響。

3.2 測(cè)試模式操作

芯片上電后，如果不預(yù)先進(jìn)入功能模式下通過(guò)測(cè)試權(quán)限認(rèn)證，而將TC直接置為1，則芯片會(huì)進(jìn)入非安全測(cè)試模式?；蛘弋?dāng)芯片在功能模式下，使用者沒(méi)有進(jìn)行測(cè)試權(quán)限認(rèn)證或認(rèn)證未通過(guò)，則安全測(cè)試權(quán)限分析模塊輸出Trigger信號(hào)為0。此時(shí)，將TC信號(hào)由0置1，芯片同樣會(huì)切換到非安全測(cè)試模式。非安全測(cè)試模式下，TC為1，Trigger為0，測(cè)試控制模塊內(nèi)異或門A1輸出為1，并送到觸發(fā)器FF1的D端。由于TC為1，則時(shí)鐘信號(hào)可以通過(guò)CG傳遞到觸發(fā)器FF1上，當(dāng)時(shí)鐘上升沿到來(lái)時(shí)，觸發(fā)器FF1捕獲到值1，并由Q端輸出。經(jīng)過(guò)反相器I1后，測(cè)試控制模塊輸出安全測(cè)試信號(hào)Secure_test值為0。當(dāng)屏蔽模塊接收到為0的Secure_test信號(hào)，密鑰屏蔽模塊會(huì)將干擾數(shù)據(jù)作為密鑰送入加密模塊中。加密相關(guān)觸發(fā)器屏蔽模塊輸出的掃描使能信號(hào)為0，加密相關(guān)觸發(fā)器無(wú)法進(jìn)行正確的移位操作。因此，攻擊者無(wú)法通過(guò)掃描移出值恢復(fù)密鑰。

若想進(jìn)入安全測(cè)試模式，需要在功能模式下進(jìn)行測(cè)試權(quán)限認(rèn)證。使用者輸入正確的功能指令序列到CPU中，安全測(cè)試權(quán)限分析模塊接收到譯碼信息后，將觸發(fā)信號(hào)Trigger置為1。此時(shí)，將TC信號(hào)由0置1，芯片切換到安全測(cè)試模式。安全測(cè)試模式下，TC為1，Trigger也為1，異或門A1輸出0并送到觸發(fā)器FF1的D端。由時(shí)鐘上升沿觸發(fā)，觸發(fā)器捕獲0值并由Q端送入反相器I1中，最終測(cè)試控制模塊輸出值為1的Secure_test信號(hào)。密鑰屏蔽模塊選擇密鑰直接送入加密模塊中。加密相關(guān)觸發(fā)器屏蔽模塊中輸出的掃描使能信號(hào)與TC保持一致。在掃描測(cè)試過(guò)程中，需要由移位模式切換到捕獲模式，TC信號(hào)由1置為0，此時(shí)Secure_test值會(huì)保持不變。因此，安全測(cè)試模式下可以支持正常的掃描測(cè)試過(guò)程，密鑰和加密模塊中的故障均可以被檢測(cè)到。

4 實(shí)驗(yàn)結(jié)果及分析

本文選取密鑰位寬為128位的AES電路[19]以及龍芯某款CPU核作為實(shí)驗(yàn)對(duì)象進(jìn)行仿真認(rèn)證。實(shí)驗(yàn)選取的仿真工具為VCS，綜合工具為設(shè)計(jì)編譯器(design compiler，DC)。上述的電子設(shè)計(jì)自動(dòng)化(electronics design automation，EDA)工具都在Linux環(huán)境下運(yùn)行，服務(wù)器的CPU主頻為2.2 GHz，內(nèi)存容量為64 GB。實(shí)驗(yàn)選擇連續(xù)3條位寬為32位的移位指令作為正確的指令序列，輸入正確的指令序列后，仿真結(jié)果如圖8所示。圖中虛線處為TC信號(hào)跳變的時(shí)刻，跳變前電路處于功能模式，跳變后切換到測(cè)試模式。功能模式下，CPU根據(jù)指令valid信號(hào)接收并處理連續(xù)3條有效的移位指令，控制譯碼信號(hào)signa、signb以及signc的值連續(xù)發(fā)生跳變。信號(hào)state的值對(duì)應(yīng)測(cè)試權(quán)限分析模塊中狀態(tài)機(jī)的不同狀態(tài)，其中“0”代表初始狀態(tài)，“1”代表接收到第1條正確的指令，“2”代表接收到前2條連續(xù)正確的指令，“3”代表接收到完整的指令序列。當(dāng)狀態(tài)機(jī)達(dá)到狀態(tài)“3”后，在下一拍時(shí)鐘的上升沿Trigger信號(hào)跳變?yōu)?，電路由功能模式切換到安全測(cè)試模式，Secure_test信號(hào)保持為1不變。

圖8 輸入正確功能指令序列的仿真結(jié)果

若輸入錯(cuò)誤的功能指令序列后，其仿真結(jié)果如圖9所示。指令序列中錯(cuò)誤或無(wú)效的指令會(huì)導(dǎo)致譯碼信號(hào)signb和signc無(wú)法正確跳變。當(dāng)狀態(tài)機(jī)處于狀態(tài)“1”或狀態(tài)“2”時(shí)，接收到不正確的指令后均會(huì)重新跳轉(zhuǎn)到初始狀態(tài)“0”，信號(hào)Trigger保持為0，電路由功能模式只能切換到非安全測(cè)試模式，Secure_test信號(hào)由1跳變?yōu)?。

圖9 輸入錯(cuò)誤功能指令序列的仿真結(jié)果

4.1 安全性分析

通常攻擊者無(wú)法得知在進(jìn)行密鑰獲取前，需要進(jìn)入安全測(cè)試模式或如何進(jìn)入安全測(cè)試模式。極端情況下，即便攻擊者知道需要在功能模式下輸入指令序列來(lái)觸發(fā)安全測(cè)試權(quán)限分析模塊生成Trigger信號(hào)，攻擊者輸入一段完全正確的功能指令序列的可能性也幾乎為0。當(dāng)安全測(cè)試權(quán)限分析模塊沒(méi)有將觸發(fā)信號(hào)Trigger信號(hào)置為1時(shí)，攻擊者永遠(yuǎn)只能由功能模式切換到非安全測(cè)試模式。此時(shí)，密鑰以及加密相關(guān)觸發(fā)器都被屏蔽，攻擊者無(wú)法根據(jù)掃描鏈移出觀測(cè)值恢復(fù)密鑰，因此所有的已知攻擊方式都無(wú)效。本文所提出的方法同引言中提到的幾種經(jīng)典安全掃描測(cè)試方法相比，安全性分析結(jié)果如表1所示。其中k和j分別表示添加反相器[9]方法中掃描觸發(fā)器以及反相器的個(gè)數(shù)，L表示靜態(tài)混淆數(shù)據(jù)[12]方法中新增移位觸發(fā)器的個(gè)數(shù)，m表示功能指令序列中指令的個(gè)數(shù)，n表示指令的位寬。

表1 不同安全掃描設(shè)計(jì)的安全性和可測(cè)試性對(duì)比

4.2 可測(cè)試性分析

當(dāng)測(cè)試工程師可以進(jìn)入安全測(cè)試模式下進(jìn)行掃描測(cè)試時(shí)，密鑰的值不會(huì)被屏蔽，加密相關(guān)觸發(fā)器所在掃描鏈也可以進(jìn)行正常移位和捕獲操作，密鑰以及加密模塊的故障均可以被檢測(cè)到，因此同未進(jìn)行安全掃描設(shè)計(jì)的初始芯片相比，并沒(méi)有故障覆蓋率的損失。

由移位模式切換捕獲狀態(tài)時(shí)，一拍或者多拍的捕獲時(shí)鐘都不會(huì)影響測(cè)試控制模塊輸出的Secure_test值，因此該安全掃描設(shè)計(jì)方法既支持固定性故障測(cè)試，又支持延遲故障測(cè)試，而且由于不需要修改掃描鏈的結(jié)構(gòu)，傳統(tǒng)的掃描鏈設(shè)計(jì)以及自動(dòng)測(cè)試向量生成流程完全適用，生成的測(cè)試向量也不需要進(jìn)行調(diào)整。本文采用的安全掃描設(shè)計(jì)同其他經(jīng)典的方法相比，可測(cè)試性分析結(jié)果如表1所示。除添加反相器[9]和LFSR混淆[13]的方法，其他安全掃描設(shè)計(jì)都需要增加額外的測(cè)試時(shí)鐘周期，但本文所提出的方法無(wú)需額外的測(cè)試時(shí)間開(kāi)銷。

4.3 面積開(kāi)銷分析

本文實(shí)驗(yàn)使用DC工具基于130 nm工藝進(jìn)行綜合和DFT設(shè)計(jì)，生成最終的網(wǎng)表。面積開(kāi)銷、組合單元以及時(shí)序單元個(gè)數(shù)統(tǒng)計(jì)如表2所示。其中初始設(shè)計(jì)是指未進(jìn)行安全設(shè)計(jì)的DFT后的電路。

表2 面積開(kāi)銷統(tǒng)計(jì)

實(shí)驗(yàn)結(jié)果表明，新增的安全掃描結(jié)構(gòu)面積僅約為初始設(shè)計(jì)面積的0.3%。同初始設(shè)計(jì)相比，組合單元和時(shí)序單元個(gè)數(shù)分別增加了333個(gè)和5個(gè)，占比僅為0.18%和0.9%。

5 結(jié) 論

本文提出的基于授權(quán)機(jī)制的抗掃描旁路攻擊方法，在功能模式下通過(guò)功能指令序列完成安全測(cè)試授權(quán)，并根據(jù)授權(quán)認(rèn)證結(jié)果選擇進(jìn)入非安全測(cè)試模式或安全測(cè)試模式。非安全測(cè)試模式下，密鑰被屏蔽，同時(shí)加密相關(guān)觸發(fā)器所在掃描鏈的移出觀測(cè)值被混淆，因此攻擊者無(wú)法恢復(fù)密鑰，保證了密鑰的安全性。安全測(cè)試模式下，密鑰不被屏蔽，密鑰從存儲(chǔ)器讀出到送入加密模塊的路徑上故障都可以被掃描測(cè)試檢測(cè)到。同時(shí)加密模塊中的觸發(fā)器以及組合邏輯故障也均可以被檢測(cè)到，保證了加密相關(guān)模塊的故障覆蓋率。另外，通過(guò)功能指令序列觸發(fā)的安全測(cè)試權(quán)限認(rèn)證方式，安全性高且不失靈活性。一方面，攻擊者在不知道正確功能指令序列的前提下，幾乎不可能通過(guò)安全測(cè)試權(quán)限認(rèn)證。另一方面，設(shè)計(jì)者可以根據(jù)芯片的安全等級(jí)，改變指令序列中功能指令的種類以及個(gè)數(shù)。本方法結(jié)構(gòu)實(shí)現(xiàn)簡(jiǎn)單，并且?guī)缀鯖](méi)有面積開(kāi)銷，可以適用于任何帶有掃描設(shè)計(jì)的密碼芯片中。