[读书笔记] 硬件安全 - 从 SoC 设计到系统级防御_硬件安全从soc设计到系统级防御

最新推荐文章于 2024-10-08 16:04:22 发布

荀经纶

最新推荐文章于 2024-10-08 16:04:22 发布

阅读量878

点赞数 9

分类专栏：程序员文章标签：网络安全学习面试

本文链接：https://blog.csdn.net/2301_76224593/article/details/138781517

版权

程序员专栏收录该内容

188 篇文章 1 订阅

订阅专栏

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

在这里插入图片描述

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

恶意攻击者可以利用当今复炸而高度集成的 PCB 设计，借助隐藏孔或无源嵌入式元件，以硬件木马的形式篡改或植入额外的恶意电路，目前行业并无有效的安全措施来防御。

1、PCB检查：

    ①自动光学检查（AOI)：多次拍照，拼接成一个完整的大图像，与设计图进行比对。

    ②自动X射线检查：利用不同材料对X射线的吸收率不同，对PCB进行检查

2、PCB测试：

    ①芯片内测试：万用表原理

    ②功能测试

    ③JTAG边界扫描测试

第二部分硬件攻击：分析、示例和威胁模型

第五章硬件木马

本章主要讲述了 SoC 的设计制造流程中的硬件木马(Hardware Trojan)插入威胁、HT 特性、FPGA 中的 HT、HT 的分类、信任基准、硬件木马的防御。由于硬件木马的硬件级别的植入，软件级别的对此可能不足以应对由硬件造成的威胁。

①②③④⑤⑥⑦⑧⑨⑩

一、SoC 的设计制造流程中的硬件木马(Hardware Trojan)插入威胁

详情见第三章

二、硬件木马的特性

硬件木马（Hardware Trojan）指对电路设计的恶意的、故意的修改，在部署电路时会导致恶意行为（例如通过 I/O 输出密钥、通过侧信道功率输出重要信息、增加系统延迟、减半加密轮数）。

1、结构：基本结构有两个：触发器和攻击载荷。当触发器监测到预期的事件，攻击载荷就会执行恶意行为。触发条件可以是某内部节点上的 n 位值、重复发生某事件 210 次、到达某个温度等，以增加反检测能力。
2、硬件木马示例：

    ①加密引擎中的木马：攻击载荷可以是由攻击者自定义的虚拟密钥而不是用于敏感加密的实际加密密钥，通过侧信道泄露硬件密钥。例如恶意片外泄露技术（MOLES)，通过功率侧信道泄露硬件密钥。

    ②通用处理器中的木马：攻击者在系统中植入后门，根据攻击者的命令输入禁用安全启动机制。并在硬件木马的帮助下实现深层次攻击，如利用缓冲区溢出攻击绕过内存保护机制或通过认证绕过漏洞来访问特定资产。

三、FPGA 中的硬件木马

FPGA 用途广泛，从电信系统到导弹制导都有应用。但 FPGA 的木马可以通过 IP 核的形式载入通用 FPGA 结构中，并且有大量可被控制的可重构逻辑单元，攻击者从而利用 FPGA 通用系统进行攻击。存在 IP 依赖木马和非 IP 依赖木马。

四、硬件木马的分类

分类的主要依据是硬件木马的物理、激活、功能特性。

放图

五、信任基准

信任基准是一种基准电路测试，在难以检测、影响较大的位置故意添加木马，用以比较木马带来的影响和不同木马检测技术的有效性。

1、基准命名约定：DesignName - Tn#$，e.g.,MC8051-T1010：木马 10 号被插入 MC8051 的 1 号位置，版本为 0
2、信任基准样例：

    ①开发制造阶段的基准样例：EthernetMAC10GE-T710，由组合器触发的木马程序，查找特定的16位向量

六、硬件木马的防御

1、木马检测：木马检测时最简单、常用的方法，分为硅前、硅后两阶段。

    ①硅后检测：1、破坏性逆向工程：检测能力强，可以检测到任意恶意修改

                       2、功能测试：检测能力弱，难以触发木马

                       3、侧信道信号分析：测量硬件参数来检测硬件木马（如延迟、功率、温度、辐射），将其与正常的（破坏性逆向工程得到的结果）进行对比

    ②硅前检测：1、代码覆盖率分析：即在设计阶段的功能验证期间执行代码行的百分比。木马可能逃脱

                      2、形式验证：如符号执行、模型检查、信息流，在验证3PIP方面有效。

                      3、结构分析：用定向指标将低激活概率的信号或门电路标记为可疑。

2、信任设计：检测静默的、低功率消耗的硬件木马更有效的一种方式。

    ①促进测试：字面意思，如增加运行时监控模块

    ②木马植入防范：逻辑混淆、伪装、功能性填充单元（将布局填满）。通过重新排序逻辑门、加入额外的逻辑功能或者使用不同的设计方法来实现。

    ③可信计算：软件级别的检测，是基于不可信元件的可信计算，是最后一道防线。主要有TPM (受信任的平台模块)、安全启动 (Secure Boot)、远程验证 (Remote Attestation)、封装 (Sealing)组成。

    ④分割制造：字面意思，降低代工厂的不可信水平

第六章电子供应链

本章主要讲述电子供应链上的安全隐患及应对措施。

一、安全隐患

1、硬件木马
2、CAD工具：CAD 工具只注意可能无意间引入漏洞,CAD 设计主要考虑传统指标（如面积、产量、可测试性），而忽略了安全性。
3、测试/调试工具：无法避免其在电子元件上的使用，但其允许攻击者观察或控制其内部状态。

二、信任问题

1、IP滥用：即生产超过约定数量的元件
2、IP盗版：非法复制和修改
3、零件不合格：
4、集成电路****逆向工程：RE
5、文档伪造：即数据造假
6、集成电路再标记、回收：放图

三、对策

1、木马检测、安全检查：
2、IP加密：

    ①硬件锁：硬件锁通常是一个外部USB设备，其内部包含了一个芯片，这个芯片具有独特的识别码、加密功能和存储能力。软件开发者可以将授权信息、加密算法和关键数据存储到硬件锁中，然后将这些功能与其开发的软件绑定在一起。软件启动时，会与连接的硬件锁进行通信，验证硬件锁的身份。这通常包括向硬件锁发送请求，硬件锁返回唯一的识别码供软件进行验证。只有在硬件锁通过验证后，软件才会继续运行。

    ②时间锁：类似硬件锁，通常与硬件锁结合使用。

    ③追踪/水印技术：将特定的标识信息嵌入到IP中，以便在未经授权使用的情况下进行追踪。提取水印后进行水印比对，例如物理不可克隆函数（Physical Unclonable Function, PUF）利用微小的物理变异来生成唯一的标识信息。这些微小的变异是由制造过程中的随机性和不均匀性引起的，使得每个硬件实例都具有独特的特性。PUF可以用于实现设备的唯一标识、认证和密钥生成。

3、电气测试、物理检查

第七章硬件 IP 盗版和逆向工程

一、硬件 IP

不再赘述

二、FPGA 的安全问题

1、FPGA 的设计：

    ①将总设计拆分成小段，每一段都适合于FPGA内部特定的可编程硬件元件，随后合成，输出一个门级网表

    ②将几个门合并成一个LUT(以十六进制显示）作为配置位，放置并路由该网表

    ③配置位连接成一个文件，即位流

2、FPGA 系统的生命周期：与硬件 IP 类似

三、FPGA 位流攻击

1、IP窃取

    ①克隆：配置不当导致可实现位流回读；基于SRAM的电子探针拦截位流传输的位流探测；窃取解密密钥

    ②位流逆向工程：厂商没有标准化位流格式，逆向难度较大

    ③IP滥用：#

2、IP篡改：

    ①故障注入：有意引入系统的故障来削弱或破坏目标系统的功能、机密性、完整性或可用性。这种攻击方法通常是为了绕过系统的安全措施、窃取敏感信息或造成系统崩溃。故障注入攻击可以利用系统对故障的不恰当处理来获得攻击者所需的结果。

    ②直接篡改：篡改未加密的位流以实现硬件木马，重点修改未使用的资源（常为一串0，有助于轻松修改）

    ③硬件木马：#

    ④未经授权的重新编程：字面意思

第八章侧信道攻击

侧信道攻击（Side-Channel Attack，SCA）是一种利用系统在运行过程中产生的辅助信息（侧信道）来获取敏感信息的攻击方式。侧信道攻击通过分析系统在其他方面的物理特性，如功耗、电磁辐射、执行时间等，来获得额外的信息，从而窃取敏感数据。测信道攻击对加密设备，尤其是智能卡和物联网设备构成重大威胁。

一、侧信道攻击的历史

在这里插入图片描述

二、功率分析攻击

需要对设备进行物理访问，主要用于提取密码系统的密钥，分为简单功率分析(SPA)、差分功率分析(DPA)、相关功率分析(CPA）等。功率跟踪指分析过程中捕获的每个功率信号

1、功率消耗侧信道泄露的来源：影响设备功率的因素有两个：动态功率、漏功率（无用）。动态功率由器件内晶体管开关活动引起。e.g.：逆变器功率

P_{10}

P10和

P_{01}

P01产生的功率远大于

P_{00}

P00和

P_{11}

P11，后两者功率消耗约等于 0。

2、功率信号采集：将示波器连接在电源和目标器件的 Vdd 或 Gnd 引脚之间的精密电阻，测量其的压降。利用算法消除噪声，使信号清晰。
3、简单功率分析（Simple Power Analysis - SPA）：通过目视观察即可直观的识别出信息。
4、差分功率分析（Differential Power Analysis - DPA ）：

用于窃取密码设备或加密系统中的秘密信息，如密钥。DPA 利用了加密设备在执行加密操作时所消耗的电力或功率的变化，以及这些变化与密钥相关的关系。DPA 的基本思想是通过测量设备在不同密钥值下的电力消耗来分析其差异。当设备执行加密操作时，其电路状态和开关活动会因密钥的不同而产生微小的变化，进而影响电力消耗。从而通过对比不同操作状态下产生的信号差异来获取敏感信息。

5、对策：

噪音引入：在设备的电路中引入噪音可以使功耗模式变得更加复杂，从而减少攻击者分析的准确性。这可以通过在电路中添加噪音电路、频率变化电路等方式实现。
电源噪音过滤：通过使用电源噪音过滤器可以减少来自电源的干扰，从而使功耗数据更加干净，难以分析。这有助于降低攻击的成功率。
随机化操作：在加密操作中引入随机性，使每次操作的功耗模式不同。这会使攻击者难以从多次操作中获取一致的功耗模式。
硬件隔离：将敏感的加密操作或密钥存储在物理隔离的硬件模块中，以减少攻击者通过功耗分析获取信息的可能性。
功耗平衡技术：在执行加密操作时，通过控制电路的开关活动和功耗分布，使得不同操作之间的功耗变化相对均匀。这样攻击者难以分辨不同操作之间的功耗模式。
使用低功耗算法：选择使用低功耗的加密算法，这样攻击者获取的功耗数据中的变化会更加微弱，难以分析。
协议级防御：在通信协议中引入随机性、模糊性，或者使用对抗攻击的防御策略，从而使攻击者难以从通信流量中获取有用的信息。
密钥分割和散列：将密钥分成多个部分，在执行加密操作时，只有部分密钥被用到，从而减少攻击者获取完整密钥的可能性。

三、电磁侧信道攻击

电磁测信道攻击主要测量运行中集成电路发出的电磁波，通过电磁分析能够捕捉空间信息，识别电磁信号位置。电磁信号可以通过近场探头或天线截取，并转化为电流信号。去除噪声后限制频带即可应用于电磁分析。

1、简单电磁分析(Simple Electromagnetic Analysis - SEMA)：在简单电磁分析（SEMA）攻击中，攻击者通过观察痕迹直接推断出密钥。它对于非对称加密实现非常有效。通常，只需要一些痕迹，尽管攻击者需要对加密设备和加密算法的实现有深入的了解。易受 SEMA 攻击的实现将根据该位是否执行不同的操作密钥的值是 0 或 1，这将使用不同的功率和/或不同的芯片组件。
2、差分电磁分析（Differential Electromagnetic Analysis - DEMA）：差分电磁分析 (DEMA) 攻击更为复杂，但对于对称加密实现有效。差分体现在对设备在不同操作状态下产生的电磁泄漏信号的比较上。
3、对策：与应对功率分析的对策基本一致

四、故障注入技术

故障注入攻击 (Fault Injection Attack) 是一种攻击手段，通过引入故障来改变系统的正常运行，从而达到攻击目的。这种攻击方法通常针对硬件组件，但也可以针对软件。故障注入可以通过多种方式实现，例如通过电磁干扰、电压变化、温度变化或特定的软件指令。

1、常见的故障注入攻击方法：
1. 电压毛刺：基本的故障注入技术，通过产生电压的异常（例如尖端放电）来实现故障。
2. 温度注入：通过改变设备的温度，引起设备的故障。
3. 电磁注入：使用强磁场干扰设备的电子信号，会均匀的影响整个电路。
4. 篡改时钟引脚：通过干扰系统时钟，发送故障的时钟信号，引发设备的故障。
5. 软件注入：利用软件漏洞或特定的指令序列来引发故障。
2、对策：
1. 基于关键操作的复制：重复加密操作，并比较两个输出，若不同则系统进入故障注入防御状态。复制可以在时间和空间上完成。空间复制即利用冗余的电路块来重新计算特定的加密任务；时间复制即在不同时间执行重新计算。
2. 基于错误检测方案：当设备检测到系统在故障中运行时，将会禁用设备的关键功能。（效率较低）

五、时序攻击

时序攻击（Timing Attack）是基于目标系统响应时间的测量来获取有关其内部操作的信息。通过分析这些时序信息，攻击者可能能够推导出加密密钥或其他敏感信息。

时序攻击的基本思路是：当计算机执行不同的操作时，所需的时间可能会有所不同。例如，某些密码算法在处理特定的输入或特定的密钥部分时可能需要更长或更短的时间。攻击者可以通过测量处理不同输入时的响应时间来获得有关系统内部操作的信息。通常与其他方法共同使用。

1、时序攻击的例子：

2、如何防御时序攻击：

六、隐蔽信道

“隐蔽信道”（Covert Channel）是一个计算机安全术语，指的是在计算机系统中，不被预期用于通信的途径或机制被用于传递信息。这种通信途径可能会被攻击者用于绕过安全策略或机制，从而秘密地传输信息。隐蔽信道常常是安全体系中的一个难以处理的问题，因为它们常常利用了正常操作或功能的副作用来传递信息。较难利用。

1、隐蔽信道的类型：

第九章面向测试的攻击

可测试性和安全性本质上是相互矛盾的。安全性依赖于使信息变得模糊和难以理解。扫描可以将电路设置为任何状态，并将芯片停止在任何中间状态进行分析，扫描链成为密码分析容易利用的测信道。

一、基于扫描的攻击

1、基于扫描的可观测性攻击：可以随时获取系统快照，寻找重要寄存器，从而获得密钥。
2、基于扫描的可观测性/可控性攻击：除了方法一外，还能使扫描链成为故障注入攻击点，使得攻击很容易重复。
3、威胁模型：扫描辅助差分攻击
4、防御策略 ：动态模糊测试、低成本安全扫描、开发锁、扫描接口加密（加密输出）

二、基于 JTAG（边界扫描）的攻击

JTAG（Joint Test Action Group）是一种用于测试和调试电子设备的标准接口，通常用于在生产和维护过程中进行测试、调试和编程。

1、JTAG攻击：JTAG 不知道芯片对外部命令的反应，JTAG 很容易在软件层面被控制。例如绕过 Xbox 的认证和入侵 iPhone 等。
2、JTAG防御：
1、使用后销毁 JTAG
2、JTAG 密码保护

3、将 JTAG 隐藏在系统控制器后

第十章逆向工程（物理攻击与对策）

逆向工程（Reverse Engineering）是一种通过分析已有的产品、软件或系统，来了解其设计、功能和工作原理的过程。逆向工程可以应用在各种领域，包括软件、硬件、网络和电子设备等。

一、芯片级逆向工程

芯片通常由裸片、引线框架、引线接合和成型封装材料组成。通常使用倒装芯片的方法，其中的电气连接靠导电溶胶来实现。在芯片级，逆向工程的目标是找到封装材料、引线接合、不同的金属层、触点、通孔和有源层及金属层之间的互联。

在这里插入图片描述

1、解封装：

芯片解封装是将芯片封装材料（如塑料或陶瓷）移除，暴露出内部电路和结构的过程。这允许对芯片的内部设计、功能和连接进行详细分析和研究，通常用于逆向工程、芯片验证和安全研究。解封装需要使用化学、热或机械方法，但需要注意可能会破坏芯片样本。

2、分层：

现代芯片由几个金属层、钝化层、通孔、触点、多晶硅和有源层组成。逆向工程师必须对芯片进行横截面成像，使用 SEM 或 TEM 来识别层数、金属材料、层厚、通孔和触点。横截面成像的知识非常关键(即层的厚度)，因为它决定了分层必须如何进行。

3、成像：即拍照、X 光
4、后处理：

    ①图像处理：形成各层的图像

    ②注释：记录晶体管等元件位置，各层的互联、通孔和触点。

    ③门级原理图提取

    ④从门级原理图中提取高级网表

二、芯片级反逆向工程

1、伪装：布局层次的技术，例如单元伪装和虚拟触点。让攻击者无法识别其功能。
2、混淆：通过内部设计转换某元件功能，实现混淆

三、探测攻击

描述

探测攻击是一种通过观察芯片的物理硅实现来绕过安全措施的侵入方法。作为一种侵入式攻击，攻击者可以直接访问目标设备的内部线路和连接并提取敏感信息。与逆向工程相结合，这构成了严重的威胁。典型的探测攻击将从解封装开始，以暴露硅芯片。完成后，攻击者就可以开始对设备进行逆向工程。通过提取网表，人们可以开始了解功能并识别目标信号。一旦攻击者找到目标信号并将其映射到设备上的坐标，他们就可以开始铣削。通过铣削，它们暴露了设备的内部电线。然后他们可以形成电气连接并开始提取信息。为了防止此类攻击，设计人员必须识别可能的目标并采取适当的措施。此类目标的示例包括：

加密密钥
固件和配置比特流
设备上受保护的数据
加密随机数

一些常见的对策包括屏蔽和 T 专用电路。屏蔽层包含一层电线，其信号被监控以防止铣削引起的干扰。T 专用电路旨在按顺序分割信号，或者通过要求攻击者使用 t + 1 个探测器来提取 1 位信息来耗尽攻击者的资源。其他方法包括用于检测解封的光传感器和用于防止重复模式的扰线信号。

四、侵入性故障注入

聚焦离子束（FIB）是最精确和最强大的故障注入技术之一，攻击者可以编辑电路、重建丢失的总线、切断现有的导线，其工作精度为 1nm。

第十一章 PCB 攻击：安全挑战和脆弱性

一、现场更改 PCB

中断或恶意更改 PCB 的功能。例如：在 PCB 信号线上添加电容使其电气连接中断、将 PCB 信号轨迹的宽度变窄以增加其电阻、外接恶意 IC、通过重新连接路由电路以避开或替换安全块等。

二、破解芯片攻击

破解芯片攻击是现场更改 PCB 的重要应用。例如绕过 Xbox 的安全检测。

在这里插入图片描述

第三部分硬件攻击防范对策

第十二章硬件安全原语

硬件安全原语是一些基本的、可信赖的硬件组件或技术，用于构建安全的计算机系统和设备。它们通常设计用于提供硬件级别的保护，以确保系统的安全性和可靠性。作为安全环境的硬件级构建模块，在确保电子芯片和系统可信、真实、完整方面扮演着重要角色。

根据柯克霍夫原则，密码系统的安全性应该完全依赖于密钥，而不是系统设计（即没有实现上的系统缺陷或测信道泄露）。因此，密钥的强度直接决定了安全系统的强度。

一、前置知识

CMOS 器件的性能：CMOS 是 “Complementary Metal-Oxide Semiconductor” 的缩写，翻译为"互补金属氧化物半导体"。它是一种广泛用于集成电路（IC）制造中的半导体技术。CMOS 设备正面临着制程变异和性能降级。制程变异，即器件制造过程中产生的大量系统和随机误差。实时/环境波动、老化/磨损机制。

二、PUF（物理不可克隆函数/physical uncloneable function）

1、概述：PUF 能够利用设备内在的固有特征生成数字指纹。理想情况下，它是一种密码学安全的单向函数，输入与输出之间没有任何可预测的映射关系。PUF 的熵来自器件制造过程中的固有误差。
2、PUF的进步性：PUF 消除了密钥存储的要求，密钥可以通过输入触发器按需生成。加密的安全性在于密钥的保密性，PUF 不需要存储密钥，不存在密钥被窃取的风险。此外，任何针对 PUF 的物理攻击，都会改变 PUF 的内在固有特征来彻底改变 PUF 的响应。
3、PUF的分类：大致可分为强 PUF 和弱 PUF。强 PUF 能够抵抗任何碰撞和重放攻击。一般会在 PUF 上再加一层封装，提高安全性。
4、PUF 的评估标准：PUF 的不可克隆性表明它不能被软件模型替换而生成相同的响应，且其自身必须难以被复制。PUF 应当具有攻击弹性，即当 PUF 被控制时，不能按照攻击者的意愿生成正确的响应。PUF 的错误率应该为 0。PUF 还应具有不可预见性、扩散性。
5、常见的 PUF 架构：
1. 仲裁器 PUF：利用仲裁器来实现随机 01
2. RO PUF：利用环形振荡器来实现随机 01
3. SRAM PUF
4. 蝴蝶 PUF
5. 轻量级 PUF
6. 双稳态环 PUF
6、PUF 的应用：
1. 密钥生成
2. 设备认证
3. 软件和 IP 许可
4. 硬件测量

三、TRNG（硬件随机数生成器 / True Random Number Generator）

1、概述：TRNG 是一种硬件设备或软件程序，用于生成真正的随机数，这些随机数是通过物理过程或环境噪声等随机事件产生的。TRNG 生成的随机数具有高度的不可预测性和不可重复性，因此在密码学、模拟和模型验证等领域中被广泛应用。与伪随机数生成器（PRNG）不同，TRNG 不依赖于算法或种子，因此更加安全可靠。
2、TRNG 的评估标准：主要取决于随机性，应该不具有可预测性。
3、常见的 TRNG 架构：
1. 基于噪声的 TRNG
2. 基于振荡器的 TRNG
3. 基于存储器的 TRNG
4、TRNG 的应用：与 PUF 类似