[读书笔记] 硬件安全 - 从 SoC 设计到系统级防御

硬件安全 - 从 SoC 设计到系统级防御

原作名《HARDWARE SECRURITY - A HANDS-ON LEARNING APPROACH》

机械工业出版社 China Machine Press

作者 ： Swarup Bhunia and Mark Tehranipoor

译者序

---

第一章 硬件安全概述

主要讲述计算系统概述，硬件安全和硬件信任，IC 设计流程中的安全问题，硬件安全史

硬件安全的硬件专指硬件。
安全的类别：1、硬件安全：关注硬件的攻击和保护，它是系统安全性的基础，为与之交互的系统的其他元件提供了可信基础。确保软件栈的安全可靠运行，保护存储的资产，提供相应的隔离。
2、软件安全：关注针对软件的恶意攻击，以及在潜在安全风险下确保软件可靠运行的技术。
3、网络安全：研究针对连接多个计算机的网络的攻击行为，以及在潜在攻击下的可靠性。
4、信息安全：侧重于通过防止信息的非法访问、使用、修改或销毁以确保其机密性和可用性。主要基于各种密码措施。

• 1、计算系统概述：1、计算系统是由相互连接的元件组成的系统，主要由以下部分组成：存储器、处理器、输入/输出设备。

                           2、计算系统分为两类：通用系统和嵌入式系统。（近年来，信息物理系统CPS和IoT兴起）
  
                           3、在计算系统中，最薄弱的环节决定了整个系统的安全性。实现整个系统的安全性需要将各个部分的特定安全方案进行集成。       
  

** 计算系统的不同层次：看图**

• 2、电子硬件：层级：所有硬件 -> 印制电路板 -> 电子元件
• 3、硬件安全：针对硬件安全的研究相对较晚，因此硬件常被用作系统的信任锚（i.e.,信任根)。随着电子硬件生产的新趋势，基于 IP 核的芯片设计、长且分散的电子元件制造分销链，导致了众多安全问题。

• 4、攻击、漏洞和对策：1、攻击向量：即攻击方法，常见硬件攻击向量有侧信道、木马、IP 盗版、PCB 篡改。

                                  2、攻击面： 已知、未知和潜在漏洞的总和。硬件安全的三个主要攻击面：
  
                                                   1. 芯片级别攻击，如伪造芯片，IP盗版
  
                                                   2. 印制电路板级别攻击，可通过简单的光学检测_（如__X射线__断层扫描__）_和信号处理来获取。
  
                                                   3.系统级别攻击，如攻击DFT设施和内存模块、
  
                                   3、安全模型：包括两部分：威胁模型，指攻击的目的和机制；信任模型，描述受信任方或元件。
  
                                   4、漏洞：功能性漏洞_（通过分析异常行为）_、侧信道漏洞、测试或调试造成的漏洞、鉴权漏洞
  
                                   5、对策：放图
  

• 5、硬件安全发展史：1、攻击史：1996 年以前很少，主要做 IP 盗版，IC 克隆；1996 年，时序攻击_（在密码学书中称为计时攻击）_出现；1997 年，故障注入攻击出现；1999 年，基于功率的侧信道分析出现；2007 年，硬件木马；

                               2、防御史：1998年，硬件标签；2000年，硬件安全基（如PUF物理不可克隆函数、TRNG真随机数生成器）；2014年，电子防御供应链硬件完整性计划
  

---

第一部分 电子硬件的背景知识

第二章 电子硬件概览

• 一、数字逻辑：指用数字表示数字电路的信号和序列。

                    1、二进制逻辑：正电压表示为逻辑1、高、真(true)；无电压表示为逻辑0、低、假(false)
  
                    2、数字逻辑门：放图
  

                    3、布尔代数：放图

                    4、时序电路：现代数字逻辑电路分为组合逻辑和顺序逻辑（有存储功能）

                                        1、时序电路元件：触发器（锁存器），D型、T型（反转）、JK型

                                        2、计时参数：设置时间、保持时间、传输延迟

• **二、ASIC 和 FPGA **：1、ASIC(Application - Specific Integrated Circuit）专用集成电路

                                     为特定用途制造的集成电路，性能高、功能复杂、功率消耗低、单元较小、单位成本低，但开发周期长、设计流复杂、初始成本高、偶发成本高，在大批量生产上具有优势
  
                                2、FPGA(Field-Programmable Gate Array）现场可编程门阵列
  
                                     对已制造完成的芯片进行配置的集成电路，由一组可编程的逻辑块和可重构连接器构成，是现场可编程的。逻辑块可通过重新配置连接器进行连接，配置不同的功能。其灵活、上市时间快、设计简单、可升级而不改变硬件，但功率消耗高、性能中等、单元成本高、资源浪费。在中等批量的生产上具有优势。
  

• 三、印制电路板（PCB - Printed Circuit Board )：

                     1、PCB的设计流程：放图
  

                     2、PCB生产流程：轮廓、创建铜线路、钻孔、焊上元件、Gerber文件

• 四、嵌入式系统：基于微处理器或微控制器的系统，为特定功能而设计。微控制器是一个整体，包括 CPU。其搭载的软件通常需要工作在内存较少的简单环境中。
• 五、硬件-固件-软件交互：
  

---

第三章 片上系统的设计与测试

本章讲述 SoC 的设计流程、SoC 测试验证的流程和原理

一、基于 IP 的 SoC 生命周期

SoC（system on chip）片上系统 是一个包含给定系统所需所有元件的集成电路，通常包括模拟、数字和混合信号 IP 核心。①②③④⑤⑥⑦⑧⑨⑩

• 1、SoC的生命周期 ：

                       ①设计：制定设计规范，随后将所有IP内核集成，并植入DFT结构，生成网表和GDSII格式文件
  
                       ②制造：在晶圆片上进行光刻和化学处理，剔除缺陷产品
  
                       ③装配：即IC封装，装上外壳，并提供电气连接和散热的热路径，以保护芯片
  
                       ④发行：分销
  
                       ⑤系统集成：与多个器件一同集成为一个系统
  
                       ⑥退役
  

• 2、SoC的设计流程：

      ①制订设计规范，并指定一个IP列表实现既定规范。（3PIP的购买：软IP核以HDL交付；硬IP核以GDSII交付；固定IP核使用通用库交付。
  
      ②将所有IP集成，加入DFT结构，生成RTL描述（完整的系统级数字电路描述）和网表。
  
      ③门级网表被转换为基于逻辑单元格和I/O几何图形的物理布局
  
      ④进行测试，测试完毕后，发往代工厂进行制造
  

二、SoC 的验证测试流程

验证阶段又称硅前验证，即在流片前确保从设计规范到网表的功能正确和正确转换的过程；

测试阶段，是流片后的制造测试和生产测试的过程。

• 1、SoC的验证流程：

      ①对IP进行单独验证。
  
      ②基于接口协议，对芯片中各块接口进行验证
  
      ③系统级验证，通过仿真软件进行硬件和软件的验证。分别进行功能验证和结构验证。
  
      ④对IC的物理布局进行验证。验证完成。
  

• 2、SoC的测试流程：

      ①晶圆测试，为晶圆提供电气刺激进行测试
  
      ②识别制造缺陷或故障，使用自动测试模式生成工具ATPG
  
      ③对芯片进行表征，找出芯片的理想工作参数
  
      ④功能测试和结构测试
  
      ⑤封装模具的老化应力测试
  

三、调试性设计

SoC 调试，即硅后验证，在第一个硅制造后进行。调试支持由芯片上的调试性设计架构和软件组成。其策略是将接入点放置在系统中，由它的接口获得和控制芯片内部信号。电子系统中有三种元件需要测试：数字逻辑、内存块、模拟或混合信号电路。制造测试成本主要取决于测试数据的数量和测试时间

• 1、DFT调试技术概览：

      ①扫描：对所有在扫描设计中的存储元件进行访问和控制。
  
      ②扫描触发器（SFF）：性能开销低，但速度慢
  
      ③扫描链：将扫描触发器连成一串，然后将扫描值与SO值（扫描输出值）进行比较
  
      ④扫描测试压缩：利用少量的测试的重要值来减少测试数据和测试时间
  
      ⑤边界扫描：边界扫描技术利用边界扫描链，在芯片内部的信号线上插入测试信号，从而实现对芯片内部电路的测试和诊断。有效降低了PCB制造成本。
  

• 2、全速延迟测试：用于检测计时相关故障的方法

      ①故障类型：转换故障（慢升和慢降造成的延迟），路径延迟故障（路径上的累计延迟）
  
      ②两种方法：LOS和LOC
  

第四章 印制电路板 ：设计与测试

本章讲述 PCB 的历史、生命周期、设计验证、装配流程

一、PCB 的历史

在 PCB 量产前，通常使用点对点的飞线连接；早期 PCB 是在电路板材料上钻孔，并在孔中植入黄铜。20 世纪 20 年代，PCB 诞生，申请了第一个专利；20 世纪 30 年代到 40 年代，PCB 在二战中得到广泛运用；20 世纪 50 年代，发明了酸刻蚀铜金属电路板的方法；20 世纪 80 年代，表面贴装技术（Surface Mount Technology，SMT）的发展在 1980 年代引入了新的 PCB 制造和组装方法；现代，三维 PCB、柔性 PCB。

二、PCB 的生命周期

PCB 的生命周期与 SoC 的生命周期类似，设计规范->PCB 设计->PCB 原理图->PCB 布局-> 制造和装配-> 检测验证

三、PCB 的设计验证

恶意攻击者可以利用当今复炸而高度集成的 PCB 设计，借助隐藏孔或无源嵌入式元件，以硬件木马的形式篡改或植入额外的恶意电路，目前行业并无有效的安全措施来防御。

• 1、PCB检查：

      ①自动光学检查（AOI)：多次拍照，拼接成一个完整的大图像，与设计图进行比对。
  
      ②自动X射线检查：利用不同材料对X射线的吸收率不同，对PCB进行检查
  

• 2、PCB测试：

      ①芯片内测试：万用表原理
  
      ②功能测试
  
      ③JTAG边界扫描测试
  

---

第二部分 硬件攻击：分析、示例和威胁模型

第五章 硬件木马

本章主要讲述了 SoC 的设计制造流程中的硬件木马(Hardware Trojan)插入威胁、HT 特性、FPGA 中的 HT、HT 的分类、信任基准、硬件木马的防御。由于硬件木马的硬件级别的植入，软件级别的对此可能不足以应对由硬件造成的威胁。

①②③④⑤⑥⑦⑧⑨⑩

一、SoC 的设计制造流程中的硬件木马(Hardware Trojan)插入威胁

详情见第三章

二、硬件木马的特性

硬件木马（Hardware Trojan）指对电路设计的恶意的、故意的修改，在部署电路时会导致恶意行为（例如通过 I/O 输出密钥、通过侧信道功率输出重要信息、增加系统延迟、减半加密轮数）。

• 1、结构：基本结构有两个：触发器和攻击载荷。当触发器监测到预期的事件，攻击载荷就会执行恶意行为。触发条件可以是某内部节点上的 n 位值、重复发生某事件 2¹⁰ 次、到达某个温度等，以增加反检测能力。

• 2、硬件木马示例：

      ①加密引擎中的木马：攻击载荷可以是由攻击者自定义的虚拟密钥而不是用于敏感加密的实际加密密钥，通过侧信道泄露硬件密钥。例如恶意片外泄露技术（MOLES)，通过功率侧信道泄露硬件密钥。
  
      ②通用处理器中的木马：攻击者在系统中植入后门，根据攻击者的命令输入禁用安全启动机制。并在硬件木马的帮助下实现深层次攻击，如利用缓冲区溢出攻击绕过内存保护机制或通过认证绕过漏洞来访问特定资产。
  

三、FPGA 中的硬件木马

FPGA 用途广泛，从电信系统到导弹制导都有应用。但 FPGA 的木马可以通过 IP 核的形式载入通用 FPGA 结构中，并且有大量可被控制的可重构逻辑单元，攻击者从而利用 FPGA 通用系统进行攻击。存在 IP 依赖木马和非 IP 依赖木马。

四、硬件木马的分类

分类的主要依据是硬件木马的物理、激活、功能特性。

放图

五、信任基准

信任基准是一种基准电路测试，在难以检测、影响较大的位置故意添加木马，用以比较木马带来的影响和不同木马检测技术的有效性。

• 1、基准命名约定：DesignName - Tn#$，e.g.,MC8051-T1010：木马 10 号被插入 MC8051 的 1 号位置，版本为 0

• 2、信任基准样例：

      ①开发制造阶段的基准样例：EthernetMAC10GE-T710，由组合器触发的木马程序，查找特定的16位向量
  

六、硬件木马的防御

①②③④⑤⑥⑦⑧⑨⑩

• 1、木马检测：木马检测时最简单、常用的方法，分为硅前、硅后两阶段。

      ①硅后检测：1、破坏性逆向工程：检测能力强，可以检测到任意恶意修改
  
                         2、功能测试：检测能力弱，难以触发木马
  
                         3、侧信道信号分析：测量硬件参数来检测硬件木马（如延迟、功率、温度、辐射），将其与正常的（破坏性逆向工程得到的结果）进行对比
  
      ②硅前检测：1、代码覆盖率分析：即在设计阶段的功能验证期间执行代码行的百分比。木马可能逃脱
  
                        2、形式验证：如符号执行、模型检查、信息流，在验证3PIP方面有效。
  
                        3、结构分析：用定向指标将低激活概率的信号或门电路标记为可疑。
  

• 2、信任设计：检测静默的、低功率消耗的硬件木马更有效的一种方式。

      ①促进测试：字面意思，如增加运行时监控模块
  
      ②木马植入防范：逻辑混淆、伪装、功能性填充单元（将布局填满）。通过重新排序逻辑门、加入额外的逻辑功能或者使用不同的设计方法来实现。
  
      ③可信计算：软件级别的检测，是基于不可信元件的可信计算，是最后一道防线。主要有TPM (受信任的平台模块)、安全启动 (Secure Boot)、远程验证 (Remote Attestation)、封装 (Sealing)组成。
  
      ④分割制造：字面意思，降低代工厂的不可信水平
  

第六章 电子供应链

本章主要讲述电子供应链上的安全隐患及应对措施。

一、安全隐患

• 1、硬件木马
• 2、CAD工具：CAD 工具只注意可能无意间引入漏洞,CAD 设计主要考虑传统指标（如面积、产量、可测试性），而忽略了安全性。
• 3、测试/调试工具：无法避免其在电子元件上的使用，但其允许攻击者观察或控制其内部状态。

二、信任问题

• 1、IP滥用：即生产超过约定数量的元件
• 2、IP盗版：非法复制和修改
• 3、零件不合格：
• 4、集成电路****逆向工程：RE
• 5、文档伪造：即数据造假
• 6、集成电路再标记、回收：放图

三、对策

• 1、木马检测、安全检查：

• 2、IP加密：

      ①硬件锁：硬件锁通常是一个外部USB设备，其内部包含了一个芯片，这个芯片具有独特的识别码、加密功能和存储能力。软件开发者可以将授权信息、加密算法和关键数据存储到硬件锁中，然后将这些功能与其开发的软件绑定在一起。软件启动时，会与连接的硬件锁进行通信，验证硬件锁的身份。这通常包括向硬件锁发送请求，硬件锁返回唯一的识别码供软件进行验证。只有在硬件锁通过验证后，软件才会继续运行。
  
      ②时间锁：类似硬件锁，通常与硬件锁结合使用。
  
      ③追踪/水印技术：将特定的标识信息嵌入到IP中，以便在未经授权使用的情况下进行追踪。提取水印后进行水印比对，例如物理不可克隆函数（Physical Unclonable Function, PUF）利用微小的物理变异来生成唯一的标识信息。这些微小的变异是由制造过程中的随机性和不均匀性引起的，使得每个硬件实例都具有独特的特性。PUF可以用于实现设备的唯一标识、认证和密钥生成。
  

• 3、电气测试、物理检查

---

第七章 硬件 IP 盗版和逆向工程

一、硬件 IP

不再赘述

二、FPGA 的安全问题

• 1、FPGA 的设计：

      ①将总设计拆分成小段，每一段都适合于FPGA内部特定的可编程硬件元件，随后合成，输出一个门级网表
  
      ②将几个门合并成一个LUT(以十六进制显示）作为配置位，放置并路由该网表
  
      ③配置位连接成一个文件，即位流
  

• 2、FPGA 系统的生命周期：与硬件 IP 类似

三、FPGA 位流攻击

• 1、IP窃取

      ①克隆：配置不当导致可实现位流回读；基于SRAM的电子探针拦截位流传输的位流探测；窃取解密密钥
  
      ②位流逆向工程：厂商没有标准化位流格式，逆向难度较大
  
      ③IP滥用：#
  

• 2、IP篡改：

      ①故障注入：有意引入系统的故障来削弱或破坏目标系统的功能、机密性、完整性或可用性。这种攻击方法通常是为了绕过系统的安全措施、窃取敏感信息或造成系统崩溃。故障注入攻击可以利用系统对故障的不恰当处理来获得攻击者所需的结果。
  
      ②直接篡改：篡改未加密的位流以实现硬件木马，重点修改未使用的资源（常为一串0，有助于轻松修改）
  
      ③硬件木马：#
  
      ④未经授权的重新编程：字面意思
  

---

第八章 侧信道攻击

侧信道攻击（Side-Channel Attack，SCA）是一种利用系统在运行过程中产生的辅助信息（侧信道）来获取敏感信息的攻击方式。侧信道攻击通过分析系统在其他方面的物理特性，如功耗、电磁辐射、执行时间等，来获得额外的信息，从而窃取敏感数据。测信道攻击对加密设备，尤其是智能卡和物联网设备构成重大威胁。

一、侧信道攻击的历史

二、功率分析攻击

需要对设备进行物理访问，主要用于提取密码系统的密钥，分为简单功率分析(SPA)、差分功率分析(DPA)、相关功率分析(CPA）等。功率跟踪指分析过程中捕获的每个功率信号

• 1、功率消耗侧信道泄露的来源：影响设备功率的因素有两个：动态功率、漏功率（无用）。动态功率由器件内晶体管开关活动引起。e.g.：逆变器功率 $P_{10}$和$P_{01}$产生的功率远大于$P_{00}$和$P_{11}$，后两者功率消耗约等于 0。
• 2、功率信号采集：将示波器连接在电源和目标器件的 Vdd 或 Gnd 引脚之间的精密电阻，测量其的压降。利用算法消除噪声，使信号清晰。
• 3、简单功率分析 （Simple Power Analysis - SPA）：通过目视观察即可直观的识别出信息。
• 4、差分功率分析 （Differential Power Analysis - DPA ）：

用于窃取密码设备或加密系统中的秘密信息，如密钥。DPA 利用了加密设备在执行加密操作时所消耗的电力或功率的变化，以及这些变化与密钥相关的关系。DPA 的基本思想是通过测量设备在不同密钥值下的电力消耗来分析其差异。当设备执行加密操作时，其电路状态和开关活动会因密钥的不同而产生微小的变化，进而影响电力消耗。从而通过对比不同操作状态下产生的信号差异来获取敏感信息。

• 5、对策：

1. 噪音引入：在设备的电路中引入噪音可以使功耗模式变得更加复杂，从而减少攻击者分析的准确性。这可以通过在电路中添加噪音电路、频率变化电路等方式实现。
2. 电源噪音过滤：通过使用电源噪音过滤器可以减少来自电源的干扰，从而使功耗数据更加干净，难以分析。这有助于降低攻击的成功率。
3. 随机化操作：在加密操作中引入随机性，使每次操作的功耗模式不同。这会使攻击者难以从多次操作中获取一致的功耗模式。
4. 硬件隔离：将敏感的加密操作或密钥存储在物理隔离的硬件模块中，以减少攻击者通过功耗分析获取信息的可能性。
5. 功耗平衡技术：在执行加密操作时，通过控制电路的开关活动和功耗分布，使得不同操作之间的功耗变化相对均匀。这样攻击者难以分辨不同操作之间的功耗模式。
6. 使用低功耗算法：选择使用低功耗的加密算法，这样攻击者获取的功耗数据中的变化会更加微弱，难以分析。
7. 协议级防御：在通信协议中引入随机性、模糊性，或者使用对抗攻击的防御策略，从而使攻击者难以从通信流量中获取有用的信息。
8. 密钥分割和散列：将密钥分成多个部分，在执行加密操作时，只有部分密钥被用到，从而减少攻击者获取完整密钥的可能性。

三、电磁侧信道攻击

电磁测信道攻击主要测量运行中集成电路发出的电磁波，通过电磁分析能够捕捉空间信息，识别电磁信号位置。电磁信号可以通过近场探头或天线截取，并转化为电流信号。去除噪声后限制频带即可应用于电磁分析。

• **1、简单电磁分析(Simple Electromagnetic Analysis - SEMA) **：在简单电磁分析（SEMA）攻击中，攻击者通过观察痕迹直接推断出密钥。它对于非对称加密实现非常有效。通常，只需要一些痕迹，尽管攻击者需要对加密设备和加密算法的实现有深入的了解。易受 SEMA 攻击的实现将根据该位是否执行不同的操作密钥的值是 0 或 1，这将使用不同的功率和/或不同的芯片组件。
• 2、差分电磁分析（Differential Electromagnetic Analysis - DEMA）：差分电磁分析 (DEMA) 攻击更为复杂，但对于对称加密实现有效。差分体现在对设备在不同操作状态下产生的电磁泄漏信号的比较上。
• 3、对策：与应对功率分析的对策基本一致

四、故障注入技术

故障注入攻击 (Fault Injection Attack) 是一种攻击手段，通过引入故障来改变系统的正常运行，从而达到攻击目的。这种攻击方法通常针对硬件组件，但也可以针对软件。故障注入可以通过多种方式实现，例如通过电磁干扰、电压变化、温度变化或特定的软件指令。

• 1、 常见的故障注入攻击方法：

  1. 电压毛刺：基本的故障注入技术，通过产生电压的异常（例如尖端放电）来实现故障。
  2. 温度注入：通过改变设备的温度，引起设备的故障。
  3. 电磁注入：使用强磁场干扰设备的电子信号，会均匀的影响整个电路。
  4. 篡改时钟引脚：通过干扰系统时钟，发送故障的时钟信号，引发设备的故障。
  5. 软件注入：利用软件漏洞或特定的指令序列来引发故障。

• 2、对策：

  1. 基于关键操作的复制：重复加密操作，并比较两个输出，若不同则系统进入故障注入防御状态。复制可以在时间和空间上完成。空间复制即利用冗余的电路块来重新计算特定的加密任务；时间复制即在不同时间执行重新计算。
  2. 基于错误检测方案：当设备检测到系统在故障中运行时，将会禁用设备的关键功能。（效率较低）

五、时序攻击

时序攻击（Timing Attack）是基于目标系统响应时间的测量来获取有关其内部操作的信息。通过分析这些时序信息，攻击者可能能够推导出加密密钥或其他敏感信息。

时序攻击的基本思路是：当计算机执行不同的操作时，所需的时间可能会有所不同。例如，某些密码算法在处理特定的输入或特定的密钥部分时可能需要更长或更短的时间。攻击者可以通过测量处理不同输入时的响应时间来获得有关系统内部操作的信息。通常与其他方法共同使用。

1、时序攻击的例子：

2、如何防御时序攻击：

六、隐蔽信道

"隐蔽信道"（Covert Channel）是一个计算机安全术语，指的是在计算机系统中，不被预期用于通信的途径或机制被用于传递信息。这种通信途径可能会被攻击者用于绕过安全策略或机制，从而秘密地传输信息。隐蔽信道常常是安全体系中的一个难以处理的问题，因为它们常常利用了正常操作或功能的副作用来传递信息。较难利用。

1、隐蔽信道的类型：

---

第九章 面向测试的攻击

可测试性和安全性本质上是相互矛盾的。安全性依赖于使信息变得模糊和难以理解。扫描可以将电路设置为任何状态，并将芯片停止在任何中间状态进行分析，扫描链成为密码分析容易利用的测信道。

一、基于扫描的攻击

• 1、基于扫描的可观测性攻击：可以随时获取系统快照，寻找重要寄存器，从而获得密钥。
• 2、基于扫描的可观测性/可控性攻击：除了方法一外，还能使扫描链成为故障注入攻击点，使得攻击很容易重复。
• 3、威胁模型：扫描辅助差分攻击
  
• 4、防御策略 ： 动态模糊测试、低成本安全扫描、开发锁、扫描接口加密（加密输出）

二、基于 JTAG（边界扫描）的攻击

JTAG（Joint Test Action Group）是一种用于测试和调试电子设备的标准接口，通常用于在生产和维护过程中进行测试、调试和编程。

• 1、JTAG攻击：JTAG 不知道芯片对外部命令的反应，JTAG 很容易在软件层面被控制。例如绕过 Xbox 的认证和入侵 iPhone 等。

• 2、JTAG防御：
  1、使用后销毁 JTAG
  2、JTAG 密码保护

  3、将 JTAG 隐藏在系统控制器后

---

第十章 逆向工程（物理攻击与对策）

逆向工程（Reverse Engineering）是一种通过分析已有的产品、软件或系统，来了解其设计、功能和工作原理的过程。逆向工程可以应用在各种领域，包括软件、硬件、网络和电子设备等。

一、芯片级逆向工程

芯片通常由裸片、引线框架、引线接合和成型封装材料组成。通常使用倒装芯片的方法，其中的电气连接靠导电溶胶来实现。在芯片级，逆向工程的目标是找到封装材料、引线接合、不同的金属层、触点、通孔和有源层及金属层之间的互联。

• 1、解封装：

芯片解封装是将芯片封装材料（如塑料或陶瓷）移除，暴露出内部电路和结构的过程。这允许对芯片的内部设计、功能和连接进行详细分析和研究，通常用于逆向工程、芯片验证和安全研究。解封装需要使用化学、热或机械方法，但需要注意可能会破坏芯片样本。

• **2、分层 **：

现代芯片由几个金属层、钝化层、通孔、触点、多晶硅和有源层组成。逆向工程师必须对芯片进行横截面成像，使用 SEM 或 TEM 来识别层数、金属材料、层厚、通孔和触点。横截面成像的知识非常关键(即层的厚度)，因为它决定了分层必须如何进行。

• 3、成像：即拍照、X 光

• 4、后处理：

      ①图像处理：形成各层的图像
  
      ②注释：记录晶体管等元件位置，各层的互联、通孔和触点。
  
      ③门级原理图提取
  
      ④从门级原理图中提取高级网表
  

二、芯片级反逆向工程

• 1、伪装：布局层次的技术，例如单元伪装和虚拟触点。让攻击者无法识别其功能。
• 2、混淆：通过内部设计转换某元件功能，实现混淆

三、探测攻击

描述

探测攻击是一种通过观察芯片的物理硅实现来绕过安全措施的侵入方法。作为一种侵入式攻击，攻击者可以直接访问目标设备的内部线路和连接并提取敏感信息。与逆向工程相结合，这构成了严重的威胁。典型的探测攻击将从解封装开始，以暴露硅芯片。完成后，攻击者就可以开始对设备进行逆向工程。通过提取网表，人们可以开始了解功能并识别目标信号。一旦攻击者找到目标信号并将其映射到设备上的坐标，他们就可以开始铣削。通过铣削，它们暴露了设备的内部电线。然后他们可以形成电气连接并开始提取信息。为了防止此类攻击，设计人员必须识别可能的目标并采取适当的措施。此类目标的示例包括：

• 加密密钥
• 固件和配置比特流
• 设备上受保护的数据
• 加密随机数

一些常见的对策包括屏蔽和 T 专用电路。屏蔽层包含一层电线，其信号被监控以防止铣削引起的干扰。T 专用电路旨在按顺序分割信号，或者通过要求攻击者使用 t + 1 个探测器来提取 1 位信息来耗尽攻击者的资源。其他方法包括用于检测解封的光传感器和用于防止重复模式的扰线信号。

四、侵入性故障注入

聚焦离子束（FIB）是最精确和最强大的故障注入技术之一，攻击者可以编辑电路、重建丢失的总线、切断现有的导线，其工作精度为 1nm。

---

第十一章 PCB 攻击：安全挑战和脆弱性

一、现场更改 PCB

中断或恶意更改 PCB 的功能。例如：在 PCB 信号线上添加电容使其电气连接中断、将 PCB 信号轨迹的宽度变窄以增加其电阻、外接恶意 IC、通过重新连接路由电路以避开或替换安全块等。

二、破解芯片攻击

破解芯片攻击是现场更改 PCB 的重要应用。例如绕过 Xbox 的安全检测。

第十二章 硬件安全原语

第十三章 安全评估与安全设计

第十四章 硬件混淆

第十五章 PCB 认证和完整性验证

第十六章 系统级攻击和防御对策

本章内容重复过多，不再展开。

三、对策

• 1、木马检测、安全检查：

      ①
  
      ②
  
      ③
  
      ④
  
      ⑤
  

• 2、信任设计：

      ①
  
      ②
  
      ③
  
      ④
  
      ⑤