基於電磁信號遠程激活硬體木馬的裝置的製作方法

2023-05-29 09:32:16

本發明涉及硬體木馬技術，具體講,涉及基於電磁信號遠程激活硬體木馬的裝置。

背景技術：

隨著信息社會的發展，集成電路在人們日常生活中得到了越來越廣泛的應用，無論是手機、電腦以及其他一些家電中的晶片都需要經過一系列的集成電路生產流程。這其中不乏包含一些不可信的因素，例如晶片生產製造或者版圖製作過程中都可能被植入硬體木馬[1]。硬體木馬是植入正常電路內的冗餘結構，可以實現竊取晶片內部信息或者破壞晶片原有功能等攻擊行為。

晶片中植入的硬體木馬為了更好地保持隱蔽不被使用者發現，平時一般處於靜默狀態，即不產生攻擊行為。只有當木馬被激活後，才可以實現其破壞功能[2]。目前常見的硬體木馬激活方式包括監視晶片某個輸入，當其輸入某個特定序列後激活，或者晶片上電等待一段時間後自動激活。

這些激活方式存在的缺陷一是木馬的激活時間不易或者根本不受攻擊者控制，攻擊者無法在特定的時刻對晶片進行攻擊。第二是攻擊者無法遠程進行木馬的激活，這樣可以更隱蔽而不被使用者發現。

參考文獻

1、Agrawal D,Baktir S,Karakoyunlu D,et al.Trojan Detection using IC Fingerprinting[C]//IEEE Symposium on Security and Privacy.IEEE Computer Society,2007:296–310。

2、Chakraborty R S,Narasimhan S,Bhunia S.Hardware Trojan:Threats and emerging solutions[J].2009:166-171。

3、謝昆諾夫.電磁波[M].人民郵電出版社,1959。

技術實現要素：

為克服現有技術的不足，本發明旨在提供為植入電路當中的硬體木馬提供遠程激活的結構，可根據應用場景需要改變激活所需的電磁信號，與原有電路進行很好的融合，在使用者不知情的情況下實現電路中硬體木馬的激活。本發明採用的技術方案是，基於電磁信號遠程激活硬體木馬的裝置，結構是：由奇數個反相器級聯形成環形振蕩器；振蕩器經起緩衝作用的反相器B輸出振蕩信號，一路所述振蕩信號直接輸入到組合邏輯延時比較結構Trig1中，另一路所述振蕩信號經過反相器C的反向，輸入到另一個組合邏輯延時比較結構Trig2中；實現延時功能的組合邏輯D1和觸發器E1組成了Trig1，實現延時功能的組合邏輯D2和觸發器E2組成了Trig2；兩個Trig的輸出經過一個或門F得到最終的硬體木馬觸發信號Trig。

每個反相器由一個NMOS電晶體和一個PMOS電晶體構成，兩個電晶體的柵極連在一起作為輸入，漏極連在一起作為輸出，當輸入是高電平時，NMOS管導通而PMOS管截止，輸出被拉到地；當輸入是低電平時，PMOS管導通而NMOS管截止，輸出被拉到高電平，因而能夠實現對輸入反相的功能；設每級延時電路的延遲時間為td，電路由N級構成，故其總的延時時間為N*td，由於反相的次數為180度的奇數倍，故要完成一個周期的振蕩的時間為2*N*td；由於周期與頻率互為倒數關係，所以環形振蕩器的頻率表示為

本發明的特點及有益效果是：

能夠有效地進行遠距離硬體木馬觸發，該結構簡單易用，而且面積小，可以根據電路需要選擇接收一定序列的電磁信號之後再進行硬體木馬的觸發，提高其穩定性與隱蔽性。

附圖說明：

圖1基於電磁信號遠程激活硬體木馬的結構。

圖2反相器結構。

圖3組合邏輯延時比較結構原理示意圖。

具體實施方式

本發明使用一種基於組合邏輯延時的結構配合環形振蕩器作為遠程激活硬體木馬的觸髮結構，設計了可以進行遠程硬體木馬激活的結構。

考慮到電磁信號具有遠距離傳播的能力[3]，因此本發明基於電磁輻射和探測基本原理設計了一種遠程激活硬體木馬的結構。

1.本發明提出的遠程激活硬體木馬的觸髮結構以延時比較結構和環形振蕩器為核心，將其植入原始電路中構成最終結構。

如圖1所示，是基於電磁信號的遠程激活硬體木馬的結構示意圖，A1、A2、A3、A4、A5為5個反相器，級聯形成環形振蕩器。反相器B起到緩衝的作用，輸出的振蕩信號一路直接輸入到組合邏輯延時比較結構Trig2中，另一路經過反相器C的反向，輸入到另一個組合邏輯延時比較結構Trig1中。實現延時功能的組合邏輯D1和觸發器E1組成了Trig1，其中D1結構由延時緩衝器Delay BUF構成，D1的輸出信號連接到觸發器E1的時鐘輸入端Clk，組合邏輯D2和觸發器E2組成了Trig2，其中D2結構由延時緩衝器Delay BUF構成，D2的輸出信號連接到觸發器E2的時鐘輸入端Clk。兩個Trig的輸出經過一個或門F得到最終的硬體木馬觸發信號Trig。

2.外部注入電磁信號對遠程硬體木馬觸髮結構的影響原理

利用線圈中通過上升沿為納秒級的脈衝電流,在脈衝電流的激勵下，線圈中產生感應脈衝磁場，該磁場以介質磁化的方式向外傳播，從而對線圈附近的電路晶片造成影響。當線圈中通以穩恆電流時，根據畢奧薩伐爾定律，線圈上任取一點Q，電流密度為(單位A/m2)，則空間任意一點P的磁場：

<![CDATA[ B = μ 0 4 π j × Q P | Q P | dU Q ]]>

其中為磁感應強度(單位T)，μ0為真空磁導率，其值為4π×10-7Hm，dUQ為線圈在Q點處的微分。雖然進行遠程硬體木馬激活時，通入的是脈衝電流，直流激勵的磁場情況可以代表脈衝激勵穩定時的情況，穩定時線圈中心的磁場為：

<![CDATA[ B = μ 0 2 a 2 I ( a 2 + z 2 ) 3 / 2 ]]>

其中和μ0與上面相同，a為線圈的半徑(單位m)，I為脈衝穩定時的電流(單位A)，z為距離線圈中心的長度(單位m)。

由上式可見，當線圈中流過電流後，線圈中的磁感強度與電流成正比，因而，電流的方程和波形與磁場的方程和波形只差一個比例因子。比例因子只與線圈的結構有關，當線圈固定後，這個因子是一個常數。因此，磁場是一個非周期的脈衝波形。

任何處於電磁場中的導體都能感應出電壓。當電路晶片被置於這樣的電磁環境中時，耦合到電路的電磁場能量會造成一個大的電壓或電流脈衝，而晶片中的供電線路組成的環是主要受到電磁影響的部分。當產生的電磁脈衝信號進行硬體木馬激活時，磁場探頭和電路之間的電感耦合可以用互感係數來表示：

<![CDATA[ M 12 = φ 2 I 1 I 2 = 0 = μ S H i d S I 1 ]]>

上式中M12為互感係數(單位H)，φ2為穿過導體2的磁通量(單位Wb)，I1為導體1的電流(單位A)，I2為導體2的電流(單位A)，μ為磁導率(單位H/m)，為垂直於導體2的磁場強度分量(單位H)，為導體2的面元微分。

假定耦合到電源線，會造成輸出有一個高低之間的跳變。這裡，「耦合」的概念指的是電路、設備、系統與其它電路、設備、系統之間的電能量聯繫，耦合起著把電磁能量從一個電路、設備、系統「傳輸」到另一個電路、設備、系統的作用。電路中的電源網絡是最容易受到電磁幹擾的部分，該磁通量會在電源網絡上產生感應電動勢。這樣一個電磁線圈會在電路中產生電壓降(IR drop)。

另外，當電磁脈衝通過不同耦合渠道在晶片輸入端產生的電壓或電流高達一定程度時，可導致輸出端邏輯值改變，即由1變為0或相反，利用這種改變可以作為硬體木馬的觸發信號。

3.環形振蕩器檢測電磁信號進而觸發硬體木馬激活原理

本發明中，使用由多個基本反相器單元進行環形相連的方式，來構成環形振蕩器。單個反相器結構如圖2所示。

每個反相器由一個NMOS電晶體和一個PMOS電晶體構成，兩個電晶體的柵極連在一起作為輸入，漏極連在一起作為輸出。當輸入是高電平時，NMOS管導通而PMOS管截止，輸出被拉到地；當輸入是低電平時，PMOS管導通而NMOS管截止，輸出被拉到高電平，因而可以實現對輸入反相的功能。設每級延時電路的延遲時間為td，電路由N級構成，故其總的延時時間為N*td。由於反相的次數為180度的奇數倍，故要完成一個周期的振蕩的時間為2*N*td。由於周期與頻率互為倒數關係，所以環形振蕩器的頻率可以表示為通過將反相器首尾相連可以構成環形振蕩器。如果有奇數個反相器級聯，那麼最後一級的反相器輸出與第一級的反相器輸入正好極性相反，這樣連接起來可以產生振蕩。如果有偶數個反相器級聯，那麼最後一級的反相器輸出與第一級的反相器輸入極性相同，電路穩定不會產生振蕩。因此本發明中需要採用奇數個反相器級聯構成環形振蕩器。

電磁脈衝信號主要影響到集成電路的電源網絡，會導致供電電壓升高，進而產生一系列的影響，比如導致CMOS門電路的延時td減小，根據這種原理，在脈衝影響的短時間內，環形振蕩器的頻率會由於電磁脈衝信號而改變。

另外電磁輻射最強的地方，也往往是對電磁幹擾最敏感的地方(例如金屬線相互交叉形成環的位置，相當於接收電磁信號的探頭)。而環形振蕩器會輻射較強的與振蕩信號同頻的電磁信號，因此設計採用環形振蕩器來探測電磁脈衝信號進而觸發硬體木馬激活。

4.組合邏輯延時比較結構的工作原理

上述環形振蕩器，或者由於電磁脈衝耦合到電源線造成電壓的變化，進而造成輸出波形發生變化；或者由於電磁脈衝直接耦合到輸出端，在輸出信號上，有與幹擾信號同頻的信號疊加上去。這種變化體現為毛刺的形式，而這種毛刺可以被本發明中的延時比較結構檢測到。

假定電路正常工作未接收到電磁觸發信號時，環形振蕩器的輸出頻率為f0，因此其周期為1/f0。調整圖1中組合邏輯D1和D2的延時為周期的3/4,也就是3/4f0。因此當電路晶片未接收到電磁觸發信號時，對於Trig1，D觸發器的時鐘是對輸入信號的3/4延時，所以時鐘信號的上升沿採樣到的數據均為低電平，D觸發器的輸出為低電平。對於Trig2，與此同理，輸出也為低電平。因此經過或門F之後，觸發信號Trig也為低電平。木馬電路接收到這個信號，不激活。

然後假定有電磁脈衝信號，由於前述兩種原因，會造成輸出信號產生毛刺。由於啟動激活時間的不同，產生的毛刺對於原始振蕩信號的相對位置關係會有所不同。圖3中D1是Trig1的D觸發器的輸入數據信號，C1是Trig1的D觸發器的輸入時鐘信號，D2是Trig2的D觸發器的輸入數據信號，C2是Trig2的D觸發器的輸入時鐘信號。由圖中虛線所示，C1的上升沿可以採到D1信號的高電平，因此Trig1可以檢測到，其他情形下，Trig2可以檢測到。因此木馬觸髮結構中同時採用了Trig1和Trig2，並將它們的輸出信號進行或運算，得到最終的觸發信號。

使用前先確定觸發所需接收到的一系列的電磁脈衝信號，然後根據電路總體面積、電路空餘面積以及所需硬體木馬隱蔽程度這三項參數確定所需硬體木馬遠程觸發具體結構，將其植入原始電路之中。本發明的保護範圍並不以上述實施方式為限，本領域普通技術人員根據本發明所揭示內容所作的等效修飾或變化，皆應納入保護範圍。