CN106301292A

CN106301292A - 基于电磁信号远程激活硬件木马的装置

Info

Publication number: CN106301292A
Application number: CN201610682887.6A
Authority: CN
Inventors: 赵毅强; 何家骥; 刘阿强; 李跃辉
Original assignee: Tianjin University
Current assignee: Tianjin University
Priority date: 2016-08-16
Filing date: 2016-08-16
Publication date: 2017-01-04

Abstract

本发明涉及硬件木马技术，为提供植入式硬件木马远程激活的结构，可根据应用场景需要改变激活所需的电磁信号，本发明：基于电磁信号远程激活硬件木马的装置，结构是：由奇数个反相器级联形成环形振荡器；振荡器经起缓冲作用的反相器B输出振荡信号，一路所述振荡信号直接输入到组合逻辑延时比较结构Trig1中，另一路所述振荡信号经过反相器C的反向，输入到另一个组合逻辑延时比较结构Trig2中；实现延时功能的组合逻辑D1和触发器E1组成了Trig1，实现延时功能的组合逻辑D2和触发器E2组成了Trig2；两个Trig的输出经过一个或门F得到最终的硬件木马触发信号Trig。本发明主要应用于硬件木马的设计。

Description

基于电磁信号远程激活硬件木马的装置

技术领域

本发明涉及硬件木马技术，具体讲,涉及基于电磁信号远程激活硬件木马的装置。

背景技术

随着信息社会的发展，集成电路在人们日常生活中得到了越来越广泛的应用，无论是手机、电脑以及其他一些家电中的芯片都需要经过一系列的集成电路生产流程。这其中不乏包含一些不可信的因素，例如芯片生产制造或者版图制作过程中都可能被植入硬件木马[1]。硬件木马是植入正常电路内的冗余结构，可以实现窃取芯片内部信息或者破坏芯片原有功能等攻击行为。

芯片中植入的硬件木马为了更好地保持隐蔽不被使用者发现，平时一般处于静默状态，即不产生攻击行为。只有当木马被激活后，才可以实现其破坏功能[2]。目前常见的硬件木马激活方式包括监视芯片某个输入，当其输入某个特定序列后激活，或者芯片上电等待一段时间后自动激活。

这些激活方式存在的缺陷一是木马的激活时间不易或者根本不受攻击者控制，攻击者无法在特定的时刻对芯片进行攻击。第二是攻击者无法远程进行木马的激活，这样可以更隐蔽而不被使用者发现。

参考文献

1、Agrawal D,Baktir S,Karakoyunlu D,et al.Trojan Detection using ICFingerprinting[C]//IEEE Symposium on Security and Privacy.IEEE ComputerSociety,2007:296–310。

2、Chakraborty R S,Narasimhan S,Bhunia S.Hardware Trojan:Threats andemerging solutions[J].2009:166-171。

3、谢昆诺夫.电磁波[M].人民邮电出版社,1959。

发明内容

为克服现有技术的不足，本发明旨在提供为植入电路当中的硬件木马提供远程激活的结构，可根据应用场景需要改变激活所需的电磁信号，与原有电路进行很好的融合，在使用者不知情的情况下实现电路中硬件木马的激活。本发明采用的技术方案是，基于电磁信号远程激活硬件木马的装置，结构是：由奇数个反相器级联形成环形振荡器；振荡器经起缓冲作用的反相器B输出振荡信号，一路所述振荡信号直接输入到组合逻辑延时比较结构Trig1中，另一路所述振荡信号经过反相器C的反向，输入到另一个组合逻辑延时比较结构Trig2中；实现延时功能的组合逻辑D1和触发器E1组成了Trig1，实现延时功能的组合逻辑D2和触发器E2组成了Trig2；两个Trig的输出经过一个或门F得到最终的硬件木马触发信号Trig。

每个反相器由一个NMOS晶体管和一个PMOS晶体管构成，两个晶体管的栅极连在一起作为输入，漏极连在一起作为输出，当输入是高电平时，NMOS管导通而PMOS管截止，输出被拉到地；当输入是低电平时，PMOS管导通而NMOS管截止，输出被拉到高电平，因而能够实现对输入反相的功能；设每级延时电路的延迟时间为t_d，电路由N级构成，故其总的延时时间为N*t_d，由于反相的次数为180度的奇数倍，故要完成一个周期的振荡的时间为2*N*t_d；由于周期与频率互为倒数关系，所以环形振荡器的频率表示为

本发明的特点及有益效果是：

能够有效地进行远距离硬件木马触发，该结构简单易用，而且面积小，可以根据电路需要选择接收一定序列的电磁信号之后再进行硬件木马的触发，提高其稳定性与隐蔽性。

附图说明：

图1基于电磁信号远程激活硬件木马的结构。

图2反相器结构。

图3组合逻辑延时比较结构原理示意图。

具体实施方式

本发明使用一种基于组合逻辑延时的结构配合环形振荡器作为远程激活硬件木马的触发结构，设计了可以进行远程硬件木马激活的结构。

考虑到电磁信号具有远距离传播的能力[3]，因此本发明基于电磁辐射和探测基本原理设计了一种远程激活硬件木马的结构。

1.本发明提出的远程激活硬件木马的触发结构以延时比较结构和环形振荡器为核心，将其植入原始电路中构成最终结构。

如图1所示，是基于电磁信号的远程激活硬件木马的结构示意图，A1、A2、A3、A4、A5为5个反相器，级联形成环形振荡器。反相器B起到缓冲的作用，输出的振荡信号一路直接输入到组合逻辑延时比较结构Trig2中，另一路经过反相器C的反向，输入到另一个组合逻辑延时比较结构Trig1中。实现延时功能的组合逻辑D1和触发器E1组成了Trig1，其中D1结构由延时缓冲器Delay BUF构成，D1的输出信号连接到触发器E1的时钟输入端Clk，组合逻辑D2和触发器E2组成了Trig2，其中D2结构由延时缓冲器Delay BUF构成，D2的输出信号连接到触发器E2的时钟输入端Clk。两个Trig的输出经过一个或门F得到最终的硬件木马触发信号Trig。

2.外部注入电磁信号对远程硬件木马触发结构的影响原理

利用线圈中通过上升沿为纳秒级的脉冲电流,在脉冲电流的激励下，线圈中产生感应脉冲磁场，该磁场以介质磁化的方式向外传播，从而对线圈附近的电路芯片造成影响。当线圈中通以稳恒电流时，根据毕奥萨伐尔定律，线圈上任取一点Q，电流密度为(单位A/m²)，则空间任意一点P的磁场：

\overset{&RightArrow;}{B} = \frac{μ_{0}}{4 π} &Integral; \frac{\overset{&OverBar;}{j} \times \overset{&RightArrow;}{Q P}}{| \overset{&RightArrow;}{Q P} |} {dU}_{Q}

其中为磁感应强度(单位T)，μ₀为真空磁导率，其值为4π×10^-7Hm，dU_Q为线圈在Q点处的微分。虽然进行远程硬件木马激活时，通入的是脉冲电流，直流激励的磁场情况可以代表脉冲激励稳定时的情况，稳定时线圈中心的磁场为：

\overset{&RightArrow;}{B} = \frac{μ_{0}}{2} \frac{a^{2} I}{{(a^{2} + z^{2})}^{3 / 2}}

其中和μ₀与上面相同，a为线圈的半径(单位m)，I为脉冲稳定时的电流(单位A)，z为距离线圈中心的长度(单位m)。

由上式可见，当线圈中流过电流后，线圈中的磁感强度与电流成正比，因而，电流的方程和波形与磁场的方程和波形只差一个比例因子。比例因子只与线圈的结构有关，当线圈固定后，这个因子是一个常数。因此，磁场是一个非周期的脉冲波形。

任何处于电磁场中的导体都能感应出电压。当电路芯片被置于这样的电磁环境中时，耦合到电路的电磁场能量会造成一个大的电压或电流脉冲，而芯片中的供电线路组成的环是主要受到电磁影响的部分。当产生的电磁脉冲信号进行硬件木马激活时，磁场探头和电路之间的电感耦合可以用互感系数来表示：

M_{12} = {\frac{φ_{2}}{I_{1}}}_{I_{2} = 0} = \frac{μ \cdot \underset{S}{&Integral;} \overset{&RightArrow;}{H_{i}} \cdot d \overset{&RightArrow;}{S}}{I_{1}}

上式中M12为互感系数(单位H)，φ₂为穿过导体2的磁通量(单位Wb)，I1为导体1的电流(单位A)，I2为导体2的电流(单位A)，μ为磁导率(单位H/m)，为垂直于导体2的磁场强度分量(单位H)，为导体2的面元微分。

假定耦合到电源线，会造成输出有一个高低之间的跳变。这里，“耦合”的概念指的是电路、设备、系统与其它电路、设备、系统之间的电能量联系，耦合起着把电磁能量从一个电路、设备、系统“传输”到另一个电路、设备、系统的作用。电路中的电源网络是最容易受到电磁干扰的部分，该磁通量会在电源网络上产生感应电动势。这样一个电磁线圈会在电路中产生电压降(IR drop)。

另外，当电磁脉冲通过不同耦合渠道在芯片输入端产生的电压或电流高达一定程度时，可导致输出端逻辑值改变，即由1变为0或相反，利用这种改变可以作为硬件木马的触发信号。

3.环形振荡器检测电磁信号进而触发硬件木马激活原理

本发明中，使用由多个基本反相器单元进行环形相连的方式，来构成环形振荡器。单个反相器结构如图2所示。

每个反相器由一个NMOS晶体管和一个PMOS晶体管构成，两个晶体管的栅极连在一起作为输入，漏极连在一起作为输出。当输入是高电平时，NMOS管导通而PMOS管截止，输出被拉到地；当输入是低电平时，PMOS管导通而NMOS管截止，输出被拉到高电平，因而可以实现对输入反相的功能。设每级延时电路的延迟时间为t_d，电路由N级构成，故其总的延时时间为N*t_d。由于反相的次数为180度的奇数倍，故要完成一个周期的振荡的时间为2*N*t_d。由于周期与频率互为倒数关系，所以环形振荡器的频率可以表示为通过将反相器首尾相连可以构成环形振荡器。如果有奇数个反相器级联，那么最后一级的反相器输出与第一级的反相器输入正好极性相反，这样连接起来可以产生振荡。如果有偶数个反相器级联，那么最后一级的反相器输出与第一级的反相器输入极性相同，电路稳定不会产生振荡。因此本发明中需要采用奇数个反相器级联构成环形振荡器。

电磁脉冲信号主要影响到集成电路的电源网络，会导致供电电压升高，进而产生一系列的影响，比如导致CMOS门电路的延时t_d减小，根据这种原理，在脉冲影响的短时间内，环形振荡器的频率会由于电磁脉冲信号而改变。

另外电磁辐射最强的地方，也往往是对电磁干扰最敏感的地方(例如金属线相互交叉形成环的位置，相当于接收电磁信号的探头)。而环形振荡器会辐射较强的与振荡信号同频的电磁信号，因此设计采用环形振荡器来探测电磁脉冲信号进而触发硬件木马激活。

4.组合逻辑延时比较结构的工作原理

上述环形振荡器，或者由于电磁脉冲耦合到电源线造成电压的变化，进而造成输出波形发生变化；或者由于电磁脉冲直接耦合到输出端，在输出信号上，有与干扰信号同频的信号叠加上去。这种变化体现为毛刺的形式，而这种毛刺可以被本发明中的延时比较结构检测到。

假定电路正常工作未接收到电磁触发信号时，环形振荡器的输出频率为f0，因此其周期为1/f₀。调整图1中组合逻辑D1和D2的延时为周期的3/4,也就是3/4f₀。因此当电路芯片未接收到电磁触发信号时，对于Trig1，D触发器的时钟是对输入信号的3/4延时，所以时钟信号的上升沿采样到的数据均为低电平，D触发器的输出为低电平。对于Trig2，与此同理，输出也为低电平。因此经过或门F之后，触发信号Trig也为低电平。木马电路接收到这个信号，不激活。

然后假定有电磁脉冲信号，由于前述两种原因，会造成输出信号产生毛刺。由于启动激活时间的不同，产生的毛刺对于原始振荡信号的相对位置关系会有所不同。图3中D1是Trig1的D触发器的输入数据信号，C1是Trig1的D触发器的输入时钟信号，D2是Trig2的D触发器的输入数据信号，C2是Trig2的D触发器的输入时钟信号。由图中虚线所示，C1的上升沿可以采到D1信号的高电平，因此Trig1可以检测到，其他情形下，Trig2可以检测到。因此木马触发结构中同时采用了Trig1和Trig2，并将它们的输出信号进行或运算，得到最终的触发信号。

使用前先确定触发所需接收到的一系列的电磁脉冲信号，然后根据电路总体面积、电路空余面积以及所需硬件木马隐蔽程度这三项参数确定所需硬件木马远程触发具体结构，将其植入原始电路之中。本发明的保护范围并不以上述实施方式为限，本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化，皆应纳入保护范围。

Claims

1.一种基于电磁信号远程激活硬件木马的装置，其特征是，结构是：由奇数个反相器级联形成环形振荡器；振荡器经起缓冲作用的反相器B输出振荡信号，一路所述振荡信号直接输入到组合逻辑延时比较结构Trig1中，另一路所述振荡信号经过反相器C的反向，输入到另一个组合逻辑延时比较结构Trig2中；实现延时功能的组合逻辑D1和触发器E1组成了Trig1，实现延时功能的组合逻辑D2和触发器E2组成了Trig2；两个Trig的输出经过一个或门F得到最终的硬件木马触发信号Trig。

2.如权利要求1所述的基于电磁信号远程激活硬件木马的装置，其特征是，每个反相器由一个NMOS晶体管和一个PMOS晶体管构成，两个晶体管的栅极连在一起作为输入，漏极连在一起作为输出，当输入是高电平时，NMOS管导通而PMOS管截止，输出被拉到地；当输入是低电平时，PMOS管导通而NMOS管截止，输出被拉到高电平，因而能够实现对输入反相的功能；设每级延时电路的延迟时间为t_d，电路由N级构成，故其总的延时时间为N*t_d，由于反相的次数为180度的奇数倍，故要完成一个周期的振荡的时间为2*N*t_d；由于周期与频率互为倒数关系，所以环形振荡器的频率表示为