CN112100693B - 一种基于petri网的芯片安全分析方法 - Google Patents
一种基于petri网的芯片安全分析方法 Download PDFInfo
- Publication number
- CN112100693B CN112100693B CN202010961682.8A CN202010961682A CN112100693B CN 112100693 B CN112100693 B CN 112100693B CN 202010961682 A CN202010961682 A CN 202010961682A CN 112100693 B CN112100693 B CN 112100693B
- Authority
- CN
- China
- Prior art keywords
- unit
- failure
- model
- library
- transition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/20—Design optimisation, verification or simulation
- G06F30/22—Design optimisation, verification or simulation using Petri net models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
一种基于petri网的芯片安全分析方法,它有五大步骤:一、分析芯片的行为及描述文件及其层级;二、建立底层单元的petri网模型;三、将底层单元Petri网模型集成为中间单元Petri网模型;四、建立顶层单元Petri网模型;五、基于Petri网模型开展可信性分析与硬件木马攻击诊断。该发明主要针对硬件木马对芯片的安全危害进行分析,并提出芯片安全分析方法,基于petri网模型定量分析芯片安全性的新方法,为集成电路安全性度量和防护提供一种思路。
Description
(一)技术领域:
本发明涉及一种芯片的安全性分析方法,尤其涉及一种基于petri网的芯片安全分析方法,属于集成电路安全性领域。
(二)背景技术
半导体领域的快速发展和全球化带来EDA工具和IP核技术的快速发展以及半导体设计与制造过程的分工进一步细化,也带来了越来越严重的集成电路硬件安全问题。集成电路芯片被广泛应用于国防、金融、交通、能源等领域,一旦受到恶意攻击,将会带来不可估量的损失。芯片安全的重要性越来越得到重视,特别集中在硬件木马领域。硬件木马是指在芯片设计或制造过程中被蓄意植入或更改的特殊电路模块。传统的形式验证和测试工具无法很好检测到这种安全威胁,在设计流程也无法保证完全消除这种安全威胁。目前,国际上对硬件木马技术的研究越来越多,主要集中在检测和防御方面。在检测出硬件木马后,需要进一步诊断硬件木马的位置以及植入硬件木马的类型,确定具有风险的模块,指导硬件木马安全性设计。
Petri网作为系统建模工具,其模型具有良好的系统描述特性和数学分析能力,具有完备的运行机制和规则映射关系。直观地反映系统状态的变化和事件发展的过程,尤其适合表达故障的传播过程,很容易通过反向推理,推断故障发生的具体原因,从而实现故障的诊断。因此被广泛应用于系统的可靠性与风险评估当中。
过去几十年中,研究人员对传统Petri网进行了大量的研究,极大地扩充了Petri网理论,其中最有影响的是从有色(color)、时间(time)、层次(hierarchy)三个方面进行扩展。通过这些研究工作,逐渐形成了高级Petri网(High Level Petri Nets,HLPN)理论。HLPN可以综合考虑系统中数据和时间约束等因素,方便了对复杂系统的建模。随着描述复杂性和实际系统性态的增加,研究者还提出了谓词变迁网、模糊Petri网和随机Petri网等理论。这些高级Petri网系统提高了系统的抽象性,拓宽了Petri网的应用领域,并成功应用于许多研究领域,如性能评价、通信协议、柔性制造系统、故障诊断系统、管理信息系统、人工智能系统等。
本专利主要针对硬件木马对芯片的安全危害进行分析,并提出芯片安全分析方法,基于petri网模型定量分析芯片安全性的新方法,为集成电路安全性度量和防护提供一种思路。
(三)发明内容:
1.目的:
本发明的目的是为了提供一种基于petri网的芯片安全分析方法,它可以定量分析芯片及其底层单元的安全性,为集成电路安全性度量和防护提供一种新思路。
2.技术方案:
本发明提出一种基于petri网的芯片安全分析方法,它包括以下步骤:
步骤一:分析芯片的行为及描述文件及其层级。根据芯片行为及描述文件的组成结构,将芯片分解成三个层次。第一层为顶层单元;第二层为顶层单元分解后的若干个中间单元;第三层为每个中间单元分解后的若干个底层单元;
步骤二:建立底层单元的petri网模型。该模型中有两个库所和一个变迁。根据底层单元被硬件木马攻击服从指数分布,可以得出模型的变迁率。在库所中加入不同形状的token用于标记底层单元可能被攻击的硬件木马类型;
步骤三:将底层单元Petri网模型集成为中间单元Petri网模型。再将中间单元模型转换为等效单网模型。根据中间单元的组成结构及其底层单元的失效分布参数得出每个单网模型的等效转换率;
步骤四:建立顶层单元Petri网模型。分析顶层单元的组成结构及其动态特征如共因失效,通过集成步骤三中所得的中间单元单网模型得到顶层单元模型;
步骤五:基于Petri网模型开展可信性分析与硬件木马攻击诊断。通过计算系统模型各库所变迁率,评估顶层单元及其中间单元的可信性。在系统受到攻击时,利用关联矩阵得到该模型的最小割集,并计算出各基本事件的被攻击概率。
通过以上步骤,就能利用Petri网模型分析芯片的安全性,为硬件木马的防范工作和针对性检测提供了依据,基于芯片结构将芯片行为及描述分解为三个层次,并将其转化为Petri网模型,分析芯片的安全性,能有依据的对芯片安全性定量衡量,形成了一种安全性度量标准,该分析方法简单实用,实施容易,具有推广应用价值。
其中,在步骤一中所述的“根据顶层单元的组成结构,将系统分解成三个层次”,其作法如下:
遍历V文件中的所有module,找到没有被其他module调用的module作为顶层单元;
再次遍历V文件中的所有module,找到没有调用其他module且仅被调用的module作为底层单元;
其它module作为中间单元,根据调用关系放入系统中;
当中间单元和顶层单元的module中,不仅调用了其他module,存在assign语句或者always结构块时。这些assign语句或者always结构块同样有可能被硬件木马攻击,也作为底层单元;
根据各单元之间的调用关系,分析系统的组成结构并建立层级关系。
其中,在步骤二中所述的“建立底层单元的petri网模型”,其具体实现方式如下:
只考虑底层单元“工作”或被硬件木马攻击后“失效”两种状态建立单个底层单元的PN模型,假设失效变迁T的激发按照硬件木马触发概率λ进行,底层单元由“工作”转为“失效”的状态变化由库所中token的变化来显示。由于底层单元受到的攻击可近似于强度为λ的泊松过程,且一旦攻击发起成功,底层单元就会发生故障,因此底层单元的故障时间服从指数分布。λ在硬件木马攻击中等于硬件木马被触发的概率,则变迁率的计算公式为F(t)=1-e-λt。其中,F(t)为变迁率关于时间t的函数。
其中,在步骤三中所述的“发生的频率O”的具体计算方法如下:
在步骤三中所述的“将中间单元模型转换为等效单网模型”的具体实现方式如下:
根据芯片的结构,将中间单元模型转化为等效但网模型。芯片的行为级描述语言的基本结构有串联、并联。除此之外,其他结构均能转化为串并联结构的组合。
串联系统,如果串联系统中的任何一个底层单元的失效变迁被激发则整个中间单元将失效。n个底层单元串联成的中间单元的等效变迁率即失效率的表达式为:
式中,Fs(t)表示串联中间单元的等效失效率,Fi(t)表示组成串联中间单元的第i个底层单元的失效率。
并联系统,当组成并联中间单元的全部底层单元均处于失效状态时中间单元将失效。根据部件的指数失效分布可以得到等效单网模型的失效率。n个按指数失效分布的组件并联成的中间单元的等效变迁率(失效率)的表达式为:
式中,FP(t)表示串联中间单元的等效失效率。
其中,在步骤四中所述的“分析顶层单元的组成结构及其动态特征”的具体实现方法如下:
在行为级描述中,一个module可能被多个不同的module调用,即多个中间单元共享一个底层单元,当一个底层单元被攻击可能导致多个中间单元失效,称之为共因失效。共因失效模式的失效变迁将按照为其分配的失效率来激发。
在实际硬件系统中,底层单元的变迁率由硬件木马的触发率决定,同一单元内的硬件木马的触发结构相同,触发率相同,变迁率也相同,所以在硬件木马诊断中,式中,对应的是第i个零部件由于自身原因由正常状态转为失效状态,对应的是第i个零部件由于共因由正常状态转为失效状态。
其中,在步骤五中所述的“通过计算系统模型各库所变迁率,评估系统及其中间单元的可信性。”的具体实现方法如下:
通过分析模型内各库所的可信性,可以得到对应硬件单元的可信性。步骤一到步骤四建立的petri网模型是基于硬件系统结构的描述系统被硬件木马攻击后的故障模型。因此在该模型中变迁规定的变迁率描述的是该变迁到达库所的故障率。因此,该系统中各硬件单元的故障率等于对应库所的变迁率。各库所的可信性与故障率如下式所示:
Ri(t)=1-Fi(t)
式中i=1,2,3,…,n表示中间单元中第i个部件。
单个底层单元的失效率可由对应的变迁率计算得出,中间单元的失效率可由其对应的中间单元等效单网模型的变迁率计算得出。并联系统和串联系统的单网等效模型的可信性计算如下式所示:
式中Rs(t)表示串联中间单元的等效失效率,RP(t)表示并联中间单元的等效失效率。
其中,在步骤五中所述的“利用关联矩阵得到该模型的最小割集”的具体实现方法如下:
Petri网的结构可以用一个矩阵来表示。如果从库所P到变迁T的输入token数为非负整数w,记作I(P,T)=w,则用一个从P到t的有向弧并旁注w来表示;如果从变迁T到库所P的输出token数为非负整数n,记作O(P,T)=n,则用从一个从T到P的有向弧并旁注n表示。O与I之差A=O-I称为关联矩阵。本文研究的硬件系统在受到攻击时就会发生故障,所以w=n=l。
在关联矩阵中,-l表示由库所指向变迁的一个有向弧,即该库所是变迁的输入库所;1表示由变迁指向库所的一个有向弧,即此库所为该变迁的输出库所。根据关联矩阵求解最小割集的具体步骤为:
(1)找到关联矩阵中只有元素l和0,没有-1的行,也就是顶库所(只有输入库所而无输出库所)所对应的那一行,从该行开始寻找(在关联矩阵中为最后一行);
(2)从顶库所对应的行中的元素1出发按列寻找到-1,该-1所在行对应的库所就是顶库所的一个输入库所。如果该列中有多个元素-1,则表示对应的同一变迁有多个输入库所,而且输入的这些库所间为“与”关系;
(3)根据步骤(2)中找到的-1再按行寻找1,当该行中有1时则说明此库所是一个中间库所,继续对顶库所对应的行中的其他元素1按步骤(2)循环查找,直到每个1所在列都被寻找过为止。当-1所在行中没有1时,则说明该行对应的库所为一个底库所。若该行有多个1,则说明这些1对应的库所为“或”关系,查出所有底层库所;
(4)将所有底库所展开,根据布尔代数法求最小割集。
其中,在步骤五中所述的“基本事件的被攻击概率”的具体计算方法如下:
最小割集中的单元可能包括1个或者多各库所,各单元之间是并联关系,同一单元内库所是串联关系。假设Qi(t)表示第i个基本事件在t时刻发生的概率,Cj=[X1,X2,……,Xi,……Xr]表示第j个最小割集,Xi为割集元素。
当各基本事件为独立事件,第j个最小割集发生的概率是:
根据概率的多除少补原理,顶事件的失效概率为:
式中N为系统的最小割集数。
因此最小割集的重要度为:
基本事件的重要度,即基本事件被硬件木马攻击的概率为
式中,P(Xi)是基本事件的概率;P(Xs)为最小割集Cj中基本事件Xs的概率,s=1,2,…,r为最小割集Cj的阶数。
3.优点及功效:
本发明提供一种基于petri网的芯片安全分析方法,该发明的优点是:
(1)为硬件木马的防范工作和针对性检测提供了依据;
(2)基于芯片结构将芯片行为及描述分解为三个层次,并将其转化为Petri网模型,分析芯片的安全性,能有依据的对芯片安全性定量衡量,形成了一种安全性度量标准。
(3)本分析方法简单实用,实施容易,具有推广应用价值。
(四)附图说明:
图1、基于petri网的芯片安全分析方法流程图
图2、AES芯片内部单元调用关系图
图3、AES芯片petri网模型图
图中序号、符号、代号说明如下:
关系矩阵结果中,“△”“○”、“◎”表示硬件木马类型:
“△”表示拒绝服务;
“○”表示改变功能;
“◎”表示泄露信息。
(五)具体实施方式:
在现有的案例中,硬件木马的攻击类型有拒绝服务,改变功能和泄露信息。针对以上三种硬件木马攻击类型开展芯片安全分析。结合AES芯片的实际案例,对本发明所述的一种基于petri网的芯片安全分析方法进行详细说明。
本发明一种基于petri网的芯片安全分析方法,其流程图如图1所示,具体实施步骤如下:
步骤一:分析芯片的行为及描述文件及其层级。根据芯片行为及描述文件的组成结构,将芯片分解成三个层次。第一层为顶层单元;第二层为顶层单元分解后的若干个中间单元;第三层为每个中间单元分解后的若干个底层单元;该AES系统包括三个V文件,分别是aes_128、table和round,其调用与被调用关系如图2所示。AES为顶层单元,one_round,final_round,expand_key,Table_lookup,T为中间单元。AES_b,one_round_b,final_round_b,expand_key_b,Table_lookup_b,T_b,XS,S为底层单元
步骤二:建立底层单元的petri网模型。该模型中有两个库所和一个变迁。根据底层单元被硬件木马攻击服从指数分布,可以得出模型的变迁率。在库所中加入不同形状的token用于标记底层单元可能被攻击的硬件木马类型“△”代表拒绝服务,“○”代表改变功能,“◎”代表泄露信息;
步骤三:将底层单元Petri网模型集成为中间单元Petri网模型。再将中间单元模型转换为等效单网模型。根据中间单元的组成结构及其底层单元的失效分布参数得出每个单网模型的等效转换率;
步骤四:建立顶层单元Petri网模型。分析顶层单元的组成结构及其动态特征如共因失效,通过集成步骤三中所得的中间单元单网模型得到顶层单元模型,如图3所示;
步骤五:基于Petri网模型的可信性分析与硬件木马攻击诊断。通过计算系统模型各库所变迁率,评估顶层单元及其中间单元的可信性。在系统受到攻击时,利用关联矩阵得到该模型的最小割集,并计算出各基本事件的被攻击概率。
由于硬件木马的攻击服从指数分布,底层单元的故障率等于硬件木马的触发概率。硬件木马的触发结构与有效载荷在功能和结构上都相对独立。因此硬件木马的触发概率不受硬件木马攻击类型的影响。本文选择trust-hub中的外部触发作为硬件木马的触发结构,因此由于各个攻击类型之间为串联关系,即任何一个类型发生即可完成攻击,底层单元的可信性为
其中t表示系统运行的次数,由于本系统中的子系统结构均为串联结构,可计算各中间单元和顶层单元的可信性为
R17(t)=R10(t)·R11(t)·R14(t)
R20(t)=R17(t)·R12(t)
R21(t)=R20(t)·R13(t)
R18(t)=R14(t)·R15(t)
R19(t)=R14(t)·R16(t)
R22(t)=R18(t)·R19(t)·R21(t)·R9(t)
集成电路上的硬件系统通常需要搭配相应的存储器一同使用。目前,flash存储器的擦写次数可以达到10万到百万次。分别计算1000万次、100万次、10万次操作下的硬件系统可以指导硬件木马的防御和监测设计。计算结果如下表所示。
Units | t=10,000,000 | t=1,000,000 | t=100,000 |
R17 | 0.9953 | 0.9995 | 0.9999 |
R18 | 0.9930 | 0.9993 | 0.9999 |
R19 | 0.9930 | 0.9993 | 0.9999 |
R20 | 0.9930 | 0.9993 | 0.9999 |
R21 | 0.9884 | 0.9988 | 0.9998 |
R22 | 0.9679 | 0.9967 | 0.9996 |
由计算结果可以得出,在10万次操作时,整个系统运行的可信性很高,大概率可以正常运行,可信性在99.96%以上。结果符合实际情况,因为硬件木马在被设计者植入集成电路中也需要一定的隐蔽性,以防在早期的功能测试中暴露。随着操作次数的增加,系统的可信性有所降低,这是因为随着操作次数的增加,硬件木马可能被触发的概率增加,导致系统可信性由99.96%降低到96.79%,此时系统已经有一定被硬件木马攻击的风险了。随着操作次数的增加,各子系统的可信性减量低于整个系统的可信性减量,这是由于整个系统由各子系统串联而成。
之后进行重要度分析首先分析该网络模型中的最小割集,由关联矩阵可以得到,本系统的最小割集为{P1},{P2},{P3},{P4},{P5},{P6},{P7},{P8},由于每个最小割集中仅包含一个库所,则该库所的重要度的计算公式如下所示。
其中P(tj)表示变迁的发生概率,相当于库所被攻击的概率。分别计算系统运行1000万次、100万次、10万次最小割集中各单元的重要度,如下表所示。
T= | 10000000 | 1000000 | 100000 |
P1 | 0.217038267 | 0.214560207 | 0.214313156 |
P2 | 0.072514598 | 0.071536722 | 0.071439382 |
P3 | 0.072514598 | 0.071536722 | 0.071439382 |
P4 | 0.072514598 | 0.071536722 | 0.071439382 |
P5 | 0.144860557 | 0.143056789 | 0.142877101 |
P6 | 0.072514598 | 0.071536722 | 0.071439382 |
P7 | 0.144860557 | 0.143056789 | 0.142877101 |
P8 | 0.144860557 | 0.143056789 | 0.142877101 |
由结果可知,P1的重要度最高,即在硬件系统发生故障时,最有可能由AES_b单元被攻击导致。其次是P5,P7,P8分别对应one_round_b,final_round_b,expand_key_b单元。概率最低的是P2,P3,P4,P6,分别对应S,XS,T_b,table_lookup_b单元。可能面临多种类型硬件木马的底层单元遭受硬件木马攻击的可能性更高,面临单一类型攻击的底层单元可能性较低。因此,在故障诊断时应根据重要度的高低,对底层单元进行逐一排查,可以硬件木马攻击进行系统,完整的诊断。
Claims (8)
1.一种基于petri网的芯片安全分析方法,其特征在于:它包括以下步骤:
步骤一:分析芯片的行为及描述文件及其层级;根据芯片行为及描述文件的组成结构,将芯片分解成三个层次; 第一层为顶层单元;第二层为顶层单元分解后的若干个中间单元;第三层为每个中间单元分解后的若干个底层单元;
步骤二:建立底层单元的petri网模型;该模型中有两个库所和一个变迁;由于底层单元受到的攻击可近似于强度为λ的泊松过程,且一旦攻击发起成功,底层单元就会发生故障,因此底层单元的故障时间服从指数分布;λ在硬件木马攻击中等于硬件木马被触发的概率,则变迁率的计算公式为F(t)=1-e-λt;其中,F(t)为变迁率关于时间t的函数;在库所中加入不同形状的token用于标记底层单元可能被攻击的硬件木马类型;
步骤三:将底层单元Petri网模型集成为中间单元Petri网模型;再将中间单元模型转换为等效单网模型;根据中间单元的组成结构及其底层单元的变迁率得出每个单网模型的等效转换率;
步骤四:建立顶层单元Petri网模型;分析顶层单元的组成结构及其动态特征,包括共因失效,通过集成步骤三中所得的中间单元单网模型得到顶层单元模型;
步骤五:基于Petri网模型的可信性分析与硬件木马攻击诊断; 通过计算系统模型各库所变迁率,评估顶层单元及其中间单元的可信性, 在系统受到攻击时,利用关联矩阵得到该模型的最小割集,并计算出各基本事件的被攻击概率;
通过以上步骤,就能利用Petri网模型分析芯片的安全性,为硬件木马的防范工作和针对性检测提供了依据,基于芯片结构将芯片行为及描述分解为三个层次,并将其转化为Petri网模型,分析芯片的安全性,能有依据的对芯片安全性定量衡量,形成了一种安全性度量标准。
2.根据权利要求1所述的一种基于petri网的芯片安全分析方法,其特征在于:
在步骤一中所述的根据芯片行为及描述文件的组成结构,将芯片分解成三个层次,其作法如下:
遍历V文件中的所有module,找到没有被其他module调用的module作为顶层单元;
再次遍历V文件中的所有module,找到没有调用其他module且仅被调用的module作为底层单元;
其它module作为中间单元,根据调用关系放入系统中;
当中间单元和顶层单元的module中,不仅调用了其他module,存在assign语句或者always结构块时, 这些assign语句或者always结构块同样被硬件木马攻击,也作为底层单元;
根据各单元之间的调用关系,分析系统的组成结构并建立层级关系。
3.根据权利要求1所述的一种基于petri网的芯片安全分析方法,其特征在于:
在步骤二中所述的建立底层单元的petri网模型,其具体实现方式如下:
只考虑底层单元“工作”或被硬件木马攻击后“失效”两种状态建立单个底层单元的PN模型,假设失效变迁T的激发按照硬件木马触发概率λ进行,底层单元由“工作”转为“失效”的状态变化由库所中token的变化来显示;由于底层单元受到的攻击可近似于强度为λ的泊松过程,且一旦攻击发起成功,底层单元就会发生故障,因此底层单元的故障时间服从指数分布;λ在硬件木马攻击中等于硬件木马被触发的概率,则变迁率的计算公式为F(t)=1-e-λt;其中,F(t)为变迁率关于时间t的函数。
4.根据权利要求1所述的一种基于petri网的芯片安全分析方法,其特征在于:
在步骤三中所述的将中间单元模型转换为等效单网模型的具体实现方式如下:
根据芯片的结构,将中间单元模型转化为等效单网模型;芯片的行为级描述语言的基本结构有串联、并联;除此之外,其他结构均能转化为串并联结构的组合;
串联系统,如果串联系统中的任何一个底层单元的失效变迁被激发则整个中间单元将失效;n个底层单元串联成的中间单元的等效变迁率即失效率的表达式为:
其中,Fs(t)表示串联中间单元的等效失效率,Fi(t)表示组成串联中间单元的第i个底层单元的失效率;
并联系统,当组成并联中间单元的全部底层单元均处于失效状态时中间单元将失效;根据部件的指数失效分布可以得到等效单网模型的失效率;n个按指数失效分布的组件并联成的中间单元的等效变迁率的表达式为:
其中,FP(t)表示串联中间单元的等效失效率。
5.根据权利要求1所述的一种基于petri网的芯片安全分析方法,其特征在于:
在步骤四中所述的分析顶层单元的组成结构及其动态特征的具体实现方法如下:
在行为级描述中,一个module被多个不同的module调用,即多个中间单元共享一个底层单元,当一个底层单元被攻击导致多个中间单元失效,称之为共因失效;共因失效模式的失效变迁将按照为其分配的失效率来激发;
6.根据权利要求1所述的一种基于petri网的芯片安全分析方法,其特征在于:
在步骤五中所述的通过计算系统模型各库所变迁率,评估系统及其中间单元的可信性的具体实现方法如下:
通过分析模型内各库所的可信性,可以得到对应硬件单元的可信性;步骤一到步骤四建立的petri网模型是基于硬件系统结构的描述系统被硬件木马攻击后的故障模型;因此在该模型中变迁规定的变迁率描述的是该变迁到达库所的故障率;因此,该系统中各硬件单元的故障率等于对应库所的变迁率;各库所的可信性与故障率如下式所示:
Ri(t)=1-Fi(t)
其中i=1,2,3,…,n表示中间单元中第i个部件;
单个底层单元的失效率可由对应的变迁率计算得出,中间单元的失效率可由其对应的中间单元等效单网模型的变迁率计算得出;并联系统和串联系统的单网等效模型的可信性计算如下式所示:
其中Rs(t)表示串联中间单元的等效失效率,RP(t)表示并联中间单元的等效失效率。
7.根据权利要求1所述的一种基于petri网的芯片安全分析方法,其特征在于:
在步骤五中所述的利用关联矩阵得到该模型的最小割集的具体实现方法如下:
Petri网的结构可以用一个矩阵来表示;如果从库所P到变迁T的输入token数为非负整数w,记作I(P,T)=w,则用一个从P到t的有向弧并旁注w来表示;如果从变迁T到库所P的输出token数为非负整数n,记作O(P,T)=n,则用从一个从T到P的有向弧并旁注n表示;O与I之差A=O-I称为关联矩阵;硬件系统在受到攻击时就会发生故障,所以w=n=l;
在关联矩阵中,-l表示由库所指向变迁的一个有向弧,即该库所是变迁的输入库所;1表示由变迁指向库所的一个有向弧,即此库所为该变迁的输出库所;根据关联矩阵求解最小割集的具体步骤为:
(1)找到关联矩阵中只有元素l和0,没有-1的行,也就是顶库所所对应的那一行,从该行开始寻找,即关联矩阵中的最后一行;
(2)从顶库所对应的行中的元素1出发按列寻找到-1,该-1所在行对应的库所就是顶库所的一个输入库所;如果该列中有多个元素-1,则表示对应的同一变迁有多个输入库所,而且输入的这些库所间为“与”关系;
(3)根据步骤(2)中找到的-1再按行寻找1,当该行中有1时则说明此库所是一个中间库所,继续对顶库所对应的行中的其他元素1按步骤(2)循环查找,直到每个1所在列都被寻找过为止;当-1所在行中没有1时,则说明该行对应的库所为一个底库所;若该行有多个1,则说明这些1对应的库所为“或”关系,查出所有底层库所;
(4)将所有底库所展开,根据布尔代数法求最小割集。
8.根据权利要求1所述的一种基于petri网的芯片安全分析方法,其特征在于:
在步骤五中所述的基本事件的被攻击概率的具体计算方法如下:
最小割集中的单元包括1个或者多各库所,各单元之间是并联关系,同一单元内库所是串联关系;假设Qi(t)表示第i个基本事件在t时刻发生的概率,Cj=[X1,X2,……,Xi,……Xr]表示第j个最小割集,Xi为割集元素;
当各基本事件为独立事件,第j个最小割集发生的概率是:
根据概率的多除少补原理,顶事件的失效概率为:
其中N为系统的最小割集数;
因此最小割集的重要度为:
基本事件的重要度,即基本事件被硬件木马攻击的概率为
式中,P(Xi)是基本事件的概率;P(Xs)为最小割集Cj中基本事件Xs的概率,s=1,2,…,r为最小割集Cj的阶数。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010961682.8A CN112100693B (zh) | 2020-09-14 | 2020-09-14 | 一种基于petri网的芯片安全分析方法 |
US17/340,785 US20220083655A1 (en) | 2020-09-14 | 2021-06-07 | Chip security analysis method based on petri net |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010961682.8A CN112100693B (zh) | 2020-09-14 | 2020-09-14 | 一种基于petri网的芯片安全分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112100693A CN112100693A (zh) | 2020-12-18 |
CN112100693B true CN112100693B (zh) | 2022-10-11 |
Family
ID=73751532
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010961682.8A Active CN112100693B (zh) | 2020-09-14 | 2020-09-14 | 一种基于petri网的芯片安全分析方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20220083655A1 (zh) |
CN (1) | CN112100693B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102050230B1 (ko) * | 2018-06-29 | 2019-11-29 | 순천향대학교 산학협력단 | 페트리 넷 모델링을 이용한 산업용 사물 인터넷 시스템에 구비되는 드론의 검증방법 |
CN115081120B (zh) * | 2022-07-22 | 2022-11-25 | 中国民航大学 | 一种基于fppn的飞行控制系统故障传播路径分析方法 |
CN115250183B (zh) * | 2022-08-25 | 2023-03-31 | 中诚华隆计算机技术有限公司 | 用于不同芯片的通信安全管理方法及系统 |
CN116757058A (zh) * | 2023-03-31 | 2023-09-15 | 中国船舶集团有限公司第七一九研究所 | 一种基于模型模块故障概率分析预报方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106599454A (zh) * | 2016-12-12 | 2017-04-26 | 北京航空航天大学 | 一种基于Petri网的多阶段任务系统故障行为建模方法 |
CN109388377A (zh) * | 2018-10-08 | 2019-02-26 | 广西民族大学 | 一种基于形式化建模的软件安全需求获取方法 |
CN109543466A (zh) * | 2018-10-31 | 2019-03-29 | 北京航空航天大学 | 一种基于功能特性展开的硬件木马威胁性分析方法 |
US10440048B1 (en) * | 2018-11-05 | 2019-10-08 | Peking University Shenzhen Graduate School | Anti-attacking modelling for CMD systems based on GSPN and Martingale theory |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3416013B1 (en) * | 2017-06-12 | 2019-07-24 | Siemens Aktiengesellschaft | Safety assurance using fault trees for identifying dormant system failure states |
-
2020
- 2020-09-14 CN CN202010961682.8A patent/CN112100693B/zh active Active
-
2021
- 2021-06-07 US US17/340,785 patent/US20220083655A1/en not_active Abandoned
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106599454A (zh) * | 2016-12-12 | 2017-04-26 | 北京航空航天大学 | 一种基于Petri网的多阶段任务系统故障行为建模方法 |
CN109388377A (zh) * | 2018-10-08 | 2019-02-26 | 广西民族大学 | 一种基于形式化建模的软件安全需求获取方法 |
CN109543466A (zh) * | 2018-10-31 | 2019-03-29 | 北京航空航天大学 | 一种基于功能特性展开的硬件木马威胁性分析方法 |
US10440048B1 (en) * | 2018-11-05 | 2019-10-08 | Peking University Shenzhen Graduate School | Anti-attacking modelling for CMD systems based on GSPN and Martingale theory |
Non-Patent Citations (2)
Title |
---|
Hassan Reza等.A Safety Analysis Method Using Fault Tree Analysis and Petri Nets.《 2009 Sixth International Conference on Information Technology: New Generations》.2009,全文. * |
高翔等.一种基于广义随机着色Petri网的网络攻击组合模型.《电子与信息学报》.2013,第85卷(第11期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
US20220083655A1 (en) | 2022-03-17 |
CN112100693A (zh) | 2020-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112100693B (zh) | 一种基于petri网的芯片安全分析方法 | |
Li et al. | Reliability analysis of multi-state systems subject to failure mechanism dependence based on a combination method | |
Song et al. | Efficient alignment between event logs and process models | |
Jha et al. | Survivability analysis of network specifications | |
Yan et al. | Backtracking algorithms and search heuristics to generate test suites for combinatorial testing | |
CN104598352B (zh) | 一种用于sram型fpga的快速可靠性评估方法 | |
CN105243245A (zh) | 一种基于Petri网的电路模块故障机理相关关系的可靠性建模方法 | |
Mamdikar et al. | Reliability and performance analysis of safety-critical system using transformation of UML into state space models | |
CN107783877A (zh) | 基于变异分析的硬件木马有效激活的测试向量生成方法 | |
Di et al. | A hardware threat modeling concept for trustable integrated circuits | |
Zhang et al. | Symmetry detection for large Boolean functions using circuit representation, simulation, and satisfiability | |
CN112765827B (zh) | 一种功能相关系统的可靠性分析方法 | |
Zaitseva et al. | Logical differential calculus for calculation of Birnbaum importance of non-coherent system | |
Longo et al. | Applying symbolic techniques to the representation of non-markovian models with continuous ph distributions | |
CN109446805B (zh) | 信息流完整性攻击度量方法及其计算机装置、可读存储介质 | |
Zhu et al. | Business process mining based insider threat detection system | |
Ananiadis et al. | On the development of a new countermeasure based on a laser attack RTL fault model | |
Elliot et al. | SUDA: A program for detecting special uniques | |
Koh et al. | Mining interesting imperfectly sporadic rules | |
Bruni et al. | Executing transactions in zero-safe nets | |
Wei et al. | Vulnerability Prediction Based on Weighted Software Network for Secure Software Building | |
Mahmood et al. | Hybrid algorithm for two-terminal reliability evaluation in communication networks | |
CN117313146A (zh) | 一种基于隐私增强故障树分析的文物安全异常行为界定方法 | |
WO2024087404A1 (zh) | 核反应堆故障判定方法、装置、设备、存储介质和产品 | |
Florin et al. | A new approach of formal proof: probabilistic validation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |