WO2021261532A1 - ハードウエアトロイ検出方法、ハードウエアトロイ検出装置及びハードウエアトロイ検出用プログラム - Google Patents

Abstract

検査対象のネットリストに含まれる全論理セルの論理式による演算を行って全論理セルの入出力値の更新を行う入出力更新工程と、更新された入出力値が閾値との比較結果に基づきハードウエアトロイの検出を行う検出工程とを備える。

Description

ハードウエアトロイ検出方法、ハードウエアトロイ検出装置及びハードウエアトロイ検出用プログラム

　この発明は、ハードウエアトロイ検出方法、ハードウエアトロイ検出装置及びハードウエアトロイ検出用プログラムに関するものである。

　ハードウエアトロイは、ある条件で動作するように起動を制御するトリガ回路と、このトリガ回路により起動されたときに不正データを出力するペイロード回路とを主な構成要素とするものである。ハードウエアトロイは、論理シミュレーションによっては見つかり難くするために、極めて稀に機能するように構成されているのが一般的である。

　ハードウエアトロイを論理シミュレーションで行う場合には、テストパターンによるシミュレーションが通例である。前述の通り、ハードウエアトロイは極めて稀に機能するために、全てのテストパターンを用いて状態を観察する必要があり、シミュレーションに多大な時間を要することになる。また、遷移確率のシミュレーションを行う場合には、ライブラリなどの使用されている全セルの情報が必要である。そのため、設計者以外がハードウエアトロイの検出を行うことは困難であった。

　特許文献１には、ＲＴＬシミュレーション手段とゲート動作率算出用パターン作成手段とネットリストシミュレーション手段により動作率算出を行うシステムが開示されている。このシステムによると、ゲート動作率算出用パターンの作成は元のパターンよりもパターン数の非常に大きな低減を実現し、ネットリストシミュレーションによって元のテストパターンを用いたシミュレーションに比べて非常に小さな時間での実行を可能としている。

　しかしながら、特許文献１のシステムは、シミュレーションであることに変わりなく、ゲート動作率算出用パターンの作成は、元のパターンよりもパターン数の非常に大きな低減と言っても限界がある。

　また、特許文献２には、対象となる電子回路のネットリスト、各マクロセルの入力端子に与えられる動作率、入力端子がハイレベルである確率、該マクロセルの真理値表のデータベースを用いる動作率計算法が開示されている。上記動作率と入力端子がハイレベルである確率、真理値表に基づき各マクロセルの出力端子の動作率、出力端子がハイレベルである確率を求め、これを入力段から最終段まで伝播させてネットリスト中のマクロセルの動作率を求めるものが開示されている。

　上記特許文献２に開示の技術は、マクロセルの動作率を求めることができ、発熱によるリスク回避などにはつながっても、ハードウエアトロイの検出を行うことを想起させるものではない。

　また、特許文献３には、既知ネットリストにおいて、トロイネットを含んでいる可能性がある構成ネットを対照ネットとしてスコアを付与し、検査対象のネットリストについて上記対照ネットを検索して、上記スコアを与えて、このスコアによりハードウエアトロイの検出を行うことが開示されている。

特開２００１－３５０８１５号公報 特開２００５－１４１５３８号公報 特許第６５６６５７６号公報

　本発明の実施形態は、例えば、ＳｏＣ（Ｓｙｓｔｅｍ　ｏｎ　ａ　Ｃｈｉｐ）設計において、ＩＰ(Ｉｎｔｅｌｌｅｃｔｕａｌ　Ｐｒｏｐｅｒｔｙ)を利用する際などに、ハードウエアトロイが挿入されている場合などに、ハードウエアトロイを比較的短時間で適切に検出することができるハードウエアトロイ検出方法を提供する。

　本実施形態に係るハードウエアトロイ検出方法は、検査対象のネットリストに含まれる全論理セルの論理式による演算を行って全論理セルの入出力値の更新を行う入出力更新工程と、更新された入出力値が閾値との比較結果に基づきハードウエアトロイの検出を行う検出工程とを備えることを特徴とする。なお、論理セルにおいて行われる論理演算は一般的には、１と０や真と偽のように２種の値しかない論理値の演算である。これに対し、本実施形態においては、上記２種の値しかない論理値以外の数値（０．５や０．２５などの小数、５や１０などの整数などの数）を用い、論理セルの論理式による演算を行うものである。

本発明の第１の実施形態に係るハードウエアトロイ検出装置を実現するコンピュータシステムの構成図。 本発明の第１の実施形態に係るハードウエアトロイ検出装置の機能ブロック図。 本発明の第１の実施形態に係るハードウエアトロイ検出装置によりハードウエアトロイを検出するネットリストの構成ネットの一例を示す図。 本発明の第１の実施形態に係るハードウエアトロイ検出装置の動作を示すフローチャート。 本発明の実施形態に係るハードウエアトロイ検出装置において設定するパラメータの説明図。 図３に示す構成ネットにパラメータを設定した場合を示す構成ネットの図。 図３に示す構成ネットにパラメータを設定した場合を示す構成ネットについて論理セルの論理式による演算によって更新を行った状態を示す図。 論理セルについての論理式による演算によって更新を行う場合の計算式を示す図。 図７に示す構成ネットにパラメータを設定した場合を示す構成ネットの論理セルについて、論理式による演算によって更新を行った状態を示す図。 図９に示す構成ネットにパラメータを設定した場合を示す構成ネットの論理セルについて、論理式による演算によって更新を行った状態を示す図。 図１０に示す構成ネットにパラメータを設定した場合を示す構成ネットの論理セルについて、論理式による演算によって更新を行った状態を示す図。 図１１に示す構成ネットにパラメータを設定した場合を示す構成ネットの論理セルについて、論理式による演算によって更新を行った第２クール目の状態を示す図。 本発明の第２の実施形態に係るハードウエアトロイ検出装置を実現するコンピュータシステムの構成図。 本発明の第２の実施形態に係るハードウエアトロイ検出装置の機能ブロック図。 本発明の第２の実施形態に係るハードウエアトロイ検出装置において用いる第１の閾値とスコアとの変換テーブルを示す図。 トロイネットが存在する場合には、長期間にわたって一定値が出力されることを示す波形図。 この第２の実施形態によるハードウエアトロイ検出の処理を示すフローチャート。

　以下添付図面を参照して、本発明の実施形態に係るハードウエアトロイ検出方法、ハードウエアトロイ検出装置及びハードウエアトロイ検出用プログラムを説明する。各図において同一の構成要素には、同一の符号を付して重複する説明を省略する。

　本発明の第１の実施形態に係るハードウエアトロイ検出装置１は、例えば図１に示されるようなパーソナルコンピュータやワークステーション、その他のコンピュータシステムにより構成することができる。このコンピュータシステムは、ＣＰＵ１０が主メモリ１１に記憶されている或いは主メモリ１１に読み込んだプログラムやデータに基づき各部を制御し、必要な処理を実行することによりハードウエアトロイ検出装置１として動作を行うものである。

　ＣＰＵ１０には、バス１２を介して外部記憶インタフェース１３、入力インタフェース１４、表示インタフェース１５、ネットワークインタフェース１６が接続されている。外部記憶インタフェース１３には、ハードウエアトロイ検出用プログラム等のプログラムと必要なデータ等が記憶されている外部記憶装置２３が接続されている。入力インタフェース１４には、コマンドやデータを入力するための入力装置としてのキーボードなどの入力装置２４とポインティングデバイスとしてのマウス２２が接続されている。

　表示インタフェース１５には、ＬＥＤやＬＣＤなどの表示画面を有する表示装置２５が接続されている。ネットワークインタフェース１６には、インターネット等のネットワーク２６が接続され、外部のサーバやクラウドなどにアクセス可能に構成されている。ネットワーク２６は、必要なデータ等を得るための構成であり、データ入力を行うための記憶媒体や入力装置であっても良い。更に、このコンピュータシステムには、他の構成が備えられていても良く、また、図１の構成は一例に過ぎない。

　図２は、本発明の第１の実施形態に係るハードウエアトロイ検出装置１の機能ブロック図である。上記において、ＣＰＵ１０では、外部記憶装置２３内のハードウエアトロイ検出用プログラムによって図２に記載の各手段等が実現される。即ち、入出力更新手段３１、パラメータ設定手段３２、検出手段３３を備える。

　入出力更新手段３１は、検査対象のネットリストに含まれる全論理セルの論理式による演算を行って全論理セルの入出力値の更新を行うものである。即ち入出力更新手段３１は、検査対象が構成ネットであれば、構成ネットの範囲の全論理セルの上記演算を行い、また、検査対象が集合ネットであれば、集合ネットの範囲の全論理セルの上記演算を行い、更に、検査対象がＬＳＩ全体であれば、当該ＬＳＩ全体の全論理セルの上記演算を行うものである。この第１の実施形態と後に説明する第２の実施形態においては、入出力更新手段３１は、検査対象のネットリストに含まれる構成ネットにおける全論理セルの上記演算を行って全論理セルの入出力値の更新を行うものとする。パラメータ設定手段３２は、上記全論理セルの入出力のネットに初期値としてパラメータを設定するものである。検査対象ネットリストは、開発するＬＳＩなどに含まれる各種回路同士を接続する配線の一覧を記述した設計データである。検査対象ネットリストは、開発するＬＳＩなどを構成する回路の階層に合わせて構築された階層を有し、最上位層である集合ネットと、当該集合ネットの下位層である構成ネットを備える。集合ネット及び構成ネットは、情報処理装置の規模に応じて１つ以上設けられる。構成ネットは、回路の端子間を繋ぐ配線（以下、「端子間ネット」という。）によって接続された一群の回路によって構成される。また、開発するＬＳＩなどに含まれる各種回路には、論理セルが含まれている。

　本実施形態では、上記入出力更新手段３１で、設定された上記パラメータを用いた上記演算を上記論理セルの全てについて所定回クール行って入力値と出力値の更新を行う。

　前記論理セルは、論理回路と、必要な場合に論理回路以外のバッファ、リピータを含むものである。上記入出力更新手段３１は、１回毎のクールにおける入力値と出力値の更新の処理内において、バッファ及びリピータについての更新の場合には、入力値がバッファまたはリピータの出力へ伝達されるまでの所定回数更新を行う。例えば、構成ネットにおける全論理セルの上記演算を１回クール行うときに、バッファまたはリピータについては１０回の上記演算による更新に相当する入出力値の更新を行う。

　検出手段３３は、更新された入出力値が閾値との比較結果に基づきハードウエアトロイの検出を行う。本実施形態の検出手段３３は、上記演算を所定回クール行ったときに得られたいずれかの論理セルの出力値に基づきハードウエアトロイの検出を行う。

　本実施形態では、上記検出手段３３は、上記検査対象のネットリストに基づく回路規模に対応する閾値である回路規模対応閾値と、上記演算を所定回クール行ったときに得られたいずれかの論理セルの入出力値の比較に基づき上記検査対象のネットリスト中のハードウエアトロイの検出を行う。具体的には、検査対象のネットリストに含まれる構成ネットの回路規模を表す端子間ネット数が５００程度の回路において、所定回クールを４回クールとしたとき、パラメータの値は、２．８ｅ－８程度となり、パラメータは回路規模対応閾値を出力値で１ｅ－７、入力値で１－（１ｅ－７）を用いて比較を行うことができる。即ち、出力値が１ｅ－７以下であればハードウエアトロイが存在すると判定することができ、入力値が１－（１ｅ－７）以上であればハードウエアトロイが存在すると判定することができる。

　検査対象のネットリストを含め、ネットリストは、一般的にネットリストから作成されるＬＳＩなどのデバイスを構成する回路の階層と対応する階層構造である。この階層の最上位層を集合ネットと称し、当該集合ネットの下位層に構成ネットを備える。ＬＳＩなどのデバイスの規模に応じて上記集合ネットと上記構成ネットは、それぞれ１つ以上存在する。この内、構成ネットは、回路の端子間に設けられる端子間ネットと称される配線によって接続された一群の回路によって構成されるものである。本実施形態では、構成ネットにおける全論理セルの上記演算を行って全論理セルの入出力値の更新を行う。

　構成ネットの一例を図３に示す。この構成ネットは、ハードウエアトロイが存在する可能性がある疑トロイ回路部４１、ハードウエアトロイが存在しない非トロイ回路部４２、その他の部分である残余回路部４３を備えている。

　疑トロイ回路部４１は、論理セルであるＡＮＤゲートＣ１～Ｃ１１を備え、端子間ネットｓ１ｉ１～ｓ１ｉ１７、ｓ２ｉ１～ｓ２ｉ８、ｓ３ｉ１、ｓ３ｉ２によって論理セルが接続されている。ＡＮＤゲートＣ１０とＡＮＤゲートＣ１１との間には、縦続接続された３つのバッファＢ１～Ｂ３が設けられている。

　非トロイ回路部４２は、ＡＮＤゲートＣ１２、ＤフリップフロップＦ１、マルチプレクサＭの一部、バッファＢ４を備え、端子間ネットＦＢ１、ＦＢ２、ＬＰ１、非トロイのネットＡＴ１、マルチプレクサＭの出力ネットＯＵＴＰＵＴ等を有している。

　残余回路部４３は、縦続接続された３つのバッファＢ５～Ｂ７、マルチプレクサＭの一部を備え、端子間ネットとして、ＡＮＤゲートＣ１１の出力ネットＴＲＧ１、バッファＢ５～Ｂ７を接続するネット、マルチプレクサＭの一方の入力へ到るトロイのペイロードのネットＰ１、マルチプレクサＭの出力ネットＯＵＴＰＵＴ等を有している。

　上記のような構成ネットに対し、ＣＰＵ１０外部記憶装置２３内のハードウエアトロイ検出用プログラムによって図４のフローチャートに示すように動作を行うので、このフローチャートに基づき動作を説明する。ＣＰＵ１０は、検査対象のネットリストを読み込む（Ｓ１１）。この検査対象のネットリストについての読み込みは、例えば、外部記憶装置２３から行うことができ、また、ネットワークインタフェース１６とネットワーク２６を介して外部のサーバやクラウドなどにアクセスして行うことができる。

　次にＣＰＵ１０は、読み込んだネットリストにより、全論理セルの入出力のネットに初期値としてパラメータを設定する（Ｓ１２）。

　上記に用いるパラメータは、例えば次のように決定される。本実施形態が対象とするＬＳＩなどのデバイスに用いられる論理セルにおいて入出力される信号は、図５に示されるようにＨレベルとＬレベルといずれかの値を有し、どちらかのレベルである。このため、図５のようにＨレベルとＬレベルが変化するとして、時間Ｔ中にＨ（Ｌ）レベルである割合は０．５である。この０．５をパラメータとして全論理セルの入出力のネットに初期値として設定する。この結果は、図６に示す通りである。

　次に、設定された上記パラメータを用いた上記演算を上記論理セルの全てについて入力値と出力値の更新を行う（Ｓ１３）。この場合、上記演算による演算はどこから始めても良く、順不同である。図７には、ＡＮＤゲートＣ１１とＡＮＤゲートＣ１２について出力側において演算を行った結果が示されている。この場合の上記演算は、図８に示される式により行われる。

　図９には、ＡＮＤゲートＣ１１から下流側へと演算を進め、ＡＮＤゲートＣ９とＡＮＤゲートＣ１０のそれぞれの出力について演算を行った結果が示されている。更に、図１０には、ＡＮＤゲートＣ９とＡＮＤゲートＣ１０のそれぞれの入力について演算を行った結果が示されている。

　図１１には、バッファ及びリピータについての更新の場合には、入力値がバッファまたはリピータの出力へ伝達されるまでの所定回数更新を行う例が示されている。構成ネットにおける全論理セルの上記演算を１回クール行うときに、バッファまたはリピータについては１０回の上記演算による更新に相当する入出力値の更新を行う。この結果、３つのバッファＢ１～Ｂ３において、ＡＮＤゲートＣ１０の出力０．０６２５が順に伝達される。ＡＮＤゲートＣ１０の出力がどのタイミングで変化するか不定であるため、ここでは、１０回の上記演算による更新に相当する入出力値の更新を行う。

　また、図１１には、３つのバッファＢ５～Ｂ７において、ＡＮＤゲートＣ１１の出力０．０６２５が順に伝達されることが示されている。３つのバッファＢ５～Ｂ７の入出力値の更新についても、ＡＮＤゲートＣ１１の出力がどのタイミングで変化するか不定であるため、ここでは、１０回の上記演算による更新に相当する入出力値の更新を行う。この例では、バッファの入出力の更新を、図１１に示すタイミング行っているが、他のタイミングでも行われるものである。

　以上のようにして、設定された上記パラメータを用いた上記演算を上記論理セルの全てについて入力値と出力値の更新が完了（１回クールの更新が完了）すると、所定回クール（ここでは、４回クール）の更新が完了したのかを検出し（Ｓ１４）、ＮＯとなるとステップＳ１３へ戻って処理が続けられる。

　ステップＳ１３へ戻った場合には、２クール目の処理となる。上記の図１１に示した１回クール目の終了から、図１２に示す２クール目の処理では、ＡＮＤゲートＣ１１の出力が０．００１９３５に更新される。以下、ＡＮＤゲートＣ１１の下流側の論理セルの入出力値の更新が行われ、更に、ＡＮＤゲートＣ１１の上流側の論理セルの入出力値の更新が行われる。この第２クール目の更新においても順不同である。以下同様に第１クール目の処理で説明した通りの動作と同様に動作が進められる。このようにして、第２クール目の処理が終了し、次に第３クール目の処理が開始されて終了し、更に第４クール目の処理が開始されて終了すると、ステップＳ１４においてＹＥＳへ分岐し、ステップＳ１５へ進む。

　ステップＳ１５では、ＣＰＵ１０は、前述の通りの閾値（出力値で１ｅ－７、入力値で１－（１ｅ－７））と各論理セルの入力値と出力値を比較し（Ｓ１５）、判定条件である出力値が１ｅ－７以下か、または入力値が１－（１ｅ－７）以上であるかを判定する（Ｓ１６）。

　上記ステップＳ１６においてＹＥＳとなると、ハードウエアトロイが存在すると判定し、その旨を表示装置２５に表示させるなどの出力処理を行い（Ｓ１７）、上記ステップＳ１６においてＮＯとなると、ハードウエアトロイが存在しないと判定し、その旨を表示装置２５に表示させるなどの出力処理を行う（Ｓ１８）。

　次に、本発明の第２の実施形態に係るハードウエアトロイ検出方法、ハードウエアトロイ検出装置及びハードウエアトロイ検出用プログラムについて説明する。第２の実施形態に係るハードウエアトロイ検出方法、ハードウエアトロイ検出装置の実施形態についても、本発明の第１の実施形態に係るハードウエアトロイ検出装置１と同じ図１３に示すコンピュータシステムによってハードウエアトロイ検出装置１Ａが実現される。

　図１４に、本発明の第２の実施形態に係るハードウエアトロイ検出装置１Ａの機能ブロック図を示す。第２の実施形態に係るハードウエアトロイ検出装置１Ａにおいて、ＣＰＵ１０では、外部記憶装置２３内のハードウエアトロイ検出用プログラムによって図１４に記載の各手段等が実現される。即ち、第１の実施形態と同じ、入出力更新手段３１、パラメータ設定手段３２を備える。入出力更新手段３１、パラメータ設定手段３２以外に、検出手段３３Ａ、第１の閾値取得手段３４、判定スコア閾値取得手段３５、第２の閾値取得手段３６を備える。

　第１の閾値取得手段３４は、ハードウエアトロイを含む既知ネットリスト及びハードウエアトロイを含まない既知ネットリストを用いて、上記パラメータ設定手段３２と上記入出力更新手段３１とによる処理を行い、この入出力更新手段３１における上記演算を所定回クール行ったときに得られた構成ネット内の入出力値に基づき第１の閾値を求めるものである。上記検出手段３３Ａは、上記第１の閾値を用いてハードウエアトロイの検出を行う。

　本実施形態では、既知ネットリスト及び検査対象のネットリストは、端子間ネットによって接続された一群の回路によって構成される構成ネットを１以上含む集合ネットを少なくとも含んで構成される。第１の閾値取得手段３４は、構成ネット毎に第１の閾値を取得する。

　判定スコア閾値取得手段３５は、既知ネットリスト内のそれぞれの構成ネットにおいて最大最小の入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを既知ネットリストの集合ネット毎に合計して、得られた集合ネット毎スコアを比較して、最小の集合ネット毎スコアに基づき判定スコア閾値を得るものである。ここに、判定スコア閾値取得手段３５が上記処理を実行する場合における、最大スコアを有する集合ネットを、「最大スコアネット」と称し、既知ネットリスト内の最大スコアネットの数を、「最大スコアネット数」と称する。

　前記検出手段３３Ａは、検査対象のネットリスト毎に第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを検査対象ネットリストの集合ネット毎に合計して検査対象スコアを得て、検査対象スコアを前記判定スコア閾値に基づき評価して前記検査対象のネットリスト中のハードウエアトロイの検出を行う。

　第２の閾値取得手段３６は、所定時間内に一定値を出力するクロック数が所定値以上であり、最大スコアネット数が最大スコアネット数閾値以下である条件に合致するハードウエアトロイを含むと予想される既知ネットリストを複数の既知ネットリスト中から抽出し、抽出した既知ネットリストを用いて、上記パラメータ設定手段３２と上記入出力更新手段３１とによる処理を行い、この入出力更新手段３１における上記演算を所定回クール行ったときに得られた出力値に基づき第２の閾値を求めるものである。

　本実施形態では、例えば、米国のサイト（Ｔｒｕｓｔ－ＨＵＢ）に公開されているベンチマークのネットリストを用いることができる。この内の１０個のベンチマークを選択して、ハードウエアトロイが含まれているものを(ＨＴ－ｉｎｓｅｒｔｅｄ)、ハードウエアトロイが含まれていないものを(ＨＴ－ｆｒｅｅ)として示すと次の表１のようになる。

　表１のベンチマークの公知ネットリストには、集合ネットが１つ以上含まれ、集合ネットには１以上の構成ネットが含まれている。この構成ネットには、「疑トロイネット」と称されるトロイネットである可能性がある端子間ネットを見出すことができ、疑トロイネットを含む構成ネットが公知ネットリストに含まれていることが知られている。この疑トロイネットを含む構成ネットを対照ネットと称し、表１のベンチマークのものから９種類の対照ネットを見出すことができることが特許文献３に開示されている。

　本実施形態では、上記９種類の対照ネットを見つけ出すことなく、ハードウエアトロイを含む既知ネットリスト及びハードウエアトロイを含まない既知ネットリスト（上記ベンチマークのもの）を用いて、上記パラメータ設定手段３２と上記入出力更新手段３１とによる第１の実施形態で説明した通りの処理を行い、この入出力更新手段３１における上記演算を所定回クール行ったときに得られた構成ネット内の入出力値を求める。

　ハードウエアトロイを含む既知ネットリスト及びハードウエアトロイを含まない既知ネットリスト（上記ベンチマークのもの）の全ての構成ネットに対して上記の処理を行った結果、出力値で小数点以下に例えば５個以上の０を有する数値ＴＯ（例えば１ｅ－７）に近い値（トロイ有出力閾値という）や、入力値で１からＴＯを引いた数値ＴＩ（例えば１－（１ｅ－７））に近い値（トロイ有入力閾値という）、が得られる。

　第１の閾値取得手段３４は、全ての構成ネットから得られたトロイ有出力閾値とトロイ有入力閾値についてそれぞれの平均値を得て、第１の閾値とする。また、トロイ有出力閾値が１ｅ－７と１ｅ－６のように１桁以上離れたものが得られた場合には、トロイ有出力閾値の１、トロイ有出力閾値の２として上記の平均値をそれぞれについて求める。また、この場合には、トロイ有入力閾値の１、トロイ有入力閾値の２が得られると、これについても平均値をそれぞれについて求める。そして、第１の閾値は、第１の閾値の１、第１の閾値の２のように複数得られる。

　判定スコア閾値取得手段３５は、構成ネット内のそれぞれの入出力値においてスコア付与をする。スコアは、出力値が、図１５に示すように、トロイ有出力閾値の１以下である場合に２、トロイ有出力閾値の１より大きくトロイ有出力閾値の２以下である場合に１、トロイ有出力閾値の２より大の場合に０である。また、スコアは、入力値が、図１５に示すように、トロイ有入力閾値の１以上である場合に２、トロイ有入力閾値の１より小さくトロイ有入力閾値の２以上である場合に１、トロイ有入力閾値の２より小の場合に０である。

　スコアは、構成ネットの全ての入力値と全ての出力値に対し与えられる。構成ネットに付与されたスコアの最大スコアを既知ネットリストの集合ネット毎に合計する。従って、構成ネット中の、トロイ有出力閾値より小さな出力値に対応するスコアが最大スコアとなり、またはトロイ有入力閾値より大きな入力値に対応するスコアが最大スコアとなる。

　次に、最大スコアを既知ネットリストの全集合ネットについて合計する。従って、ハードウエアトロイが含まれている可能性が高い構成ネットと集合ネットを多く含む既知ネットリストにおいて、合計スコアが大きくなる。このようにして得られたネットリスト毎スコアを比較して、最小のネットリスト毎スコアに基づき判定スコア閾値を得る。例えば、最小の既知ネットリスト毎スコアに１を加えた値を判定スコア閾値とする。表１のベンチマークの既知ネットリストを用いると、３が判定スコア閾値として求められる。

　上記検出手段３３Ａは、検査対象のネットリストの構成ネット毎に入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与する。この動作では、第１の閾値取得手段３４が求めた第１の閾値を用いて、検出手段３３Ａが、検査対象のネットリストの構成ネット毎に入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与する。スコアの付与は、図１５に示した第１の閾値とスコアとの変換テーブルのデータを用いて行われる。

　検出手段３３Ａによるスコア付与と同様に、構成ネットの全ての入力値と全ての出力値に対し与えられる。構成ネットに付与されたスコアの最大スコアを既知ネットリストの集合ネット毎に合計される。従って、検査対象のネットリストの構成ネット中の、トロイ有出力閾値より小さな出力値に対応するスコアが最大スコアとなり、またはトロイ有入力閾値より大きな入力値に対応するスコアが最大スコアとなる。

　次に、最大スコアを検査対象ネットリストの全集合ネットについて合計し、検査対象スコアが得られる。この検査対象スコアと判定スコア閾値（前述の例では、３）とを比較し、上記検査対象のネットリスト中のハードウエアトロイの検出を行う。具体的には、検査対象スコアが判定スコア閾値（前述の例では、３）以上である場合には、ハードウエアトロイが存在すると判定し、その旨を表示装置２５に表示させるなどの出力処理を行う。

　この第２の実施形態では、図１４に示されるように、第２の閾値取得手段３６を備える。第２の閾値取得手段３６は、所定時間内に一定値を出力するクロック数が所定値以上であり、最大スコアネット数が最大スコアネット数閾値以下である条件に合致するハードウエアトロイを含むと予想される既知ネットリストを複数の既知ネットリスト中から抽出する。

　判定スコア閾値取得手段３５においては、既知ネットリスト内のそれぞれの構成ネットにおいて入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを既知ネットリストの全集合ネットについて合計する。

　表１に示すベンチマークの既知ネットリストについて、上記最大スコアネット数とトロイネットの含有の関係を検討すると、公知トロイネットを含む場合には最大スコアネット数が比較的小さく、最大スコアネット数（Ｘｎｕｍｂｅｒ）の最も大きな値は、ベンチマーク（ｓ３８４１７－Ｔ１００）の５である。このように、公知トロイネットを含む／含まないについては、複数の既知ネットリストの最大スコアネット数（Ｘｎｕｍｂｅｒ）を調べ、調べた中で最も大きい最大スコアネット数（Ｘｎｕｍｂｅｒ）を最大スコアネット数閾値（Ｔｎｕｍｂｅｒ）とすることができる。最大スコアネット数が最大スコアネット数閾値以下であるという条件が、公知トロイネットを含む既知ネットリストである条件（ネット数条件という）である。

　一方、例えば、図１６に示すように、１Ｍクロック間で一定値を出力する最長のクロック数を、最大一定サイクル数（Ｍａｘ　ｃｏｎｓｔａｎｔ　ｃｙｃｌｅｓ）と称する。この最大一定サイクル数が高いほど、最大スコアネットはトロイネットを含む可能性が高くなる。トロイネットは動作し難いため、トロイネットが存在する場合には、長期間にわたって一定値が出力されることが予測される（一定サイクル数条件という）。

　表１に示したベンチマークの中で、上記「一定サイクル数条件」と上記「ネット数条件」を満たす既知ネットリストのベンチマークは、ベンチマーク（ＲＳ２３２－Ｔ１０００、ｓ３８４１７－Ｔ１００、およびｖｇａ＿ｌｃｄ－Ｔ１００）であることが特許文献３に示されている。

　このように第２の閾値取得手段３６は、上記「一定サイクル数条件」と上記「ネット数条件」を満たす既知ネットリストを抽出し、抽出した既知ネットリストを用いて、上記パラメータ設定手段３２と上記入出力更新手段３１とによる処理を行い、この入出力更新手段３１における上記演算を所定回クール行ったときに得られた出力値に基づき第２の閾値を求める。

　上記の上記パラメータ設定手段３２と上記入出力更新手段３１とによる処理によって、上記演算を所定回クール行って、出力値を得る処理は、処理する対象のネットリストが、ベンチマーク（ＲＳ２３２－Ｔ１０００、ｓ３８４１７－Ｔ１００、およびｖｇａ＿ｌｃｄ－Ｔ１００）のネットリストである点を除けば、同じであり、図４のフローチャートにおけるステップＳ１１からＳ１５において説明したので、ここでは説明を省略する。

　以上で、入出力更新手段３１における上記演算を所定回クール行ったときに、構成ネット内の入出力値が求められる。この内の出力値としては、小数点以下に例えば５個以上の０を有する数値ＴＯ（例えば１ｅ－７）に近い値（トロイ有出力閾値という）が得られ、入力値としては、１からＴＯを引いた数値ＴＩ（例えば１－（１ｅ－７））に近い値（トロイ有入力閾値という）、が得られる。

　第２の閾値取得手段３６は、全ての構成ネットから得られたトロイ有出力閾値とトロイ有入力閾値についてそれぞれの平均値を得て、第２の閾値とする。本実施形態では、３つのベンチマークのネットリストを用いているために、第２の閾値は３つ生成される。最終的には、平均値を第２の閾値とする、或いは、トロイ有出力閾値については最も小さいものを第２の閾値とし、トロイ有入力閾値については最も大きいものを第２の閾値とする。

　上記検出手段３３Ａは、上記第２の閾値を用いて上記検査対象のネットリスト中のハードウエアトロイの検出を行う。この上記検出手段３３Ａによる検出処理は、図４のフローチャートにより示した通りであり、このフローチャートにおいて、ステップＳ１６において用いる閾値が上記第２の閾値となる。

　この第２の実施形態によるハードウエアトロイ検出の処理を、入出力更新手段３１、パラメータ設定手段３２以外に、検出手段３３Ａ、第１の閾値取得手段３４、判定スコア閾値取得手段３５、第２の閾値取得手段３６による処理手順として示すと、図１７のフローチャートに示すようである。

　まず、第１の閾値を取得するための処理が行われる（Ｓ５１）。このステップＳ５１においては、入出力更新手段３１、パラメータ設定手段３２、第１の閾値取得手段３４により処理が行われる。次に、判定スコア閾値の取得を行う処理が行われる（Ｓ５２）。このステップＳ５２においては、判定スコア閾値取得手段３５により処理が行われる。次に、検査対象ネットリストについて判定スコア閾値を用いたハードウエアトロイ検出の処理が行われる（Ｓ５３）。このステップＳ５３においては、入出力更新手段３１、パラメータ設定手段３２、検出手段３３Ａにより処理が行われる。

　次に、第２の閾値を取得するための処理が行われる（Ｓ５４）。このステップＳ５４においては、入出力更新手段３１、パラメータ設定手段３２、第２の閾値取得手段３６により処理が行われる。更に、検査対象ネットリストについて第２の閾値を用いたハードウエアトロイ検出の処理が行われる（Ｓ５５）。このステップＳ５５においては、入出力更新手段３１、パラメータ設定手段３２、検出手段３３Ａにより処理が行われる。

　以上のように第１の実施形態、第２の実施形態においても、全論理セルの入出力のネットに初期値としてパラメータを設定し、設定された上記パラメータを用いた上記演算を上記論理セルの全てについて所定回クール行って入力値と出力値の更新を行う処理が基本的な処理となり、簡単な処理で多くの時間を要さないハードウエアトロイの検出を行い得ることが期待される。

　本発明に係る複数の実施形態を説明したが、これらの実施形態は例として提示するものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

　実施形態において説明した、公知ネットリストの数および対照ネットの数はこれらに限定されない。公知ネットリストの数は例示に過ぎない。また、実施形態においては、対照ネットのスコアは変わり得る数値である。最大スコア閾値および最大スコアネット数閾値の値も、変わり得るものである。最大スコア閾値および最大スコアネット数閾値は、一例に過ぎない。また、最大一定クロック数（１Ｍクロック間で一定値を出力する最長のクロック数）を用いたが、これに限定されるものではない。

　１ 第１の実施形態に係るハードウエアトロイ検出装置
　１Ａ 第２の実施形態に係るハードウエアトロイ検出装置
　１１ 主メモリ
　１２ バス
　１３ 外部記憶インタフェース
　１４ 入力インタフェース
　１５ 表示インタフェース
　１６ ネットワークインタフェース
　２２ マウス
　２３ 外部記憶装置
　２４ 入力装置
　２５ 表示装置
　２６ ネットワーク
　３１ 入出力更新手段
　３２ パラメータ設定手段
　３３、３３Ａ 検出手段
　３４ 第１の閾値取得手段
　３５ 判定スコア閾値取得手段
　３６ 第２の閾値取得手段
　４１ 疑トロイ回路部
　４２ 非トロイ回路部
　４３ 残余回路部

Claims (21)

1. 　検査対象のネットリストに含まれる全論理セルの論理式による演算を行って全論理セルの入出力値の更新を行う入出力更新工程と、
   　更新された入出力値と閾値との比較結果に基づきハードウエアトロイの検出を行う検出工程と
   　を備えることを特徴とするハードウエアトロイ検出方法。
2. 　前記全論理セルの入出力のネットに初期値としてパラメータを設定するパラメータ設定工程を備え、
   　前記入出力更新工程では、設定された前記パラメータを用いた前記演算を前記論理セルの全てについて所定回クール行って入力値と出力値の更新を行い、
   　前記検出工程では、前記演算を所定回クール行ったときに得られたいずれかの論理セルの出力値に基づきハードウエアトロイの検出を行う
   　ことを特徴とする請求項１に記載のハードウエアトロイ検出方法。
3. 　前記論理セルは、論理回路と、必要な場合に論理回路以外のバッファ、リピータを含むものであり、
   　前記入出力更新工程は、１回毎のクールにおける入力値と出力値の更新の処理内において、バッファ及びリピータについての更新の場合には、入力値がバッファまたはリピータの出力へ伝達されるまでの所定回数更新を行うことを特徴とする請求項１または２に記載のハードウエアトロイ検出方法。
4. 　ハードウエアトロイを含む既知ネットリスト及びハードウエアトロイを含まない既知ネットリストを用いて、前記パラメータ設定工程と前記入出力更新工程とを行い、この入出力更新工程における前記演算を所定回クール行ったときに得られた構成ネット内の入出力値に基づき第１の閾値を求める第１の閾値取得工程を備え、
   　前記検出工程では、前記第１の閾値を用いてハードウエアトロイの検出を行うことを特徴とする請求項１乃至３のいずれか１項に記載のハードウエアトロイ検出方法。
5. 　既知ネットリスト及び検査対象のネットリストは、端子間ネットによって接続された一群の回路によって構成される構成ネットを１以上含む集合ネットを少なくとも含んで構成され、
   　前記第１の閾値取得工程では、構成ネット毎に第１の閾値を取得し、
   　既知ネットリスト内のそれぞれの構成ネットにおいて入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを既知ネットリストの全集合ネットについて合計して、得られたネットリスト毎スコアを比較して、最小のネットリスト毎スコアに基づき判定スコア閾値を得る判定スコア閾値取得工程を備え、
   　前記検出工程では、検査対象のネットリストの構成ネット毎に入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを検査対象ネットリストの全集合ネットについて合計して検査対象スコアを得て、検査対象スコアを前記判定スコア閾値に基づき評価して前記検査対象のネットリスト中のハードウエアトロイの検出を行う
   　ことを特徴とする請求項４に記載のハードウエアトロイ検出方法。
6. 　所定時間内に一定値を出力するクロック数が所定値以上であり、最大スコアネット数が最大スコアネット数閾値以下である条件に合致するハードウエアトロイを含むと予想される既知ネットリストを複数の既知ネットリスト中から抽出し、抽出した既知ネットリストを用いて、前記パラメータ設定工程と前記入出力更新工程とを行い、この入出力更新工程における前記演算を所定回クール行ったときに得られた出力値に基づき第２の閾値を求める第２の閾値取得工程を備え、
   　前記検出工程では、前記第２の閾値を用いて前記検査対象のネットリスト中のハードウエアトロイの検出を行うことを特徴とする請求項１乃至５のいずれか１項に記載のハードウエアトロイ検出方法。
7. 　前記検出工程では、前記検査対象のネットリストに基づく回路規模に対応する回路規模対応閾値と、前記演算を所定回クール行ったときに得られたいずれかの論理セルの入出力値の比較に基づき前記検査対象のネットリスト中のハードウエアトロイの検出を行うことを特徴とする請求項１に記載のハードウエアトロイ検出方法。
8. 　検査対象のネットリストに含まれる全論理セルの論理式による演算を行って全論理セルの入出力値の更新を行う入出力更新手段と、
   　更新された入出力値が閾値との比較結果に基づきハードウエアトロイの検出を行う検出手段と
   　を備えることを特徴とするハードウエアトロイ検出装置。
9. 　前記全論理セルの入出力のネットに初期値としてパラメータを設定するパラメータ設定手段を備え、
   　前記入出力更新手段では、設定された前記パラメータを用いた前記演算を前記論理セルの全てについて所定回クール行って入力値と出力値の更新を行い、
   　前記検出手段では、前記演算を所定回クール行ったときに得られたいずれかの論理セルの出力値に基づきハードウエアトロイの検出を行う
   　ことを特徴とする請求項８に記載のハードウエアトロイ検出装置。
10. 　前記論理セルは、論理回路と、必要な場合に論理回路以外のバッファ、リピータを含むものであり、
    　前記入出力更新手段は、１回毎のクールにおける入力値と出力値の更新の処理内において、バッファ及びリピータについての更新の場合には、入力値がバッファまたはリピータの出力へ伝達されるまでの所定回数更新を行うことを特徴とする請求項８または９に記載のハードウエアトロイ検出装置。
11. 　ハードウエアトロイを含む既知ネットリスト及びハードウエアトロイを含まない既知ネットリストを用いて、前記パラメータ設定手段と前記入出力更新手段とによる処理を行い、この入出力更新手段における前記演算を所定回クール行ったときに得られた構成ネット内の入出力値に基づき第１の閾値を求める第１の閾値取得手段を備え、
    　前記検出手段は、前記第１の閾値を用いてハードウエアトロイの検出を行うことを特徴とする請求項８乃至１０のいずれか１項に記載のハードウエアトロイ検出装置。
12. 　既知ネットリスト及び検査対象のネットリストは、端子間ネットによって接続された一群の回路によって構成される構成ネットを１以上含む集合ネットを少なくとも含んで構成され、
    　前記第１の閾値取得手段は、構成ネット毎に第１の閾値を取得し、
    　既知ネットリスト内のそれぞれの構成ネットにおいて入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを既知ネットリストの全集合ネットについて合計して、得られたネットリスト毎スコアを比較して、最小のネットリスト毎スコアに基づき判定スコア閾値を得る判定スコア閾値取得手段を備え、
    　前記検出手段は、検査対象のネットリストの構成ネット毎に入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを検査対象ネットリストの全集合ネットについて合計して検査対象スコアを得て、検査対象スコアを前記判定スコア閾値に基づき評価して前記検査対象のネットリスト中のハードウエアトロイの検出を行う
    　ことを特徴とする請求項１１に記載のハードウエアトロイ検出装置。
13. 　所定時間内に一定値を出力するクロック数が所定値以上であり、最大スコアネット数が最大スコアネット数閾値以下である条件に合致するハードウエアトロイを含むと予想される既知ネットリストを複数の既知ネットリスト中から抽出し、抽出した既知ネットリストを用いて、前記パラメータ設定手段と前記入出力更新手段とによる処理を行い、この入出力更新手段における前記演算を所定回クール行ったときに得られた出力値に基づき第２の閾値を求める第２の閾値取得手段を備え、
    　前記検出手段は、前記第２の閾値を用いて前記検査対象のネットリスト中のハードウエアトロイの検出を行うことを特徴とする請求項８乃至１２のいずれか１項に記載のハードウエアトロイ検出装置。
14. 　前記検出手段は、前記検査対象のネットリストに基づく回路規模に対応する回路規模対応閾値と、前記演算を所定回クール行ったときに得られたいずれかの論理セルの入出力値の比較に基づき前記検査対象のネットリスト中のハードウエアトロイの検出を行うことを特徴とする請求項８に記載のハードウエアトロイ検出装置。
15. 　コンピュータを、
    　検査対象のネットリストに含まれる全論理セルの論理式による演算を行って全論理セルの入出力値の更新を行う入出力更新手段、
    　更新された入出力値が閾値との比較結果に基づきハードウエアトロイの検出を行う検出手段
    　として機能させることを特徴とするハードウエアトロイ検出用プログラム。
16. 　前記コンピュータを更に、
    　前記全論理セルの入出力のネットに初期値としてパラメータを設定するパラメータ設定手段として機能させ、
    　前記コンピュータを前記入出力更新手段として、設定された前記パラメータを用いた前記演算を前記論理セルの全てについて所定回クール行って入力値と出力値の更新を行うように機能させ、
    　前記コンピュータを前記検出手段として、前記演算を所定回クール行ったときに得られたいずれかの論理セルの出力値に基づきハードウエアトロイの検出を行うように機能させる
    　ことを特徴とする請求項１５に記載のハードウエアトロイ検出用プログラム。
17. 　前記論理セルは、論理回路と、必要な場合に論理回路以外のバッファ、リピータを含むものであり、
    　前記コンピュータを前記入出力更新手段として、１回毎のクールにおける入力値と出力値の更新の処理内において、バッファ及びリピータについての更新の場合には、入力値がバッファまたはリピータの出力へ伝達されるまでの所定回数更新を行うように機能させることを特徴とする請求項１５または１６に記載のハードウエアトロイ検出用プログラム。
18. 　前記コンピュータを更に、ハードウエアトロイを含む既知ネットリスト及びハードウエアトロイを含まない既知ネットリストを用いて、前記パラメータ設定手段と前記入出力更新手段とによる処理を行い、この入出力更新手段における前記演算を所定回クール行ったときに得られた構成ネット内の入出力値に基づき第１の閾値を求める第１の閾値取得手段として機能させ、
    　前記コンピュータを前記検出手段として、前記第１の閾値を用いてハードウエアトロイの検出を行うように機能させることを特徴とする請求項１５乃至１７のいずれか１項に記載のハードウエアトロイ検出用プログラム。
19. 　既知ネットリスト及び検査対象のネットリストは、端子間ネットによって接続された一群の回路によって構成される構成ネットを１以上含む集合ネットを少なくとも含んで構成され、
    　前記コンピュータを前記第１の閾値取得手段として、構成ネット毎に第１の閾値を取得するように機能させ、
    　前記コンピュータを更に、既知ネットリスト内のそれぞれの構成ネットにおいて入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを既知ネットリストの全集合ネットについて合計して、得られたネットリスト毎スコアを比較して、最小のネットリスト毎スコアに基づき判定スコア閾値を得る判定スコア閾値取得手段として機能させ、
    　前記コンピュータを前記検出手段として、検査対象のネットリストの構成ネット毎に入出力値と第１の閾値との大小関係に応じて所定値のスコアを付与し、構成ネットに付与されたスコアの最大スコアを検査対象ネットリストの全集合ネットについて合計して検査対象スコアを得て、検査対象スコアを前記判定スコア閾値に基づき評価して前記検査対象のネットリスト中のハードウエアトロイの検出を行うように機能させる
    　ことを特徴とする請求項１８に記載のハードウエアトロイ検出用プログラム。
20. 　前記コンピュータを更に、所定時間内に一定値を出力するクロック数が所定値以上であり、最大スコアネット数が最大スコアネット数閾値以下である条件に合致するハードウエアトロイを含むと予想される既知ネットリストを複数の既知ネットリスト中から抽出し、抽出した既知ネットリストを用いて、前記パラメータ設定手段と前記入出力更新手段とによる処理を行うように機能させ、前記コンピュータをこの入出力更新手段として機能させて前記演算を所定回クール行ったときに得られた出力値に基づき第２の閾値を求める第２の閾値取得手段として機能させ、
    　前記コンピュータを前記検出手段として、前記第２の閾値を用いて前記検査対象のネットリスト中のハードウエアトロイの検出を行うように機能させることを特徴とする請求項１５乃至１９のいずれか１項に記載のハードウエアトロイ検出用プログラム。
21. 　前記コンピュータを前記検出手段として、前記検査対象のネットリストに基づく回路規模に対応する回路規模対応閾値と、前記演算を所定回クール行ったときに得られたいずれかの論理セルの入出力値の比較に基づき前記検査対象のネットリスト中のハードウエアトロイの検出を行うように機能させることを特徴とする請求項１５に記載のハードウエアトロイ検出用プログラム。

Images