專利名稱:一種基于puf的硬件木馬檢測(cè)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及硬件安全技術(shù)領(lǐng)域,尤其是涉及一種基于PUf的硬件木馬檢測(cè)系統(tǒng)。
背景技術(shù):
IC產(chǎn)品在各行各業(yè)都有著廣泛應(yīng)用。各種IC開(kāi)發(fā)套件除了給設(shè)計(jì)者帶來(lái)便利,也為設(shè)計(jì)電路埋下隱患。IC產(chǎn)業(yè)鏈不是完全可信的,在投入生產(chǎn)前的任何一個(gè)環(huán)節(jié),原設(shè)計(jì)都可能被在未使用的芯片空間中添加惡意功能,或?qū)υO(shè)計(jì)進(jìn)行惡意修改,即植入硬件木馬。這樣的電路一旦批量生產(chǎn)并投入使用,就可能給國(guó)家社會(huì)帶來(lái)巨大的損失。因此,如何有效檢測(cè)是否存在硬件木馬成為一個(gè)極為迫切的問(wèn)題?,F(xiàn)有的硬件木馬檢測(cè)方法大致可分為四類 I.物理檢測(cè)即通過(guò)對(duì)硬件實(shí)體按層進(jìn)行掃描,構(gòu)建出電路設(shè)計(jì),并與原始設(shè)計(jì)作比對(duì),如果不一致則說(shuō)明原始設(shè)計(jì)被篡改。但這種方法只能發(fā)現(xiàn)對(duì)電路功能的修改,對(duì)電路參數(shù)的修改則很難察覺(jué)。2.功能測(cè)試即在芯片的輸入端口施加激勵(lì),然后在芯片的輸出端口監(jiān)
測(cè)并觀察,如果輸出的邏輯值與預(yù)計(jì)的輸出不相符,則可以斷定發(fā)現(xiàn)了一個(gè)缺陷或木馬。3.內(nèi)建自測(cè)試技即在原電路中添加一些額外的結(jié)構(gòu),通過(guò)對(duì)比指紋來(lái) 監(jiān)測(cè)芯片內(nèi)部的信號(hào)或監(jiān)測(cè)缺陷。4.旁路分析技術(shù)由于硬件木馬的插入會(huì)對(duì)電路的旁路信號(hào)產(chǎn)生影響,
通過(guò)采集熱量、電磁輻射、功耗、電路延時(shí)等信息,通過(guò)與無(wú)木馬的電路進(jìn)行對(duì)比來(lái)判
斷是否有木馬。現(xiàn)有的技術(shù)都存在著比較大的缺陷,效率不夠高,成本不夠低,對(duì)硬件木馬的檢測(cè)都需要不存在木馬的IC進(jìn)行對(duì)比,要求高,難度大。
發(fā)明內(nèi)容
本發(fā)明主要是解決現(xiàn)有技術(shù)所存在的檢測(cè)效率不夠高,成本不夠低,對(duì)硬件木馬的檢測(cè)都需要不存在木馬的IC進(jìn)行對(duì)比,要求高,難度大技術(shù)問(wèn)題;提供了一種檢測(cè)方法簡(jiǎn)單,測(cè)試成本低,耗時(shí)短,可以穩(wěn)定高效地檢測(cè)是否含有硬件木馬的一種基于PUf的硬件木馬檢測(cè)系統(tǒng)。本發(fā)明的上述技術(shù)問(wèn)題主要是通過(guò)下述技術(shù)方案得以解決的
一種基于PUf的硬件木馬檢測(cè)系統(tǒng),其特征在于,包括
一原始數(shù)據(jù)保存模塊用于保存用戶的原始IC設(shè)計(jì)文件;
一 puf添加模塊根據(jù)用戶的選擇在原始IC設(shè)計(jì)文件中IC的若干模塊中添加puf ;一數(shù)據(jù)采集模塊將廠家根據(jù)用戶添加Puf 后的IC設(shè)計(jì)文件生產(chǎn)的IC進(jìn)行數(shù)據(jù)采集,并將采集的數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中;
一數(shù)據(jù)分析模塊數(shù)據(jù)庫(kù)中保存的采集數(shù)據(jù)進(jìn)行分析,并輸出判斷結(jié)果;一數(shù)據(jù)判斷模塊根據(jù)判斷結(jié)果判斷原始數(shù)據(jù)確定原始數(shù)據(jù)保存模塊中的原始IC設(shè)計(jì)是否被修改,并確定是否投產(chǎn)。一種基于PUf的硬件木馬檢測(cè)方法,其特征在于,包括以下步驟
步驟1,用戶將原始IC設(shè)計(jì)文件輸入至原始數(shù)據(jù)保存模塊中,并保存;
步驟2,用戶通過(guò)PUf添加模塊選擇在原始IC設(shè)計(jì)文件中IC的若干模塊中添加PUf ;步驟3,用戶將添加puf后的IC設(shè)計(jì)文件送至廠家進(jìn)行成產(chǎn),并在測(cè)試模式下將廠家根據(jù)用戶添加Puf后的IC設(shè)計(jì)文件生產(chǎn)的IC樣品通過(guò)數(shù)據(jù)采集模塊進(jìn)行數(shù)據(jù)采集,并將采集的數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中;
步驟4,數(shù)據(jù)庫(kù)中保存的采集數(shù)據(jù)由數(shù)據(jù)分析模塊進(jìn)行分析,并輸出判斷結(jié)果;
步驟5,用戶根據(jù)數(shù)據(jù)判斷模塊判斷原始數(shù)據(jù)確定原始數(shù)據(jù)保存模塊中的原始IC設(shè)計(jì)·是否被修改,并確定是否投產(chǎn)。在上述的一種基于PUf的硬件木馬檢測(cè)方法,所述的步驟3中,采集的數(shù)據(jù)為利用PUF檢測(cè)模塊產(chǎn)生的特征向量。因此,本發(fā)明具有如下優(yōu)點(diǎn)1.客服了現(xiàn)有其他檢測(cè)方法復(fù)雜,測(cè)試成本高,耗時(shí)長(zhǎng),需要原始設(shè)計(jì)或IC的缺點(diǎn),可以穩(wěn)定高效地檢測(cè)是否含有硬件木馬;2.在本質(zhì)上不考慮木馬觸發(fā)的條件極其困難性,基于從物理層面進(jìn)行檢測(cè),對(duì)大多數(shù)硬件木馬都可以檢測(cè)到。
附圖I是本發(fā)明的一種方法流程示意圖。附圖2是本發(fā)明的硬件結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面通過(guò)實(shí)施例,并結(jié)合附圖,對(duì)本發(fā)明的技術(shù)方案作進(jìn)一步具體的說(shuō)明。實(shí)施例
如圖I所示,該方法包括
步驟1,用戶將原始IC設(shè)計(jì)文件輸入至原始數(shù)據(jù)保存模塊中,并保存;
步驟2,用戶通過(guò)puf添加模塊選擇在原始IC設(shè)計(jì)文件中IC的若干模塊中添加puf ;步驟3,用戶將添加puf后的IC設(shè)計(jì)文件送至廠家進(jìn)行成產(chǎn),并在測(cè)試模式下將廠家根據(jù)用戶添加Puf后的IC設(shè)計(jì)文件生產(chǎn)的IC樣品通過(guò)數(shù)據(jù)采集模塊進(jìn)行數(shù)據(jù)采集,并將采集的數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中;采集的數(shù)據(jù)為利用PUF檢測(cè)模塊產(chǎn)生的特征向量。步驟4,數(shù)據(jù)庫(kù)中保存的采集數(shù)據(jù)由數(shù)據(jù)分析模塊進(jìn)行分析,并輸出判斷結(jié)果; 步驟5,用戶根據(jù)數(shù)據(jù)判斷模塊判斷原始數(shù)據(jù)確定原始數(shù)據(jù)保存模塊中的原始IC設(shè)計(jì)
是否被修改,并確定是否投產(chǎn)。關(guān)閉測(cè)試模式。在使用過(guò)程中,用戶與軟件不斷進(jìn)行交互。用戶的操作簡(jiǎn)單易見(jiàn),軟件自動(dòng)化完成puf添加,以及數(shù)據(jù)分析的全部過(guò)程。下面以具體事例結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步說(shuō)明
用戶A為某IC芯片的設(shè)計(jì)者,可以將自己的設(shè)計(jì)輸入硬件木馬檢測(cè)系統(tǒng)。系統(tǒng)在提供可添加puf的模塊后,用戶A可根據(jù)自己的需要選擇在哪些模塊中添加 PUf O添加puf 后的設(shè)計(jì)被送往廠家生產(chǎn),用戶A拿到產(chǎn)品后,打開(kāi)測(cè)試模式,對(duì)IC進(jìn)行數(shù)據(jù)采集,采集工作由軟件完成。系統(tǒng)通過(guò)對(duì)采集數(shù)據(jù)進(jìn)行分析,判斷IC是否被植入硬件木馬。用戶A根據(jù)系統(tǒng)的分析的結(jié)果得知自己的設(shè)計(jì)是否被修改,并判斷這批IC能否投入市場(chǎng)。本發(fā)明具有的理論意義和實(shí)際應(yīng)用價(jià)值
1)改進(jìn)了puf的設(shè)計(jì),并將其用在硬件木馬的檢測(cè)中,保證IC設(shè)計(jì)者的設(shè)計(jì)不被惡意修改;
2)提出的硬件木馬檢測(cè)方法比現(xiàn)有的方法更有效率檢測(cè)硬件木馬的存在。 本文中所描述的具體實(shí)施例僅僅是對(duì)本發(fā)明精神作舉例說(shuō)明。本發(fā)明所屬技術(shù)領(lǐng)域的技術(shù)人員可以對(duì)所描述的具體實(shí)施例做各種各樣的修改或補(bǔ)充或采用類似的方式替代,但并不會(huì)偏離本發(fā)明的精神或者超越所附權(quán)利要求書(shū)所定義的范圍。
權(quán)利要求
1.一種基于PUf的硬件木馬檢測(cè)系統(tǒng),其特征在于,包括 一原始數(shù)據(jù)保存模塊用于保存用戶的原始IC設(shè)計(jì)文件; 一 puf添加模塊根據(jù)用戶的選擇在原始IC設(shè)計(jì)文件中IC的若干模塊中添加puf ;一數(shù)據(jù)采集模塊將廠家根據(jù)用戶添加Puf 后的IC設(shè)計(jì)文件生產(chǎn)的IC進(jìn)行數(shù)據(jù)采集,并將采集的數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中; 一數(shù)據(jù)分析模塊數(shù)據(jù)庫(kù)中保存的采集數(shù)據(jù)進(jìn)行分析,并輸出判斷結(jié)果; 一數(shù)據(jù)判斷模塊根據(jù)判斷結(jié)果判斷原始數(shù)據(jù)確定原始數(shù)據(jù)保存模塊中的原始IC設(shè)計(jì)是否被修改,并確定是否投產(chǎn)。
2.一種基于puf的硬件木馬檢測(cè)方法,其特征在于,包括以下步驟 步驟1,用戶將原始IC設(shè)計(jì)文件輸入至原始數(shù)據(jù)保存模塊中,并保存; 步驟2,用戶通過(guò)puf添加模塊選擇在原始IC設(shè)計(jì)文件中IC的若干模塊中添加puf ;步驟3,用戶將添加puf后的IC設(shè)計(jì)文件送至廠家進(jìn)行成產(chǎn),并在測(cè)試模式下將廠家根據(jù)用戶添加Puf后的IC設(shè)計(jì)文件生產(chǎn)的IC樣品通過(guò)數(shù)據(jù)采集模塊進(jìn)行數(shù)據(jù)采集,并將采集的數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中; 步驟4,數(shù)據(jù)庫(kù)中保存的采集數(shù)據(jù)由數(shù)據(jù)分析模塊進(jìn)行分析,并輸出判斷結(jié)果; 步驟5,用戶根據(jù)數(shù)據(jù)判斷模塊判斷原始數(shù)據(jù)確定原始數(shù)據(jù)保存模塊中的原始IC設(shè)計(jì)是否被修改,并確定是否投產(chǎn)。
3.根據(jù)權(quán)利要求2所述的一種基于puf的硬件木馬檢測(cè)方法,其特征在于,所述的步驟3中,采集的數(shù)據(jù)為利用PUF檢測(cè)模塊產(chǎn)生的特征向量。
全文摘要
本發(fā)明涉及一種基于puf的硬件木馬檢測(cè)系統(tǒng)。本發(fā)明通過(guò)在原始IC設(shè)計(jì)文件中IC的若干模塊中添加puf;然后將添加puf后的IC設(shè)計(jì)文件送至廠家進(jìn)行成產(chǎn),并在測(cè)試模式下將廠家根據(jù)用戶添加puf后的IC設(shè)計(jì)文件生產(chǎn)的IC樣品通進(jìn)行數(shù)據(jù)采集,并對(duì)采集數(shù)據(jù)由數(shù)據(jù)分析模塊進(jìn)行分析,并輸出判斷結(jié)果;用戶根據(jù)數(shù)據(jù)判斷模塊判斷原始數(shù)據(jù)確定原始數(shù)據(jù)保存模塊中的原始IC設(shè)計(jì)是否被修改,并確定是否投產(chǎn)。有如下優(yōu)點(diǎn)客服了現(xiàn)有其他檢測(cè)方法復(fù)雜,測(cè)試成本高,耗時(shí)長(zhǎng),需要原始設(shè)計(jì)或IC的缺點(diǎn),可以穩(wěn)定高效地檢測(cè)是否含有硬件木馬;在本質(zhì)上不考慮木馬觸發(fā)的條件極其困難性,基于從物理層面進(jìn)行檢測(cè),對(duì)大多數(shù)硬件木馬都可以檢測(cè)到。
文檔編號(hào)G06F21/00GK102799813SQ20121022076
公開(kāi)日2012年11月28日 申請(qǐng)日期2012年6月29日 優(yōu)先權(quán)日2012年6月29日
發(fā)明者唐明, 楊建康, 孫偉晉, 馬嘯, 陳彥昊 申請(qǐng)人:武漢大學(xué)