一种基于功能特性展开的硬件木马威胁性分析方法与流程

本发明涉及一种集成电路的硬件木马威胁性分析方法，尤其涉及一种基于功能特性展开的硬件木马威胁性分析方法，属于集成电路安全性领域。

(二)

背景技术：

集成电路作为系统基础，其安全性不可忽视，目前研究者对硬件木马和检测方法的研究，都是针对特定产品研究某型硬件木马及检测方法。澳大利亚的john.shield在第十三届澳大利亚信息安全会议上指出，目前对硬件木马的研究关注点过于狭隘，实际上硬件木马目前已成为一种系统性的威胁，需要进一步研究集成电路安全性度量标准方法，通过定义和分解硬件木马威胁性、隐蔽性和危害性特性并综合研究。硬件木马作为集成电路安全领域的新课题，工程案例少，技术不够成熟，系统地研究硬件木马对集成电路的影响危害，需要对不同种类硬件木马危害性定量分析判定，分析对集成电路威胁性较大的硬件木马类型，针对性地检测和防范硬件木马。

产品的质量功能展开，就是指将顾客的需求转换成明确的产品特性，确定产品的设计质量，然后经过各功能、部件的质量，直至各部门的质量和工序要素，对其中的关系进行系统地展开，包括质量展开、技术展开、成本展开和可靠性展开。通俗地讲，质量功能展开就是把顾客的期望和要求转换为组织内部的“语言和程序”，并进行传递和实现的闭环系统。

硬件木马的功能特性展开，是将硬件木马未知的威胁性转换分配到隐蔽性与危害性，经过分析硬件木马的触发结构和有效载荷的功能、特性，然后通过定量或定性分析隐蔽性强弱、危害性等级，综合出硬件木马的威胁性，即分解分析再综合衡量。

逆向分析硬件木马威胁性，主要是分析以下功能特性：硬件木马作用的危害、硬件木马的出现频率、硬件木马的隐蔽性。虽然硬件木马威胁性由多因素综合决定，但主要因素是危害性，其次是隐蔽性，最后是硬件木马出现的频率(可能性)。对于航空航天和武器装备来说，规避故障危害是首要的，其次才是性能，也就是说，在保障安全性的要求下可以牺牲部分性能和经济性。

本专利主要针对硬件木马对集成电路的影响危害进行分析，并提出硬件木马隐蔽性和危害性的定义与判定，研究一种可以定量分析不同硬件木马威胁性的新方法，为集成电路安全性度量和防护提供一种思路。

(三)

技术实现要素：

1.目的：

本发明的目的是为了提供一种基于功能特性展开的硬件木马威胁性分析方法，它可以定量分析不同硬件木马威胁性，为集成电路安全性度量和防护提供一种新思路。

2.技术方案：

本发明提出一种基于功能特性展开的硬件木马威胁性分析方法，它包括以下步骤：

步骤一：基于硬件木马的结构确定硬件木马的触发结构和有效载荷；

步骤二：根据硬件木马的触发结构确定硬件木马隐蔽性；根据硬件木马的触发结构体积大小与触发率，确定硬件木马的隐蔽性等级；对硬件木马的隐蔽性进行分级划分，可分为4各级别i～iv；i级，容易检测，有成熟的检测方法；ii级，较难检测，检测效率不高或识别较困难；iii级，检测困难，需要特点的方法手段或检测可信度低；iv级，基本无法检测，没有合适方法和成功识别案例；

步骤三：采用rpn(riskprioritynumber)风险系数的方法计算硬件木马的危害性；rpn为事件严重度s、发生的频率o和不可探测度d三者乘积，其计算方式如下：

rpn＝s×o×d

式中：rpn为风险系数

s为事件严重度

o为发生的频率(指故障发生的频度)

d为不可探测度

rpn常用来衡量工艺缺陷，其结果值由1～200；严重度s为潜在失效模式的影响后果严重程度，1-4级，从无失效后果到无警告的严重危害后果，其计算方式参考gjb/z1391-2006《故障模式、影响及危害性分析指南》，引用故障影响的严酷度等级(即esr等级)，以硬件木马引发设备产品及系统故障后的危害严酷度，衡量硬件木马危害性；

在硬件木马危害性的rpn分析中，严重度采用表1的严酷度等级，即s＝esr，硬件木马发生的频率和不可检测度；

表1为影响严酷度的分级；

表1故障影响严酷度分级

上述表1内容以叙述方式表达如下：

当esr等级为i时，严重度s为1，故障影响的严重程度为不足以导致人员伤害、产品轻度的损坏、轻度的猜猜损失及轻度环境损坏，但会导致非计划性维护或修理；

当esr等级为ii时，严重度s为2，故障影响的严重程度为导致人员中等程度伤害、产品中等程度损坏、任务延误或降级、中等程度财产损坏及中等程度环境损害；

当esr等级为iii时，严重度s为3，故障影响的严重程度为导致人员伤害、产品严重损坏、任务失败、严重财产损坏及严重环境损害；

当esr等级为iv时，严重度s为4，故障影响的严重程度为导致人员死亡、产品(如飞机、坦克、导弹及船舶等)损坏、重大财产损失和重大环境损害；

发生的频率o，指故障发生的频度，分1-5级，从几乎不可能发生到发生几乎无法避免；硬件木马发生的频率不等于硬件木马的触发率，指硬件木马出现在集成电路中的频率，决定这一频率的因素是硬件木马的设计植入难度、对载体电路的要求以及攻击者的需求；根据案例分析结果，数字型硬件木马设计灵活、植入手段多样，是潜在发生频率最高的硬件木马类型；本专利对硬件木马发生频率的分级，采用故障模式影响及危害性分析(即fmeca)中故障发生概率的等级：a经常发生，高概率；b有时发生，中等概率；c偶然发生，不常发生；d很少发生，不大可能发生；e极少发生，几乎为零；

不可探测度d，指故障机理不可探测的程度，分1-10级，从几乎肯定到几乎不可能探测；硬件木马不可探测的程度，由于案例已知硬件木马类型都是可检测的，不能检测到的硬件木马，对其类型和位置也无法定位；对硬件木马危害性的分析，采用有效载荷的危害性的计算，即可探知程度暂定为100％(10)；

步骤四：见图1，将硬件木马功能特性展开，危害性依据步骤三确地的硬件木马危害性分级；隐蔽性依据步骤二确定的隐蔽性等级；将这两个元素带入模型搭建质量屋，有效载荷及其危害性作为“左墙”，触发结构及其隐蔽性作为“天花板”，同时，触发结构的组合可能性也归纳到“屋顶”，根据这些元素综合得到的关系矩阵分析硬件木马威胁性；

关系矩阵结果中，“△”“○”、“◎”表示威胁性强弱等级：

“△”表示1～3级：该组合的硬件木马类型出现概率小、威胁性弱；

“○”表示4～6级：该组合的硬件木马有一定概率出现、有威胁性；

“◎”表示7～9级：该组合的硬件木马出现概率大、有威胁性大。

通过以上步骤，就能利用功能特性展开分析硬件木马的威胁性，为硬件木马的防范工作和针对性检测提供了依据，通过逆向分解再从底层机理和特性入手分析上层结构的功能特性，可以有依据的对硬件木马威胁性定量衡量，形成了一种安全性度量标准，该分析方法简单实用，实施容易，具有推广应用价值。

其中，在步骤一中所述的“基于硬件木马的结构确定硬件木马的触发结构和有效载荷”，其作法如下：

根据硬件木马的触发方式确定触发结构，包括计数器和时序触发、组合逻辑触发、fsm状态机触发、电容电荷累积触发、门电压比较触发和物理掺杂型；

根据硬件木马的功能确定有效载荷，包括有改变节点和存储以及寄存器内容、侧信道泄露、中断/拒绝服务和物理摧毁类型。

其中，在步骤二中所述的“确定硬件木马的隐蔽性等级”，其具体实现方式如下：

对硬件木马的隐蔽性进行分级划分，可分为4各级别i～iv；i级，容易检测，有成熟的检测方法；ii级，较难检测，检测效率不高或识别较困难；iii级，检测困难，需要特点的方法手段或检测可信度低；iv级，基本无法检测，没有合适方法和成功识别案例。

其中，在步骤三中所述的“严重度s”的具体计算方法如下：

参考gjb/z1391-2006《故障模式、影响及危害性分析指南》，引用故障影响的严重程度esr等级，以硬件木马引发设备产品及系统故障后的危害严酷度，衡量硬件木马危害性；

在硬件木马危害性的rpn分析中，严重度采用表1的严酷度等级，即s＝esr，硬件木马发生的频率和不可检测度；

表1故障影响严酷度分级

上述表1内容以叙述方式表达如下：

当esr等级为i时，严重度s为1，故障影响的严重程度为不足以导致人员伤害、产品轻度的损坏、轻度的猜猜损失及轻度环境损坏，但会导致非计划性维护及修理；

当esr等级为ii时，严重度s为2，故障影响的严重程度为导致人员中等程度伤害、产品中等程度损坏、任务延误及降级、中等程度财产损坏及中等程度环境损害；

当esr等级为iii时，严重度s为3，故障影响的严重程度为导致人员伤害、产品严重损坏、任务失败、严重财产损坏及严重环境损害；

当esr等级为iv时，严重度s为4，故障影响的严重程度为导致人员死亡、产品损坏、重大财产损失和重大环境损害；

其中，在步骤三中所述的“发生的频率o”的具体计算方法如下：

硬件木马发生的频率不等于硬件木马的触发率，指硬件木马出现在集成电路中的频率，决定这一频率的因素是硬件木马的设计植入难度、对载体电路的要求以及攻击者的需求；根据案例分析结果，数字型硬件木马设计灵活、植入手段多样，是潜在发生频率最高的硬件木马类型；本专利对硬件木马发生频率的分级，采用fmeca中故障发生概率的等级：a经常发生，高概率；b有时发生，中等概率；c偶然发生，不常发生；d很少发生，不大可能发生；e极少发生，几乎为零。

其中，在步骤三中所述的“不可探测度d”的具体计算方法如下：

硬件木马不可探测的程度，由于案例已知硬件木马类型都是可检测的，不能检测到的硬件木马，对其类型和位置也无法定位；对硬件木马危害性的分析，采用有效载荷的危害性的计算，即可探知程度暂定为100％(10)。

3.优点及功效：

本发明提供基于功能特性展开的硬件木马威胁性分析方法，该发明的优点是：

(1)为硬件木马的防范工作和针对性检测提供了依据；

(2)通过逆向分解再从底层机理和特性入手分析上层结构的功能特性，可以有依据的对硬件木马威胁性定量衡量，形成了一种安全性度量标准。

(3)本分析方法简单实用，实施容易，具有推广应用价值。

(四)附图说明：

图1、硬件木马威胁性分析矩阵图。

图2、硬件木马威胁性分析图。

图中序号、符号、代号说明如下：

关系矩阵结果中，“△”“○”、“◎”表示威胁性强弱等级：

“△”表示1～3级：该组合的硬件木马类型出现概率小、威胁性弱；

“○”表示4～6级：该组合的硬件木马有一定概率出现、有威胁性；

“◎”表示7～9级：该组合的硬件木马出现概率大、有威胁性大。

(五)具体实施方式：

在现有的案例中，已有原理结构的触发结构包括有计数器和时序触发、组合逻辑触发、fsm状态机触发、电容电荷累积触发、门电压比较触发和物理掺杂型；有效载荷有改变节点和存储以及寄存器内容、侧信道泄露、中断/拒绝服务和物理摧毁类型。以这些触发结构和有效载荷为元素内容，并分析其隐蔽性分级和危害性分级，填入关系矩阵架构中。结合具体的实际案例，对本发明所述的一种基于功能特性展开的硬件木马威胁性分析方法进行详细说明。

本发明一种基于功能特性展开的硬件木马威胁性分析方法，其流程图如图1所示，具体实施步骤如下：

步骤一：基于硬件木马的结构确定硬件木马的触发结构和有效载荷；

步骤二：据硬件木马的触发结构确定硬件木马隐蔽性；根据硬件木马的触发结构体积大小与触发率，确定硬件木马的隐蔽性等级；

步骤三：采用rpn(riskprioritynumber)风险系数的方法计算硬件木马的危害性。rpn为事件严重程度、发生的频率和检测等级三者乘积，其计算方式如下：

rpn＝s×o×d

式中：rpn为风险系数

s为事件严重度

o为发生的频率(指故障发生的频度)

d为不可探测度；

rpn常用来衡量工艺缺陷，其结果值由1～200。严重度s为潜在失效模式的影响后果严重程度，1-4级，从无失效后果到无警告的严重危害后果；发生的频率o，指故障发生的频度，分1-5级，从几乎不可能发生到发生几乎无法避免；不可探测度d，指故障机理不可探测的程度，分1-10级，从几乎肯定到几乎不可能探测；

步骤四：硬件木马功能特性展开后，危害性依据步骤三确地的硬件木马危害性分级；隐蔽性依据步骤二确定的隐蔽性等级；硬件木马出现的可能性，则需要根据硬件木马结构判断。将这两个元素带入模型搭建矩阵，分析硬件木马威胁性，见图2；

关系矩阵结果中，“△”“○”、“◎”表示威胁性强弱等级：

“△”表示1～3级：该组合的硬件木马类型出现概率小、威胁性弱；

“○”表示4～6级：该组合的硬件木马有一定概率出现、有威胁性；

“◎”表示7～9级：该组合的硬件木马出现概率大、有威胁性大。

通过以上步骤，就能利用功能特性展开分析硬件木马的威胁性。威胁性关系矩阵结构反映，时序、逻辑触发改变电路节点类硬件木马和有限状态机触发的改变电路节点、拒绝服务类硬件木马威胁性较大。改写存储内容和物理摧毁类及硬件木马的威胁性较小。