VLSI测试原理如何赋能硬件安全:逻辑加密、分割制造等DfTr技术解析
1. 项目概述:当VLSI设计遇上“信任危机”
在芯片设计这个行当里干了十几年,我亲眼见证了行业从“闭门造车”到“全球化协作”的深刻转变。如今,一颗先进芯片的诞生,往往横跨多个大洲:美国公司做架构设计,欧洲团队提供IP核,亚洲的晶圆厂负责流片,最后封装测试可能又在另一个地方。这种分工极大地提升了效率,降低了成本,但也埋下了一个巨大的隐患:信任。
你如何确保送到海外代工厂的GDSII版图文件不被复制、篡改?如何防止竞争对手买来你的芯片,磨掉封装,一层层拍照,把你的核心设计偷走?更可怕的是,如果代工厂内部有“内鬼”,在你不察觉的情况下,在芯片里植入一个硬件木马(Hardware Trojan),平时相安无事,一旦触发特定条件(比如某个日期、某个指令序列),就可能让整个系统瘫痪或泄露关键数据。这不再是科幻情节,而是半导体行业每年面临数十亿美元损失的残酷现实。
传统的安全手段,如软件加密、防火墙,在硬件层面几乎无用武之地。硬件是软件的根基,如果根基被动了手脚,上层建筑再坚固也是徒劳。这就催生了一个全新的研究方向:硬件安全与信任。其核心目标,是在芯片的设计和制造流程中,主动嵌入安全机制,从物理和逻辑层面保护知识产权(IP)和功能完整性。
有意思的是,解决这个“信任危机”的灵感,并非完全来自密码学或网络安全,而是源于一个我们芯片设计者再熟悉不过的领域:VLSI测试。测试的目的是发现制造过程中引入的非故意缺陷,而硬件安全要防范的是故意、隐蔽的攻击。两者看似目标迥异,但在底层逻辑上却惊人地相通:都需要控制(Controllability)和观察(Observability)电路内部节点的状态,都需要分析信号如何传播(Propagation)和可能被掩盖(Masking)。本文将深入探讨如何将成熟的VLSI测试原理,转化为四种强大的“为信任而设计”(Design-for-Trust, DfTr)技术:逻辑加密、分割制造、IC伪装和木马激活。这些技术不是简单的功能堆砌,而是基于对电路本质理解的、精巧的“防御艺术”。
2. 核心威胁模型与防御思路拆解
在部署任何防御之前,我们必须先搞清楚敌人在哪里,以及他们想干什么。硬件安全的威胁模型主要围绕两个不信任的环节:不信任的制造厂(Untrusted Foundry)和不信任的终端用户(Untrusted End-User)。
2.1 主要攻击手段
- 逆向工程(Reverse Engineering):攻击者通过化学腐蚀逐层剥离芯片,用电子显微镜对每一层进行成像,然后通过图像处理和算法重建出门级网表(Gate-level Netlist)。一旦获得网表,芯片的所有设计细节,包括核心算法和电路结构,都将暴露无遗。
- IP盗版与芯片超量生产(IP Piracy & IC Overproduction):不信任的代工厂在完成订单后,利用已有的光罩和工艺数据,私自额外生产芯片并销售。或者,终端用户通过逆向工程获得设计后,自行找其他工厂流片。这两种行为都直接窃取了设计公司的知识产权和利润。
- 硬件木马插入(Hardware Trojan Insertion):代工厂内部的恶意人员在设计版图中插入极其微小、难以检测的恶意电路。这些木马通常只在极其罕见的条件下激活,在常规测试中完全隐形,但一旦被触发,可能导致信息泄露、功能错误或系统失效。
2.2 防御哲学:从“测试思维”到“安全思维”
VLSI测试的核心是故障模型。我们假设某个节点“粘滞”在0或1(Stuck-at fault),然后通过输入向量(Test Pattern)去激励这个故障,并构造一条敏化路径将故障效应传播到可观测的输出端,同时避免故障效应在传播途中被其他信号掩盖。
硬件安全防御可以巧妙地借用这套模型:
- 逻辑加密/IC伪装中的错误密钥或错误功能-> 可被视为注入电路的故障。
- 攻击者尝试错误密钥/功能-> 相当于在施加一个试图激励这个“故障”的输入模式。
- 错误输出能否被观察到-> 取决于这个“故障”效应能否被传播到输出端,而不被掩盖。
因此,一个强大的DfTr技术,其目标就是:确保当攻击者(使用错误密钥、错误连接或错误功能假设)时,他注入的“故障”能够以极高的概率(理想是50%)被激励并传播到输出,导致芯片功能错误,从而使其盗版或逆向工程得到的芯片无法使用。同时,还要确保攻击者无法通过分析输入输出关系,轻易地破解密钥或分辨出伪装单元的真实功能。
3. 四大“为信任而设计”技术深度解析
下面,我们逐一拆解这四种核心技术,不仅看它们怎么做,更要理解它们为什么这么做,以及初期“朴素”实现方式的致命缺陷。
3.1 逻辑加密:给芯片加上“逻辑锁”
3.1.1 基本思想与朴素实现的陷阱
逻辑加密的核心思想是在原始电路网表中插入额外的逻辑门,称为密钥门。最常见的是插入XOR/XNOR门或MUX。插入后,电路必须输入正确的密钥序列才能正常工作;输入错误密钥,电路输出将是混乱的。
注意:这里的“加密”不是指对设计文件进行AES加密,而是对硬件功能本身进行加密。一个加密后的网表,即使被攻击者获得,在没有密钥的情况下也无法正确使用。
最初的朴素想法是随机插入密钥门。但这存在两个严重问题,如图1所示:
问题一:输出腐化率不足。随机插入的密钥门,对于很多输入向量,即使施加错误密钥,电路仍能产生正确输出。这意味着攻击者拿到的“锁芯”有很多把钥匙都能碰巧打开,加密形同虚设。安全性的一个关键指标是汉明距离,即错误密钥和正确密钥输出之间的差异位数。理想情况下,对于任何输入和任何错误密钥,都应有50%的输出位不同。随机插入远达不到这个目标。
问题二:密钥易被破解。如图1(b)所示,攻击者如果获得了加密网表,并通过黑市购买或其它手段获得了一些“正确输入-输出对”,他可以通过逻辑分析,找到某些输入模式能够将某个密钥位的值直接“敏化”到输出端观察出来。一旦能逐个击破密钥位,整个加密体系就崩溃了。
3.1.2 基于故障分析的增强型逻辑加密
解决方案正是深度借鉴测试原理。我们将“施加错误密钥”建模为在密钥门输出端注入一个固定型故障(Stuck-at-0或Stuck-at-1)。
- 故障激励(对应测试原理1):选择一个错误密钥,相当于在对应的密钥门输出端固定了一个故障值。
- 故障传播(对应测试原理3):我们的目标是让这个故障效应尽可能传播到多个原始输出。这就需要计算每个潜在插入点的故障影响力。
- 故障掩盖(对应测试原理4):需要避免插入多个密钥门后,它们引入的错误效应在传播途中相互抵消,导致输出反而正确。
实操中的关键算法:我们不再随机选点,而是进行故障模拟。对于电路中每一个候选节点,我们模拟在其上插入XOR密钥门后,施加大量随机输入向量和错误密钥时,平均有多少输出位会被影响。选择那些故障影响力最高的节点进行插入。通过迭代这个过程,可以系统性地将输出腐化率推向50%的黄金标准。
3.1.3 构建“难破解”的互锁结构
为了防止密钥被逐个破解,我们需要在密钥门之间制造干扰。借鉴测试中的敏化原理(测试原理2),我们故意将密钥门插入到这样的位置:当攻击者试图将密钥门A的效应敏化到输出时,必须通过密钥门B所在的路径,而B的密钥值未知且不可控,从而阻塞了敏化路径。
如图2所示,密钥门K1和K2被插入到相互制约的位置。攻击者无法单独将K1或K2的效应传播到输出,他必须同时猜测K1和K2的值。这迫使攻击者从线性复杂度的攻击(逐个破解)转向指数复杂度的暴力破解,安全性得到质的提升。
3.1.4 每芯片唯一密钥与PUF的应用
如果一个设计对所有芯片使用同一个密钥,那么一旦一个芯片的密钥泄露,所有芯片都沦陷。因此,需要每芯片唯一密钥。这可以通过物理不可克隆函数实现。
PUF是一种利用制造过程中不可避免的、随机的微观物理差异(如晶体管阈值电压波动)的电路。对于相同的输入,不同芯片的PUF会产生不同的、不可预测的输出响应,就像芯片的“指纹”。
集成方案:
- 设计阶段:在芯片中集成一个弱PUF电路和逻辑加密模块。
- 制造后:设计师从每个芯片中读取出其唯一的PUF响应值(芯片密钥Chip Key)。
- 密钥生成:设计师将一个全局的“设计解锁密钥”与每个芯片的Chip Key进行异或,生成最终的“芯片解锁密钥”。
- 交付:将芯片和对应的唯一芯片解锁密钥交付给用户。 这样,即使一个芯片的密钥泄露,也无法用于其他芯片,因为它们的PUF响应不同。
3.2 分割制造:把秘密“分开保管”
3.2.1 基本思想与“邻近攻击”的威胁
分割制造将芯片的制造流程物理拆分。通常,将包含晶体管和底层金属层(如M1-M4)的前端工序交给一个(可能不信任的)高端晶圆厂完成,而将高层互连金属层(如M5及以上)的后端工序交给一个信任的、成本较低的工厂完成。最后,由设计公司或可信方将两部分整合。
理想情况下,不信任的前端厂只拥有不完整的版图,无法得知顶层金属的互连关系,因此无法进行完整的逆向工程或准确插入木马。
然而,朴素的分割方案存在“邻近攻击”漏洞。物理设计工具(布局布线工具)为了优化时序和线长,有一个核心启发式规则:将需要连接的引脚放置得尽可能近。攻击者即使不知道高层金属的连接关系,也可以简单地根据前端层中模块引脚的物理位置,将距离最近的两个兼容引脚连接起来,就能以很高的概率猜中正确的连接,从而重建电路。
3.2.2 基于故障分析的引脚交换策略
防御邻近攻击的思路是:故意欺骗布局布线工具。我们通过交换模块间的连接引脚,破坏“最近即连接”的启发式规则。
具体操作上,这同样可以转化为一个故障分析问题:
- 故障激励:将“交换两个引脚”视为在其中一个引脚上注入一个故障(其信号值变为另一个引脚的值)。
- 故障传播:我们需要选择那些一旦交换,其错误值能最大程度传播到输出的引脚对。
- 故障掩盖:需要避免交换多对引脚时,产生的错误效应相互抵消。
安全度量:我们定义引脚交换影响力。对于一对候选交换引脚(A, B),我们在网表中模拟交换它们,然后施加大量随机测试向量,统计输出位发生错误的总次数。选择影响力高的引脚对进行交换。
通过有策略地交换一小部分关键引脚(例如,对于ISCAS-85基准电路,通常只需交换不到20对引脚),就能使攻击者基于邻近猜测得到的网表,其功能与原始设计的汉明距离接近50%,从而使其完全失效。
3.3 IC伪装:在版图上玩“大家来找茬”
3.3.1 基本思想与实现方式
IC伪装是在版图级别进行的欺骗。它制造一些看起来完全一样,但实际功能不同的标准单元。最常见的方法是使用伪接触孔。一个真正的接触孔是实心的,连接两层金属或金属与多晶硅;而一个伪接触孔中间有间隙,实际上并不导通,但从顶视图看两者一模一样。
例如,我们可以设计一个NAND门和一个NOR门,让它们在版图上看起来完全一样。在提取出的网表中,攻击者将无法区分这个单元到底是NAND还是NOR,或者其他什么功能。
3.3.2 朴素伪装的失效与增强策略
随机选择一些门进行伪装同样会失败,原因与逻辑加密类似:
- 输出影响弱:伪装的门可能位于电路的“死角”,其功能错误无法传播到输出,攻击者即使猜错功能,芯片行为依然正确。
- 功能可解析:攻击者可以通过施加特定的输入向量,将伪装门的输出敏化到可观测端口,从而直接“读出”其真实功能。
增强策略:我们需要选择那些对输出有高影响力的门进行伪装。这同样可以通过故障模拟来实现。我们将“给伪装门赋予错误功能”建模为在其输出端注入一个固定型故障。计算每个门的输出腐化能力指标,即当该门功能错误时,平均能影响多少输出位。优先伪装那些腐化能力高的门。
同时,为了制造“难破解”的伪装,我们需要在伪装的单元之间创建功能干扰。就像逻辑加密中的密钥门互锁一样,选择一组伪装门,使得要确定其中一个的功能,必须同时知道其他几个的功能,迫使攻击者进行组合爆炸式的暴力破解。
3.4 硬件木马激活:让“沉睡者”现形
3.4.1 木马的隐匿性与检测挑战
硬件木马为了逃避制造后测试,通常被设计为仅在极低概率的条件下激活。例如,木马的触发条件可能是一个在正常操作中几乎不会出现的特定128位内部状态。因此,在有限的测试时间内,木马被激活的概率微乎其微。
基于旁道分析的检测方法(如功耗、延时指纹分析)假设木马电路会增加额外的功耗或延时。但如果木马连接在电路低翻转概率的节点上,其静态和动态功耗都极低,难以从工艺偏差的背景噪声中被检测出来。
3.4.2 利用dSFF增加内部节点活动性
解决方案是主动改造电路,增加内部节点的可控制性和可观测性——这恰恰是扫描链的设计初衷。我们可以在低活动性的节点后插入伪扫描触发器。
dSFF在测试模式下,可以通过扫描链被直接控制,从而我们可以主动地向这些低活动性节点注入高频率的翻转信号。这就像给一个平静的池塘里扔石头,如果池塘里藏着一条“木马鱼”,它就会被惊动。增加的翻转活动会导致木马电路消耗更多动态功耗,使其在功耗旁道分析中更容易暴露。
在正常功能模式下,dSFF被旁路,不影响电路原有功能。通过算法优化dSFF的插入位置,可以用最少的面积和功耗开销,最大化地提升电路内部节点的平均翻转概率,从而压缩木马的藏身空间。
4. 技术选型与工程实践考量
4.1 如何选择适合的DfTr技术?
没��一种技术是万能的。选择取决于你的威胁模型和业务模式。
| 技术 | 主要防御对象 | 信任假设 | 适用场景 | 开销类型 |
|---|---|---|---|---|
| 逻辑加密 | IP盗版、超量生产、逆向工程、木马插入(间接) | 信任设计方和终端用户;不信任代工厂。 | 设计公司拥有核心IP,需要外包制造。 | 面积、功耗、性能(密钥门延迟);需要片上安全存储。 |
| 分割制造 | IP盗版、超量生产、木马插入(间接) | 信任后端厂和系统集成商;不信任前端代工厂。 | 拥有可信的后端集成能力,且前端工艺依赖不可信的高端厂。 | 制造成本增加(两次流片、对准集成)、设计复杂度。 |
| IC伪装 | 逆向工程、IP盗版 | 信任代工厂;不信任终端用户/竞争对手。 | 防止终端产品被物理逆向。对代工厂泄露版图细节风险可控。 | 面积、功耗(伪装单元通常比标准单元大且慢)。 |
| 木马激活 | 硬件木马检测 | 不信任代工厂;信任测试环境。 | 对安全性要求极高的领域(军事、金融、基础设施),需进行出厂前高可信检测。 | 面积、功耗(dSFF及旁路逻辑)、测试时间。 |
组合使用:对于最高安全等级的应用,可以采用“纵深防御”。例如,对核心模块同时使用逻辑加密(防代工厂)和IC伪装(防终端用户),并在测试阶段使用木马激活技术进行筛查。
4.2 实际部署中的挑战与心得
- 开销权衡:所有安全特性都会带来开销。逻辑加密和IC伪装增加面积和功耗,可能影响时序收敛。分割制造显著增加成本和制造周期。在项目初期就必须将安全预算纳入PPA评估。
- EDA工具支持:目前主流EDA工具链对DfTr的原生支持还很有限。很多技术(如基于故障分析的密钥门插入、引脚交换)需要研究人员自己开发脚本或工具,与现有综合、布局布线流程集成是一大挑战。与EDA厂商合作或采用学术界的开源工具是可行路径。
- 测试与验证的复杂性:加密或伪装后的电路,其功能验证和制造测试变得更加复杂。你需要确保在正确密钥下电路功能100%正确,同时还要验证错误密钥下的行为符合安全预期。这需要扩展验证计划,开发新的测试向量生成方法。
- 侧信道新风险:逻辑加密等技术可能引入新的侧信道漏洞。例如,加密电路的功耗或电磁辐射特征可能与密钥相关,可能被高阶攻击者利用。需要在设计时考虑抗侧信道攻击设计。
- 标准化与生态:硬件安全技术尚未像软件加密那样形成广泛的标准。IP供应商、设计公司、代工厂之间需要建立新的信任模型和数据交换协议(例如,如何安全传递密钥或分割的版图)。
5. 未来展望与结语
硬件安全与信任领域正在从学术研究快速走向工业实践。我们看到,将VLSI测试这一成熟领域的深厚积淀应用于新兴的安全挑战,是一条非常富有成效的路径。它不仅仅是工具的复用,更是一种思维模式的迁移——从“发现缺陷”到“植入可控的‘缺陷’以防御恶意行为”。
未来的趋势将集中在几个方面:一是自动化与工具化,将DfTr技术无缝集成到商业EDA流程中,降低设计门槛;二是与新兴技术结合,例如利用机器学习优化安全单元(密钥门、伪装单元)的布局,或利用量子计算研究后量子时代的硬件安全原语;三是标准化与认证,建立行业公认的硬件安全评估基准和认证体系。
作为一名深耕一线的工程师,我的体会是,硬件安全不再是可选的“加分项”,而是必须从设计伊始就统筹考虑的“基础项”。它要求我们不仅是一名电路设计师,还要具备安全架构师的思维。这个过程充满挑战,但看着自己设计的芯片能够真正抵御来自供应链和物理世界的威胁,这种成就感是无可替代的。安全是一场攻防永续的马拉松,而基于测试原理的DfTr技术,为我们提供了一套坚实、可分析、可工程化的起跑装备。