你的硬件安全吗？-硬件木马说

概述

网络安全属于非传统安全领域，但目前对其威胁和风险的认知，还停留在传统层面。事实上，“木马”威胁从应用软件到操作系统，再到硬件层面，已全面告警。然而，由于当前的安全关切主要聚焦在软件层面，而且传统观念认为“木马”通常是在软件上，以致大量隐藏植入、长期潜伏在底层硬件中的“木马”（又称“硬件木马”）被人忽视，而其往往对网络安全具有更为致命的威胁。

目前，“硬件木马”还没有一个统一的概念，较为主流的理解，是指在集成电路（芯片）设计阶段被蓄意植入或更改的特殊电路模块，经特定条件触发，被用来实施网络攻击。一般而言，集成电路包含一系列功能模块，每个功能模块被赋予执行一项特定任务。如果其中一个是“木马”模块，一旦被触发“唤醒”，或者使芯片直接报废（若在武器装备系统中，则可导致其瘫痪、崩溃），或者虽不影响系统运行，但通过搭建窃取秘密数据的线路，并在特定时段向外部发送，致使系统无密可保。-By《安康市国家保密局 》。

上面的描述是对硬件木马最直观的理解，而产生硬件木马的主要原因就是集成电路行业多购买第三方Ｐ核，或者采用自动布局布线工具。这些工具并非理想，使得芯片中有大量剩余空间，攻击者可能在制造环节中，向芯片的电路注入带有特定恶意目的的“硬件木马”电路。集成电路芯片已广泛应用于国民经济的各个领域，一旦出现“硬件木马”攻击，将会带来严重后果。

实事求是地说，硬件木马离我们并不遥远——据中国台湾媒体报道，中国台湾VIA公司于2014年11月24日在中国香港高等法院审理“HKIAC/A11022仲裁案”上诉案中，承认VIA的VT3421安全芯片(亦使用编号TF376）有后门，威盛电子高层黎少伦甚至在诉讼中坦承，“这颗晶片，有“后门”(Backdoor)。”

据媒体报道，该起案件的起因是VIA设计生产的VT3421安全芯片被出售给Samsung、Honda、上海通用、中国电子、新科电子等20多家公司后，遭客户投诉经常发射存储器泄露、频频当机等情况而引发的......

在案件审理中，VIA公司公然辩称TF376的设计，“Preventing hackers such as”“Fa Lun Gong”只是产品功能之一；并坦承产品留有后门（Backdoor），“客户不知道Backdoor的存在，亦不能自行启动”。VIA却可以轻易打开这个后门，取得末端使用者手机、机顶盒等之包括通话、通讯录、信用卡、定位等等各种数据。

特点

硬件木马一般是由攻击者根据被攻击系统的工作原理精心设计，实现对底层硬件的修改，而且随着半导体工艺的不断发展， 纳米级关键尺寸和电路高集成度使得硬件木马的检测越来越困难。

与传统的软件木马相比，硬件木马具有以下几个特点：

1. 隐蔽性强。硬件木马逻辑部件较小且在未激活时不影响系统功能，不易被检测；
2. 设计灵活，作用机制复杂。可实现摧毁，逻辑破坏，信息泄露等不同功能；
3. 破坏力大。通用CPU已被广泛使用，而且通常广泛用于对信息系统中央控制，一旦遭到硬件木马攻击，将对国家利益造成重要威胁；
4. 设计要求高。硬件木马设计需要设计者熟悉系统工作原理，有较高的硬件设计水平；
5. 防护检测难度大。随着半导体工艺的进步，集成度的提高，使得硬件木马检测的难度越来越大。 例子 这里举个例子，例子来源于下一节中的参考文献。

硬件木马电路需要 寄生在某一正常的功能电路之中，成为该电路的旁 路分支，其模型如图１所示．硬件木马攻击包括木马注入、监听触发以及木马发作三个步骤：首先，攻击者需要在 Foundry厂制造之前，将硬件木马电路注 入到正常的功能电路中；待芯片投入使用后，硬件木马电路监听芯片功能电路中的特定信号；当特定信号达到某些条件后，硬件木马电路被触发，木马电路 完成攻击者所期望的恶意攻击行为。

硬件木马电路主要包括触发部分和负载两部分：负载通常有以下三类型功能：①把内部敏感信息（如明文、密钥）传输给攻击者；②修改电路功 能，如用密钥代替输出密文；③毁坏芯片．对于触发机制，一般有如下三种：①攻击者可以接近加密芯片 并且直接输入木马预设值来触发木马；②木马被内部条件触发，针对那些不能物理接近加密系芯片的攻击者。如在含有ＧＰＲＳ导航的系统 中，可以设定某一确定坐标值为触发条件；③木马一直是激活的。

根据硬件木马的触发机制，举例计数器型木马，其功能类似于定时炸弹，结构如图２所示，一般情况下，木马电路并不影响信号 ER 的正常输出，但是当计数到2^(k-1)时，木马被触发，改变信号ER，让其输出错误值 ER*。

计数器木马具体电路设计如图３所示．采用十位计数器，每输出一个被监测的数据，计数器的值就会自增一，直到到达预设值 Ｎ，木马即会被触发，输出值将被锁存１。为了避免在设计者的功能测试环节木马即被触发，预设值 Ｎ 要尽可能的大。该木马电路采用10位计数器，只有当检测到输出为指定值 “10‘b11_1111_1111’”的时候，木马被触发，电路输出值被锁存为１。

参考文献

相关的参考文献很多，这里只提供几篇，有兴趣的大家可以去相关网站下载。