[发明专利]可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法

说明书

技术领域

本发明涉及安全技术领域，特别涉及可信终端、双信道卡、抗克隆芯片、芯片指纹和抗信道攻击的方法。

背景技术

基本定义：信道是指信号传输信道，包括终端与终端之间的传输信道、同一终端芯片与芯片/芯片与部件/部件与部件之间的传输信道、芯片内部各模块之间的数据总线，以及芯片或模块内部的各种信号路径。木马是指具有窃听、泄露、篡改、插入、重放、截留和转发功能的恶意程序。芯片指纹：类似人的指纹，在芯片内部提取的每块芯片均不相同的具有独一性的信息。抗克隆芯片：包括芯片指纹模块的芯片，生产厂家无法生产出完全一致的抗克隆芯片。可信终端：通过软件木马无法截获敏感信息的终端。

信道攻击是指在信道上插入木马（包括软件木马、篡改硬件的硬件木马，以及篡改芯片或者预先在芯片功能模块中植入的芯片木马）所开展的攻击，主要包括：

1）物理入侵攻击，即攻击者以物理入侵的方式在终端内部的信号传输信道、在芯片功能模块的数据总线，或者芯片功能模块内部的信号路径上插入木马后开展的攻击。物理入侵攻击需要较为昂贵的设备，例如激光切割工作台、离子束聚焦FIB工作台、微探针等。

图1是一种物理入侵攻击芯片的示意图。如果芯片的关键密钥存储在SRAM中且带有入侵检测网络，则攻击可先采用桥接的方式在需要打断位置的两端连接延长引线，然后再打断。接头，攻击者根据需要切断存储器与其它模块的连接后，根据攻击需要重新连接引线，这一过程等价于在芯片内部的数据总线上插入木马。一旦在数据总线上成功地插入木马，则攻击者可以读取芯片中的密钥，写入相同结构的另一芯片中即可克隆芯片。因此，密钥存放在存储器（包括易失存储器和非易失存储器）中的芯片易于被物理入侵攻击者克隆。

2010年，国际可信联盟TCG推荐的“具有高度安全性”的英飞凌的可信平台模块TPM被Tarnovsky在论文T10“Deconstructing a‘Secure’Processor”（解剖一个’安全’的处理器）中破解并克隆；Tarnovsky通过“桥接”（bridge map，打断某条连线会引起芯片自毁，采用先并接后打断的方式可避免芯片自毁）方法绕过芯片无数的防御网络，然后用极为细小的探针接入数据总线而不被芯片的入侵检测电路发觉且不引起芯片自毁，然后读出SRAM中存储的数据，包括加密密钥和唯一的制造信息，从而成功地克隆了该TPM。

2）侧信道攻击：信号在信道传输和处理过程中与生俱来存在侧信道泄露，也就是说，芯片在生产时会毫无例外地植入泄露侧信道信息的木马。侧信道攻击形式多样，攻击成本较低，对于没有侧信道防护措施的安全芯片，攻击者将能够以很低的代价攻破芯片。主要的侧信道攻击包括能量攻击、计时攻击和故障攻击。能量攻击的原理是寄存器由0变成1时需要充电、由1变成0时需要放电、1变成1或者0变成0时电流变化较小。在芯片的接地脚上串接一个小的电阻，通过测试电阻两端的电压变化可获得芯片的功耗曲线，从功耗曲线中提取信息将可以推测出芯片中使用的密钥，从而攻破芯片。当芯片中使用的密钥中，某一比特为0和为1时的运算时间不同时，攻击者可通过观察每一比特密钥在计算时消耗的时间不同来猜测密钥，这就是计时攻击。此外，攻击者也可主动地向芯片注入故障信息，例如改变芯片的供电电压、改变芯片的时钟或在时钟上注入毛刺等获得错误的计算结果，进而计算出芯片中使用的密钥，这就是故障攻击。

掩码被认为是抵抗能量攻击的有效手段，是芯片通过测评的必备手段之一。然而理论和实验结果表明，n阶掩码只能抵抗n阶能量攻击，但抵抗不了n+1阶攻击。计时攻击易于抵抗，故障攻击的抵抗则比抭非常复杂，常用的手段包括电压检测保护模块、芯片内部产生时钟信号，以及光检测保护模块等，这些手段仅有安全增强的作用，难以抵抗装备精良团队的攻击。

3）密码协议攻击：在软件中插入软件木马开展的攻击。密码协议是建立在密码机制上的一种交互通信协议，使用密码算法实现密钥分配和身份认证等安全功能。所有的安全芯片在应用中都使用密码协议，一旦密码协议被攻破，则意味着采用该密码协议的安全系统需要报废。银行IC卡协议EMV协议在国际支付中处于统治地位，中国的支付协议则采用PBOC协议，EMV和PBOC均属于承载价值极为巨大的密码协议。下面将以EMV协议为例子指出该协议存在严重的缺陷。