冷战时期，间谍活动和秘密宣传主要针对国家间的军事和政府机构，平民世界基本上不受间谍阴谋的影响。

现在世界已经发生了变化：民用技术、计算基础设施和网络以及高科技公司本身现在对所有现代社会的运作都至关重要。食品和其他必需品的供应和采购，或公路和铁路运输网络的安全运行等基本功能，都依赖于基本的网络和计算基础设施，以及智能手机和个人电脑等个人设备。

这为敌对的外国势力提供了更广阔的目标，如果他们想要扰乱或破坏敌人的经济，并使恐慌、恐惧或不安在人群中蔓延。

突破本应保护当今技术的壁垒的回报很高。这对嵌入式片上系统（SoC）制造商具有重要意义。商业和民用技术面临着被攻击的风险，就像冷战时期的军事技术一样。资源丰富的犯罪组织和黑手党也嗅到了获得经济收益的潜力。黑客攻击不再是躲在卧室里电脑前的孤独工程师的专利。

如今的黑客可能是在敌对国家间谍机构运营的实验室工作的计算机科学家，或者是由使用工业间谍方法破坏竞争对手公司运营的计算机科学家——他们通常得到其本国政府的支持。这些黑客是高度组织化的团队的一部分，他们拥有充足的资源可支配，可以使用复杂且昂贵的半导体测试、检查和编程设备。这些资源对于成功参与故障注入攻击尤为重要，这是一种通过故意扰乱正常系统运行来破坏 SoC 安全性的成熟方法。

安全研究中的一个不言而喻的事实是，没有任何对策是完美的：安全的作用是使攻击一个设备所涉及的成本、时间和精力大到不值得去做。今天的 SoC 制造商需要认识到，敌对国家和商业对头的风险很高，潜在的攻击者比以往任何时候都拥有更多的时间和金钱可供支配。

因此，SoC 的安全保护必须应对可能发起攻击的每一个潜在向量。正是在这种情况下，SoC 设计人员应该评估本文中提出的分层安全概念：一种在影响 SoC 的每个点上应对潜在故障攻击的方法。

那么黑客如何攻击 SoC 以破坏存储在其中的秘密，例如加密算法使用的密钥？

有一种方法不需要修改或操纵芯片的操作。最常见的例子是“侧信道攻击”，即黑客监控芯片电源中的模式。如果芯片缺乏特定的保护电路，专业黑客可以在电源信号中检测到特征标志，这些标志指示何时发生加密等关键功能。如果已知关键事件的时间，黑客可以准确地确定行动时间来破坏或禁用它。

这就需要第二种攻击方法，即“故障注入攻击”。侧信道攻击涉及在不修改其行为的情况下监听芯片，而故障攻击会主动破坏芯片的运行。

故障注入攻击分为三类：非侵入式、半侵入式和侵入式：

 ·非侵入性故障攻击旨在不修改芯片的情况下引发瞬时故障，例如寄存器或存储敏感数据的存储器中的位翻转。

 ·半侵入式故障攻击涉及通过蚀刻去除芯片的封装而不改变芯片的电路。然后，攻击者可以通过在暴露的电路上发射高功率闪光灯或在电路的特定部分照射激光来诱发故障。

 ·侵入性故障攻击涉及移除封装和金属层以允许微探测（监控或测量内部信号）。黑客甚至可以通过 FIB-SEM 纳米加工修改电路，以停用或移除安全功能。侵入性故障攻击可能会破坏芯片。

如图 1 所示，随着攻击的性质变得更具侵略性，攻击的成本和所需设备的复杂性也会增加。

图 1 - 非侵入式攻击比半侵入式或侵入式攻击更容易执行且成本更低

这些攻击方法的发展是建立在第二次世界大战结束后不久发现的半导体电路异常操作的基础上，当时冷战正达到高潮。在 1950 年代对核弹进行地上试验后，科学家注意到试验场附近的测量仪器产生了错误的结果，但他们无法解释原因。在 1960 年代部署在太空中的电路中也观察到了类似的现象。直到 1970 年代，这种现象才获得了一个名称：“单事件扰动”，或 SEU。同样在1970年代，IBM研究机构证明，SEU 可以通过宇宙射线中的 α 辐射粒子在半导体芯片中诱导产生——不是在太空中，而是在海平面上。

聪明的工程师们没过多久就发现，一个易受意外或随机 SEU 故障影响的芯片也可以产生由故意诱发的 SEU 引起的故障。第一次成功的此类攻击发生在 1990 年代后期，当时黑客设法访问 DirecTV 订阅智能卡的内存以免费访问付费电视服务。然后，DirecTV 试图通过在其操作软件中插入一个无限循环来禁用被黑客入侵的卡。

黑客通过将故障注入智能卡以退出循环，成功地击败了无限循环。黑客使用的故障注入方法模仿了宇宙射线撞击智能卡芯片的效果：他们注入了一个电压故障来扰乱芯片的电源系统。

在早期，黑客通过反复试验的过程进行实验性学习。随后黑客开发了复杂的故障模型，使得 SEU 故障的注入和利用更加系统和有效。他们还找到了诱发 SEU 的新方法：黑客拥有光脉冲和激光脉冲，如今甚至还有电磁脉冲，以及电压故障。

作为回应，SoC 制造商开发出了更多更复杂的应对措施。安全领域现在就像一场军备竞赛，黑客们不断努力地击败芯片制造商越来越有效的反制措施。

定位 SoC 反措施最明显的地方是攻击具有破坏性影响的地方，即逻辑操作中。但是注入故障的位置和随之而来的 SEU 出现的位置是不同的——这两点都需要保护：在第一点，检测事件；在第二点，加强芯片对其影响的防御。

图 2 - 安全金字塔。故障注入针对物理层，但故障在逻辑层被利用

故障注入攻击的效果是破坏或禁用加密基元、算术、协议或其他软件中的逻辑操作，以揭示系统处理或存储在内存中的秘密。出于这个原因，当今的 SoC 制造商通常会部署反措施来保护加密原语和其他安全软件，试图让黑客的工作变得困难，以至于不值得入侵。

有多种方法可以实现此类软件层面的措施：

·保护执行流程——分支强化是一种方法。冗余执行也被采用——系统多次执行一个进程并比较每次执行的结果。出现频率最高的结果被认为是正确的，而其他结果则以它们已被破坏或受到故障攻击为由丢弃。

·保护信息——SoC可以像采用冗余执行一样使用冗余数据，多次比较使用相同数据的操作结果。

·感染性计算在有效输出旁边插入来自易受攻击进程的随机错误输出。一个输出的有效性对SoC来说是已知的，但对潜在的攻击者来说不是，这意味着攻击者无法轻易地区分 SEU 的影响与 SoC 本身随机引入的故障。

·时间混淆——软件抖动和安全进程的随机定时执行确保黑客无法轻易定位关键进程发生的时间点。这使得故障注入攻击的同步变得更加困难。

所有这些软件层面的保护方法都具有提高 SoC 对故障攻击的抵抗力的效果。但它们有两个严重的缺点。首先，它们极大地影响系统运行，减慢执行速度并增加了代码量。

其次，由于它们依赖于芯片数字逻辑，这些方法本身很容易受到反击，并且可以被击败。

因此，在软件中实施的保护方法有其自身的漏洞。那么 SoC 能否在电路的逻辑元件中获得较低层的保护？

在这里，对策通过掩盖或破坏安全进程的时间或位置来增加对攻击的抵抗力。用于强化数字逻辑的可用方法包括：

·保护执行流——确认控制流的完整性涉及将循环冗余校验（CRC）过程插入到执行流中。CRC 可用于确认执行事件的正确时序和内容。冗余还使 SoC 能够对执行事件进行奇偶校验。

·空间混淆——这是一组用于掩盖安全数据和进程位置的方法。方法包括总线加扰和内存加密。

·时间混淆——包括流水线在内的方法，可以破坏黑客赖以将故障注入攻击与芯片上的关键事件同步的常规时间。通过随机抖动芯片的时序，SoC 制造商使故障注入攻击的可重复性大大降低。

上述的应对措施增加了SoC对利用故障注入攻击所引起的SEU的抵抗力。

但最强大的保护形式是完全阻止攻击者诱导可追踪的 SEU——从源头上阻止威胁。这就需要针对不同类型威胁的物理层采取保护措施。

半侵入式攻击发生在移除芯片封装之后：攻击者可以通过微探测测量电路活动，或者通过将光或激光脉冲引导至暴露的电路来诱发故障。为了阻止侵入性攻击，SoC 可以部署一个主动防护罩。这是覆盖在半导体电路顶部并与之相连的金属网。在有源屏蔽中，数据流通过电线连续传输。将此数据流与具有相同模式的参考数据进行比较，两个相同电路的操作之间的任何差异都会触发警报，表明屏蔽的完整性可能已受到损害。

这是一种有价值的保护形式，可防止光脉冲攻击和微探测。它的硅占用面积很小——通常不到总芯片面积的 3%——并且功耗仅为 2.5 µW/mm2。但它只保护顶部，因此不能防止激光脉冲穿过芯片底部，即所谓的背面攻击。

然而，通过在整个芯片上分布超灵敏的脉冲检测单元，可以实现对激光脉冲和电磁（EM）脉冲的强大保护。模拟激光脉冲检测单元是基于与标准数字 EDA 设计流程兼容的标准单元的修改版本。它们对激光脉冲非常敏感，可以在攻击生成可利用的 SEU 之前立即检测到攻击，并触发适当的芯片级反措施。

一个模拟激光脉冲检测器的尺寸通常仅为 NAND2 门单元的 2.5 倍。

数字电磁脉冲检测器是一种小型逻辑电路，它对电磁场的灵敏度比任何其他逻辑电路都高得多，通常只有75 个 NAND2 门单元的大小，电磁脉冲检测器单元旨在分布在整个芯片上，以便无论脉冲攻击指向何处，它们都能检测到脉冲攻击。

如图 1 所示，与电压突变或时钟突变攻击等非侵入性方法相比，半侵入性故障攻击（例如将激光脉冲射入芯片顶部或底部）实施起来更加复杂和昂贵。

电压突变实际上是 SoC 易受攻击的最低成本的故障注入攻击形式：它是大多数潜在攻击者可用的方法。并且针对它的最强保护形式也很容易获得：Invia 提供的 IP 产品电压突变检测器具有非常小的芯片面积，功耗非常低，并且具有出色的检测能力（ 参见图 3）。

Invia 电压突变检测器占用的芯片面积小于 0.02 mm2，消耗电流低至 10 nA，可检测非常快的电压事件。它具有可微调的检测阈值和可调节的检测斜率。

由于电压突变攻击的发动成本很低，而且电压突变检测器提供了如此强大的保护，因此这是 SoC 制造商应该实施的第一个也是最重要的保护。

Invia 的补充性 IP 产品通过实现时钟随机化来加强对 SoC 的物理层保护。这会产生时间上的混淆——一种在上述软件层和逻辑层反措施中采用的技术。但是 Invia IP 通过在系统级别生成时间混淆来提供全面的保护。

图 3 - Invia 电压突变检测器

对 SoC 的强大保护始于从源头阻止故障注入攻击的措施：电压突变检测器以阻止通过电源系统的攻击，以及时钟随机化以提供系统范围的时间混淆。

但是没有任何技术能够提供 100% 的安全性保证：目标始终是提高对攻击者的屏障，以阻止他们在尝试成功之前继续尝试破坏芯片的安全性。

这意味着 SoC 提供的防御越多，其保护就越强。该策略为分层安全概念提供了强有力的支持，以补充图 2 所示的 SoC 分层架构。Invia 建议 SoC 制造商在模拟和数字领域的各个级别实施安全性。

因此，如果攻击者破坏了电压毛刺检测器等物理层防御，他们将面临逻辑层防御——内存加密、总线加扰等。如果它们突破了逻辑层的防御，它们仍然会面临软件层的反制措施，例如冗余执行和感染性计算。

因此，分层安全性为 SoC 提供了最强大的保护，以抵御来自敌对行为者的威胁，无论他们是为公司、政府还是犯罪组织行事。除了 SoC 制造商可用的其他安全资源外，Invia 提供的防御还为芯片架构的物理层提供了强大的保护。