基于虚拟孔与双轨预充电技术的电流型混淆逻辑电路设计

doi:10.3785/j.issn.1008-9497.2023.03.009

基于虚拟孔与双轨预充电技术的电流型混淆逻辑电路设计

姚茂群^,^,¹, 李聪辉², 薛紫微¹, 李海威¹

1.杭州师范大学信息科学与技术学院，浙江杭州 311121

2.台州科技职业学院信息工程学院，浙江台州 318020

Design of current-type obfuscated logic circuit based on dummy contacts and dual-rail precharge technology

YAO Maoqun^,^,¹, LI Conghui², XUE Ziwei¹, LI Haiwei¹

1.School of Information Science and Technology，Hangzhou Normal University，Hangzhou 311121，China

2.School of Information Engineering，Taizhou Vocational College of Science and Technology，Taizhou 318020，Zhejiang Province，China

收稿日期: 2022-04-07

基金资助:

国家自然科学基金资助项目. 61771179

Received: 2022-04-07

作者简介 About authors

姚茂群（1967—），ORCID：https：//orcid.org/0000-0001-6484-4972，女，博士，教授，主要从事低功耗数字集成电路设计，E-mail：yaomaoqun@163.com. , E-mail：yaomaoqun@163.com

摘要

功耗攻击是密码芯片面临的一种极具威胁性的攻击方式，而逆向攻击将有助于提高功耗攻击的效率和成功率。为提升密码芯片中逻辑电路的安全性，通过将虚拟孔技术应用于电流型CMOS电路，设计了具有相同电路结构的与非门、或非门以及非门，使攻击者无法准确分辨电路的逻辑功能，起混淆逻辑作用。在此基础上，结合双轨预充电技术良好的功耗恒定性，使所设计的电路具有抵御功耗和逆向联合攻击的能力。最后用Hspice软件进行了实验验证。

关键词： 功耗攻击 ; 逆向攻击 ; 双轨预充电 ; 虚拟孔

Abstract

Power analysis attack against cryptographic chips is a threatening method, and reverse attack will help to improve the efficiency and success rate of power analysis attack. In order to improve the security of logic circuits in cryptographic chips, this paper applies dummy contacts technology to current-mode CMOS circuits. The designed NAND gate, NOR gate and INV gate have the same circuit structure, plays the role of confusing the attacker's logic, so that the attacker cannot accurately distinguish the logic function of the circuit. On the basis of this design, combined with the characteristics of good power consumption constancy of dual-rail precharge technology, the designed circuit has the ability to resist power analysis attack and reverse attack, and has been verified by Hspice.

Keywords： power analysis attack ; reverse attack ; dual-rail precharge ; dummy contacts

PDF (2079KB) 元数据多维度评价相关文章导出 EndNote| Ris| Bibtex 收藏本文

本文引用格式

姚茂群, 李聪辉, 薛紫微, 李海威. 基于虚拟孔与双轨预充电技术的电流型混淆逻辑电路设计. 浙江大学学报(理学版)[J], 2023, 50(3): 316-321 doi:10.3785/j.issn.1008-9497.2023.03.009

YAO Maoqun, LI Conghui, XUE Ziwei, LI Haiwei. Design of current-type obfuscated logic circuit based on dummy contacts and dual-rail precharge technology. Journal of Zhejiang University(Science Edition)[J], 2023, 50(3): 316-321 doi:10.3785/j.issn.1008-9497.2023.03.009

0　引言

随着半导体技术的不断发展，集成电路（integrated circuit，IC）的设计也变得多样且复杂。以密码芯片为代表的加密硬件应用广泛，小到公交卡、银行卡，大到通信基站以及军用设施。正因为密码芯片的重要性，与之相关的安全问题也逐渐增多，为窃取密码芯片的设计结构以及所处理的数据，攻击者常采用逆向攻击、功耗攻击等方式攻击密码芯片，带来诸多安全问题，严重影响IC产业的发展。

逆向攻击^［1-3］，先对芯片采取解封装、化学腐蚀等处理，再利用光学显微镜分析芯片的内部结构、电路版图及层次等，最后提取门级网表，获得芯片的设计方案。攻击者常以此作为功耗攻击的辅助手段，获得电路的设计细节，从而判断电路的逻辑功能，提高功耗攻击的效率。近年来，提出了一种通过电路伪装抵抗逆向攻击的方法，即通过隐藏电路版图中的物理细节，掩盖电路的逻辑功能。如虚拟孔技术^［4-5］、传输管阈值损失技术^［6-7］等。

功耗攻击^［8-10］是密码芯片遭遇的较常见且极具威胁性的攻击方式。利用芯片运行时所泄露的功耗信息，并对功耗与密码算法进行相关性分析，得到算法密钥。目前，抗功耗攻击的常用方法是使电路的功耗恒定，消除两者的相关性关系。

电流型CMOS电路具有功耗低、逻辑简单等优点^［11-12］，并且不同门电路之间具有相似的电路结构，非常有利于电路伪装，具有抗逆向攻击的优势。同时，已有的抗攻击电路研究大多集中在电压型电路，随着电流型CMOS电路的不断发展，设计抗逆向攻击和抗功耗攻击的电流型CMOS电路具有必要性。

1　电路伪装与功耗恒定

1.1　电路伪装

电路伪装的核心是伪装逻辑门，即将几种不同逻辑功能的门电路设计成相同的电路结构，具有“看”似相同的线路布局，从而让攻击者无法通过光学显微镜提取门级网表信息，进而抵抗基于图像提取的逆向攻击。如图1所示^［13］，标准NAND门电路与标准NOR门电路版图的区别清晰可辨。而伪装的NAND与NOR门电路，在版图上无法被准确区分，起混淆逻辑作用，增加了攻击者分析电路逻辑功能的难度，从而达到防御逆向攻击的目的。

图1

新窗口打开| 下载原图ZIP| 生成PPT

图1 标准门与伪装门^［13］

（a）标准NAND （b）标准NOR （c）伪装NAND （d）伪装NOR

Fig.1 Standard gate and camouflage gate^［13］

伪装逻辑门设计，主要利用了虚拟孔技术，即版图中的接触孔可能是真实连接的，也可能是虚拟连接的，令攻击者无法得知其准确配置。通过将真实连接与虚拟连接的接触孔相互混合，就可用相同的电路结构设计出不同功能的伪装门电路，即接触孔的配置决定了该伪装门的逻辑功能。

1.2　功耗恒定

功耗恒定是一种较为常见的抵抗功耗攻击的方法。实现功耗恒定的常用设计方法是双轨预充电技术（dual rail pre-charge，DRP）^［14-15］，即将电路的运行周期分为预充电和求值2个阶段，且1个双轨电路由2个单轨电路组合而成，有2个输出端，如图2所示。当1对输入信号到达时，若电路处于预充电阶段，则2个输出信号均为低电平0。若处于求值阶段，则2个输出信号为正常的互补运算值。因此，当电路从预充电阶段进入求值阶段时，无论输入信号为何值，2个输出信号中有且仅有1个发生从低电平到高电平（0→1）的跳变。当电路从求值阶段进入预充电阶段时，2个输出信号中也有且仅有1个发生从高电平到低电平（1→0）的跳变，即输出信号的跳变频率恒定，此为功耗恒定的理论基础。

图2

新窗口打开| 下载原图ZIP| 生成PPT

图2 单轨电路与双轨电路结构示意

Fig.2 Structure of single rail circuit and double rail circuit

2　基于虚拟孔的电流型逻辑电路

2.1　电路设计

电流型CMOS电路的不同门电路具有相似的电路结构，非常适合伪装逻辑门设计。如图3所示^［11］，电流型CMOS与非门、或非门以及非门的电路结构非常相似，只需改变MOS管的宽长比就可实现不同的逻辑功能。

图3

新窗口打开| 下载原图ZIP| 生成PPT

图3 电流型CMOS门电路^［11］

Fig.3 Current-type CMOS gate^［11］

利用虚拟孔技术，即通过真实孔与虚拟孔相混合的方式配置版图接触孔，实现用一种电路结构完成与非、或非以及非门3种逻辑功能，构成布尔逻辑完备集。提出了基于虚拟孔的电流型逻辑（dummy contacts current-mode logic，DCCML），其电路结构如图4所示。圆圈处为接触孔所在位置，真实孔与虚拟孔的配置如表1所示。当CH₁，CH₂为真实孔，CH₃为虚拟孔时，实现NAND功能；当CH₁，CH₃为真实孔，CH₂为虚拟孔时，实现NOR功能；当CH₃为真实孔，CH₁，CH₂为虚拟孔时，实现INV功能。这种电路设计方法，使得攻击者无法得到该电路接触孔的具体配置，无法分辨电路的逻辑功能，起混淆逻辑作用，增大分析难度。

图4

新窗口打开| 下载原图ZIP| 生成PPT

图4 DCCML电路

Fig.4 DCCML circuit

表1 接触孔配置

Table 1 Contact hole configuration

功能	真实孔	虚拟孔
NAND	CH₁，CH₂	CH₃
NOR	CH₁，CH₃	CH₂
INV	CH₃	CH₁，CH₂

新窗口打开| 下载CSV

2.2　逻辑功能实验

对所设计的DCCML电路，用Hspice软件，0.18 μm工艺参数进行模拟，0 μA代表逻辑值0，10 μA代表逻辑值1，其仿真波形如图5所示，结果表明，该电路结构逻辑功能正确。因此，只需对接触孔进行不同配置，就可利用相同的电路结构执行不同的逻辑功能，从而抵抗逆向攻击。

图5

新窗口打开| 下载原图ZIP| 生成PPT

图5 DCCML电路输出波形

Fig.5 Output waveform of DCCML circuit

3　双轨预充电电流型混淆逻辑（DCMOL）电路设计

将DCCML电路与双轨预充电技术相结合，设计了一种既可抵抗逆向攻击，也可抵抗功耗攻击的电路，提出了双轨预充电电流型混淆逻辑（DRP current-mode obfuscation logic，DCMOL）电路，其单轨电路如图6所示。与图4相比，增加了1个PMOS管P₁和1个NMOS管N₁，并在该处放置时钟信号，其目的是使电路根据时钟信号的取值进入预充电阶段或求值阶段。当时钟信号CLKA为低电平时，进入预充电阶段，P₁管导通，N₁管截止，电路输出与地相连，从而输出低电平0。当时钟信号CLKA为高电平时，电路从预充电阶段进入求值阶段，N₁管导通，P₁管截止，之后根据接触孔的不同配置，在求值阶段分别运行NAND、NOR或INV逻辑。接触孔的配置如表1所示。

图6

新窗口打开| 下载原图ZIP| 生成PPT

图6 DCMOL单轨电路

Fig.6 DCMOL single-rail circuit

将2个完全相同的DCMOL单轨电路进行组合，构成DCMOL结构，如图7所示。输入信号（x，y）与（a，b）之间构成表2所示的对应取值关系，即当（x，y）的取值为（0，0）时，（a，b）的取值应为（1，1），其对应关系也可由 $a = b = \bar{x + y}$ 运算得到。此设计使得求值阶段DCMOL结构的2个输出信号是互补的，从而令信号翻转率恒定，实现功耗恒定。

图7

新窗口打开| 下载原图ZIP| 生成PPT

图7 DCMOL结构

Fig.7 DCMOL structure

表2 2组输入信号的对应取值关系

Table 2 Corresponding value of two groups of input signal

输入信号	对应取值
（ $x, y$ ）	（0，0）	（0，1）	（1，0）	（1，1）
（ $a, b$ ）	（1，1）	（0，0）	（0，0）	（0，0）

新窗口打开| 下载CSV

4　实验结果与分析

将基于DCMOL结构得到的与非门、或非门以及非门，利用Hspice软件、0.18 μm工艺参数进行实验，用V_dd端的电流数据评估计算功耗的变化。利用接触孔的不同配置实现3种逻辑的门电路，实验结果如图8所示。其中，在0~5和10~15 ns时，电路为预充电阶段，在5~10和15~20 ns时，电路为求值阶段，共运行2个周期。由图8可知，3个门电路的电源端波形一致，即攻击者无法通过功耗分辨门电路的逻辑功能。并且，无论输入信号如何取值，电流曲线（功耗变化）近似相同，即功耗与数据之间的相关性在一定程度上被消除了。

图8

新窗口打开| 下载原图ZIP| 生成PPT

图8 DCMOL结构电源端电流波形

Fig.8 The current waveform of the power supply terminal of the DCMOL structure

为验证逻辑电路功耗的恒定性以及电路运算数据与功耗之间的相关性程度，通常采用标准化能量偏差（normalized energy deviation，NED）^［16］进行评估。其定义为：

N E D = \frac{E_{m a x} - E_{m i n}}{E_{m a x}}

，（1）

E = V_{d d} \int_{0}^{T} I_{d d} (t) d t

，（2）

其中， $E$ 为逻辑电路在一个运算周期内所产生的功耗值的集合，NED的取值范围为［0，1］，值越小其功耗恒定性和抗功耗攻击的性能越好。

为使测试结果更接近实际工作情况，考虑电压波动以及温度变化对电路性能的影响，设置5种实验环境^［5］：（1） TYP （typical），工作电压与标准电压相同，为1.8 V，温度为25 ℃；（2） BCF （best case fast），工作电压比标准电压高10%，温度为-40 ℃；（3） WCS （worst case slow），工作电压比标准电压低10%，温度为125 ℃；（4） TL （typical leakage），标准电压，温度为125 ℃；（5） ML （maximal leakage），工作电压比标准电压高10%，温度为125 ℃。

表3为国际上同类型逻辑结构实现的或非门的功耗恒定性能对比，由表3可知，DCMOL结构具有较低的NED，表明该电路明显降低了所处理数据与功耗之间的相关性，具有较好的抗功耗攻击能力。

表3 同类型逻辑结构实现的或非门功耗恒定性能对比

Table 3 Comparison of constant power consumption performance of NOR gates implemented by the same type of logic structure

逻辑结构	实验环境	$E_{m a x}$ / （pJ/cycle）	$E_{m i n}$ / （pJ/cycle）	NED/%
DCMOL	TYP	1.081 2	1.078 2	0.28
	BCF	1.188 3	1.185 1	0.27
	WCS	0.923 5	0.920 1	0.37
	TL	1.048 5	1.045 1	0.32
	ML	1.178 7	1.175 2	0.30
WDDL^［17］	TYP	0.481 2	0.431 5	10.33
SDML^［18］	TYP	0.661 6	0.452 7	31.57
NBDL^［19］	TYP	0.527 4	0.489 6	7.16

新窗口打开| 下载CSV

5　结论

通过虚拟孔技术设计的DCCML电路可在同一电路结构下执行与非、或非以及非门3种逻辑功能，攻击者在未获得接触孔配置的情况下无法分辨电路的逻辑功能，从而起混淆逻辑的作用，可有效防御逆向攻击。在此基础上设计了DCMOL结构，在5种实验环境下，NED均低于0.37%，表现出较好的功耗恒定性。经实验验证，DCMOL结构能有效抵抗逆向与功耗联合攻击。

http://dx.doi.org/10.3785/j.issn.1008-9497.2023.03.009

参考文献

原文顺序

文献年度倒序

文中引用次数倒序

被引期刊影响因子

[1]

GOMEZ

， DURAN

， ROA E.

Standard cell camouflage method to counter silicon reverse engineering

［C］// 2018 IEEE International Conference on Consumer Electronics. Las Vegas： IEEE， 2018： 1-4. DOI：10.1109/ICCE.2018.8326300