中心議題：

• 智能卡芯片攻擊技術及應對措施
• 智能卡芯片非破壞性攻擊及其防範
• RFID的測試態及保護

解決方案：

• 破壞性攻擊及其防範
• 存儲器讀出技術加密
• 電流分析攻擊保護

以前
，人們普遍認為由於采用了各種複雜的認證算法、密鑰等來保護數據免受未獲授權使用，IC卡具有磁卡無法比擬的安全性能。但在上個世紀90年代中期，大部分的IC卡處理器都被成功地實施了反向工程，因此這個看法有了很大的改變。除了采用更新的設計技術以外，更重要的是在IC卡芯片設計與實現過程中考慮抗攻擊措施
，以保護重要的數據不被非法使用。

圖1：RFID芯片結構及工作模式

非接觸IC卡(RFID)的出現是智能卡發展中的重要裏程碑：它通過磁耦合或微波的方式來實現能量與信號的非接觸傳輸
，從而有效地解決了接觸式智能卡使用機械電氣觸點產生的靜電擊穿、機械磨損、易受汙染和潮濕環境影響等問題，被認為是身份識別
、公交票據、物流等方麵的重要替代技術。沒有了裸露的電氣接觸節點
，RFID和接觸式IC卡ka產chan品pin相xiang比bi，在zai安an全quan性xing方fang麵mian也ye有you一yi定ding的de提ti升sheng

，但dan是shi它ta沒mei有you改gai變bian智zhi能neng卡ka使shi用yong認ren證zheng算suan法fa和he密mi鑰yao等deng安an全quan手shou段duan的de模mo式shi
，因yin此ci並bing沒mei有you從cong本ben質zhi上shang解jie決jue安an全quan問wen題ti。需xu要yao借jie鑒jian接jie觸chu式shi智zhi能neng卡ka安an全quan設she計ji上shang的de成cheng熟shu經jing驗yan，才cai能neng避bi免mian重zhong大da技ji術shu失shi誤wu。

從結構上講，RFID是一個包含射頻模擬前端(RFAFE)和基帶信號處理兩大部分的單片集成電路(見圖1)。基帶係統包括控製邏輯(甚至微處理器)和必要的存儲器
，AFE部分是RFID的能量與信號接口
，提供片上基帶係統工作所需的電源和時鍾等輔助信號
，完成數據的接收與發送功能。由於RFAFE屏蔽了智能卡片上的電源、時鍾、上電複位(POR)等信號與外界的聯係

，在一定程度上減少了攻擊實施的點，與接觸式智能卡相比在安全性方麵有一定的提升。

智能卡芯片攻擊技術及應對措施

根據是否破壞智能卡芯片的物理封裝可以將智能卡的攻擊技術分為兩大類：破壞性攻擊和非破壞性攻擊。

破壞性攻擊和芯片反向工程在最初的步驟上是一致的：使用發煙硝酸去除包裹裸片的環氧樹脂
；用丙酮/去離子水/異丙醇完成清洗

；氫(qing)氟(fu)酸(suan)超(chao)聲(sheng)浴(yu)進(jin)一(yi)步(bu)去(qu)除(chu)芯(xin)片(pian)的(de)各(ge)層(ceng)金(jin)屬(shu)。在(zai)去(qu)除(chu)芯(xin)片(pian)封(feng)裝(zhuang)之(zhi)後(hou)，通(tong)過(guo)金(jin)絲(si)鍵(jian)合(he)恢(hui)複(fu)芯(xin)片(pian)功(gong)能(neng)焊(han)盤(pan)與(yu)外(wai)界(jie)的(de)電(dian)氣(qi)連(lian)接(jie)，最(zui)後(hou)可(ke)以(yi)使(shi)用(yong)手(shou)動(dong)微(wei)探(tan)針(zhen)獲(huo)取(qu)感(gan)興(xing)趣(qu)的(de)信(xin)號(hao)。對(dui)於(yu)深(shen)亞(ya)微(wei)米(mi)以(yi)下(xia)的(de)CMOS產品，通常具有3層(ceng)以(yi)上(shang)的(de)金(jin)屬(shu)連(lian)線(xian)，為(wei)了(le)解(jie)芯(xin)片(pian)的(de)內(nei)部(bu)結(jie)構(gou)，可(ke)能(neng)要(yao)逐(zhu)層(ceng)去(qu)除(chu)以(yi)獲(huo)得(de)重(zhong)構(gou)芯(xin)片(pian)版(ban)圖(tu)設(she)計(ji)所(suo)需(xu)的(de)信(xin)息(xi)。在(zai)了(le)解(jie)內(nei)部(bu)信(xin)號(hao)走(zou)線(xian)的(de)基(ji)礎(chu)上(shang)，聚(ju)焦(jiao)離(li)子(zi)束(shu)(FIB)修補技術甚至可用於將感興趣的信號連到芯片的表麵供進一步觀察。

非破壞性攻擊主要針對具有微處理器的產品
，其手段主要包括軟件攻擊、竊聽技術和故障產生技術。軟件攻擊使用微處理器的通用通訊接口，尋求安全協議、加密算法以及他們物理實現的弱點；竊聽技術采用高時域精度的方法，分析電源接口在微處理器正常工作過程中產生的各種電磁輻射的模擬特征
；故障產生技術通過產生異常的應用環境條件，使處理器產生故障，從而獲得額外的訪問途徑。


圖2：NAND門驅動一個反向器的光學照片(包含金屬層和去掉金屬層)。

智zhi能neng卡ka的de攻gong擊ji一yi般ban從cong破po壞huai性xing的de反fan向xiang工gong程cheng開kai始shi
，其qi結jie論lun可ke以yi用yong於yu開kai發fa廉lian價jia和he快kuai速su的de非fei破po壞huai性xing攻gong擊ji手shou段duan
，這zhe是shi最zui常chang見jian的de最zui有you效xiao的de智zhi能neng卡ka攻gong擊ji模mo式shi之zhi一yi。

1.破壞性攻擊及其防範

a.版圖重構

破壞性攻擊的一個重要步驟是重構目標芯片的版圖。通過研究連接模式和跟蹤金屬連線穿越可見模塊(如ROM、RAM、EEPROM
、ALU、指令譯碼器等)的邊界
，可以迅速識別芯片上的一些基本結構，如數據線和地址線。

xinpianbiaomiandezhaopianzhinengwanzhengxianshidingcengjinshudelianxian，ertashibutoumingde。jiezhuyugaoxingnengdechengxiangxitong
，keyicongdingbudegaodibupingzhongshibiechujiaodicengdexinxi，danshiduiyutigongyanghuacengpingtanhuadeCMOS工藝
，則需要逐層去除金屬才能進一步了解其下的各種結構。因此

，提供氧化層平坦化的CMOS工藝更適合於包括RFID在內的智能卡加工。

圖2是一個NAND門驅動一個反向器的光學版圖照片
，類似於該圖的不同層照片對於有經驗的人無異於電路圖。

對於RFID設計來說
，射頻模擬前端需要采用全定製方式實現，但是常采用HDL語(yu)言(yan)描(miao)述(shu)來(lai)實(shi)現(xian)包(bao)括(kuo)認(ren)證(zheng)算(suan)法(fa)在(zai)內(nei)的(de)複(fu)雜(za)控(kong)製(zhi)邏(luo)輯(ji)，顯(xian)然(ran)這(zhe)種(zhong)采(cai)用(yong)標(biao)準(zhun)單(dan)元(yuan)庫(ku)綜(zong)合(he)的(de)實(shi)現(xian)方(fang)法(fa)會(hui)加(jia)速(su)設(she)計(ji)過(guo)程(cheng)，但(dan)是(shi)也(ye)給(gei)反(fan)向(xiang)工(gong)程(cheng)為(wei)基(ji)礎(chu)的(de)破(po)壞(huai)性(xing)攻(gong)擊(ji)提(ti)供(gong)了(le)極(ji)大(da)的(de)便(bian)利(li)，這(zhe)種(zhong)以(yi)標(biao)準(zhun)單(dan)元(yuan)庫(ku)為(wei)基(ji)礎(chu)的(de)設(she)計(ji)可(ke)以(yi)使(shi)用(yong)計(ji)算(suan)機(ji)自(zi)動(dong)實(shi)現(xian)版(ban)圖(tu)重(zhong)構(gou)。因(yin)此(ci)
，采(cai)用(yong)全(quan)定(ding)製(zhi)的(de)方(fang)法(fa)實(shi)現(xian)RFID的芯片版圖會在一定程度上加大版圖重構的難度。

版圖重構的技術也可用於獲得隻讀型ROM的內容。ROM的位模式存儲在擴散層
，用氫氟酸(HF)去除芯片各覆蓋層後，根據擴散層的邊緣就很容易辨認出ROM的內容(圖3)。

基於微處理器的RFID設計中，ROM中可能不包含任何加密的密鑰信息，但是它的確包含足夠的I/O
、存取控製、加密程序等信息，這些在非破壞性攻擊中尤為重要。因此，對於使用微處理器的RFID設計

，推薦優先使用FLASH或EEPROM等非易失性存儲器存放程序。


圖3：去除金屬和POLY連線的NOR型ROM照片。
[page]
b.存儲器讀出技術

對於存放密鑰、用(yong)戶(hu)數(shu)據(ju)等(deng)重(zhong)要(yao)內(nei)容(rong)的(de)非(fei)易(yi)失(shi)性(xing)存(cun)儲(chu)器(qi)
，它(ta)們(men)不(bu)能(neng)通(tong)過(guo)簡(jian)單(dan)的(de)光(guang)學(xue)照(zhao)片(pian)獲(huo)得(de)其(qi)中(zhong)的(de)信(xin)息(xi)。在(zai)安(an)全(quan)認(ren)證(zheng)過(guo)程(cheng)中(zhong)，至(zhi)少(shao)訪(fang)問(wen)這(zhe)些(xie)數(shu)據(ju)區(qu)一(yi)次(ci)
，因(yin)此(ci)，可(ke)以(yi)使(shi)用(yong)微(wei)探(tan)針(zhen)監(jian)聽(ting)總(zong)線(xian)上(shang)的(de)信(xin)號(hao)獲(huo)取(qu)重(zhong)要(yao)數(shu)據(ju)。對(dui)於(yu)良(liang)好(hao)的(de)設(she)計(ji)，簡(jian)單(dan)重(zhong)複(fu)認(ren)證(zheng)還(hai)不(bu)足(zu)以(yi)訪(fang)問(wen)存(cun)儲(chu)器(qi)所(suo)有(you)的(de)關(guan)鍵(jian)位(wei)置(zhi)。例(li)如(ru)，在(zai)同(tong)一(yi)個(ge)卡(ka)中(zhong)使(shi)用(yong)不(bu)同(tong)的(de)加(jia)密(mi)密(mi)鑰(yao)和(he)加(jia)密(mi)算(suan)法(fa)，然(ran)後(hou)在(zai)它(ta)們(men)之(zhi)間(jian)每(mei)隔(ge)幾(ji)周(zhou)就(jiu)切(qie)換(huan)一(yi)次(ci)，芯(xin)片(pian)的(de)算(suan)法(fa)和(he)密(mi)鑰(yao)的(de)存(cun)放(fang)區(qu)域(yu)在(zai)沒(mei)有(you)被(bei)廣(guang)播(bo)呼(hu)叫(jiao)激(ji)活(huo)以(yi)前(qian)不(bu)能(neng)被(bei)處(chu)理(li)器(qi)控(kong)製(zhi)等(deng)等(deng)，從(cong)而(er)使(shi)早(zao)期(qi)的(de)被(bei)動(dong)監(jian)測(ce)總(zong)線(xian)難(nan)以(yi)發(fa)現(xian)這(zhe)些(xie)秘(mi)密(mi)。這(zhe)些(xie)接(jie)觸(chu)智(zhi)能(neng)卡(ka)IC的經驗可以應用於RFID設計中。

一(yi)些(xie)文(wen)獻(xian)提(ti)到(dao)，為(wei)了(le)保(bao)證(zheng)存(cun)儲(chu)器(qi)數(shu)據(ju)的(de)完(wan)整(zheng)性(xing)
，需(xu)要(yao)在(zai)每(mei)次(ci)芯(xin)片(pian)複(fu)位(wei)之(zhi)後(hou)計(ji)算(suan)並(bing)檢(jian)驗(yan)一(yi)下(xia)存(cun)儲(chu)器(qi)的(de)校(xiao)驗(yan)結(jie)果(guo)
，其(qi)實(shi)這(zhe)種(zhong)做(zuo)法(fa)給(gei)攻(gong)擊(ji)提(ti)供(gong)了(le)快(kuai)速(su)訪(fang)問(wen)全(quan)部(bu)存(cun)儲(chu)器(qi)的(de)手(shou)段(duan)。

在使用帶微處理器的RFID中
，還需要考慮軟件設計人員為提高代碼效率濫用CPU部件(如地址計數器)的行為所導致的安全問題。程序計數器在每個指令周期都自動增量，如果被用於存儲器讀寫的地址發生器
，攻擊中隻需防止處理器執行JUMP、CALL和RETURN等指令擾亂正常的讀順序即可。即稍微用激光切斷一些電路連接，改動指令譯碼器、程序計數器電路即可實現完全訪問存儲器的目的。

頂層探測器網格是有效防止微探針獲取存儲器數據的重要手段之一，充分利用深亞微米CMOS技ji術shu提ti供gong的de多duo層ceng金jin屬shu

，在zai重zhong要yao的de信xin號hao線xian頂ding層ceng構gou成cheng探tan測ce器qi網wang格ge能neng夠gou連lian續xu監jian測ce短duan路lu和he斷duan路lu。當dang有you電dian時shi，它ta能neng防fang止zhi激ji光guang切qie割ge或huo選xuan擇ze性xing的de蝕shi刻ke去qu獲huo取qu總zong線xian的de內nei容rong。根gen據ju探tan測ce器qi輸shu出chu，芯xin片pian可ke立li即ji觸chu發fa電dian路lu將jiang非fei易yi失shi性xing存cun儲chu器qi中zhong的de內nei容rong全quan部bu清qing零ling。這zhe些xie網wang格ge對dui於yu其qi下xia的de各ge層ceng金jin屬shu連lian線xian重zhong構gou也ye有you影ying響xiang，因yin為wei蝕shi刻ke不bu是shi均jun勻yun的de，上shang層ceng金jin屬shu的de模mo式shi在zai下xia層ceng可ke見jian
，會hui給gei版ban圖tu的de自zi動dong重zhong構gou帶dai來lai很hen多duo麻ma煩fan。手shou動dong探tan針zhen的de目mu標biao尺chi寸cun一yi般ban在zai1微米左右，尖端小於0.1微米的探針台價格在幾十萬美元之上，且極難獲得。一個精心設計的網格將使手動微探針攻擊難以實施，一般的FIB修補技術也難以逾越。


圖4：RFID的接觸法測試原理

非破壞性攻擊及其防範

非破壞性攻擊主要針對具有微處理器的產品而言。微處理器本質上是成百上千個觸發器、寄存器、鎖存器和SRAM單dan元yuan的de集ji合he
，這zhe些xie器qi件jian定ding義yi了le處chu理li器qi的de當dang前qian狀zhuang態tai，結jie合he組zu合he邏luo輯ji則ze可ke知zhi道dao下xia一yi時shi鍾zhong的de狀zhuang態tai。許xu多duo類lei似si係xi統tong的de模mo擬ni效xiao應ying可ke用yong於yu非fei侵qin入ru式shi的de攻gong擊ji
，其qi中zhong：

1.每個晶體管和連線都具有電阻和電容特性，其溫度、電壓等特性決定了信號的傳輸延時。由於生產工藝參數的分散性
，這些數值在單個芯片
，或同種產品的不同芯片上差異很大。

2.觸發器在很短的時間間隔內采樣並和閾值電壓比較(與電源相關)。采樣的時間間隔相對於時鍾邊沿是固定的，但不同的觸發器之間可能差異很大。

3.觸發器僅在組合邏輯穩定後的前一狀態上建立新的穩態。

4.在CMOS門的每次翻轉變化過程中，P和N管都會開啟一個短暫的時間，從而在電源上造成一次短路。沒有翻轉的時刻
，則電源電流很小。

5.當輸出改變時，電源電流會根據負載電容充放電變化。

和接觸式IC卡不同的是
，攻擊RFID的黑客不能完全控製其電源和時鍾線，理論上RFIDzhenduifeipohuaixinggongjideanquanxingnengyousuogaishan，danshishijiqingxingkenengbingfeiruci，renghuimianlinyixieweixian。changjiandegongjishouduanyoudianliufenxigongjiheguzhanggongji。

1.電流分析攻擊

根據電流分析攻擊實施的特點，可分為簡單電源攻擊(SPA)和差分電源攻擊。

圖5：兩種不同的測試態控製方式

原則上

，RFID的電源是集成在AFE的內部，似乎遠離了電流分析的危險
，然而實際上並非如此。圖4顯示了RFID接觸法測試的原理圖：通過在RFID天線和串聯的分壓電阻兩端直接加載符合規格的交流信號，RFID負fu載zai反fan饋kui信xin號hao可ke以yi百bai倍bei於yu無wu線xian模mo式shi下xia的de信xin號hao強qiang度du直zhi接jie疊die加jia在zai加jia載zai的de交jiao流liu信xin號hao上shang。由you於yu芯xin片pian的de功gong耗hao變bian化hua與yu負fu載zai調tiao製zhi在zai本ben質zhi上shang是shi相xiang同tong的de，因yin此ci，如ru果guoAFE的電源設計不恰當，RFID微處理執行不同內部處理的狀態可能在串聯電阻的兩端交流信號上反映出來。

對於RFID而(er)言(yan)，功(gong)耗(hao)是(shi)芯(xin)片(pian)設(she)計(ji)過(guo)程(cheng)中(zhong)關(guan)心(xin)的(de)重(zhong)要(yao)問(wen)題(ti)
，串(chuan)聯(lian)方(fang)案(an)的(de)效(xiao)率(lv)更(geng)高(gao)，更(geng)適(shi)合(he)集(ji)成(cheng)電(dian)路(lu)設(she)計(ji)。但(dan)是(shi)就(jiu)安(an)全(quan)而(er)言(yan)
，並(bing)聯(lian)方(fang)案(an)是(shi)更(geng)理(li)想(xiang)的(de)選(xuan)擇(ze)：通(tong)過(guo)並(bing)聯(lian)泄(xie)放(fang)電(dian)路(lu)將(jiang)電(dian)源(yuan)幅(fu)度(du)和(he)紋(wen)波(bo)的(de)變(bian)化(hua)控(kong)製(zhi)在(zai)盡(jin)可(ke)能(neng)小(xiao)的(de)範(fan)圍(wei)內(nei)
，使(shi)電(dian)源(yuan)電(dian)流(liu)消(xiao)耗(hao)波(bo)動(dong)抑(yi)製(zhi)在(zai)整(zheng)流(liu)電(dian)路(lu)之(zhi)後(hou)。這(zhe)樣(yang)天(tian)線(xian)兩(liang)端(duan)的(de)交(jiao)流(liu)信(xin)號(hao)不(bu)能(neng)反(fan)應(ying)任(ren)何(he)內(nei)部(bu)基(ji)帶(dai)係(xi)統(tong)(主要是微處理器)狀態的差異。

2.故障攻擊

通過故障攻擊可以導致一個或多個觸發器位於病態，從而破壞傳輸到寄存器和存儲器中的數據。在所知的CPU智能卡非破壞性攻擊中
，故障攻擊是實際應用中最有效的技術之一。當前有三種技術可以可靠地導致觸發器病態且影響很少的機器周期：瞬態時鍾、瞬態電源以及瞬態外部電場。

tongguojiandandizengjiahuojiangdishizhongpinlvyigehuoduogebanzhouqikeyishishishizhongguzhang
，zheyangbufenchufaqihuizaihefadexinzhuangtaidaolaizhiqiancaiyangtamendeshuru。shizhongguzhangyouxiaodegongjitongchanghedianyuanguzhangjiehezaiyiqi，zaijiechushizhinengkazhongtongguozuheshizhonghedianyuanbodong，yijingkeyihenkekaodizengjiachengxujishuqineirongerbuyingxiangchuliqideqitazhuangtai。zheyang
，zhinengkaneiderenyizhilingxuliedoukeyibeiheikezhixing，erchengxuyuanzairuanjianbianxiezhongbingmeiyoushenmehenhaodeyingduicuoshi。

大多數RFID的時鍾、電源都是使用天線的交流信號整形得到的，因此通過改變交流信號諧波的幅度、對稱性
、頻率等參數可以實施時鍾-電源故障攻擊。借助於RFID接觸測試設備中的數字直接合成交流信號技術，很容易產生時鍾-電源故障攻擊所需的波形。

RFID產品為了有效抵禦時鍾故障攻擊
，除了采用時鍾探測器以外，更重要的是嚴格限製RFID設計的工作頻率範圍、載頻的諧波品質因素、對稱性等指標。因此，從安全角度來說，並非RFID對機具適應能力越強越好。

qianzaideguzhangjishurengxujinyibutansuo，rutongguojiangjinshutanzhenzhiyuchuliqijibaigeweimigaodudeshihou
，zaijigehaomiaoneishijiajibaifudedianya，dedaodedianchangqiangduzugougaibianfujindejingtiguanyuzhidianya。zhexiejishudeyingyongjiazhiheyingduicuoshihaiyoudaijinyibudeyanjiu。

RFID的測試態及保護

對於一般意義的集成電路產業鏈條來說，需要將不良的芯片在晶圓測試階段剔除以減少後端加工工序中不必要的浪費
，RFID芯片也不例外。根據RFID芯片的特點
，晶圓測試內容包括：RF性能測試、luojigongnengceshihecunchuqiceshi。heputongxinpianyiyang，ruguojiezhuyuxinpianyingyonggongnenglaijinxingpianshangluojihecunchuqiceshi
，zeceshichengbenjiangdafuzengjia。tongchangcaiqudengxiaoceshiyuanlishejiewaideceshitailaikuaisuwancheng。youyuceshitaitigonglekuaisu、全麵訪問存儲器的機製，因此有必要在晶圓測試完成後，將測試態永久關閉。

圖5a是在接觸式智能卡芯片的發展過程中曾大量采用的測試態控製方式：使用額外的I/O管腳和芯片內部電路相連，該連線通過劃片槽，這樣芯片劃斷後就不能通過簡單控製該管腳進入測試態。由於FIB修補技術的出現
，這個手段已經過時。圖5b是最有潛力的替代方案：在劃片槽和鄰近的芯片中設計部分控製電路

，從而得到不可逆的測試態控製手段。

本文對RFID芯片設計安全從破壞性
、非(fei)破(po)壞(huai)性(xing)攻(gong)擊(ji)以(yi)及(ji)測(ce)試(shi)態(tai)控(kong)製(zhi)三(san)個(ge)方(fang)麵(mian)作(zuo)了(le)簡(jian)單(dan)探(tan)討(tao)
，通(tong)過(guo)與(yu)接(jie)觸(chu)式(shi)智(zhi)能(neng)卡(ka)芯(xin)片(pian)安(an)全(quan)設(she)計(ji)比(bi)較(jiao)，給(gei)出(chu)一(yi)些(xie)應(ying)對(dui)的(de)設(she)計(ji)措(cuo)施(shi)。然(ran)而(er)仍(reng)然(ran)有(you)很(hen)多(duo)安(an)全(quan)設(she)計(ji)措(cuo)施(shi)不(bu)能(neng)一(yi)一(yi)列(lie)舉(ju)，如(ru)用(yong)於(yu)對(dui)付(fu)功(gong)率(lv)分(fen)析(xi)的(de)電(dian)流(liu)調(tiao)節(jie)器(qi)和(he)噪(zao)聲(sheng)負(fu)載(zai)。我(wo)國(guo)第(di)二(er)代(dai)居(ju)民(min)身(shen)份(fen)證(zheng)即(ji)將(jiang)實(shi)施(shi)
，這(zhe)將(jiang)是(shi)世(shi)界(jie)上(shang)最(zui)大(da)的(de)RFID項目，考慮其芯片設計安全問題具有重要的現實意義。