NIST：半导体供应链中的合谋威胁分析（2025） 19页

该文档是美国国家标准与技术研究院（NIST）的网络安全白皮书，分析了半导体供应链中的合谋威胁。 1. **背景**：半导体供应链存在诸多安全挑战，如IP盗窃、假冒、木马植入和逆向工程等。供应链威胁分析是安全研究的重要组成部分，目标是识别威胁、分析其在不同阶段的严重程度以及量化对手合谋造成的威胁。 2. **供应链阶段**：包括概念、设计、集成、制造、测试、供应、部署和使用以及报废阶段。不同阶段有不同的安全风险，如硬件木马在设计和制造早期更常见，侧信道分析在芯片使用场景中更普遍。 3. **威胁分析框架**：分为识别对手意图、识别硬件威胁、分析威胁在硬件开发生命周期中的可利用阶段、分析不同阶段对手合谋的影响、识别各自威胁的安全关键阶段五个阶段。该框架纳入了供应链所有阶段的威胁，包括内部威胁。 4. **案例研究**：通过硬件渗透和IP盗窃两个案例，展示了框架的实际应用。分析了每个案例中威胁的来源、可利用阶段、不同对手合谋的影响以及安全关键阶段。 5. **结论和未来工作**：半导体供应链安全问题复杂，需综合考虑弱点和机会。本文分析了安全问题、合谋影响及攻击动机，提供了基于相对风险的评分以帮助规划缓解措施。未来，NIST计划扩展这项工作，分析与3D异构集成相关的供应链威胁，并将不同硬件漏洞纳入框架。