魏少軍團(tuán)隊(duì)首次提出用獨(dú)立的芯片 \"動態(tài)\"監(jiān)測硬件安全

時間：2018-11-09 17:04:28

關(guān)鍵字：動態(tài)監(jiān)測魏少軍 cpu硬件安全

手機(jī)看文章

掃描二維碼
隨時隨地手機(jī)看文章

[導(dǎo)讀]魏少軍領(lǐng)導(dǎo)團(tuán)隊(duì)研發(fā)的CPU硬件安全動態(tài)監(jiān)測管控技術(shù)便致力于解決這一難題。該技術(shù)首次提出用獨(dú)立的芯片“動態(tài)”監(jiān)測硬件安全，讓CPU硬件安全的保障手段從以傳統(tǒng)的流程管控和靜態(tài)檢測為主的“事前預(yù)防”，擴(kuò)大到了“事中監(jiān)測”和“管控危害”，從而構(gòu)建起了完善的CPU硬件安全防護(hù)體系。

物聯(lián)網(wǎng)、云計(jì)算正以前所未有的速度改變我們的生活，享受科技成果帶來便利的同時，也將個人重要數(shù)據(jù)隱私暴露計(jì)算設(shè)備、互聯(lián)網(wǎng)絡(luò)，信息安全是非常復(fù)雜的議題。

“人們對軟件安全的研究已經(jīng)有幾十年歷史，但對硬件，尤其是CPU芯片的安全研究，近幾年剛剛開始。”清華大學(xué)微電子研究所所長魏少軍介紹。

魏少軍表示，今年媒體披露主流的CPU存在的“熔斷”和“幽靈”漏洞，讓人們認(rèn)識到作為現(xiàn)代信息系統(tǒng)核心的CPU安全如此脆弱，更值得關(guān)注的是，暴露出的問題僅僅是冰山一角。

魏少軍領(lǐng)導(dǎo)團(tuán)隊(duì)研發(fā)的CPU硬件安全動態(tài)監(jiān)測管控技術(shù)便致力于解決這一難題。

11月7日，在世界互聯(lián)網(wǎng)大會中，該項(xiàng)成果獲得互聯(lián)網(wǎng)大會領(lǐng)先科技成果。

該技術(shù)首次提出用獨(dú)立的芯片“動態(tài)”監(jiān)測硬件安全，讓CPU硬件安全的保障手段從以傳統(tǒng)的流程管控和靜態(tài)檢測為主的“事前預(yù)防”，擴(kuò)大到了“事中監(jiān)測”和“管控危害”，從而構(gòu)建起了完善的CPU硬件安全防護(hù)體系。

“目前從學(xué)界公開發(fā)表的文獻(xiàn)來看，我們的方法是獨(dú)一無二的。”清華微電子所劉雷波教授告訴記者，“這項(xiàng)技術(shù)也將改寫長期以來我國在CPU安全標(biāo)準(zhǔn)領(lǐng)域缺乏技術(shù)型標(biāo)準(zhǔn)的局面。“

CPU硬件安全是重中之重

CPU是計(jì)算機(jī)的大腦，是整個計(jì)算系統(tǒng)最核心的部件。如果CPU硬件安全沒有保障，追求軟件安全、系統(tǒng)安全、網(wǎng)絡(luò)安全就如同沙灘上蓋大廈。

此外，技術(shù)層面對CPU硬件安全進(jìn)行檢查也很難。

一是因?yàn)镃PU規(guī)模很大，單個的CPU集成晶體管的數(shù)量，可以超過200億顆晶體管，如果里面有幾十顆、幾百顆晶體管，被設(shè)計(jì)用于惡意目的，想找出問題電路無異于大海撈針。再者，芯片設(shè)計(jì)、制造、測試是分工極為細(xì)致的社會化大生產(chǎn)流程，涉及的企業(yè)遍布全球，要完善的掌控所有的環(huán)節(jié)、保障每個環(huán)節(jié)安全幾乎是不可能的。

并且，由于認(rèn)識水平的缺陷，設(shè)計(jì)本身也難免帶來缺陷。

種種原因，使得硬件安全的問題雖然在近年硬件安全事件頻發(fā)的狀況下逐步得到了更多的重視，但是系統(tǒng)解決方案并不多，硬件安全、特別是CPU硬件安全問題也并未得到有效地解決。

創(chuàng)新用“安全代理”實(shí)時監(jiān)測硬件安全

記者了解到，早在2015年，清華大學(xué)微電子所魏少軍所長所帶領(lǐng)的研究團(tuán)隊(duì)就注意到了硬件安全，特別是現(xiàn)代信息處理核心的CPU芯片的硬件安全問題。

團(tuán)隊(duì)創(chuàng)新地提出了以高安全性、高靈活性的可重構(gòu)芯片作為“安全代理”，來實(shí)時、動態(tài)的監(jiān)控CPU芯片的行為，并做出判斷——是否存在危害CPU硬件安全的事件發(fā)生。

劉教授告訴記者，“安全代理”會監(jiān)測CPU行為是否符合產(chǎn)品指令集(說明書)里宣稱行為，如果不符，就可以懷疑存在硬件木馬或者后門利用。

此外，如果CPU行為和指令手冊一樣，但該行為具有可疑性，可能會利用硬件技術(shù)漏洞，泄漏了信息，也會被監(jiān)測到。

因此，芯片中的硬件木馬，芯片中后門、漏洞被利用等事件，一經(jīng)發(fā)生就可以被該技術(shù)所捕獲，并能夠有效的進(jìn)行管控，阻止進(jìn)一步的危害發(fā)生。

這樣一來，該項(xiàng)技術(shù)就提供了一種高效可行的“監(jiān)控”手段，從而讓硬件安全特別是CPU硬件安全的保障手段從以傳統(tǒng)的流程管控和靜態(tài)檢測為主的“事前預(yù)防”，擴(kuò)大到了“事中監(jiān)測”和“管控危害”，構(gòu)建起了完善的CPU硬件安全防護(hù)體系。

為CPU安全性的評價體系帶來根本性的革新

記者了解到，該團(tuán)隊(duì)包括100多個經(jīng)驗(yàn)豐富的工程師，其中超過半數(shù)都具有碩士以上學(xué)歷。該項(xiàng)技術(shù)的研發(fā)攻克了包括處理器行為采集、分析、管控在內(nèi)的多項(xiàng)核心技術(shù)難關(guān)，累計(jì)申報(bào)高質(zhì)量國內(nèi)外專利40余項(xiàng)。

“目前在學(xué)界公開發(fā)表的文獻(xiàn)來看，我們的方法是獨(dú)一無二的。”劉雷波告訴記者，“硬件安全是全世界面臨的共同挑戰(zhàn)，該項(xiàng)技術(shù)的研究具有普世的價值。”

此外，隨著該技術(shù)的進(jìn)步，在CPU的硬件安全保障體系逐漸完善的同時，對CPU安全性的評價體系也將帶來根本性的革新，這將改寫長期以來我國在CPU安全標(biāo)準(zhǔn)領(lǐng)域缺乏技術(shù)型標(biāo)準(zhǔn)的局面。

據(jù)魏少軍介紹，CPU硬件安全動態(tài)監(jiān)測管控技術(shù)已經(jīng)邁出產(chǎn)業(yè)化步伐，基于這項(xiàng)技術(shù)的第一款商用服務(wù)器CPU芯片“津逮”已經(jīng)發(fā)布，這是目前主流商務(wù)市場首款具有芯片級的高性能服務(wù)級CPU。能為超過90%的商務(wù)市場提供安全、可控、可信的解決方案。