创建硬件安全路线图

美国国防部和私人工业财团正在制定全面而有凝聚力的网络安全计划，将作为军事、工业和商业系统的蓝图。

在所有这些努力中，特别值得注意的是对半导体的关注。虽然软件可以修补，但像“幽灵”、“熔解”和“预兆”这样的漏洞需要在硬件上处理。在过去，工作主要集中在保护所有技术的供应链，并围绕敏感数据建立一个不可逾越的防火墙。这两种方法都被认为是不够的。

国防部目前的工作由DARPA牵头，被称为安全软件自动实现(AISS)。DARPA微系统技术办公室项目经理Serge Leef说:“通过AISS，我们关注四个攻击面。“这是供应链、侧通道攻击、逆向工程和恶意硬件。我们的目标是在安全成本方面做出明智的权衡。”

来源:美国国防部高级研究计划局

这些权衡可能是重要的。为了提供安全的启动，人们普遍认为安全需要是多层次的，并包括在初始架构的一部分，而不仅仅是将认证密钥存储在芯片的一个片段中。但是安全性的某些方面也需要是活动的，这可能会给设计增加大量开销。

Leef说:“安全机制的成本和功耗可能会影响性能，所以你需要做出明智的决定，让用户提供成本功能。”

“这个(路线图)旨在无处不在。国防部只是受益者之一。汽车业是另一个。它包括从soc到asic、结构化asic和fpga的一切。”

DARPA与硅谷有着悠久的合作历史。事实上，互联网是基于DARPA的分组交换网络ARPANET(高级研究计划局网络)，该网络在1990年被关闭。但在过去的几年里，DARPA与芯片世界的关系真正开始扩大。如今，看到将军和其他高级军官坐在演讲现场或参加半导体会议并不罕见。

行业的努力
在这方面，美国政府远非孤军奋战。全球工业也在加强安全方面利益攸关。手臂介绍了它的平台安全架构它将其描述为一套完整的威胁模型、安全分析、硬件和固件架构规范以及开源固件参考实现。自那以后，该公司一直在更新PSA。

与此同时，西门子也在遵循类似的时间表，采用以治理和财团为导向的方式信托章程该计划于2017年公布，最近进行了更新。该联盟将要求提供特别敏感的硬件或软件的原始设备制造商遵守特定的安全协议，最终由他们自己进行安全审查，而不是由他们自己进行依靠西门子．该公司正在推动该集团的其他成员，包括戴尔、IBM、思科、戴姆勒、恩智浦SGS、德国电信和TÜV SÜD，对他们的原始设备制造商实施类似的规则，为所有技术提供商创造一套更一致的期望。

能够确定一个设备并追踪到它的来源，降低了它可能被转移到足够长的时间而被破坏的风险。

“如果它是一个联网设备——现在厨房桌子上已经没有太多东西了——你就需要一个唯一的身份密钥，让你可以在供应链中追踪它，知道你可以用一种无法改变的方式来识别它，”微软新风险部门的安全设计总监迈克尔·陈说Mentor是西门子旗下的企业．“这需要密码学，需要公钥和私钥，这意味着有一个系统来管理你知道有效的密钥和证书。你真的需要一种多层次的方法，可以在设备的生命周期中保持一致。”

供应链
随着网络安全攻击的威胁不断增加，尤其是来自中国和俄罗斯的网络攻击，美国国防部一直在推动对其供应链进行更严格的控制，工业界也紧随其后。

“供应链完整性问题越来越重要，因为在整个生产周期中能够处理芯片的公司数量有限，而供应链碎片化意味着不得不将部分流程交给一系列未知或不可信的实体，”该公司产品管理高级总监本·莱文(Ben Levine)说Rambus安全部门。“这为灰色市场生产、引入安全漏洞、克隆设备留下了更多的机会，这使企业不得不对我们无法控制、可能不太信任的供应链中的某些环节进行安全改进。”

将完整性注入供应链需要成为整体设计方案的一部分。

莱文说:“解决这个问题的理想方法是在基本层面上，这样与合法组件的所有通信都可以加密和验证，并且你不能在两者之间放置芯片来拦截任何东西，因为它无法读取其他设备的加密内容。”“但这必须尽早完成——在铸造厂或设计阶段。如果你做得足够早，你可以在整个供应链中遵循它。”

这是一个很高的要求，而且通常远远超出了即使是最大的idm的能力。

“芯片和信托设备的供应链很复杂;它们在我们手中之前覆盖了半个世界，”IntrinsicID的首席执行官皮姆·图尔斯说。“像西门子这样的努力无疑是在解决一定程度的安全意识和期望。但不可避免的是，你的设备会接触到不属于你的团队，或者你可能不信任的公司的硬件，这些公司可能不得不对你的设备进行更改。所以如果你在里面发现了一个芯片，之后你必须检查所有可能在这个过程中添加的部件，并使用特殊设备来测试你发现的东西。这需要付出很多努力。”

美国军方的可信代工计划也面临着某种危机。唯一能够生产7nm芯片的代工厂是台积电而且三星这些都是离岸的。中芯国际根据消息来源，也在那个节点上工作，然后英特尔正在研究10nm工艺，这大致相当于代工厂的7nm工艺。但据报道，英特尔对为政府生产芯片不感兴趣，因为体积太小。

GlobalFoundries该公司去年取消了7纳米工艺的开发，目前有资格用于国防部28纳米工艺的生产。为了保持竞争力，军方将需要在先进节点上开发人工智能芯片，但到目前为止，还没有适当的计划来实现这一点。

“我们正在考虑多种解决方案，”DARPA的Leef说。“政府敏锐地意识到了这一点，并为解决这个问题付出了很多努力。有一些技术解决方案，你可以分开生产，保留秘密的东西，所以基本上你可以生产除了顶层的所有东西。你也可以在一个地方做一半，在另一个地方做一半。不过，这是一个高度优先的问题，很多聪明人都在努力解决它。”

恶意的硬件
硬件木马是一种众所周知的实际威胁，随着它们的发展，人们对它的研究也越来越深入更容易制作由于设计自动化和可重复使用的IP，越来越多的连接设备提供了更多的目标。

“不难相信，有人，也许是一名员工，会被说服在电路板上添加一个流氓元素，一个微小的电容器或其他东西，”Mentor的Chen说。“我们听说过一个漏洞，它看起来像一个普通的以太网插孔，它的工作方式也像一个普通的以太网插孔，但它有一些额外的电缆。套接字本身就是特洛伊木马，相关的部分就在盒子里，所以很难发现。”

硬件木马可能比软件木马更危险，因为它们能够绕过保证设备固件安全的信任根条款，但它们也更难被发现，特别是对于那些试图通过在自己的设计中寻找最可能的漏洞来最小化成本的公司，而不是在没有人预料到的地方扫描漏洞。

“其实不那么容易找到。作为一个行业，我们没有使用x光检查每个外国板的异常或寻找伪装成以太网插孔的木马的习惯，”陈说。“但这和其他事情是一样的。查找需要花钱，就像大海捞针一样——你不可能对世界上的每一种设备都这样做，我不确定你能找到多少。实际上，从软件方面开始，然后再反向工作更容易。”

来自设备内部的流量监控也会有所帮助。

“一些用于加热设备或在电源上添加故障的技术可以被监视器捕捉到，从那里你可以确定它是否被黑客攻击，”Stephen Crosher说Moortec．“这些都是恶意行为的标志。我们把这些信息提供给我们上面的软件和系统。如何使用这些信息取决于他们。但是监控器会注意到温度或供应的阶梯式变化。你说的是在几十微秒的快速采样时间内检测到几十毫厘。如果你有一个在室温下工作良好的东西，突然降到零下40度，要么是故障，要么是一些恶意行为。”

还可以通过数据移动跟踪意外行为。“我们有一个客户使用我们的(在线监控)技术来检测恶意软件，他们可以观察交易和流程，”公司首席执行官鲁珀特•贝恩斯(Rupert Baines)表示UltraSoC．“他们会将一个过程或软件任务标记为可疑的，直到非常细的级别。我们已经创建了一个通用的锁步机制。我们正在观察两个程序流，如果它们偏离，我们就会发出警报。这是在运行过程中，实时、原地发生的。”

还有一种很好的老式工程来预防问题。

OneSpin Solutions总裁兼首席执行官Raik Brinkmann表示:“实时识别可疑交易非常重要，但它不能替代高完整性集成电路。“硬件安全预硅验证在许多工程团队的优先级列表中迅速上升。一个很大的挑战是主流验证解决方案关注预期的用例和硬件应该做什么。然而，恶意代理则专注于滥用情况、利用错误、漏洞(如侧通道)以及可能的木马。IC完整性不仅要确保功能的正确性，还要确保适当的安全性、安全性和信任度。由于硬件位于堆栈的底部，IC完整性构成了顶部所有固件和软件层安全的基础。”

降低成本
然而，所有这些都要花钱，甚至国防预算也不是无限的。美国国防部高级研究计划局(DARPA)正在努力解决有关供应链治理和可靠性的高级问题，这些项目试图让芯片在美国设计得足够便宜和容易。这个问题在一定程度上与国家安全有关，如果美国从主要集中在中国的晶圆厂和工厂的来源突然被切断，国家安全可能会受到损害。

然而，微系统技术办公室负责该项目的项目经理Andreas Olofsson表示，和平时期对安全的长期担忧带来了足够的动力来改进分散的供应链，并控制质量和成本电子资产智能化设计而且POSH开源硬件这是六部分计划的一部分。

“如果你看一下平均1亿到2亿美元的价格标签，对非商业客户来说成本太高了，但成本不是软件或设计工具，而是工程，”Olofsson说。“我们正试图找到一种方法，通过自动化和尽可能零的重复使用来减少工程和成本。”

这将把设计降低到国防部和其他政府机构可以管理的范围内，并鼓励国内供应商的增长，以平衡海外市场的混乱碎片化。

其他旨在实现这一目标的努力包括DARPA的两年前的项目芯片程序——又名通用异构集成和IP重用策略——主要关注芯片和将这些芯片集成到设备中的标准化方法。这是否会成功尚不清楚。半导体行业正在研究自己的版本。一个是由IEEE的国际设备和系统路线图驱动的，与SEMI结合。由Netronome、Achronix、Kandou Bus、GlobalFoundries、NXP、Sarcina Technology和SiFive组成的小组也在进行工作。在欧洲，莱蒂和夫琅和费也在和其他人一起制定类似的计划。

Marvell一直在内部研究自己的类似模式，创造出可以基于标准有机基板的菜单组合在一起的IP。该公司最近还将业务范围扩大到第三方IP。

公司网络技术总监兼高级总监亚尼夫•科佩尔曼表示:“我们不再什么都是内部完成迈威尔公司．“模拟公司已经掌握了复杂的射频接口。该接口有两层。一个是物理层，再上面是MAC层。我们正在看CCIX作为下一个连接点。”

这里的目标是一种类似乐高的方法，它可以加快芯片开发并降低成本，但充分描述所有不同的块需要整个供应链的输入，以及一个宏大的计划，以确保供应链足够安全，并且没有恶意硬件添加到设备中。

结论
安全并不是一个新问题，但是认识到硬件可能和软件一样脆弱绝对是一个新的转变。在过去，大多数是这样边信道攻击需要磨掉芯片的顶部，用扫描电子显微镜检查探针插入的位置。这仍然是可能的，但与暴力攻击相比，从芯片中获取关键数据的方法要多得多。

随着人们对网络安全的担忧日益加剧，关于黑客行为的报道越来越多，政府和行业都在非常认真地对待这一问题。它还需要数年时间才能完全实现，但安全硬件在安全软件之下运行的势头首次形成。这是朝着正确方向迈出的里程碑式的一步。

有关的故事
安全的新方法
数据分析、流量模式和限制性政策成为确保系统安全的方法。
查找硬件中的安全漏洞
对性能、向后兼容性和系统复杂性的过分强调正在产生难以修复的漏洞。
利用人工智能数据保障安全
将数据处理推向边缘带来了新的安全风险，也带来了许多新的机会。
工业物联网的下一波安全浪潮
新技术、新方法将提供一些保护，但差距仍然存在。
在RISC-V系统中构建安全性
重点转移到固件、系统级架构以及工业界、学术界和政府之间的协作。
区块链对于大多数工业物联网安全来说可能是多余的
如果没有高效的区块链物联网模板，其他选项会更好。