随着越来越多的设备连接，IC安全威胁日益严重

随着越来越多的芯片和系统连接到互联网和彼此之间，针对安全的设计开始在更广泛的芯片和系统中获得吸引力，有时在安全和任务关键的市场中，网络攻击的影响可能是毁灭性的。

但在这些系统中设计安全性也变得越来越困难。与过去不同的是，连接性现在被认为是功能的关键。而不是单一芯片，这些设备中的许多现在是多芯片实现，具有多层连接，用于系统内部或系统之间的更新和通信。识别安全漏洞变得越来越困难，有时需要多个供应商的合作才能堵住它们。

DesignWare安全IP产品营销经理Dana Neustadter表示:“我们现在与一切都连接在一起Synopsys对此．“甚至一个传感器都可以通过互联网连接，然后它就可以打开另一个攻击面。我们一直在讨论人工智能这些理由都很好，但人工智能也可以用来更有效地打破系统。随着技术的发展，数据变得越来越重要，我们看到了更多的攻击。这是一个连续体，而安全一直是其中的一部分。但在过去，安全是在芯片设计过程的最后。那时候还好，但今天不行。压力要大得多，风险要严重得多。”

如今，随着联网设备的数量持续爆炸式增长，这些担忧在整个半导体供应链上都得到了回响。

不同之处在于物联网的首席执行官Andreas Kuehlmann说龟岛的逻辑．“物联网设备传统上并不是最昂贵的设备。这些设备的利润非常低，因此安全被视为一种选择，如果有的话。安全问题的根源在于最薄弱的环节。黑客将漏洞串在一起。他们只需要找到一个——可能在芯片上，可能在软件上，另一个可能在芯片上，可能在软件上，等等。然后他们就可以把攻击串联起来。”

大多数人都知道物联网设备何时连接到互联网。他们通常看不到的是，当它通过共享网络连接到其他设备时，有时甚至未经用户许可。

Kuehlmann说:“在硬件和软件安全方面领先的行业之一可能是汽车行业，因为它非常注重安全。”他说:“汽车行业将出台很多法规和标准。这推动了一种观念，‘如果你不以安全的方式设计产品，你就没有产品。“这将被应用得更广泛。即使是那些认为冰箱被黑不会有什么伤害的人，他们也不明白冰箱可能是入侵你更广泛网络的切入点。这就是我们需要的水平。这不是确保冰箱安全的问题。这是为了确保整个系统的安全，因为一切都是相互关联的。我们需要提高每一种设备的标准。如果你要做芯片，即使是低端消费设备，安全性也必须是要求的一部分，安全也必须是设计的一部分。”

过去一年在家工作的人数增加，进一步扩大了潜在的攻击面

Synopsys公司的DesignWare IP解决方案营销经理Scott Durrant指出:“曾经，网络是在公司内部。“后来人们开始随身携带笔记本电脑，这创造了一种企业环境的延伸。现在，每个人都在家里工作，这把它推向了更远的地方。多年来，IT组织已经从需要信任计算机转变为需要信任计算机。它是由It管理的，他们会假设如果访问来自这些受管理的机器之一，那么它就被授权访问。现在人们在各种不同的环境中工作，从酒店房间到家里，这只是扩大了攻击面。”

生态系统安全
今天的安全标准充其量是参差不齐的。它们因行业细分而有很大差异，安全堆栈中的哪个级别被认为是最关键的，以及公司内部究竟需要保护什么。这给芯片制造商和IP供应商带来了额外的负担，让他们做好自己的工作，有效地沟通他们的解决方案。例如，如果将安全性设计为IP块，并且没有人知道如何利用它，那么它是没有帮助的。

但随着安全问题的不断加剧，数据共享变得更加困难。

“我们预计这个行业将大规模采用基于云计算的软件即服务，但现实并非如此，”该公司产品管理总监Guillaume Boillet表示Arteris IP．“设计环境本身几乎总是在客户拥有的数据中心。有一些推动利用云的好处，当然它非常有吸引力，因为现在你可以扩展你的数据中心。但我没有一个例子，突然之间，你需要更多的计算能力，你宁愿依赖云而不是建立一个机架。这种情况没有发生有多种原因。首先，人们非常保护他们的IP，他们正在做的事情，所以这对我们的支持来说是一个障碍。另外，转向SaaS模式需要重新考虑授权，因为这是一种完全不同的盈利模式。我曾见过这样的例子，这种情况需要大量的工作和对工具集的大量改进。”

长期以来，人们一直在争论云计算和内部部署数据中心哪个更安全。这个问题没有明确的答案。这取决于个人配置、技术连接方式、数据访问方式和位置，以及数据是否被认为有足够的价值来进行攻击。

所有这些变量都影响着数据在整个组织中的移动方式，而最近，这些变量又抑制了公司内部以及公司之间共享数据的意愿。这反过来又给高度集成的供应链和复杂的异构芯片设计带来了问题。

“我们已经获得了所有这些信息，也需要共享信息，但我们有点退回到划分的状态，”该公司信任与安全产品经理约翰·霍尔曼说OneSpin解决方案．“即使所有人都在一个屋檐下，我也不能和墙另一边的人说话，因为这意味着只有一个人可以妥协，而不是两个人。在过去，数据共享根本不存在。然后它就改进了。现在，我们可能会回到更接近那个时代的时代，有一些受控制的信息。否则，你妥协的风险就会大大增加。”

安全挑战
除了这种增强的威胁意识外，还有一个事实，即攻击者实际上并不需要闯入企业网络来发动攻击。

“他们可能会在你的电脑上安装软件，因为你不在浏览网页，”达兰特说。“接下来，你知道，你有一个病毒或恶意软件，你不一定知道谁控制了它或谁在使用它。因此，不仅要对机器进行身份验证，还要对机器的用户进行多因素身份验证，这变得非常重要，而多因素身份验证的重要性只会越来越大。这些都是保护CIA安全三位一体的一部分——机密性、完整性和可用性。机密性是指数据需要被授权用户可见和使用，而不是其他任何人。你要保护这些信息的机密性。完整性意味着任何人或任何事物都不能在不被检测到的情况下更改数据。这可能是因为闪电击中了传输数据的电线，掀翻了一些比特。你想知道发生了什么。这并不一定是恶意的，尽管恶意活动肯定也是一个重要的组成部分。 Availability refers to data should be available to authorized users when they need it. It should not be available to unauthorized users. That, while simply stated, is a complex thing to implement.”

事实上，已经实施安全措施的公司已经开始将其列为竞争优势。一些芯片制造商现在指出，他们的安全堆栈在某些市场是一个区别，在另一些市场是一种必要的技术，他们已经开始将这一信息扩展到隐私领域。

“物联网的安全涉及两件事，”销售、营销和分销高级副总裁Shawn Slusser说，英飞凌美洲．“一个是身份验证，以确保使用系统的人确实是使用系统的正确的人，或者流动的信息是正确的信息。然后是隐私问题。你如何保护人们的隐私，使用加密和类似的东西，让人们的隐私需求得到尊重，即使他们都是相互联系的。这是真正的挑战。”

在汽车行业，人们一直强调安全，但隐私也在更多的讨论中被提及，主要是V2X方面的内容，福特汽车技术产品经理Thierry Kouthon表示Rambus安全．“我们的想法是，如果所有车辆开始相互交换信息，间谍就可以识别车辆，他们就会知道参议员X总是在这个时间点从A开车到B，或者他的车辆有这种行为。还有一个车辆用来宣布自身的识别系统，该系统应该没有精确定位车主或车辆本身的具体数字。然而，这并不是一个完美的系统。黑客使用人工智能或模式来追踪它是谁。”

可以使用技术来更改特定于车辆的id，或者创建随时间变化的会话，因此标识会随时间变化。

Kouthon说:“这通常是在公钥基础设施(PKI)级别上覆盖的，在那里可以想象，精确定位的信息是匿名的，并且由于与制造商相关的信息而变得可信。”“在未来，制造商可能能够建立协议和数据，让他们的车辆在不识别车辆本身的情况下安全通信。也许你可以知道它是一辆雪佛兰或奔驰，但不会超过这个程度。”这意味着安全和隐私需要在车辆的各个层面上实现。

云层面的安全性也需要加强。但与物联网和许多终端设备不同，云安全受到更多监管。

Synopsys的诺伊施塔特说:“有法律法规，因为越来越多的数据在云中，在这个生态系统中传输。”“数据量在增加，但敏感信息的数量也在增加，要么是因为对用户很重要的私人数据，要么是因为其他原因，对业务、国家、智能电网或其他方面很重要。整个系统有更多的数据，更敏感的数据。”

安全层
在几乎所有的安全会议和演讲中，一个关键的结论是，没有安全是完美的，只要有足够的毅力、时间和资源，任何东西都可以被黑客入侵。民族国家黑客的说法曾经被认为是牵强附会的。最近的太阳风攻击改变了这种看法，也改变了系统可以被建造得坚不可摧的想法。我们面临的挑战是要让它很难渗透到设备、系统和系统的系统中，这样大多数攻击者就会放弃。

这需要双管齐下的方法。一种方法涉及对异常数据移动和热量建立更强的敏感性。因此，如果在系统的一部分应该是黑暗的情况下使用芯片，就应该敲响警钟。

“我们现在有了增强的安全功能，包括DPA(差分功率分析)，我们在芯片内部有多个温度传感器来检测热点，”曼努埃尔·乌姆说，该公司的硅营销总监赛灵思公司．“我们也会测试不同方面的老化情况。”

虽然老化似乎是一个单独的问题，但了解老化与任务关键型或安全关键型应用程序的关系对于理解异常活动是否由于电路磨损或数据流是否被攻击中断是至关重要的。

第二个方面涉及芯片内部和周围的层层安全保护。它从信任开始，并在此基础上构建安全层。此外，所有这些都需要不断地监控，因为这个链中的一个薄弱环节就可能危及整个安全方案。

“在系统架构师和SoC架构师考虑他们的架构时，分层安全的想法以及将安全性构建到解决方案中非常重要，”Durrant说。“这确实需要成为解决方案的核心部分。它不是你可以在设备制造出来之后再叠加上去的东西。在急于交付产品时，安全性将成为事后的想法，因为它不一定会为产品添加功能。然而，安全性保护了您正在构建的功能，因此它往往被考虑得稍晚一些。但它是如此重要，以至于它是从头开始开发体系结构时的核心考虑因素。这是你能真正实施强有力保护的唯一方法。”

这种整体的方法是必不可少的，随着复杂性的增加以及更先进的电子设备部署在汽车、工业和医学等应用领域，这种方法越来越具有挑战性。它需要理解所有单独组件的行为，以及这些组件将在其中运行的系统。

“如果你看IP级别，你做的是与IP相关的硬件安全项目，”微软解决方案和生态系统高级集团总监Frank Schirrmeister说节奏．“但在核查领域，形式验证允许您进行大量的负面测试，以找出测试台中不活跃的东西。还有关于创建攻击实验室来模拟攻击的讨论。在跟踪和确保捕获正确的测试方面发生了很多事情。还有自动捕获事物的能力，以及自动添加测试，这些测试都是围绕便携式刺激完成的。在最低的层次上，它确实是硬件和软件需要一起工作，这是一个我们知道如何处理的经典问题。从那里，你在堆栈中向上，你添加像容器化，和管理程序部分，你有不同的安全级别可以处理，然后它一直到数据中心，通过网络和数据中心加密和一切。你需要从整体上看，每个人都需要做好自己的一份工作。”

这包括首先确保没有人篡改用于创建这些设备的数据。大量的安全认证包括工具是否可以插入任何问题，并引申为，在开发过程中，您是否准备好应对在最后一刻被收买插入恶意代码或后门的工程师?这些项目需要在公司内部的安全评估之上进行分层。

安全堆栈

图1:安全堆栈的层。来源:Dover Microsystems

Dover Microsystems的首席执行官Jothy Rosenberg解释说，安全堆栈类似于传统的网络堆栈。“这两个模型之间存在相关性。在OSI模型中有一个物理层，我们在芯片安全堆栈中看到一个相应的物理层。在最底层——物理层——你必须保护这些设备。”

例如，对于工厂车间的嵌入式设备，或者当智能电表和配电系统分布在电网中时，这尤其困难。

罗森伯格说:“在物理保护层有一大堆事情需要做，这是很多不同的人。”“安全的独特之处在于下一层，在那里你有一个信任的根源，这实际上是在描述管理密钥等等。从大型服务器到小型嵌入式设备都是如此，因为它们都需要加密、签名，然后当然还要解密。这是密钥、加密和安全引导的层。我们看到很多人都在提供这些功能。我们真正专注于解决嵌入式设备的问题，因为世界上98%的进程都在嵌入式设备中。他们没有得到很好的保护，而且他们正在运行越来越复杂，危险的东西。如果出了问题，这些东西实际上可能会伤害到人或财产。下一层是分区，也称为虚拟化。与管理程序一样，分区也用于嵌入式系统领域。上面是加密，确保东西在移动时受到保护数据和数据保护。 This includes the operating system, and all the things that are associated with that such as intrusion detection, firewalls, and the like. Finally, there are the applications running on those operating systems, and applications have a real role in security, as well.”

做到这一点至关重要，也很困难。“除非你在安全方面有真正的深度和专业知识，否则很容易实现有漏洞的东西。因此，在考虑安全技术时，利用已经过验证和彻底测试和审查的技术非常重要，这就是利用安全协议、安全加密算法、安全随机数生成器和安全IP的经过验证的实现非常重要的地方。许多人在不知道如何做的时候，因为建立自己的网站而陷入了麻烦。有资源可以利用已经被证明有效的东西，”杜兰特补充道。

结论
安全意识正在增强，但攻击者的能力也在增强，需要保护的系统的复杂性和连通性也在增强。解决办法是使用严格的方法，然后在不寻常的事情发生时保持警惕。

Tortuga Logic的Kuehlmann说:“利用通用弱点枚举从需求开始，然后分解成测试和验证需求。”“这些安全需求需要作为开发过程的一部分进行验证，并且可以像功能验证一样每天运行。如果各种关键安全需求中的任何一个失败，您都要进行补救。正如有时间签收、电源签收和设计签收一样，我们需要安全签收。这是一个闭环。只有通过所有测试，我们才有产品。这是一种严格的方法，允许您根据需求进行安全注销。这与法规、认证和标准有关，所有这些都以一种整体的方式结合在一起。”

-Ed Sperling对本文也有贡献。