安全加安保:解决方案和方法

埃德·斯珀林和布莱恩·贝利著

随着越来越多的技术进入对安全至关重要的市场，随着越来越多的设备连接到互联网，安全问题开始与安全问题合并。

网络攻击未遂的数量在各个方面都在上升，这对用于安全相关应用的设备产生了重大影响。现在有更多的病毒、勒索软件、假冒芯片和知识产权。虽然入侵总数持平，主要是由于对安全的关注增加了，但这些入侵的影响更大。实际上，黑客在选择攻击目标方面越来越在行。

图1:网络安全漏洞总数。来源:赛门铁克互联网安全威胁报告2017年4月。

图2:勒索软件的需求。来源:赛门铁克互联网安全威胁报告，2017年4月。

这对IT系统来说已经够糟糕的了。但随着医疗设备、汽车和工业控制系统与互联网的连接，网络犯罪将越来越多地对个人和公共安全产生直接影响。此外，虽然过去这些攻击大多涉及软件，但芯片将越来越多地成为攻击基础设施的一部分。

对于这些新应用程序，还有另一个方面需要考虑。如今，大多数硬件设计的预期寿命为消费者/移动设计的2年，服务器硬件的预期寿命为4年。但就工业、医疗和汽车应用而言，电子产品应该可以使用十年或更长时间。

与此同时，安全从来不是100%有效的，而且随着时间的推移，它的效果会越来越差。连接和设备的复杂性，再加上定期的软件更新，是导致数据泄漏增加的因素。此外，由于黑客工具和技术在不断发展，今天被认为不受攻击的安全措施在几年内可能会变得脆弱。

“一旦你认为你拥有了一个安全的设备，你就会发现一个漏洞，”at的物联网服务集团总裁Dipesh Patel说手臂．“所以你永远不会结束。而且设备需要升级，这是通过软件来完成的。这使得它更加脆弱。如果你看Mirai攻击，设备暴露，因为有人决定使用默认密码。”

帕特尔说，硬件和软件的协同设计将是安全的基本需求。“但这还不够。您可以提供更安全的设备，但您需要教育其他人正确做事的必要性。安全设备需要与其他东西相辅相成，比如教程、操作指南，对于企业来说，他们需要更加警惕。最好的解决方案是技术和最佳实践的结合。”

但是，这究竟是如何应用于自动驾驶汽车或起搏器等医疗设备的呢?答案是没有什么是完美的。从设计到制造再到进入市场，每个层面都需要考虑许多步骤，并且需要定期重新审视。

EDA总裁兼首席执行官Wally Rhines表示:“安全是EDA的一个大话题，也是半导体行业的一个大话题Mentor是西门子旗下的企业．“虽然它还没有变得至关重要，但我们相信，最终你将需要有值得信赖的硅作为整体解决方案的一部分，因为芯片将受到特洛伊木马的攻击，公司将越来越关注进入他们芯片的内容以及如何得到保护。随着时间的推移，它将成为集成电路设计和验证的重要组成部分。工具可以帮助你，但这是动态的。不像物理问题，你解决了它，它就会一直解决下去，安全问题是一个致力于打破安全的人和致力于提高安全的人一样聪明的问题。”

不同的市场有不同的方法
标准的遵从增加了安全关键设计的成本、复杂性和时间。为任何汽车应用设计的芯片可能都必须遵守ISO 26262标准，这本质上是一个最佳实践清单。但如果该芯片被用于自动驾驶汽车的控制，它还必须符合SAE和ASIL标准以及ISO 26262所定义的最严格的限制。

在医疗电子领域，它将不得不遵守由美国食品和药物管理局和医疗设备创新、安全和保障联盟等组织制定的一套不同的标准。在军事/航空领域，它必须遵守DO-254标准以及各种国家和地区特定的供应链完整性法规。

这增加了一种完全不同程度的审查、确认和验证。而这反过来又会增加设计成本，以及芯片获得认证和投产所需的时间。

“在安全方面，我们关注的是单故障效应，我们知道完全覆盖意味着什么，”该公司产品管理总监阿什什·达巴里(Ashish Darbari)说OneSpin解决方案．“我们可以分析，每个故障都是通过一些机制检测到的。但是为了安全起见，攻击并不等同于单个故障。我们如何衡量安全保护的有效性?如果我们可以建模并指定交互需要是什么，什么必须发生，什么不能发生，有意还是无意，那么您就可以提出一组可以指定的良好检查。安全性是更系统的分析，但对完整性总是很难把握。”

在很多情况下，市场决定了什么是安全。达巴里说:“安全对不同的人意味着不同的东西。“对一个人来说，这是非法访问CPU或部分内存的无特权用户。固件在这里也扮演着重要的角色，许多糟糕的固件会导致这些问题的出现，并允许对硬件的访问。什么是安全漏洞模型?”

软件更新也增加了安全风险。虽然更新是必要的，以保持设备的最新状态，并帮助关闭安全漏洞，但更新过程本身提供了另一个攻击载体。

该公司产品营销副总裁Bernd Stamme说:“如果你看看仍在发展的汽车市场，无线更新将打开一个全新的曝光水平。Kilopass．“至少对于CAN(控制器局域网)总线，要入侵系统，你必须打开它。但有了无线更新，就不再需要物理连接了。”

在确保软件无线更新(尤其是机顶盒和信息技术下载)的安全方面，微软有着丰富的经验。但Stamme指出，汽车制造商将需要复杂的方式在网络上分发安全密钥，这是大多数人以前从未做过的。“为此，公司需要最安全的芯片上介质。否则，如果你拿到芯片你就可以逆向工程它。所使用的算法很好理解。如果您有足够的计算能力，就更容易决定如何防止这种情况。但并非所有这些设备都能做到这一点。”

安全解决方案
安全性有几个反复出现的方面。一是数据保护。“加上加密支持安全通信和数据存储的能力需要软件和硬件支持密钥的安全存储，在许多情况下，加速是为了提高性能，”MIPS业务部门的高级经理Tim Mace说想象力的技术．“然而，芯片每增加一项功能，就会增加功耗和成本。”

安全在任何方面都不是免费的。它会影响芯片的整体性能，特别是当安全性是主动的而不是被动的时候。主动治疗被认为更有效，但在各个层面上也更昂贵。在某些情况下，它可能需要在同一芯片上使用单独的芯片或IP加速器。

“安全是工作量的一个方面，”该公司营销和业务发展副总裁Anush Mohandass说NetSpeed系统．“不同的工作负载需要不同的芯片。如果你在单个芯片中使用异构IP，为了最大限度地利用该芯片，你需要了解工作负载。”

它还可能需要虚拟化等技术来保持一个函数的数据与另一个函数的数据分离，这也会影响初始设计。Mohandass说:“如果你有10个操作系统在运行，它们之间不应该相互了解。”“这样就不会造成数据污染。”

记忆是另一个需要加强的领域。“下一个级别的保护是它们可能会加密内存区域，”at的CTO说超音速．“在一个更安全的芯片中，你可能想要确保如果有人能够访问内存的全部内容，他们仍然无法理解任何东西。这对延迟有影响，因为你必须在内存和处理之间映射数据。”

另一种常见的保护形式是建立一个安全的飞地。“你可以运行与芯片其他方面隔离的安全功能，”苹果公司技术人员迈克·博尔扎(Mike Borza)说Synopsys对此的安全IP。“有不同的方法来获得安全的飞地。有嵌入式硬件安全模块运行在芯片内部，是主CPU的伙伴。它的目的是为安全处理提供一个真实的、硬的目标。这往往是一个更大的解决方案，并增加了知识产权许可和面积方面的成本。对于小型路由器或物联网集线器一类的产品，可以接受的成本是每个芯片几美分，而芯片的售价在低个位数范围内。”

另一种方法是创建虚拟环境。“数据和应用程序的分离最好使用基于虚拟化的方法来实现，”Mace补充道。“这通常由硬件内存管理来支持。”

虚拟化依赖于系统拥有内存管理单元，而异构系统并不总是如此。“我们在NoC中引入了防火墙，它位于交易目的地的前面，”Wingard解释道。“这构建了一种内存保护能力，并允许芯片设计师或运行时的软件人员配置芯片，以允许处理器在这种模式下访问内存的一个区域，或者这三个单元和DMA引擎在另一种模式下能够访问另一个部分。我们可以建立多个相互安全的节点。这很容易理解，如果不需要重新编程的话，软件开销也很小。这对性能没有影响。”

这种类型的系统还可以搜索可疑活动。博尔扎说:“我们开始观察接口之间或总线端口之间的流量，并识别不寻常或根本不应该发生的模式。”“如果一个网络接口直接与加密控制器通信——这是不应该发生的，可能会被标记为一种不寻常的模式，你可能想要检测。我们开始看到人们将其构建到芯片结构中。”

取得进展?
虽然安全的基本原理已经很好地理解了，但关于什么使一个设备或IP块比另一个更安全的指标却不太清楚。

“安全性很难衡量，”公司产品管理高级总监阿萨夫•阿什肯纳齐(Asaf Ashkenazi)表示Rambus“安全司。“现在有很多错误信息，你想说什么就说什么。您可以声称安全性是内置的，但没有一种衡量安全性的方法。没有指导方针或最佳实践。”

对于消费者或业务系统来说，这可能是一个麻烦，但在安全关键设备中，这可能会危及生命。“如果电脑被黑客攻击，你就会丢失数据，”阿什肯纳兹说。“但如果你黑了一辆汽车、工业机器或红绿灯，就会造成更大的损害。”

在恶意故障问题形式化之前，很难考虑适当的分析或自动化工具。博尔扎说:“有一些研究致力于建立一种更客观的方法来衡量某物的安全性。”“一个例子是美国国防部高级研究计划局的一个项目，该项目试图建立这些指标，并提供安全的定量评估。”

这可能需要简化问题。Borza解释说:“一种方法是基于信任根模块，这种模块开始变得越来越普遍。”“这认识到，提供一个小型隔离环境，使用相对简单的软件，可以评估和分析漏洞和对某些类型的攻击的免疫力。这种方法是在安全功能中包含复杂性，以便为芯片的该部分的安全性提供合理的保证。然后你可以使用它来安全地引导系统的其余部分。”

也许一个团队必须做出的最重要的改变是根植于他们的心态。梅斯说:“安全性和安全性都不是简单地添加一些特殊IP或软件就能解决的。”“它们需要在设计和制造过程中得到解决，因为在这两种情况下，产品的整体安全和保障水平都受到最薄弱因素的限制。”

在那一点上没有异议。DSG集团的产品管理总监Rob Knoth说:“那些成功推出半导体产品的团队从第一天起就开始考虑这个问题。节奏．“系统的架构、验证计划、实际平面图——所有的东西都包含了概念。否则，它就会变成一个可怕的非收敛过程，你最终会错过一些东西，不得不进行重做。”

整个行业都在认真对待这个问题。达巴里说:“安全落后于安全大约5年。“我们将在五年内建立安全合规标准。但如果你一开始就没有正确地进行功能验证，而依赖于定向测试，那么你就没有希望了。”

安全与保障需要融入到方法论中。梅斯总结说:“只有这样，它们才能渗透到芯片中，以提高效率和有效性。”“重要的是，在开发过程中的每个阶段都要仔细审查，以考虑设计的影响。只有将这些技术嵌入到开发工具、设计和验证过程中，才能创造出以安全为核心的新芯片。”

有关的故事
安全加保障:新挑战(上)
在产品中增加安全性是要付出代价的，但你如何评估和控制它呢?其影响是深远的，并不是所有的技术都能提供相同的回报。
证券:失大于得
复杂性、高度互联的新技术，以及更有价值的数据，都让黑客更难防范。
物联网安全风险增加
专家在桌子上，第2部分:Mirai, Shodan，安全漏洞在哪里;从根本上建立信任链;如何保障未来安全。