物聯(lián)網(wǎng)、云計算正以前所未有的速度改變我們的生活，享受科技成果帶來便利的同時，也將個人重要數(shù)據(jù)隱私暴露計算設(shè)備、互聯(lián)網(wǎng)絡(luò)，信息安全是非常復(fù)雜的議題。

“人們對軟件安全的研究已經(jīng)有幾十年歷史，但對硬件，尤其是CPU芯片的安全研究，近幾年剛剛開始?！鼻迦A大學(xué)微電子研究所所長魏少軍介紹。

魏少軍表示，今年媒體披露主流的CPU存在的“熔斷”和“幽靈”漏洞，讓人們認(rèn)識到作為現(xiàn)代信息系統(tǒng)核心的CPU安全如此脆弱，更值得關(guān)注的是，暴露出的問題僅僅是冰山一角。

魏少軍領(lǐng)導(dǎo)團隊研發(fā)的CPU硬件安全動態(tài)監(jiān)測管控技術(shù)便致力于解決這一難題。

昨天（11月7日），在世界互聯(lián)網(wǎng)大會中，該項成果獲得互聯(lián)網(wǎng)大會領(lǐng)先科技成果。

該技術(shù)首次提出用獨立的芯片“動態(tài)”監(jiān)測硬件安全，讓CPU硬件安全的保障手段從以傳統(tǒng)的流程管控和靜態(tài)檢測為主的“事前預(yù)防”，擴大到了“事中監(jiān)測”和“管控危害”，從而構(gòu)建起了完善的CPU硬件安全防護體系。

“目前從學(xué)界公開發(fā)表的文獻來看，我們的方法是獨一無二的?！鼻迦A微電子所劉雷波教授告訴記者，“這項技術(shù)也將改寫長期以來我國在CPU安全標(biāo)準(zhǔn)領(lǐng)域缺乏技術(shù)型標(biāo)準(zhǔn)的局面?！?/p>

CPU硬件安全是重中之重

CPU是計算機的大腦，是整個計算系統(tǒng)最核心的部件。如果CPU硬件安全沒有保障，追求軟件安全、系統(tǒng)安全、網(wǎng)絡(luò)安全就如同沙灘上蓋大廈。

此外，技術(shù)層面對CPU硬件安全進行檢查也很難。

一是因為CPU規(guī)模很大，單個的CPU集成晶體管的數(shù)量，可以超過200億顆晶體管，如果里面有幾十顆、幾百顆晶體管，被設(shè)計用于惡意目的，想找出問題電路無異于大海撈針。

再者，芯片設(shè)計、制造、測試是分工極為細(xì)致的社會化大生產(chǎn)流程，涉及的企業(yè)遍布全球，要完善的掌控所有的環(huán)節(jié)、保障每個環(huán)節(jié)安全幾乎是不可能的。

并且，由于認(rèn)識水平的缺陷，設(shè)計本身也難免帶來缺陷。

種種原因，使得硬件安全的問題雖然在近年硬件安全事件頻發(fā)的狀況下逐步得到了更多的重視，但是系統(tǒng)解決方案并不多，硬件安全、特別是CPU硬件安全問題也并未得到有效地解決。

創(chuàng)新用“安全代理”實時監(jiān)測硬件安全

記者了解到，早在2015年，清華大學(xué)微電子所魏少軍所長所帶領(lǐng)的研究團隊就注意到了硬件安全，特別是現(xiàn)代信息處理核心的CPU芯片的硬件安全問題。

團隊創(chuàng)新地提出了以高安全性、高靈活性的可重構(gòu)芯片作為“安全代理”，來實時、動態(tài)的監(jiān)控CPU芯片的行為，并做出判斷——是否存在危害CPU硬件安全的事件發(fā)生。

劉教授告訴記者，“安全代理”會監(jiān)測CPU行為是否符合產(chǎn)品指令集（說明書）里宣稱行為，如果不符，就可以懷疑存在硬件木馬或者后門利用。

此外，如果CPU行為和指令手冊一樣，但該行為具有可疑性，可能會利用硬件技術(shù)漏洞，泄漏了信息，也會被監(jiān)測到。

因此，芯片中的硬件木馬，芯片中后門、漏洞被利用等事件，一經(jīng)發(fā)生就可以被該技術(shù)所捕獲，并能夠有效的進行管控，阻止進一步的危害發(fā)生。

這樣一來，該項技術(shù)就提供了一種高效可行的“監(jiān)控”手段，從而讓硬件安全特別是CPU硬件安全的保障手段從以傳統(tǒng)的流程管控和靜態(tài)檢測為主的“事前預(yù)防”，擴大到了“事中監(jiān)測”和“管控危害”，構(gòu)建起了完善的CPU硬件安全防護體系。

為CPU安全性的評價體系帶來根本性的革新

記者了解到，該團隊包括100多個經(jīng)驗豐富的工程師，其中超過半數(shù)都具有碩士以上學(xué)歷。該項技術(shù)的研發(fā)攻克了包括處理器行為采集、分析、管控在內(nèi)的多項核心技術(shù)難關(guān)，累計申報高質(zhì)量國內(nèi)外專利40余項。

“目前在學(xué)界公開發(fā)表的文獻來看，我們的方法是獨一無二的。”劉雷波告訴記者，“硬件安全是全世界面臨的共同挑戰(zhàn)，該項技術(shù)的研究具有普世的價值?！?/p>

此外，隨著該技術(shù)的進步，在CPU的硬件安全保障體系逐漸完善的同時，對CPU安全性的評價體系也將帶來根本性的革新，這將改寫長期以來我國在CPU安全標(biāo)準(zhǔn)領(lǐng)域缺乏技術(shù)型標(biāo)準(zhǔn)的局面。

據(jù)魏少軍介紹，CPU硬件安全動態(tài)監(jiān)測管控技術(shù)已經(jīng)邁出產(chǎn)業(yè)化步伐，基于這項技術(shù)的第一款商用服務(wù)器CPU芯片“津逮”已經(jīng)發(fā)布，這是目前主流商務(wù)市場首款具有芯片級的高性能服務(wù)級CPU。能為超過90%的商務(wù)市場提供安全、可控、可信的解決方案。