清華魏少軍、劉雷波團隊的CPU硬件安全技術入選本屆世界互聯網大會15項全球領先科技成果

清華新聞網11月7日電 11月7日，在浙江烏鎮(zhèn)召開的第五屆世界互聯網大會主會場，清華微電子所所長魏少軍教授發(fā)布了“CPU硬件安全動態(tài)檢測管控技術”。這一全新的集成電路硬件安全技術入選本屆世界互聯網大會15項全球領先科技成果（排名不分先后）。

自2016年以來，世界互聯網大會每年都發(fā)布由數十位國內外權威專家從全球近千個申報項目中評選出的約15項領先科技成果，這些成果通常被認為代表了當時互聯網和信息技術相關領域的最高水平。

魏少軍發(fā)布“CPU硬件安全動態(tài)檢測管控技術”

CPU芯片的硬件安全是計算系統的安全根基。無法確保CPU的硬件安全，就無法保證運行其上的軟件的安全，與之緊密關聯的系統安全和網絡安全則更無從談起。長期以來，大家習慣認為硬件是安全的，從而在此基礎上重點解決軟件的安全問題。2018年初，“熔斷”（Meltdown）和“幽靈”（Spectre）硬件漏洞曝光，全球主流高性能CPU芯片對這兩個漏洞無一幸免，億萬臺服務器、臺式機、移動終端等因此受到嚴重的安全威脅，而這僅僅是CPU硬件安全問題的冰山一角。

現代CPU動輒集成數百億顆晶體管，只需要幾十顆到上百顆晶體管就可以實現硬件木馬，這些電路一旦被植入，想找出來就相當于“大海撈針”，非常困難。此外，現代CPU的設計、制造、封裝、測試和部署的全過程，需要遍布全球成百上千家企業(yè)的參與才能完成，每個環(huán)節(jié)都可能引入硬件安全隱患，但讓安全監(jiān)管覆蓋整個產業(yè)鏈的所有環(huán)節(jié)又是極其困難的。這些問題再加上不可避免的硬件技術漏洞，會對CPU芯片的安全帶來極大挑戰(zhàn)。國際學術界和工業(yè)界對軟件安全的研究已持續(xù)了數十年時間，但對硬件安全，特別是對信息系統核心部件CPU芯片硬件安全的研究工作近幾年才剛剛起步。

現代集成電路面臨的嚴重硬件安全威脅

12年前，清華大學微電子所魏少軍、劉雷波團隊在開展可重構計算芯片研究工作時就已經注意到了這個問題。經過多年的持續(xù)科研攻關，魏少軍、劉雷波團隊提出了基于高安全、高靈活可重構計算架構的“CPU硬件安全動態(tài)檢測管控技術”。該技術以CPU的行為跟蹤為基礎，通過快速分析和識別來判斷CPU運行過程中是否存在損害其硬件安全的行為。這一技術克服了傳統的在CPU芯片商業(yè)部署前進行安全檢測無法有效應對軟硬結合的復雜硬件安全攻擊、難以發(fā)現全新硬件技術漏洞等先天不足（即“模擬環(huán)境下的離線檢測”），在CPU芯片部署后上電運行的過程中，用一個獨立的動態(tài)可重構芯片對CPU的所有重要行為，包括指令執(zhí)行、內部狀態(tài)變化、與外部存儲及網絡設備的數據交互，以及預測執(zhí)行、緩存控制等微架構行為進行快速采樣和實時分析（即“真實應用場景中的在線實時檢測”）。無論是硬件木馬、硬件漏洞（如“熔斷”、“幽靈”）、硬件后門以及惡意利用硬件前門的行為（如惡意利用微碼的行為），都會因CPU芯片行為異常而被該技術方案迅速發(fā)現，并能根據危害等級和用戶安全需求進行管控。以上對CPU芯片的動態(tài)檢測和實時管控是殺毒軟件、軟硬件“補丁”等傳統安全方案無法實現的，可為用戶的軟件、系統和網絡提供一個高度安全、可靠和可信的硬件計算環(huán)境。

“CPU硬件安全動態(tài)檢測管控技術”示意圖

魏少軍、劉雷波團隊和中國電子旗下的瀾起科技將 “CPU 硬件安全動態(tài)監(jiān)測管控技術”用于新型X86架構CPU的研發(fā)，并于2018年7月研制成功了津逮高性能服務器CPU芯片。津逮CPU將可重構計算安全檢測模塊和傳統的X86處理器內核結合起來，能對X86內核運行過程中的行為進行實時檢測和管控。這是全球第一款用第三方的硅模塊來動態(tài)監(jiān)控處理器內核硬件安全狀況的商用CPU芯片。聯想、長城電腦、新華三等公司已完成了基于津逮CPU芯片的高性能商用服務器的研制，并將上市銷售。

用可重構計算處理器動態(tài)監(jiān)控處理器內核硬件安全狀況

津逮高性能CPU芯片和聯想SR651、長城JW920、新華三R4900商用服務器整機

我國目前有1500萬臺以上使用X86架構處理器內核的高性能服務器。云計算、大數據、物聯網，移動互聯等新興應用絕大多數都以這類服務器為基礎運算設備。然而，這些服務器的CPU芯片正無一例外面臨著硬件安全上的巨大風險。“CPU 硬件安全動態(tài)監(jiān)測管控技術”能為我國數據中心核心芯片的硬件安全保駕護航，使人們更加安全、更加放心地享受互聯網上豐富多彩的創(chuàng)新科技成果。

近5年來，魏少軍、劉雷波團隊在硬件安全和密碼芯片的研究上成績卓著：發(fā)表高水平論文150余篇，其中50余篇IEEE Transactions論文、30余篇ISCA/DAC等頂級會議論文；授權發(fā)明專利60余項；出版專著3部；參與制定國家標準1項。相關硬件安全技術已在我國多個核心部門和重點企業(yè)取得批量應用。該團隊曾獲2015年國家技術發(fā)明二等獎、2017年電子學會技術發(fā)明一等獎、2015年中國專利金獎、2014年教育部技術發(fā)明一等獎等多項重要科技獎勵。

 供稿：微電子所 編輯：襄楠