當(dāng)今的軍事電子系統(tǒng)經(jīng)歷了快速發(fā)展，因此，這些系統(tǒng)以及其中存儲和傳輸?shù)臄?shù)據(jù)越來越容易受到無意和惡意行為造成的有害操縱。雖然系統(tǒng)設(shè)計(jì)人員越來越注重安全，并且越來越多地將安全要求納入設(shè)計(jì)和開發(fā)過程，但在嘗試保護(hù)電子系統(tǒng)時(shí)，仍有許多挑戰(zhàn)需要解決。

最佳方法是結(jié)合基于硬件和基于軟件的安全措施，以防止盜版、逆向工程和未經(jīng)授權(quán)的使用。

通過許多進(jìn)步，包括半導(dǎo)體集成和第三方軟件和硬件IP的使用，電子系統(tǒng)在復(fù)雜性和結(jié)構(gòu)方面都經(jīng)歷了快速演變。曾經(jīng)由幾百萬個(gè)晶體管和幾十萬行代碼組成的系統(tǒng)正在被由數(shù)億個(gè)晶體管和數(shù)百萬行代碼構(gòu)成的系統(tǒng)所取代。

因此，現(xiàn)代軍事電子系統(tǒng)以及其中存儲和傳輸?shù)臄?shù)據(jù)越來越容易受到由無意和惡意行為引起的有害操縱。就無意漏洞而言，大多數(shù)是在系統(tǒng)設(shè)計(jì)階段引入的，此時(shí)安全問題的定義不充分或考慮不足，并且會出現(xiàn)簡單的設(shè)計(jì)缺陷。不幸的是，這些無意的漏洞越來越多地被越來越復(fù)雜和惡意的威脅所利用。

最近的新聞證明了這些漏洞。在過去的一年里，針對國防、政府、公用事業(yè)和金融部門的基礎(chǔ)設(shè)施發(fā)起了一系列備受矚目的網(wǎng)絡(luò)攻擊，包括五角大樓高度機(jī)密的戰(zhàn)斗機(jī)項(xiàng)目的滲透和空軍空中交通管制系統(tǒng)的破壞——這兩者都是對國家國防能力的震驚打擊。越來越多的證據(jù)表明，曾經(jīng)由少數(shù)資金不足的個(gè)人實(shí)施的網(wǎng)絡(luò)攻擊現(xiàn)在正由大量資金充足、組織良好的科學(xué)資源機(jī)構(gòu)執(zhí)行，并輔以極其高效的大眾傳播系統(tǒng)——互聯(lián)網(wǎng)。

雖然系統(tǒng)設(shè)計(jì)人員越來越注重安全，并且越來越多地將安全要求納入設(shè)計(jì)和開發(fā)過程，但在嘗試保護(hù)電子系統(tǒng)時(shí)，仍有許多挑戰(zhàn)需要解決。最佳方法是結(jié)合基于硬件和基于軟件的安全措施，以防止盜版、逆向工程和未經(jīng)授權(quán)的使用。這些軟件和硬件系統(tǒng)必須緊密地結(jié)合在一起并協(xié)同運(yùn)行，以確保最大程度的保護(hù)。我們的討論將展示硬件輔助技術(shù)用于自適應(yīng)軟件保護(hù)的可行性。它將解決軟件/硬件方法的要素，并探討可編程設(shè)計(jì)如何提供實(shí)時(shí)安全監(jiān)控以檢測意外或非法行為。

可編程硬件輔助技術(shù)

與完全基于軟件的替代方案相比，可編程硬件輔助技術(shù)具有許多優(yōu)勢，包括能夠?qū)崟r(shí)監(jiān)控低級硬件功能，以及能夠在不影響CPU性能的情況下同時(shí)監(jiān)控設(shè)計(jì)中的多個(gè)點(diǎn)。然而，最顯著的好處是硬件輔助技術(shù)是可編程的，允許在運(yùn)行時(shí)執(zhí)行各種監(jiān)視和對策功能，并為動態(tài)創(chuàng)建新的安全監(jiān)視器和對策提供一種方法，或在部署后上傳，以解決任何意外威脅或潛在的設(shè)計(jì)缺陷。

這種“防御邏輯”由分布式可編程儀器組成，可以重復(fù)配置以動態(tài)實(shí)施不同的安全檢查，不斷監(jiān)控系統(tǒng)操作以檢測意外或非法行為。可編程性還允許通過分時(shí)相同的硬件來實(shí)現(xiàn)大量檢查。

將現(xiàn)有的軟件保護(hù)產(chǎn)品（如ARM TrustZone（TZ）或Green Hills Software的INTEGRITY RTOS）與安全分析軟件功能和新的可編程硬件機(jī)制相結(jié)合的技術(shù)將防御廣泛的攻擊，包括I類（外部人員或黑客），II類（內(nèi)部人員）和III類（資金充足的組織或民族國家）?？梢钥焖俜治龊头诸悎?bào)告的攻擊，以便根據(jù)檢測到的攻擊的嚴(yán)重性發(fā)出適當(dāng)級別的響應(yīng)。

系統(tǒng)架構(gòu)

可編程防御邏輯分布在大部分硬件子系統(tǒng)中，以提供無處不在的覆蓋范圍，具體位置在設(shè)計(jì)時(shí)確定?？梢詾槊總€(gè)系統(tǒng)構(gòu)建不同的位置，為每個(gè)硬件設(shè)計(jì)提供唯一的安全方案。即使是由相同硬件設(shè)計(jì)組成的系統(tǒng)也可以通過可配置的可編程防御邏輯方法具有獨(dú)特的安全方案，并且該邏輯可以通過安全的JTAG端口和/或嵌入式處理器通過安全的內(nèi)部接口進(jìn)行控制。

安全監(jiān)視器是一個(gè)可編程事務(wù)引擎，配置為實(shí)現(xiàn)有限狀態(tài)機(jī)，以檢查用戶指定的行為屬性，如內(nèi)存訪問權(quán)限、總線性能級別、引導(dǎo)序列和操作簽名，所有這些都使用帶到其輸入端進(jìn)行分析的信號。然后，將信號探測網(wǎng)絡(luò)配置為選擇受監(jiān)控信號的子集并將其傳輸?shù)桨踩O(jiān)視器。為了實(shí)施不同的安全檢查，監(jiān)控器安全軟件（或?qū)Ｓ糜布?a target="_blank">控制器）配置信號探測網(wǎng)絡(luò)以選擇要由安全監(jiān)視器檢查的信號組，并配置它們以執(zhí)行所需的檢查。所有安全儀器配置程序都經(jīng)過加密并存儲在一個(gè)或多個(gè)位置，包括硬件控制的安全閃存、安全OTP存儲器或軟件控制的閃存。

動態(tài)包裝器與安全監(jiān)視器結(jié)合使用，以提供各種實(shí)時(shí)對策。任何包裝的信號或一組信號都可以在安全監(jiān)視器（或主管安全軟件）檢測到不當(dāng)行為時(shí)實(shí)時(shí)控制。動態(tài)包裝器可用于隔離邏輯、保護(hù)內(nèi)存、重置外設(shè)、創(chuàng)建誘餌事務(wù)以及擦除內(nèi)存中的密鑰或其他敏感數(shù)據(jù)。

圖 1 顯示了插入 SoC 中的可編程防御邏輯機(jī)制的主要組件，該 SoC 具有運(yùn)行安全 RTOS 的處理器。（SoC 可能包含在 ASIC、FPGA 或安裝在印刷電路板組件上的現(xiàn)成電子設(shè)備集合中。此外，圖 2 說明了硬件和軟件架構(gòu)，其中可編程防御邏輯由在受保護(hù)軟件區(qū)域中運(yùn)行的主管安全軟件配置和控制，并執(zhí)行各種功能，例如管理分時(shí)安全監(jiān)控功能、激活對策等。

圖1：插入 SoC 中的可編程防御邏輯機(jī)制（以藍(lán)色顯示）的主要組件圖示，該 SoC 具有運(yùn)行安全 RTOS 的處理器。

圖2：軟件和硬件體系結(jié)構(gòu)的圖示。

系統(tǒng)安全檢查

系統(tǒng)安全檢查取決于應(yīng)用程序和電路?？删幊谭烙壿嬙z查硬件的操作和軟件的完整性。檢查針對整個(gè) SoC，而不區(qū)分安全環(huán)境和非安全環(huán)境。第一類檢查是查找一組用戶指定的安全違規(guī)行為，例如：

嘗試訪問受限地址空間

拒絕服務(wù)

加載軟件的靜態(tài)特性（例如校驗(yàn)和）的更改

禁用內(nèi)核（例如，內(nèi)部邏輯塊）上的意外輸出更改

內(nèi)核上的非法操作模式

代碼執(zhí)行的動態(tài)特征（例如簽名）的更改

資源利用率過高 – 超出某個(gè)定義的限制

試圖篡改引導(dǎo)或 BIOS 代碼

時(shí)鐘毛刺和時(shí)鐘修改攻擊

改變環(huán)境條件（如溫度或電壓）的篡改攻擊 – 需要帶有模數(shù)轉(zhuǎn)換器和安全監(jiān)視器的模擬傳感器

第二類檢查檢查系統(tǒng)行為的一般正確性屬性（即斷言）。斷言檢查的基本原理是篡改攻擊通常會導(dǎo)致系統(tǒng)以不正確的方式運(yùn)行。某些檢查將基于部署前模擬中使用的斷言，以驗(yàn)證 SoC 中使用的標(biāo)準(zhǔn)通信協(xié)議（AMBA、PCI 等）的正確實(shí)現(xiàn)或特定塊的行為。

所有檢查都在安全環(huán)境中進(jìn)行預(yù)部署和驗(yàn)證，其相應(yīng)的配置預(yù)加載到一個(gè)或多個(gè)安全 SoC 內(nèi)存位置。這些配置不僅經(jīng)過加密，而且對于每個(gè)設(shè)計(jì)都是獨(dú)一無二的，如果不訪問功能設(shè)計(jì)數(shù)據(jù)庫，就很難理解。而且，在斷電狀態(tài)下，可編程防御邏輯為“空白”（未編程）;因此，它的功能對未經(jīng)授權(quán)的人員和試圖對系統(tǒng)進(jìn)行逆向工程的攻擊者是隱藏的?？删幊谭烙壿媽τ谠诜前踩h(huán)境中運(yùn)行的任務(wù)邏輯和應(yīng)用軟件都是不可見的。因此，這些安全功能可以對“不受信任”的系統(tǒng)和芯片制造商和/或其他有權(quán)訪問供應(yīng)鏈中系統(tǒng)的其他人隱藏。

實(shí)施對策

當(dāng)防御邏輯檢測到攻擊時(shí)，它會通過高優(yōu)先級或特權(quán)“安全”中斷將其報(bào)告給主管安全軟件，以及詳細(xì)說明攻擊性質(zhì)和位置的信息。主管安全軟件分析收到的信息，確定攻擊的嚴(yán)重性，并部署適當(dāng)?shù)膶Σ摺?/p>

防御邏輯通過控制指定的信號來實(shí)現(xiàn)對策。例如，如果內(nèi)核表現(xiàn)出非法行為，則各種對策可能會通過禁用其時(shí)鐘、關(guān)閉其電源、使其處于復(fù)位狀態(tài)或在其輸出上強(qiáng)制使用安全值來隔離該內(nèi)核。在軟件域中，損壞的例程可能會從內(nèi)存或磁盤重新加載。需要實(shí)時(shí)部署的緊急對策可以直接由安全監(jiān)視器實(shí)施，而無需主管安全軟件。

可編程防御邏輯還可以部署在故障安全和恢復(fù)安全應(yīng)用中。系統(tǒng)級對策和恢復(fù)可以結(jié)合技術(shù)，例如提供故障安全狀態(tài)、替換行為異常邏輯的備用邏輯以及將系統(tǒng)返回到已知良好狀態(tài)的檢查點(diǎn)。

采取行動

保護(hù)我們的軍事電子系統(tǒng)對國家的未來至關(guān)重要。實(shí)現(xiàn)這一目標(biāo)的第一步是在設(shè)計(jì)階段的早期開始采用基于硬件和軟件的安全措施，以確保針對盜版、逆向工程和未經(jīng)授權(quán)的使用帶來的嚴(yán)重威脅提供最全面的保護(hù)。

審核編輯：郭婷