Introduction to Hardware Security

标题：硬件安全简介

---

目录

摘要：

1.简介

2.HardwareTrojan检测

2.1。 部署前硬件木马检测

2.2。 硬件木马检测部署后

3.正式认证

3.1。 证明硬件

3.2。 基于SAT验证解决方法

4，防伪和IC保护

5.物理上不可克隆的功能

6.硬件安全中的新设备

7.硬件辅助计算机安全

7.1。 ARM信任区

7.2。 英特尔SGX

7.3。 CHERI

7.4。 LowRISC

8，结论

---

摘要：

近年来，越来越多的相关研究领域的研究人员加入了这一领域，硬件安全已成为一个热门话题。 然而，对硬件安全的理解通常与网络安全和加密技术（特别是加密硬件）混合在一起。 由于同样的原因，硬件安全的研究范围从未明确定义。 为了帮助最近加入该领域的研究人员更好地了解硬件安全领域的挑战和任务，并帮助学术界和行业研究解决硬件安全问题的对策和解决方案，我们将介绍硬件安全的关键概念 它与本调查文件中的相关研究主题有关。 新兴的硬件安全主题也将通过这些主题清楚地描述和阐述未来的趋势，使本研究论文成为该领域持续研究的良好参考。

关键词：硬件安全； 硬件木马； 携带证明硬件； 值得信赖的硬件平台

1.简介

长期以来，硬件一直被视为支持整个计算机系统的可信方，通常被视为运行软件层传输指令的抽象层。 因此，与硬件相关的安全研究通常被称为密码算法的硬件实现，用于提高密码应用的计算性能和效率[1]。 硬件版权保护也被归类为与硬件相关的安全性研究，其中水印被广泛用于解决版权问题[2]。 然而，这些领域的研究人员并没有考虑保护硬件本身。长期以来，网络安全研究人员认为，集成电路（IC）供应链保护良好，壁垒高，使攻击者无法轻易破坏制造的芯片。 随着尖端OEM和现代电影系统的高成本（SoC）平台设计的复杂性不断提高，曾经位于一个国家甚至一家公司IC供应链遍布全球。 符合这一趋势，硬件电路设计中的第三方资源(通常用于第三方制造服务SoC第三方软/硬开发IP现代电路设计制造中广泛使用内核形式。 这些资源的可用性大大降低了设计工作量、制造成本和上市时间（TTM）。 然而，严重依赖第三方资源/服务也造成了安全隐患，使攻击者能够轻松访问隔离集成电路（IC）供应链的错觉变得无效。 例如，恶意铸造厂可能会将硬件特洛伊木马程序插入制造芯片。 将IP内核集成到SoC攻击者可后，攻击者可能会使用他们提供的IP内核包含恶意逻辑和/或设计规则。

硬件安全的概念是在硬件特洛伊木马出现后正式引入以下对策，以减少或防止此类威胁。 硬件安全是一个术语，最初是指硬件木马的设计、分类、检测和隔离，不信任的铸造厂被视为主要威胁。 因此，已开发的硬件木马检测方法通常集中在后硅阶段，重点是提高现有检测方法的安全性[3-18]。 鉴于事实证明，第三方IP核可能是攻击恶意逻辑的另一个攻击载体，因此保护合成前设计也同样重要。 还开发了硅前电路保护方法[19-24]。

硬件安全的概念已经从测试解决方案扩展到正式的验证方法，除了硬件特洛伊木马检测的范围外。 虽然正式的方法已经广泛应用于软件程序安全保证中，但它们也被证明能够有效地验证硬件代码的安全性，通常是硬件描述语言（HDL）编写[25-27]。 这些方法的开发有助于为硬件设计提供先进的安全保障，即使攻击者可以访问原始设计。 这些形式化的方法也有助于克服许多其他硬件Trojan黄金模型在检测方法中的要求有限。 然而，安全属性的结构已成为硬件安全研究人员试图解决的开放问题。

硬件安全研究的发展最近已经从硬件特洛伊木马检测转移开来，现在倾向于建立可信的硬件来建立信任的根源。 硬件设备的固有特性对电路性能有负面影响。 一个典型的例子是物理不可克隆功能（PUF）该功能依赖于设备工艺的变化，以挑战-响应的形式生成特定于芯片的指纹。 除了MOSFET此外，研究人员正在研究新兴晶体管的使用，如asspin-transtorque（STT）设备，记忆阻器和spontronic并将其特殊特性应用于硬件安全应用。

硬件安全领域的另一个趋势是开发增强设备保护安全性的硬件基础设施。 迫切需要将安全、保护和身份验证集成到专用工具链中。 [28-35]正在开发各种安全性增强的系统结构。 调查将介绍硬件级增强功能，提供先进的安全性，并强调扩展到所有系统结构层的可用性和保护。 新趋势依赖于硬件功能、性能、可靠性、设计和验证的重新评估。 为确保现代计算机系统的安全设计、制造和部署，提供完全可操作的软硬件平台。 硬件处理器和访问控制将特别关注支持安全启动和访问控制的安全性SoC设计可防止硬件和固件攻击。

与此同时，由于硬件安全领域研究主题的迅速扩展，越来越多的研究人员加入了这一领域。 因此，为了帮助新加入该领域的研究人员更好地了解硬性安全领域中的挑战和任务，并帮助他们研究解决硬件安全问题的对策和解决方案，本调查报告将作为简要指南，介绍硬件安全的历史以及新兴的主题和挑战。 还鼓励有兴趣的读者参加硬件安全专用会议，面向硬件的安全性和信任（HOST）的IEEE International Symposium大会[36]，以及介绍相关主题的书籍[37]。

 

本文的其余部分安排如下：第2部分将介绍有关硬件木马检测和预防方法的工作。 第3节详细介绍了研究人员在利用正式方法进行硬件IP保护和可信度验证方面所做的努力。 第4节将描述对设备伪造的新硬件安全威胁，还将讨论最新的解决方案。 尽管其他文献中广泛介绍了物理不可克隆的功能（PUF），但第5节将简要介绍新的PUF设计趋势。第6节将讨论有关硬件安全应用中新兴设备的硬件安全研究的未来趋势。 在第7节中，介绍了硬件辅助的计算机安全性。 最终结论在第8节中给出。

 

2.HardwareTrojan检测

2.1。 部署前硬件木马检测

与软件病毒和软件特洛伊木马不同，硬件特洛伊木马无法通过固件更新轻松消除，因此对计算机系统更有害。 攻击者设计了HardwareTrojan，以向设计中添加不需要的功能。 没有设计硬件特洛伊木马程序的标准程序，因为其设计依赖于攻击者的目标和可用资源。 尽管如此，硬件安全研究人员对不同的特洛伊木马进行了分类。 例如，[7]中的作者根据触发的特洛伊活动将特洛伊木马分为隐性有效载荷和显式有效载荷。 更详细的特洛伊木马分类法可以在[38,39]中找到。 根据硬件木马的隐身性和它们可能造成的影响，还提出了各种木马设计方案[40-43]。 虽然大多数木马都是在寄存器传输级别（RTL）插入的，但也可以通过掺杂剂操作来插入木马[44]。

 

由于现有的测试方法无法检测到恶意逻辑，因此最近几年来开发了专用的硬件木马检测方法和可信赖的集成电路设计[45]。 已经提出了大量的硬件木马检测和预防方法，这些方法可以分为四个主要类别：（i）增强的功能测试[46]；  （ii）侧通道指纹[47]；  iii预防木马；  （iv）电路硬化[6]。

 

基于这种想法的增强的功能测试方法使硬件特洛伊木马程序很少触发事件。 因此，研究人员建议要么在测试模式中包括一些事件，以在测试阶段触发特洛伊木马程序[5]，要么在门级网表中分析所有罕见事件，以识别可作为触发因素的可疑节点[19]。 这种方法的局限性在于不存在针对稀有事件的标准定义，从而在标准测试模式和稀有事件模式之间留下了巨大的空白。

 

旁通道指纹打印是另一种流行的解决方案。 即使在测试阶段无法轻易触发硬件特洛伊木马，从而避免进行功能测试，插入的特洛伊木马也必须更改受污染电路的参数配置文件[38,48,49]。 该方法的有效性取决于将特洛伊木马感染的电路的边路信号与无特洛伊木马的电路区分开的能力。 因此，先进的数据分析方法可用于通过消除不断增加的过程变化和测量噪声来帮助生成侧通道指纹[14,47]。 选择各种侧通道参数及其组合以进行指纹生成和Trojan检测，包括全局功率迹线[47]，局部功率迹线[3,4]，路径延迟[7,50]等。侧通道指纹- 基于Trojan的木马检测由于其非侵入性特性而被广泛使用，但是这种方法是在假设黄金模型可用于比较的前提下开发的，这种方法通常不可行。

 

特洛伊木马程序预防和电路强化技术尝试使用额外的逻辑来修改电路的结构，以消除稀有/可疑事件[6,22]或使目标电路对恶意修改更加敏感[21]。 这些方法通常与其他Trojan检测方法结合使用，以提高检测精度或降低测试成本。 即使使用电路协同设计技术来降低目标设计中附加逻辑的影响，额外的保护逻辑仍会影响电路性能。 此外，加固结构可以使其成为硬件特洛伊木马的目标[51]。

 

2.2。 部署后硬件木马检测

尽管迄今为止，现有的特洛伊木马检测方法已经成功地检测了某些硬件木马，但由于它们依赖于过于简化的，有时是错误的假设，因此检测范围受到了限制，其中包括：

 

•硬件Trojan设计人员使用传统且简单的电路结构来限制其功能； 

•硬件Trojan设计人员试图占用微不足道的片上区域，以便从整个侧通道配置文件中屏蔽Trojan配置文件； 

•黄金模型可用于被测电路，可用于检测侧通道轮廓偏差； 

•攻击者仅将目标对准数字电路，因为模拟/ RF电路对修改更敏感。

 

这些假设已被硬件安全社区广泛接受，因此它们是开发最新硬件Trojan检测/预防方法和研究的主要准则。 不幸的是，这些假设被证明是无效的，而且越来越明显的是，硬件安全性和硬件木马检测的问题比我们曾经想象的更加复杂和广泛。 特别是：

 

•硬件特洛伊木马类似于现代电路设计中的进展，可以利用先进的设计技术来改善不显眼的效果，而无需牺牲功能[40,42]； 

•增强型Trojan设计可以使用大量的芯片空间，并且相对于整个侧通道配置文件而言仍然是隐藏的[52]；

 •黄金模型并非总是可用于包含第三方资源的集成系统[41,53]；

 •模拟/ RF电路同样容易受到硬件Trojan攻击[48,54,55]。

 

上述发现使许多先前提出的Trojan检测/预防方法无效，从而使数字和模拟/ RF域中的集成系统容易受到硬件Trojan攻击。

 

因此，研究人员开始研究利用后部署侧通道指纹和片上等效检查的后部署方法。 这里的关键思想是，隐秘的硬件木马可以在测试阶段轻松地逃避检测方法，但是一旦触发，将对边通道指纹或电路功能产生重大影响。 提出了第一个部署后信任评估结构[54]。 但是，此受信任的评估过程具有局限性，即只能通过主要输入从外部触发，从而停止正常运行，并为攻击者留出足够的时间在测试间隔内触发和静音木马。 为了克服该方法的不足，提出了一种可以在时间上监视目标电路的运行状态并立即报告电路异常的区域时间信任评估结构[52]。 还开发了利用电阻性RAM的并发片上奇偶校验，用于运行时硬件Trojan检测[56]。

 

3.正式认证

除了电路级保护方法外，形式验证也广泛用于硅前功能和安全验证。 在所有用于安全性验证的正式方法中，定理证明是一种可以为基础设计提供高级保护的代表性解决方案。 但是，该方法还具有计算复杂度高，证明结构繁琐且缺乏自动化工具的缺点。 在本节中，我们将介绍一个新提出的在硬件IP内核上的携带证明硬件（PCH）框架[57]。 我们还将介绍一种用于IP可信度验证的基于SAT求解器的形式保护方法。

 

3.1。 证明硬件

承载硬件的证明是一种确保硬件可信度的方法[24,25,58,59]。  PCH方法的灵感来自于G. Necula [60]提出的带有证明的代码（PCC）。 使用PCC机制，不受信任的软件开发人员/供应商可以验证其软件代码。 在认证过程中，软件供应商会为软件客户提供的安全策略开发安全证明。 然后，供应商为用户提供PCC二进制文件，其中包括用软件的可执行代码编码的安全属性的形式证明。 通过在证明检查器中快速验证PCC二进制文件，客户可以确保软件代码的安全性。 这种方法的效率可以缩短客户的验证时间，最终使其可以在不同的应用程序中采用。 尽管具有优势，但PCC方法仍需要庞大的可信计算库（TCB）。  PCC的这一局限性在基础PCC（FPCC）中得以克服，后者使用基础逻辑来表达不同汇编语言指令的操作语义，并实现了逻辑-逻辑框架[61-63]。 但是，FPCC方法将安全开发工作增加了许多倍。 随后，开发了认证的汇编程序设计（CAP）语言，该语言使用Hoare逻辑样式推理进行证明构建[64,65]。

 

遵循PCC框架的概念，[24,59]中的作者为动态可重构的硬件平台提出了初步的证明硬件（PCH）。 这里的关键思想是在可重构平台上利用设计规范和设计实现之间的运行时组合等效检查[59]。 该方法尽管命名为PCH，但实际上是基于SAT求解器的组合等效性检查，唯一的例外是将分辨率证明迹​​线视为功能等效性的证明。 在此框架中，所应用的安全策略与安全属性无关。 而是，位流提供者和IP用户双方都同意的安全策略确保双方都遵循相同的位流格式，表示组合功能的组合范式以及用于证明构造和验证的命题演算。 然后在[66]中对可配置平台上的基于SAT求解器的证据承载框架进行了更详细的介绍。 硬件信任和威胁模型以及实验设置在[23]中进行了详细说明。 尽管作者声称，基于其他安全属性，提出的PCH概念将有更多潜在应用，但是概念验证演示仍依靠运行时组合等效性检查（CEC）来仅检查规范和实现之间的功能等效性。

 

为了应用证明方法来保护除合成后FPGA比特流以外的通用合成前寄存器传输级（RTL）IP核，在[25,58]中开发了一个新的PCH框架，该框架建立在 CAP的建设与应用。 类似于FPCC和CAP框架，新的PCH框架使用Coq功能语言进行证明构造，并利用Coq平台进行自动证明验证[67]。  Coq平台的使用确保IP供应商和IP消费者都将实施相同的演绎规则，并有助于简化证明验证过程。 但是，Coq平台无法直接识别商业硬件描述语言（HDL）。 为了解决这个问题，开发了形式化的时间逻辑模型来表示Coq环境中的硬件电路。 还开发了转换规则，以帮助将商业IP核从HDL转换为基于Coq的形式逻辑，从而可以构建安全性属性定理及其证明[25]。 在此PCH框架的基础上，提出了新的受信任IP收购和交付协议[57]。 通过此框架，IP消费者将为IP供应商提供功能规范和安全属性集。  IP供应商将根据功能规格准备HDL代码。 然后将电路从HDL代码转换为形式表示，以进行安全性理论生成和验证构造。  HDL代码和形式证明定理对将合并到受信任的捆绑包中以进行交付。 一旦收到受信任的捆绑包，IP使用者将使用相同的转换规则首先生成正式的电路表示形式。 转换后的代码与形式定理和证明一起将被加载到证明检查器中。 通过自动的属性检查过程，IP使用者可以快速验证交付的IP内核的可信度。 由于计算工作量已从IP使用者转移到IP供应商，因此PCH框架成为可信IP验证的一种非常有吸引力的方法。 此外，由于自动证明检查过程很快，IP使用者可以在每次使用该设计时检查IP核，这甚至使内部攻击者也难以在设计中插入恶意逻辑。

 

在[25]中定义的PCH框架内，最重要的组成部分是安全属性集。 完整的属性集将通过检测IP内核中是否存在恶意逻辑来增强IP内核的可信赖性。 但是，[25]的PCH方法和可信IP交易过程未指定单个设计的安全属性的详细信息。 由于不同的硬件IP内核通常共享相似的安全属性，为了降低PCH框架的设计成本并重用以前开发的定理对，因此，以集中方式管理不同类型的安全属性的属性库将是理想的解决方案。 任何给定的硬件设计都可以从属性库中选择一组特定的安全属性，而不必从头开始开发所有属性。 所选的属性集可以使许多攻击模式更加难以实现和确保所交付IP核的可信度。 安全属性库可以根据不同的硬件特洛伊木马攻击类型进行扩展，以保护IP核。 作为构建此库的第一步，数据保密属性被选为大多数硬件IP核的主要属性[20,26]。 数据保密属性的关键思想是跟踪内部信息流，并依靠PCH框架来正式证明没有通过主输出或特洛伊木马通道泄漏任何敏感信息。 完整的安全属性库的开发仍是一个活跃的主题，正在研究中。

 

除了RTL代码信任验证之外，基于证据的信息保证方案后来被改编为支持门级电路网表，从而极大地扩展了IP保护中证据硬件的应用范围[68]。 利用新的门级框架，[68]中的作者正式分析了测试设计（DFT）扫描链的安全性，制造芯片的工业标准测试方法，并正式证明插入了扫描链的电路可以 违反数据保密性。 尽管数十年来一直在研究DFT扫描链引起的安全问题，并开发了各种攻击和防御方法[69-77]，但首次证明了插入设计的扫描链的漏洞已得到正式证明（请注意，由于扫描链被插入到网表中，因此RTL验证方法很少能接触到扫描链）。 相同的框架还应用于内置自测（BIST）结构，以证明BIST结构也可能泄漏内部敏感信息。

 

3.2。 基于SAT解算器的验证方法

除了带有证明的方法外，SAT解决方案还使用RT级代码安全性验证。 例如，在[53]中提出了一个四步过程来过滤和定位第三方IP中的可疑逻辑。 在第一步中，使用由顺序自动测试码型生成（ATPG）生成的功能向量来去除易于检测的信号。 在下一步中，使用全扫描N检测ATPG识别难以激发和/或传播的信号。 为了缩小可疑信号列表并确定与特洛伊木马相关的实际门，在第三步中使用了SAT解算器，对包含很少触发信号的可疑网表与表现出正确行为的电路网表进行等效检查。 在最后一步，使用可疑信号列表上的区域隔离方法确定了电路中不可测门的簇。 文献[78]中提出了另一种多阶段方法，包括基于断言的验证，代码覆盖分析，冗余电路去除，等效性分析和顺序ATPG的使用，用于可疑信号的识别。 该方法在RS232电路上得到了证明，检测特洛伊木马信号的效率在67.7％和100％之间。

 

4，防伪和IC保护

除了硬件木马以外，IC供应链还受到IP盗版，IC克隆，硬件后门和假冒芯片等各个方面的安全威胁。 已经提出了许多技术来阻止此类攻击，例如[3-7,14,19-22,25-27,38,47-51,79]。 此外，意识到关键系统中伪造芯片的严重性后，硬件安全研究人员开始对此领域进行调查，希望在部署之前检测出伪造或非法标记的芯片。 数据分析和机器学习方法已被用于恢复芯片识别[80,81]。 片上老化传感器是一种用于伪造芯片隔离的流行解决方案[82]。 另一个新出现的问题是IC生产过剩和IP盗版[83-85]，这主要是由于在将设计移交给代工厂后缺乏监督和/或直接参与制造。 有效地，没有可行的解决方案来确定铸造厂是否在精确地生产消费者订购的产品，或者他们是否生产了过多的芯片。 为了解决这个问题，提出了拆分制造的想法[86,87]，它使IP供应商能够依靠海外制造服务而不发送整个设计信息。 这个概念最近从数字域扩展到射频/模拟电路[88]。 在这种方法中，需要在国外制造需要先进技术的生产线前端（FEOL），但是在国内代工厂中添加了生产线的后端（BEOL），因此海外代工厂仅学习部分设计数据。 然而，这种方法的有效性仍在讨论中[89,90]。

 

随着设计领域已成为IC设计流程中最有利的阶段之一，并且随着反向工程工具集的改进[91]，电路设计和IP内核的保护在IC供应链安全中越来越受到关注。 实际上，知识产权盗版已成为对IC行业的严重威胁。 支持电路反向工程和IP内核复制的工具集变得越来越流行[91]。 已经开发了各种保护方法来防止此类攻击。 一种IP保护方法是Camou fl aging [92-94]，它依赖于布局级别的混淆，通过逆向工程使电路的结构更具挑战性[95]。 不幸的是，CMOS的开销不足以使门软化，尤其是随着保护级别的提高。  （与传统的NAND或NORgate相比，XOR + NAND + NOR伪装门具有5.1X–5.5X的功率，1.1X–1.6X的延迟和4X的面积。）设计混淆和逻辑加密是其他解决方案，可以防止攻击者轻松地恢复/复制电路设计而无需混淆密钥[  84,85,96,97]。 尽管该方法已证明对攻击具有鲁棒性（只有在攻击者同时知道网表和密钥的情况下，IP盗版才会发生），但性能开销和布局重新设计仍是挑战。 例如，基于故障分析的逻辑加密方法可以使功耗增加188％，延迟增加284％，面积增加242％（假设使用ISCAS测试台）[85]。

 

侧通道分析和故障注入是对硬件安全性的另一主要威胁，尤其是对于包含敏感信息的电路而言。 无需物理干预，攻击者就可以利用侧通道上的静态/差分分析（例如定时[98,99]，功耗[100]和电磁辐射[101,102]）来恢复内部信号。 除了被动侧通道分析外，加密电路还容易受到基于电源的故障注入的影响[103]。 为了应对这些攻击，研究人员开发了各种逻辑电路和片上传感器来平衡边通道信号并检测信号异常[104-107]。 但是，即使有了设计优化方法的帮助，现有的对策仍然会产生较高的性能开销[108]。

 

5，物理上不可克隆的功能

与这些硬件安全领域正交的是安全原语的开发，由于与软件解决方案相比它们的高效率和低成本，对其进行了研究。

最典型的例子是物理上不可克隆的功能（PUF），它利用由工艺变化引起的设备失配为每个芯片生成唯一的身份，通常是挑战-响应对[109]。 尽管有许多评估PUF设计的标准，但下面列出了与硬件安全应用程序密切相关的主要标准：

 

•随机性。 随机性是一种度量，指示给任何输入模式的随机响应程度。 

•唯一性。 唯一性是指示PUF设计在不同环境条件和/或噪声下的鲁棒性的另一个关键标准。  •增强的安全性。 安全属性可衡量PUF设计在受到攻击时的弹性。

 

实际上，最近已经开发出各种攻击方法，包括机器学习和设备建模，以破坏PUF设计并预测PUF响应[110-112]。

 

最近已经提出了大量工作，以使用纠错算法[113]和非MOSFET技术[114,115]来改善这些指标。 由于PUF的设计和评估已在其他文献中得到了广泛报道，因此对于[PUFs]开发和实施感兴趣的读者，请参考[116-119]。

 

6，硬件安全中的新兴设备

尽管现有的硬件安全方法主要在芯片制造，电路设计和电路测试领域，但未来的趋势将涵盖更广阔的领域，以使硬件在系统级保护中发挥积极作用。 具体来说，将介绍两个硬件安全研究领域，以显示从单层到跨层的硬件安全，硬件安全应用程序中的新兴晶体管和硬件辅助的网络安全解决方案，包括硬件安全应用程序中的新兴设备和硬件辅助的网络安全。

 

新兴设备的研究人员目前正在研究其在更广泛的安全领域中的应用。 由于大量新兴设备模型的可用性，例如石墨烯晶体管，原子开关，忆阻器，MOTT FET，自旋FET，纳米磁性和全自旋逻辑，自旋波设备，OST-RAM，磁阻随机存取存储器（MRAM）  ），自旋电子设备等[120]，与它们在硬件安全领域中的应用有关的两个基本问题已被提出：（1）在对抗硬件木马和IP盗版方面，新兴技术能否提供比CMOS技术更有效的硬件基础结构？  （2）新兴的基于技术的硬件基础结构应提供哪些属性，以更好地支持软件级保护化学？ 迄今为止，出于安全性目的，新兴技术中的大多数工作都是在PUF [115]和加密原语中进行的。 但是，PUF本质上利用了设备到设备过程的变化。 从某种意义上说，这表明严重失配的设备更为有用。 与这些努力不相上下的是，研究人员试图利用新兴技术的独特特性，然后再依靠不匹配的设备来实现IP保护和硬件攻击防范[121]。

 

7，硬件辅助计算机安全

除了电路级IC供应链保护方法外，硬件平台还可以参与软件级保护方案。 网络安全研究人员通常依靠分层的安全保护方法，并且已经开发出各种方法来通过较低抽象层（例如，虚拟机监视器或管理程序）的安全增强来保护较高抽象层（例如，来宾操作系统）[122-124]。 通过此链，网络安全保护方案已从访客操作系统向下推到虚拟机监控程序。 随着这一趋势的发展，正在开发新的方法，通过这些方法，可以修改硬件基础结构以直接支持复杂的安全策略，从而使在系统级运行的保护方案更加有效[125,126]。 实际上，最近在学术研究和工业产品中，支持网络安全保护的安全性增强硬件已经变得非常流行[28,29,127]。

 

7.1。  ARM信任区

用于实现可信计算的TrustZone方法基于可信平台，其中硬件体系结构在整个系统中支持和实施安全基础结构。  TrustZone体系结构没有保护专用硬件块中的资产，而是实施了扩展到系统任何组件的系统范围的安全性。 实际上，TrustZone体系结构旨在提供一个安全框架，以实现可编程环境的构建，从而允许来自各种攻击的应用程序资产的机密性和完整性[28]。

 

TrustZone实施依赖于对SoC的硬件和软件资源进行分区，以便它们存在于两个世界中：安全和非安全。 硬件支持访问控制和权限，以处理安全/非安全应用程序以及它们之间的交互和通信。 该软件支持安全的系统调用和中断，以确保在多任务环境中的安全运行时执行。 这两个方面确保正常世界组件无法通过安全通道访问任何安全的世界资源，这使得在两个域之间建立有效的安全墙。 此保护扩展到通过启用TrustZone的AMBA3 AXI总线结构连接到系统总线的I / O，该结构还管理内存分区。

 

7.2。 英特尔SGX

英特尔SGX（软件保护扩展）描述了添加到英特尔架构中的扩展，以强制执行内存访问策略和权限。 这些更改使应用程序可以在本机操作系统（OS）环境中以机密性和完整性执行。 用户空间划分是通过指令集体系结构（ISA）扩展来完成的，该扩展用于以开发人员确定的细微程度来生成硬件可执行的容器。 这些扩展允许应用程序实例化一个称为安全区的受保护容器，该容器在应用程序地址空间中定义受保护区域。 这些容器虽然对OS不透明，但仍由OS管理。 防止从非驻留在安全区中的软件尝试访问安全区存储区。 对于诸如虚拟机监视器（VMM），BIOS和OS的特权软件，这是正确的。  SGX扩展在安全区内存访问语义和地址映射保护方面提供了改进的体系结构支持[29,128]。

 

如前所述，安全区是应用程序地址空间中的一个受保护区域，即使存在特权软件，该区域也可提供机密性和完整性。 在建立安全区之前，安全区代码和数据可免费检查/分析。 一旦将受保护的部分加载到安全区域中，便会对其代码/数据进行测量，并防止所有外部软件访问。 应用程序可以向远程方证明其身份，并可以使用密钥和凭据以及安全区和平台特定的密钥来安全地保护它。

 

7.3。 CHERI

CHERI（功能硬件增强的RISC指令）扩展尝试在保持软件兼容性的同时在硬件中提供细粒度的内存划分。 以前通过软件虚拟化提供细粒度划分的方法会导致显着的性能开销。 过去通过硬件分区的方法来减少开销仅提供了粗粒度的保护。 内存管理单元（MMU）页面保护或堆栈框架是分隔的两个示例，它们在提高性能的同时仍可提供虚拟化保护，但以牺牲粒度为代价[129]。

 

CHERI项目通过具有MMU虚拟内存支持的基于功能的混合寻址方案，通过字节粒度内存保护扩展了64位MIPS ISA（指令集体系结构）。  LLVM编译器和FreeBSD OS修改已实现以支持CHERI扩展。  CHERI项目最关心的是通过以下八项要求进行内存保护：非特权使用，精细粒度，不可伪造性，访问控制，段/域可伸缩性，增量部署和指针安全性。 通常，在不频繁的系统调用中强制执行保护是指非特权使用。 细粒度应容纳密集打包的数据，并且应能够处理字节/字的奇数个数。 软件不可伪造，因为它无法增加其权限。 硬件应监视并强制执行受保护的内存区域和权限，以满足访问控制。 对于每个段和域，内存存储开销应分别随受保护区域的数量和使用频率适当地扩展。 最后，即使逐步采用了细粒度保护的共享库等受保护组件，现有的用户空间软件也应无需重新编译即可运行。 指针安全是通过将保护属性与类似于胖指针的对象引用相关联来实现的。 每个指针都对其指向的地址及其指向的帧的底和边界进行编码。

7.4。  LowRISC

LowRISC旨在成为基于64位RISC-V指令集体系结构的全开源SoC [130,131]。 主要设计目标包括针对40/28 nm技术节点，以开放许可证发布，新颖的安全功能，可编程I / O，AMBA总线和Linux支持。 此外，SoC将作为低成本开发板批量生产。 剑桥团队主要是受开源社区和创新型初创公司的推动，希望提供一个由学者，专业人士和业余爱好者支持的研究平台。

 

尽管处于早期设计阶段，lowRISC开发人员已经发布了有关拟议SoC的一些细节，他们认为这些细节将同时实现安全性和高性能：带标记的内存和minioncore。 注意，尚未提出这些计划的，未实现的设计目标，评估和性能指标。 实际上，“ minion”内核是具有可预测功能并直接访问I / O的简单处理器，旨在用于过滤I / O并以有限的性能要求运行任务。 标记的内存将元数据与每个内存位置和istobe关联起来，以强制执行细粒度的内存访问限制。

 

在lowRISC标记的存储器实现中，每个存储器地址都附加有标记位。 通过这种方式，lowRISC实现支持基本的流程隔离。 为了防止内存损坏（返回地址，vtable指针和堆栈/堆上的代码指针）损坏，修改了编译器以生成指令以标记易受攻击的位置。 在返回地址或vtable指针或锁定/解锁代码指针的情况下，这可以采取只读保护的形式，以保护释放后使用漏洞。 此外，可以根据程序的控制流图进行控制流完整性检查，以指示有效的目标。  lowRISC提供的对广泛安全策略实施的最低要求包括ISA扩展，对编译器的修改，内存分配器，libc环境以及更新内核虚拟内存系统以处理标记位。

 

8，结论

在本调查文件中，详细介绍了硬件安全性研究的历史。 还详细说明了当前研究工作以及该新兴领域的未来趋势。 该摘要为硬件安全研究提供了参考，希望可以为研究人员加入该领域并进一步拓展边界提供明确的指导。 通过本文，我们希望吸引更多的研究者加入这一领域，并开发更多的创新和基础解决方案来解决硬件级别的威胁，并作为最终目标，确保“信任根”的可信赖性。