通过实时硬件/软件保护对策保护当今的军事电子系统

当今的军事电子系统经历了快速发展，因此，这些系统以及其中存储和传输的数据越来越容易受到无意和恶意行为造成的有害操纵。虽然系统设计人员越来越注重安全，并且越来越多地将安全要求纳入设计和开发过程，但在尝试保护电子系统时，仍有许多挑战需要解决。

最佳方法是结合基于硬件和基于软件的安全措施，以防止盗版、逆向工程和未经授权的使用。

通过许多进步，包括半导体集成和第三方软件和硬件IP的使用，电子系统在复杂性和结构方面都经历了快速演变。曾经由几百万个晶体管和几十万行代码组成的系统正在被由数亿个晶体管和数百万行代码构成的系统所取代。

因此，现代军事电子系统以及其中存储和传输的数据越来越容易受到由无意和恶意行为引起的有害操纵。就无意漏洞而言，大多数是在系统设计阶段引入的，此时安全问题的定义不充分或考虑不足，并且会出现简单的设计缺陷。不幸的是，这些无意的漏洞越来越多地被越来越复杂和恶意的威胁所利用。

最近的新闻证明了这些漏洞。在过去的一年里，针对国防、政府、公用事业和金融部门的基础设施发起了一系列备受瞩目的网络攻击，包括五角大楼高度机密的战斗机项目的渗透和空军空中交通管制系统的破坏——这两者都是对国家国防能力的震惊打击。越来越多的证据表明，曾经由少数资金不足的个人实施的网络攻击现在正由大量资金充足、组织良好的科学资源机构执行，并辅以极其高效的大众传播系统——互联网。

虽然系统设计人员越来越注重安全，并且越来越多地将安全要求纳入设计和开发过程，但在尝试保护电子系统时，仍有许多挑战需要解决。最佳方法是结合基于硬件和基于软件的安全措施，以防止盗版、逆向工程和未经授权的使用。这些软件和硬件系统必须紧密地结合在一起并协同运行，以确保最大程度的保护。我们的讨论将展示硬件辅助技术用于自适应软件保护的可行性。它将解决软件/硬件方法的要素，并探讨可编程设计如何提供实时安全监控以检测意外或非法行为。

可编程硬件辅助技术

与完全基于软件的替代方案相比，可编程硬件辅助技术具有许多优势，包括能够实时监控低级硬件功能，以及能够在不影响CPU性能的情况下同时监控设计中的多个点。然而，最显着的好处是硬件辅助技术是可编程的，允许在运行时执行各种监视和对策功能，并为动态创建新的安全监视器和对策提供一种方法，或在部署后上传，以解决任何意外威胁或潜在的设计缺陷。

这种“防御逻辑”由分布式可编程仪器组成，可以重复配置以动态实施不同的安全检查，不断监控系统操作以检测意外或非法行为。可编程性还允许通过分时相同的硬件来实现大量检查。

将现有的软件保护产品（如ARM TrustZone（TZ）或Green Hills Software的INTEGRITY RTOS）与安全分析软件功能和新的可编程硬件机制相结合的技术将防御广泛的攻击，包括I类（外部人员或黑客），II类（内部人员）和III类（资金充足的组织或民族国家）。可以快速分析和分类报告的攻击，以便根据检测到的攻击的严重性发出适当级别的响应。

系统架构

可编程防御逻辑分布在大部分硬件子系统中，以提供无处不在的覆盖范围，具体位置在设计时确定。可以为每个系统构建不同的位置，为每个硬件设计提供唯一的安全方案。即使是由相同硬件设计组成的系统也可以通过可配置的可编程防御逻辑方法具有独特的安全方案，并且该逻辑可以通过安全的JTAG端口和/或嵌入式处理器通过安全的内部接口进行控制。

安全监视器是一个可编程事务引擎，配置为实现有限状态机，以检查用户指定的行为属性，如内存访问权限、总线性能级别、引导序列和操作签名，所有这些都使用带到其输入端进行分析的信号。然后，将信号探测网络配置为选择受监控信号的子集并将其传输到安全监视器。为了实施不同的安全检查，监控器安全软件（或专用硬件控制器）配置信号探测网络以选择要由安全监视器检查的信号组，并配置它们以执行所需的检查。所有安全仪器配置程序都经过加密并存储在一个或多个位置，包括硬件控制的安全闪存、安全OTP存储器或软件控制的闪存。

动态包装器与安全监视器结合使用，以提供各种实时对策。任何包装的信号或一组信号都可以在安全监视器（或主管安全软件）检测到不当行为时实时控制。动态包装器可用于隔离逻辑、保护内存、重置外设、创建诱饵事务以及擦除内存中的密钥或其他敏感数据。

图 1 显示了插入 SoC 中的可编程防御逻辑机制的主要组件，该 SoC 具有运行安全 RTOS 的处理器。（SoC 可能包含在 ASIC、FPGA 或安装在印刷电路板组件上的现成电子设备集合中。此外，图 2 说明了硬件和软件架构，其中可编程防御逻辑由在受保护软件区域中运行的主管安全软件配置和控制，并执行各种功能，例如管理分时安全监控功能、激活对策等。

图1：插入 SoC 中的可编程防御逻辑机制（以蓝色显示）的主要组件图示，该 SoC 具有运行安全 RTOS 的处理器。

图2：软件和硬件体系结构的图示。

系统安全检查

系统安全检查取决于应用程序和电路。可编程防御逻辑元件检查硬件的操作和软件的完整性。检查针对整个 SoC，而不区分安全环境和非安全环境。第一类检查是查找一组用户指定的安全违规行为，例如：

尝试访问受限地址空间

拒绝服务

加载软件的静态特性（例如校验和）的更改

禁用内核（例如，内部逻辑块）上的意外输出更改

内核上的非法操作模式

代码执行的动态特征（例如签名）的更改

资源利用率过高 – 超出某个定义的限制

试图篡改引导或 BIOS 代码

时钟毛刺和时钟修改攻击

改变环境条件（如温度或电压）的篡改攻击 – 需要带有模数转换器和安全监视器的模拟传感器

第二类检查检查系统行为的一般正确性属性（即断言）。断言检查的基本原理是篡改攻击通常会导致系统以不正确的方式运行。某些检查将基于部署前模拟中使用的断言，以验证 SoC 中使用的标准通信协议（AMBA、PCI 等）的正确实现或特定块的行为。

所有检查都在安全环境中进行预部署和验证，其相应的配置预加载到一个或多个安全 SoC 内存位置。这些配置不仅经过加密，而且对于每个设计都是独一无二的，如果不访问功能设计数据库，就很难理解。而且，在断电状态下，可编程防御逻辑为“空白”（未编程）;因此，它的功能对未经授权的人员和试图对系统进行逆向工程的攻击者是隐藏的。可编程防御逻辑对于在非安全环境中运行的任务逻辑和应用软件都是不可见的。因此，这些安全功能可以对“不受信任”的系统和芯片制造商和/或其他有权访问供应链中系统的其他人隐藏。

实施对策

当防御逻辑检测到攻击时，它会通过高优先级或特权“安全”中断将其报告给主管安全软件，以及详细说明攻击性质和位置的信息。主管安全软件分析收到的信息，确定攻击的严重性，并部署适当的对策。

防御逻辑通过控制指定的信号来实现对策。例如，如果内核表现出非法行为，则各种对策可能会通过禁用其时钟、关闭其电源、使其处于复位状态或在其输出上强制使用安全值来隔离该内核。在软件域中，损坏的例程可能会从内存或磁盘重新加载。需要实时部署的紧急对策可以直接由安全监视器实施，而无需主管安全软件。

可编程防御逻辑还可以部署在故障安全和恢复安全应用中。系统级对策和恢复可以结合技术，例如提供故障安全状态、替换行为异常逻辑的备用逻辑以及将系统返回到已知良好状态的检查点。

采取行动

保护我们的军事电子系统对国家的未来至关重要。实现这一目标的第一步是在设计阶段的早期开始采用基于硬件和软件的安全措施，以确保针对盗版、逆向工程和未经授权的使用带来的严重威胁提供最全面的保护。

审核编辑：郭婷