正在阅读: 中国如何应对硬件供应链安全挑战

中国如何应对硬件供应链安全挑战

2018-10-19 08:48来源:中国科学报

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

  记者 赵广立

  继彭博新闻社10月9日更新了其所谓的“中国黑客利用间谍芯片攻击美科技公司”的报道之后,业内专家分析认为该事件的真实性越来越离谱。然而,诡谲的是,该事件给各方带来的负面影响却越来越大。

  “10月4日彭博新闻社报道刚出来的时候,指责所谓‘中国黑客’利用伪装芯片发动攻击的方式,经济上不合理、技术上又太复杂,我是不怎么相信的;10月9日彭博社进一步指摘‘黑客’在网卡接口处隐藏‘间谍芯片’,却又没有证据来证实这一点。”360集团技术总裁兼首席安全官谭晓生在接受《中国科学报》专访时说,彭博社前后两次报道提及的“黑客攻击”非常难以证伪——不可能把彭博社所指摘的所有主板都拆来检视,但也无法证实——彭博社并没有拿出实证,且其所取信的信源也没有可信度。

  “总体感觉是被泼了脏水,但又很难自证清白,这就很痛苦了。”谭晓生认为,这种模棱两可的态度反而造成了坏的影响。

  就在全球的技术专家都在忙着搞清这篇报道真相的同时,美国新闻界和民众却开始宣扬保护本国的“供应链安全”。如美国《大西洋月刊》和《国会山报》的文章都认为,“即便中国没有通过硬件入侵美国企业的服务器主板,彭博社的报道也暴露出了过于依赖中国的电子产品供应链条给美国带来巨大的安全危机”。

  然而事实是,没有哪个产业比集成电路有着更鲜明的全球化烙印。如果说仅仅依赖中国的供应链就要承受“巨大安全危机”,那么无法想象每年进口全球芯片50%以上的中国要承受什么。

  硬件安全,易被忽视的问题

  “(硬件安全)暴露出来的案例还不多,尚未引起足够的重视。彭博的这个报道实际上也给我们提了个醒。”中科院计算所研究员、计算机体系结构和芯片研究方向博士生导师韩银和在接受《中国科学报》记者采访时说,其实相比于软件安全、网络安全、数据安全等,硬件安全特别是从关键元器件发动的攻击,相当于一种新的“降维攻击”,要高度重视硬件安全的重要性。

  谭晓生也告诉记者,芯片的确是攻破安全屏障的一个进攻点,而且因为它在最底层,如果有预置后门或埋了木马,幕后操纵者可以“一层层地向上打”。如果对这种攻击方式不甚了解的话,被攻击方很难察觉。

  而从硬件出发,黑客可能从芯片层、电路板层、固件层发动攻击。

  谭晓生介绍说,芯片级的主动攻击,可以做到与正常芯片外观、管脚、封装等都一样,但芯片内部电路被篡改。这种通过篡改原始集成电路设计,植入完成特殊功能的逻辑,业内称为芯片木马或者硬件木马。在满足一定条件的时候(如反复执行某个指令引起状态反转),木马会被唤醒,进而实施改变功能、窃取信息、物理摧毁、协助软件木马控制系统等攻击行为。

  韩银和对记者说,2016年美国密歇根大学研究人员在IEEE安全领域顶级会议之一IEEE隐私与安全大会上已经证实,在芯片制造过程中可以植入硬件木马。在这次大会上,研究人员公开了一种只需要几十个门电路(整个芯片大概为几十亿个门级)的超小型硬件木马,这种木马可通过运行一系列“看上去完全无害的命令”触发处理器某项功能进而获得操作系统完整权限,危害极大。

  更值得担忧的是,韩银和指出,该芯片木马只要芯片制造工厂中的一位员工就能进完成植入,而且基本无法通过任何现代硬件安全分析手段检测出来。

  类似的,与芯片共同构成电路逻辑的电路板乃至执行某个特定功能的固件(介于软硬件之间),都有可能被植入恶意逻辑,这些同样非常难以发现。

  “限于工艺能力,中国许多芯片在境内设计、在海外流片,在流片的过程中,如果有别有用心者对芯片做了手脚,检测起来也是非常难的。”谭晓生告诉记者,从这个角度来讲,对于供应链安全,中国才是最该担心的。

  韩银和更是直言,硬件木马对于我国威胁更大:一方面该木马可以在制造阶段插入,由于半导体高端制造环节都在国外,这一隐患更大;另一方面,现有高性能芯片是非常好的硬件木马宿主,而我国无论是高端信息服务业和重要行业,每年都从美国进口大量的高端处理器。

  中国如何应对硬件安全?

  中国是全球最大的芯片进口国,全世界50%以上的芯片进口到中国。

  海关总署公开信息显示,2017年中国集成电路进口量高达3770亿片,同比增长10.1%;进口额为2601亿美元(约合17561亿元),同比增长14.6%。集成电路进口额占中国总进口额的14.1%。

  随着智能物联网设备的爆发式增长,中国未来只会进口更多的芯片。而随着更多的设计者、生产者进入芯片产业链条,几家大公司垄断的格局也将被打破。当“企业信誉”变得更为复杂,则意味着供应链全流程中安全漏洞更多,甚至可能产生与软件领域那庞大的黑灰产业。在此背景下,中国如何对硬件安全挑战?

  “安全问题不可能完全杜绝,至少现在从理论上没有绝对安全的计算机系统,只是攻防难度不同。”中科院计算所研究员、先进计算机系统研究中心主任包云岗在接受《中国科学报》记者采访时提出,就像我们追求健康一样,要有适当的手段来防止“病入膏肓”:不是绝对不生病,而是病痛来临之时能防能治。

  投射到硬件安全方面,就是要找到性价比最高的安全保障方案——花合理的钱保障足够的安全。怎么做到这一点?“个人观点,更重要的是构建免疫系统,就是有未知入侵,也能很快识别,并快速响应减少危害,形成免疫。”

  问题是,怎么构建这个免疫系统。

  “这就需要核心技术了。”包云岗说,可以参考人体的免疫系统来研究相应的一整套技术系统,比如类似B细胞的识别入侵机制、T细胞的有效杀死病毒;当B细胞和T细胞被激活后,会形成免疫记忆等。

  在韩银和看来,上述提到的“免疫系统”应该既包括“防”又包括“攻”。

  “相关技术体系的构建也不能仅仅关注防守,也要重视‘攻’的技术,‘攻’的技术进步可以大大提升防守的能力。”韩银和对记者说,美国在这方面非常重视,而且有可能有成体系发展“芯片武器”的计划。相比而言,我们的研究还不够系统。

  同时,韩银和还提示,面对潜在的硬件安全挑战,我国还应该建立健全供应链安全管理体系。“企业作为主体,建立关键元器件和系统可信审计制度,建立对芯片制作全过程的跟踪体系,避免伪制和过程中的恶意电路添加。”

  现有技术能防御几多

  硬件安全威胁重大,目前对其也并非完全束手无策。谭晓生告诉记者,芯片安全保护除了硬件检测外,还可以利用已有的网络安全技术实施防御。

  “不论是芯片级、主板级还是固件级的攻击,它就算隐藏起来,也始终是一个‘坏人’。坏人总得干‘坏事’,而只要它干‘坏事’,就一定会留下一些行为上的特征:如功耗变大、网络流量异常、行为异常等。”谭晓生对记者说,通过一项名为边信道检测的技术,就可以检测到电流、噪声、电磁等的变化。

  此外,通过网络行为检测和应用程序检测等多维度信息的收集,就会有更高概率发现恶意程序造成的机器异常,进而分析机器运行的程序是正常程序还是木马。

  “这其实就是攻防维度之争。攻击者能控制多少维度、防御者能控制多少维度,二者对比可见高下。如果说作为防御者,有一些维度是攻击者无法控制的,那么就有可能通过这些维度检测到攻击者。”谭晓生说。

  360网络攻防实验室负责人林伟介绍称,360今年发布的“安全大脑”就是这样一种理念:在无法判断哪些行为是攻击的情况下,尽量多地对行为和数据进行记录,然后对这些海量数据进行存储、分析、挖掘和关联,并配合人工智能技术,快速发现高级威胁。

  “网络安全领域有个理念叫做‘零信任’,说白了就是‘啥都不能信’。在整个安全防御体系里,相信什么,可能就会‘死’在什么上面。”谭晓生对记者说,追求“零信任”,其实是追求全维度的分析检测,这需要大量的存储、计算和分析。所幸,随着近年来计算和存储成本的下降,“安全的钱舍得花了”。

  不过,韩银和认为,要应对硬件安全挑战,我国在科研上还应围绕硬件安全组织开展方方面面的研究。

  “国内已经有一些研究团队开始关注芯片安全的问题。中科院计算所在几年前成立集成电路安全团队,并已经取得了一些突破性的工作。但相对于国外研究,我们起步晚了一点。”韩银和说,由于硬件安全的危害性还没有完全展现出来,所以目前我国投入和重视程度都不足。

  “这体现在研究上系统性不足,成果的核心技术主要集中在一些点的技术上,而且偏重于‘检’和‘防’的技术,而芯片木马‘攻’的技术也很重要,只有建立完整的“攻—检—防”技术体系,才能综合发挥作用。”韩银和说。

  《中国科学报》 (2018-10-18 第5版 技术经济周刊)

[责编:赵清建]

阅读剩余全文(

相关阅读

您此时的心情

新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 河北文安:科技助农下乡忙

  • 合肥:安全教育进校园

独家策划

推荐阅读
1960年,为了纪念世界气象组织的成立和《世界气象组织公约》的生效,世界气象组织执行委员会决定把每年3月23日定为“世界气象日”。
2019-03-22 13:57
3月21日,我国高分辨率对地观测系统重大专项(以下简称高分专项)的两颗卫星——高分五号、六号卫星正式投入使用。自2010年批准启动实施以来,高分专项已成功发射六颗卫星,数据源不断丰富,并在国土、环保、农业、林业、测绘等领域得到广泛应用。
2019-03-22 09:40
近日,位于加州大学圣地亚哥分校的高通研究室宣布,该研究室利用70台4K分辨率显示器,创造了世界上分辨率最高的虚拟现实系统。
2019-03-22 09:36
近日,中国第35次南极科学考察队完成各项任务后,搭乘雪龙号,返回上海码头。多年来,中国南极科考队一方面致力于自身医疗救治能力建设,提高自我医疗救治保障能力,另一方面,积极参与医疗救援国际合作。
2019-03-22 09:24
近日,门诊导诊机器人“小医”在河北省邯郸市中心医院东区门诊大厅正式上岗,呆萌外表和有趣互动吸引不少患者围观。经过不断训练的“人工智能医生”,“眼睛”“耳朵”“大脑”日益发达,涉及病种越来越多、领域越来越宽,包括临床助理、辅助诊疗、医学影像、基因检测、健康管理等。
2019-03-22 09:23
21日,在“2019阿里云峰会·北京站”上,北京冬奥组委与阿里云召开发布会,宣布2022年北京冬奥会将实现“云上转播”。北京冬奥组委新闻宣传部部长常宇表示,我们鼓励“云上转播”技术的研发,着力实现体育赛事的远程制播。
2019-03-22 09:21
实现5G商用,离不开运营商这支5G网络部署主力军。中国电信称,未来将积极探索新技术的商业化应用,加快构建与5G相适应的经营机制,发挥自身禀赋优势,提早布局业务生态。
2019-03-22 09:21
毕竟,人工智能不是要在作品之外再造一个“叶修”,而是为粉丝提供一个能陪他们的“叶修”。如果有一天,虚拟人物能给你更难辨真假的聊天体验,那么,到底是他们进入你的世界,还是你陷入了他们的世界?
2019-03-22 09:20
南昌大学谭慧斌等人也对潮泉的成因提出了挤压模型、洗衣池模型等假设。微孔打开,水流入溶洞内暗河后,水面下降,水压减小,水速逐渐减慢,微孔再度被泥沙堵塞关闭,从而形成涨落潮。
2019-03-22 09:19
长江商学院首届人工智能论坛暨中国人工智能指数报告发布会昨日在京举办。报告从学术、产业、开源软件包使用、公众认知及媒体等方面,进行中美对比,以此度量中国的人工智能在最近十几年里的发展及影响。
2019-03-22 09:31
从“0”到“1”制备出了高质量砷化铌样品后,修发贤团队还不满足,决意进一步观察材料特性。修发贤介绍,砷化铌纳米带的高电导率要归功于其表面与众不同的电子结构——具有拓扑保护的表面态(费米弧)。
2019-03-22 09:35
“在新媒体传播成为主流的时代,科学家需要主动利用网络传播和新媒体传播,承担起科学传播的重担,这是责任、也是义务”,中国科学院院士、植物生理学家匡廷云说。截至目前,“DOU知计划”已吸引了包括中科院12家研究所的科研人员,以及清华大学、中国科学技术大学、中国科学院大学、浙江大学等10所高校的师生等数百名“学院派”科普短视频作者的参与。
2019-03-22 09:19
周数翻转可能引发空管雷达信号数据混乱,会引起数据中断、目标航迹与计划不相关等问题。何智力表示,为了应对GPS周数翻转问题,一方面,各个行业应该提前联系GPS接收机供应方,咨询是否存在因GPS周数翻转带来授时错误问题,如果存在,应要求GPS接收机供应方更新固件。
2019-03-22 09:18
美国研究人员在最新一期《科学》杂志上发表研究报告称,他们成功利用冷冻的未成年恒河猴睾丸组织培育出成熟精子,使雌猴受孕并生育出健康的猴宝宝。
2019-03-22 09:18
韩国政府调查团20日在韩国记者中心发表正式调查报告称,2017年韩国浦项地区发生的大型地震并非是一次“自然地震”,而是人类活动造成的“触发地震”。经过近一年工作,两个调查委员会得出了同样的结论,认为浦项地热发电站向地热井注入高压水的作业触发了浦项地震。
2019-03-22 09:17
“我国传统铸造行业以手工劳动为主,通俗地形容就是‘傻大黑粗’。”  说话的年轻人名叫刘轶,36岁的他是宁夏共享集团股份有限公司(以下简称共享集团)产业创新中心副总经理、智能制造研究院院长。
2019-03-22 09:16
过去,我国对污染气体和温室气体的监测主要依靠美欧及日本卫星,高分五号发射后,大大缓解了对国外数据的依赖。高分六号具有大覆盖范围、重访时间短、定量化探测等特点,面向农业农村、林业和防灾减灾等应用,搭载2个大幅宽光学相机,并为宽幅相机新增了4个波段。
2019-03-22 09:16
游客在陕西洋县朱鹮梨园景区观赏梨花(3月21日摄)。近日,陕西省汉中市洋县朱鹮梨园景区梨花开放,满山梨花如飘香白雪,吸引游客前来赏花。近日,陕西省汉中市洋县朱鹮梨园景区梨花开放,满山梨花如飘香白雪,吸引游客前来赏花。
2019-03-22 09:26
一些共享单车企业倒闭使不少人陷入“押金亏损”,北京的蓝女士上下班主要靠共享单车接驳地铁。摩拜公司有关负责人回应称,征求意见稿对于保障用户合法权益、化解风险具有积极正面的意义,摩拜单车支持并积极响应。
2019-03-21 11:54
记者从中国科学院植物研究所获悉,该所研究员田世平带领的团队通过多种途径,阐明了污染果实的一种重要真菌毒素——棒曲霉素在扩展青霉中生物合成的分子基础、合成途径及调控机制,为创制果实采后棒曲霉素防控技术具有重要意义。
2019-03-21 10:10
加载更多