物聯網、云計算正以前所未有的速度改變我們的生活，享受科技成果帶來便利的同時，也將個人重要數據隱私暴露計算設備、互聯網絡，信息安全是非常復雜的議題。

“人們對軟件安全的研究已經有幾十年歷史，但對硬件，尤其是CPU芯片的安全研究，近幾年剛剛開始。”清華大學微電子研究所所長魏少軍介紹。

魏少軍表示，今年媒體披露主流的CPU存在的“熔斷”和“幽靈”漏洞，讓人們認識到作為現代信息系統核心的CPU安全如此脆弱，更值得關注的是，暴露出的問題僅僅是冰山一角。

魏少軍領導團隊研發的CPU硬件安全動態監測管控技術便致力于解決這一難題。

昨天（11月7日），在世界互聯網大會中，該項成果獲得互聯網大會領先科技成果。

該技術首次提出用獨立的芯片“動態”監測硬件安全，讓CPU硬件安全的保障手段從以傳統的流程管控和靜態檢測為主的“事前預防”，擴大到了“事中監測”和“管控危害”，從而構建起了完善的CPU硬件安全防護體系。

“目前從學界公開發表的文獻來看，我們的方法是獨一無二的。”清華微電子所劉雷波教授告訴記者，“這項技術也將改寫長期以來我國在CPU安全標準領域缺乏技術型標準的局面。“

CPU硬件安全是重中之重

CPU是計算機的大腦，是整個計算系統最核心的部件。如果CPU硬件安全沒有保障，追求軟件安全、系統安全、網絡安全就如同沙灘上蓋大廈。

此外，技術層面對CPU硬件安全進行檢查也很難。

一是因為CPU規模很大，單個的CPU集成晶體管的數量，可以超過200億顆晶體管，如果里面有幾十顆、幾百顆晶體管，被設計用于惡意目的，想找出問題電路無異于大海撈針。

再者，芯片設計、制造、測試是分工極為細致的社會化大生產流程，涉及的企業遍布全球，要完善的掌控所有的環節、保障每個環節安全幾乎是不可能的。

并且，由于認識水平的缺陷，設計本身也難免帶來缺陷。

種種原因，使得硬件安全的問題雖然在近年硬件安全事件頻發的狀況下逐步得到了更多的重視，但是系統解決方案并不多，硬件安全、特別是CPU硬件安全問題也并未得到有效地解決。

創新用“安全代理”實時監測硬件安全

記者了解到，早在2015年，清華大學微電子所魏少軍所長所帶領的研究團隊就注意到了硬件安全，特別是現代信息處理核心的CPU芯片的硬件安全問題。

團隊創新地提出了以高安全性、高靈活性的可重構芯片作為“安全代理”，來實時、動態的監控CPU芯片的行為，并做出判斷——是否存在危害CPU硬件安全的事件發生。

劉教授告訴記者，“安全代理”會監測CPU行為是否符合產品指令集（說明書）里宣稱行為，如果不符，就可以懷疑存在硬件木馬或者后門利用。

此外，如果CPU行為和指令手冊一樣，但該行為具有可疑性，可能會利用硬件技術漏洞，泄漏了信息，也會被監測到。

因此，芯片中的硬件木馬，芯片中后門、漏洞被利用等事件，一經發生就可以被該技術所捕獲，并能夠有效的進行管控，阻止進一步的危害發生。

這樣一來，該項技術就提供了一種高效可行的“監控”手段，從而讓硬件安全特別是CPU硬件安全的保障手段從以傳統的流程管控和靜態檢測為主的“事前預防”，擴大到了“事中監測”和“管控危害”，構建起了完善的CPU硬件安全防護體系。

為CPU安全性的評價體系帶來根本性的革新

記者了解到，該團隊包括100多個經驗豐富的工程師，其中超過半數都具有碩士以上學歷。該項技術的研發攻克了包括處理器行為采集、分析、管控在內的多項核心技術難關，累計申報高質量國內外專利40余項。

“目前在學界公開發表的文獻來看，我們的方法是獨一無二的。”劉雷波告訴記者，“硬件安全是全世界面臨的共同挑戰，該項技術的研究具有普世的價值。”

此外，隨著該技術的進步，在CPU的硬件安全保障體系逐漸完善的同時，對CPU安全性的評價體系也將帶來根本性的革新，這將改寫長期以來我國在CPU安全標準領域缺乏技術型標準的局面。

據魏少軍介紹，CPU硬件安全動態監測管控技術已經邁出產業化步伐，基于這項技術的第一款商用服務器CPU芯片“津逮”已經發布，這是目前主流商務市場首款具有芯片級的高性能服務級CPU。能為超過90%的商務市場提供安全、可控、可信的解決方案。