王科超（河南工程學(xué)院,鄭州 451191）

計(jì)算機(jī)硬件的設(shè)計(jì)安全探究

王科超
（河南工程學(xué)院,鄭州 451191）

近些年來(lái)，計(jì)算機(jī)技術(shù)的發(fā)展得到了大幅提升，但是在硬件方面的發(fā)展，稍顯滯后于軟件的發(fā)展。硬件安全問(wèn)題在近些年被廣泛提及，越來(lái)越多的硬件安全漏洞被不法分子利用，給普通用戶(hù)、企業(yè)和事業(yè)單位等造成巨大的危害。加強(qiáng)計(jì)算機(jī)硬件安全已經(jīng)成為計(jì)算機(jī)硬件發(fā)展所必須解決的問(wèn)題。本文就計(jì)算機(jī)硬件的基本概念入手，逐一分析計(jì)算機(jī)硬件存在的安全問(wèn)題，提出了一些加強(qiáng)計(jì)算機(jī)硬件設(shè)計(jì)安全的策略。

計(jì)算機(jī)硬件；設(shè)計(jì)安全；策略

硬件是構(gòu)成計(jì)算機(jī)的一大部分，與軟件處于同等的地位。在進(jìn)入新世紀(jì)以后，我國(guó)計(jì)算機(jī)軟件技術(shù)有了質(zhì)的飛躍，但是相關(guān)硬件技術(shù)的進(jìn)步幅度卻明顯不及軟件發(fā)展的速度，尤其是暴露出了硬件安全這一重大問(wèn)題。只有徹底解決了計(jì)算機(jī)硬件安全的問(wèn)題，才能推動(dòng)計(jì)算機(jī)硬件發(fā)展跟上軟件發(fā)展的步伐。

1 計(jì)算機(jī)硬件的基本概念

計(jì)算機(jī)硬件通常來(lái)講，主要是指計(jì)算機(jī)系統(tǒng)中的各類(lèi)有電子、機(jī)械和關(guān)電元件組成的物理部分。這些物理部分按照一定的功能要求，組合成為了一個(gè)具備一定能力的基礎(chǔ)部件。而這些基礎(chǔ)部件通過(guò)有機(jī)統(tǒng)一的整合，就成為了計(jì)算機(jī)。從部件基本構(gòu)成來(lái)看，計(jì)算機(jī)一般由主機(jī)和為外部設(shè)備組成。主機(jī)包含了內(nèi)存、主板、光驅(qū)、CPU、擴(kuò)展卡和連接線(xiàn)等部分，外部設(shè)備主要包括了鍵盤(pán)、鼠標(biāo)以及其他配件。

從功能劃分的角度來(lái)看，計(jì)算機(jī)一般可以分為運(yùn)算器、控制器、儲(chǔ)存器、輸入設(shè)備和輸出設(shè)備五大部分。運(yùn)算器一般由累加器、寄存器和邏輯單元等組成，運(yùn)算器的處理數(shù)據(jù)一般來(lái)自?xún)?chǔ)存器，其相關(guān)運(yùn)算結(jié)果一般也是儲(chǔ)存到儲(chǔ)存器中或是暫存在運(yùn)算器中。控制器是計(jì)算機(jī)的控制中心，其基本作用就是協(xié)調(diào)控制計(jì)算機(jī)的各部工作，確保計(jì)算機(jī)按照既定程序和規(guī)則進(jìn)行相關(guān)操作?？刂破饕话銖膬?chǔ)存器中讀取命令，然后向相關(guān)部位發(fā)送命令，對(duì)計(jì)算機(jī)整體活動(dòng)作出精細(xì)的調(diào)度。儲(chǔ)存器是計(jì)算機(jī)中的信息數(shù)據(jù)儲(chǔ)存中心，相當(dāng)于人體大腦的記憶中樞，用于數(shù)據(jù)信息的存放。輸入設(shè)備的作用是將所需進(jìn)行處理的數(shù)據(jù)信息輸入到計(jì)算機(jī)中，一般輸入設(shè)備可以分為鍵盤(pán)、鼠標(biāo)、掃描儀和攝像頭等設(shè)備。輸入設(shè)備是實(shí)現(xiàn)人機(jī)交互的簡(jiǎn)單渠道，可以使計(jì)算機(jī)按照人的需求進(jìn)行相關(guān)工作。輸出設(shè)備是計(jì)算機(jī)的終端設(shè)備，用于數(shù)據(jù)信息的輸出，主要有顯示器、打印機(jī)和音頻設(shè)備等。

2 計(jì)算機(jī)硬件安全的現(xiàn)狀分析

2.1 計(jì)算機(jī)硬件安全發(fā)展現(xiàn)狀

計(jì)算機(jī)硬件的涵蓋范圍豐富，但一般主要是指計(jì)算機(jī)的芯片和輸入輸出設(shè)備等。信息安全一般具有保密、集成和使用三個(gè)方面的特性，其主要包含了軟件、硬件和通信三個(gè)方面的信息安全。進(jìn)行計(jì)算機(jī)信息安全建設(shè)管理，主要應(yīng)該從用戶(hù)、軟件和硬件三個(gè)方面入手。其中用戶(hù)行為是很難規(guī)范的，因此主要應(yīng)該從軟硬件兩個(gè)方面加強(qiáng)信息安全建設(shè)。軟件安全的發(fā)展已經(jīng)具備了一定水準(zhǔn)，相關(guān)理論和方案已經(jīng)具備高度的可操作性。唯一的薄弱環(huán)節(jié)就是計(jì)算機(jī)硬件，通過(guò)計(jì)算機(jī)硬件引發(fā)的安全問(wèn)題正在逐漸增多。

計(jì)算機(jī)硬件存在的安全問(wèn)題主要可以分為三個(gè)方面，第一是輸入設(shè)備造成的安全問(wèn)題。輸入設(shè)備造成的安全問(wèn)題一般可以分為輸入數(shù)據(jù)信息存在安全隱患和輸入存在非法操作兩種情況。輸入信息存在安全隱患主要是指輸入信息存在木馬病毒等，對(duì)計(jì)算機(jī)內(nèi)部信息數(shù)據(jù)帶來(lái)了風(fēng)險(xiǎn)；輸入非法操作可能出現(xiàn)計(jì)算機(jī)內(nèi)部信息數(shù)據(jù)被損壞等問(wèn)題。第二是儲(chǔ)存介質(zhì)存在的安全問(wèn)題，目前的計(jì)算機(jī)儲(chǔ)存介質(zhì)基本不具備信息數(shù)據(jù)安全屏障，對(duì)于非法拷貝、惡意攻擊以及暴力破壞等非法行為毫無(wú)抵抗能力，只能任憑數(shù)據(jù)信息泄露。第三是輸出設(shè)備帶來(lái)的安全問(wèn)題，由于部分輸出設(shè)備存在記憶功能，能夠?qū)ο嚓P(guān)信息數(shù)據(jù)或操作動(dòng)作形成記憶，只需進(jìn)行重復(fù)操作就可以在現(xiàn)相關(guān)信息，給計(jì)算機(jī)的信息數(shù)據(jù)安全帶來(lái)了極大的危害?？偟膩?lái)說(shuō)，計(jì)算機(jī)硬件安全的現(xiàn)狀并不樂(lè)觀(guān)，存在諸多方面的問(wèn)題，需要大力進(jìn)行改善。

2.2 計(jì)算機(jī)硬件的設(shè)計(jì)安全分析

計(jì)算機(jī)硬件安全的性能基本決定于設(shè)計(jì)階段，目前多樣化設(shè)計(jì)和工程變異等安全方案是提升計(jì)算機(jī)安全性的主要策略，其最大的特征就是能耗小成本低。工程變異的方向是解決IC時(shí)序和芯片老化，其不僅包括了傳統(tǒng)的CMOS技術(shù)，還包括了納米技術(shù)、光纖技術(shù)和等離子技術(shù)等新興技術(shù)。所以，工程變異在計(jì)算機(jī)設(shè)計(jì)安全中得到了十分高效的應(yīng)用。但是，其也會(huì)給計(jì)算機(jī)惡意攻擊檢測(cè)以及一些其他工作帶來(lái)較高的難度。目前，檢測(cè)木馬、設(shè)置全新的安全原語(yǔ)和集成現(xiàn)有芯片已經(jīng)逐漸成為計(jì)算機(jī)硬件設(shè)計(jì)安全的主要研究對(duì)象。

就目前計(jì)算機(jī)硬件設(shè)計(jì)安全工作來(lái)講，對(duì)硬件木馬的處理成為了重點(diǎn)工作。硬件木馬主要針對(duì)一些原始芯片，發(fā)動(dòng)嵌入式或修改式的惡意攻擊行為，給計(jì)算機(jī)內(nèi)部的數(shù)據(jù)信息造成泄露或損壞的風(fēng)險(xiǎn)。在另外一個(gè)方面，不可復(fù)制技術(shù)也是加強(qiáng)計(jì)算機(jī)硬件設(shè)計(jì)安全的有效措施。其基于工程變異，能夠?yàn)橛?jì)算機(jī)硬件安全保護(hù)提供優(yōu)良的保障?？偟膩?lái)說(shuō)，計(jì)算機(jī)硬件的設(shè)計(jì)安全程度直接決定了其在使用過(guò)程中的安全性能，對(duì)其整體安全性作出了硬性的限制。

3 計(jì)算機(jī)硬件設(shè)計(jì)安全的策略分析

3.1 確保計(jì)算機(jī)硬件內(nèi)置安全

確保計(jì)算機(jī)硬件內(nèi)置安全，是解決計(jì)算機(jī)安全問(wèn)題的一大有效途徑。其具體措施是在計(jì)算機(jī)芯片的制造過(guò)程中，通過(guò)將EPIC技術(shù)和PUE技術(shù)相結(jié)合，對(duì)計(jì)算機(jī)硬件的IP提供周全的保護(hù)。這種方案是由Roy等人提出來(lái)的，其主要針對(duì)的是傳統(tǒng)的IC設(shè)計(jì)理念，通過(guò)EDA工具來(lái)獲取相應(yīng)的物理版圖，再使用PUE技術(shù)，從而制作出基于芯片變異的PUF IC。在此之后，將其與加密過(guò)的IC管理員版權(quán)進(jìn)行促和就可以生成檢測(cè)密鑰。通過(guò)這種設(shè)計(jì)理念，制作出經(jīng)過(guò)加密的驗(yàn)證模塊，對(duì)IC版圖進(jìn)行保護(hù)以便對(duì)原始模塊形成保護(hù)作用，進(jìn)而對(duì)計(jì)算機(jī)硬件安全形成保護(hù)作用。

3.2 加強(qiáng)計(jì)算機(jī)硬件外置的輔助安全測(cè)驗(yàn)

外置輔助安全測(cè)驗(yàn)的方案主要是使用傳統(tǒng)的RAS技術(shù)，先在密鑰管理中心進(jìn)行私鑰和公鑰的制作，利用公鑰對(duì)芯片中的各類(lèi)信息進(jìn)行有效的保護(hù)，通過(guò)密鑰儲(chǔ)存器和安全芯片驗(yàn)證一起組建成外置輔助安全驗(yàn)證裝置。密鑰儲(chǔ)存器主要是對(duì)私鑰進(jìn)行儲(chǔ)存保護(hù)，在進(jìn)行檢測(cè)時(shí)可以使用RFID來(lái)讀取芯片內(nèi)部的電路信息數(shù)據(jù)，對(duì)芯片進(jìn)行安全驗(yàn)證處理，進(jìn)而保護(hù)相關(guān)數(shù)據(jù)信息。外置輔助安全測(cè)驗(yàn)裝置設(shè)計(jì)是對(duì)計(jì)算機(jī)硬件安全進(jìn)行保護(hù)的有效策略之一，其可以通過(guò)密鑰管理加強(qiáng)對(duì)計(jì)算機(jī)硬件安全的保護(hù)。

3.3 加強(qiáng)計(jì)算機(jī)硬件研發(fā)過(guò)程的安全設(shè)計(jì)

不論是從內(nèi)置還是外置方面加強(qiáng)對(duì)計(jì)算機(jī)硬件安全保護(hù)，都是基于技術(shù)層面而言的。但是計(jì)算機(jī)硬件安全并不只是技術(shù)層面的問(wèn)題，在設(shè)計(jì)理念、設(shè)計(jì)側(cè)重以及設(shè)計(jì)人員等方面都存在一定的問(wèn)題。改善這些問(wèn)題也可以對(duì)計(jì)算機(jī)硬件安全形成有效的保護(hù)作用。加強(qiáng)計(jì)算機(jī)硬件研發(fā)過(guò)程的安全設(shè)計(jì)，主要可以從三個(gè)方面來(lái)進(jìn)行。

首先，加強(qiáng)研發(fā)設(shè)計(jì)人員對(duì)計(jì)算機(jī)硬件安全保護(hù)的意識(shí)。當(dāng)前計(jì)算機(jī)硬件的研發(fā)設(shè)計(jì)主要側(cè)重于質(zhì)量和性能，對(duì)于安全保護(hù)的側(cè)重很弱。其不僅因?yàn)橄嚓P(guān)研發(fā)設(shè)計(jì)人員對(duì)于計(jì)算機(jī)硬件安全的認(rèn)識(shí)不足，也因?yàn)閺V大用戶(hù)對(duì)于計(jì)算機(jī)硬件安全缺乏最基本的認(rèn)識(shí)。這兩個(gè)方面的因素共同導(dǎo)致了計(jì)算機(jī)硬件的研發(fā)設(shè)計(jì)過(guò)程沒(méi)有注重對(duì)安全性能的設(shè)計(jì)。

其次，加強(qiáng)對(duì)計(jì)算機(jī)硬件安全性能的側(cè)重。在計(jì)算機(jī)硬件研發(fā)設(shè)計(jì)過(guò)程中，不能一味注重質(zhì)量和性能，應(yīng)該更加注重安全。畢竟質(zhì)量和性能只是關(guān)系到用戶(hù)體驗(yàn)，而安全則關(guān)系到用戶(hù)的各項(xiàng)數(shù)據(jù)信息甚至經(jīng)濟(jì)安全。加強(qiáng)對(duì)計(jì)算機(jī)硬件安全性能的研發(fā)設(shè)計(jì)，應(yīng)該從外設(shè)和內(nèi)設(shè)兩個(gè)層面入手，逐一對(duì)每一個(gè)可能造成安全風(fēng)險(xiǎn)的部件進(jìn)行安全設(shè)計(jì)。

最后，加強(qiáng)對(duì)計(jì)算機(jī)硬件安全性能的評(píng)估。設(shè)計(jì)一款計(jì)算機(jī)硬件設(shè)備，不能只是測(cè)試其質(zhì)量性能，還應(yīng)該對(duì)其安全性能進(jìn)行評(píng)估。評(píng)估計(jì)算機(jī)硬件的安全性能，應(yīng)該從輸入設(shè)備、儲(chǔ)存設(shè)備和輸出設(shè)備三個(gè)方面來(lái)進(jìn)行，以發(fā)現(xiàn)漏洞彌補(bǔ)漏洞的心態(tài)進(jìn)行計(jì)算機(jī)硬件安全評(píng)估。

3.4 創(chuàng)新計(jì)算機(jī)硬件安全設(shè)計(jì)技術(shù)

計(jì)算機(jī)硬件安全的問(wèn)題近些年之所以開(kāi)始日趨嚴(yán)重，最主要的問(wèn)題是計(jì)算機(jī)硬件安全技術(shù)發(fā)展較為緩慢，無(wú)法應(yīng)對(duì)不斷提升的各類(lèi)信息竊取技術(shù)。因此，不斷創(chuàng)新計(jì)算機(jī)硬件安全設(shè)計(jì)技術(shù)，將其切實(shí)應(yīng)用到計(jì)算機(jī)硬件研發(fā)設(shè)計(jì)環(huán)節(jié)，加強(qiáng)計(jì)算機(jī)硬件設(shè)計(jì)對(duì)于安全的考慮。

首先，完善現(xiàn)有計(jì)算機(jī)硬件安全設(shè)計(jì)技術(shù)。針對(duì)目前現(xiàn)有的計(jì)算機(jī)硬件安全設(shè)計(jì)技術(shù)，需要結(jié)合當(dāng)前計(jì)算機(jī)硬件所面對(duì)的實(shí)際安全威脅，找出其存在的缺陷和不足，進(jìn)行專(zhuān)項(xiàng)提升完善，使其能夠隨著問(wèn)題的發(fā)展而發(fā)展，能夠一直起到安全保障作用。

其次，構(gòu)建完整了計(jì)算機(jī)硬件安全技術(shù)體系。計(jì)算機(jī)硬件安全來(lái)自各個(gè)方面，對(duì)于每一個(gè)部分而言，其存在的安全威脅和解決途徑都存在區(qū)別。因此將計(jì)算機(jī)硬件的各個(gè)部分進(jìn)行有機(jī)統(tǒng)一的聯(lián)系，加強(qiáng)各技術(shù)之間的交互，構(gòu)建完整的計(jì)算機(jī)硬件安全技術(shù)體系，對(duì)于計(jì)算機(jī)硬件安全保護(hù)有著重要的意義。

最后，開(kāi)發(fā)全新的計(jì)算機(jī)硬件安全技術(shù)。諸如基于量子理論的量子計(jì)算機(jī)硬件，基于光學(xué)理論的光學(xué)計(jì)算機(jī)硬件，甚至還有基于超微生物理論的生物計(jì)算機(jī)硬件。這些全新的計(jì)算機(jī)硬件可以極大的提高計(jì)算機(jī)的信息數(shù)據(jù)安全，給計(jì)算機(jī)最周全的保護(hù)。

4 結(jié)束語(yǔ)

計(jì)算機(jī)硬件較多，從外設(shè)到內(nèi)設(shè)，數(shù)量種類(lèi)都存在各種差異，其所存在的安全問(wèn)題及手段也都不同。因此不僅需要在技術(shù)層面加強(qiáng)內(nèi)置和外置的保護(hù)措施，還需要從理念層面加強(qiáng)計(jì)算機(jī)硬件研發(fā)設(shè)計(jì)人員的安全觀(guān)念，創(chuàng)新相關(guān)計(jì)算機(jī)硬件安全技術(shù)，才能促進(jìn)計(jì)算機(jī)硬件設(shè)計(jì)安全的提高。

[1]聶廷遠(yuǎn),賈蕭,周立儉.計(jì)算機(jī)硬件設(shè)計(jì)安全問(wèn)題研究[J].信息網(wǎng)絡(luò)安全,2011(10).

[2]張會(huì)彥,馬宗亞,張慧娟.基于行為模式的計(jì)算機(jī)安全策略研究[J].煤炭技術(shù),2013(06).

[3]崔益民,張魯峰，張劍波.基于硬件的計(jì)算機(jī)安全策略[J].微機(jī)處理,2011(02).

王科超（1983-），河南禹州人，大專(zhuān)，助理實(shí)驗(yàn)師，研究方向：信息管理與信息系統(tǒng)。