如今，物聯(lián)網(wǎng)（IoT）設備的數(shù)量正呈爆發(fā)式增長。智能硬件、傳感器、醫(yī)療植入物等越來越多的設備加入物聯(lián)網(wǎng)中。據(jù)權威機構預測，2020年全球物聯(lián)網(wǎng)設備數(shù)量將超過200億。

（圖片來源：維基百科）

隨之而來的是，物聯(lián)網(wǎng)安全形勢越來越嚴峻。物聯(lián)網(wǎng)安全威脅的形式多種多樣，例如網(wǎng)絡攻擊、設備入侵、數(shù)據(jù)竊取等。比如在我們?nèi)粘Ｉ钪?，一旦汽車被黑客控制，可能會立即失去駕駛控制權；如果智能門鎖被黑客控制，小偷將破門而入；如果家里的網(wǎng)絡攝像頭被黑客控制，那么家中的隱私暴露無余；如果醫(yī)療設備被黑客控制，病人的健康將面臨威脅。

2016年10月，美國東海岸地區(qū)遭受大面積網(wǎng)絡癱瘓，其原因為美國域名解析服務提供商Dyn公司當天受到強力的分布式拒絕服務（DDoS）攻擊所致。事后，全球安全研究專家對此次事件進行了追蹤、分析、溯源和響應處置，發(fā)現(xiàn)黑客利用了大量由攝像頭等物聯(lián)網(wǎng)設備組成的僵尸網(wǎng)絡發(fā)起攻擊。

如今，在物聯(lián)網(wǎng)生態(tài)系統(tǒng)中，許多聯(lián)網(wǎng)設備卻沒有安全防護能力，或者防護能力較低。這勢必會造成嚴重的安全漏洞與風險?？茖W家們正在探索從各個層面提供物聯(lián)網(wǎng)安全解決方案，例如軟件、硬件、網(wǎng)絡、通信等，而其中芯片層面的安全技術占據(jù)著非常重要的地位。今天，筆者就要帶大家一起關注芯片層面的物聯(lián)網(wǎng)安全技術創(chuàng)新。

創(chuàng)新

近日，美國萊斯大學集成電路（IC）設計師在硅谷最重要的芯片設計會議上公布了一項技術，該技術的可靠性比目前為物聯(lián)網(wǎng)（IoT）設備制造“不可復制的數(shù)字指紋”的方法高十倍。

2月20日，萊斯大學的 Kaiyuan Yang 和 Dai Li 在2019年國際固態(tài)電路會議（ISSCC）上展示了他們的“物理不可復制功能（PUF）”技術。ISSCC 是一個非常著名的科學會議，也被通俗地稱為“芯片奧林匹克（Chip Olympics）”。

Dai Li (左) 和 Kaiyuan Yang（圖片來源：Jeff Fitlow/萊斯大學）

技術

傳統(tǒng)加密技術

一般來說，密碼、指紋、機密文件等私密信息，都需要通過加密算法加密生成密文，然后再存儲到內(nèi)存中。當需要使用時，再通過密鑰對密文進行解密，還原出原始信息。

可是，目前各種主流的加密算法基本都是公開的。一旦密鑰被竊取，私密信息也會容易失竊。因此，密鑰需要隨機生成，具有不可預測性和唯一性。此外，密鑰還需要存儲在非常安全的地方，防止被非法獲取。但是，做到這些并不是一件簡單的事情。

PUF技術

德國哲學家萊布尼茨說過：“世界上沒有兩片完全相同的樹葉。”同樣，世界上也沒有兩顆完全相同的芯片。即使采用相同的原料、設計、技術、制造工藝，人類也無法生產(chǎn)出兩顆一模一樣的芯片。

在制造過程中，不可控的隨機物理變化導致了芯片之間會存在微小差異。這些差異處于可控范圍之內(nèi)，又非常敏感，但不影響芯片正常運作。這些隨機、不可預知、不可控制的差異奠定了芯片安全和物理不可復制的基礎。打個比方，這些差異就如同每一顆芯片與生俱來的“指紋”，是這顆芯片唯一的身份認證。

PUF技術正是通過這些差異來生成密鑰。拿128比特的密鑰來說，PUF設備會向由幾百個晶體管組成的PUF單元陣列發(fā)送請求信號，基于不同的響應為每個比特分配1或者0。不同于傳統(tǒng)方式存儲的數(shù)字密鑰，PUF密鑰是在每次請求時主動創(chuàng)建的，通過激活不同的晶體管集生成不同的密鑰。

這種基于物理硬件的密鑰產(chǎn)生方式，保證了密鑰是唯一的、隨機的、不可復制的。而且，提取出來的密鑰無需保存，使用后隨即消失，再次使用時就再次提取。不保存密鑰，也使得黑客無從攻擊或竊取。

PUF技術，也被稱為不需要存儲密鑰的下一代新型加密技術。這項技術有望大幅提高物聯(lián)網(wǎng)設備的數(shù)據(jù)信息安全防護能力，有效防范信息丟失、竊取、非法復制等安全風險。

新的PUF技術

Yang 和 Li 開發(fā)的PUF技術，通過為每一個PUF生成兩個獨特的指紋，在可靠性上實現(xiàn)了飛躍。這種“零開銷”的方法采用相同的PUF組件來生成兩個密鑰，且無需額外的區(qū)域和延時。這種獨特的創(chuàng)新設計，使得他們的PUF的能量效率大約比之前發(fā)布的版本高15倍。

（圖片來源：Jeff Fitlow/萊斯大學）

該校電氣與計算機工程系助理教授 Yang 表示：“基本上，每個PUF單元都可以工作在兩種模式之下。在第一種模式下，它創(chuàng)造出一個指紋；在另外一種模式下，它創(chuàng)造出第二個指紋。每一個指紋都是一個獨特的標志符，而且雙密鑰的可靠性要高得多。萬一設備在第一種模式下出現(xiàn)故障，它可以使用第二個密鑰。它在兩種模式下都出現(xiàn)的故障的概率非常小。”

他說，作為一種鑒權手段，PUF指紋與人類指紋有著一些相同的優(yōu)點。Yang 表示：“首先，它們是獨一無二的，你不需要擔心兩個人具有同樣的指紋。第二，它們與個體綁定在一起。你無法改變你的指紋或者將它復制到別人的手指上。最后，指紋是不可復制的，我們沒辦法創(chuàng)造出一個與別人擁有相同指紋的‘新’人。”

Yang 表示：“物聯(lián)網(wǎng)的一般概念就是，將物理對象連接到互聯(lián)網(wǎng)，從而將物理世界與網(wǎng)絡世界結(jié)合起來。在今天的大多數(shù)消費者物聯(lián)網(wǎng)中，這個概念并沒有得到完全實現(xiàn)，因為許多設備都需要外部供電，而且?guī)缀跛性O備都使用了為移動市場開發(fā)的現(xiàn)有的集成電路功能集。”

相比而言，Yang 的實驗室設計出來的設備，一開始就是為了物聯(lián)網(wǎng)而設計的。最新的物聯(lián)網(wǎng)原型尺寸只有幾毫米，它可以將處理器、閃存、無線發(fā)射器、天線、一個或多個傳感器、電池以及更多的東西封裝到一粒米大小的區(qū)域內(nèi)。

（圖片來源：Jeff Fitlow/萊斯大學）

價值

PUF技術的應用使芯片制造商能低成本且安全地生成用于加密的密鑰，將其作為“智能家居”恒溫器、安全攝像頭和燈泡等物聯(lián)網(wǎng)設備所采用的下一代計算機芯片的標準功能。

PUF并不是物聯(lián)網(wǎng)安全的新概念，但 Yang 和 Li 的PUF版本在可靠性、能量效率和在芯片上實現(xiàn)所需的面積方面是獨一無二的。首先，Yang 表示，在軍事級別的溫度（從零下55攝氏度到125攝氏度）、電源電壓下降達50%的測試條件下，他們測量到了性能的改善。

Yang 表示：“即使有一個晶體管在不同的環(huán)境條件下表現(xiàn)出異常，該設備也會生成錯誤的密鑰，使它看上去就像一個不可信的設備。因此，對PUF來說，可靠性或穩(wěn)定性是最重要的衡量標準。”

能量效率對物聯(lián)網(wǎng)也很重要，在物聯(lián)網(wǎng)中，設備被期望一次充電可運行十年。在 Yang 和 Li 的PUF中，密鑰是通過靜態(tài)電壓產(chǎn)生，而不是主動給晶體管上電。靜態(tài)的方法卻更節(jié)能，這有點違反直覺，因為這樣相當于讓燈全天候地開著，而不是按一下開關快速地看一下房間。

Yang 表示：“通常情況下，人們會激活睡眠模式，當他們想要創(chuàng)造一個密鑰時，他們就激活晶體管，開關一次，然后再讓它進入睡眠模式。在我們的設計中，PUF模塊總是開著的，但它只需要很少的電力，甚至比傳統(tǒng)睡眠模式下的系統(tǒng)還少。”

在芯片上所需的面積（制造商不得不分配一定數(shù)量的空間和費用來將PUF設備放在生產(chǎn)的芯片上），也是他們優(yōu)于之前報告的工作的第三個指標。他們采用65納米互補金屬氧化物半導體（CMOS）技術制造出了原型。他們的設計在原型上占用2.37平方微米生成一個比特。