华夏芯针对近期CPU重大设计缺陷的分析、看法与建议

 

过去几周，被称之为MELTDOWN和SPECTRE的两个CPU设计缺陷，持续引起了公众的普遍关注。此次波及全球数十亿设备的重大安全事件，同样引起了华夏芯的客户和合作伙伴对本公司CPU安全情况的问询。作为一家独立研发自主知识产权的处理器IP的创新型芯片设计公司，华夏芯在作出正式回应的同时，也希望通过和同行一道，从专业角度深入剖析此次重大安全缺陷，并分享我们的分析和建议，以起到抛砖引玉的作用，进而有助于推动中国处理器产业迈向新的台阶。

 

MELTDOWN和SPECTRE这两个硬件缺陷都借助侧信道攻击来还原权限数据。不同的是，MELTDOWN利用现代处理器采用的乱序执行（Out-of-Order Execution）机制，在数据缓存中留下操作痕迹，以此获取内核内存，从而破坏不同权限级别之间的隔离机制。由于乱序执行的程度因处理器设计公司而异，因此MELTDOWN仅影响到少数访存设计激进的处理器设计厂商，比如INTEL和部分ARM最新处理器。而SPECTRE利用现代处理器采用的推测执行（Speculative Execution）技术，诱导处理器推测执行不该有的程序路径，从而破坏不同应用程序之间的隔离机制。推测执行很难被硬件取消，因为会造成大幅度的性能下降，因此SPECTRE影响到绝大多数处理器设计厂商，包括INTEL、AMD、ARM，以及许可了上述厂商含推测执行技术的IP核的芯片设计公司。所有市面上存在以上缺陷的硬件设备都会暴露在攻击范围内，其中对特定应用领域的服务器的影响尤其严重。

 

METLDOWN和SPECTRE两个缺陷来自于底层微架构，并不依托于操作系统或者特定程序的漏洞作为攻击载体，因此拥有多样的攻击途径和攻击对象。对此操作系统和编译器不得不做出紧急修改，并可能由此带来可观的性能损失。目前，操作系统厂商已经论证了它们可以在用户进程盗取系统内核和其它用户进程的数据；在操作系统修补后，云服务软件厂商又论证了这些缺陷仍可以被用于盗取同一虚拟机上不同用户之间的数据；接着浏览器软件也证实在浏览器中运行JavaScript可以攻破网页和会话之间的隔离。目前存在问题的大型通用软件的提供商由于对处理器架构和操作系统有足够清晰地认识，因此能快速完成论证，并迎合操作系统修改而完成自底向上的更新和适配。然而专用性较强的软件的提供商是否有能力采取同样的跟进措施，这一点需要引起业界的足够重视。毕竟依靠软件研发人员深入了解这种底层的硬件设计缺陷，完成本应由硬件实现的修复是非常困难的。

 

本次安全事件暴露了更为深层次的问题：基于硬件缺陷的攻击没有明显的程序特征，传统杀毒、侦测软件很难识别，且攻击后不会在系统上留下任何痕迹，无法跟踪攻击者。这一攻击特性揭示了基于处理器底层硬件缺陷攻击的隐蔽性。因此，最根本的解决手段还是CPU底层指令集、微架构设计的完善和创新。在经历此次重大安全事故后，业界对支撑CPU底层硬件安全的这两大关键技术的自主可控有了新的认识。

 

缺陷发布的第一时间，华夏芯通用处理器经过专业的场景复现和谨慎的模拟分析，可以确认免疫当前所有设计缺陷相关的攻击程序，因此也不需要采取任何牺牲性能换取安全的举措。同时研发人员又深入研究所有可能的攻击变体，经过反复科学论证，可以确认华夏芯研发的CPU不存在MELTDOW缺陷，同时免疫SPECTRE变体的攻击，仅会受到分支预测执行溢出区域的攻击的影响（此种攻击影响所有使用分支预测技术的现代处理器）。对此，华夏芯通过在特定安全场景下建立安全的程序访问隔离机制来使用户机密信息获得双重保障。综上所述，华夏芯拥有整套解决方案来确保用户的信息安全。所有这些都得益于华夏芯处理器先进的自主指令集设计和安全可控的自主架构设计。

 

华夏芯认为，设计理念和应用领域的差异可能导致CPU对上述漏洞具有不同的敏感程度和免疫强度，虽然这些不能成为评判CPU设计先进与否的标准，但是，如果中国不具备真正的CPU自主创新能力，也必然无法掌握预先防范和自主修复的主动权。事实上，这两个缺陷已经对于处理器行业产生了深远的影响：各大芯片设计厂商开始重新审视处理器自主指令集和微架构对于信息安全的重要性。这次暴露的问题，在一定程度上动摇了目前国际几大处理器厂商在高性能超标量技术领域的绝对统治地位。接下来大家都将面临新一轮的竞赛——设计兼顾高可靠性和高性能的新一代处理器，这也意味着中国处理器厂商第一次有机会和全球竞争对手站在同一起跑线上。

 

过去30年，人类经历了由数字化、互联网、移动互联网所引发的三波颠覆性产业浪潮。依靠半导体工艺的进步和架构的创新，CPU处理器性能不断飞跃并作为用户最友好、最通用的计算平台，承担了以上应用领域中的主要计算负载，由此成为每一波产业浪潮背后的关键推手。全球设备在享受CPU设计厂商智慧结晶的同时，也同样面临着CPU潜在设计缺陷带来的负面风险。在当今人工智能异军突起之际，异构并行计算以其优异的能耗比被各大芯片设计厂商广泛认知，同时也引领CPU进入了与GPU、专用处理器等其他计算单元进行异构融合的“CPU+”时代，中国CPU、DSP、GPU、AI等高端处理器行业面临重大机遇和挑战。

 

目前SPECTRE这一类缺陷引发的攻击仍处于初始阶段，中国处理器安全领域的同行还需要更多的时间对此做出全面和深入的调研。华夏芯和很多前瞻学者、领域专家在积极研究可能出现的新型攻击变体的同时，在此提出我们的新型防御理念，其核心是构建多层次、多角度的主动防御系统：首先，通过异构并行对系统级任务进行合理调度，在发挥CPU通用计算的优势的同时，构建由多异构计算核协同支撑、安全等级更高的任务执行体系。如果某计算核被攻击，系统仍能第一时间把任务调度到其他可用的异构核进行执行，从而减少整个编程过程中对CPU这一单一计算单元的过度依赖，提高系统对风险的容错性和可控性。其次，立足自主可控的指令集和高可靠性的自主微架构。这样既能创新性地构建主动防御系统，又能提供持续、合理的综合执行效率。

 

华夏芯作为国内嵌入式异构并行计算的领军企业和倡导者之一，年初发布了国内先进的64位高端嵌入式CPU/DSP统一处理器IP和AI专用处理器IP，已经开始采用新型防御系统的设计，旨在全方位保证用户的信息安全。值此契机，华夏芯愿与其他芯片设计厂商在异构计算的新型安全防护、人工智能应用、专用加速设计等方面展开更广泛的交流与合作，探索异构并行计算在更多市场领域的应用潜力，共同推动中国异构计算产业的自主创新。