硬件安全
鲲鹏服务器将单板硬件抽象为关键接口、器件/模块、PCB走线、丝印/标识和外壳几个硬件元素,结合STRIDE威胁分析方法,鲲鹏服务器单板硬件从调试接口、业务接口、器件/模块、PCB走线、丝印标识、外壳等方面系统进行硬件安全设计,最大程度增加了攻击者近端攻击的难度,从硬件设计上最大化保护了关键数据的安全,做到了攻击面的最小化。
单板硬件元素 |
硬件安全威胁概述 |
|||||
|---|---|---|---|---|---|---|
S(仿冒) |
T(篡改) |
R(抵赖) |
I(信息泄露) |
D(拒绝服务) |
E(特权提升) |
|
调试接口 |
攻击者非法通过调试接口访问单板 |
攻击者可通过调试接口篡改系统配置信息、软件等 |
攻击者可通过调试接口删除日志等方式清除系统访问痕迹 |
攻击者非法导出口令、密钥等敏感信息,的导致信息泄露 |
攻击者可通过植入非法软件或非法配置数据,造成单板DoS攻击 |
攻击者可通过调试接口轻易获取单板系统访问特权 |
业务接口 |
攻击者非法通过业务接口访问单板 |
攻击者可通过业务接口篡改业务数据或通过升级通道篡改软件 |
攻击者对单板的访问无法被感知(系统无记录日志) |
攻击者可通过未使用业务接口镜像或存储接口拷贝数据等方式获取敏感信息 |
攻击者可通过大流量数据灌入业务接口,造成单板DoS攻击 |
攻击者可从普通用户权限跃迁为管理员权限,可对单板系统实施更深层次的攻击 |
器件/模块 |
攻击者可通过替换芯片(如flash)实施攻击 |
攻击者可通过故障注入(如时钟、电压等)改变芯片执行流程或者替换芯片等 |
攻击者可通过侧信道(如功耗、电磁等)等攻击方式绕过单板日志记录系统 |
攻击者可通过故障注入、侧信道、物理攻击(如探针探测)方式获取单板敏感信息 |
攻击者可通过物理攻击等造成单板DoS攻击 |
攻击者可通过故障注入等方式实现提权攻击 |
PCB走线 |
/ |
攻击者可通过物理攻击(如探针)方式篡改数据 |
/ |
攻击者可通过物理攻击(如探针攻击)获取单板内部传输数据流,以获取单板敏感信息 |
攻击者可通过物理攻击方式阻断、扰乱PCB走线传输的数据流,造成单板DoS攻击 |
/ |
丝印/标识 |
/ |
/ |
/ |
攻击者可通过PCB丝印、标识信息轻易识别各类功能模块、总线、接口等,单板通过丝印、标识向攻击者泄漏了有助于攻击的信息 |
/ |
/ |
外壳 |
攻击者非法越过外壳访问单板内部系统 |
攻击者物理拆解外壳 |
攻击者拆解外壳而不留痕迹 |
/ |
/ |
/ |
鲲鹏服务器的鲲鹏处理器芯片、iBMC芯片以及网络控制器等关键芯片均具备硬件可信根能力,支持基于硬件可信根的可信计算能力,兼容设计支持TCM和TPM芯片/模块,具备物理防篡改能力,同时满足国内和海外的安全要求。
鲲鹏服务器硬件单板严格按照单板硬件可信与安全设计规范进行设计和开发,从架构设计、器件选型、硬件原理图设计、PCB设计、整机设计上全流程实现硬件可信,严格按照规范要求设计,并通过公司硬件ICSL验证。
在单板的硬件接口安全设计上,通过硬件层面关断调试接口(调试串口、调试JTAG接口等),对于有敏感数据传输的接口和信号,采用了PCB内层走线、关键信号打散布线、硬件加解密、硬件写保护等硬件手段进行防护,有效防止攻击者通过存储接口及调试接口等获取设备敏感数据;业务接口芯片支持对数据的加解密,接入认证控制要求;对于存储敏感数据的芯片采用BGA封装和物理外壳防拆设计,对于关键电路的关键走线,严格按照规范布线,对关键电源管理信号等防侧信道攻击,去除了单板PCB上非业务功能要求的各类功能标识丝印等,最大程度增加了攻击者从硬件近端攻击的难度,从硬件上最大化保护了关键数据的安全,做到了攻击面的最小化。