新(xīn)的Arm架构為(wèi)IoT带来了增强的安全性和AI

2021-05-18

新(xīn)的Arm架构為(wèi)IoT带来了增强的安全性和AI

自Arm推出新(xīn)架构以来已有(yǒu)近十年的时间，但是IoT的增長(cháng)以及人工智能(néng)（AI）向这些边缘设备的转移是该公司显然一直在追踪的趋势。Arm刚刚推出了一种处理(lǐ)器架构，旨在满足边缘对增强安全性和AI功能(néng)的不断增長(cháng)的需求。

所述Armv9架构推出在三端，与在设备的IoT增强AI处理(lǐ)的目的。需求似乎很(hěn)明确：该公司估计90％的新(xīn)物(wù)联网应用(yòng)程序将包含某种AI元素。预期需要AI的应用(yòng)包括用(yòng)于设备控制的语音处理(lǐ)，用(yòng)于工业自动化和消费系统的视觉处理(lǐ)以及用(yòng)于机器人技术，自主移动设备和智能(néng)传感器的机器學(xué)习。当使他(tā)们的设备设计适应特定用(yòng)例时，AI还為(wèi)开发人员提供了自定义编程的替代方法。

為(wèi)了增强v9的AI处理(lǐ)能(néng)力，Arm与Fujitsu合作创建了可(kě)伸缩矢量扩展（SVE）架构。对于新(xīn)处理(lǐ)器，Arm扩展并调整了该架构，以创建其SVE2硬件设计。SVE2允许处理(lǐ)器自动缩放SIMD（单指令，多(duō)数据）指令的向量長(cháng)度，以简化软件开发。结果是增强了机器學(xué)习和数字信号处理(lǐ)（DSP）操作的处理(lǐ)能(néng)力。v9體(tǐ)系结构的未来增强功能(néng)也正在开发中，以加快矩阵乘法的速度。

v9架构的第二个重点是增强物(wù)联网设计的操作安全性。尽管个人计算机和移动设备的安全问题日益增長(cháng)的悠久历史，但许多(duō)早期的物(wù)联网设计都忽略或轻描淡写了安全问题。但是，越来越清楚的是，边缘设备也需要同样多(duō)的保护，甚至需要更多(duō)的保护。由被劫持的消费物(wù)联网设备形成的僵尸网络的兴起以及关键基础设施和工业控制系统中物(wù)联网的越来越多(duō)的使用(yòng)，都表明了对增强安全性的需求。

Arm在其v9处理(lǐ)器體(tǐ)系结构中实施了许多(duō)硬件安全措施，创建了新(xīn)的机密计算體(tǐ)系结构（CCA），以保护部分(fēn)代码和数据在使用(yòng)时不被访问或修改。该CCA将引入并支持动态创建的领域的使用(yòng)-内存區(qū)域与安全和非安全世界分(fēn)开。无论是在使用(yòng)中，途中还是静止时，此类领域都可(kě)以帮助始终保护对商(shāng)业敏感的数据和代码。

这些CCA增强功能(néng)之一是“从不访问特权（PAN）”命令，该命令可(kě)以帮助保护用(yòng)户内存免受许多(duō)常见的网络攻击媒介的侵害。PAN命令可(kě)以帮助防止虚拟机监控程序内核访问已分(fēn)配给用(yòng)户模式的内存。通常，此类高级软件具有(yǒu)允许其访问用(yòng)于低级代码的资源的特权。这种访问為(wèi)劫持内核以读取和修改用(yòng)户代码的网络攻击提供了机会。但是，使用(yòng)PAN指令，即使内核被诱骗尝试，处理(lǐ)器的硬件也会阻止此类访问。

CCA的另一个增强功能(néng)是在读取或写入受保护内存的命令中实现内存标签扩展（MTE）。对网络安全漏洞的行业分(fēn)析表明，超过70％的安全问题与内存安全有(yǒu)关。内存安全性问题的两种主要类型是时间安全性和空间安全性。在对象过期并释放内存分(fēn)配之后访问诸如缓冲區(qū)之类的对象时，会违反时间安全性。当在一个对象的真实边界之外访问该对象时，就会违反空间安全性，例如，超出缓冲區(qū)边界的写入。MTE硬件可(kě)缓解两种内存安全问题。

MTE的工作原理(lǐ)是，在硬件中包括内存访问命令的扩展，以创建一种锁键机制。每条存储器访问指令必须包括已為(wèi)该存储器块定义的匹配密钥。如果缺少该密钥或该密钥不正确，则硬件将阻止内存访问并设置操作系统可(kě)以读取的标志(zhì)。通过标识软件开发人员代码中的内存安全性错误，此标志(zhì)的可(kě)用(yòng)性可(kě)能(néng)会给软件开发人员带来福音。它还可(kě)以帮助开发人员确定何时网络攻击试图利用(yòng)系统漏洞，以及该漏洞在代码中的何处存在，以便他(tā)们可(kě)以修改和更新(xīn)代码以消除该漏洞。