该论文聚焦于未初始化内存访问导致的内存安全问题。在C和C++等语言中，约10%的内存安全漏洞源于未初始化变量。现有软件缓解措施不足，而硬件能力模型（如剑桥大学的CHERI）能有效解决空间和时间内存安全缺陷，但无法处理未初始化变量引发的未定义行为。为此，作者提出“条件能力（conditional capabilities）”扩展，在CHERI能力模型基础上增加基于先前操作的内存访问策略，例如强制执行“写入前读取（Write-before-Read）”规则，即禁止读取未被至少一次写入的内存。论文详细介绍了架构扩展、编译器支持，并在QEMU全系统模拟器和基于FPGA的CHERI-RISCV软核上进行了评估。实验表明，条件能力具有实用性，检测准确率高，且平均性能开销仅为约3.5%，与基线CHERI能力开销相当。该工作为硬件级防御未初始化内存访问提供了新思路，适合安全架构师、硬件安全研究人员以及编译器开发者阅读。

该论文针对硬件基准测试中性能数据可信度缺失的问题，提出了一种自验证的测量记录方案。传统上，读者无法复现硬件评测数据，且硬件本身可能存在静默错误（如千分之一的核心返回错误算术结果）。作者将测量记录转化为防篡改、可独立检查的证据图：文本、表格或图中的每个数值通过内容哈希绑定到其观测和验证过程，整体结构为哈希链式的仅追加日志（测量透明度日志），验证者无需信任生产者即可离线审计。对于矩阵乘积，采用Freivalds概率恒等式在O(k n^2)成本下验证，通过浮点误差分析推导容差并校准至设备实测残差底噪，错误乘积被拒绝的概率为1-2^{-k}；无此类恒等式的量则携带代数校验和及实测可重复性分类。论文还研究了验证本身的安全性：提交种子以供离线可重复性验证会引入攻击面，感知探针的攻击者可在探针零空间中隐藏篡改，甚至欺骗多数比特一致见证者；而基于断言输出的Fiat-Shamir挑战可填补此漏洞。实验表明，从非特权租户驱动设备（使用di/dt功率病毒和热浸泡）不会改变校准容差或产生静默错误，从而将物理故障威胁限定在罕见缺陷部件或特权攻击者，并标记了记录须与硬件信任根协同的边界。作者在Blackwell和Hopper GPU上演示了该构造，并报告了按精度、规模和设备的残差底噪与可重复性映射。适合硬件安全研究者、芯片评测人员及供应链安全从业者阅读。

传统高性能计算（HPC）系统为速度而优化，而高安全计算机系统则需牺牲速度换取安全。然而，生命科学等众多科学领域需要兼顾性能与安全，以便大规模处理敏感数据。本文提出的RAMSES（Research Accelerator for Modeling and Simulation with Enhanced Security）系统，从底层设计旨在在强健的安全框架内提供高性能。RAMSES集成了AMD处理器的硬件级内存加密、IBM Storage Scale的最先进文件加密以及Thales CipherTrust管理器，构建了一个在数据生命周期（静态、传输中、使用中）全程持续加密的HPC平台，符合主要数据保护标准（欧洲通用数据保护条例、ISO/IEC 27001认证、联邦信息处理标准）。此外，还实现了高级操作系统强化、多层安全架构以及强制性多因素认证，使HPC环境适应更高的安全需求。来自生物医学领域的基准测试结果表明，安全环境对性能的影响有限，速度与安全这两个矛盾的需求能够以连贯、灵活且用户友好的方式实现整合。

本文探讨了纳米机电系统（NEMS）作为一种新兴硬件安全原语在先进封装和半导体制造中的应用。随着硬件安全威胁（如篡改、伪造和供应链渗透）不断升级，现有数字安全方法面临逆向工程、侧信道攻击和环境退化等挑战。作者提出利用NEMS的机械不可预测性和制造诱导的纳米尺度变异性，构建物理不可克隆函数（PUFs）、形状记忆材料、基于共振的指纹和物理解锁架构等安全机制。这些系统能够在器件层面实现物理保证、篡改检测和身份认证，具有低功耗、抗逆向工程和侧信道攻击的优势，并且可无缝集成到标准半导体制造流程中。论文通过理论分析和案例研究展示了NEMS在国防、航空航天、关键基础设施和消费电子等领域的可扩展、可验证安全解决方案潜力。核心贡献在于提出将NEMS从传统MEMS领域拓展至硬件安全，为抵御物理攻击提供了一种鲁棒且低功耗的替代方案。

随着图神经网络（GNN）在电路设计与分析等关键任务中成为标准工具，其安全与隐私风险亟需关注。本文首次系统评估了梯度泄露攻击（GLA）对电路设计与硬件安全任务中GNN的威胁——这一实际风险此前被严重忽视。作者在标准网表基准（ISCAS'85、EPFL、TrustHub）上训练了包括GraphSAGE、GCN、GIN和GAT在内的多种主流GNN模型，测试其面对GLA的脆弱性。实验表明，GLA能够泄露敏感信息，例如门类型和硬件木马的独特特征，这可能帮助攻击者分析逻辑锁定方案或规避木马检测机制。分析发现，风险受架构影响：注意力机制（GAT）加剧泄露，而单射聚合（GIN）表现出相对较强的鲁棒性。研究还评估了多种先进防御技术，包括差分隐私、梯度裁剪、安全聚合、量化模型压缩和对抗训练，发现这些方法仅在特定设置下提升鲁棒性，且可能损害模型性能。本文为隐私保护的GNN提供了关键见解，并强调需要更强健和高效的防御。作者公开了完整方法和实验成果。

本文提出 Xenon，一种求解器辅助的交互式形式化验证方法，用于证明 Verilog 硬件设计在常时执行。常时执行是抵御基于时序的侧信道攻击的关键属性。Xenon 通过引入常时反例的新概念，自动合成最小化秘密假设集合，并在交互式验证循环中定位验证失败根源，显著降低调试工作量。为加速验证，Xenon 利用 Verilog 模块摘要实现模块化，避免重复验证相同实例。实验表明，Xenon 能验证多种电路，包括高度模块化的 AES-256 实现（验证时间从六小时降至三秒）以及 ScarV 侧信道加固的 RISC-V 微控制器（规模比此前验证的设计大一个数量级）。小规模用户研究发现，Xenon 帮助非专家用户比现有工具更正确、更快速地完成验证任务。

该论文提出 BipBipCache，一种直接映射缓存控制器，集成了 BipBip 可调块密码（TBC），用于实时加密缓存数据和标签，以保护片上 SRAM 缓存中的敏感数据免受冷启动、总线探测和 SRAM 读出攻击。作者从以解密器为中心的规范重建了首个流水线硬件 BipBip 加密器，并在缓存数据路径中与一个 3 周期解密器协同工作。核心架构贡献在于：6 周期加密延迟并未完全转化为 6 周期写惩罚——加密器的前三个阶段与标签解密和命中检测重叠，导致命中验证后实际写提交仅需 3 周期。论文基于 Xilinx Artix-7 FPGA 验证了加密器和解密器正确性（对标 BipBip C++ 参考实现的五个向量），报告了资源利用率（3,356 LUTs，占器件 16.1%；加密逻辑约占 LUT 的 79%），并在硬件上确认了端到端运行。该工作针对消费级和嵌入式处理器中易失性缓存的数据机密性威胁，为低延迟可调加密在缓存控制器中的集成提供了可行性方案。

DDR5内存标准引入了每行激活计数（PRAC）作为缓解Rowhammer攻击的机制，通过跟踪每行的激活次数并在超过阈值时触发缓解刷新。然而，当前PRAC设计的安全性评估依赖于人工构造的攻击模式，缺乏对安全属性的形式化验证或自动化漏洞发现技术。本文提出AutoPRAC，首个利用模型检查器自动化测试PRAC防御安全性的框架。AutoPRAC将PRAC实现建模为有界状态机，并针对最坏情况下的神谕攻击者检查安全关键属性。若属性被违反，框架会生成具体的反例轨迹，对应一次成功的攻击。使用AutoPRAC，作者在最新的PRAC防御方案MOAT中发现了一个此前未报告的缺陷：其计数器重置策略允许最多34次激活超过Rowhammer阈值而未被检测到。实验表明，AutoPRAC能够自动发现Rowhammer缓解措施中的细微安全缺陷，可作为PRAC设计的早期攻击发现辅助工具。该研究为硬件安全验证提供了新思路，尤其适用于新型内存防御机制的形式化分析。

本研究深入探讨了铁电随机存取存储器（FRAM）技术在面对故障注入攻击时的脆弱性。FRAM作为一种非易失性存储技术，广泛应用于医疗设备、工业控制系统和智能卡等安全敏感领域。论文通过系统性的实验设计，对FRAM芯片施加电压毛刺、电磁干扰和激光注入等多种故障注入手段，分析了其在不同工作条件下的错误表现。研究发现，攻击者可以利用精确时序的故障注入，在特定数据写入或读取操作中翻转比特位，或导致存储单元产生永久性损伤。实验还揭示了FRAM特有的铁电效应在故障注入下的非线性行为，与传统SRAM/DRAM相比具有不同的故障模型。作者提出了一个故障模型分类框架，并评估了现有硬件安全防护措施（如错误纠正码、冗余存储）的有效性。结果表明，部分防护方案在特定注入参数下仍可被绕过。该工作为FRAM安全评估提供了实验数据和理论依据，对设计安全嵌入式系统具有参考价值。

现代DRAM芯片容易受到读取干扰现象的影响，例如RowHammer和RowPress，这些现象会在访问相邻行一定次数后导致比特翻转。ColumnDisturb是一种全新的、根本不同的DRAM读取干扰现象。与RowHammer和RowPress不同，ColumnDisturb干扰的是DRAM的列而非行，并且受影响DRAM单元的数量从仅几个相邻行扩展到三个连续DRAM子阵列中的所有单元。本文提出了ColumnKeeper，这是第一套ColumnDisturb缓解方案，包含两种变体：ColumnKeeper-D（CK-D）是一种确定性机制，ColumnKeeper-P（CK-P）是一种概率性机制。CK-D利用DRAM的开位线架构，以较低的性能和能量开销提供确定性的安全保证：它使用每个子阵列的两个计数器来跟踪影响奇数列和偶数列的激活，当任一计数器达到预定阈值时，刷新子阵列中的一行。CK-P则以预定概率在中间子阵列行激活时刷新三个连续子阵列中的一行，以较低的面积开销提供可配置的安全保证。两种机制都能以较低的性能、能量和面积开销防止ColumnDisturb比特翻转。在当前实验证明的ColumnDisturb阈值（1M）下，CK-D和CK-P的平均单核性能开销分别仅为0.15%和0.36%。对于近未来的阈值（128K），开销仍较低，平均分别为1.70%和2.73%。通过采用更小的子阵列大小或启用子阵列级并行性，在低阈值（如16K）下缓解ColumnDisturb仍然是可能的。CK-D和CK-P的面积开销分别仅为0.1 mm²和0.03 mm²。ColumnKeeper代码已开源。

本研究首次实验展示了 DejaVu 现象，即之前写入 DRAM 单元的数据会影响 DRAM 对读取干扰的脆弱性。通过对三大制造商（三星、SK海力士、美光）的112个商用DDR4 DRAM芯片进行系统表征，研究者发现：与仅写入一次的基线相比，1）用相反数据覆盖受害行会降低ACmin（诱导位翻转所需的最小攻击行激活次数），即增加脆弱性；2）写入相同数据两次则会增加ACmin，即提升鲁棒性。研究者提出了两种物理机制假说：一是相反数据写入导致电荷未完全恢复，二是改变有源区电荷陷阱状态从而影响干扰泄漏电流。通过受控实验验证了这些假说。此外，还表征了使用DejaVu模式初始化的DRAM行对PUD（利用DRAM进行计算）操作可靠性的影响：对32行MAJ-3（多数决）操作的测试显示，与基线相比，覆盖写入可使失败位线数量平均减少32.7%。基于观测，研究者阐述了DejaVu的两大意义：1）DRAM测试与表征方法必须考虑DejaVu，以准确评估固定数据模式下的读取干扰脆弱性，并避免DejaVu对数据模式效应的干扰；2）评估读取干扰缓解技术的性能开销时，若需降低阈值以对抗DejaVu（例如阈值降低20%时性能开销增加6.3%）。该研究对Rowhammer攻击的防御、DRAM可靠性测试以及内存内计算设计具有重要参考价值。

该论文针对半导体行业从单片系统级芯片（SoC）向异构、多供应商的2.5D芯片生态系统转型过程中面临的安全挑战进行了系统性综述。传统芯片级安全机制和根信任（RoT）方案无法应对来自不可信代工厂和设计方的芯片组件带来的硬件木马、IP盗用以及系统级通信攻击。论文聚焦三类威胁：互连攻击（窃听、欺骗、中间人）、缓存一致性利用（包括复杂的伪造攻击）和微架构侧信道威胁。核心贡献在于提出利用主动中介层（active interposer）作为物理隔离的2.5D根信任（2.5D RoT）的运行时防御方案：在中介层内嵌入事务监控器和一致性消息检查器，从而在不修改或保护商用芯片的前提下，强制实施内存访问权限并消除一致性级别的攻击。此外，论文还概述了实现这些防御所需的EDA流程，并论证了这些流程能同时改善功耗和信号完整性，同时减少整体系统面积。本文为硬件安全研究人员和芯片设计人员提供了前瞻性的安全设计思路。

本文针对硬件信息流（information-flow）的形式化验证中可扩展性不足的问题，提出了一种名为“受保护等价谓词”（Guarded Equivalence Predicates）的方法。在硬件安全验证中，自组合（self-composition）技术将信息流验证转化为两个电路副本之间的安全性质检查，产生的关系性证明义务对通用的属性推演引擎（PDR）而言难以仅从位级逻辑中发现。最近基于PDR的技术利用副本对称性和全局跨副本等价谓词来利用这种重复结构，但当对应内部信号在整个可达状态空间中都不一致时，这些谓词效果有限，且无法捕获仅在特定控制上下文中相关的等式。作者观察到，在硬件信息流验证中，上下文相关关系自然存在：内部信号对可能只需在某个控制阶段、事务窗口、循环状态或协议区域内保持一致。为此，本文引入了受保护等价谓词，将该类关系暴露给PDR。与将提议的上下文等式作为假设不同，验证器将相应的失配条件作为辅助阻塞义务提交。保护条件是从关系性反例归纳（CTI）中通过CTI局部提取和状态分裂搜索提取的；只有后端证明不可达的候选者才会影响证明过程。在12个信息流验证基准测试和两个PDR后端的实验中，受保护谓词将两个上下文相关的基准超时转化为在1800秒时限内34.2-89.5秒内完成的证明，并在其他基准上将证明时间最多减少10.8倍。该方法为硬件安全验证提供了一种系统性的可扩展策略，尤其适用于需要检查不同运行轨迹下数据流一致性的复杂控制逻辑。

本文研究了一种名为CapSpeaker的新型攻击方法，能够在没有扬声器的情况下，通过电子设备内部的电容器向麦克风注入恶意语音命令。核心原理是利用电容器的逆压电效应：当施加交变电压时，电容器会因压电材料变形而产生机械振动，从而发出声音。然而，电容器作为扬声器存在两个挑战：一是其频率响应在可听声范围内表现较差；二是攻击者无法直接控制电容器两端的电压来精确调控发声。为克服这些困难，作者提出基于PWM（脉宽调制）的调制方案，将恶意音频信号调制到高频载波（例如20kHz以上），并设计恶意软件来控制电容器上的电压，使其播放选定的语音命令。实验使用了一个改装LED灯和一个商用LED灯作为发射源，对5款目标设备（包括iPhone 4s、iPad mini 5、华为Nova 5i等）进行了测试。结果表明，在距离最远10.5厘米时，CapSpeaker仍能成功触发智能手机接收并执行语音命令，例如“开门”。该研究揭示了硬件层面新型侧信道攻击途径，对语音助手安全性提出了新的挑战。

该论文提出了一种名为 CHERI-D 的架构扩展，旨在为 CHERI（一种领先的硬件/软件系统，提供原生空间安全性和时间内存安全性的基础）提供高效的时间内存安全性。CHERI 本身缺乏对时间内存安全性的内在架构支持，现有最先进的软件解决方案 Cornucopia Reloaded 仅能抵御释放后重分配（UAR）攻击，而非更强的释放后使用（UAF）攻击，并且由于延迟分配和回收而存在性能开销。CHERI-D 将对象标识（ID）元数据与能力指针相关联，以提供分配的时间完整性。利用 CHERI 的空间安全性，CHERI-D 可以将对象 ID 安全地内联存储在分配数据中（可能利用未使用的碎片空间）。通过仿真和硬件评估，CHERI-D 显著降低了 Cornucopia Reloaded 的回收开销，同时支持严格的释放后使用缓解。核心贡献在于提出了硬件辅助的时间内存安全机制，在不显著影响性能的前提下增强了安全性。

本文提出 MPX，一种统一的双模式脉动阵列架构，能够同时支持矩阵乘法和多项式乘法。研究背景是全同态加密（FHE）和后量子密码（PQC）中多项式乘法是关键操作，通常通过数论变换（NTT）加速。现有方法是将 NTT 映射到现有的脉动矩阵引擎上，以重用 AI 硬件。本文采用相反思路，利用脉动阵列的波前数据流与多项式乘法累加模式的对齐，设计 MPX。MPX 在硬件层面实现双模式：矩阵乘法模式和多项式乘法模式。实验结果表明，向传统脉动阵列添加双模式能力仅需 20% 的额外面积，且在矩阵乘法执行时功耗开销可忽略。在多项式乘法模式下，MPX 相比基于 NTT 的脉动矩阵引擎延迟降低 1.2 倍以上。该研究为高效加速密码学运算提供了一种新的硬件复用方案。

该论文研究了大型语言模型（LLM）对硬件安全竞赛基准（如HackTheSilicon）有效性的威胁。作者发现，LLM并非基于真正的安全推理进行漏洞检测，而是利用了一种类似diff的语法比较策略，在基准上实现了83%的检测率，这严重破坏了公平评估。为了解决这一问题，论文提出了首个面向LLM的语义保持混淆框架。与传统的知识产权保护方法不同，该框架在不改变功能的前提下，对基准应用人类可读的变换和受控的diff噪声。在HackTheSilicon上的实验表明，仅使用10%的混淆即可将基于LLM的检测准确率降低50%，完全混淆后降低78.6%，从而恢复了基准的可靠性。该工作揭示了现有硬件安全基准的脆弱性，并为重新设计鲁棒的评估基准提供了新方向。

该论文针对商用现成（COTS）DRAM芯片，提出了一种利用同时多行激活（SiMRA）技术生成唯一、可重复且设备专属签名的方法，用于物理不可克隆函数（PUF）响应。研究团队对来自10个内存模块的112片现代DDR4 DRAM芯片进行了严格的实验表征，首次提出了基于DRAM的SiMRA-PUF架构。实验评估了不同同时激活行数（2、4、8、16、32行）下的可靠性、唯一性和评估延迟，并分析了芯片密度、芯片版本以及温度对SiMRA生成响应相似性的影响。八项关键实验结果表明：SiMRA-PUF在2行、4行、8行、16行和32行激活时，平均组内Jaccard指数分别达到89.02%、89.81%、93.03%、94.06%和94.86%，平均组间Jaccard指数分别为3.98%、2.37%、3.44%、2.92%和3.24%，说明签名在设备内具有高重复性且设备间具有高唯一性；此外，基于2行激活的SiMRA-PUF相比现有最先进的DRAM PUF评估延迟降低了5.75%。论文公开了基础设施和数据集，为硬件安全领域提供了新的低成本、高可靠性的PUF实现方案，适合硬件安全研究者、芯片设计工程师以及需要物理安全密钥生成的系统架构师关注。

该论文聚焦于TinyML硬件加速器中量化神经网络（QNN）的安全性问题。TinyML设备因功耗和尺寸限制广泛采用量化技术，但先前安全研究主要关注全精度深度神经网络（DNN），且认为QNN对常见逃避攻击具有相似或更强的鲁棒性。然而，这些研究未考虑TinyML硬件特有的攻击面。论文提出了一种两步攻击流水线：第一步利用量化特有的误差特性（如权重量化误差、激活函数近似）构造扰动，第二步将这些扰动适配到硬件实现中的有限精度运算，从而在保持攻击不可感知性的前提下显著提升攻击成功率。实验基于多个典型TinyML硬件平台（如ARM Cortex-M系列、定制加速器）和标准数据集（如CIFAR-10、ImageNet子集）进行，结果表明该攻击流水线在QNN上实现了比现有最佳方法更高的欺骗率，且攻击所需计算资源低于传统方法。论文的主要贡献在于：（1）首次系统性分析TinyML硬件中量化过程引入的独特安全漏洞；（2）提出一种硬件感知的攻击框架，展示了专用攻击策略的必要性；（3）揭示现有鲁棒性评估方法在TinyML场景下的不足。研究结论强调：TinyML安全研究必须脱离通用DNN范式，走向硬件与量化协同的定制化分析。该工作适合嵌入式系统安全研究人员、TinyML硬件设计者以及对AI边缘部署感兴趣的工程团队阅读。

本文针对硬件实现密码算法时抵抗侧信道攻击（SCA）的掩码（masking）对策，提出了一种低延迟的硬件私有电路设计方法。掩码是保护密码硬件免受侧信道攻击的有效手段，但现有方案在随机性需求、延迟和面积开销之间存在权衡。作者专注于设计可组合的掩码子电路（称为gadgets），这些子电路可以安全地组合成更大的电路。通过对现有门级设计方案进行改进，本文提出了一种新的gadget架构，在保持安全性的前提下显著降低了延迟，同时优化了随机数消耗和面积。实验基于标准硬件库进行综合评估，验证了所提方法在安全性（满足鲁棒探测模型）和性能上的优势。该工作为硬件安全设计者提供了在延迟敏感场景下实现高效掩码的实用方案，尤其适用于对实时性要求高的物联网设备。

这篇论文提出了一种名为SCP（Secure and Coherent Partitioning）的缓存分区方案，旨在解决传统缓存分区在安全共享操作系统环境中面临的根本矛盾：严格的驱逐隔离与写共享一致性无法共存。SCP通过仅分区标签（tags）、共享单一数据池，并合理设置数据池大小以避免容量驱动的跨分区驱逐，从而在实现严格驱逐隔离的同时维持写共享一致性。时序混淆（timing obfuscation）技术扩展了保护范围，覆盖了跨分区查找路径。对于写共享行上的一致性泄漏，论文设计了一种阈值机制：当泄漏超过预定阈值时，将这些写操作路由到LLC（末级缓存），使得攻击者的写探测延迟与受害者活动无关。实现基于gem5模拟器，实验表明SCP能够有效防御Prime+Probe、Flush+Reload等基础缓存侧信道攻击，以及针对写共享行的攻击，所有攻击结果均不优于随机猜测。硬件开销方面，LLC SRAM仅增加2.8%；性能方面，在SPEC CPU2017基准测试中，IPC与DAWG方案相差在0.3%以内。共享密集型的微基准测试则展示了基于系统指定泄漏阈值的可调安全-性能权衡。

该论文介绍了InjectV，一个基于gem5模拟器的RISC-V平台故障注入攻击框架。故障注入攻击（FIA）通过诱导计算或存储中的恶意故障来破坏系统安全。在硅前开发阶段评估抗攻击能力因物理实验成本高、复杂度大且可用性有限而极具挑战。InjectV提供了一种开发者导向的白盒视角，通过架构级模拟实现系统化的漏洞评估。它在安全关键的执行点（如控制流决策、计数器和比较操作）实现精确、引导式的故障注入，支持对攻击向量的系统探索。当前版本支持寄存器和内存中的瞬态故障攻击，扩展了模拟不同攻击场景的能力。实验基于FISSC套件中的安全基准测试（包括VerifyPIN应用的硬化变体）进行，结果表明InjectV能够有效识别故障注入点，与传统方法相比节省了95.8%的时间。该工作为硬件安全评估提供了低成本、高效率的预硅验证工具。

可信执行环境（TEE）如 Intel SGX 通过硬件级隔离保护 enclave 代码和数据免受主机操作系统和特权软件的攻击。然而，现有 TEE 设计通常将整个 enclave 视为一个安全域，缺乏内部隔离机制。这意味着同一 enclave 内的不同模块（例如库操作系统、应用程序逻辑）共享相同的权限域，一旦其中一个模块被攻陷，攻击者便能访问整个 enclave 的内存，导致租户间的安全屏障失效。为解决该问题，该论文提出一种硬件-软件协同设计方法，用于实现高效的 enclave 内隔离（intra-enclave isolation）。其核心思想是在硬件层面引入更细粒度的内存访问控制和地址转换支持，同时在软件层面设计轻量级的隔离执行环境。具体而言，论文扩展了现有 TEE 的内存保护机制，将 enclave 的逻辑内存划分为多个安全域，每个域具有独立的访问权限和资源；系统软件（如库操作系统）负责管理域的创建和上下文切换，而硬件则确保域间隔离的强制执行。实验基于 QEMU 模拟器和 Linux 内核原型实现，评估了典型微基准和宏基准（如 Web 服务器、数据库查询）。结果表明，相比全软件方案（如基于软件防护模块（SFI）的隔离），该协同设计方案将性能开销从 20%-50% 降低至 3%-8%，且代码改动量小，易于集成到现有 TEE 栈中。该工作为构建多层次、细粒度的可信执行环境提供了新思路，特别适用于多租户云场景中不同敏感度的应用模块共存于同一 TEE 的情况，或需要动态加载第三方库的机密计算框架。

随着集成电路供应链的全球化，硬件安全威胁如硬件特洛伊木马（HT）和知识产权（IP）盗版日益严重。图神经网络（GNN）作为处理图结构数据的强大深度学习方法，已被广泛应用于检测此类威胁。然而，GNN容易受到后门攻击，攻击者可恶意操纵输出预测以满足其目标。现有后门攻击通常使用随机生成子图或梯度引导生成子图作为触发器，但这些触发器在基于GNN的硬件安全应用中不切实际，因为它们无法保证保留电路功能。本文提出GRAFT，一种针对基于GNN的硬件安全系统的基于图元（graphlet）的后门攻击方法。GRAFT在寄存器传输级（RTL）或门级设计中嵌入图元触发器，同时保留电路的原始功能。在ISCAS-85和TrustHub数据集上的实验表明，GRAFT能有效逃避HT检测和IP盗版检测，攻击成功率（ASR）高达100%。该方法揭示了GNN在硬件安全领域的新脆弱性，为防御者提供了研究后门攻击机制的新视角。

该论文研究了现代DRAM芯片中的读取干扰现象（如RowHammer和RowPress），即频繁访问或持续打开一个DRAM行（攻击行）会导致其物理邻近的未被访问行（受害行）发生比特翻转。这种干扰机制可从软件栈层面被实际利用，并随着密度缩放而加剧。作者提出了一种新的DRAM访问模式——ScaleDisturb，通过不对称地延长两个攻击行的打开时间来放大读取干扰。在196个DDR4和3个HBM2 DRAM芯片上的严格实验表征表明，ScaleDisturb相比现有最先进的访问模式，能够在显著更少的行激活次数下引发比特翻转，使得所有受测DRAM芯片上的读取干扰攻击更容易实施，并且随着DRAM制造工艺缩小到更小的节点尺寸，DRAM对读取干扰的脆弱性增加。论文还在真实系统上展示了概念验证攻击，用户级程序利用ScaleDisturb比最先进的RowHammer和RowPress访问模式引发了更多比特翻转。最后，论文描述并评估了四种缓解ScaleDisturb引起的读取干扰比特翻转的解决方案，并呼吁进行更多研究。

本文提出CRESS（通用反向工程评分系统），旨在量化硬件反向工程（RE）相关攻击场景的脆弱性。微电子系统的安全依赖于可信的供应链和设计流程，但全球分布的供应链或设计缺陷可能导致硬件层面攻击，如伪造、硬件木马或设备攻击。这些攻击常依赖硬件反向工程结果。现有CVSS（通用漏洞评分系统）虽广泛用于软件漏洞，但无法充分评估RE场景的独特性。本研究将原先定性的CRESS系统扩展为定量系统：通过与领域专家深度访谈，推导出不同RE攻击类别的权重，形成量化方程，输出CRESS分数以指示场景严重性。为验证有效性，对六个案例进行了定性和定量评估。结果表明，CRESS分数比CVSS更具表达力，能更一致地评估新场景并支持制定有效对策。本文适合硬件安全工程师、供应链安全分析师及漏洞评估研究人员阅读。

深度神经网络（DNN）在图像分类、语音识别等实际应用中广泛部署，但其在集成电路（IC）硬件上实现的推理精度会因晶体管老化现象而下降。老化会降低晶体管的开关速度，导致系统级时序违规（因时钟无法维持）。为保证整个预期寿命内的可靠性，设计人员通常添加保护带（guardband）来防止时序违规，但过大的保护带会牺牲性能（速度或吞吐量）。本文详细讨论了长期和短期晶体管老化对DNN推理精度的影响。为缓解老化对DNN精度的负面影响，提出了一种老化感知重训练（aging-aware retraining）方法，即使在采用激进（即小于所需）保护带的情况下，也能生成具有鲁棒性的DNN。该方法通过重训练使DNN在老化引起的退化下仍能保持较高推理精度。文章还在一个用于图像分类的DNN硬件实现上验证了这些效果，并使用了现成的图像数据集。此外，简要讨论了将短期老化作为激励机制用于检测集成电路中硬件木马的潜在应用。本文适合硬件安全、可靠深度学习系统及容错计算领域的研究人员和工程师阅读。

该论文提出了一种名为“Poltergeist”的新型声学对抗机器学习攻击，针对配备图像稳定器的摄像头和计算机视觉系统。研究背景是自动驾驶车辆依赖基于计算机视觉的目标检测系统来感知环境并做出驾驶决策，而图像稳定器（通常包含惯性传感器）被用于减少摄像头抖动导致的图像模糊。然而，论文发现了一个系统级漏洞：攻击者通过发射精心设计的声学信号，可以操控惯性传感器的输出，触发不必要的运动补偿，即使摄像头本身稳定，也会产生模糊图像。这些模糊图像进而导致目标检测算法（如YOLO V3/V4/V5、Fast R-CNN以及百度Apollo）产生误分类，影响安全关键决策。论文建模了这种声学操控的可行性，并设计了攻击框架，能够实现三类攻击：隐藏对象（使检测器忽略真实物体）、创建对象（让检测器误认为存在虚假物体）以及改变对象（将物体误分类为其他类别）。实验评估证明了攻击的有效性。论文进一步提出了“AMpLe攻击”的概念，即一类新的系统级安全漏洞，源于对抗性机器学习与物理注入信息承载信号到硬件的结合。该研究揭示了硬件与软件交叉领域的新攻击面，对自动驾驶、安防监控等依赖视觉感知的系统的安全性提出了警示。

RowHammer 是一种因 DRAM 单元间的电荷泄漏导致比特翻转的硬件漏洞，随着工艺微缩，该问题日益严重。现有研究多依赖真实硬件实验或缺乏系统级建模的模拟器，难以全面评估操作系统交互和跨层缓解措施（如 TRR、ECC）的效果。本文提出 HammerSim，一个基于 gem5 全系统模拟器的扩展框架，用于在系统级对 RowHammer 进行建模。HammerSim 的核心创新在于采用概率驱动的比特翻转模型，能够更真实地模拟 RowHammer 行为，而非简单假设固定错误率。该模型支持灵活配置攻击模式、内存行访问模式等参数。通过集成 TRR（目标行刷新）和选择性 ECC（纠错码）等硬件/软件缓解机制，HammerSim 可评估这些防护在真实工作负载下的有效性。作者利用 Jensen-Shannon 散度对来自真实 DDR4 DIMM 的实验数据与模拟结果进行验证，证明比特翻转分布的拟合度良好。该框架还提供了评估良性工作负载脆弱性的能力。HammerSim 为硬件研究人员和架构师搭建了连接真实实验与架构仿真的桥梁，有助于加速 RowHammer 防御方案的迭代优化。

该论文是 ASHES '23 研讨会（Workshop on Attacks and Solutions in Hardware Security）的会议介绍。研讨会聚焦于硬件安全领域的攻击方法与防护解决方案，涵盖从芯片设计到系统层面的安全威胁与对策。研究问题包括硬件木马检测、侧信道攻击防御、物理不可克隆函数（PUF）的安全性等。会议旨在促进学术界与工业界在硬件安全方面的交流，并展示最新的研究成果。由于缺乏详细摘要，无法提供具体方法或实验细节。

该论文提出了一种名为QT-PUF的新型物理不可克隆函数（PUF），专门针对植入式医疗物联网（IoMT）设备设计。此类设备对功耗、面积和安全性有极高要求，传统PUF（如基于存储器、环形振荡器或仲裁器）因额外电路、功耗高或稳定性差而不适用。QT-PUF利用标准CMOS器件中工艺偏差引起的量子隧穿栅极泄漏电流，将其作为唯一指纹。论文设计了一个差分读出电路，采用伪电阻I-V前端将皮安级的泄漏变化转换为数字响应。无需外部激励或稳定化电路，仅在静态偏置下工作，因此功耗极低。基于65nm CMOS工艺的仿真测量显示，熵值高达0.9999998，片内汉明距离（FHD）为0.5001，在1.2V、35°C下平均功耗仅96.04nW/bit（能量19.21fJ/bit）。在典型植入设备的工作条件下（0.9-1.3V，0-100°C），平均误码率低于0.000163（在1.0-1.3V、10-70°C范围内）。结果表明QT-PUF具有良好的唯一性、可靠性和极低功耗，非常适合植入式IoMT设备的硬件安全认证与防篡改。

本文提出了一种名为Time-Print的新型时序指纹方法，用于对USB闪存驱动器进行身份验证。文章指出，尽管USB端口在计算机系统中无处不在，尤其在气隙高安全环境中广泛使用，但USB设备面临固件篡改等安全威胁。现有防御措施要么需要用户交互，要么依赖不兼容旧设备的硬件支持，或者使用易被攻击者篡改的设备标识符。Time-Print完全基于软件，无需额外硬件，通过测量从USB驱动器不同位置执行一系列读操作的时间变化来生成独特的时序指纹。该方法利用不同USB设备（甚至同一品牌型号）之间读操作时间的微小差异来实现身份识别。作者对超过40个USB闪存驱动器进行了实验，结果表明：Time-Print能够以超过99.5%的准确率识别已知/未知品牌型号的USB设备；以95%的准确率识别同一品牌型号的已见/未见设备；并以平均98.7%的准确率分类同一品牌型号中的不同设备。该方法的低开销和纯软件特性使其易于部署，特别适用于气隙环境等对安全要求极高的场景。本文对于关心USB设备认证、硬件安全及侧信道攻击防御的安全从业者具有重要参考价值。

该论文提出了一种名为 Cascade 的 CPU 模糊测试方法，核心创新在于通过生成结构复杂、指令交织紧密的程序来触发处理器微架构中的隐藏漏洞。传统 CPU 模糊测试通常依赖随机指令序列或模板，难以覆盖指令间的深层交互。Cascade 采用形式化程序生成技术，自动构造包含数据依赖、控制流分支、异常处理及指令重排等复杂场景的测试程序。该方法能有效探索流水线冲突、缓存一致性、分支预测等微架构特性中的边界情况。实验基于 RISC-V 和 x86 指令集模拟器及实际处理器实现，验证了 Cascade 在发现已知漏洞（如 Spectre v1 相关漏洞）及未知硬件 bug 上的效率优于现有测试工具。作者还开源了框架代码，旨在推动硬件安全测试的自动化水平。

本文首次系统性地研究了边缘AI加速器（AIA）中的混淆代理攻击（Confused Deputy Attacks, CDA）。AIA是专用硬件（如TPU），用于高效执行AI应用和端侧推理。随着AI需求增长，AIA被广泛部署在边缘/嵌入式设备上。与应用程序不同，AIA不受操作系统限制，对应用处理器（AP）的安全机制（如内核vs应用内存、进程隔离）可见性有限。这种语义鸿沟可能导致混淆代理漏洞：恶意应用可以欺骗AIA代表其执行特权操作。作者设计了DeputyHunt框架，结合动态和静态分析，利用大语言模型（LLM）从给定AIA中提取CDA相关信息。他们使用该框架在来自Google、NVIDIA、Hailo、Texas Instruments、NXP、AWS和Rockchip的七种不同AIA上探索CDA的可行性。分析表明，七种AIA中有六种存在CDA风险，影响超过128种片上系统（SoC）和超过1亿台设备。该工作已得到相应厂商确认，并分配了CVE-2025-66425。此外，作者提出了一种按需验证防御方案，在Gem5-salam模拟器上的评估显示其运行时开销极低（约15%）。本文适合安全研究人员、边缘设备厂商和AI硬件设计者阅读。

DRAM工艺的持续缩放使得RowHammer漏洞日益严重。JEDEC针对此问题引入了每行激活计数（PRAC）与Alert Back-Off协议作为DDR5的可选特性，但PRAC需要每行计数器单元，带来了面积开销，且每次激活更新计数器会延长DRAM时序参数，导致性能下降。概率性缓解方案（如MINT）通过在周期性缓解窗口内随机选择并缓解行来提供低成本替代方案。MINT在高阈值（≥1000）下有效，但在低阈值下必须提高缓解率以克服“非选择问题”——即被频繁锤击的行可能反复逃避采样。这种固定比例的缓解率缩放即使在无攻击时也会降低有效内存带宽。为克服这一限制，本文提出PrISM，一种基于相交的概率性缓解方法。PrISM利用采样历史队列（SHQ）关联不同窗口内的采样行：每个窗口仅采样少量激活槽，将采样但未缓解的行存入SHQ，当采样行在历史中再次出现时，通过现有的Alert Back-Off协议请求额外缓解。这使得PrISM仅在观察到持久性行活动时才增加缓解，而无需全局提高固定缓解率。在阈值为500时，PrISM仅导致0.2%的平均性能损失，而PRAC为14%。PrISM无需DRAM阵列修改或每行计数器，每个存储体仅需625B SRAM，比先前的安全计数器型内存内防御少一到两个数量级。与MINT相比，PrISM在低阈值下提供更好的可扩展性：在阈值为250时，平均性能损失从10.7%降至1.5%，降低7.1倍。PrISM已在GitHub开源。

该论文针对半导体供应链中假冒集成电路（IC）带来的安全威胁，提出了一种基于联邦学习的隐私保护协同检测方案。传统联邦学习易受拜占庭数据投毒攻击，导致模型聚合被污染。作者设计了一个轻量级的客户端认证框架FedEDAuth，在联邦学习的嵌入层进行身份验证。该方法利用黄金数据集生成参考嵌入分布，通过异常值分析、均值偏移检测和微聚类行为特征，在不访问原始数据或梯度的情况下识别并过滤恶意客户端。实验设置50个分布式参与者，在拜占庭投毒攻击下，FedEDAuth实现了100%的恶意客户端检测率，过滤后联邦模型对假冒IC的分类准确率达到94.17%。该框架可无缝集成到标准联邦学习流程中，为下一代硬件安全解决方案提供了可信联邦学习的关键技术支撑。

本文提出 PoisonCap，一种为 CHERI（Capability Hardware Enhanced RISC Instructions）系统设计的层次化时间安全机制。CHERI 是一种领先的硬件/软件系统，通过 capabilities（能力）提供原生空间安全以及时间安全的基础。当前最先进的 CHERI 时间安全解决方案 Cornucopia Reloaded 只能提供 use-after-reallocation 安全，而非更严格的 use-after-free 安全，且无法强制初始化安全。PoisonCap 引入了一种新的“毒化”（poison）能力格式，能够强制严格的 use-after-free 和初始化安全，并通过向微架构传达内存状态来有效管理隔离内存的缓存。该方法利用能力界限优雅地委派内存毒化权限，允许嵌套分配器在不干扰上游分配器的情况下对其消费者实施安全。PoisonCap 可以替代 Cornucopia 的影子位图，并在重分配时自动清零内存，或可选地在读取前写入时触发陷阱以强制初始化安全。实验表明，与在重分配前清零的 Cornucopia 基线相比，PoisonCap 在强化 CHERI 时间安全的同时没有引入根本性的性能开销。该工作适合硬件安全、系统安全、编程语言安全领域的研究者和工程师关注，特别是对 CHERI 生态或内存安全机制感兴趣的人群。

本文针对AMD EPYC Milan处理器的SEV-SNP安全架构，提出了一种纯软件的攻击链，能够提取硬件根种子并伪造认证报告。SEV-SNP通过版本化芯片背书密钥（VCEK）签名认证报告来防止TCB版本回滚攻击，而VCEK由硬件根种子与TCB版本共同派生。作者首先提出了MilanLaunchy攻击，在AMD安全处理器上实现代码执行；在此基础上，进一步利用熔丝控制器缺乏写入限制的漏洞，实现了BadFuse攻击，提取硬件根种子。该端到端攻击链允许攻击者为任意固件版本伪造有效的认证报告，从而彻底瓦解SEV-SNP的安全模型。实验验证了攻击的可行性，并揭示了硬件安全机制的设计缺陷。

本文针对同态加密（HE）在实际处理-内存（PIM）系统上的运行特性进行了全面分析。同态加密允许对密文直接计算，为不可信计算环境提供强隐私保障，但其高计算复杂度、大密文尺寸和大量数据移动限制了实际部署。传统的处理器中心架构（CPU、GPU、ASIC）在处理HE工作负载时面临根本性瓶颈，因为密文大、数据局部性低，且重线性化和自举等操作频繁访问大型辅助元数据。处理-内存（PIM）技术通过在内存附近或内部进行计算，有望缓解这些瓶颈。然而，先前针对HE的PIM方案要么未针对真实PIM系统，要么只覆盖狭窄操作集。本文在真实的通用PIM系统UPMEM上实现了新兴应用（数据库、机器学习）所需的完整HE内核集，评估了性能和可扩展性，并与CPU和GPU基线进行了对比，讨论了对未来PIM硬件的影响。研究发现了四个主要结论：（1）基于HE的应用在不同执行阶段表现出不同瓶颈：某些内核因模运算成为计算密集型，另一些因大密文和中间数据成为内存密集型。这些瓶颈因有限的核心计算能力和存储体容量而加剧，导致频繁的数据移动。（2）主要的计算瓶颈是缺乏原生的64位模整数乘法，这是HE的关键原语。（3）有限的存储体内存容量是第二大瓶颈，因为HE密文和辅助元数据无法容纳，需要跨存储体移动。（4）尽管存在这些限制，当配备原生模乘和高效的PIM间数据移动时，PIM可以成为最先进CPU和GPU系统的可行替代方案。本文通过真实系统测量揭示了HE在PIM上的性能特征，为未来PIM硬件设计提供了重要指导。

这篇综述论文系统分析了大型语言模型（LLMs）在电子设计自动化（EDA）和硬件安全领域的应用机遇与挑战。随着半导体行业快速发展，LLMs在生成寄存器传输级（RTL）代码、自动化测试台以及弥合高层规范与硅实现之间的语义鸿沟方面展现出前所未有的能力，但同时也引入了严重的安全漏洞。论文围绕EDA综合、硬件信任、安全设计以及教育等关键领域，深入探讨了LLM驱动硬件设计的最新进展。方法论上，涵盖了从推理驱动综合、多智能体漏洞提取到数据污染和对抗性机器学习规避等突破性技术。此外，论文还整合了关键对策的讨论，如动态基准测试以对抗数据记忆，以及激进的红队测试以实现稳健的安全评估。最后，作者总结了跨领域经验教训，为构建安全、可信和自主的设计生态系统提供了未来研究方向。该论文适合硬件安全研究员、EDA工具开发者以及关注LLM在关键基础设施中应用的安全从业者阅读。

本文针对近似电路（Approximate Circuits）在作为可复用知识产权（IP）核部署时面临的知识产权（IP）盗版检测问题展开研究。近似电路通过在计算精度与硬件效率之间取得优异折衷，在低功耗、高性能计算场景中得到广泛应用。然而，现有的IP保护机制主要针对精确电路设计，难以直接适用于近似电路。作者提出了一种新的对抗威胁模型——近似混淆（Approximate Obfuscation），攻击者不仅通过结构混淆隐藏设计，还引入功能修改，使得混淆后的电路在误差特性和硬件指标上与原始IP几乎相同，从而逃避检测。为应对该威胁，本文提出了一种自动化框架，通过提取和比较受保护IP核与可疑电路的统计误差分布特征，实现IP盗版的系统化检测。框架利用近似电路的误差统计信息（如平均误差、最大误差、误差分布等）作为指纹，基于机器学习或统计测试进行相似性分析。在多种近似乘法器上的广泛实验表明，不同近似乘法的抗混淆能力存在差异，为混淆、近似与IP保护之间的相互作用提供了新见解。本文主要贡献包括：定义了近似混淆威胁模型、提出了基于误差统计的盗版检测方法、并通过实验验证了方法的有效性。该工作适合硬件安全研究人员、IP设计者以及近似计算领域的从业者阅读。

该论文提出 DOLMA，一种基于“瞬态不可观测性”原则的新型微架构安全方案，旨在彻底消除推测执行侧信道攻击（如 Spectre 与 Meltdown）的根源。作者首先分析了现有防御机制（如 lfence、MD 清空、延迟装载等）的局限——它们要么开销过高，要么覆盖不全。基于对瞬态执行中数据流与微架构状态的深度观察，论文定义了“瞬态不可观测性”标准：任何瞬态指令的执行结果不得被后续架构状态或微架构侧信道所观测，即所有瞬态状态的改变必须在提交前完全不可见。DOLMA 通过引入一种新的执行模式，确保只有架构上最终提交的指令才能影响缓存、TLB、分支预测器等共享资源。具体地，DOLMA 在处理器流水线中插入一个“不可观测区”，该区内所有存储操作的结果被暂时阻塞，而加载操作返回的值被标记为“可能不可信”；同时配合一种新型的“瞬态隔离缓冲区”来临时存放写入，直到指令完成提交。实验基于 gem5 模拟器在 x86-64 架构上实现，运行 SPEC CPU2017 与 PARSEC 基准测试。结果表明，与基线相比，DOLMA 的平均性能开销仅 6.7%，远低于现有软件加固方案（30%–100%），也优于大多数硬件方案。论文还从形式化角度论证了 DOLMA 满足瞬态不可观测性，并证明了其能够防御所有已知瞬态执行变种。主要贡献包括：提出瞬态不可观测性原则、设计 DOLMA 微架构、提供完整的形式化安全证明，以及通过模拟评估展示低开销的实用防御。该工作适用于处理器设计团队与微架构安全研究者，为后 Spectre 时代的硬件安全提供了新思路。

随着处理器设计的不断迭代和复用，不同处理器之间往往存在相似的漏洞。现有的处理器模糊测试工具通常独立测试每个设计，无法利用先前处理器中已知的漏洞知识来指导测试，从而难以高效发现相似或变种漏洞。为解决这一问题，本文提出ReFuzz——一种基于上下文多臂老虎机（contextual bandit）的自适应模糊测试框架。ReFuzz能够从先前处理器的有效测试用例中学习，并智能地变异那些曾触发过漏洞的测试，将其复用到目标处理器（PUT）上。在给定指令集架构（ISA）下，ReFuzz通过强化学习动态选择最优的变异策略，从而提高漏洞发现效率。实验表明，ReFuzz成功发现了3个新安全漏洞和2个新功能错误。其中一个漏洞是通过复用先前处理器中已知漏洞的测试用例而发现的；一个功能错误存在于共享设计模块的三个处理器中；另一个功能错误有两种变体。此外，与现有模糊测试工具相比，ReFuzz在覆盖率上平均实现了511.23倍的加速，总覆盖率最高提升9.33%。该工作证明了在多处理器迭代开发场景下，跨设计复用测试用例的有效性，为硬件安全测试提供了新思路。

本文介绍SECV（Securing Connected Vehicles with Hardware Trust Anchors），该系统旨在利用硬件信任锚（如安全元件或可信执行环境）保护联网车辆的安全性。论文已被NDSS 2026 Fall接收，并提供了开源的实现工件，包含可在S32G3硬件上直接运行的.sdcard镜像文件、补丁和操作指南。研究背景是：随着车联网（V2X）和自动驾驶技术的发展，车辆面临日益严重的网络攻击威胁，传统软件安全机制不足，亟需基于硬件的信任根来确保关键操作的安全性。SECV的核心方法是将硬件信任锚集成到车辆系统中，作为安全启动、安全通信和运行时完整性验证的基础。主要贡献包括：设计并实现了一套针对车联网场景的硬件信任锚方案，在NXP S32G3平台上进行了验证，并开源了完整代码和构建脚本，便于学术界和工业界复现和评估。适合汽车安全研究人员、嵌入式系统安全工程师以及关注车联网安全的从业者阅读。

该论文提出了一种名为PortRush的硬件模糊测试框架，旨在检测由写端口竞争引发的微架构侧信道漏洞。写端口竞争是现代超标量处理器中多个执行单元同时尝试写入同一物理端口时产生的资源冲突现象，这种竞争可能导致时序差异，进而被攻击者利用来窃取敏感信息。PortRush通过自动化生成针对写端口竞争的高效测试用例，利用硬件性能计数器实时监控微架构事件，从而触发并识别潜在的信息泄露路径。该框架结合了静态分析和动态模糊测试技术，能够系统地探索处理器微架构中的竞争条件，并自动确认漏洞的可利用性。实验在多种主流处理器（如Intel Core和AMD Ryzen系列）上进行，成功发现了多个之前未知的写端口竞争侧信道漏洞，证明了该方法的有效性。PortRush的贡献在于提出了一种新的自动化检测手段，填补了针对写端口竞争这一特定侧信道攻击类型在安全测试工具方面的空白，为处理器安全评估提供了重要支持。

本文是一项针对 Rowhammer 漏洞在真实硬件环境中流行程度的大规模研究。研究团队通过开发自动化测量工具，对大量不同型号、不同厂商的 DRAM 模块进行测试，系统性评估了 Rowhammer 现象的发生频率、触发条件以及影响因素。实验覆盖了多种 DRAM 技术和工艺节点，包括 DDR3、DDR4 以及 LPDDR4。研究发现 Rowhammer 在当代 DRAM 中仍然普遍存在，且防护机制（如 TRR）在不同厂商实现中存在显著差异，部分设备对特定攻击模式依然脆弱。论文分析了影响 Rowhammer 易感性的关键参数，如温度、刷新率、内存拓扑等，并提出了改进的测试方法论以提高检测效率。主要贡献包括：首个大规模跨代 DRAM 的 Rowhammer 流行性研究；公开了测试数据集和工具；为内存安全研究和硬件漏洞缓解提供了重要参考依据。

本论文是一篇关于加速器可信执行环境（TEE）设计的系统化知识（SoK）综述。随着人工智能、大数据等计算密集型应用的普及，GPU、TPU、FPGA 等加速器被广泛部署，但其安全性面临严峻挑战，尤其是来自云环境中的恶意管理员或特权软件的攻击。可信执行环境（TEE）是一种有前景的防御技术，通过硬件隔离为敏感计算提供机密性和完整性保护。然而，将 TEE 扩展到加速器领域面临诸多独特挑战，如内存一致性、DMA 攻击面、侧信道泄漏等。本文对现有加速器 TEE 设计进行了全面调查和分类，提出了一个统一的分类框架，涵盖架构设计、安全模型、信任根、内存保护、数据流隔离等关键维度。作者分析了超过 20 种代表性方案（如 Graviton、HIX、ReDACT、TPM-based 方案等），并对比了它们在安全属性、性能开销、硬件修改需求等方面的权衡。此外，论文还讨论了加速器 TEE 的威胁模型、认证机制以及针对侧信道的防御措施。最后，论文总结了当前研究的空白和未来方向，包括异构内存管理、可编程硬件支持、多租户隔离等。本文旨在为硬件安全研究人员、系统设计者和云服务提供商提供系统化的知识参考，帮助理解加速器 TEE 的设计空间和挑战。

本文提出 LatticeBox，一个硬件-软件协同设计的框架，用于实现可扩展且低延迟的隔离（compartmentalization）。在现有系统中，隔离机制（如进程或虚拟机）往往带来显著的性能开销，且难以在细粒度级别应用。LatticeBox 通过硬件辅助的隔离原语和软件运行时管理，实现了高效的内存和计算隔离。具体地，它利用硬件隔离区域（如 Intel MPK 或 RISC-V 物理内存保护）并结合轻量级上下文切换机制，显著降低了隔离边界间的通信延迟。实验表明，与传统的基于进程或容器的隔离方案相比，LatticeBox 在保持相同安全保证的前提下，延迟降低了 1-2 个数量级，同时支持动态扩展隔离域。该框架适用于云多租户、边缘计算以及安全攸关的嵌入式系统等场景，尤其适合对微秒级延迟敏感的应用。论文的主要贡献包括：形式化定义了隔离原语的语义、提供了一套硬件无关的抽象接口，以及在 FPGA 原型上验证了其可扩展性和性能优势。

C和C++程序中的内存安全违规持续导致控制流劫持和数据定向攻击等复杂利用技术。现有硬件防御要么依赖地址空间布局随机化（ASLR），要么为指针附加显式元数据以验证其完整性。外部元数据方案提供了强保证，但增加了额外的内存访问和内存占用开销。原地认证机制（如ARM指针认证PAC）在低开销下实现，但以有限熵为代价，并且容易受到暴力破解和重用攻击。本文提出LIPPEN，一种硬件-软件协同设计的全指针加密方案，提供强指针完整性和机密性，且零元数据开销。LIPPEN将每个指针视为加密块，密码学地将其绑定到执行上下文，并在解引用时透明解密。通过重新利用整个64位指针字段进行加密而非保留原始地址位，LIPPEN最大化熵，消除了截断认证码的暴力破解弱点，并保持与现有支持PAC的软件的二进制兼容性。我们在FPGA上使用64位RISC-V Rocket和BOOM核心实现了LIPPEN，并通过微基准测试、nbench和SPEC CPU2017进行评估。与内部RISC-V PAC实现以及M1处理器上的Apple PAC相比，这些工作负载下LIPPEN提供了全面的指针保护，运行时开销与基于PAC的方案相当，同时面积和功耗开销可忽略不计。结果表明LIPPEN是在实际处理器中部署强指针保护的实用设计点。

该论文针对同时多线程（SMT）处理器中基于资源竞争的隐蔽信道攻击问题，提出了一种名为SecSMT的硬件安全架构。SMT技术通过共享执行资源（如缓存、功能单元、内存端口）提升性能，但恶意线程可利用资源竞争的时间差异构建隐蔽信道，实现跨线程信息泄露。现有防御手段（如缓存分区、带宽限制）往往带来显著的性能开销或无法完全阻断所有信道。SecSMT通过对处理器微架构进行关键修改，在保持高性能的同时有效阻断隐蔽信道。核心方法包括：(1) 动态资源隔离机制，根据线程的安全等级动态调整共享资源的分配策略；(2) 随机化资源访问时序，引入噪声使攻击者难以通过时间差提取信息；(3) 对敏感操作进行硬件强制序列化，消除推断执行和资源争用的可观测差异。实验采用模拟器（如gem5）和真实硬件平台（Intel/AMD SMT处理器）评估，在SPEC CPU等基准测试中，SecSMT将隐蔽信道的容量降低超过99%（接近零信道容量），而性能开销控制在5%以内。该工作首次实现了对多种竞争信道（缓存、TLS、功能单元等）的全面防护，且无需修改软件堆栈。适合计算机体系结构和系统安全领域的研究者、处理器设计人员阅读。

随着大语言模型（LLM）越来越多地被微调用于硬件任务（如寄存器传输级（RTL）代码生成），高质量数据集的稀缺性常常导致使用快速组装或生成的数据。这些数据集缺乏安全验证，极易受到数据投毒攻击，使得模型生成语法正确但存在安全漏洞的硬件模块，绕过标准功能检查。为此，本文提出SafeTune框架，旨在增强基于LLM的RTL代码生成对投毒攻击的鲁棒性，特别关注硬件木马（HT）插入。SafeTune包含两个核心组件：（1）图神经网络（GNN），通过建模结构属性在微调过程中识别异常电路模式；（2）语义验证模块，利用文本嵌入和XGBoost分类器评估提示词的安全性。通过结合结构知识和语义知识，SafeTune有效过滤投毒输入而不牺牲合法数据。实验结果表明，SafeTune在无需修改底层模型架构的情况下，显著提升了LLM微调的鲁棒性和可靠性。

本文针对椭圆曲线密码系统（ECC）中标量乘法 kP 的安全性问题展开研究。标量乘法是 ECC 的核心运算，常成为侧信道分析（SCA）的攻击目标。尽管已有基于原子模式（atomic patterns）的防护策略，但由于在乘法和平方操作中，现场乘法器（field multiplier）在处理两个不同操作数与两个相同操作数时存在能量消耗差异，导致二进制 kP 算法仍然容易受到简单侧信道攻击（Simple SCA）。这种漏洞与所使用的乘法方法无关。作者实现了两种缓解技术并进行了分析：一种是数据重定向（data redirection），另一种是总线重载（bus reloading）。通过实验评估，作者展示了这些技术如何降低乘法和平方操作之间的可区分性，从而增强 ECC 实现的侧信道安全性。该研究为硬件安全设计提供了实用的防御思路，尤其适用于资源受限的嵌入式设备。

本文（系列第6篇）聚焦后量子密码学中基于NTT（数论变换）硬件的算术掩码组合安全性。布尔掩码的组合理论（NI、SNI、PINI）已成熟，但素数域上的算术掩码（NTT后量子密码的基础）缺乏类似理论。作者提出并形式化证明了素数域上PINI（Prime-Field PINI）的组合定理。核心见解是“更新参数”（renewal argument）：当在两个流水线阶段间施加新的随机掩码时，中间导线无论第一阶段的防护参数如何都会变得完全均匀。对于两个PF-PINI gadgets（参数k1和k2），经新鲜掩码组合的两阶段流水线满足PF-PINI(k2)，阶段1的多重性被完全消除。无新鲜掩码时，中间导线多重性可达k1，构成差分功耗分析的必要条件。作者在Lean 4中形式化了两个定理，包含18个机器检查的证明，零个“sorry”存根。他们还形式化地桥接了Barrett约简的代数模型与硬件忠实算术模型，并实例化定理以正式诊断微软Adams Bridge PQC加速器：其缺失阶段间新鲜掩码导致Barrett输出导线在一阶探针模型下非均匀，这一架构缺陷与三个独立实证分析一致。计算证据进一步表明“1比特屏障”在Barrett和Montgomery约简中具有普遍性。本文适合对后量子密码侧信道防护、形式化验证与硬件安全感兴趣的研究者阅读。

本文聚焦于侧信道分析（SCA）中的电磁（EM）探针位置鲁棒性问题。传统的SCA通过采集加密操作中的物理泄漏（如电磁辐射）来破解加密算法。在评估芯片的电磁泄漏时，通常需要将探针放置在芯片上方的有利位置，但现有的研究大多集中在热点发现和重定位上。本文提出了一种新方法：使用来自多个EM探针位置的迹线训练单个神经网络，从而在更大的区域内检测泄漏。作者进行了双实验室评估：一个实验室的数据用于训练，另一个实验室的迹线用于攻击，验证了方法的跨设备泛化能力。实验表明，该方法能够有效应对探针位置变化带来的挑战，提高了侧信道分析的实用性和鲁棒性。这项研究对于硬件安全评估和抗侧信道防护设计具有参考价值。