應對網絡威脅正在成為芯片和系統設計的一個組成部分，并且更加昂貴和復雜。

隨著芯片制造商努力解決如何構建既設計安全又具有足夠彈性以在整個生命周期保持安全的設備，安全性正在設計流程中左右轉移。

隨著越來越復雜的設備連接到互聯網并相互連接，IP 供應商、芯片制造商和系統公司正在競相解決更廣泛的攻擊面中的現有和潛在威脅。在許多情況下，安全性已經從一系列無休無止的軟件補丁升級為硬件/軟件設計過程中不可或缺的一部分，帶來了越來越豐厚的競爭優勢，而對于犯錯的公司來說，監管行動的威脅也越來越大。

英飛凌互聯安全系統部門總裁 Thomas Rosteck 在最近的一次演講中表示：“每秒就有 127 臺設備首次連接到互聯網?！薄暗?2027 年，連接互聯網和相互連接的設備數量將達到驚人的 430 億臺。”

這也將帶來巨大的安全挑戰。Arm市場開發高級總監 David Maidment 指出：“隨著連接的增加和數字服務的擴展，企業和消費者越來越擔心他們的數據會發生什么。”“在過去的五年里，世界各地政府的監管已經成熟，制造商有責任滿足越來越多的安全標準，以確保這些服務是可信的、安全的和正確管理的。”

盡管如此，合理且謹慎的安全方法仍包含許多考慮因素。“首先，必須首先了解特定應用程序的威脅概況，以及需要保護的特定資產——數據、信息或系統，”Synopsys 安全 IP 解決方案總監 Dana Neustadter表示?！笆欠裼刑囟ǖ姆?、法規和/或類型的要求會影響該解決方案？換句話說，你必須先做一些功課。您必須能夠回答一些問題，例如產品是否僅關注基于網絡的威脅，或者是否存在需要物理訪問的潛在攻擊。是否可以直接通過網絡訪問該特定產品，或者它是否會受到系統其他部分的保護，例如可以像防火墻一樣提供某種程度的保護？安全方面的法規或標準合規性或可能的認證要求是什么？這些資產的價值是多少？”

此外，設備需要在所有條件和操作模式下都是安全的?！爱斚到y離線時，你需要保護它，因為例如，不良行為者可以更換外部存儲器，或者他們可以竊取 IP 代碼，”Neustadter 說?！八麄兛梢灾匦滤⑿略O備。您還需要在加電期間保護它，并且需要在設備運行時在運行時保護它。您需要確保它仍然按預期運行。那么，在對外交流的時候，你也需要對其進行保護。通常有許多變量會影響安全解決方案，包括特定的應用程序。最終，整體安全解決方案需要保持平衡?！鞍踩胶狻卑ò踩δ?、協議、認證等，以及成本、功耗、性能和面積權衡，因為例如，您無法為電池提供最高級別的安全性- 供電設備。這沒有意義，因為它是一種成本較低的設備。你確實必須尋找平衡點，所有這些都將影響芯片的適當安全架構。”

其他人也同意。“當我們向設備引入安全性時，我們采取的第一步是根據設備在整個系統中的作用來評估設備的安全資產，”Winbond 技術主管 Nir Tasher說道?！爱斘覀兝L制這些資產的地圖時，我們也在評估這些資產的攻擊潛力。并非所有資產都會立即被識別。調試和測試端口等功能也應被視為資產，因為它們可能在系統整體安全性中發揮作用。一旦映射和評級完成，我們就會評估破壞每項資產的潛在方法以及所涉及的復雜性。下一步是找到防止這些攻擊的方法，或者至少檢測它們。最后一步顯然是測試最終產品，以確保我們所包含的任何保護功能都能正常運行。”

設計確保

安全硬件和系統安全性的重大變化之一是認識到它不再是別人的問題。曾經是事后才想到的東西現在變成了競爭優勢，需要融入到架構層面的設計中。

Rambus安全 IP 業務開發總監 Adiel Bahrouch 表示：“這一基本原則強調將安全性集成到芯片設計開發流程中，確保從一開始就確定安全目標、要求和規范?！薄斑@種方法要求建立適當的威脅模型，識別具有價值并需要保護的有形和無形資產，根據適當的風險管理框架主動量化相關風險，并正確實施安全措施和控制以減輕風險一個可以接受的水平?！?/p>

巴魯什表示，除了適當的威脅評估之外，考慮整體縱深防御戰略的額外安全原則也至關重要。這包括信任鏈，其中每一層都提供下一層可以利用的安全基礎，以及針對不同用戶、數據類型和操作具有不同安全級別的域分離，從而允許針對每個用例優化性能和安全性權衡。在現代系統中，這包括整個產品生命周期的威脅建模，以及分段訪問權限和最小化共享資源的最小特權原則。

“預先定義 SoC 的安全架構至關重要，”Cadence Tensilica Xtensa 處理器 IP 產品營銷組總監 George Wall說道?！岸x安全架構的時間是當設計人員確定 SoC 的必要功能、饋送和速度等時。盡早做到這一點總是比稍后嘗試“增加安全性”容易得多，無論是在流片前一周還是在生產交付后兩年?！?/p>

整體防御遠遠超出了硬件的范圍?！叭绻阆氡Ｗo某些東西，即使是在軟件的高抽象級別上，你也可以用 Python 或任何你選擇的編程語言來完美地做到這一點，”首席嵌入式安全工程師兼微電子解決方案負責人 Dan Walters 說。“但如果它因硬件層面的妥協而受到破壞，那就沒關系了。即使您擁有完美的軟件安全性，您也可能會完全破壞整個系統?！?/p>

在大多數情況下，攻擊者會選擇阻力最小的路徑?！皩τ诎踩珌碚f，要么全有，要么全無，”沃爾特斯說?！肮粽咧恍枵业揭粋€缺陷，他們并不真正關心它在哪里。他們并不是說，‘我想通過破壞硬件來擊敗系統，或者我想通過找到軟件缺陷來做到這一點。他們會尋找最簡單的事情?！?/p>

最佳實踐

為了應對不斷擴大的威脅形勢，芯片制造商正在充實他們的最佳實踐清單。過去，安全性幾乎完全局限于 CPU 的范圍內。但隨著設計變得更加復雜、聯系更加緊密、使用壽命更長，需要更廣泛地考慮安全性。西門子 EDA Tessent 部門產品營銷總監 Lee Harrison 表示，這包括許多關鍵要素：

安全啟動——硬件監控技術可用于檢查規定的啟動順序是否按預期執行，以確保硬件和軟件均符合預期。

證明– 與安全啟動類似，功能監控可用于生成代表系統中特定 IP 或 IC 的硬或軟配置的動態簽名。這證實了預期硬件及其配置的準確性。此方法可用于提供單個身份令牌或系統范圍的令牌集合。該系統基于唯一的簽名，可用于確保應用 OTA 更新的正確軟件版本。至關重要的是，這是在系統內計算的，而不是硬編碼的。

安全訪問– 與所有系統一樣，進出設備的通信通道必須是安全的，并且在許多情況下，可以根據所需訪問的不同級別進行配置，其中訪問通常通過信任根進行控制。

資產保護– 主動功能監控可能是任何縱深防御策略的關鍵部分。根據詳細的威脅分析，在設備內選擇和放置功能監視器可以提供低延遲的威脅檢測和緩解。

設備生命周期管理– 現在，在所有安全 IC 應用中，能夠監控設備從制造到退役的整個生命周期的健康狀況至關重要。功能監控和傳感器在監控設備整個生命周期的健康狀況方面發揮著重要作用。在某些情況下，主動反饋甚至可以通過在可能的情況下對外部方面進行動態調整來延長 IC 的有效壽命。

圖 1：安全硬件的關鍵要素。

來源：西門子 EDA

不同應用程序所部署的最佳實踐可能存在很大差異。例如，汽車應用中的安全性比智能可穿戴設備中的安全性更令人擔憂。

英飛凌內存解決方案執行副總裁 Tony Alvarez 在最近的一次演講中表示：“自主性需要連接性，這會帶來更高的安全性，從而實現自動化，而半導體確實是這里的基礎?！薄案兄?、解釋數據、據此做出決策，這些都在表面之上。這就是你所看到的。系統的復雜性正在上升，但你看不到表面之下的內容，而這正是實現這一目標所需的所有部分——整個系統解決方案?！?/p>

阿爾瓦雷斯說，該系統包括與云、其他汽車和基礎設施的通信，所有這些都必須可立即訪問且安全。

其他應用程序的安全需求可能非常不同。但確定需要什么的過程是相似的。“首先，分析資產是什么，”華邦的塔舍爾說?！坝袝r沒有。有時，設備的每個部分都是或包含資產。對于后者，建議從頭開始，但這種情況很少見。映射資產后，架構師需要分析這些資產的攻擊向量。這是一個乏味的階段，強烈建議外部咨詢。另一雙眼睛總是一件好事。從架構的角度來看，最后一個階段是提出針對這些攻擊的保護機制。是的，深入的系統知識在所有這些階段都是必不可少的。”

Arm 大力支持在所有連接設備中納入信任根(RoT)，并部署安全設計最佳實踐作為任何可行產品的基準?！癛oT 可以提供必要的可信功能，例如可信啟動、加密、證明和安全存儲。RoT 最基本的用途之一是保持帶有加密數據的私有密鑰的機密性，受到硬件機制的保護，并且遠離更容易被黑客攻擊的系統軟件。RoT 的安全存儲和加密功能應該能夠處理設備身份驗證、驗證聲明以及加密或解密數據所需的密鑰和可信處理，”Maidment 說。

鑒于很少有芯片設計是從一張白紙開始的，因此在設計芯片時應考慮到這一點?！懊總€設備和每個用例都是獨一無二的，我們必須通過威脅建模來考慮所有系統的需求，”Maidment 解釋道?！耙恍┯美枰罴褜嵺`的證據。其他人需要防止軟件漏洞，還有一些人需要防止物理攻擊?！?/p>

Arm 共同創立 PSA Certified 的工作表明，不同的芯片供應商正在尋找自己獨特的賣點，并決定他們想要提供哪種級別的保護?！昂茈y做到一刀切，但一套商定的通用原則是減少碎片化和實現適當安全穩健性的重要工具，今天向產品頒發的 179 份 PSA 認證證書證明了這一點，”梅德門特指出。

這與幾年前有很大不同，當時可以在設計周期的后期將安全性添加到芯片中。“這不像過去那樣，你可以只增加安全性。你會對芯片進行改造，并認為無需進行任何重大更改即可滿足應用程序所需的安全性，”Synopsys 的 Neustadter 說?！案鶕鲜銮疤嵩O計安全解決方案非常重要。然后，您可以在未來的設計修訂中采用更簡化的流程來更新安全性，例如創建具有信任根的安全環境來保護敏感數據操作和通信。您可以通過多種方法創建可擴展、可擴展的安全解決方案，甚至可以在投片后對其進行更新，例如通過軟件升級。因此，有一些方法可以將其構建到設計中，然后以更簡化的方式將安全性從一個版本升級到另一個版本。”

安全修復

幾乎在所有情況下，防止攻擊比提供補丁來修復攻擊更好。但具體實現方式可能存在很大差異。

例如，Flex Logix首席執行官 Geoff Tate表示，多家公司正在使用eFPGA來確保安全性，其他公司也在評估它們?！皳覀兞私?，原因有多種，不同的公司有不同的安全擔憂，”泰特說?！耙恍┛蛻粝Ｍ褂?eFPGA 來混淆制造過程中的關鍵算法。對于國防客戶來說尤其如此。安全算法（即加密/解密）在一個 SoC 的多個位置實現。性能要求各不相同。為了獲得非常高的持久安全性，它需要在硬件中。由于安全算法需要能夠更新以應對不斷變化的挑戰，因此硬件需要可重新配置。處理器和軟件可以被黑客攻擊，但黑客攻擊硬件要困難得多，因此在可編程硬件中擁有安全功能的一些關鍵部分是可取的。”

如果沒有這種內置的可編程性，在攻擊后修復安全問題就會困難得多。通常，這涉及某種類型的補丁，這通常是一種成本高昂且次優的解決方案。

“根據域分離原則，可以考慮以模塊化的方式在現有芯片上添加一個獨立的‘安全島’，使芯片能夠利用安全島提供的所有安全功能，同時對現有芯片進行最小的改動”，Rambus 的巴魯奇說道。“雖然這不是最有效的解決方案，但可以定制安全 IP 以滿足安全要求和總體安全目標。盡管面臨挑戰，但不一定需要立即為每個功能利用嵌入式安全模塊。架構師可以從保護芯片和用戶完整性的基礎開始，逐步將基于硬件的安全性和側通道保護引入到其他不太重要的功能中?！?/p>

西門子的哈里森指出，在現有設計中添加安全性是當今的一個常見問題?！叭绻O計者不小心，事后添加安全性很容易導致主要入口點不安全的情況。然而，EDA 在這里非常有用，因為嵌入式分析技術可以輕松集成到現有設計的較低級別中。與僅僅針對外圍風險不同，可以添加 IP 監視器來監視設計中的許多內部接口或節點?！?/p>

最低限度的硬件安全性

有了如此多的選擇和如此多的建議，安全芯片的絕對必備條件是什么？

Cadence 的 Wall 表示，至少需要有一個安全島來為 SoC 建立信任根?！斑€需要提供身份驗證功能來正確驗證啟動代碼和 OTA 固件更新。理想情況下，SoC 選擇的資源僅可供已知可信的固件使用，并且存在一個硬件分區，可防止未知或不可信的固件惡意訪問這些資源。但最終，“必備”是由應用程序和用例驅動的。例如，音頻播放設備與處理支付的設備有不同的要求?！?/p>

此外，根據威脅評估模型和需要保護的資產，典型的安全芯片旨在實現可分為以下幾類的安全目標：完整性、真實性、機密性和可用性。

Rambus 的 Bahrouch 表示：“這些目標通常通過加密技術以及安全啟動、安全存儲、安全調試、安全更新、安全密鑰管理等附加功能來實現。”“從 SoC 架構的角度來看，這通常從保護 OTP 和/或硬件唯一密鑰和身份開始，然后是在產品生命周期中保護安全相關的特性和功能，其中包括但不限于固件更新和安全調試。硬件信任根是這些基本功能的良好基礎，也是現代 SoC 的必備條件，無論其目標市場如何?！?/p>

西門子的哈里森說，無論哪種應用程序，在安全應用程序中使用的所有設備上都應該啟用兩個關鍵元素?！笆紫?，需要安全啟動（如上所述），因為在設備成功安全啟動之前，實施的任何其他安全機制都是潛在的攻擊面。例如，在設備啟動之前，可以覆蓋并重新配置信任根 IP 中的簽名寄存器，本質上是欺騙設備的身份。其次，需要安全的身份。例如，信任根雖然不常用，但可以為設備提供唯一的標識，并使許多其他功能能夠受到該特定設備的保護。這些是最低限度的，并不能防止任何惡意通信或任何外部接口的操縱?！?/p>

試圖在這里列出一份必備清單是很困難的，因為這些清單因芯片功能、技術、設備中的資產和最終應用而異?！叭欢鶕涷?，人們會發現三個主要功能——保護、檢測和恢復，”Winbond 的 Tasher 說?！皬哪撤N意義上說，這是一種保護，設備需要防止數據泄露、非法修改、外部攻擊和操縱嘗試。檢測，因為安全機制應該能夠檢測對內部功能和狀態的攻擊或非法修改。在某些情況下，檢測可能會觸發簡單的響應，或者達到完全消除設備功能并擦除所有內部秘密的程度?；謴褪侵笇τ谀承┌踩δ?，系統必須始終處于已知狀態。這種狀態甚至可能是完全關閉，只要它是安全穩定的狀態?！?/p>

結論

最后，工程師必須更加熟悉如何以及在何處將安全性添加到他們的設計中，這一點至關重要。這首先是工程學校，它們剛剛開始將安全納入其課程。

例如，MITRE 每年都會舉辦“奪旗”競賽，向高中生和大學生開放?！?022 年，作為競賽的一部分，我們提出了底層硬件可能受到損害的概念，我們要求學生設計他們的系統，以嘗試對系統中內置的潛在惡意硬件組件具有彈性，”沃爾特斯說?！拔覀兊玫搅朔浅Ｓ腥さ幕貞?。很多同學問：你在說什么？這怎么可能？我們的回答是，‘是的，這很難，而且確實感覺這是一個不可能解決的問題。但這就是現實世界中正在發生的事情。因此，你可以把頭埋在沙子里，或者你可以改變你的思維方式來設計一個有彈性的系統，因為當你進入勞動力市場時，這就是你的雇主會要求你考慮的事情?！?/p>

安全始終首先要了解每個應用程序的獨特威脅概況，并清楚地了解需要保護的內容、需要什么級別的保護，以及如果芯片或系統受到損害該怎么辦。然后需要將其支持到實際面臨風險的情況。

Synopsys 的 Neustadter 觀察到，例如，在物聯網中，數據的成本、復雜性和敏感性多種多樣?！拔锫摼W端點至少需要安全且值得信賴，”她說?！爸辽伲_發人員應該測試其固件軟件的完整性和真實性，但如果這些特定測試失敗，也要采取合理的應對措施?！?/p>

在汽車領域，成功的攻擊可能會產生非常嚴重的后果?！半娮釉O備很復雜，連接也很復雜，”諾伊施塔特說?！爱斊囋诟咚俟飞闲旭倳r，可以通過駕駛員遠程控制汽車，這已經是老新聞了。因此，汽車的安全至關重要。在那里，您需要實現更高級別的安全性，通常還需要更高的性能。這是一種與物聯網不同的安全方法，并不是說它更重要，而是不同?！?/p>

這與云中的安全性仍然有很大不同。“未經授權的數據訪問是最大的威脅之一，”諾伊施塔特說?！翱赡苓€有許多其他威脅，包括數據泄露。我們的很多財務數據都在云端，那里有另一個級別的安全方法和抵御物理攻擊、故障注入等的彈性。我希望人們更多地關注，威脅是什么？你想保護什么？然后，結合圖中的所有其他內容，您可以定義安全架構。這是人們從一開始就不看的東西。它可以幫助他們有一個更好的開始，并避免必須返回并重新設計安全解決方案?！?/p>

來源：半導體芯聞

審核編輯：劉清