芯片安全設(shè)計(jì)技術(shù)3

• • • 一、硬件安全解決方案
    • • • 1. 為什么需要硬件安全
        • 2. 傳統(tǒng)安全解決方案對(duì)比
        • 3. SoC安全解決方案
    • 二、Root of Trust（信任根）
    • • • 1. 信任根（RoT）是建立信任鏈的來源，也是SoC中安全根基
        • 2. 安全啟動(dòng)
        • 3. 密鑰管理
    • 三、關(guān)鍵安全模塊
    • • • 1. MPU/MMU
        • 2. Crypto Engine
        • 3. Detector
        • 4. Storage Protection Unit
        • 5. Bus Protection Unit
        • 6. Secure Processor
    • 四、安全系統(tǒng)的應(yīng)用—— 智能電表
    • 五、總結(jié)

一、硬件安全解決方案

1. 為什么需要硬件安全

安全是系統(tǒng)級(jí)的，如果只是軟件進(jìn)行安全防護(hù)，那么無法建立強(qiáng)有力的信任根

Crypto Engine只是解決了密碼計(jì)算問題，只是單純的拼湊組合是無法組成安全系統(tǒng)的

各種高等級(jí)的認(rèn)證要求底層的核心安全，密碼實(shí)現(xiàn)需要由硬件來完成參與

2. 傳統(tǒng)安全解決方案對(duì)比

三種方法：MCU，TEE，SE
方案無好壞之分，只有是否符合系統(tǒng)的應(yīng)用場景來選擇解決方案

3. SoC安全解決方案

將傳統(tǒng)的SE的功能集成到SoC中，避免了板級(jí)走線帶來的安全風(fēng)險(xiǎn)

避免了外部的數(shù)據(jù)傳輸性能的瓶頸，可以作為加速器使用

無需額外的芯片，降低了整體成本

目前手機(jī)AP廠商大多數(shù)使用該解決方案

二、Root of Trust（信任根）

1. 信任根（RoT）是建立信任鏈的來源，也是SoC中安全根基

其涉及安全啟動(dòng)、密鑰管理兩部分

2. 安全啟動(dòng)

硬件負(fù)責(zé)初始化安全啟動(dòng)過程中需要使用的模塊，例如隨機(jī)數(shù)發(fā)生器、安全傳感器、NVM控制器等

CPU從自身ROM中讀取一級(jí)啟動(dòng)代碼，對(duì)外部的二級(jí)Bootloader 進(jìn)行解密和驗(yàn)簽，確保二級(jí)Bootloader的完整性和認(rèn)證性

3. 密鑰管理

保護(hù)密鑰的機(jī)密性，密鑰一般存儲(chǔ)在NVM中

確認(rèn)密鑰的完整性

提前考慮各種角色，確保在實(shí)際場景中的可用性

結(jié)合芯片生命周期管控?zé)龑憽⑹褂?、debug相關(guān)權(quán)限

三、關(guān)鍵安全模塊

1. MPU/MMU

訪問地址、權(quán)限隔離

2. Crypto Engine

提供各種秘鑰運(yùn)算的支持

提升秘鑰運(yùn)算的性能和安全性

避免軟件可以訪問關(guān)鍵秘鑰，高等級(jí)的安全認(rèn)證密鑰硬件化

3. Detector

探測環(huán)境的異常變化
當(dāng)在攻擊硬件時(shí)，可能需要通過升壓，提高頻率等措施，而當(dāng)SoC系統(tǒng)中存在這些監(jiān)控異常變化時(shí)，能夠及早的預(yù)防這些異常變化，從而保護(hù)硬件安全。

4. Storage Protection Unit

保護(hù)存儲(chǔ)單元內(nèi)的數(shù)據(jù)，地址總線和數(shù)據(jù)總線都需要加密、加擾

5. Bus Protection Unit

保護(hù)總線上傳輸?shù)男畔?#xff0c;地址和數(shù)據(jù)都需要加擾(實(shí)時(shí)性比較高，一般只做加擾)

6. Secure Processor

利用Memory Tagging等技術(shù)防止關(guān)于Memory的攻擊

利用Time constant計(jì)數(shù)防止Timing Attack

四、安全系統(tǒng)的應(yīng)用—— 智能電表

智能電表是IoT典型安全敏感應(yīng)用

智能電表處于一個(gè)開放的不可控的環(huán)境下

只能電表覆蓋量極大，并且與基礎(chǔ)民生相關(guān)，有著很高的價(jià)值

智能電表是一個(gè)典型的基于MCU的SoC芯片，SoC中有著很多的防護(hù)措施保護(hù)RoT和運(yùn)行安全

五、總結(jié)

安全系統(tǒng)方案多種多樣，根據(jù)實(shí)際業(yè)務(wù)場景進(jìn)行選擇

單一模塊無法保證系統(tǒng)安全，系統(tǒng)安全需要從硬件、軟件、生產(chǎn)和使用統(tǒng)籌考慮

RoT需要由硬件來實(shí)現(xiàn)從而達(dá)到不可篡改的特性

隨著新興行業(yè)（IoT,5G）的發(fā)展，硬件安全的重視程度逐漸提升

總結(jié)

以上是生活随笔為你收集整理的硬件安全技术——芯片安全设计技术3的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。