量产主控芯片的网络平安设计

作者 | 孙鲁毅(安霸半导体上海软件研发高级总监)

出品 | 焉知

“网络平安”这个词广义上指包含网络系统中的硬件，软件，数据的传输和存储的平安，信息系统的完好和失密等遭到维护。由于现今绝大局部IOT设备和汽车ECU都以某种方式连到网络访问，所以网络平安的掩盖范围十分普遍，嵌入式系统即便不联到Internet，只需和外界有所信息交互，也会触及到网络平安。网络平安有一套系统办法，其中芯片硬件支持的平安是根底。

网络平安市场现状

网络平安越来越遭到注重，固然各种平安芯片和算法不时被创造，可是“道高一尺，魔高一丈”，即便是大家公认的网络平安程度比拟高的iPhone手机, Tesla汽车也有被黑客发现破绽而应用的例子。这时，假如关于网络平安技术的开展过程不甚理解，有可能会堕入恐慌。特别是汽车自动驾驶域控制器，要在复杂的硬件软件体系上，不只要和本地设备通讯，或许还要在背景经过OTA做功用晋级，这种场景需求控制器芯片从底层硬件和软件打好网络平安根底。

网络平安而是以几门相关学科做根底，加上大量工程理论叠加而成，是可按部就班地理解，实行比拟和参照的。以下我们来看看芯片相关的平安设计根本原则。

芯片网络平安设计的根本原则

网络平安设计是相关技术要素和办法的有机组合。这篇微软的论文：The Seven Properties of Highly Secure Devices (MSR-TR-2017-16)对此实行了很好的罗列。基于这种原则和市场需求，并分离技术完成细节，我参与了安霸CV系列芯片的网络平安设计，经过团队几年的努力，这些CV2x系列芯片已然在安防和汽车行业胜利量产，得到抢先客户的认可。

这7条根本原则是：

a. 芯片需求含有硬件维护的信任根

设备的秘密信息的到硬件维护，并且这个信任根能够在硬件设计中抵御已知的旁路攻击。信任根通常是在不可修正的存储器上的一组或者多组密钥，而且不允许用户直接读出。这里通常采用的加密算法会运用基于公钥系统的比方RSA，ECC类的算法，其中公钥会在系统启动过程中，考证启动代码的各个环节能否被窜改。

b. 芯片含有平安执行环境

专用加密芯片通常有内建的平安执行环境比方苹果手机用的Secure Enclave；主流Android手机则运用ARM的TrustZone，汽车的ECU和域控制器可运用HSM。这些设计原理相似，但功用，性能和平安等级不同。

平安执行环境意味着内部的操作通常受限，并且和主要的应用程序执行环境间的信息交流也受限。普通说来，系统开放的功用越多，接口越丰厚，潜在平安风险点越多，所以在能满足需求的状况下，”信息平安岛”需求尽可能小而且简单。

c. 芯片平安需求纵深防御