芯來(lái)科技正式發(fā)布基于RISC-V處理器的HSM子系統解決方案

本土RISC-V CPU IP領(lǐng)軍企業(yè)——芯來(lái)科技正式發(fā)布基于RISC-V處理器的HSM子系統解決方案，提供專(zhuān)業(yè)有效的信息安全保護以及加解密功能。

隨著(zhù)通信和網(wǎng)絡(luò )的不斷進(jìn)步與發(fā)展，高速的信息傳遞和設備互聯(lián)已經(jīng)成為了必然的趨勢，這對于信息安全保障提出了更高的要求，防止信息泄露的需求與日俱增，對于芯片的安全防護能力是極大的挑戰，系統設計亟需完整的安全解決方案。

此次芯來(lái)科技發(fā)布的HSM子系統，作為針對信息安全的完整解決方案，旨在幫助各類(lèi)場(chǎng)景對于芯片層面信息安全的需求。HSM是硬件安全模塊(Hardware Security Module)的簡(jiǎn)稱(chēng)。HSM通過(guò)驗簽和加解密等功能來(lái)保護系統認證所需要的密鑰和敏感數據，同時(shí)可以為在線(xiàn)升級、固件升級等提供安全保護，以確保傳輸消息和數據的機密性和可靠性。

加解密和驗簽等功能都依賴(lài)于較為復雜的算法，軟件方案的效率較低，會(huì )影響系統整體的性能。專(zhuān)用于加解密和敏感數據管理的HSM硬件加速模塊可以在提高運算的效率的同時(shí)提供強有力的保護。目前在汽車(chē)電子領(lǐng)域，HSM已經(jīng)成為了必不可少的模塊，且擁有用于汽車(chē)電子的特定標準，HSM通過(guò)其自己的處理器核心來(lái)執行汽車(chē)應用場(chǎng)景所需的所有IT安全功能。芯來(lái)科技的HSM模塊已經(jīng)可應用于汽車(chē)電子、網(wǎng)絡(luò )傳輸、視覺(jué)安防、工業(yè)控制等領(lǐng)域。

芯來(lái)科技提供與Host系統緊耦合的HSM子系統，主要包含控制、通信、加解密等部分核心模塊：

芯來(lái)自研的RISC-V CPU：可根據具體需求選擇N300（普通系統）、NS300（安全防護更高）以及NA300（汽車(chē)電子）

MAILBOX：HOST訪(fǎng)問(wèn)HSM內部資源的唯一通道

EFUSE：密鑰等信息安全存儲

BROM：HSM第一級BootLoader

CRYP：對稱(chēng)加解密模塊

ACRYP：非對稱(chēng)加解密模塊

HASH：哈希算法模塊

TRNG：真隨機數生成模塊

芯來(lái)的HSM模塊提供完整的安全啟動(dòng)流程，安全啟動(dòng)中包含兩級驗證和加載啟動(dòng)，分別為芯片級和系統級兩個(gè)層級，對應芯片廠(chǎng)商和系統廠(chǎng)商，每一級廠(chǎng)商都可以擁有自己的密鑰對。

芯片廠(chǎng)商提供BootROM和一級Loader(NSBS固件)，處于HSM系統中。芯片廠(chǎng)商的公鑰用于驗簽一級Loader(NSBS固件)，而系統廠(chǎng)商的公鑰用于驗簽HOST系統的固件程序，軟件啟動(dòng)流程如下圖所示：

NSBS模塊除了提供安全啟動(dòng)以外，還可以通過(guò)MAILBOX給HOST系統提供運行時(shí)的安全服務(wù)，包括：

密鑰管理

加解密運算

哈希計算

eFuse燒寫(xiě)

密鑰生成

HSM Secure Boot支持12種安全啟動(dòng)組合，支持動(dòng)態(tài)選擇：



Secure Boot支持全流程系統仿真：

提供模版配置文件，一鍵加密打包腳本以及生成相配套的eFuse初始化文件

支持兩級安全啟動(dòng)全流程仿真

Secure Boot提供完整的FPGA測試環(huán)境：

FPGA環(huán)境下支持和仿真環(huán)境相同的原始固件

提供功能完善的上位機工具，支持生成并燒寫(xiě)eFuse配置文件和打包原始固件，不需要額外的燒寫(xiě)工具

芯來(lái)的HSM提供非對稱(chēng)認證和對稱(chēng)加解密解決方案：

非對稱(chēng)認證，主要用于驗簽：

芯片廠(chǎng)商和系統廠(chǎng)商擁有各自獨立的密鑰對；

支持ED25519,RSA2048/4096以及國密SM2驗簽算法

對稱(chēng)加解密，主要用于固件加解密

芯片廠(chǎng)商和系統廠(chǎng)商各自擁有根密鑰

支持AES和國密SM4加解密算法

支持RFC3394定義的AES以及GB/T 36624-2018定義的SM4密鑰封裝算法，提供更高的安全性能

芯來(lái)科技為HSM解決方案提供功能完整豐富的上位機工具(NSTools)：

該上位機工具提供兩大功能，幫助客戶(hù)更便捷的使用HSM方案：

固件打包功能：

支持兩級鏡像的打包，多級密鑰生成

根據UI界面的配置，生成固件頭，加密固件，計算固件摘要和簽名，生成打包后二進(jìn)制文件

生成eFuse配置文件

燒寫(xiě)功能：

DFU：燒寫(xiě)或者擦除Nor Flash指定某個(gè)扇區以及整片，可以實(shí)現在線(xiàn)更新固件

eFuse燒寫(xiě)：?jiǎn)蝏it或者單word燒寫(xiě)，根據生成或者指定的eFuse配置文件進(jìn)行批量燒寫(xiě)

除了上述功能以外，芯來(lái)HSM解決方案還支持其它六大安全特性： 安全存儲

支持flash數據通路上的on-the-fly硬件流解密

密鑰銷(xiāo)毀

支持備份密鑰

支持密鑰銷(xiāo)毀

防止代碼回滾

支持固件版本管理

鎖定軟件bootloader更新

支持限制軟件bootloader，提高安全性；

生命周期管理

開(kāi)發(fā)模式

量產(chǎn)模式

支持備份鏡像，支持多種加解密算法

信息安全的保護是當下電子產(chǎn)業(yè)必不可少的元素。RISC-V作為開(kāi)放標準的、可擴展的指令集能夠進(jìn)一步提高了HSM子系統的靈活性以及高度可定制性，同時(shí)為國產(chǎn)自主提供了更穩定的基礎。芯來(lái)科技背靠中國本土市場(chǎng)，將不斷完善以芯來(lái)RISC-V CPU為核心的HSM安全方案特性，致力于打造完整的信息安全解決方案，配合行業(yè)的演進(jìn)以及發(fā)展趨勢，目前HSM安全方案已經(jīng)落地，并且正式進(jìn)入了商用階段。

關(guān)于芯來(lái)科技 芯來(lái)科技成立于2018年，一直專(zhuān)注于RISC-V CPU IP及相應平臺方案的研發(fā)，是本土RISC-V領(lǐng)域的代表性企業(yè)。

芯來(lái)科技從零開(kāi)始，堅持自研，打造了N/U、NX/UX四大通用CPU IP產(chǎn)品線(xiàn)和NS、NA、NI三個(gè)專(zhuān)用CPU IP產(chǎn)品線(xiàn)。其中：

* N/U(支持SV32 MMU）是32位架構，主要用于邊緣計算、低功耗和IoT場(chǎng)景；

* NX/UX（支持SV39和SV48 MMU）是64位架構，主要用于數據中心、網(wǎng)絡(luò )安全、存儲等高性能應用場(chǎng)景；

* NS（Security）面向支付等高安全場(chǎng)景；

* NA（Automotive）面向功能安全汽車(chē)電子場(chǎng)景；

* NI（Intelligence）面向AI等高性能計算場(chǎng)景。

目前已有超過(guò)200家國內外正式授權客戶(hù)使用了芯來(lái)科技的RISC-V CPU IP，遍及AI、汽車(chē)電子、5G通信、網(wǎng)絡(luò )安全、存儲、工業(yè)控制、MCU、IoT等多個(gè)領(lǐng)域。



審核編輯：劉清