芯來(lái)科技正式發(fā)布基于RISC-V處理器的HSM子系統(tǒng)解決方案

本土RISC-V CPU IP領(lǐng)軍企業(yè)——芯來(lái)科技正式發(fā)布基于RISC-V處理器的HSM子系統(tǒng)解決方案，提供專(zhuān)業(yè)有效的信息安全保護(hù)以及加解密功能。

隨著通信和網(wǎng)絡(luò)的不斷進(jìn)步與發(fā)展，高速的信息傳遞和設(shè)備互聯(lián)已經(jīng)成為了必然的趨勢(shì)，這對(duì)于信息安全保障提出了更高的要求，防止信息泄露的需求與日俱增，對(duì)于芯片的安全防護(hù)能力是極大的挑戰(zhàn)，系統(tǒng)設(shè)計(jì)亟需完整的安全解決方案。

此次芯來(lái)科技發(fā)布的HSM子系統(tǒng)，作為針對(duì)信息安全的完整解決方案，旨在幫助各類(lèi)場(chǎng)景對(duì)于芯片層面信息安全的需求。HSM是硬件安全模塊(Hardware Security Module)的簡(jiǎn)稱(chēng)。HSM通過(guò)驗(yàn)簽和加解密等功能來(lái)保護(hù)系統(tǒng)認(rèn)證所需要的密鑰和敏感數(shù)據(jù)，同時(shí)可以為在線(xiàn)升級(jí)、固件升級(jí)等提供安全保護(hù)，以確保傳輸消息和數(shù)據(jù)的機(jī)密性和可靠性。

加解密和驗(yàn)簽等功能都依賴(lài)于較為復(fù)雜的算法，軟件方案的效率較低，會(huì)影響系統(tǒng)整體的性能。專(zhuān)用于加解密和敏感數(shù)據(jù)管理的HSM硬件加速模塊可以在提高運(yùn)算的效率的同時(shí)提供強(qiáng)有力的保護(hù)。目前在汽車(chē)電子領(lǐng)域，HSM已經(jīng)成為了必不可少的模塊，且擁有用于汽車(chē)電子的特定標(biāo)準(zhǔn)，HSM通過(guò)其自己的處理器核心來(lái)執(zhí)行汽車(chē)應(yīng)用場(chǎng)景所需的所有IT安全功能。芯來(lái)科技的HSM模塊已經(jīng)可應(yīng)用于汽車(chē)電子、網(wǎng)絡(luò)傳輸、視覺(jué)安防、工業(yè)控制等領(lǐng)域。

芯來(lái)科技提供與Host系統(tǒng)緊耦合的HSM子系統(tǒng)，主要包含控制、通信、加解密等部分核心模塊：

芯來(lái)自研的RISC-V CPU：可根據(jù)具體需求選擇N300（普通系統(tǒng)）、NS300（安全防護(hù)更高）以及NA300（汽車(chē)電子）

MAILBOX：HOST訪(fǎng)問(wèn)HSM內(nèi)部資源的唯一通道

EFUSE：密鑰等信息安全存儲(chǔ)

BROM：HSM第一級(jí)BootLoader

CRYP：對(duì)稱(chēng)加解密模塊

ACRYP：非對(duì)稱(chēng)加解密模塊

HASH：哈希算法模塊

TRNG：真隨機(jī)數(shù)生成模塊

芯來(lái)的HSM模塊提供完整的安全啟動(dòng)流程，安全啟動(dòng)中包含兩級(jí)驗(yàn)證和加載啟動(dòng)，分別為芯片級(jí)和系統(tǒng)級(jí)兩個(gè)層級(jí)，對(duì)應(yīng)芯片廠(chǎng)商和系統(tǒng)廠(chǎng)商，每一級(jí)廠(chǎng)商都可以擁有自己的密鑰對(duì)。

芯片廠(chǎng)商提供BootROM和一級(jí)Loader(NSBS固件)，處于HSM系統(tǒng)中。芯片廠(chǎng)商的公鑰用于驗(yàn)簽一級(jí)Loader(NSBS固件)，而系統(tǒng)廠(chǎng)商的公鑰用于驗(yàn)簽HOST系統(tǒng)的固件程序，軟件啟動(dòng)流程如下圖所示：

NSBS模塊除了提供安全啟動(dòng)以外，還可以通過(guò)MAILBOX給HOST系統(tǒng)提供運(yùn)行時(shí)的安全服務(wù)，包括：

密鑰管理

加解密運(yùn)算

哈希計(jì)算

eFuse燒寫(xiě)

密鑰生成

HSM Secure Boot支持12種安全啟動(dòng)組合，支持動(dòng)態(tài)選擇：



Secure Boot支持全流程系統(tǒng)仿真：

提供模版配置文件，一鍵加密打包腳本以及生成相配套的eFuse初始化文件

支持兩級(jí)安全啟動(dòng)全流程仿真

Secure Boot提供完整的FPGA測(cè)試環(huán)境：

FPGA環(huán)境下支持和仿真環(huán)境相同的原始固件

提供功能完善的上位機(jī)工具，支持生成并燒寫(xiě)eFuse配置文件和打包原始固件，不需要額外的燒寫(xiě)工具

芯來(lái)的HSM提供非對(duì)稱(chēng)認(rèn)證和對(duì)稱(chēng)加解密解決方案：

非對(duì)稱(chēng)認(rèn)證，主要用于驗(yàn)簽：

芯片廠(chǎng)商和系統(tǒng)廠(chǎng)商擁有各自獨(dú)立的密鑰對(duì)；

支持ED25519,RSA2048/4096以及國(guó)密SM2驗(yàn)簽算法

對(duì)稱(chēng)加解密，主要用于固件加解密

芯片廠(chǎng)商和系統(tǒng)廠(chǎng)商各自擁有根密鑰

支持AES和國(guó)密SM4加解密算法

支持RFC3394定義的AES以及GB/T 36624-2018定義的SM4密鑰封裝算法，提供更高的安全性能

芯來(lái)科技為HSM解決方案提供功能完整豐富的上位機(jī)工具(NSTools)：

該上位機(jī)工具提供兩大功能，幫助客戶(hù)更便捷的使用HSM方案：

固件打包功能：

支持兩級(jí)鏡像的打包，多級(jí)密鑰生成

根據(jù)UI界面的配置，生成固件頭，加密固件，計(jì)算固件摘要和簽名，生成打包后二進(jìn)制文件

生成eFuse配置文件

燒寫(xiě)功能：

DFU：燒寫(xiě)或者擦除Nor Flash指定某個(gè)扇區(qū)以及整片，可以實(shí)現(xiàn)在線(xiàn)更新固件

eFuse燒寫(xiě)：?jiǎn)蝏it或者單word燒寫(xiě)，根據(jù)生成或者指定的eFuse配置文件進(jìn)行批量燒寫(xiě)

除了上述功能以外，芯來(lái)HSM解決方案還支持其它六大安全特性： 安全存儲(chǔ)

支持flash數(shù)據(jù)通路上的on-the-fly硬件流解密

密鑰銷(xiāo)毀

支持備份密鑰

支持密鑰銷(xiāo)毀

防止代碼回滾

支持固件版本管理

鎖定軟件bootloader更新

支持限制軟件bootloader，提高安全性；

生命周期管理

開(kāi)發(fā)模式

量產(chǎn)模式

支持備份鏡像，支持多種加解密算法

信息安全的保護(hù)是當(dāng)下電子產(chǎn)業(yè)必不可少的元素。RISC-V作為開(kāi)放標(biāo)準(zhǔn)的、可擴(kuò)展的指令集能夠進(jìn)一步提高了HSM子系統(tǒng)的靈活性以及高度可定制性，同時(shí)為國(guó)產(chǎn)自主提供了更穩(wěn)定的基礎(chǔ)。芯來(lái)科技背靠中國(guó)本土市場(chǎng)，將不斷完善以芯來(lái)RISC-V CPU為核心的HSM安全方案特性，致力于打造完整的信息安全解決方案，配合行業(yè)的演進(jìn)以及發(fā)展趨勢(shì)，目前HSM安全方案已經(jīng)落地，并且正式進(jìn)入了商用階段。

關(guān)于芯來(lái)科技 芯來(lái)科技成立于2018年，一直專(zhuān)注于RISC-V CPU IP及相應(yīng)平臺(tái)方案的研發(fā)，是本土RISC-V領(lǐng)域的代表性企業(yè)。

芯來(lái)科技從零開(kāi)始，堅(jiān)持自研，打造了N/U、NX/UX四大通用CPU IP產(chǎn)品線(xiàn)和NS、NA、NI三個(gè)專(zhuān)用CPU IP產(chǎn)品線(xiàn)。其中：

* N/U(支持SV32 MMU）是32位架構(gòu)，主要用于邊緣計(jì)算、低功耗和IoT場(chǎng)景；

* NX/UX（支持SV39和SV48 MMU）是64位架構(gòu)，主要用于數(shù)據(jù)中心、網(wǎng)絡(luò)安全、存儲(chǔ)等高性能應(yīng)用場(chǎng)景；

* NS（Security）面向支付等高安全場(chǎng)景；

* NA（Automotive）面向功能安全汽車(chē)電子場(chǎng)景；

* NI（Intelligence）面向AI等高性能計(jì)算場(chǎng)景。

目前已有超過(guò)200家國(guó)內(nèi)外正式授權(quán)客戶(hù)使用了芯來(lái)科技的RISC-V CPU IP，遍及AI、汽車(chē)電子、5G通信、網(wǎng)絡(luò)安全、存儲(chǔ)、工業(yè)控制、MCU、IoT等多個(gè)領(lǐng)域。



審核編輯：劉清