信息化觀察網(wǎng)

本文來自微信公眾號“半導(dǎo)體行業(yè)觀察”，作者/杜芹。

在當(dāng)今數(shù)字化的時代，云計算的興起、物聯(lián)網(wǎng)設(shè)備的普及以及人工智能的使用，共同推動了全球數(shù)據(jù)量的爆炸式增長。據(jù)Statista預(yù)測，到2025年，全球每年將產(chǎn)生79 zettabytes的數(shù)據(jù)。這是什么概念呢？僅1 zettabyte的數(shù)據(jù)容量，就足以存儲高達300億部電影！為了跟上數(shù)據(jù)的快速增長，技術(shù)設(shè)計人員正在積極創(chuàng)新接口和存儲技術(shù)，以支持更高的容量和性能。

在這樣的背景下，芯片接口的角色變得愈發(fā)重要。作為芯片與外部世界溝通的橋梁，它不僅是芯片的核心組成部分，也是整個數(shù)據(jù)處理和通信過程的關(guān)鍵環(huán)節(jié)。隨著需求的不斷升級，我們見證了高速芯片接口技術(shù)的快速發(fā)展，主要表現(xiàn)在以下幾個方面：首先，云計算系統(tǒng)對更快的數(shù)據(jù)傳輸速率的需求促成了PCIe 5.0和PCIe 6.0接口的發(fā)展，它們正在逐漸替代傳統(tǒng)的PCIe 4.0接口；其次，存儲設(shè)備和固態(tài)硬盤（SSD）正逐步轉(zhuǎn)向采用PCIe 5.0/6.0接口；最后，數(shù)據(jù)中心也在向CXL 2.0接口過渡，以適應(yīng)日益增長的數(shù)據(jù)處理需求。

然而，傳統(tǒng)的芯片接口設(shè)計側(cè)重性能和功耗優(yōu)化，而忽視了安全性問題。近年來，系統(tǒng)復(fù)雜度不斷提高，多芯片設(shè)計日益普及，其攻擊面也隨之?dāng)U大，硬件可能成為不法分子攻擊的新目標(biāo)。加之黑客的攻擊手段不斷升級，芯片接口安全問題已成為芯片設(shè)計和應(yīng)用中亟待解決的重大挑戰(zhàn)。

芯片安全新趨勢：聚焦SoC接口安全

數(shù)據(jù)安全是推動互聯(lián)世界發(fā)展的基石，也已成為芯片設(shè)計師和標(biāo)準(zhǔn)制定機構(gòu)的首要焦點。在復(fù)雜的SoC設(shè)計中，眾多關(guān)鍵接口如DDR、PCIe、CXL、以太網(wǎng)、MIPI、USB、UFS、eMMC、HDMI和DisplayPort，不僅是數(shù)據(jù)傳輸?shù)臉屑~，也可能成為攻擊者利用的漏洞。因此，強化這些接口的安全性是提升SoC安全性的關(guān)鍵。

2020年，在PCIe和CXL標(biāo)準(zhǔn)中引入安全功能標(biāo)志著對安全IP需求的顯著增長，尤其在高性能計算應(yīng)用領(lǐng)域更是如此。同時，自動駕駛汽車的興起和汽車電氣化所帶來的安全挑戰(zhàn)促使相關(guān)網(wǎng)絡(luò)、ADAS攝像頭/傳感器連接和顯示器規(guī)范進行適應(yīng)性調(diào)整以應(yīng)對這些新風(fēng)險。

保障數(shù)據(jù)安全，就如同構(gòu)筑一道堅不可摧的防線。如果將SoC比作是一個城堡，那么這些眾多的接口就是城堡的眾多“大門”。設(shè)計師們在SoC設(shè)計階段就必須采取策略，保護這些“大門”，通過在它們上實施高級加密技術(shù)，仿佛為這些門加上了一層隱形的保護盾，即使遭遇不法分子的觸碰，也難以被突破。這種方法對于保障整個系統(tǒng)的安全至關(guān)重要。

SoC有許多需要安全保護的接口

安全接口有兩個必要的主要組成部分：第一部分是身份驗證和密鑰管理，就像是檢查進出門的人是不是有鑰匙的人；第二部分是完整性和數(shù)據(jù)加密(IDE)，即在數(shù)據(jù)傳輸過程中保護數(shù)據(jù)不被篡改和竊取，就像是確保運送的東西在路上不被人偷看或偷走。這種保護不僅要保證數(shù)據(jù)安全，還要保證數(shù)據(jù)傳輸快低延遲。根據(jù)不同的門（接口）的類型，保護的方式和位置也不一樣。比如PCIe和CXL這兩種接口，它們的安全措施有點像，都需要身份驗證和密鑰管理，還要保證數(shù)據(jù)在傳輸過程中的安全。

PCIe和CXL安全系統(tǒng)級視圖

除此以外，SoC設(shè)計人員在確保多種類型接口安全時，還需要考慮到額外的復(fù)雜性，因為各接口的標(biāo)準(zhǔn)日新月異。這些標(biāo)準(zhǔn)需要在不同層面上添加，這意味著協(xié)議可以在系統(tǒng)層面、控制器內(nèi)部、物理層內(nèi)部或物理層和控制器內(nèi)部實施。

就算做到了遵守所有的規(guī)則和標(biāo)準(zhǔn)，設(shè)計師們還得確保整個系統(tǒng)都是安全的。安全性不僅僅是加密和解密那么簡單，如果重要的配置信息或者鑰匙泄露了，整個系統(tǒng)的安全都會受到威脅。

隨著技術(shù)進步，威脅和攻擊方式也在持續(xù)變化，這要求全球范圍內(nèi)（無論是特定地區(qū)還是全球?qū)用妫┎捎酶涌煽?、具有更強韌性的安全解決方案。此外，量子計算等新興技術(shù)的出現(xiàn)將能夠破解當(dāng)前所有公鑰基礎(chǔ)設(shè)施算法，這意味著在未來5至10年乃至更長時間內(nèi)，標(biāo)準(zhǔn)需要做出調(diào)整以納入量子安全算法。

新思科技領(lǐng)跑安全接口創(chuàng)新，

發(fā)布最廣泛的安全接口IP

為了支持SoC設(shè)計人員在高性能計算（HPC）、移動通訊、汽車技術(shù)和物聯(lián)網(wǎng)（IoT）等領(lǐng)域迅速實現(xiàn)安全設(shè)計，新思科技緊隨高速接口技術(shù)的發(fā)展趨勢，推出了一系列安全接口IP解決方案。

（1）具有完整性和數(shù)據(jù)加密（IDE）功能的安全PCIe/CXL接口

首先是，隨著數(shù)據(jù)中心、網(wǎng)絡(luò)和移動設(shè)備對高性能互連的需求不斷增長，PCIe和CXL已成為高速互聯(lián)關(guān)鍵接口技術(shù)。為了保障數(shù)據(jù)安全，從2020年底的PCIe 5.0和CXL 2.0開始，到最新一代的PCIe 6.0和CXL 3.0，PCIe和CXL標(biāo)準(zhǔn)均引入了IDE安全功能，可防止數(shù)據(jù)篡改和鏈路物理攻擊。

新思科技為PCIe和CXL提供經(jīng)過硅驗證的IP解決方案，具有高吞吐量、低延遲（CXL低至0周期）和高能效的特點，包括具有IDE安全性的控制器、物理層器件和驗證IP。IDE安全模塊采用適用于PCIe/CXL的新思科技控制器IP進行設(shè)計和驗證，可加快SoC上市時間，同時提供適應(yīng)設(shè)計特定用例所需的可配置性。目前，適用于PCIe 5.0/6.0或CXL 2.0的新思科技IDE安全模塊IP已由超大規(guī)模云提供商部署。

新思科技PCIe IDE安全模塊框圖以及與PCIe控制器的集成

新思科技CXL IDE安全模塊框圖以及與CXL控制器的集成

（2）具有內(nèi)聯(lián)存儲器加密（IME）功能的安全DDR/LPDDR接口

隨著數(shù)據(jù)安全需求的不斷增長，內(nèi)存接口的安全防護也變得尤為重要。類似于發(fā)生在PCIe和CXL接口的完整性和數(shù)據(jù)加密(IDE)安全性措施，在DDR和LPDDR等內(nèi)存接口中也看到了類似的發(fā)展軌跡。

一種常見的做法是將數(shù)據(jù)在發(fā)送到DDR控制器之前進行加密。然而，這種方法會導(dǎo)致性能下降和功耗增加，因為加密/解密操作需要額外的計算和存儲資源。

新思科技所推出的具有內(nèi)嵌存儲器加密（IME）功能的安全DDR/LPDDR接口，其關(guān)鍵之道在于將加密/解密緊密耦合在DDR或LPDDR控制器內(nèi)部，從而實現(xiàn)最大的內(nèi)存效率和最低的總體延遲。

它具有以下優(yōu)勢：

它是一種基于AES-XTS算法的符合標(biāo)準(zhǔn)、可認(rèn)證的開箱即用解決方案，可為內(nèi)存控制器（包括新思科技Secure DDR5/4、LPDDR5X/5/4X或LPDDR5）提供高效吞吐量。

●支持AES-XTS的所有密鑰大小，包括128位、256位密鑰，并支持可擴展的128位、256位和512位數(shù)據(jù)路徑。

●IME安全模塊通過按地址或邊帶密鑰選擇為您提供按區(qū)域的內(nèi)存保護，延遲非常低，并且可以針對具有最佳PPA的特定應(yīng)用進行調(diào)整。

●新思科技Secure DDR5/4和LPDDR5X/5/4X/4控制器內(nèi)部啟用了內(nèi)存加密，可節(jié)省用戶的性能預(yù)算以更好地使用，并提供業(yè)界最低的延遲。

除了安全PCIe/CXL、DDR/LPDDR接口之外，新思科技還為最廣泛使用的協(xié)議提供完整的符合標(biāo)準(zhǔn)的安全接口解決方案，如下圖所示，包括采用介質(zhì)訪問控制安全（MACsec）的安全以太網(wǎng)接口、具有高清內(nèi)容保護（HDCP v2.3）的安全HDMI和DisplayPort接口、具有加密和認(rèn)證功能的安全USB接口、利用芯片到芯片接口加密確保多芯片系統(tǒng)安全、端到端安全傳輸?shù)陌踩玀IPI接口、具有內(nèi)聯(lián)加密和高級重放保護內(nèi)存塊（RPMB）功能的安全UFS和eMMC接口。這些安全接口提供了預(yù)先驗證的解決方案，并與控制器集成，以滿足最廣泛使用的協(xié)議標(biāo)準(zhǔn)，同時兼顧性能、延遲和面積等關(guān)鍵指標(biāo)。這些解決方案將幫助設(shè)計人員降低風(fēng)險，加快產(chǎn)品上市時間。

新思科技為最廣泛使用的協(xié)議提供安全接口

結(jié)語

綜上所述，將安全性整合進SoC設(shè)計是一項必不可少的任務(wù)，并將持續(xù)受到互聯(lián)應(yīng)用、法律法規(guī)及標(biāo)準(zhǔn)演變的影響。所有接口，包括MIPI、VESA和UCIe，都在更加積極地采納安全措施。使用新思科技的安全接口IP解決方案，有助于抵御互聯(lián)設(shè)備中不斷演變的各種威脅，例如盜竊、篡改、側(cè)信道攻擊、惡意軟件和數(shù)據(jù)泄露，幫助設(shè)計人員在互聯(lián)時代構(gòu)建更加可靠、可信的系統(tǒng)。