芯来科技正式发布HSM安全子系统方案，进一步拓展RISC-V应用领域

2024-03-11 -- 本土RISC-V CPU IP领军企业——芯来科技正式发布基于RISC-V处理器的HSM子系统解决方案，提供专业有效的信息安全保护以及加解密功能。

随着通信和网络的不断进步与发展，高速的信息传递和设备互联已经成为了必然的趋势，这对于信息安全保障提出了更高的要求，防止信息泄露的需求与日俱增，对于芯片的安全防护能力是极大的挑战，系统设计亟需完整的安全解决方案。

此次芯来科技发布的HSM子系统，作为针对信息安全的完整解决方案，旨在帮助各类场景对于芯片层面信息安全的需求。HSM是硬件安全模块(Hardware Security Module)的简称。HSM通过验签和加解密等功能来保护系统认证所需要的密钥和敏感数据，同时可以为在线升级、固件升级等提供安全保护，以确保传输消息和数据的机密性和可靠性。

加解密和验签等功能都依赖于较为复杂的算法，软件方案的效率较低，会影响系统整体的性能。专用于加解密和敏感数据管理的HSM硬件加速模块可以在提高运算的效率的同时提供强有力的保护。目前在汽车电子领域，HSM已经成为了必不可少的模块，且拥有用于汽车电子的特定标准，HSM通过其自己的处理器核心来执行汽车应用场景所需的所有IT安全功能。芯来科技的HSM模块已经可应用于汽车电子、网络传输、视觉安防、工业控制等领域。

芯来科技提供与Host系统紧耦合的HSM子系统，主要包含控制、通信、加解密等部分核心模块：

• 芯来自研的RISC-V CPU：可根据具体需求选择N300（普通系统）、NS300（安全防护更高）以及NA300（汽车电子）
• MAILBOX：HOST访问HSM内部资源的唯一通道
• EFUSE：密钥等信息安全存储
• BROM：HSM第一级BootLoader
• CRYP：对称加解密模块
• ACRYP：非对称加解密模块
• HASH：哈希算法模块
• TRNG：真随机数生成模块

芯来的HSM模块提供完整的安全启动流程，安全启动中包含两级验证和加载启动，分别为芯片级和系统级两个层级，对应芯片厂商和系统厂商，每一级厂商都可以拥有自己的密钥对。

芯片厂商提供BootROM和一级Loader(NSBS固件)，处于HSM系统中。芯片厂商的公钥用于验签一级Loader(NSBS固件)，而系统厂商的公钥用于验签HOST系统的固件程序，软件启动流程如下图所示：

NSBS模块除了提供安全启动以外，还可以通过MAILBOX给HOST系统提供运行时的安全服务，包括：

• 密钥管理
• 加解密运算
• 哈希计算
• eFuse烧写
• 密钥生成

HSM Secure Boot支持12种安全启动组合，支持动态选择：

Secure Boot支持全流程系统仿真：

• 提供模版配置文件，一键加密打包脚本以及生成相配套的eFuse初始化文件
• 支持两级安全启动全流程仿真

Secure Boot提供完整的FPGA测试环境：

• FPGA环境下支持和仿真环境相同的原始固件
• 提供功能完善的上位机工具，支持生成并烧写eFuse配置文件和打包原始固件，不需要额外的烧写工具

芯来的HSM提供非对称认证和对称加解密解决方案：

• 非对称认证，主要用于验签：

  • 芯片厂商和系统厂商拥有各自独立的密钥对；

  • 支持ED25519, RSA2048/4096以及国密SM2验签算法

• 对称加解密，主要用于固件加解密

  • 芯片厂商和系统厂商各自拥有根密钥

  • 支持AES和国密SM4加解密算法

  • 支持RFC3394定义的AES以及GB/T 36624-2018定义的SM4密钥封装算法，提供更高的安全性能

芯来科技为HSM解决方案提供功能完整丰富的上位机工具(NSTools)：

该上位机工具提供两大功能，帮助客户更便捷的使用HSM方案：

• 固件打包功能：

  • 支持两级镜像的打包，多级密钥生成

  • 根据UI界面的配置，生成固件头，加密固件，计算固件摘要和签名，生成打包后二进制文件

  • 生成eFuse配置文件

• 烧写功能：

  • DFU：烧写或者擦除Nor Flash指定某个扇区以及整片，可以实现在线更新固件

  • eFuse烧写：单bit或者单word烧写，根据生成或者指定的eFuse配置文件进行批量烧写

除了上述功能以外，芯来HSM解决方案还支持其它六大安全特性：

• 安全存储

  • 支持flash数据通路上的on-the-fly硬件流解密

• ​密钥销毁

  • 支持备份密钥

  • 支持密钥销毁

• 防止代码回滚

  • 支持固件版本管理

• ​锁定软件bootloader更新

  • 支持限制软件bootloader，提高安全性；

• 生命周期管理

  • 开发模式

  • 量产模式

• 支持备份镜像，支持多种加解密算法

信息安全的保护是当下电子产业必不可少的元素。RISC-V作为开放标准的、可扩展的指令集能够进一步提高了HSM子系统的灵活性以及高度可定制性，同时为国产自主提供了更稳定的基础。芯来科技背靠中国本土市场，将不断完善以芯来RISC-V CPU为核心的HSM安全方案特性，致力于打造完整的信息安全解决方案，配合行业的演进以及发展趋势，目前HSM安全方案已经落地，并且正式进入了商用阶段。

关于芯来科技

芯来科技成立于2018年，一直专注于RISC-V CPU IP及相应平台方案的研发，是本土RISC-V领域的代表性企业。

芯来科技从零开始，坚持自研，打造了N/U、NX/UX四大通用CPU IP产品线和NS、NA、NI三个专用CPU IP产品线。其中：

• N/U(支持SV32 MMU）是32位架构，主要用于边缘计算、低功耗和IoT场景；
• NX/UX（支持SV39和SV48 MMU）是64位架构，主要用于数据中心、网络安全、存储等高性能应用场景；
• NS（Security）面向支付等高安全场景；
• NA（Automotive）面向功能安全汽车电子场景；
• NI（Intelligence）面向AI等高性能计算场景。

目前已有超过200家国内外正式授权客户使用了芯来科技的RISC-V CPU IP，遍及AI、汽车电子、5G通信、网络安全、存储、工业控制、MCU、IoT等多个领域。

更多详情访问：www.nucleisys.com