不容忽視的芯片接口安全

2024-02-01 15:04

在當今數字化的時代，云計算的興起、物聯網設備的普及以及人工智能的使用，共同推動了全球數據量的爆炸式增長。據Statista預測，到2025年，全球每年將產生79 zettabytes的數據。這是什么概念呢？僅1 zettabyte的數據容量，就足以存儲高達300億部電影！為了跟上數據的快速增長，技術設計人員正在積極創新接口和存儲技術，以支持更高的容量和性能。

在這樣的背景下，芯片接口的角色變得愈發重要。作為芯片與外部世界溝通的橋梁，它不僅是芯片的核心組成部分，也是整個數據處理和通信過程的關鍵環節。隨著需求的不斷升級，我們見證了高速芯片接口技術的快速發展，主要表現在以下幾個方面：首先，云計算系統對更快的數據傳輸速率的需求促成了PCIe 5.0和PCIe 6.0接口的發展，它們正在逐漸替代傳統的PCIe 4.0接口；其次，存儲設備和固態硬盤（SSD）正逐步轉向采用PCIe 5.0/6.0接口；最后，數據中心也在向CXL 2.0接口過渡，以適應日益增長的數據處理需求。

然而，傳統的芯片接口設計側重性能和功耗優化，而忽視了安全性問題。近年來，系統復雜度不斷提高，多芯片設計日益普及，其攻擊面也隨之擴大，硬件可能成為不法分子攻擊的新目標。加之黑客的攻擊手段不斷升級，芯片接口安全問題已成為芯片設計和應用中亟待解決的重大挑戰。

芯片安全新趨勢：聚焦SoC接口安全

數據安全是推動互聯世界發展的基石，也已成為芯片設計師和標準制定機構的首要焦點。在復雜的SoC設計中，眾多關鍵接口如DDR、PCIe、CXL、以太網、MIPI、USB、UFS、eMMC、HDMI和DisplayPort，不僅是數據傳輸的樞紐，也可能成為攻擊者利用的漏洞。因此，強化這些接口的安全性是提升 SoC 安全性的關鍵。

2020年，在PCIe和CXL標準中引入安全功能標志著對安全IP需求的顯著增長，尤其在高性能計算應用領域更是如此。同時，自動駕駛汽車的興起和汽車電氣化所帶來的安全挑戰促使相關網絡、ADAS攝像頭/傳感器連接和顯示器規范進行適應性調整以應對這些新風險。

保障數據安全，就如同構筑一道堅不可摧的防線。如果將SoC比作是一個城堡，那么這些眾多的接口就是城堡的眾多“大門”。設計師們在SoC設計階段就必須采取策略，保護這些“大門”，通過在它們上實施高級加密技術，仿佛為這些門加上了一層隱形的保護盾，即使遭遇不法分子的觸碰，也難以被突破。這種方法對于保障整個系統的安全至關重要。

SoC有許多需要安全保護的接口

安全接口有兩個必要的主要組成部分：第一部分是身份驗證和密鑰管理，就像是檢查進出門的人是不是有鑰匙的人；第二部分是完整性和數據加密 (IDE)，即在數據傳輸過程中保護數據不被篡改和竊取，就像是確保運送的東西在路上不被人偷看或偷走。這種保護不僅要保證數據安全，還要保證數據傳輸快低延遲。根據不同的門（接口）的類型，保護的方式和位置也不一樣。比如PCIe和CXL這兩種接口，它們的安全措施有點像，都需要身份驗證和密鑰管理，還要保證數據在傳輸過程中的安全。

PCIe和CXL安全系統級視圖

除此以外，SoC設計人員在確保多種類型接口安全時，還需要考慮到額外的復雜性，因為各接口的標準日新月異。這些標準需要在不同層面上添加，這意味著協議可以在系統層面、控制器內部、物理層內部或物理層和控制器內部實施。

就算做到了遵守所有的規則和標準，設計師們還得確保整個系統都是安全的。安全性不僅僅是加密和解密那么簡單，如果重要的配置信息或者鑰匙泄露了，整個系統的安全都會受到威脅。

隨著技術進步，威脅和攻擊方式也在持續變化，這要求全球范圍內（無論是特定地區還是全球層面）采用更加可靠、具有更強韌性的安全解決方案。此外，量子計算等新興技術的出現將能夠破解當前所有公鑰基礎設施算法，這意味著在未來5至10年乃至更長時間內，標準需要做出調整以納入量子安全算法。

新思科技領跑安全接口創新，

發布最廣泛的安全接口IP

為了支持SoC設計人員在高性能計算（HPC）、移動通訊、汽車技術和物聯網（IoT）等領域迅速實現安全設計，新思科技緊隨高速接口技術的發展趨勢，推出了一系列安全接口IP解決方案。

（1）具有完整性和數據加密（IDE）功能的安全PCIe/CXL接口

首先是，隨著數據中心、網絡和移動設備對高性能互連的需求不斷增長，PCIe和CXL已成為高速互聯關鍵接口技術。為了保障數據安全，從2020年底的PCIe 5.0和CXL 2.0開始，到最新一代的PCIe 6.0和CXL 3.0，PCIe和CXL標準均引入了IDE安全功能，可防止數據篡改和鏈路物理攻擊。

新思科技為PCIe和CXL提供經過硅驗證的IP解決方案，具有高吞吐量、低延遲（CXL低至0周期）和高能效的特點，包括具有IDE安全性的控制器、物理層器件和驗證IP。IDE安全模塊采用適用于PCIe/CXL的新思科技控制器IP進行設計和驗證，可加快SoC上市時間，同時提供適應設計特定用例所需的可配置性。目前，適用于PCIe 5.0/6.0或CXL 2.0的新思科技IDE安全模塊IP已由超大規模云提供商部署。

新思科技PCIe IDE安全模塊框圖以及與PCIe控制器的集成

新思科技CXL IDE安全模塊框圖以及與CXL控制器的集成

（2）具有內聯存儲器加密（IME）功能的安全DDR/LPDDR接口

隨著數據安全需求的不斷增長，內存接口的安全防護也變得尤為重要。類似于發生在PCIe和CXL接口的完整性和數據加密 (IDE) 安全性措施，在DDR和 LPDDR等內存接口中也看到了類似的發展軌跡。

一種常見的做法是將數據在發送到DDR控制器之前進行加密。然而，這種方法會導致性能下降和功耗增加，因為加密/解密操作需要額外的計算和存儲資源。

新思科技所推出的具有內嵌存儲器加密（IME）功能的安全DDR/LPDDR接口，其關鍵之道在于將加密/解密緊密耦合在DDR或LPDDR控制器內部，從而實現最大的內存效率和最低的總體延遲。

它具有以下優勢：

它是一種基于AES-XTS算法的符合標準、可認證的開箱即用解決方案，可為內存控制器（包括新思科技Secure DDR5/4、LPDDR5X/5/4X或 LPDDR5）提供高效吞吐量。

支持AES-XTS的所有密鑰大小，包括128 位、256位密鑰，并支持可擴展的128位、256位和512位數據路徑。

IME安全模塊通過按地址或邊帶密鑰選擇為您提供按區域的內存保護，延遲非常低，并且可以針對具有最佳PPA的特定應用進行調整。

新思科技Secure DDR5/4和LPDDR5X/5/4X/4控制器內部啟用了內存加密，可節省用戶的性能預算以更好地使用，并提供業界最低的延遲。

除了安全PCIe/CXL、DDR/LPDDR接口之外，新思科技還為最廣泛使用的協議提供完整的符合標準的安全接口解決方案，如下圖所示，包括采用介質訪問控制安全（MACsec）的安全以太網接口、具有高清內容保護（HDCP v2.3）的安全HDMI和DisplayPort接口、具有加密和認證功能的安全USB 接口、利用芯片到芯片接口加密確保多芯片系統安全、端到端安全傳輸的安全MIPI接口、具有內聯加密和高級重放保護內存塊（RPMB）功能的安全UFS和eMMC接口。這些安全接口提供了預先驗證的解決方案，并與控制器集成，以滿足最廣泛使用的協議標準，同時兼顧性能、延遲和面積等關鍵指標。這些解決方案將幫助設計人員降低風險，加快產品上市時間。