摘要：直到最近，许多成本敏感型市场的供应商都只提供最低限度的安全保护。更糟糕的是，他们经常对自己拥有的任何安全保护措施秘而不宣。当发现漏洞时，他们很少与他人分享信息，事实证明这种做法既短视又极其低效。要完全保护设备或系统，需要精心规划，而由于新功能是在设计周期的后期

本文由半导体产业纵横（ID：ICVIEWS）编译自semiengineering

更多的关注、开放性以及工具和技术的跨市场应用开始产生影响。

由于更好的工具、新标准和方法的实施，以及过去很少或根本没有互动的不同细分市场之间协作和沟通水平的提高，各种物联网和边缘设备的安全性开始改善。

直到最近，许多成本敏感型市场的供应商都只提供最低限度的安全保护。更糟糕的是，他们经常对自己拥有的任何安全保护措施秘而不宣。当发现漏洞时，他们很少与他人分享信息，事实证明这种做法既短视又极其低效。要完全保护设备或系统，需要精心规划，而由于新功能是在设计周期的后期添加到设备中，因此这一挑战变得更加困难。相比之下，黑客只需找到一个漏洞并想出一种利用它的方法，然后就可以将其出售给其他黑客。

这使得科技公司处于非常不利的地位。减少漏洞的最佳方法是分享有关漏洞的信息——最新攻击的具体目标是什么——并将这些知识纳入安全培训，以便设计团队能够将安全功能和安全弹性融入当前和未来的产品中。好消息是，这个过程正在顺利进行中。

这些努力仍然无法消除网络攻击，因为只要投入足够的努力和资源，任何电子设备或系统都可能被黑客入侵。目前，联网设备数量估计在 160 亿到 180 亿之间，而且未来还会有更多，因此似乎并没有取得多大进展。当设备连接到互联网时，网络攻击变得更加容易，这通常会为攻击连接到同一网络的其他设备提供切入点。此外，安全方法和专业知识继续线性改进，而可能的攻击媒介和潜在交互的数量则呈指数级增长。

但真正让情况发生巨大变化的是，人们越来越认识到，不同市场的攻击媒介往往相同，一个市场的经验可以应用到另一个市场。例如，英飞凌多年来一直在开发信用卡安全芯片。变化的是，它已经开始将一些相同的技术应用于汽车控制器芯片。

英飞凌汽车美洲市场营销副总裁 Bill Stewart 表示：“我们目前将大量消费者安全技术应用到汽车芯片中，因为汽车芯片在很多领域都更为先进。这可能涉及消费者方面非常敏感的系统，但所有这些系统面临的威胁和风险都是一样的。”

其他供应商也采取了类似的措施，总体结果是积极的。Rambus 硅 IP 产品管理高级总监 Scott Best 表示：“你需要了解对手的能力与所关注微电子器件的保护程度之间的差距——这类微电子器件中存在着一些有价值的机密或私人信息。图表上这两条线之间的距离是恒定的。对手已经变得更强了，但主流芯片也是如此。针对所关注芯片的平均对抗措施数量是不错的。10 年前情况要糟糕得多，而 10 年后情况会好得多。他们不能再以以前的方式进行攻击。”

新的协议，例如用于物联网设备的Matter、汽车领域的ISO 21434、信息安全管理系统的ISO 27001以及 Arm 的PSA下的认证，也开始在不同市场之间架起安全桥梁。对于物联网和边缘设备来说尤其如此，因为网络上最薄弱的环节通常是明显的切入点。为此，拜登政府最终确定了一项针对联网无线设备的自愿性美国网络信任标志标签计划，该计划基本上是能源效率 ENERGY STAR 计划的安全等同物。此外，越来越多的经过验证的安全措施中还添加了新技术和资源，例如更复杂的密码管理、信任根和物理不可克隆功能 (PUF)。

此外，现在许多设备都有多步身份验证选项，而不仅仅是一两步。Synaptics 智能传感部门高级副总裁兼总经理 Satish Ganesan 表示：“指纹传感器是生物识别技术，从安全角度而言，它们是最重要的信息，但我们已经远远超越了这一点。我们一直在做的事情之一是创建一个具有安全功能的 DMZ（非军事区），这样它就不会接触操作系统，从而避免被黑客入侵。没有直接暴露，也没有直接的黑客链接。在我们的嵌入式处理空间中，我们现在有必须为特定数据实施的信任区。最重要的是，我们为您发送的内容增加了安全性。您如何确保没有中间人攻击或其他类似攻击？您将看到该领域越来越多的改进。安全性是我们工作中不可或缺的一部分，必须存在。”

用户对于如何保护信息也变得更加精明，将计算集中在家庭和企业网络上，以便在虚拟专用网络上将重要数据与非重要数据分开。

“你确实看到了这种缩减，” Synopsys科学家 Mike Borza 表示。“领域计算和汽车非常类似。你将使用功能更强大的集中式处理器并将数据带入其中。我们看到，无论边缘计算环境如何，与集中式计算之间都存在着不断的推拉。我们已经看到了向云端的转变，这实际上是在数据中心争取时间来开展工作，尽管过去 25 年来，公司已经拥有了大部分自己的计算能力。适当的答案通常涉及在云或你不拥有的数据中心中完成一些工作，而更重要的事情则留在家附近。你必须相信该数据中心的运营商在安全方面确实很擅长——他们确实非常擅长安全——但由于他们是如此大的目标，所以你会遭遇这些重大漏洞。”

Borza 指出，这种计算在边缘和云端、边缘和数据中心之间来回移动的推拉关系最终将会稳定在有足够安全性的地方。

这里的目标是让攻击者入侵系统变得毫无成本。借助软件定义汽车等新架构，可以比过去更快地准备好补丁，从而降低攻击的利润。因此，容易攻击的目标数量正在减少。

现在的关键是确定哪些系统必须保持安全并需要密切监控，同时对其他所有系统进行现实的风险评估。这是第一步，通常安全专家可以制定计划来满足这些评估。但安全性也需要根据新的威胁模型不断重新评估，因为今天被认为足够的技术在未来可能不再适用。

Cadence战略与新业务集团总监 Rob Knoth 表示：“你会涉足后量子密码学等领域。这些东西很容易让人感到害怕，但我觉得从中可以得到启发，‘这是一个非常艰难的挑战，我们过去已经解决了很多非常艰难的挑战。这只是下一个。’我们齐心协力，作为一个集体团队工作，而不是像在一家公司里各自为政，做一件事，这就是我们解决所有这些真正困难问题的方式。这就是未来的食粮。”

这种团队合作方式在将弱点设计到设备之前也能非常有效地暴露弱点。Rambus 的 Best 表示：“我们看到过关于逻辑锁定技术的相互矛盾的论文，他们说你无法判断电路在做什么，因为你没有使电路工作的配置向量。但后来有人发表了一篇论文，说‘我们建立了一个模型，它没有对整个向量空间进行强力计算，但它做出了一些相当不错的猜测，因为很多向量都是无稽之谈。我们可以快速排除它可能是什么或不可能是什么，我们用这个模型花了 30 秒就找出了锁定向量是什么。’有些 AI 工具可以提高单个工程师在 EDA 工具流程中的效率。但也有 AI 工具可以帮助逆向工程师在类似级别的工具流程中逆向出你的芯片照片并找出创建该网络列表的 RTL。”

然而，虽然可以针对几乎任何攻击制定安全措施，但针对尚未成为主流的攻击制定对策则更加困难。

小芯片和多芯片组件的引入进一步从多方面使安全形势复杂化，要求系统提供更多的电力和其他资源、更好的供应链管理，以及对设计、集成和后制造操作的各个方面进行更持续的监控。

“一旦你有了芯片，你就需要在每个芯片中建立信任根，” Imagination Technologies技术研究员 Dan Wilkinson 说道。“你需要一个协议让这些信任根彼此通信和验证，然后你需要定期重新运行该协议，这样你就不会只在启动时执行此操作。如果你在威胁模型中允许这样的想法，即如果你启动时一切正常，那么稍后可能会发生一些事情来危害系统，那么你就必须定期重新建立系统凭据。如果你认为对芯片到芯片链接的攻击属于你的威胁模型范围，那么现在你至少需要验证这些芯片链接，如果你担心机密性和不完整性，还需要加密它们。”

从好的方面来看，小芯片提供了更多机会来隔离设备内的问题。“多小芯片系统与多节点数据中心系统并没有太大区别，应该能够使用与保护多节点数据中心系统相同的分布式安全机制来保护，”威尔金森说。

目前尚不清楚的是芯片和设备寿命延长、使用增加和持续高温导致的加速老化以及设备整个生命周期内持续的软件更新的影响。所有这些都需要权衡，而且并不总是清楚哪些是最佳选择。

Ansys首席产品经理 Suhail Saif 表示：“过去，所有的泄漏分析都是在硅片生产后进行的。现在整个系统都已定义好，因此您知道需要什么样的输入来触发设计，然后进行分析以确定它是否会泄露秘密特征。我们做得更早，因此您有时间做出反应并更改设计，实施对策以淡化这些特征中的噪声。缺点是，如果您的启动太早，您就无法确切了解必须处理的所有不同场景。这就是挑战所在。尽早进行的优势在于速度非常快，因此我们可以覆盖更多场景。”

如果设备需要长时间使用，例如在汽车中，这些权衡将变得更具挑战性。“五年或十年后，我在设计这款特定芯片时所涵盖的模式是否完全涵盖了由于老化效应而需要涵盖的所有场景？这方面没有历史记录，”Saif 说。“安全分析相当新。我看到很多客户和用户在过去几年开始这样做，但目前尚不清楚这是否会告诉我们设备在 8 年、10 年或 12 年后的表现如何。”

这对于需要实时监控的汽车等应用也极为重要。“没有安全保障，就没有安全，”英飞凌汽车执行副总裁兼首席销售官 Peter Schaefer 表示。“例如，使用基于模型的控制来管理电池单元意味着您可以观察即将发生的情况并采取相应措施，而不仅仅是运行电池的控制回路。这是一个很大的区别，它关系到整个电池系统的安全性。”

这种持续监控主要有两种方式。一种是监控芯片内部和外部各种总线和互连的流量。任何异常的网络流量峰值或本不该有的活动都可以被标记出来。这也可以在外部使用数字孪生技术进行监控，并利用云端巨大的计算和存储资源。

西门子 EDA硬件辅助验证副总裁兼总经理 Jean-Marie Brunet 表示：“在汽车领域，你必须让多个 SoC 相互通信，多个 ECU 相互通信。这是一个令人难以置信的同步模型，也是一个同步集成挑战，但它为你提供了可扩展性和对大量计算的访问，因为这从根本上来说是一个大量计算的平台环境。它也是为最终应用量身定制的。”

网络攻击的数量持续增加，但黑客越来越难以侵入物联网和边缘设备，而这些设备在过去被认为是容易攻击的猎物。现在需要更多时间、更多精力和更多资源，而且随着越来越多的公司公开分享有关攻击的信息，攻击将变得更加困难。但即使在汽车市场等保密领域，人们也重新开始关注如何首先防止攻击。

“从定义上讲，汽车对黑客非常敏感，”Cadence 汽车解决方案集团总监 Robert Schweiger 表示。“这就是为什么所有公司都在研究如何保护整个汽车的秘密武器，这样就没有人能够远程控制汽车并对汽车做一些非常奇怪的事情。这会破坏 OEM 的信誉。这就是为什么 OEM 把安全性放在首位，人们正在构建基于硬件的安全系统，而不仅仅是基于软件的安全系统。这是 SoC 的一部分，安全 IP 就位于其中，许多工作都是在上面完成的。因此，您不仅拥有一个安全 IP，而是一个多层安全策略，保护网络、保护芯片、保护软件，因为您需要各种安全措施来真正保护汽车。”

在其他市场，这些集体努力和转变的重要性在很大程度上是渐进的，因此很容易忽视正在发生的任何进展。但来自实地的报告描绘出一种比过去任何时候都更加乐观的态度，当时警告经常被忽视，网络攻击是没人愿意谈论的事情。现在每个人都在谈论它，至少在某种程度上是这样，这种开放性开始产生影响。

*声明：本文系原作者创作。文章内容系其个人观点，我方转载仅为分享与讨论，不代表我方赞成或认同，如有异议，请联系后台。

来源：半导体产业纵横