摘要：在一些市场，人们对芯片和系统安全性的担忧开始显现，这得益于汽车应用中安全性和保密性的重叠，以及算法和复杂系统在其他领域的价值不断增长。但如何以及何时实施这种安全性仍是一个未知数，其有效性也是如此。

其他市场采用的是各种各样通常无效的方法，但随着相关资产价值的增加，正在发生变化。

在一些市场，人们对芯片和系统安全性的担忧开始显现，这得益于汽车应用中安全性和保密性的重叠，以及算法和复杂系统在其他领域的价值不断增长。但如何以及何时实施这种安全性仍是一个未知数，其有效性也是如此。

原因与设计本身一样微妙，这使得开发具有足够一致性的工具和方法以在各种设计中有效变得困难。最后一刻的 ECO、专注于在日益异构的系统中最大化性能以及与不安全设备的日益连接，导致设计团队与安全最佳实践之间出现脱节。但在涉及安全或高价值资产的应用中，对安全性的重视正在增加，预计这种重视将蔓延到其他市场。

“如果你从事半导体设计，你真正关注的是降低功耗和面积以降低成本，”马里兰大学附属机构情报与安全应用研究实验室的研究员沃伦·萨维奇 (Warren Savage) 表示。“我希望向我的客户宣传产品的最高性能。安全性并不是设计人员面临的关键设计参数，因此，他们对威胁的认识和如何进行安全设计的知识非常缺乏。”

尽管强调一切都向左移动，但安全性仍不是其中的一部分。支持这一点的设计工具很少，部分原因是由于在整个设计完成之前确定如何保护整个设计极其困难，因此几乎不可能做到这一点。

“这是一个系统级问题，”萨维奇说。“IP 中有一些元素专注于此，例如信任根和其他与 IP 相关的东西。但你必须从系统层面来看待它，才能了解设备的安全基础。”

说服产品团队将安全性纳入半导体设计规范的挑战之一是，安全性通常被视为一项附加技术。西门子EDA汽车 IC 解决方案总监 Lee HarrISOn 表示：“附加组件通常被视为额外成本，在设计成本敏感型产品时，总是会努力降低成本。这可以通过删除包括安全性在内的附加功能和技术轻松实现。”

Harrison 指出，其他技术也出现了类似的演变，例如可测试性设计 (DFT)、电源管理和安全性。“在 21 世纪初期，在半导体设计中添加 DFT 引发了关于成本增加的争论，”他说。“这些争论已经逐渐淡出，因为 DFT 已经向左移动，成为任何设计不可或缺的一部分。因此，DFT 成本现在已包含在实际设计成本中。

尽管安全专家的说法与许多设计团队的做法存在分歧，但芯片还是要问世。设计团队面临着上市时间的压力，因为设计团队的规模跟不上复杂性，而首要任务是性能。安全性是这个过程的一部分，但根据其实施方式，它可能会降低性能。因此，设计人员不得不根据最终应用、风险因素以及是否需要在设计中强化安全性或是否可以通过软件补丁更新安全性（最省时、成本最低的方法）做出权衡。

汽车行业是个大例外。Rambus硅片安全产品高级总监 Scott Best表示，汽车行业正在做着英雄般的工作。“他们正在推动安全标准的重要性，这对任何将提供最终用于汽车子系统的微电子产品的人来说都是如此。ISO 有 ASIL B 和 ASIL D 标准。SESIP 规范解决了诸如防篡改之类的问题。几乎每个市场都远远落后于汽车行业，而汽车行业正在推动这些标准的进步。如果你要构建一个 IP 块或 SoC，并且以任何方式接触汽车设计，你就必须认真对待这些事情。忽视它是行不通的，这很好。”

鉴于车辆在使用过程中，乘客的安全始终处于危险之中，这意味着他们成为了大学实验室的目标，他们吹嘘自己直接侵入了该 ECU 系统，安装了一些恶意密钥，并能够让恶意软件一直运行在汽车中。“黑客可能会说，‘我们要关闭自动驾驶，然后撞车’，但不同汽车品牌之间最重要的区别之一就是品牌，”Best 说。“与其他行业相比，这是非常了不起的，品牌的安全问题可能是致命的。因此，任何与安全有关的东西，也就是微电子安全，在这个行业都会受到极其重视，因为它确实与乘客安全有关。是的，这非常重要，但同样重要的是公司的存在，这与他们的品牌和声誉息息相关。”

在汽车领域，安全性与保障之间的重叠非常明显，这就是为什么汽车行业比其他许多边缘应用更重视安全性的原因。“长期以来，汽车行业的安全性就像是鸵鸟心态，但这种情况已经逐渐消退，” Synopsys科学家 Mike Borza 表示。“人们明白，没有保障就没有真正的安全。他们明白，安全性是打造安全产品的基础。但它可能会被滥用于他人之用，这是一个真正的问题。因此，汽车行业已经认识到这一点，并采取切实行动，致力于让产品更安全。”

其他人也同意这一观点。Synaptics 汽车和显示器业务副总裁兼总经理 Vishal Shah 指出：“对汽车的网络攻击可能会影响安全，同样，设计不当或使用安全性不够的软件更新的安全相关功能也可能为黑客提供可乘之机。汽车制造商及其供应商面临的挑战是紧密集成各个部件，以便根据需要进行修改，但又不损害汽车或其任何部件的安全性。在汽车行业，安全性意味着您不希望未经身份验证的人驾驶汽车。我们的解决方案具有高水平的安全性。您无法利用它。这是一种完全加密的传输。这仍然允许我们利用它并更改我们这边的固件，但它是 SoC 和我们的解决方案之间的安全通道。这很大程度上依赖于 SoC，这是一个安全的区域大脑。”

不过，变化是意料之中的。“即将出台的全球法规提高了客户的意识，从而对客户产生了吸引力，”英飞凌密码和产品安全高级总监 Erik Wood 表示。“我们通过获得第三方实验室认证来向客户证明我们有能力遵守规定，这样我们就可以通过管理机构的第三方印章证明我们符合这些安全要求。然后，我们为每一种产品提供应用说明，说明‘如果您想要保持我们认证过的这款设备的安全级别，这里有配置和策略文件。这里就是您存放密钥的地方。这里就是您可以进行所有神奇操作的地方，这样您的设备就可以和最终 OEM 产品一样接受相同的合规性测试，从而也符合该要求。’因此，我们为他们预先做好了准备，让他们相信他们正在与值得信赖的合作伙伴合作。‘他们拥有管理机构的第三方认证，他们刚刚给了我一份应用说明，向我展示了如何在我的系统设计中复制这一点。’”

如果这还不够的话，资产价值的增加将推动芯片和系统设计的安全性。Wood 指出：“Meta、亚马逊、微软或谷歌创建机器学习模型并将其应用于其众多产品的成本高达六到七位数。”“现在，安全性突然间不仅仅是对高价值资产的内部保护，而且还是供应链制造的主题，OEM 不希望他们的合同制造商以未加密的方式访问机器学习模型，因此他们依赖我们利用我们的安全性来支持他们在合同制造中插入加密和解密密钥，这样他们就可以让合同制造商加密他们的机器学习模型。”

然而，这与为其他市场开发的一些边缘设备形成了鲜明对比。“许多安全措施都不够强大，不足以应对这些产品面临的风险和威胁，”Borza 说。“一个问题是，当这些东西被大规模接管并变成僵尸网络等时，拥有这些设备的人不一定受到影响。他们可能会受到影响，以至于他们的服务可用性可能会受到影响，但在某些情况下，他们可以访问比他们使用的更多的带宽，因此某人的边缘设备被接管并用作攻击中的机器人，虽然它对于拥有它的人来说仍然有用，但他们甚至不一定注意到或察觉到存在问题，所以在这种情况下，风险远远高于为阻止这种风险所付出的努力。这就是为什么有很多设备很容易被接管和收获。”

在某些情况下，一旦被黑客控制，恢复受到攻击的边缘设备是毫无意义的，因为软件本身相对较弱，并且几乎没有或根本没有底层硬件支持。

“在许多情况下，自动更新不会发生，或者配置不正确，”Borza 解释道。“这意味着让这些设备正常运行的唯一方法是将它们从互联网上移除。我们已经看到某些类型的设备被隔离，或者以特定方式收集的特定设备的某些流量被网络运营商过滤，这当然是不可取的，因为每个人都在计算方面付出了巨大的代价来平息这些流量。在这些情况下，你唯一能做的就是关闭这些设备，用真正安全的设备来代替它们，这些设备在构建时要更现实地了解威胁和风险。”

消费者也存在着认知脱节，他们不知道需要什么样的最终产品或安全级别。这反过来又向开发者传递了一个信息：安全性并不是人们所需要的。

“对于大多数人来说，技术问题很难理解，而且威胁也在不断演变，”博尔扎说。 “那些不是这方面的专家的人——或者那些为自己的房子购买路由器的人，或者那些由互联网服务提供商提供路由器的人——想知道他们是否能够免受互联网上不良事物的侵害，而大多数人只是假设情况就是这样。只有当他们遇到问题时，他们才会开始意识到存在问题。但即便如此，许多人也不知道如何解决这个问题。因此，如果没有一个包括一些常识性规则的监管制度，比如在将某物连接到互联网之前，它必须是安全的，那就很难了。这意味着什么？这是一场真正的竞相压价。你可以去百思买或亚马逊看看连接互联网的设备的价格和功能范围。它遍布各处。对于路由器或 Wi-Fi 接入点之类的东西，很多人看着它说，‘嗯，这个说它是 Wi-Fi 6，这个说它是 Wi-Fi 6。这个是 100 美元，这个是200 美元。“我要买 100 美元的。””

从表面上看，消除现实安全威胁与在半导体设备中构建安全性之间的差距的最佳方法是将其作为 EDA 设计工具的一部分。这是否可行还有待观察。安全性是否可以在早期就融入设计和工具中，还是这仍然是一个迭代过程，使得安全性很难在前期实现？

这是一些安全研究界关注的重点，但如今最先进的技术是事后才有的。“[如今]的安全工具非常小众，”萨维奇说。“市面上没有太多这样的工具。处理这种攻击的简单工具是侧信道攻击，有几家公司在做这些事情。Ansys 有一些工具。Riscure 最近被 Keysight 收购，它真正专注于侧信道和故障注入类型的攻击。Riscure 被 Keysight 收购表明市场足够大，其中一些产品有商机，但它比许多其他领域成熟得多，也更容易理解。”

Savage 表示，其他安全问题更难解决，这为创新留下了空间。“EDA 方面有机会实现某种类型的 EDA linting 功能，并且有几家专注于此的大学衍生公司/小公司，包括Caspia Technologies和Silicon Assurance ，它们是佛罗里达大学Mark Tehranipoor团队的衍生公司。”

西门子的 Harrison 预测，安全性在未来的主流设计中将发挥更大的作用。“这种方法至关重要，原因有二。首先，通过从一开始就将安全性集成到设计中，不会产生额外成本。任何安全费用都将成为总体设计成本的一部分。其次，通过将安全性从头到尾融入到每个设计层面，它创造了我们所谓的‘纵深防御’。这意味着安全解决方案是多层的，确保如果一个安全层被攻破，后续层将继续保护系统。”

如果安全性只是一种附加功能，那么与从设计开始就注重安全性的方法相比，即使是最安全的元素也会使设备更容易受到攻击。“展望未来，我们希望看到半导体工程师通过教育和先进技术，关注每个设计层面的漏洞，而不仅仅是顶层的漏洞，”他说。“EDA 可以通过提供分析工具来识别设计中的安全风险并提出修复建议，从而做出重大贡献，类似于我们目前解决 DFT、功率和安全挑战的方式。”

*声明：本文系原作者创作。文章内容系其个人观点，我方转载仅为分享与讨论，不代表我方赞成或认同，如有异议，请联系后台。

想要获取半导体产业的前沿洞见、技术速递、趋势解析，关注我们！

来源：半导体产业纵横一点号