汇顶科技叶金春：物联网设备都需要一颗安全芯片

在万物互联的时代，身边越来越多的设备开始接入到物联网（IoT）当中。数字人民币、数字身份、数字车钥匙等新型应用的不断涌现，在为消费者营造更便捷更智慧生活的同时，也为物联网创造巨大机遇。根据麦肯锡全球研究所的数据，2025年整个全球物联网市场将有4~11万亿美元的高速增长，届时中国物联网连接设备数将突破200亿台，市场规模达到7500亿元人民币。

不过，随着越来越多的设备接入云端，无论是通消费者还是行业从业者都愈发关心信息安全问题。根据英国DCMS的数据，超过45％的受访者表示，安全性正在阻碍物联网的普及，而如果安全性更好，超过70％的客户会增加物联网产品的购买量。

可以看出无论对于厂商还是消费者，安全技术越来越成为一种高价值的能力体现，而不再是成本上的负担。基于更高标准的安全要求，以往用软件实现的安全虽然能防御一些逻辑通话上的非法访问，并减少软件自身漏洞带来的一些风险，但是软件方案一般运行在通用MCU、CPU环境中，数据易于被访问和读取，也易于被复制、篡改、分析和理解。

当前，物联网设备MCU的主控资源非常有限，如果以纯软件的方式来做安全，势必会占用更多资源，而且无法在安全系统里做到整个系统可信任的“根”来抵御物理攻击。所以必须将所有功能都运行在独立的安全芯片内部，才能做到不占用额外的主控端资源。半导体厂商们也纷纷抓住这一机遇，推出自己的芯片级安全解决方案。

日前，汇顶科技联合深圳市深圳通有限公司成功完成业界首次基于多芯片和复杂射频系统的地铁闸机“无感离线过闸”应用演示。基于深圳通的顶层设计，采用汇顶科技eSE + COS + NFC + BLE 全栈安全解决方案并搭载UWB芯片，双方仅用数月就实现了在现有闸机结构下的完整流程打通。

指纹触控龙头，缘何布局安全芯片？

作为全球指纹识别和触控方案龙头，汇顶科技早早开始了在物联网领域的布局，在安全、连接、感知等物联网关键技术上做了持续的高研发投入。今年5月，汇顶科技在其官方新闻中表示，公司首款eSE安全芯片GSEA0已通过CCEAL5+、EMVCo、NFTC等一系列重量级认证，安全水平达到全球一流水准。

物联网市场很大，为什么一定要做安全芯片？汇顶科技安全事业部总经理，SVP叶金春(Carson Ye)在接受《电子工程专辑》采访时表示，可以从宏观和微观两方面去解释。

汇顶科技安全事业部总经理，SVP叶金春

宏观上，当前整个社会正朝着数字化方向转型，安全必定是数字化不可缺少的基石。随着人们教育和认知水平的提高，安全意识也在提高，越来越重视个人隐私；微观上，我们身边所有的设备已经成为独立和碎片化的信息通道，同时也成为隐私和信息泄露的管道，这是安全屏障最脆弱的一环，所以有连接的地方就需要安全。

“虽然我们的安全产品到今天正式宣布，但其实已经在4年前就做了布局，因为汇顶看到了安全的大趋势正在到来。”叶金春说到，“时间往前拨3到4年，全球范围内做eSE安全芯片的只有国际半导体巨头们，但汇顶的风格就是不断挑战自我去做创新。国内如果没有半导体公司去挑战海外公司在安全芯片的垄断地位，我们就要来做一做。”

据介绍，在安全芯片的应用场景上，汇顶的第一代产品会以手机、穿戴式及移动终端应用为主，在技术成熟普及之后，再向其他领域延伸。

这样层层推进的原因是，普通消费者往往感觉不到独立安全芯片带来的价值。以往为手机增加指纹解锁功能，大家可以感受到操作带来的便利性；而增加了安全芯片，虽说令数据更安全了，但直观感受不明显。手机仍是目前物联网的最大入口，安全刚需的场景最为集中，最适合作为突破口。

另外一点，在当前物联网设备飞速增加的情况下，单靠海外芯片厂商的供货远远不能满足终端厂商对安全芯片的需求。物联网是一个碎片化市场，很多每年出货不多的Mass Market小终端厂商数量众多，NXP或ST这样的大厂往往无暇顾及。

“这样的市场恰恰是汇顶这样的国内厂商需要的。在手机市场巩固之后，我们的安全芯片就会向诸如蓝牙设备等Mass Market市场延伸，包括汽车市场。”叶金春说到。

做安全芯片，要“贴着水面飞”

除了作为单独售卖的eSE专用安全芯片，安全功能也是汇顶其他新产品线需要的底层技术。例如蓝牙、NB-IoT、指纹和汽车电子，叶金春之前就是汇顶指纹事业部的研发负责人，他表示，安全事业部和其他事业部保持紧密合作，提供裁剪优化后的安全IP供其他产品线使用。

至于裁剪到什么程度？叶金春认为做安全产品要“贴着水面飞”才能展现出技术水平，尤其是安全芯片的认证极为繁琐，要根据不同产品的需求量体裁衣，底层安全技术IP化后也要有选择性地进行国际密码算法（ECC/SHA/RSA/AES…）、国密算法（SM2/3/4/9…）等认证，否则成本会增加很多。

以汇顶首款eSE安全芯片GSEA0通过的CCEAL5+为例，CC是“信息技术安全评估通用准则（Common Criteria）”的缩写，也是目前国际范围内最受普遍认可的信息安全评估认证体系，在IT产品和系统领域应用广泛。CC认证共分为7个等级，由低至高依次为EAL1到EAL7， EAL5+中的加号，表示该认证在EAL5的基础上对部分检测项目进行了升级以进行更高级别的评估。

长期以来，国内IT产品信息安全领域的认证都止步于EAL4+级别，而国际上已有不少一流厂商的产品通过了EAL5+甚至EAL6+认证。叶金春表示，民用产品中最高是6级，但是5级在所有手机甚至金融级别应用中都是够用的。 

据悉在认证过程中，汇顶的安全芯片一次性通过难度最大的攻击测试环节，以领先行业的效率快速获得CC EAL5+认证。这无论对于汇顶还是中国安全芯片行业都有着现实意义，“意味着我们的安全芯片已经达到了世界先进水平，我们的设计团队也具备了世界一流水平。”

与安全MCU和Trustzone的区别

谈到目前很多MCU产品也在增加连接安全功能，叶金春认为这一定是趋势，但与专用的eSE芯片存在本质的区别。“因为MCU强调安全，是作为一个功能（Feature），独立的eSE芯片则只用来做安全，它是一款产品。”

通用MCU往往不需要eSE级别的安全，只有针对支付、身份认证等安全级别要求较高的使用场景时，eSE的核心特点——安全存储和密钥管理，才能发挥最大作用。例如做到“所有密钥不出芯片”就是很强的抗物理攻击，强调通信本身的安全是用软件做不到的。

也曾经有公司将eSE IP化后，嵌入主控芯片希望达到芯片级的安全，但叶金春并不建议这样做，因为嵌入硬IP的主芯片要符合安全标准，需要整颗芯片过认证，这对于厂商来说会带来很多额外工作量。

eSE芯片使用的CPU与普通Arm内核70-80%一样，还有20-30%要经过安全改造，主要是数据访问、memory保护等访问行为上做保护。理论上，eSE甚至可以当成一颗普通MCU来用，但是“最大的不同就是自带安全OS，把需要保护的底层硬件访问都封存起来，要访问必须通过OS。”叶金春介绍到，另外eSE的接口外设数量远远不如普通MCU，ADC、PWM之类的常用接口都没有，因为两者侧重点不一样——eSE强调保护，接口太多不利于防护，只需要能够跑Applet开发的应用即可；MCU强调控制，所以要有很多外设。

基于硬件的安全功能还有ARM TrustZone，它通过对原有硬件架构进行修改，在处理器层次划分了两个不同权限的独立空间——安全空间和普通空间，任何时刻处理器仅在其中的一个环境内运行。同时这两个空间完全是硬件隔离的，并具有不同的权限，普通空间中运行的应用程序或操作系统访问安全空间的资源，受到严格的限制；反过来安全空间中运行的程序可以正常访问普通空间中的资源。

不过“Trustzone里运行的更多还是一些软件服务，虽然它本身在AP（应用处理器）里划分出了物理隔离，但实现起来还是一种更偏软的安全功能。”叶金春说到，eSE的不同在于它强调纯硬件环境，除了保证自身算法和密码的安全外，也强调物理攻击的防御，安全要求更高。“但通常在实际应用中，Trustzone和eSE两部分会结合起来使用。eSE对另一颗eSE的访问，大多数时候是通过Trustzone中的可信执行环境（Trusted Execution Environment，TEE）来访问。”

市场巨大，但要求“一次做对”

据市场调研机构MarketsandMarkets最新数据显示，全球嵌入式安全市场规模预计将从 2022 年的 68 亿美元增长到 2027 年的 90 亿美元，年复合增长率达5.9%。

叶金春表示，这个市场还在高速成长。单就eSE本身来说，在传统卡类、NFC中还在成长，里面至少还有20到30亿美金的市场规模；未来再扩展到汽车、IT领域，市场也会很大。

数字人民币也是未来的一个大热门应用，甚至一直来支持二维码支付的阿里巴巴和腾讯都宣称，将支持“碰一碰”式的支付，腾讯甚至已经将接口功能做进微信支付中。要保护好数字人民币的安全，首先是硬件上的芯片级安全，因为 “硬件钱包”的形态即是表示承载数字货币的载体是区别于软件的实体设备，无论是智能卡芯片还是手机芯片都属于此类，必须在当受理终端和支付设备都处于离线的“双离线状态”时也能安全支付。

满足数字人民币硬件钱包“双离线”支付的首要条件就是必须内置eSE芯片，并且达到一定的安全加密等级，同理，受理终端也必须要进行相应改造。目前来看双离线支付仅支持NFC形式进行交互，汇顶科技面向移动终端eSE + NFC 方案GSN11可以说十分适合。

汇顶科技数字人民币方案展示

不光是硬件，从手机APP到云端的安全也是安全芯片厂商要考虑到的，涉及整个链条的软硬协同。芯片厂商做在设计时就要考虑好哪些安全功能在硬件上实现，哪些由软件实现，以达到最优性价比。

安全领域的芯片设计，需要参考安全认证来划分软硬件协同，尤其要注意的是“短板效应”，这涉及到芯片的物理安全和整个上层应用。整体来看安全的系统，只要存在一处最薄弱的环节，其他地方再安全都没有用，“所以首先在芯片的物理层面要抗侧信道攻击、注入错误攻击、激光攻击等。设计工具和设备等环境也必须绝对安全。”叶金春说到，“此外想要实现整个系统的安全，芯片厂商必须自己开发OS，才能做到软硬件协同。最后，测试、生产等整个供应链生命周期的管理全部要纳入安全管理。”

做芯片本来就是一个周期很长的工作，从投入到投产，回报很慢。安全芯片更是如此，一款芯片光认证就需要6-9个月，EAL认证的费用也十分昂贵，一旦失败会损失大量时间和金钱，所以要求开发人员“一次性做对”。

这需要开发人员实现思维上的转变，以往的芯片设计往往通过不断修补、迭代实现更新，安全芯片则需要将安全性放在开发的首位，并将其贯彻应用于原型设计中，否则就算后面的终端产品系统层面上做再多补救，它也是“不安全”的。

国产替代不是胜负手，产品好才是硬道理

虽然近年来国产芯片行业都在谈“国产替代”，如今汇顶安全芯片也已经具备本土化的支持能力，但叶金春认为不会特别去强调国产替代这件事。从国家宏观政策方面，国产替代是国内芯片厂商的利好，“但是我们不会依赖这个条件，或把它作为自己的胜负手。因为我们在定义安全芯片产品之前，就已经确定了成为综合型、国际性半导体平台公司的路线。要做到这个目标，技术实力才是第一位的。”

技术层面上，汇顶的eSE芯片采用7倍于银行卡、3倍于SWP-SIM卡芯片空间的专用安全Flash存储，这是在设计思路上跟国外产品的最大区别。对于普通芯片来说，加大Flash并不难，但对于通信接口和存储单元都要做好保护的安全芯片而言，就需要考虑到侧信道攻击、注入错误等攻击手段的可能性。

“Flash变大带来的走线增多，会增加很多设计复杂性，但我们一一克服了。”叶金春说到。

除了技术创新，还要充分利用差异化。国际巨头花了10余年时间培育起NFC市场，之前最大的应用市场是公交卡和门禁。汇顶看到了NFC + eSE实现技术差异化带出的新场景，所以选择与深圳通合作，将NFC、UWB的上层驱动协议栈统一集成到低功耗蓝牙SoC中，实现eSE+NFC+UWB+BLE全栈集成打通的“无感离线过闸”。

汇顶科技与深圳通合作的“无感离线过闸”方案展示

其实在汇顶之前，索尼、联发科都曾经尝试将做NFC在手机中标配化，但当时他们的方案要么没有包含独立的安全芯片，要么没有UWB来实现更远距离的安全交易，要么没有充分解决NFC的兼容性问题，未能掀起波澜。

谈到未来的竞争思路，叶金春认为汇顶今天做的事需要勇气，“迄今为止，国际巨头在安全芯片领域的市场地位仍难以撼动。人家就像站在城头上居高临下，国产厂商则是从下往往上攻，这个过程一定会很艰苦。”

比如绕不开的专利问题，这需要国产厂商在自己的产品上做创新和差异化，一方面回避专利，另一方面当我们在新应用上形成了自己的专利，也可以和国外厂商互相交叉授权甚至三角授权。

安全芯片的市场还在成长中，但不是爆发式成长，所以国产厂商要善于发现和利用新的市场。“需要给安全芯片定义更大的应用范围，把更多新型应用装进去，这也是我们给产品定义超大Flash的原因。如果能够把中国的数字身份推动起来，就是国内安全芯片一个很好的新兴市场。”叶金春说到。