安全：开源的RISC-V能够保证吗？

根据爱立信研究的市场预测数据，到2024年全球将有超过220亿个联网的IoT设备，然而物联网在快速发展和普及中也带来了安全隐患。对于边缘设备，尽管基于隔离机制的安全措施已经普遍实施，但在安全认证方面还有局限。此外，IoT生态系统的安全集成也变得越来越复杂，安全性已成为整个业界关心的重要议题。作为IoT设备的核心器件，微处理器的安全性显得尤为重要。对于设计工程师，在芯片设计阶段需要考虑哪些安全要素呢？

SoC平台安全四要素：

1.可信执行环境(TEE)：通过硬件强制隔离代码、数据和存储信息

2.信任根(Root of Trust)：唯一ID和证书以及私钥的安全保存

3.安全启动：阻止非授权认证代码的启动

4.工具：工程师需要透明、直观且易于集成的工具和流程

在智能手机市场占据主导地位的Arm为其微处理器内核提供了Arm TrustZone技术，RISC-V内核对应的安全机制之一是MultiZone。著名的信息安全专家Cesare Garlati是RISC-V基金会安全工作组的主要成员，也是Hex Five Security的联合创始人。他将Arm TrustZone与RISC-V MultiZone安全机制做了对比。

图1：Arm TrustZone与RISC-V MultiZone都基于隔离安全机制（来源：Hex Five）

图2：Arm TrustZone与RISC-V MultiZone的硬件安全机制（来源：Hex Five）

无论Arm还是RISC-V架构，都基于隔离机制的安全理念，但Arm在实现硬件安全时是将两个域硬编码到硬件中，而RISC-V则是由软件定义域，通过硬件来强化。在软件方面，Armv8-A采用OP-TEE软件模型，其配置和工具大多来自Arm生态的合作伙伴，Armv8-M采用PSA软件模型。RISC-V MultiZone安全软件模型的代码量比较小，因此比较快。

据Semico Research的最新市场调研报告预测，到2025年RISC-V CPU内核的出货量将达到624亿个，其中物联网应用市场占比最高，约为167亿个内核。RISC-V内核的主要应用市场包括：计算机、消费电子、通信、交通，以及工业。预计从2018年到2025年的平均年复合增长率(CAGR)为146.2%，其中增长最快的当数由5G带动的通信市场，包括5G手机、蜂窝基站和5G基础设施等细分市场。

图3：RISC-V内核的增长趋势及主要应用市场（来源：Semico Research）

该分析报告将基于RISC-V内核的芯片分为四类：高性能多核SoC、高性价比多核SoC、基础SoC，以及FPGA，其中增长最快的是基础SoC，年复合增长率(CAGR)高达190%。在出货量最大的物联网应用中，智能电表/水表/煤气表等智能网格设备，以及工业物联网(IIoT)是主要市场。

随着联机设备的普及，攻击者的破坏性愈来愈强，为网络安全带来巨大的跳战。这些基于RISC-V内核的联网设备如果遭受到黑客攻击，将给工业生产和人们的日常生活带来巨大影响。因此，安全性逐渐成为RISC-V社区的重要话题，也得到了RISC-V基金会及其主要会员企业的重视。

开放开源的RISC-V怎么能保证芯片和系统的安全呢？

很多人认为将事情隐藏起来才安全，但信息安全专家现在一致认为这种“通过隐藏实现的安全”是不可行的。相反地，开放和透明才能真正保证从底层芯片内核直到上层应用的安全，这是基于“通过隔离实现安全”的理念。实际上，业界很多公司和设计人员认为RISC-V的开放开源反而提供了其它专有ISA所缺少的透明度，这其实会降低芯片级硬件遭受黑客攻击的可能性，因为全球有很多研究人员都在关注其安全方面的动态，一旦有潜在的安全风险，马上就会有人指出并发布到开放的社区，很快就会有专家提出相应的解决方案。

RISC-V ISA已经具备一套十分完善的安全机制，包括4环信任、安全中断处理，以及独特的物理内存保护(PMP)机制。除此之外，一些商业公司也针对RISC-V发布了很多安全解决方案，涉及加密库、信任根，以及多域可信执行环境(TEE)等。

晶心科技构建安全的RISC-V生态体系

作为RISC-V基金会创始会员，晶心科技自2016年以来一直在积极推动RISC-V的发展和普及，最近还升级到Platinum会员级别。2018年晶心科技CPU内核出货量超过10亿个，其中主要是32/64位嵌入式CPU内核，主要应用就在IoT市场。针对RISC-V安全挑战，晶心科技与RISC-V社区合作伙伴一起构建起完善的生态体系，其中包括集成多家公司的安全方案。

图4：晶心科技与全球多家硬件安全方案开发商合作（来源：Andes）

目前已经与Andes RISC-V内核集成或兼容的安全解决方案包括：

Secure-IC的Cyber Escort Unit

Secure-IC公司的Cyber Escort Unit(CEU)技术集成平台、FPGA原型就绪解决方案与Andes RISC-V处理器，让SoC设计人员有效防止针对物理性和网络的攻击，包括缓冲区溢出、错误注入攻击、跨越或取代指令等。该技术符合安全评估共通准则(Common Criteria)的高安全等级(EAL)认证与PP0084保护描绘(Protection Profile)认证。

图5：Secure-IC的Cyber Escort Unit(CEU)与AndesCore内核集成（来源：Andes）

该技术可以实时运行，更准确地说CEU是一项双重技术，主要为了防范嵌入式系统安全面临的四种威胁：

1. 返回导向编程(Return oriented programming ,ROP)和跳转导向编程(Jump Oriented Programming ,JOP)：攻击者重组代码块并组装成一个恶意补丁程序。

2. 利用缓冲区溢出或整数溢出以破坏堆栈：攻击者制造虚假的函数堆栈以修改程序上下文。

3.执行代码修改与覆盖：攻击者设法将正版程序更改为恶意程序。

4.控制流量劫持：攻击者操纵程序，使其执行非法函数或非法跳转。

Secure-IC的旗舰产品Securyzr是一种集成了CEU的信任根(Trust root)解决方案，可确保设备安全并提供相应的安全服务(如身份验证、生命周期管理、远程配置、云端计算)。该安全子系统可以嵌入基于标准或强化网络安全的AndesCore V5处理器专用处理单元，加强AndesCore高弹性的安全性能 ，有效抵御各种黑客攻击，包括旁路攻击、错误注入攻击、网络攻击等。

Silex Insight的高级eSecure信任根

信任根已经成为许多设备和连网服务的必要特性，Silex Insight的高级eSecure IP模块可以为安全应用提供完整的信任根解决方案，能防止机密信息外泄，并提供安全启动、密钥认证与应用程序的保护。AndesCore高效能、低功耗的二级流水线RISC-V CPU内核N22与eSecure模块紧密整合，能完整可靠地控制与执行安全保护功能。eSecure模块可配置性高，在安全功能、性能、面积和功耗方面提供了多样的选择，适合很多应用，例如物联网，储存设备与通讯等。

Tiempo Secure的Secure Element IP

Tiempo Secure开发的Secure Element IP (TESIC)集成了抗攻击和安全感应器，达到了ISO/IEC 15408标准的CC (Common Criteria) EAL5+等级，可有效防止边道和入侵攻击。与RISC-V SoC的集成可将安全性提升到CC EAL5+级别，而不会影响功耗和性能。

Dover微系统的CoreGuard

Dover的CoreGuard技术可以保护嵌入式系统免受因软件弱点而导致的网络攻击，其硅IP与Andes RISC-V处理器集成可以防止94%的已知软件病毒。包括100%缓冲溢出、代码注入、数据渗漏以及违反安全性等。

Dover的CoreGuard硅IP充当主处理器的“保镖”，监控着处理器执行的每一条指令，以确保它符合事先规定的“微政策”，包括一系列信息安全、功能安全和隐私规则等。如果一条指令违背了“微政策“，CoreGuard Policy Enforcer硬件就会在造成危害之前阻止它继续执行。

此外，其它安全解决方案提供商还包括：HEX-Five、inside secure、SECURE-RF和INTRINSIC ID等。

RISC-V生态渐趋成熟

最近在北京举行的RISC-V CON技术研讨会上，晶心科技总经理林志明回顾和展望了RSIC-V的生态发展，从技术、市场和开源社区等多方面证明了RISC-V生态渐趋成熟，正在成为一种主流微处理器架构。他还描绘了晶心科技的RISC-V内核开发线路图，并预测未来RISC-V将与x86和Arm并驾齐驱的市场格局。

图6：晶心科技的RISC-V内核开发线路图（来源：Andes）

图7：RISC-V阵营庞大，开始与Arm架构展开正面市场竞争（来源：Andes）

晶心科技CTO兼执行副总裁苏泓萌博士在会议上展示了基于Andes V5架构的RISC-V内核及其开发环境和生态。RISC-V可以支持从1个内核到1000个内核的处理器设计，满足从边缘到云端的计算性能需求，将会在AIoT、ADAS、区块链、多媒体、安全系统、存储设备、无线通信和5G等新兴应用领域发挥越来越大的作用。

图8：Andes V5架构的完整开发环境和生态

AIoT是RISC-V的主战场

如果说x86架构的主战场是桌面PC和服务器，Arm架构的主战场是手机和移动设备，那么RISC-V的主战场则是AIoT。这种从高成本、高性能和高功耗往低成本、合理性能和低功耗的转移趋势其实也是技术民主化的发展趋势。技术和应用市场的发展会自然选择合适的ISA、芯片、操作系统及软件，能够提供适合的技术产品和服务的公司也会得到市场的认可。

图9：Arm主导着通用MCU和智能手机处理器市场，而RISC-V在深度嵌入式领域更有优势。（来源：Andes）

在新兴的IoT、AI和5G应用中，RISC-V要想与Arm和x86架构竞争，不能单靠性能、功耗和价格等技术和经济指标，而应在安全性方面更胜一筹，才能赢得系统厂商和芯片设计公司的信任。

责编：Amy Guan