2024年RISC-V安全可信技术白皮书-中国电子工业标准化技术协会

编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：中国电子工本白皮书由海思技术有限公司牵头，参与编写单位包括：平头哥半导司、芯昇科技有限公司、北京奕斯伟计算技术股份有限公司研究中心、北京智芯微电子科技有限公司、复旦大学、北京开源芯片研究院、息技术有限公司、中国电信股份有限公司研究院、中国科学院软件研究所、蚂蚁安全实验室。主要参与编写人员：骆华敏、张涛、袁文鸿、崔晓夏、吴超、柳耀郝向宇、曹鎏、许智芯、武洲铭、马俊、韩军、杨卓沅、张健、潘尚杰、刘浩硬件安全尤其是处理器安全是安全技术发展的重要方向之一，是产品安全RISC-V作为新兴的处理器指令集架构有将近三分之一都与安全技术相关，在短短几年时间里，先后标准化Machine/SupervisorMode特权模式，PMP/ePMP术应用在智能家居、智能穿戴、安全芯片等产品领域，但技术碎片化严重，安全关键技术，以及安全应用实例等四个维度做了概览性介绍安全可信贯穿于电力系统用电配电的全过程，是电力系统稳定运行的示例的电力系统中，终端和主站之间会有大量的数据交互，如用电信息，购电主站需要实现对终端设备的安全认证、对业务数据的传输加密、签名能，以确保信道传输业务数据的保密性和完整性。并通过密钥的生成、分发、备份、销毁等功能，确保密钥体系的4)密码算法安全：设备应采用强度适当当前主流智能穿戴设备（智能手表、智能手蓝牙等短距通信协议进行；绑定成功后，智能穿戴设备可以用支付应用的用户账户进行扣款支付。智能穿戴设备在支付时只需要出具二维码或条形码，扫码据加密后再进行传输，防止敏感数据被中间人窃取或破智能家居的典型应用场景如图3所示，手机有线网络或Wifi无线网络联接各种智能家居端，直接通过Wifi/蓝牙等短距无线协议联接智能家居设备。典型的智能家括智能路由器、智能电视、智能摄像机、智能台灯、智能空调等。智能家居设2)设备服务可用性：设备应能够持续为用户提供服务3)用户数据的机密性与完整性：设备采集、处理、存人脸支付智能终端的常见应用场景包括校园团餐机、商场超市自助收银快递货柜、自助医保支付终端等。人脸支付智能终端将刷脸核验身份作为用户支证，免去用户扫码行为，简化了支付流程，提供了极大的支付便利。与此同时是重要的人脸信息生产要素，它的泄漏可能会造成人脸数据•数字身份：通过网络身份认证与超级手机卡组合，将用户的电子身份凭证(姓名、宿、治安卡口、网吧上网等多场景的应用，用安全可信、使用便捷的身份认成为人们生活的“通行证”。•数字人民币：运营商均积极参与数字人民币研发和试点，以SIM卡为载体的硬钱包随着汽车智能化、网联化和电动化程度的不断提益复杂，安全挑战也日益提升，容易成为不法分子的攻联汽车安全包括信息安全、网络安全和数据安全等多个范畴，关系到车主、乘制、辅助驾驶等多个域的控制器。企业一方面需要考虑产品开发和上市满足相3)安全诊断：对诊断接口接入进行鉴权，并在4)数据机密性和完整性：数据在采集、处理、存储和通信过程中5)功能可用性：通过冗余设计和鲁棒性设计，确•硬件4)安全子系统：包括密码算法、密钥管理、随机数和可选•固件•软件3)应用软件：包括普通应用软件和运行在可安全目标是产品期望采取安全防护设计达到的保护目的。不同安全等•设备唯一标识：设备唯一标识是安全管理的基础，设备入网注册与退网管理、软件•设备启动完整性：指设备启动过程中运行的程序与关键参数未被篡改，是设备可信•设备运行完整性：指设备正常运行时的程序与关键参数未被篡改，是设备可持续提•数据完整性与私密性：指设备业务与应用软件采集、处理、存储与传输的数据不被•关键数据完整性与私密性：指用于数据加密或签名的密钥、随机数等关键数据不被设备在启动与运行过程中，存在着各种各样对安全目•恶意软件攻击：设备软件程序包可能在安装或升级过程中被植入木马或间谍软件，在设备正常运行时破坏设备提供的服务或窃取数据；也可能在用户使用设备的操作过程中触发恶意程序执行，推送非法广告、破坏设备提供的服务或窃取数•远程网络攻击：设备软硬件可能存在能够被利用的漏洞，通过运行少量的代码或修改特定的数据，即可获得设备的控制权，从而劫持设备或窃取数据；也可能通•中间人攻击：设备在与其他设备通信时，可能被中间人获取双方通信的信息，窃听•近端硬件攻击：攻击者可物理接近设备，通过硬件外设接口、软件程序替换、硬件故障注入等手段获得设备的控制权，从而劫持设备或窃安全启动是设备启动环节的重要安全保障机制，通过验证启动路径上签名，以识别和阻断未经验证的恶意软件加载和运行。作为保护设备安全的第一道防安全启动一旦缺失或被破坏，可使恶意攻击者获取最高访问权限、进而完全控制设备个固件组件都必须经过前一组件的验证，从而建立起一个完整的信任链。验证机制包括验证固件的数字签名，确保其来源真实可信，没有被篡改。如果验证失败，将拒绝加行该固件，从而防止恶意软件的攻击和植入，保护系统启动安全算法：安全算法既可以用于对固件进行签名和验为了高效地进行固件验证，RISC-V安全启动可能会设计特定的安全算法。例如Codasip公司为RISC-V处理器系列增加的Veridify安全完整性保护：RISC-V安全启动过程的完整性保护技术主过的攻击。攻击手段包括安全启动相关配置篡改和针对处理器运行的故障注入攻击启动相关的配置包括校验使能配置、密钥算法配置等，通过修改配置可绕过安全启或降低安全级别。故障注入攻击则是通过电压、电磁、时钟、激光等手段在处理器行时注入故障毛刺，使处理器绕过关键代码的执行或出现异常跳转而绕过安全启动护。相应的保护技术包括冗余校验、随机延时、访问控制、sensor检测等。冗余过增加冗余配置信息和多次校验可增加攻击难度。随机延时可使得处理器运行时间不测，从而增加故障注入攻击实施的工程难度。访问控制通过配置安全启动代码运行空权限，可缩小攻击面。Sensor检测技术通过检测芯片电压、时钟等环境参数异片受到故障注入攻击时告警并采取对应的防护访问控制是一种对处理器访问系统资源进行保护的技术，使处理器在系统软件控制下特权模式：RISC-V支持多种特权模式，包括机器模式(拥有最高级别的权限，可以操作所有的控制状态寄存器，是系统设计中必须实现的模式。用户模式拥有最低的权限，通常用于执行来自用户的操作，因其程序来源复杂多度低。通过用户模式操作权限进行限制，如读写内存、访问文件、访问外设资源等添限控制，可降低系统风险。管理模式比用户模式有更高的权限，可以在机器模式的允区域可以授予不同的访问权限，包括读、写和可执行权限。其中读权限可用于代码和的私密性保护，写权限可用于代码和数据被非法篡改的保护，可执行权限可用于代码限单独配置，从而实现M模式与U模式下的访问权限控制隔离，其中M模式拥有最高权限步提供管理模式和用户模式下读、写和可执行权限独立配置的技术，从而实现管理模运行完整性保护技术主要用于抵抗代码注入和代码重用类攻击，包括堆栈溢出攻击、ROP(堆栈返回指针程序利用)攻击、JOP(跳转指针程序利用）攻击等。攻击者通过使影子堆栈技术是一种常用的防止堆栈溢出和ROP攻击技术，该技术通过在处理器执行压栈操作时备份出栈需要用到的影子返回指针，在执行出栈操作时检查出栈指针和备影子指针是否一致，若一致说明程序执行正常，若不一致可判定为受到攻击。影子堆术既可以通过软件在编译时添加编译选项实现，也可以通过处理器硬件自动备份和检展、处理器微架构设计和编译工具链修改适配，将原来的指针和通用寄存器以提供更加精细的指针控制粒度，达到防止堆栈溢出、ROP/JO所有的指针和通用寄存器长度的扩展也带来一定的硬件和软件成本技术通过指令集扩展、处理器微架构设计和编译工具链修改适配，在软件代码编译时别出代码和代码指针并进行加密，然后在处理器执行指令时进行解密，可实现代码和指针在整个存储和运行过程中一直保持密文，从而有效阻断远程代码执行和代码注入的风险。Morpheus技术已发展出两代硬件可信根指的是系统可以一直信任的一组硬件安全单元，是构建系统安全可础。硬件可信根的安全等级也直接决定了系统可达到的最高安全等级。硬件可信根为其它组件提供基础安全服务，如基于非对称密码算法的验签服务、数据完整性校验服数据加解密服务、敏感数据的安全存储服务等。硬件可信根至少要能够提供系统启动的验签服务、完整性校验服务和启动相关密钥的安全存储服务，部分专用的硬件可信启动结束后还能够继续为系统提供安全存储、可信证明、完整性保护等服硬件可信根的组成如图6所示，包括安全处理器、可信服务码算法、密钥管理、安全时钟和安全存储等模块。安全处理器是独立于芯片主处理器用处理单元，为减小攻击面通常只用来运行硬件可信根程序。可信服务固件运行在与软件隔离的存储区域，可以是ROM和专用的RAM。硬件真随机数提供基于硬高质量物理真随机数。密码算法提供加解密、签名验签和Hash计算能力。密钥管供密钥派生能力。安全时钟提供不受系统其他处理单元控制的时钟。安全存储提供硬硬件可信根的形态包括独立安全芯片和主芯片内置安全子系统两种，手机与嵌RISC-V处理器可以作为硬件可信根的安全处理器特性，如内部指令流水线和寄存器的Parity或CRC校验、存储空间读/写/执控制、存储单元数据加扰与CRC校验、指令随着计算技术的发展，业务系统的复杂度不断提升，的漏洞风险，给业务和数据安全带来挑战。为解决这一问题，采用隔离机制为安全敏业务构建独立的可信执行环境以降低安全业务的风险，成为安全技术发展方向之一。与基于特权模式的权限控制机制不同的是，TESifiveWorldguardTEE【3】方案使用理下，可同时实现多个可信执行环境。处理器在特权软件的管北京奕斯伟计算RVM-TEE支持Normal和SecureDomain，通过扩展安全指令支持硬件快速切换，具有低切换延时、低占用空间、高响应速度的特征，可以满足物联网场成本产品的安全需求。该方案实现了一种安全扩展模式，用以指示硬件线程当前处于模式或普通模式；对标准定义的PMP功能进行了扩展中断的操作模式，以实现硬件中断隔离功能；为实现硬件安全调试功能增加了调试的状态；扩展了新指令和影子寄存器，支持硬件切换安全模式；定义了可配置的域标识DomainID，用以将运行的状态发送至机密计算联盟(ConfidentialComputingConsortium)从机密计算的角信执行环境，确保数据在使用阶段的机密性、完整性与可随着数字化转型的加速，数据安全成为企业和政府机保护信息安全的核心技术，其性能和效率直接影响整个系统的安全性和响应速度。法通常分为对称加密算法、非对称加密算法和哈希函数三大类。每类算法都有其独用场景和面临的技术挑战，如对称加密算法的密钥管理和分发问题、非对称加密算硬件密码加速是使用定制的硬件来实现密码算法，提高密码算法的执行速度和效率。这些硬件实现的密码算法相比软件实现的密码算法通常具有更高的执行速度、更高基于RISC-V架构的安全芯片可提供硬路，对特定的密码算法（如AES、SM4、RSA、ECC、载和芯片功耗。硬件加速实现的密码算法通常具备防侧信道攻击的特性，通过特殊），密码算法的执行。K扩展是专为加密算法设计提高这些算法的执行速度和效率。在现代处理器架构种，可通过如多级缓存、预取RISC-V架构的模块化设计允许在不改变基本架构的情况下对特定的应用场景优化加密性能，从而满足从嵌入式系统到高性能计算环境的不同需求。例如，在嵌入式设备领域，可以优化能耗和执行速度，而在数据中心则可能更关注于数据块，极大提高哈希算法和对称加密算法的处理速度。此外，持数据的并行处理，适用于现代加密算法中的并行数据流，提高加密任务的吞吐量。法中的并行数据处理。使用接近硬件层面的理器的并行能力和内存访问，这种底层的访问允许开发者优化加密算法的内存使用模减少缓存未命中的情况，从而提高整体的执行效率。这种灵活性与扩展性在保持架构侧信道攻击是被广泛使用的一种信息窃取手段，攻击者并不直接攻击算法可能存在的传统侧信道攻击的软硬件防御技术研究已有它们的衍生变体。它们利用处理器微架构的分支预测、乱序执行等高性能技术，令流的执行绕过软硬件安全检查、窃取用户信通过对需要保护的数据进行加密，从而重点防御这部分信息遭受侧信道攻击。具该技术需要在软件编程的时候对数据打上标签以区分加密数据和普通数集进行扩展增加秘密访存指令、加密指令和解密指令等。秘密访存指令只能访问指定储区域，可以将密文存储其中，通过加密指令对数据加上加密标签，而解密指令则去在RISC-V架构中，许多侧信道攻击的手段都需要用到rdcycle和rdinstretCSR指令去读取执行时间信息，并且标准规范允许用户模式下使用这两条指令。可以通过增加模式权限控制或增加保护开关等方式，对使用这两条指令的场景进行严格限制从而降低侧许多侧信道攻击都是针对访存操作攻击，其假设数据和存储地址存在一一对应关系，通过地址信息来破解数据。可以通过改变这种一一对应的映射关系使得攻击者在访存的时候将地址与CSR-m进行哈希运算，得到一个软件不可知的地址，从而改变原有的地址与数据映射关系。CSR-m可以根据软件的需要进行选择侧信道攻击通过推测执行的访存和分支跳转等执行时间差异获取指令执行时的信息。的指令，通过设置特定的条件禁止部分推测指令执行，达到防御侧信道攻击的目的。比如件环境安全保障。安全启动是一个关键的安全机制，它确保设备仅执行验证过的、可是安全启动过程中验证软件完整性和真实性的基础。在设备启动时，使用这些预置的组件进行数字签名验证。只有当软件组件的签名验证通过，该组件才被允许执行。这程确保设备从启动固件到应用程序的每一部分都是可信的，未被篡改4)操作系统验证：引导程序使用校验过的公钥，进证通过后，加载并运行操作系统。根据操作系统的需要，处理器可能切换到管理模的远程获取、加密传输、本地安全存储等安全问题。通过在工厂产线部署K户端提供的功能接口获取支付凭证，对支付凭证解密后进行完整性校验，再注安全芯片内，最后通过调用安全芯片的校验接口对注入的凭证里的证书进行（如手机）通过安全通讯（蓝牙或Wi-Fi）进行支付账号绑戴支付设备使用支付凭证里的私钥进行数据签名，通过支付应用APP转发给支付服进行关联，完成设备激活。设备激活以后，穿戴支付设备后续的支付金额都会由绑3)支付设备安全支付：在利用穿戴支付设备进行支付算法生成支付二维码。支付二维码生成环境应在硬件隔离的安全执行环境保证生成支付凭证的密钥和算法的安全性。收款设备成功扫描支付二维码后可以获付服务器会校验支付凭证和设备身份，然后在其关联的支付账户里扣除对应的支付4)支付设备安全注销：用户可能存在更换支付账号进行注销，用户可以通过穿戴支付设备上的应用功能菜单进行注销，其会删有和已有账户绑定的支付数据和文件，只保留原始的支付凭证。这样注销用户又可以通过支付设备激活流程重新进行新的支付账号支付宝校园一脸通行是支付宝为线下校园社区场景推出的应用服务，通过对学体卡、二维码等身份载体进行人脸升级，实现刷脸考勤、刷脸吃饭等功能，让校园校园一脸通行方案如图10所示。为解决网络环境差，刷上刷脸支付方式响应慢、耗时久，难以提供好的体验问题，该方案将刷脸核验身份环节前置到终端设备。通过将校园社区的人脸特征库提前加密预置到终端设备，可充分发挥终端为设备的可信因子，结合其他设备硬件信息，派生出安全通道密钥和业务建立与设备关联的一机一密密钥体系。后续业务基于安全通道进行云端与敏感数据传递，并使用设备唯一密钥进行业务报文加密或者签名，在云端密或者验签，确保业务发起的真实性和传输过程的机密性与2)人脸数据采集使用活体检测技术，3)预置在终端设备的人脸特征使用一4)随着特征模版库向端侧下发，检索决策的模型数据也必须随之下发到端侧进理运算。模型数据是重要的数据资产，也是人脸数据被逆向的突破口安全性非常关键。端侧模型数据同样采用加参考文献【1】