安謀中國自研“再下一城”:賦能中國安全生態(tài)
安謀中國作為一家中國芯片IP企業(yè),自成立至今公開發(fā)布了五條自主IP產(chǎn)品線:“周易”AIPU、“星辰”處理器、“玲瓏”ISP處理器、“玲瓏”VPU“和山?!蔽锫?lián)網(wǎng)信息安全解決方案,前四個產(chǎn)品線早前被逐一發(fā)布,“山?!眲t屬于一直以來比較神秘的一條產(chǎn)品線。
日前,恰逢安謀中國成立三周年,這一全棧安全解決方案“山?!?span>S12正式發(fā)布,21ic中國電子網(wǎng)受邀參加此次新產(chǎn)品發(fā)布會。
面向更強算力和更廣場景
根據(jù)安謀中國安全產(chǎn)品經(jīng)理耿建華的介紹,實際在“山?!?span>S12之前還存在第一代“山?!碑a(chǎn)品。早在2019年8月安謀中國曾發(fā)布 “山?!?span>E10和E20,這一代產(chǎn)品主要面向Cortex-M系列微控制器系統(tǒng),彼時主要是定位在IoT的安全解決方案。E10和E20兩者定位區(qū)別主要在于TrustZone上,E10支持前期架構(gòu)包括Armv6-M、Armv7-M,E20則支持擁有TrustZone技術(shù)Armv8-M架構(gòu)。
全新發(fā)布的“山海”S12則主要面向Armv7/8-A和Armv7/8-R系列應(yīng)用處理器系統(tǒng),與M系列不同,A系和R系應(yīng)用處理器的算力更大、處理能力更強,“山海”S12也將定位于AIoT的安全解決方案。
根據(jù)耿建華的介紹,“山?!?span>S12包括硬件加解密引擎、固件和軟件、SaaS軟件三個部分。
硬件架構(gòu)方面,根據(jù)耿建華的介紹,硬件加解密引擎TrustEngine-600是“山?!盨12最核心的一部分。”山海”S12不僅支持國際通用加密算法,也支持國家自主的商用算法,包括對稱算法、非對稱算法和哈希算法。另外,在真隨機數(shù)上也同時支持本土標準和國際標準。此外,“山海”S12中OTP以可行跟的形式存在,核心跟秘鑰會保存在其中。
耿建華強調(diào),硬件上“山海”S12支持豐富的算法,為了減少產(chǎn)品的面積和和集成復(fù)雜度,根據(jù)場景應(yīng)用不同也可對算法進行裁剪或算法能力配置,以此可以減少產(chǎn)品的成本。
軟件架構(gòu)方面,根據(jù)耿建華的介紹,“山?!?span>S12提供了豐富的軟件棧。在啟動態(tài)上,支持安全啟動、恢復(fù)、安全調(diào)試、安全燒錄,特別是可將安全信息包括Root Key、設(shè)備Key、證書和定制化數(shù)據(jù),通過工具燒錄回設(shè)備中。在運行態(tài)上,“山?!?span>S12分為安全環(huán)境和非安全環(huán)境,在安全環(huán)境下提供設(shè)備身份驗證、證書存儲、設(shè)備管理、FOTA、TEE可信操作系統(tǒng)等,在非安全環(huán)境下提供設(shè)備管理、FOTA、Linux和Kernel加解密增強等。
SaaS應(yīng)用軟件服務(wù)方面,包括設(shè)備管理、固件在線升級(FOTA)和安全燒錄。據(jù)介紹,內(nèi)部測試中可以支持大概100萬的設(shè)備,如果通過服務(wù)器的平行擴展可以支持更多的設(shè)備,此外安謀中國也將會在整個的交付包里交付大家。
“山?!?/span>S12優(yōu)勢明顯
實際上,安全問題伴隨萬物互聯(lián)時代逐漸被重視。尤其是AIoT的場景之下,數(shù)據(jù)的處理能力更加強勁,應(yīng)用更加多樣化,在此方面對安全的虛構(gòu)更強,安全威脅更加復(fù)雜。
Turnkey解決方案是“山?!?span>S12的優(yōu)勢之一。產(chǎn)品面向的是AIoT的端、管、云一體的安全方案,是以硬件加解密引擎為基礎(chǔ)并具備豐富的安全固件和SaaS軟件能力的產(chǎn)品。當合作伙伴想要做安全產(chǎn)品時,可以非??焖俚剡x擇產(chǎn)品中的安全能力,快速集成產(chǎn)品并加速上市。
靈活可配置性是“山?!?span>S12的優(yōu)勢之二??蛻艨梢愿鶕?jù)自身產(chǎn)品安全需求進行靈活配置和靈活裁剪,形成一種“搭積木”的模式,這樣可以減少復(fù)雜度和降低成本。另外,耿建華強調(diào),安謀中國也會對整個Arm未來的安全架構(gòu)提供非常好的支持。
以客戶為中心的支持是“山海”S12的優(yōu)勢之三?!吧胶!?span>S系列和E系列產(chǎn)品都是本地化團隊開發(fā)設(shè)計的,整個技術(shù)支持團隊也是由本地工程師組成,形成本地化技術(shù)支持。此外,產(chǎn)品不僅支持國內(nèi)和國際多個安全標準,客戶的芯片或設(shè)備在進行PSA或國密認證時安謀中國均可提供相關(guān)支持。與此同時,也會借助Arm強大的生態(tài)能力提供整個Arm生態(tài)支持。
高質(zhì)量的產(chǎn)品交付是“山?!?span>S12的優(yōu)勢之四。耿建華強調(diào),安謀中國擁有與Arm相同的開發(fā)流程和交付標準,因此提供和交付的產(chǎn)品均具有高標準,不會導(dǎo)致客戶在集成和開發(fā)中因為一些錯誤導(dǎo)致項目延期,這也是安謀中國在標準上的承諾。
聯(lián)合其他IP賦能本土安全生態(tài)
“山?!?span>S12基于Arm技術(shù),必然也與Arm演進息息相關(guān)。根據(jù)安謀中國安全產(chǎn)品研發(fā)架構(gòu)師、技術(shù)總監(jiān)呂達夫的介紹,Arm在架構(gòu)演進過程中,安全是一個重要的演進方向。Arm的TrustZone技術(shù)已有十幾年的演進歷程,除此之外Armv8.3、8.4、8.5等架構(gòu)升級逐步引入PAC(Pointer Authentication Code)、 BTI (Branch Target Identification)及MTE(Memory Tag Extension)等相關(guān)的技術(shù)。這些技術(shù)一方面是對代碼進行隔離,從而減少程序被攻擊面;另一方面是限制程序指令的執(zhí)行流和數(shù)據(jù)流的流向,從而免受到黑客的攻擊,為黑客攻擊這些設(shè)備帶來額外的成本。
Arm在3月底發(fā)布了最新的Armv9架構(gòu),全新架構(gòu)中引進了全新的機密計算架構(gòu)CCA并基于此前的TrustZone引入動態(tài)創(chuàng)建機密領(lǐng)域的概念。另外,Arm還和產(chǎn)業(yè)伙伴一起推出了PSA(Platform Security Archtecture)安全認證,從而引領(lǐng)Arm的安全技術(shù)不斷向前發(fā)展。
實際上,在任何設(shè)備都聯(lián)接入網(wǎng)后,安全技術(shù)需要滲透到生活之中。安謀中國產(chǎn)品研發(fā)常務(wù)副總裁劉澍認為,安全保護的關(guān)鍵在于信息保護、信息隔離、設(shè)備安全管理上。
劉澍強調(diào),歸根結(jié)底Arm或安謀中國做的其實還是計算型的工作,在提供CPU、GPU、人工智能、ISP、VPU這些計算單元后,又加入了一層安全機制,而這項安全技術(shù)是來做保險柜的,但并不限制客戶、芯片公司包括OEM將其用在什么地方,最重要的是在整個計算中建立起信任的計算機指。
目前來說,安謀中國坐擁“周易”、“星辰”、“玲瓏”,“山?!迸c這些產(chǎn)品線不同,但是是結(jié)合在一起的,“山海”講究的系統(tǒng)安全性不是由這一個單獨點來保證的,是要跟著幾個IP一起實現(xiàn)的。
“山?!边@條產(chǎn)品線經(jīng)歷了三年兩代產(chǎn)品的研發(fā),目前已獲得20余家授權(quán)客戶。展望“山海”S12在中國市場的目標,耿建華表示希望半導(dǎo)體行業(yè)如果用到安全IP,會首先會想到安謀中國。與此同時,希望通過創(chuàng)新來賦能中國的安全生態(tài),與本土的合作伙伴一起共同成長。