06-王松.pdf

《06-王松.pdf》由会员分享，可在线阅读，更多相关《06-王松.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、基于RISC-V的HSM方案Confidential Nuclei.All Rights Reserved.目录录20242 HSM简简介 基于RISC-V的HSM系统统架构 HSM安全启动动流程 HSM demo方案实现实现Confidential Nuclei.All Rights Reserved.硬件安全模块块HSM Hardware Security Module20243HSM 通常用于金融、医疗疗保健、政府和云计计算等各个行业，以保护敏感数据和加密密钥免遭未经授权的访问和攻击；在汽车电车电子领域，HSM的使用尤其广泛HSM在增强数据安全和确保敏感信息的完整性和机密性方面发挥着关键

2、作用CPUSubsystem随着芯片集成度的不断提升，HSM已经可以被完整的集成到SoC之中:HSM和主CPU子系统紧耦合，安全性更高无需额外引脚与外接安全芯片链接，整体面积更小支持更多丰富的安全启动方案实现可编程安全内核，拥有灵活的扩展性，应用领域更广HSMROMConfidential Nuclei.All Rights Reserved.芯来科技基于RISC-V的HSM系统统架构20244RISC-V Main CPUQSPIUSARTSRAMFRTDECRISC-VMAILBOXDMATIMEREFUSEBROMACRYPWWGDHASHLGPIOCRYPTRNGHSM FABHOST

3、 FABHSMHOSTHSM系统架构灵活可配，配合主CPU系统提供更完善的整体解决方案Confidential Nuclei.All Rights Reserved.安全启动动流程20245BootROMNSBSFSBL/SPL/Host app1Host app2HSMHOSTVerifyVerifyVerifyCall NSFW APIMailboxNSBS：Nuclei Secure Boot and Service典型的HSM安全启动流程：从HSM BootRom开始进行逐级验证启动，HSM完成HOST端SPL/FSBL代码启动后，将执行NSBS固件代码，等待HOST端通过Mailbo

4、x来申请安全服务，支撑HOST端的安全操作Confidential Nuclei.All Rights Reserved.非对对称认证认证流程20246Private keyNSBS加密后给SM证书Host软件或者fsbl打包固件EfusePub keyPub keyCMGenerate key pairSMGenerate key pairDigest+SignatureDigest+SignatureHashPrivate keyCM和SM各自拥拥有独立密钥对钥对支持RSA2048，ED25519和SM2验签验签算法硬件加速器实现验签实现验签算法CM：Chip ManufacturerSM

5、：System ManufacturerConfidential Nuclei.All Rights Reserved.对对称加密流程20247CM Generate key rootkeySM Generate key rootkeyDEK-CMDEK-SM加入包头（包含Wrap后的DEK）和包尾Host的软件或者fsbl密文加入包头（包含Wrap后的DEK）和包尾Efuse外部Flash烧写随机数生成上位随机数生成加密打包烧写烧写打包加密CM和SM各自拥拥有根密钥钥支持AES和SM4加解密算法硬件加速器实现实现加解密算法 CM:Chip Manufacturer SM:System Man

6、ufacturer FRK:Firmware Root Key DEK:Data Encrypt Key Key Wrap:RFC3394 定义义的一种基于AES密钥钥封装的算法 GB/T 36624-2018定义义的基于SM4的密钥钥封装算法NSBS密文Confidential Nuclei.All Rights Reserved.HSM Secure boot Demo方案20248Demo方案支持全流程系统仿真：提供模版配置文件，一键加密打包脚本以及生成eFuse配置文件支持两级安全启动全流程仿真Demo方案提供完整的FPGA测试环境：FPGA环境下支持仿真环境下相同原始固件提供功能丰富