1、 安全硬件系统开发 白皮书白皮书 WP100-1.1,2021-12-06 版权所有版权所有 2021 广东高云广东高云半导体科技股份有限公司半导体科技股份有限公司 、Gowin、GOWIN以及高云均为广东高云半导体科技股份有限公司注册商标, 本手册中提到的其他任何商标，其所有权利属其拥有者所有。未经本公司书面许可，任何单位和个人都不得擅自摘抄、复制、翻译本文档内容的部分或全部，并不得以任何形式传播。 免责声明免责声明 本文档并未授予任何知识产权的许可，并未以明示或暗示，或以禁止发言或其它方式授予任何知识产权许可。除高云半导体在其产品的销售条款和条件中声明的责任之外，高云半导体概不承担任何法律

2、或非法律责任。高云半导体对高云半导体产品的销售和或使用不作任何明示或暗示的担保，包括对产品的特定用途适用性、适销性或对任何专利权、版权或其它知识产权的侵权责任等，均不作担保。高云半导体对文档中包含的文字、图片及其它内容的准确性和完整性不承担任何法律或非法律责任，高云半导体保留修改文档中任何内容的权利，恕不另行通知。高云半导体不承诺对这些文档进行适时的更新。 摘要 WP100-1.1 1(14) 摘要摘要 物联网(IoT)引入了大量不同种类的设备，这些设备具有自己独特的系统属性。根据爱立信 2018 年移动报告显示，2018 年实现了 10 亿次蜂窝物联网连接，预计到 2023 年将增长到 35

3、 亿次。这些独特的物联网硬件系统，带来了新一代的安全威胁，攻击者不仅可以访问数据，还可以直接对公共环境中设备进行本地化控制和监控，这可能危及个人安全，甚至是全球安全。 产品安全在生产和采购的各个阶段都存在漏洞。从元器件级上看，器件在工厂测试、封装或装运期间都存在安全风险；从板级来说，最终产品在开发、测试或制造过程中都可能会被篡改或植入漏洞；网络产品制造完成后，器件也可能会被逆向仿制、黑客攻击或克隆。所有这些情况都有可能导致关键数据被访问、监控或控制。 为了避免这些问题，系统中的一个或多个集成电路设备需要建立安全根（Root of Trust，RoT） 。这些设备能为系统提供加密功能，可用于安全

4、启动、校验固件、生成或验证密钥、证书、签名以及加密或解密数据。 RoT 设备可以通过安全链为系统的其余部分提供安全功能。从安全的角度来看，它是系统中最关键的设备，因为如果它被攻破，整个系统都会受到威胁。因此，从芯片制造到产品，充分评估 RoT 器件的生命周期至关重要。 加密函数使用密钥对来识别和确认系统功能。生产 IOT 的半导体厂商需要能建立起与 IOT 器件内部的私钥匹配的根密钥。IoT 设备的私钥应该是不可被外界访问的，也不会独立于器件存在。如果私钥在器件制造过程中可被访问，则该器件可能被克隆或攻击。此外，如果密钥存储在器件的 Flash中或配置信息（Fuse）中，则密钥可能会在芯片制造

5、过程中泄露，或者在产品制造过程中被进行逆向工程和仿制。 为了解决这两个问题，RoT 设备应该具有物理不可克隆功能（PUF）性, PUF 使用硅元素的某种固有属性作为随机标识符。当设备上电时，可以使用该特性生成密钥对，而不是将其存储在可能被逆向的特定区域。此外，为了防止设备克隆，设备制造商应得到 RoT 设备授权证书。此证书具有基于加密引擎中根密钥对的签名。设备制造商认证授权的签名可以验证设备的真实性，确保 RoT 设备本身不是克隆体。 遵守标准对于确保 RoT 设备中的安全模块与系统的其他部分兼容也很重要。除了遵守国家标准与技术协会(National Institute of standard

6、s and Technology)制定的标准外，符合随机数生成标准 SP 800-90，平台固件保护恢复（PFR）标准 SP 800- 193 也是考量安全性和兼容性的重要因素。 安全设备和 RoT 设备选择 WP100-1.1 2(14) 安全安全设备设备和和 RoT 设备设备选择选择 对于给定系统中的安全设备一般有两种选择：MCU 和 FPGA。这两种系统各有优缺点。MCU 具有易用性的优势，它更容易获取一些库和应用程序编程接口（API)的授权，且这些库和 API 在器件间更容易移植。比如FreeRTOS 和 MBED TLS，已被广泛用于嵌入式物联网系统且在此系统中很容易获取 TCP/I