更多更高价值的数据、更薄的芯片和不断变化的客户群正在迫使半导体器件安全需求发生久违的变化。保护芯片不受网络攻击正变得越来越困难、昂贵和耗费资源，但也变得越来越有必要，因为其中一些芯片最终会出现在关键任务服务器和汽车等安全关键型应用中。

尽管进展不平稳，安全技术的应用也不一致，但安全在过去几年中一直是半导体行业的关注点。随着安全背后经济学的转变，关注度进一步提高。安全始终是一个风险与收益间的平衡，在大多数情况下，与半导体市场仍有一步的距离。但现在，随着系统厂商和OEM厂商越来越多地自己设计的芯片，而不是购买商业开发的器件和第三方开发商创建的IP，他们实际上在创建自己的生态系统和要求，安全是他们的核心考虑。

驱动力大致可分为三类

宏观层次。数据的价值在不断提升，数据有多个入口，从网络、软件一直到芯片和互连层。系统供应商面临着阻止安全隐患的压力，他们在各自的供应链上施加压力。

微观层次。随着新市场的出现，特别是边缘和人工智能，芯片制造商争相打造安全性更强的半定制化芯片。他们主要采取两种途径来实现这一目标，一种是“超级芯片”方法，一种是基于芯片粒的方法。在这种两种方法中，在架构中考虑安全性。

纳观层次。半个世纪以来特征尺寸的持续微缩已经使芯片减少到无法用简单的方法来保护芯片上的数据。更薄的绝缘材料、更好的扫描工具和更多的数据进出芯片的方式，都需要更复杂的安全方案。因为会影响功耗、性能和面积，这些方案需在架构中实现。

宏观层面

三个驱动力中最明显的是宏观层面。在推测运行和分支预测中发现了备受瞩目的安全漏洞，熔断（Meltown）、幽灵（Spectre）及预兆（Foreshadow），最终需要对数据中心进行昂贵的修复。所有的主要处理器厂商都不得不用软件来修补漏洞，这样一来，他们就取消了两种能有效提高性能的技术，已升级服务器来获取最新处理器效能的客户就失去了大部分的性能提升。这反过来又迫使他们增加更多的服务器，达到同样的时间内处理同样数据量的目标。

这也是系统厂商选择自己定制开发芯片架构的部分原因，可以在性能和功耗方面获取更大提升。许多人利用Arm内核和定制加速器（RISC-V、eFPGA），而不是仅仅依靠英特尔、AMD、IBM或Nvidia处理器。此举也将芯片的安全性完全置于自己的控制之下，而且它提供了一种设计自由度，因为新的解决方案不需要与特定的ISA向后兼容。

所有这些变化会产生多大的影响，还有待观察。然而，很明显的是，硬件攻击的经济效益正在发生变化。黑客入侵芯片和芯片系统所需的工具已不再是普通犯罪分子所能得到。同时，与软件漏洞相比，过去大多数针对硬件的攻击并不明显，因为主要涉及企业和政府实体，而这些实体都不喜欢引起人们对安全漏洞的注意。随着计算变得越来越普及和互连，潜在的攻击面正在扩大，涉及更多的设备，所有这些都将增加硬件攻击的显示度。

美国国家高级研究计划局（DARPA）微系统技术办公室项目经理Serge Leef说：“有四个主要的攻击面，每个攻击面都有不同的成本。第一个是供应链，它基于物理不可克隆功能（PUF）的大小，这里需要权衡尺寸，而非性能或功率。第二种是侧道攻击，取消了有源栅，可以使安全功能的规模翻倍，也可因产生随机噪声而耗能。第三种是逆向工程，即采用逻辑锁定或混淆的方式。因为使用的是额外的有源电路，对实物和性能都有影响。四是木马检测，也需要花费实物和性能的成本。”

对于军事/航空应用，硬件安全显然是必要的。但对于汽车来说，这是一个新的关键问题，因为汽车的电子架构还在不断发展。在过去的几年里，辅助驾驶和最终自动驾驶的基本策略已经从把所有东西都送到云端变为送回车辆集中处理，再分布式处理，最终是在传感器层面的分布式处理与使用结构化和清洁数据的集中处理相结合。部分原因是汽车制造商已经意识到，谁拥有电子基础设施，谁就拥有市场，他们不会被其供应商取代。保护汽车中数据的策略同样也在不断变化，以适应不同的架构。但由于违规行为的责任影响和勒索软件的潜在成本，人们越来越认识到，硬件和软件一样是被攻击的目标。这里的方法往往分为几个不同的阵营。

TortugaLogic的CEOJason Oberg说：“主要有两种攻击方式，一个是物理的，比如用激光射向芯片，并使用光学测量和显微镜；也包括物理性的侧信道攻击，如电磁辐射和热变化。要获得芯片的物理访问权，需要真正拥有该芯片。数字领域也有一些东西可以被远程利用，比如低层次微代码，利用了芯片的实际问题。我们看到远程攻击增长更快，特别是在商业领域。这些才是最可怕的，因为如果你发现的是工程上的缺陷，你不用把东西拆掉，也不用做逆向工程。但如果是对硬件发起攻击，你不能用固件打补丁。更难解决。”

此外，不管是谁设计的系统，几乎所有的系统都使用第三方IP。在汽车领域，这一点变得尤其具有挑战性，因为供应链是巨大的，系统需要对各种物体和环境条件做出反应。

ClioSoft市场副总裁Simon Rance说：“汽车领域的很多设计都是高度可配置的，它们甚至可以根据从传感器获得的数据在车辆行进中进行配置。数据正从这些传感器回到处理器。大量的数据从车辆到数据中心再到车辆，所有的数据都必须被追踪。如果出了问题，他们要追查，找出根源。这就是需要满足的地方。”

过去，跟踪和安全通常是分开的，但现在开始发生变化，特别是ISO26262提出对可追溯性的要求。Rance说：“我们肯定在这个领域看到了更多的牵引力。半导体知识产权提供商有这个牵引力已经10年的时间，随着知识产权的多种用途，尤其是法律协议的签订，肯定会越来越多。”

微观层面

需要多少种不同的安全方法，取决于细分市场和特定应用需要。每一种安全解决方案都有成本，所以这就涉及到数据的价值和每个器件的价格弹性。

Rambus公司防伪产品技术总监Scott Best说：“最大的问题是，他们到底是要追寻数据，还是要把整个系统搞垮。这是两个不同的攻击面。对手会跟踪采用不同套路和策略的人，对策也会不同，要么预防，要么拖延。你要拖到他们累了，转到你的竞争对手的系统上，而竞争对手的系统没有那么强的安全性。我们在防伪领域经常看到这种情况。通常你只是想拖延时间。”

成功的延迟是基于复杂的安全堆栈和最佳实践。只要有足够的决心，任何安全都可以被打破。但这也需要放在向边缘计算演进的背景下来看。所有东西都可以送到云端进行处理的物联网概念已经被证明在很多方面行不通，包括功耗、延迟及最终的成本。成本包括来回发送数据所需的功率和带宽、存储数据所需的内存量，以及处理大量数据所需的资源等所有一切。

目前的解决方案是在离数据源头更近的地方做更多的处理，在那里可以对这些数据进行处理和清洗。这就需要某种程度的智能来判断有用数据和垃圾数据，还需要将安全性本地化，并很好地集成到边缘设备/系统架构中。

面临的挑战是，边缘的许多开发从高度定制到半定制不等。管理这些成本的唯一方法是建立一个平台，利用类似乐高的芯片粒方法，或者采用超级芯片的方法。因此，无论采用哪种方法，现在都需要将安全基础设施扩展到整个供应链。

DARPA的Leef说：“我们已经看到了基于芯片粒的异构策略的努力，我们也看到了巨大的SoC，其中一些IP块已被停用。所以你可能有1到1000个模块组成的器件，其中70%是停用的。这都是通过软件来完成的，或者说你在哪里停用了一些区块。即使规模大，但性价比更高。你看到的是，经济曲线已经改变。制造业加码的成本更高。”

然而，这些区块或芯片粒中的每一个都需要安全，软件、固件以及可实现不同区块之间和外界通信的互连也需要安全。对于单一厂商开发的平台也是如此，针对特定的应用，会有不同的芯片叠加。

MaximIntegrated公司微观、软件和安全业务部门的执行总监Kris Ardis说：“我们已经为许多目的内置了安全功能。一种只是应用级安全而已。但我们也认为权重和网络配置是IP。我们把FPGA程序文件当作您的软件，C代码是您的IP。我们把安全加密放在里面的原因之一是我们希望能够安全地加载文件。如果你是一家合同制造商，你的网表文件是以原始形式发送，别人就可以拿着这个文件在你不同版本的芯片上进行编程。但如果它被加密且有安全启动，你的权重文件就像在普通软件下会受到保护的安全启动。这个路线图有很多部分。它是针对不同的网络、外围设备和应用而设计。但我们肯定会看到其他种类的安全和稳健性特征正在实现，特别是一些高端的工业和医疗应用。”

这也是有充分理由的。Synopsys公司首席安全技术专家Mike Borza说：“过去的攻击仅限于安全实验室，他们会进行故障注入以绕过安全方案。但随着影像技术价格的下降，它不再只是大学实验室和私人实验室在做。攻击已经不仅仅是研究。已经有实际的恶意攻击。对很多人来说，这还是有些深奥的问题，但我们正在看到芯片中做出改进。”

纳观层面

这一点在前沿节点上表现得最为明显，在那里建立有效的安全机制可能是最艰巨的挑战。在这些节点上开发的芯片是最复杂，成本最高，往往也最难保证安全。事实上，越来越多的人担心，继续微缩正在开辟过去从未存在过的新攻击面。

在10纳米及以下工艺，可在不实际接触芯片的情况下扫描加密方案。几年前，柏林工业大学的研究人员首次发现这是一个可能的攻击面，他们证明了通过在28纳米FPGA上利用光学非接触式探测，能够对芯片的比特流加密实施非侵入式攻击。此后，FPGA厂商安装了各种屏蔽和混淆技术，但一些熟悉这种方法的安全专家表示，他们对在不接触芯片的情况下查看数据加密方案的容易程度感到震惊。

在这些工艺节点上，更薄的绝缘层和更薄的衬底也意味着整个芯片的噪声更大。有些是由于电磁辐射，已经在芯片上造成信号干扰。芯片外也能听到。

Ansys公司产品营销总监Marc Swinnen说：“由于它基于硬件，如果系统有缺陷，一旦出现攻击，人为能做的就非常少。你可以使用软件发一个补丁。如果信号能透过封装听到，就得重新做一个。真的需要尽早设计。如果你看信用卡的芯片，每个开关都要消耗同样的电量。他们装了假开关，以阻挡电子探测。"

虽然特征尺寸微缩的好处对一些公司来说仍然具有足够的吸引力，但这些公司要求芯片制造商在这些先进节点上实施安全措施，而这些措施在老节点上是不必要的。

TortugaLogic的Oberg说：“随着结构越来越紧凑，更多的门电路被集成进入一块物理硅片，物理辐射量变得更难缓解。很多时候，你会在这些芯片中加入安全的网格，这样如果有人在那里用光照，就无法真正看到发生了什么。这些技术随着系统的变小而变得更加困难。”

这一点也延伸到了内存，在先进的芯片中，内存往往是脆弱的，因为它分散在裸片周围以减少数据需要在不同处理器件之间移动的距离。DRAM和SRAM是相对安全的，因为它们是易失的，当断电时数据就会消失。但是，在这些前沿芯片中，正在部署越来越多的非易失性存储器。

Rambus的Best说：“所有的嵌入式非易失性存储器一般有两种数据存储方式，要么使用基于电荷的方式，要么使用基于阻抗的方式。电荷式就容易多了。数据是坐在门电路上的一个位单元里，有各种各样的方法来提取这些数据。有一种技术叫做被动电压对比，就是用扫描电子显微镜（SEM）来实际感知电荷型存储器内部的电荷。有几十篇论文是关于人们用SEM这种方式从基于电荷的嵌入式非易失性存储器中提取内容。其他的非易失性存储器--MRAM、RRAM、相变存储器都是类似的，即位单元的阻抗会随着某种东西的功能而改变。改变了FRAM中的磁自旋，阻抗就会改变。在CBRAM（导电桥连RAM）中形成一个电感桥，阻抗就会发生变化。在RRAM中，有氧化物空位就改变了阻抗。这些都是基于阻抗的存储器。好消息是，一般情况下，对手对基于电荷的存储器比较熟悉。”

解决办法

对手在安全问题上通常分为三个阵营--拥有无限资源的国家，希望用有价值的东西（如勒索软件）获得回报的犯罪分子，或者希望破坏一些东西以寻求刺激的人。应用通常决定了风险，而风险又决定了所需的安全水平。

FlexLogix的CEOGeoff Tate说：“一切都有成本。所以，国防方面的需求和商业社会的需求是不同的。这对美军来说尤其困难，因为没有可信的代工厂。过去，所有的芯片都是由美国公司设计和制造的。现在，芯片都是通过标准的商业晶圆厂来制造，无法知道芯片是否发生变化和存在木马，甚至无法知道芯片是否是假冒的。人们对处理器架构的安全关注度很高，而这一点在嵌入式FPGA上很难突破。根据定义，FPGA是一片空白。”

另一个可以帮助的东西是机器学习，这是一把双刃剑，因为对手一心想利用机器学习来破坏系统，就像安全专家想要保护它一样。但如果建立了法律行为和交通的基线，防守效果会特别好。芯片和IP水印也是如此。

DARPA的Leef说：“如果一个公司即将向客户提供一个IP核，客户可以添加自己的代码。但IP厂商可以在发布该IP之前给它打上水印。未来，在该IP的设计方可以强制该IP进行自我识别。”

目前还在努力在芯片中建立可恢复性，使芯片在受到攻击后能够安全地重新启动。Arm在这方面的特别积极。现在有一个由MITRE开发的常见硬件缺陷数据库。MITRE是一个非营利组织，为美国政府管理联邦资助的研发中心。MITRE此前一直专注于软件。它在2月份推出了包括硬件在内的最新数据库。

结论

安全性始终包含经济风险评估的内容，但由于复杂性的增加和部件的变薄，以及数据量和处理数据价值的增加，风险也在增加。这促使芯片制造商开始更加重视安全问题，并要求每个与他们有业务往来的人也这样做。

以前，安全主要是一个独立的特性。在涉及任务和安全关键型设计的市场中，现在已与设计、系统架构和潜在责任紧密交织在一起。凡是经济上有需要的地方，现在业界似乎都已经做好了跟随的准备。