本土RISC-V CPU IP領軍企業——芯來科技正式發布基于RISC-V處理器的HSM子系統解決方案，提供專業有效的信息安全保護以及加解密功能。

隨著通信和網絡的不斷進步與發展，高速的信息傳遞和設備互聯已經成為了必然的趨勢，這對于信息安全保障提出了更高的要求，防止信息泄露的需求與日俱增，對于芯片的安全防護能力是極大的挑戰，系統設計亟需完整的安全解決方案。

此次芯來科技發布的HSM子系統，作為針對信息安全的完整解決方案，旨在幫助各類場景對于芯片層面信息安全的需求。HSM是硬件安全模塊(Hardware Security Module)的簡稱。HSM通過驗簽和加解密等功能來保護系統認證所需要的密鑰和敏感數據，同時可以為在線升級、固件升級等提供安全保護，以確保傳輸消息和數據的機密性和可靠性。

加解密和驗簽等功能都依賴于較為復雜的算法，軟件方案的效率較低，會影響系統整體的性能。專用于加解密和敏感數據管理的HSM硬件加速模塊可以在提高運算的效率的同時提供強有力的保護。目前在汽車電子領域，HSM已經成為了必不可少的模塊，且擁有用于汽車電子的特定標準，HSM通過其自己的處理器核心來執行汽車應用場景所需的所有IT安全功能。芯來科技的HSM模塊已經可應用于汽車電子、網絡傳輸、視覺安防、工業控制等領域。

芯來科技提供與Host系統緊耦合的HSM子系統，主要包含控制、通信、加解密等部分核心模塊：

芯來自研的RISC-V CPU：可根據具體需求選擇N300（普通系統）、NS300（安全防護更高）以及NA300（汽車電子）

MAILBOX：HOST訪問HSM內部資源的唯一通道

EFUSE：密鑰等信息安全存儲

BROM：HSM第一級BootLoader

CRYP：對稱加解密模塊

ACRYP：非對稱加解密模塊

HASH：哈希算法模塊

TRNG：真隨機數生成模塊

芯來的HSM模塊提供完整的安全啟動流程，安全啟動中包含兩級驗證和加載啟動，分別為芯片級和系統級兩個層級，對應芯片廠商和系統廠商，每一級廠商都可以擁有自己的密鑰對。

芯片廠商提供BootROM和一級Loader(NSBS固件)，處于HSM系統中。芯片廠商的公鑰用于驗簽一級Loader(NSBS固件)，而系統廠商的公鑰用于驗簽HOST系統的固件程序，軟件啟動流程如下圖所示：

NSBS模塊除了提供安全啟動以外，還可以通過MAILBOX給HOST系統提供運行時的安全服務，包括：

密鑰管理

加解密運算

哈希計算

eFuse燒寫

密鑰生成

HSM Secure Boot支持12種安全啟動組合，支持動態選擇：



Secure Boot支持全流程系統仿真：

提供模版配置文件，一鍵加密打包腳本以及生成相配套的eFuse初始化文件

支持兩級安全啟動全流程仿真

Secure Boot提供完整的FPGA測試環境：

FPGA環境下支持和仿真環境相同的原始固件

提供功能完善的上位機工具，支持生成并燒寫eFuse配置文件和打包原始固件，不需要額外的燒寫工具

芯來的HSM提供非對稱認證和對稱加解密解決方案：

非對稱認證，主要用于驗簽：

芯片廠商和系統廠商擁有各自獨立的密鑰對；

支持ED25519,RSA2048/4096以及國密SM2驗簽算法

對稱加解密，主要用于固件加解密

芯片廠商和系統廠商各自擁有根密鑰

支持AES和國密SM4加解密算法

支持RFC3394定義的AES以及GB/T 36624-2018定義的SM4密鑰封裝算法，提供更高的安全性能

芯來科技為HSM解決方案提供功能完整豐富的上位機工具(NSTools)：

該上位機工具提供兩大功能，幫助客戶更便捷的使用HSM方案：

固件打包功能：

支持兩級鏡像的打包，多級密鑰生成

根據UI界面的配置，生成固件頭，加密固件，計算固件摘要和簽名，生成打包后二進制文件

生成eFuse配置文件

燒寫功能：

DFU：燒寫或者擦除Nor Flash指定某個扇區以及整片，可以實現在線更新固件

eFuse燒寫：單bit或者單word燒寫，根據生成或者指定的eFuse配置文件進行批量燒寫

除了上述功能以外，芯來HSM解決方案還支持其它六大安全特性： 安全存儲

支持flash數據通路上的on-the-fly硬件流解密

密鑰銷毀

支持備份密鑰

支持密鑰銷毀

防止代碼回滾

支持固件版本管理

鎖定軟件bootloader更新

支持限制軟件bootloader，提高安全性；

生命周期管理

開發模式

量產模式

支持備份鏡像，支持多種加解密算法

信息安全的保護是當下電子產業必不可少的元素。RISC-V作為開放標準的、可擴展的指令集能夠進一步提高了HSM子系統的靈活性以及高度可定制性，同時為國產自主提供了更穩定的基礎。芯來科技背靠中國本土市場，將不斷完善以芯來RISC-V CPU為核心的HSM安全方案特性，致力于打造完整的信息安全解決方案，配合行業的演進以及發展趨勢，目前HSM安全方案已經落地，并且正式進入了商用階段。

關于芯來科技 芯來科技成立于2018年，一直專注于RISC-V CPU IP及相應平臺方案的研發，是本土RISC-V領域的代表性企業。

芯來科技從零開始，堅持自研，打造了N/U、NX/UX四大通用CPU IP產品線和NS、NA、NI三個專用CPU IP產品線。其中：

* N/U(支持SV32 MMU）是32位架構，主要用于邊緣計算、低功耗和IoT場景；

* NX/UX（支持SV39和SV48 MMU）是64位架構，主要用于數據中心、網絡安全、存儲等高性能應用場景；

* NS（Security）面向支付等高安全場景；

* NA（Automotive）面向功能安全汽車電子場景；

* NI（Intelligence）面向AI等高性能計算場景。

目前已有超過200家國內外正式授權客戶使用了芯來科技的RISC-V CPU IP，遍及AI、汽車電子、5G通信、網絡安全、存儲、工業控制、MCU、IoT等多個領域。



審核編輯：劉清