今天的生產線越來越容易受到 IP 盜竊和逆向工程攻擊。精明的芯片制造商知道建立安全系統來防范它們。

AspenCore Media 深入探討了 21 世紀安全與隱私在何處相遇的問題。這個特別項目包括：坐在網絡安全和隱私的十字路口、為數據隱私設計硬件和面部識別：丑陋的真相。

人們越來越認識到安全性在一般計算中的作用，尤其是在當今的先進微處理器 (μPs) 中，這促使謹慎的芯片制造商尋找在制造過程中保護其產品的方法。此外，投資于確保片上系統 (SoC) 制造過程的安全，可以將負債轉變為重要資產。在連接設備的聚寶盆之間建立信任是當今連接世界的基本安全挑戰，可以從安全制造的受控環境中受益匪淺。越來越清楚的是，在連接設備的整個生命周期中建立可驗證的來源正成為現代計算環境的一個重要特征。

Rambus 的 CryptoManager 基礎架構旨在保護生產線上的硅制造過程，旨在解決一個具有挑戰性的問題，即實現強大的安全性，同時最大限度地減少系統的額外壓力和代價高昂的中斷的可能性。

兩個商業因素加劇了當今半導體生產的問題，制造商已經背負著巨大的復雜性和潛在的安全風險。一是純粹的生產成本考慮，這迫使芯片制造商將制造轉移到海外。在實踐中，這意味著他們不再完全控制用于制造產品的生產線，使他們只能選擇遠程管理生產過程。第二個因素涉及在制造過程中引入安全性的難度，需要在安全性與其他重要因素(例如總體成本和生產吞吐量)之間取得適當的平衡。

為了在集成電路制造過程中發起和維護私人通信，需要在各方之間建立安全通道。如果沒有私人信息，更具體地說是加密密鑰，只有通信各方可以訪問，這樣做是不可能的。正是這樣一個安全通道是構建遠程控制操作環境的基礎。此外，運行安全通道所需的使用這些密鑰的計算需要以受保護的方式執行，這樣攻擊者在使用密鑰時無法觀察到它們，或者理想情況下，無法推斷出有關密鑰的任何信息. 雖然在使用過程中使用和保護密鑰是必要的，但這肯定是不夠的。密碼學本身無法建立信任;

我們信任的密鑰

當需要在 SoC 設備的安全核心和后端(例如屬于芯片制造商的服務器)之間建立安全通道時，通信對等方需要執行安全通信協議。在不同的情況下，一種協議的選擇可能比另一種更可取，但在任何情況下，都需要在通信實體之間共享密鑰或相關數據的過程。

如前所述，初始密鑰共享或更廣泛地說，信任建立不能僅使用密碼學來實現。換言之，通信實體之間、所有 Alice 和所有 Bob 之間的信任需要在帶外建立——例如通過對手無法觀察到的實質不同的信息傳輸通道。這種實質性差異不僅可以通過使用不同的傳輸機制來引入，例如在各方之間連接物理總線，用作傳輸秘密的受保護管道，而且還可以通過在不同的時間執行傳輸——即在一個使對抗性觀察盡可能困難的時期。

從安全角度來看，半導體制造的晶圓分類階段是將密鑰傳輸到每個 SoC 的產品生命周期中的理想點。這是因為晶圓分類是設備生命周期中可以引入唯一或可識別信息的最早階段。通常，在此期間，將序列號編程到 SoC 中，以便識別和跟蹤它們。此外，在這個階段，所有 SoC 在相當受控的環境中以相對較少的站點以統一的方式進行處理。

CryptoManager 基礎設施系統將安全核心集成到每個 SoC 中，并提供與芯片制造商的制造基礎設施一致的后端系統。該系統使用已建立的安全通信協議的變體，在其自身和設備之間建立安全連接。一方面，這些連接允許它確保以受控方式執行制造過程，而另一方面，它們能夠將密鑰和其他數據初始配置到內核。正是這個過程建立了對整個系統的信任，其結果可以作為未來安全通信的基礎。

將它們全部植根

于此類系統的核心是一個安全的 IP 內核，稱為信任根 (RoT)，嵌入在目標 SoC 中。RoT 可以執行多種功能——在靜態和操作期間保護密鑰，運行協議以建立安全通道，并充當端點內訪問控制的策略執行點。這種功能組合允許它充當端點內的信任錨。請注意，所有這些功能都是代表特定實體執行的——控制信任根的實體。這樣的實體被稱為租戶實體，或者簡稱為租戶。

重要的是要認識到信任根周圍的環境會隨著時間的推移而發展。最初，端點只是一個電路，控制制造過程的是硅制造商，因此最初擁有 RoT 及其密鑰。在某一時刻，SoC 被賣給客戶，客戶將其進一步集成到產品中，最終成為手機、廚房電器或工業機器人。出售 SoC 后，端點的新所有者可能會控制它。此外，系統集成商、運營商或最終用戶可以購買 SoC 和 RoT，作為子系統或設備的一部分。每次對設備的控制發生變化時，都非常希望在信任根的所有權中反映這一事實，已集成到此端點中。簡而言之，CryptoManager 核心的一個重要特性是，由于信任根在其整個生命周期中由多個租戶控制，因此信任根本身的狀態會相應發生變化。

多租戶及其影響

RoT 可以根據他們的憑據對多個租戶進行身份驗證。在最一般的情況下，租戶可以在給定的 RoT 內共存——也就是說，每個租戶都可以在信任根生命周期的同一時期使用自己的憑據更改核心的狀態。但是，在完全合理的情況下，當端點的所有權發生變化時，每個先前實體的訪問都會完全關閉。CryptoManager 內核支持這兩種情況。事實上，核心支持各種不同的租戶共存或隔離配置的場景。

用于安全芯片制造的基礎設施組件

現在，讓我們檢查一下后端系統的配置，該系統支持制造期間的密鑰配置。在高層次上，我們希望構建一個既安全又高可用性，以及集中控制和分布式的系統。對安全性的渴望是給定的，因為整個解決方案旨在為許多進一步的用例提供安全基礎。

如前所述，對可用性的需求是由即使是制造過程的微小延遲所造成的高昂中斷成本所決定的。剩下的兩個要求——一個用于中央控制，另一個用于分布式配置——是由外包制造的屬性推動的。

正是需要解決這些相互沖突的要求，才導致我們進行了以下后端系統配置。屬于芯片制造商的三種組件構成了這樣的系統。它們是根、代理和供應商。

根實體是離線授權組件。它的功能是制裁系統內的所有重要活動，存儲高價值密鑰，并啟用所有 SoC 安全核心交易。它是氣隙的，可為系統中最需要它的部分提供最高級別的安全性。其他高安全性功能，例如智能卡綁定登錄憑據和仲裁身份驗證，通常是根實體功能的一部分。

經紀人實體通過基于 Web 的遠程用戶界面監督所有半導體制造或現場管理功能的所有供應活動。此外，它還收集并呈現來自系統內組件的實時制造數據。

供應商實體是系統的邊緣設備。它物理上位于硅制造期間的生產線，或者在端點生命周期的后期階段，位于數據中心，在那里它能夠建立與包含信任根的設備的連接。

在制造案例中，它通過自動化測試設備 (ATE) 與信任核心的根進行通信。在后一種情況下，通信鏈路的選擇取決于集成 RoT 核心的端點內的連接選項。

代理或供應商實體被部署為容錯防篡改服務器集群。代理集群連接到供應商集群，通常使用加密的互聯網連接。然而，其他類型的數據傳輸被設計為系統支持。

為了提高其安全性，硬件安全模塊 (HSM) 被集成到安全制造系統的每個后端節點中。

結論

互聯世界中的許多應用程序都依賴于安全性，尤其是在一組設備需要相互通信或與支持基礎設施通信的環境中。硅制造過程提供了一個獨特的機會窗口來引導此類分布式系統的安全性，并允許在其基礎上構建大量與安全相關的用例。

審核編輯：湯梓紅