安謀中國自研“再下一城”：賦能中國安全生態(tài)

安謀中國作為一家中國芯片IP企業(yè)，自成立至今公開發(fā)布了五條自主IP產(chǎn)品線：“周易”AIPU、“星辰”處理器、“玲瓏”ISP處理器、“玲瓏”VPU“和山海”物聯(lián)網(wǎng)信息安全解決方案，前四個產(chǎn)品線早前被逐一發(fā)布，“山海”則屬于一直以來比較神秘的一條產(chǎn)品線。

日前，恰逢安謀中國成立三周年，這一全棧安全解決方案“山?！?span>S12正式發(fā)布，21ic中國電子網(wǎng)受邀參加此次新產(chǎn)品發(fā)布會。

面向更強(qiáng)算力和更廣場景

根據(jù)安謀中國安全產(chǎn)品經(jīng)理耿建華的介紹，實(shí)際在“山?！?span>S12之前還存在第一代“山?！碑a(chǎn)品。早在2019年8月安謀中國曾發(fā)布 “山?！?span>E10和E20，這一代產(chǎn)品主要面向Cortex-M系列微控制器系統(tǒng)，彼時主要是定位在IoT的安全解決方案。E10和E20兩者定位區(qū)別主要在于TrustZone上，E10支持前期架構(gòu)包括Armv6-M、Armv7-M，E20則支持擁有TrustZone技術(shù)Armv8-M架構(gòu)。

全新發(fā)布的“山?！?span>S12則主要面向Armv7/8-A和Armv7/8-R系列應(yīng)用處理器系統(tǒng)，與M系列不同，A系和R系應(yīng)用處理器的算力更大、處理能力更強(qiáng)，“山?！?span>S12也將定位于AIoT的安全解決方案。

根據(jù)耿建華的介紹，“山海”S12包括硬件加解密引擎、固件和軟件、SaaS軟件三個部分。

硬件架構(gòu)方面，根據(jù)耿建華的介紹，硬件加解密引擎TrustEngine-600是“山?！盨12最核心的一部分?！鄙胶！盨12不僅支持國際通用加密算法，也支持國家自主的商用算法，包括對稱算法、非對稱算法和哈希算法。另外，在真隨機(jī)數(shù)上也同時支持本土標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)。此外，“山?！盨12中OTP以可行跟的形式存在，核心跟秘鑰會保存在其中。

耿建華強(qiáng)調(diào)，硬件上“山海”S12支持豐富的算法，為了減少產(chǎn)品的面積和和集成復(fù)雜度，根據(jù)場景應(yīng)用不同也可對算法進(jìn)行裁剪或算法能力配置，以此可以減少產(chǎn)品的成本。

軟件架構(gòu)方面，根據(jù)耿建華的介紹，“山?！?span>S12提供了豐富的軟件棧。在啟動態(tài)上，支持安全啟動、恢復(fù)、安全調(diào)試、安全燒錄，特別是可將安全信息包括Root Key、設(shè)備Key、證書和定制化數(shù)據(jù)，通過工具燒錄回設(shè)備中。在運(yùn)行態(tài)上，“山海”S12分為安全環(huán)境和非安全環(huán)境，在安全環(huán)境下提供設(shè)備身份驗(yàn)證、證書存儲、設(shè)備管理、FOTA、TEE可信操作系統(tǒng)等，在非安全環(huán)境下提供設(shè)備管理、FOTA、Linux和Kernel加解密增強(qiáng)等。

SaaS應(yīng)用軟件服務(wù)方面，包括設(shè)備管理、固件在線升級（FOTA）和安全燒錄。據(jù)介紹，內(nèi)部測試中可以支持大概100萬的設(shè)備，如果通過服務(wù)器的平行擴(kuò)展可以支持更多的設(shè)備，此外安謀中國也將會在整個的交付包里交付大家。

“山?！?/span>S12優(yōu)勢明顯

實(shí)際上，安全問題伴隨萬物互聯(lián)時代逐漸被重視。尤其是AIoT的場景之下，數(shù)據(jù)的處理能力更加強(qiáng)勁，應(yīng)用更加多樣化，在此方面對安全的虛構(gòu)更強(qiáng)，安全威脅更加復(fù)雜。

Turnkey解決方案是“山?！?span>S12的優(yōu)勢之一。產(chǎn)品面向的是AIoT的端、管、云一體的安全方案，是以硬件加解密引擎為基礎(chǔ)并具備豐富的安全固件和SaaS軟件能力的產(chǎn)品。當(dāng)合作伙伴想要做安全產(chǎn)品時，可以非?？焖俚剡x擇產(chǎn)品中的安全能力，快速集成產(chǎn)品并加速上市。

靈活可配置性是“山?！?span>S12的優(yōu)勢之二?？蛻艨梢愿鶕?jù)自身產(chǎn)品安全需求進(jìn)行靈活配置和靈活裁剪，形成一種“搭積木”的模式，這樣可以減少復(fù)雜度和降低成本。另外，耿建華強(qiáng)調(diào)，安謀中國也會對整個Arm未來的安全架構(gòu)提供非常好的支持。

以客戶為中心的支持是“山海”S12的優(yōu)勢之三。“山?！?span>S系列和E系列產(chǎn)品都是本地化團(tuán)隊(duì)開發(fā)設(shè)計(jì)的，整個技術(shù)支持團(tuán)隊(duì)也是由本地工程師組成，形成本地化技術(shù)支持。此外，產(chǎn)品不僅支持國內(nèi)和國際多個安全標(biāo)準(zhǔn)，客戶的芯片或設(shè)備在進(jìn)行PSA或國密認(rèn)證時安謀中國均可提供相關(guān)支持。與此同時，也會借助Arm強(qiáng)大的生態(tài)能力提供整個Arm生態(tài)支持。

高質(zhì)量的產(chǎn)品交付是“山?！?span>S12的優(yōu)勢之四。耿建華強(qiáng)調(diào)，安謀中國擁有與Arm相同的開發(fā)流程和交付標(biāo)準(zhǔn)，因此提供和交付的產(chǎn)品均具有高標(biāo)準(zhǔn)，不會導(dǎo)致客戶在集成和開發(fā)中因?yàn)橐恍╁e誤導(dǎo)致項(xiàng)目延期，這也是安謀中國在標(biāo)準(zhǔn)上的承諾。

聯(lián)合其他IP賦能本土安全生態(tài)

“山?！?span>S12基于Arm技術(shù)，必然也與Arm演進(jìn)息息相關(guān)。根據(jù)安謀中國安全產(chǎn)品研發(fā)架構(gòu)師、技術(shù)總監(jiān)呂達(dá)夫的介紹，Arm在架構(gòu)演進(jìn)過程中，安全是一個重要的演進(jìn)方向。Arm的TrustZone技術(shù)已有十幾年的演進(jìn)歷程，除此之外Armv8.3、8.4、8.5等架構(gòu)升級逐步引入PAC（Pointer Authentication Code）、 BTI (Branch Target Identification)及MTE（Memory Tag Extension）等相關(guān)的技術(shù)。這些技術(shù)一方面是對代碼進(jìn)行隔離，從而減少程序被攻擊面；另一方面是限制程序指令的執(zhí)行流和數(shù)據(jù)流的流向，從而免受到黑客的攻擊，為黑客攻擊這些設(shè)備帶來額外的成本。

Arm在3月底發(fā)布了最新的Armv9架構(gòu)，全新架構(gòu)中引進(jìn)了全新的機(jī)密計(jì)算架構(gòu)CCA并基于此前的TrustZone引入動態(tài)創(chuàng)建機(jī)密領(lǐng)域的概念。另外，Arm還和產(chǎn)業(yè)伙伴一起推出了PSA（Platform Security Archtecture）安全認(rèn)證，從而引領(lǐng)Arm的安全技術(shù)不斷向前發(fā)展。

實(shí)際上，在任何設(shè)備都聯(lián)接入網(wǎng)后，安全技術(shù)需要滲透到生活之中。安謀中國產(chǎn)品研發(fā)常務(wù)副總裁劉澍認(rèn)為，安全保護(hù)的關(guān)鍵在于信息保護(hù)、信息隔離、設(shè)備安全管理上。

劉澍強(qiáng)調(diào)，歸根結(jié)底Arm或安謀中國做的其實(shí)還是計(jì)算型的工作，在提供CPU、GPU、人工智能、ISP、VPU這些計(jì)算單元后，又加入了一層安全機(jī)制，而這項(xiàng)安全技術(shù)是來做保險柜的，但并不限制客戶、芯片公司包括OEM將其用在什么地方，最重要的是在整個計(jì)算中建立起信任的計(jì)算機(jī)指。

目前來說，安謀中國坐擁“周易”、“星辰”、“玲瓏”，“山海”與這些產(chǎn)品線不同，但是是結(jié)合在一起的，“山?！敝v究的系統(tǒng)安全性不是由這一個單獨(dú)點(diǎn)來保證的，是要跟著幾個IP一起實(shí)現(xiàn)的。

“山?！边@條產(chǎn)品線經(jīng)歷了三年兩代產(chǎn)品的研發(fā)，目前已獲得20余家授權(quán)客戶。展望“山?！?span>S12在中國市場的目標(biāo)，耿建華表示希望半導(dǎo)體行業(yè)如果用到安全IP，會首先會想到安謀中國。與此同時，希望通過創(chuàng)新來賦能中國的安全生態(tài)，與本土的合作伙伴一起共同成長。