Arm于2018年对其中国业务进行拆分,成立了独立运营、中方控股的合资公司——安谋中国。结合中国市场需求,安谋中国自主研发了基于Arm技术的IP与标准,赋能本土芯片生态合作伙伴已超过200家。

 

安谋中国为人熟知的产品线包括CPU处理器“星辰”、AI产品线“周易”、多媒体产品线“玲珑”。近日,安谋中国迎来三周年之际,最神秘、低调的安全产品线“山海”系列,发布面向 AIoT 系统的全栈安全解决方案“山海”S12,可以广泛应用于智能手机、平板、智能电视及安防等行业,为多种安全解决方案如数字版权保护、AI 安全、身份认证等提供基础安全能力。目前,“山海”S12已经可以进行交付。

 

安谋中国产品研发常务副总裁刘澍表示:“中国AIoT产业目前正处于高速增长的阶段,AIoT基础设施对安全性的要求也越来越高。一款好的安全产品除了要具备优异的性能,还需要能够快速响应客户的定制化需求。‘山海’S12显示出安谋中国面向市场的快速反应能力和向客户提供快速服务的支持能力。以‘山海’为代表,我们持续丰富的自研产品线也证明了安谋中国在信息安全等领域的研发实力和技术储备。”

 

四大优势、一站式安全

 

“山海”S12由安谋中国自主研发,自2019年8月发布上一代产品E10/E20后,这是“山海”产品线的又一次重大升级。S12包含硬件加解密引擎、安全软件和安全服务三大部分,从芯片的安全 IP 层到云端安全应用和安全管理提供全链路的安全保护。它重点匹配基于Arm Cortex-A和Cortex-R的CPU,不仅能与Arm安全基础架构形成系统协同,同时支持未来的 Arm 安全架构,从而激活整个Arm安全生态体系的能力。

 

安谋中国安全产品经理耿建华在回顾两代“山海”产品的发展时谈到,上一代E10/E20主要匹配Cortex-M系列的MCU应用,是面向IoT领域的安全解决方案。其中,E10和E20的区别在于是否支持TrustZone。因为随着Arm架构的演进,基于v8架构的M系列处理器可以支持TrustZone技术,E10支持更为前期的架构(v6、v7),因此不支持TrustZone,而E20可以支持。

 

 

S12则比上一代具备更高的性能,它所面向的Cortex-A和Cortex-R系列应用处理器,比M系列算力更大、处理能力更强,是专门针对AIoT的安全解决方案。S12的硬件加解密引擎可支持多达16个Host同时访问,为多应用场景提供安全支持,可为相关设备在一个平台上运行多个操作系统,或者在一个操作系统上运行多个应用的场景提供安全保护。

 

“山海”S12 的核心模块是TrustEngine-600密码算法引擎,支持国际通用算法以及中国商用密码算法,可更好支持客户安全业务多样性的需求。TrustEngine-600默认支持Arm TrustZone,其算法及安全能力可根据需要灵活配置。
 

“山海”S12硬件架构

 

用户既可以使用安谋中国提供的随机数方案,也可以自定义随机数方案。“山海”S12还提供丰富的软件能力,包括安全启动、安全调试、安全烧录等。同时,“山海”S12可以提供云端的设备管理以及安全升级应用,为 OEM 和云服务提供商快捷实现设备管理和固件升级提供安全部件。

 

 “山海”S12软件栈

 

总体而言,“山海”S12核心优势主要体现为四方面:

 

第一,作为端、管、云一体的安全解决方案,支持硬件加解密引擎、安全固件、SaaS软件,能够通过Turnkey方案帮助产品快速进入市场。第二,具备快速集成和对多场景的适配能力,体现为:模块化设计、可灵活配置算法及能力,以及丰富的固件支持,为快速集成提供保证,帮助芯片快速推向市场;便于用户对“山海”S12的算法和能力进行优化配置来增强适应力,满足不同场景对系统安全防护强度的不同需求,有效提高系统集成效率,降低产品成本。第三,同时支持国内和国际两套密码算法,提供生命周期安全管理,通过3级密钥派生增强密钥安全的管理能力。第四,提供本地化技术支持和Arm生态的支持,以及与Arm相同的高质量的交付标准。


Arm架构的安全根基

 

安谋中国安全产品研发架构师、技术总监吕达夫介绍,为了应对智能物联网的风险,Arm架构演进过程中始终将安全作为重要的技术方向。Arm的安全体系引入了很多先进技术,比如TrustZone技术已经有十几年的演进历程了,最近的Armv8.3/8.4/8.5等架构升级会引入PAC(Pointer Authentication Code)、 BTI (Branch Target Identification)及MTE(Memory Tag Extension)等相关的技术。这些技术的目的主要包括两方面,一是对代码进行隔离,减少程序的被攻击面;另一方面是限制程序指令的执行流和数据流的流向,免受黑客攻击。

 

最新发布的Armv9架构中,引入两大安全技术:首先是机密计算架构(Confidential Compute Architecture),可以视作是Arm TrustZone架构的增强和演进,通过CCA架构升级,进一步增加了黑客破解这些IoT设备的难度。此外,Arm和产业伙伴推出了Platform Security  Architecture (PSA)的安全认证,引领Arm安全技术不断向前发展。

 

吕达夫强调了安全连接的重要性,因为网络连接可能会给黑客远程攻击联网设备提供可乘之机。“山海” S12的安全连接主要采用TLS协议,基于通信双方标准的X509身份认证,在Arm TrustZone内部生成一次性密钥,通过这个密钥对通讯数据进行加密和完整性校验,从而保证了数据的私密性和完整性,使得黑客通过网络攻破AIoT设备变得更加困难。


底层安全技术是AIoT应用的“保险柜”

 

安谋中国产品研发常务副总裁刘澍表示,物联网安全主要包括三方面:首先是信息的保护,保证联网设备信息的安全性;其次是信息的隔离,保证联网设备数据之间的相互隔离;第三是设备安全性的管理,在设备升级或加入新应用、新服务的同时,更新/升级这个过程本身需要被安全地管理起来。

 

耿建华认为,安全场景和具体的安全需求就实实在在地存在于我们身边,而这些都需要底层的安全技术来提供保障。

 

他以安防监控和智能手机两大场景为例谈到:安防监控的基础是系统/设备支持我国自主的商用密码算法,其次设备跟云端之间要建立安全连接,第三是设备和云端之间要做到双向的认证,第四是数据必须要做加密和签名,传输到后台和云端也需要安全的存储。以上这些,是安防监控主要的安全要求。

 

智能手机方面,以安卓手机为例,首先需要安全启动,也就是说程序必须是安全可信的,启动后设备才是可信的;第二,手机上运行的每一个APP应用都需要安全隔离;第三是身份认证,不管是哪一种生物识别技术,或是输入PIN码,都需要有加解密的安全机制和密钥,以及TrustZone基础上的TEE操作系统。

 

“安全技术像是保险柜,最重要的是在整个计算中建立起可信任的计算机制,在这种机制下,让不同厂商充分发挥他们的创造力,给我们带来丰富多彩的服务”, 刘澍强调,“安谋中国从成立之初就视安全为根基,安全产品线经历三年研发,发布了两代产品,目前已在安全产品方面有20多家授权客户,今年年底将会有更多产品流片和量产。”