高性能、低延迟的内存加密在保护数据的同时保持性能。
超级计算时代的巨大数据和带宽增长正在推动各个市场的技术进步,并正在重塑片上系统(SoC)设计,支持新的计算架构、更大的加速和更大的存储。随着包括DDR、PCIe、CXL、以太网、HDMI和DisplayPort在内的高带宽接口的不断增多和发展,相关数据和系统的安全性也在不断提高。随着越来越多的敏感和私人信息在设备和云之间收集和移动,确保强大的保护水平并与最新的标准和法规保持一致至关重要。
无论是保护HPC、移动、物联网和汽车soc中的传输数据还是静止数据,安全实现都需要优化,保持接口的性能,同时减少对延迟和面积的影响。
目前,安全性正在半导体行业占据中心地位,所有接口和数据都需要得到保护。毕竟,SoC的安全性取决于其最薄弱的入口点。本文介绍了一些关键的安全接口,设计人员可以利用这些接口来保护当今互联世界中的soc。
如图1所示,SoC中有许多接口需要安全保护,以防止读取/修改/重新排序/删除数据、中间人和恶意行为者进行的其他攻击。
图1:高级SoC图。
对于芯片到芯片和设备到设备的连接,PCIe和CXL已经增加了安全性,例如完整性和数据加密(IDE),可以使用AES-GCM加密实现数据机密性、完整性和重放保护。DDR和LPDDDR等内存接口依赖AES-XTS加密技术进行数据加密,以确保机密性。用于有线网络连接的以太网现在正在扩展到汽车上,它依赖于媒体访问控制安全(MACsec)来实现机密性、完整性、起源身份验证和回放保护。用于各种显示器的HDMI、DisplayPort和USB Type-C接口需要最新版本的高带宽数字内容保护(HDCP v2.3)来对优质音频/视频内容进行高级保护,除了强大的加密之外,还需要更严格的安全机制,包括硬件信任根、强化的执行环境和运行时完整性检查。像eMMC这样的片外闪存正在利用AES-XTS实现数据机密性。此外,业界正在为MIPI和UCIe等协议定义新的安全标准。
通常,接口安全性涉及两个主要组件。一个用于身份验证和密钥管理的组件应用于控制平面,顾名思义,它处理身份验证、创建和分发密钥以及访问控制等功能。这些函数需要在安全的环境中运行。另一个组件处理端点之间的批量完整性和数据加密。这与数据平面有关,其中解决方案需要支持特定的接口带宽,但具有最佳的延迟、面积和功率。
下面的部分描述了一些具有集成安全特性的关键接口。
内存和存储安全可以保护本地、外部数据中心和云中的存储资源和存储在其中的数据。随着对更大容量、更快访问和加速处理的需求不断增加,设计人员正在转向高性能、低延迟内存加密解决方案,以保持性能,同时通过最新一代DDR、LPDDR、GDDR和HBM内存接口保护数据。
AES-XTS,有时也称为XTS-AES,是用于保护内存数据机密性的事实上的加密算法。它是一种基于标准的对称算法,由NIST SP800-38E和IEEE Std 1619-2018规范定义,本质上允许管道架构的性能扩展到每秒太比特(Tbps)带宽。密文窃取(CTS)模式支持大小不能被底层AES密码的16字节块大小整除的数据单元。
内存接口的最佳安全解决方案是内联的,并与相关的DDR控制器紧密集成,靠近PHY接口并在DRAM突发上操作。该解决方案需要有效地处理所有密钥大小的加密和解密,管理调整和密钥,并尽可能地与内存控制器重叠任务,以进一步降低总体延迟。
Synopsys的安全DDR/LPDDR控制器集成了IME安全(图2),提供数据机密性,符合标准的读/写通道独立加密支持,每个区域加密/解密,并在区域、性能和延迟方面进行了高度优化。Synopsys Secure DDR/LPDDR控制器的加密/解密延迟开销低至2个时钟周期。
通过集成Synopsys的安全DDR/LPDDR控制器,SoC设计人员可以利用:
图2:Synopsys安全DDR5控制器(DDRC)框图
IDE为事务层数据包(tlp)和流控制单元(flit)提供机密性、完整性和重放保护,确保线路上的数据是安全的,不会被观察、篡改、删除、插入和重放数据包。IDE基于NIST SP800-30D标准定义的AES-GCM加密算法,具有256位密钥和96位MAC标记。
IDE参考标准如下:
与安全内存控制器的情况一样,在寻找具有安全性的PCIe和CXL解决方案时,重要的是考虑提供最高性能、最低延迟和最佳区域的优化解决方案,并支持适当的用例(根端口/端点/交换机端口、车道数量、数据总线宽度、IDE流数量、支持的前缀数量等)。
即插即用的Synopsys PCIe & CXL IDE安全模块与控制器集成,设计人员可以利用:
有关PCIe & CXL安全组件和解决方案的更多信息,请参见云计算中的PCIe & CXL数据保护篇文章。
HDCP是一种被广泛采用的链路安全规范,由英特尔开发,并由数字内容保护有限责任公司(DCP)授权,旨在保护数字版权的音频和视频内容,因为它在源设备(包括机顶盒或加密器)之间的连接上传输,以同步设备,如数字电视或其他显示设备。HDMI和DisplayPort接口的最新HDCP规范修订版是v2.3。2021年7月,发布了一份勘误表,更改了需要更新的局部性检查协议,特别是与发射器相关的应用程序。
Synopsys HDCP 2.3嵌入式安全模块(esm)是完整的安全解决方案,为设计人员提供了HDMI 2.0/2.1, DisplayPort 1.4/2.0和USB Type-C接口上的HDCP内容保护技术的健壮的,符合标准的实现。
HDCP esm包括一个身份验证引擎和一个内容加密/解密引擎。健壮的安全体系结构为HDCP ESM固件、DCP密钥管理和系统可更新性提供了硬件信任根、安全引导和运行时篡改保护。
HDCP esm支持高分辨率内容流的加密和解密,例如用于广泛用例的HD和Ultra HD。该产品系列包括单端口、2端口和4端口解决方案。每种端口类型都可以单独配置,如接收器(Rx),发射器(Tx), DisplayPort 1.4或2.0单/多流(SST/MST), HDMI 2.0或2.1。多端口esm还支持中继器用例。例如,一个2端口ESM可以配置为支持1对1中继器,DisplayPort in到DisplayPort out, HDMI in到HDMI out,或者HDMI in到DisplayPort out, DisplayPort in到HDMI out的组合。
图3:Synopsys HDCP 2.3嵌入式安全模块与控制器集成。
当配置为多端口用例时,HDCP esm包括一个身份验证引擎,该引擎为最优区域的内容加密/解密引擎中的多个端口提供服务。每个内容端口独立实例化加密内核,以支持HDMI 2.0、HDMI 2.1、DisplayPort 1.4和DisplayPort 2.0接口的最大传输速率。
超级计算时代正在发生重大变化,带来了新的应用程序和功能,需要持续的技术进步。由于敏感数据的指数级增长和通信需要法律、法规和不断发展的标准要求的高级保护,安全处于最前沿。
高带宽安全接口正在包括高性能计算、数据中心、汽车、物联网和移动等市场中激增。接口速度不断提高,以实现一代一代之间更快的数据移动。安全解决方案需要高度优化,支持相关接口的性能,但对延迟、面积和功率的影响最小。
Synopsys提供完全的标准兼容安全接口解决方案用于最广泛使用的协议,包括DDR/LPDDR,作为PCIe,CXL,HDMI,显示接口,USB c型,以太网.该解决方案解决了最具挑战性的需求,使设计人员能够以低风险和快速上市的方式在soc中快速实现所需的安全性。此外,Synopsys还是标准组织(如UCIe和MIPI)的积极成员,帮助开发所需的安全标准以集成到我们的控制器中。
Synopsys高度可配置的安全IP组合包括硬件安全模块信任的根源,加密的核心,真随机数发生器和安全协议加速器用于集成到soc。这种集成解决方案支持许多安全标准的核心,支持机密性、数据完整性、用户/系统身份验证、不可否认性和积极授权。Synopsys的安全IP解决方案有助于防止连接设备中各种不断发展的威胁,如盗窃、篡改、侧通道攻击、恶意软件和数据泄露。
欲了解更多信息:
|
|
|
|
|
|
|
|
留下回复