模擬電路真的安全嗎？_傳感器|軟件|it芯片|網絡安全

文章圖片

本文由半導體產業縱橫（ID：ICVIEWS）編譯自semiengineering
多芯片組件讓更多模擬內容得以實現，但也帶來了新的安全漏洞，目前針對這些漏洞的研究還非常少。

向多芯片組件的發展日益壯大以及邊緣端傳感器數據價值的不斷提升，正開始將人們的關注點引向模擬電路的安全性，并引發相關疑問。
在當今大多數SoC設計中，安全性幾乎完全是數字電路的問題。數字電路的安全需求已被充分理解，尤其是在以數字計算為主的大型數據中心和高端邊緣計算領域。這很大程度上是受限于芯片面積（因為模擬電路無法微縮），即使是混合信號IP也變得越來越數字化，以便能塞進更小的空間。但隨著行業從平面SoC轉向多維異構系統級封裝（SiP ，包括2.5D、3D和3.5D），這些面積限制已經松動。
盡管這并未降低模擬電路集成的難度，但制程節點與尺寸已非最緊迫問題。模擬裸片可在任意適用節點開發，仍能適配封裝方案——封裝尺寸可靈活調整以容納更大裸片。這反過來也將促進模擬元件的復用性提升。
其他優勢同樣顯著，由于部分電路能夠更獨立地運行——SiP 可以是異構且全局異步的 —— 它們應該比現在更容易插入多芯片組件中。而且，額外的空間有助于減少對平滑模擬波形的干擾，要知道在噪聲大、布局密集的數字晶體管環境中，隔離這些干擾是一大挑戰。
但這也讓模擬電路面臨著多數芯片制造商未曾考慮過的潛在網絡攻擊風險。這些攻擊可能發生在多個層面，從用于傳輸并將越來越多模擬數據轉換為數字數據的物理層就已開始。
“小芯片的 I/O 暴露了一些以往很難接觸到的子系統間通信， ”Rambus 公司硅安全產品高級總監斯科特?貝斯特（Scott Best）表示， “如果一個安全處理器位于一個小芯片上，與另一個性能小芯片通信 —— 這兩個小芯片相互獨立，由不同供應商制造，并通過多芯片封裝進行通信 —— 那么現在，我就能以一種前所未有的方式接入這兩個子系統之間的通信。因為過去它們都在同一個 SoC 上，擁有 12 層金屬和 100 億個晶體管。當查看晶體管陣列時，安全處理器并沒有與應用處理器通過清晰的邊界分隔開來。所有元件都是自動布局布線的混合體，門電路密密麻麻。雖然其中確實有一個安全子系統，但整個系統有 10 億個晶體管，而安全模塊僅占 200 萬個，根本難以分辨。 ”
將這些不同的處理器分隔開，使得通信通道更容易被找到。 “我把 SoC 長期以來依靠密度實現的部分安全性稱為‘信號糾纏’ ， ” 貝斯特說， “現在，這些小芯片之間的接口需要在兩端都具備點對點的安全性，因為小芯片鏈接的任何一方都不再可靠。 ”
雖然多芯片組件并非新鮮事物，但它們正變得越來越復雜，功能也越來越豐富。這在很大程度上是由于對計算能力的需求不斷增加，尤其是在人工智能領域，同時又無法通過晶體管的縮放來提供實現目標所需的密度。到目前為止，這些多芯片組件中使用的小芯片幾乎都是內部開發的，但在未來五年內，預計會有更多第三方小芯片進入市場，推動多芯片組件成為主流。
“在開放的小芯片市場中，人們擔心的一個問題是，如果惡意行為者制造出偽造芯片，導致整個功能面臨風險，該怎么辦？”Synopsys 公司 IP 部門高級副總裁兼負責人約翰?科特（John Koeter）表示， “因此，我們認為，為側信道攻擊構建安全性絕對是小芯片時代成功的關鍵。目前，最常見的劃分是一個計算芯片、一個包含數字和模擬組件的 I/O 芯片，周圍環繞著大量內存。能否將更多純模擬芯片融入其中？或許可以，比如無線小芯片，但由于這些小芯片的應用市場領域限制，目前還未出現這種情況。先進封裝成本高昂，與 2.5D 或 3D-IC 封裝相比，那些需要射頻功能的應用采用多芯片模塊的方式會更具成本效益。隨著時間推移，當我們在不同成本區間看到更多先進封裝技術時，將會出現越來越多的異構集成，而不僅限于傳統的內存、I/O 和計算組件。 ”
邊緣端的模擬安全

人工智能 / 機器學習的廣泛應用已遠遠超出數據中心的 SoC 和 SiP 范疇。邊緣端的建設主要由傳感器驅動，由于物理世界是模擬的，隨著邊緣端收集的模擬數據價值日益凸顯，這急需加以保護。
【模擬電路真的安全嗎？】“首先要讓傳感器變得更智能，因為它現在必須能夠執行加密操作， ” 英飛凌（Infineon）產品安全高級總監埃里克?伍德（Erik Wood）表示， “因此出現了‘使用時間’或‘使用時檢查時間’的概念。本質上，就是要在讀取數據時檢查數據來源的真實性。這不僅適用于傳感器，也適用于機器學習模型。這些模型主要存儲在外部閃存中，采用原地執行架構。每次啟動系統時，都會在系統范圍內驗證代碼的真實性。而且，每次使用機器學習模型進行操作并在運行時進行 XIP（原地執行）時，也會同時進行身份驗證和解密。我們希望在使用過程中對所有內容進行檢查，以提升整個系統的可信度。 ”
傳輸中的模擬數據與數字數據面臨許多相同的安全問題。 “安全問題主要涉及兩個方面， ” 伍德說， “一是加密及相關操作。二是故障問題 —— 通過注入故障干擾設備，從而提取信息，或者跳過某些步驟，比如在啟動鏈中。驗證下一個鏡像的真實性是安全啟動過程中的一個環節，此時若注入故障，就會干擾驗證下一個鏡像的命令。這樣一來，就可以加載無法驗證的代碼，進而控制設備。傳感器在安全保障中起著重要作用。我們有電壓傳感器、溫度傳感器、電磁故障注入傳感器和光傳感器。這些用于傳感的模擬電路會隨著時間推移而退化，導致偏差變化。噪聲增加、熱載流子效應等問題也會隨之出現，并且會隨著時間逐漸衰減或性能下降，變得不再精確，而正是這些傳感器的閾值會觸發故障注入反應。 ”
在某些情況下，這些傳感器會自動重新校準。這通常會結合一定程度的冗余設計，具體取決于應用場景和相關風險。但冗余會增加成本，并對性能產生影響。 “冗余會影響性能、電池壽命和處理時間， ” 伍德說， “我有一位負責軟件的同事，他來的第一天我就對他說：‘我們可能很難合作愉快，因為我提出的要求會給你的軟件帶來問題。我需要你做一些你不想做的事情，這會讓你的軟件變慢、體積增大。 ’”
過去，邊緣端的模擬安全主要通過減少模擬內容，并依靠成熟的數字安全方法來管理。而且由于數字晶體管對熱的敏感性較低，對溫度波動的響應時間問題也相對較少。
“人們可能會在模擬層面發起攻擊，比如加熱系統， ” 弗勞恩霍夫 IIS 自適應系統工程部門高級混合信號自動化小組經理本杰明?普勞奇（Benjamin Prautsch）表示， “這取決于芯片的可訪問性以及攻擊的具體目標。也可能嘗試識別電路本身，比如使用激光來改變模擬行為。 ”
如今，大部分問題仍然在數字層面解決。不過，一些相同的技術也應該適用于純模擬內容。 “例如，可以在芯片上使用一些監控器 —— 前提是這些監控器是安全的，不會被篡改， ” 普勞奇說。
不同的領域

數字和模擬仍然屬于截然不同的領域。數字設計工程師大量使用電子設計自動化（EDA）工具，而模擬工程師使用得較少。事實上， EDA 公司在模擬市場取得的最大成功，主要集中在嚴重偏向數字側（大 D ，小 A）的混合信號設計領域。
“EDA 公司一直試圖讓數字設計更接近軟件設計， ” 馬里蘭大學附屬情報與安全應用研究實驗室研究員沃倫?薩維奇（Warren Savage）表示， “但模擬領域一直不太接受這種大規模應用，因為模擬設計需要深入理解物理原理，這在電子學中屬于較為專業的技能。我見過最接近關注模擬安全的案例，是美國國防部高級研究計劃局（DARPA）的異步技術項目。 ”
該項目源于阿肯色大學開發的一個 IP 核，采用了多態異步加密技術。 “它能在同一個電路中執行高級加密標準（AES）和安全哈希算法（SHA）， ” 薩維奇說， “將電壓設為 1.5 伏時，它執行 AES；將電壓降至 1.2 伏時，它執行 SHA 。這種多態電路極難進行逆向工程。如果不知道它運行時的確切電壓，很難弄清楚它在做什么。而且由于它是異步的，很難進行側信道攻擊，因為其功率始終處于平衡狀態。 ”
這本質上是將模擬方法應用于安全領域。但總體來看，多芯片組件帶來的安全挑戰不僅僅需要單一或分層的安全方法，而且增加了全新維度的安全難題。這意味著模擬電路需要與數字組件具備同等的安全性，并且在模擬小芯片普及之前，相關研究必須取得進展。
“需要某種硬件安全模塊，為所有芯片（無論是模擬芯片還是數字芯片）賦予唯一標識符，這樣才能對它們進行身份驗證并建立信任， ”Synopsys 的科特說， “這或許就是未來的發展方向。 ”
其他人也提出了類似觀點。 “我認為我們不會單純增加模擬電路的使用， ”Cadence 公司杰出工程師莫希科?埃默（Moshiko Emmer）表示， “我們正在做的是將許多芯片內處理的概念應用到芯片間處理中，這有時會涉及模擬 I/O、電源等方面。在考慮小芯片的集成和安全性時，我們不僅將每個小芯片視為一個子系統，還將其看作一個獨立的芯片。從這個角度出發，它必須具備全面的安全性。需要確保小芯片在自身邊界內的硬件和軟件安全。然后還需要從系統層面考慮如何管理由安全小芯片組成的系統。這些小芯片可能處于不同的安全區域。因此，在我們的架構中，正在研究如何構建這樣的系統，其中有一個小芯片作為系統管理器，負責管理整個系統的安全，并能控制其他小芯片。 ”
安全關鍵系統

這在安全關鍵系統中顯得尤為重要。過去十年，汽車和軍用 / 航空航天市場一直在推廣小芯片和傳感器融合的理念。如今，小芯片已被證明可行，至少部分關注點已轉移到它們在任何時刻的工作表現上。對于模擬小芯片，這種監控主要是為了確保電路能夠持續正常運行。

長距離 SerDes PHY 中的多個監控點。來源：Rambus
“有老化計數器可以感知芯片老化情況，當發現芯片使用多年后，就需要降低時鐘性能，因為在過去 5 到 10 年的運行中，偏移量會不斷累積， ”Rambus 的貝斯特說， “也許還需要降低性能。溫度傳感器能夠感知溫度，從而確定系統輸入電壓的合適設置。電壓是否過低或過高？是否存在異常？在一些安全芯片中，光傳感器可以檢測芯片是否被倒置并在實驗室顯微鏡下開封，因為只有在這種情況下，光線才會照射到基板。因此，許多模擬電路都由模擬傳感器技術保護。但隨之而來的問題是， ‘誰來監督這些傳感器？’如何保護用于保護昂貴電路的傳感器電路？”
結論

模擬和數字是差異極大的工程學科。即便在混合信號 IP 中二者有所結合，這種結合的主要驅動力依然是數字領域。但目前有幾件事正在發生變化，這要求芯片制造商必須更加關注模擬安全。具體包括：

能夠在任何合適的工藝節點上開發小芯片，這是多芯片組件的一個重要目標，因為它可以通過復用經過硅驗證的設計來縮短上市時間、降低成本。這對模擬組件來說尤為有利，但它對安全的影響在很大程度上還屬于未知領域。
傳感器收集的模擬數據價值不斷提升，特別是在汽車、國防和航空航天等應用領域。這些傳感器可以檢測運動、光、熱和振動等信息，而諸如熱模糊等物理攻擊會扭曲這些數據，進而對汽車或戰斗機的運行產生嚴重后果。
SoC 分解為小芯片會產生更復雜的交互，并暴露出更多的互連結構。黑客總會尋找最薄弱的突破口，而這種變化對 PHY、SerDes 或傳感器等模擬組件的影響幾乎沒有先例可循。

*聲明：本文系原作者創作。文章內容系其個人觀點，我方轉載僅為分享與討論，不代表我方贊成或認同，如有異議，請聯系后臺。
想要獲取半導體產業的前沿洞見、技術速遞、趨勢解析，關注我們！