欧盟PP0117 Protection Profile 应对SoC与MCU安全功能整合与发展趋势

随着移动设备的使用日益普及，针对智能手机和平板电脑的恶意软件也越来越猖獗。特别是银行木马，专门用来窃取使用者的银行凭证与财务信息。

当前集成电路产业的主要趋势，是将多种离散解决方案整合进单一芯片中，也就是系统单芯片（SoC）与微控制器（MCU），其中也包含安全功能的整合。例如安全元件（Secure Element）、硬件安全模块（HSM）以及UICC等，都可以被整合进SoC架构中。这样的整合主要目的是降低系统成本、提升效能、并增加产品附加价值。

整合于SoC中的安全功能，其安全等级必须与传统的离散元件相同。为了有效因应这类整合解决方案的安全需求，并为产业提供一致且可评估的安全性要求，遂制定了PP-0117：系统单芯片中的安全子系统（3S in SoC）保护要件。

网安统计指出，全球每天约有2,200起网络攻击事件，平均每39秒就发生一次。在美国，一起数据外泄的平均成本高达944万美元，全球网络犯罪在2023年估计造成高达8万亿美元的损失。

根据ENISA发布的《2022网安威胁报告》，受攻击最严重的领域为公共行政部门与金融产业：这些部门面临的不仅是技术损失，还包括潜在的负面舆论与公众信任危机。

从下图可以清楚看出，与其他产业相比，公共行政部门与金融产业因系统损坏或无法使用、数据档案损毁，或数据外泄等情况，受到的影响更为严重。

安全元件（Secure Element） 是用于数码支付（信用卡、移动支付）以及身份认证／生物识别（例如护照与身份证）的关键技术。因其攸关敏感数据之保护，政府机关与信用卡组织（如2EMVCo）皆规定此类装置须通过Common Criteria EAL 5+认证，且符合PP0084 -安全IC平台保护要件（含强化套件） (3Eurosmart, 2014) 。至今已有超过250件产品基于此保护要件通过认证。

然而，将安全元件整合进SoC后，除了原有挑战外，还新增了多项潜在威胁与技术挑战，例如：预防产品在开机过程中遭恶意干扰，导致系统进入不安全状态。

保护SoC架构中的外部存储器（挥发性与非挥发性）所存储的数据与程序码，避免被非法存取、窜改，导致机密性与完整性被破坏。防止外部存储器中所存储数据与程序码内容被复制（Cloning），或外部非挥发性／挥发性存储器本体遭到实体替换。

防止重播攻击（Replay Attack）操作，例如在安全元件与外部存储器之间重复传送写入、抹除或读取回应等指令，进而影响外部存储器中数据的实时性与正确性。

防止未经授权的内容回滚（Rollback）。亦即防止攻击者在外部存储器的内容被安全元件更新后，试图读取原始内容、进行备份，并于后续将旧数据写回外部存储器，以取代最新的安全内容。

对于采用Secure Memory（安全存储器）的SoC系统架构，必须保护安全存储器与安全元件之间的界面，避免遭受攻击者在芯片内部汇流排（interconnection bus）上拦截或阻断通讯（例如中间人攻击，Man-in-the-Middle Attack）。否则攻击者可能在安全服务尚未执行或完成之前，窃取读取或写入至安全外部存储器中的使用者数据与程序码数据。

目前市场上已有整合安全功能的SoC，但其安全性评估多为混用PP0084或针对个别需求延伸，缺乏一致性的标准与完整的整合保护架构。制定PP0117的挑战之一，即是明确定义这类整合架构中安全功能的使用与保护机制。

Eurosmart接下这项挑战，并于其ITSC架构下成立技术工作小组。成员涵盖半导体厂商、软件公司、ITSEF（信息技术安全评估机构）、认证机构与顾问等。尽管国家级认证机构非Eurosmart成员，但仍被邀请参与小组。

此外，也与关注、引用或实际采用此保护要件（Protection Profile；PP）的相关利害关系人建立了联系与信息共享机制：A.其他技术工作小组：如JHAS与ISCI-WG1、B.参考此PP的组织：如FIDO、GlobalPlatform、GSMA、C. ENISA：为配合CSA-EUCC（欧盟云端安全认证规范），此架构一旦相关法案实施，将成为本保护要件（PP）所对应的认证机制。

成果

PP0117系统单芯片中的安全子系统（3S in SoC）保护要件所涵盖内容如下：TOE（Target of Evaluation；评估目标） 为「一个作为 SoC 功能区块的安全子系统（Secure Sub-System；3S），内含处理单元、安全元件、I/O埠与存储器，能独立于其他SoC元件，藉由实体与／或逻辑隔离机制，提供一组定义明确的安全功能。TOE可依赖外部存储器存储数据与程序码。」

TOE 可实作为硬件巨集（Hard Macro）、可程序化巨集（PL Macro）等形式。此外，TOE与外部存储器在不同生命周期阶段的互动，也纳入考量。团队致力于制定一套尽可能通用的生命周期模型，并凸显此架构中新出现的设计面向。很明显地，新的生命周期需要进一步详述与说明。

在与ISCI-WG1工作小组合作下，制定了补充性指导文件《生命周期模型（LCM）相关评监面向》，更进一步说明了在生命周期不同阶段中，应完成并评估的各项要求。

本保护要件（Protection Profile）采用模块化架构设计，包含一组针对任一SoC中安全子系统（Secure Sub-System）所需的基本要求套件，并辅以数个可选套件，以因应特定产业在此架构下所衍生的进阶需求：

外部存储器套件（External Memory packages，包含被动与安全类型、挥发性与非挥发性存储器）— 涉及存储在外部存储器中的数据与程序码之安全性限制。

加载器套件（Loader Package）— 涉及从外部存储器加载TOE软件或复合软件时的功能限制。
加密套件（Crypto Package）— 用于整合TOE所支持的各种口令演算法的框架。为因应保护要件通用化的需求，此套件不同于PP0084，不定义特定的实作演算法，而是就已被认可的口令演算法之使用提供一般性指引。

复合软件隔离套件（Composite Software Isolation Package）— 提供隔离机制，以便区隔由不同开发者提供的多个软件套件。

安全问题定义（Security Problem Definition；SPD），涵盖需保护的资产、威胁、政策与前提假设，是在与JHAS团队合作的基础上制定的。

在安全目标（Security Objectives）章节中，针对TOE采用新形式（hardmacro／PL macro）定义了专属目标。

安全功能需求（Security Functional Requirements；SFRs）的基本套件包含了PP0084的SFRs，但为了使 TOE成为信任根（Root of Trust），额外加入了对唯一识别的要求。

将安全子系统整合进非安全SoC，须将TOE定义为透过实体和／或逻辑隔离机制，与SoC中其他元件隔离地提供其安全服务。

为实现经认证子系统于非安全系统中的整合，开发者需采用新的实作方式，并由ITSEF进行评估──开发者需说明整合应在何种条件下进行，而ITSEF则须验证整合过程是否遵循该指引，且未有任何安全性上的损害。

安全保证需求（Security Assurance Requirements；SARs）中加入了针对整合流程的专属修订项，以供ITSEF验证整合流程已正确定义并执行，且未影响安全性。本保护要件的评估由SGS执行，并由BSI监督。

PP0117是针对整合型系统网安认证的一大进展。它提供一个统一、弹性的架构，弥补传统离散元件认证与现代整合解决方案之间的落差，确保在高度互联的世界中敏感数据获得强而有力的保护。

华邦电子（Winbond） 提供符合Secure External Memory套件的W75F Secure Memory，支持PP0117 认证，藉由通过EAL 5+的安全快闪存储器产品，实现SoC架构下可信赖的外部存储器解决方案。更多信息请参见，请造访华邦安全快闪存储器网页或直接与华邦联系。详情下载最新硬件网安安全白皮书。