确保SoC的安全整合欧盟PP0117保护要件的角色

为因应日益渐增的高效且安全的嵌入式解决方案需求，制造商开始将安全子系统整合到系统单芯片（SoC） 架构中。了解保护要件文件0117 （PP0117），对于从事嵌入式安全、安全元件 （SE）、SIM卡和硬件安全模块 （HSM）等5G连接设备（如智能手机、物联网设备和汽车应用）的工程师、安全架构师、系统架构师和产品开发人员来说，相当重要。本文将说明PP0117如何针对安全子系统整合到SoC中而建立的安全框架，比较其与PP0084的相异之处，并介绍其获得全球移动安全权威机构GSMA的认可。

什麽是保护要件？

保护要件（Protection Profile；PP）是一份安全指南文件，用于建立硬件和软件中安全机制的开发、整合和评估的标准。PP0117是针对SoC中的整合安全子系统（如嵌入式 SIM 卡 （e-SIM） 和安全元件 （SE））的安全要求。

在PP0117推出之前，保护要件文件PP0084广泛用于独立的安全元件，如SIM卡和安全元件。然而，当这些元件直接整合到SoC 时，带来的新挑战，例如在复杂芯片架构中定义安全边界，是PP0084无法应对的。因此，为克服上述挑战，PP0117应运而生，以确保SoC内的整合安全元件（iSE）具备与独立安全元件相同的安全性。

简介

保护要件0117（PP0117）是一个专为促进安全子系统（3S）在大规模SoC架构中整合而设计的保护要件。在PP0117出现之前，PP0084主要用于评估独立的安全元件，如安全元件 （SE） 和SIM卡。然而，当SE 或类似设备的逻辑功能被整合到更大的SoC中时，PP0084的方法和要求在则可能不再适用。

为整合解决方案的安全问题SoC内的安全子系统 （3S in SoC）， 保护要件也就因而诞生，并为业界提供一套清晰可评估的安全要求。

此保护要件是由Eurosmart协会开发，汇聚了技术委员会成员，包括开发商、实验室 （ITSEF） 和认证机构。PP0117选定的认证机构为德国联邦信息安全局 （BSI）。

PP0084与PP0117的设计差异

PP0084 最初是为独立安全元件（如SIM卡和智能卡芯片）设计的，假设其具备物理隔离的安全边界并使用严格的界面协议。

相比之下，PP0117则适合SoC内部整合的安全元件，需考量更复杂的内部与外部界面。其主要区别包括：

PP0117确保整合安全元件能够维持与独立安全元件相同的安全等级，同时根据SoC设计的实际需求调整安全要求。

当设计和评估大型SoC内的安全子系统时，相较于独立的安全控制器，需要考量多项重大差异。最显着的差异来自于芯片制程的限制，例如缺少嵌入式非挥发性存储以及安全边界难以定义。

此外，相较于独立芯片，评估整合安全子系统的复杂性更高，这是因为SoC内部有大量界面，而独立芯片通常只有有限的接脚和严格的界面协议。因此，所有参与设计、制造、评估及使用此类安全子系统的相关方都必须遵循更完整的指南，而PP0117正是为此目的而制定的。

标准SE或e-SIM一般被封装在一个小型、接脚数有限的封装中。就安全评估而言，这种小型封装芯片构成了评估目标 (TOE)，由于其连接性与界面选项有限，评估相对简单。

然而，对于大型SoC，几乎所有安全子系统的界面都是内建于芯片内部，极少外露。此外，SoC内的安全子系统可能会拥有额外的界面，例如存储器界面、除错界面、系统汇流排界面，以及用于更高级功能的界面。

PP0117对这些界面制定了安全要求，并提供评估方法，以确保整合的安全功能符合标准。

PP0117版本2与GSMA认可

全球移动通信系统协会（GSMA） 是制定移动网络安全、SIM技术及eUICC（嵌入式通用整合电路卡）标准的国际组织。2024年，GSMA正式认可PP0117作为整合eUICC的安全框架。

GSMA最近发布了eUICC（嵌入式SIM） 保护要件V2.0。该保护要件允许独立eUICC及整合型TRE（防篡改元件）的实作，并在PP0084的基础安全要求之上，进一步参考了PP0117来应对整合解决方案的需求。GSMA的支持有助于促进SIM/UICC功能的整合，提高手机与物联网设备在SoC内的功能整合程度。

主要PP0117应用案例

PP0117最显着的应用案例是SIM卡功能的SoC整合。SIM整合主要发生在两大市场应用：物联网连接设备和移动电话。

整合SIM（iSIM）

在智能手机中，主SoC尽可能整合最多的逻辑功能，以实现更低的功耗、更优化的成本、更小的电路板占用空间，并同时引入新的功能。由于SIM卡本质上是一种带有非挥发性存储的简单微控制器，因此，将其整合至更大的SoC中几乎是不可避免的趋势。

在物联网设备中，系统的大部分（如果不是全部）功能，例如射频 （RF）、基带处理和应用处理器，通常都被整合到单一设备中。因此，在这种情境下，将SIM整合进SoC不仅能够最佳化成本结构，还能为最终用户带来实质的经济效益和功能提升。

整合安全元件 (iSE)

另一个应用案例是将安全元件(SE)整合到手机的SoC中。这些安全元件负责管理关键的安全功能，例如移动支付、电子身份识别、生物识别用户验证以及操作系统安全。几乎所有现代智能手机都至少配备一个安全元件。唯一的例外是中国市场，在中国，移动支付并不强制要求使用安全元件。

中高端手机通常配备两个安全元件，一个用于e-SIM功能，另一个用于移动支付及相关功能。将这些元件嵌入SoC可显着影响手机的物料清单(BOM)成本，有时甚至占据总成本的相当比例。

汽车应用

另一个PP0117应用案例是用于汽车子系统的硬件安全模块(HSM)。这类HSM用于保护车联网(V2X)网络、驾驶员敏感信息以及供应商资产。此外，在PC和服务器生态系统中，整合至主SoC的安全模块可防御网络攻击，例如开机保护和安全软件更新。

另一个新兴应用是供应链保护，透过安全子系统可在系统生命周期的所有阶段对硬件进行身份验证。 在所有这些应用案例中，将安全逻辑直接整合至主SoC是一种成本效益极高的选择，因为与SoC内其他逻辑相比，安全子系统所需的逻辑和物理空间极少。

主要方法与评估概念

保护要件(PP0117)及所有收集的信息均汇总成一份工作文件，并提供给审核机构，以转换为符合通用准则 (Common Criteria；CC)定义的方法。

为了确保评估的一致性  制定了以下几点约束条件

A. PP0117为基础的设计应严格符合PP0084（安全 IC 平台保护要件）。这一要求对开发人员至关重要，确保当产品需要根据PP0084进行认证时，由于上层 (软件和应用程序) 需要与PP0084进行组合评估，他们无需管理两个独立的评估流程。

B. 保护要件必须符合欧盟通用准则 (EUCC) 方法，以便被欧洲新认证机制接受。C. 保护要件必须与引用 PP0084或计划在其组合评估中使用新保护要件的外部机构保持一致。D. 保护要件应采用敏捷 (Agile) 方式定义，包括基础要求和可选套件，以便开发者根据需求选择适合的开发路径。

E. 保护要件应具有通用性，适用于各种安全子系统解决方案，不仅限于安全元件 (SE)，还包括eUICC、iSIM、HSM、TPM和V2X等应用场景。F. 保护要件应支持三种交付形式— IC、硬巨集 (Hard Macro) 和可程序化巨集 (PL Macro)，以符合业界标准，并允许在多个SoC之间重复使用评估结果。

G. 保护要件应支持不同存储器架构：内嵌存储器 （如传统安全元件）、外部标准存储器、外部被动存储器、安全存储器 （该元件通过组合评估方法进行认证）。

外部存储器的使用

由于现代SoC制造使用先进技术，芯片内建存储器的实作成本较高。例如，RAM的矽面积需求大，而非挥发性存储器 (如 Flash) 几乎无法在最先进的制程中实作。因此，这些限制促使安全子系统采用外部存储器。

为了促进外部存储器的使用，PP0117采用了敏捷架构，包含基础套件(Base Package)，该套件涵盖SoC内所有安全子系统必须满足的最低要求，并提供多种可选套件，以适应SoC架构中安全子系统的额外产业需求。

外部存储器封装（被动和安全性、挥发性和非挥发性存储器）-与外部存储器中存储的数据和程序码相关的安全要求。

外部存储器封装的安全要求

(1)防止内容滥用（未经授权的读取、擦除或修改存储器内容）。(2)防止存储器芯片被复制或替换至其他系统。(3)防止未经授权的内容复原 (rollback)。(4)防止外部汇流排的通讯干扰，例如命令重播或修改、窃听与中间人攻击(Man-in-the-Middle Attack)。

被动式外部存储器

在被动式（即标准的、非安全性）外部存储器的情境下，所有保护措施都必须由SoC来管理，因为存储器装置本身没有任何安全功能，无法执行或协助所需的安全机制。

为了防止内容滥用，存储在外部存储器中的数据必须进行加密。为避免固定加密金钥的安全性降低，建议对用户控制的数据使用不同的金钥进行加密。从单一根金钥产生多个加密金钥需要SoC维护某些状态信息，例如单调非挥发性计数器。

在被动存储器的情境下，防止指令重播 (Command Replay) 的方式与防止设备未经授权内容复原 (Rollback) 的方式相同。在这两种情况下，攻击者试图强制存储器装置回到到已知的旧信息或状态。

SoC必须负责监控存储在外部存储器中的信息是否仍然最新，以检测来自指令重播（如写入与擦除）或复原攻击的修改。为了实现这一点，SoC需要维护与存储数据相关的状态信息。这通常透过单调计数器 (Monotonic Counter) 来实现。当数据存储于外部时，SoC会对其进行封装与验证，以确保该数据的版本是最新的，并且没有被回滚至旧版本。

防止设备复制 (Device Cloning) 要求每个SoC使用不同的加密和验证金钥来保护存储于外部的数据。这可防止攻击者将某个存储器装置的内容复制到另一个系统，因为新的系统将无法使用不同的金钥来验证该数据的真实性。

在SoC中实作单调计数器需要内部的非挥发性存储空间。然而，如前所述，在先进制程节点上，标准的非挥发性存储器（如 Flash）并不可用，因此通常会使用一次性可编程 (OTP) 熔丝型存储器来存储单调计数器。然而，即使OTP在某些制程技术中已被验证为可靠且稳定的解决方案，它仍然存在一些主要的限制与
缺点。

成本：OTP熔丝需要占用大量芯片面积，且通常无法与制程技术良好缩放。操作便利性：写入OTP位元需要在芯片内释放大量能量。安全性：为了抵御特定的故障注入攻击 (Fault Injection)，OTP型单调计数器需要使用多个OTP位元来存储每个计数值。许多情境下，每次计数可能需要至少4个OTP位元，以确保足够的安全性。

在典型的SoC设计中，若要符合PP0117对被动存储器的安全要求，SoC在整个生命周期内可能需要消耗大量OTP位元，这将显着影响SoC的成本。例如，某些使用OTP型单调计数器的SoC需要数十万个OTP位元，而在某些情境下甚至超过100万个OTP位元。

这种情况在IoT设备中特别常见，因为IoT设备通常依赖外部存储器来存储数据，并且会频繁断电。更重要的是，这些IoT设备的预期生命周期通常超过10年，进一步增加了OTP的使用需求。

安全外部存储器

上述的安全要求同样适用于安全外部存储器。然而，由于安全存储器本身的特性，这些要求由存储器装置自身来实现：存储器装置本身能够防止未经授权的存取。所有指令均需经过签署，因此，对内容的存取与修改都需要掌握正确的秘密金钥。

由于未授权的实体无法存取内容，因此不会有复制攻击 (cloning)。此外，SoC与原始安全存储器绑定于共享的秘密金钥，因此任何替换的存储器都无法与SoC配对使用。由于安全存储器透过内建的单调计数器来保护界面，因此数据内容复原 (roll-back)无法达成。

指令重播攻击不会发生，因为存储器装置的单调计数器确保所有指令均被编入索引，无法重复执行。

除了这些保护功能外，安全外部存储器还需要防范界面滥用（如中间人攻击及窃听）。为此，SoC与存储器之间的通讯汇流排经过加密与验证。读取、写入、擦除与配置变更等命令均经过加密与签署，使SoC能够验证存储器中的数据是否遭到修改。

此外，存储器装置能够确保所有写入、擦除与配置变更命令均确实来自SoC，并防止攻击者重播命令。

华邦电子(Winbond) PP0117认证安全子系统专用Secure Flash

华邦电子的W75F系列EAL5+认证安全快闪存储器专为PP0117规范设计，具备以下优势：(1)SoC 与快闪存储器之间的安全加密与验证界面。(2)强大的 128 位元对称金钥加密。(3)内建非挥发性单调计数器，防止指令重播与复原，确保数据与程序码的完整性。(4)强化防护措施，抵御侧通道攻击、故障注入攻击与防范恶意攻击。(5)存储数据完整性保护。

(6)直接从快闪存储器执行 (XIP)，可最小化所需的RAM大小，并透过消除在RAM存放明文程序码映像的需求来提升安全性。(7)支持多次写入每个位元组。(8)具备复合式认证 (Composite Certification Ready)。

相较于在SoC内部使用OTP型计数器来管理被动存储器，华邦电子的Secure Flash允许无限次数的数据更新。华邦电子的安全快闪存储器中的单向计数器仅在每次电源循环时增量，而在许多OTP型设计中，每次写入新数据到快闪存储器时都需要增加计数，进一步消耗OTP位元。

透过采用华邦电子的Secure Flash，开发符合PP0117规范要件的解决方案将变得更加简单直观。评估过程更快速、流程更顺畅，并可大幅减少设计时对被动存储器共享与保护技术的依赖，让开发者更轻松地达成认证要求。更多信息请参见，请造访华邦安全快闪存储器网页或直接与华邦联系。详情下载最新硬件网安安全白皮书。