RISC-V 安全可信技术白皮书 2024.docxVIP

RISC-V安全可信技术白皮书

版权说明

本技术白皮书版权属于中国电子工业标准化技术协会，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：中国电子工业标准化技术协会”。违反上述声明者，本协会将追究其相关法律责任。

本白皮书由海思技术有限公司牵头，参与编写单位包括：平头哥半导体有限公

司、芯昇科技有限公司、北京奕斯伟计算技术股份有限公司、国家工业信息安全发展研究中心、北京智芯微电子科技有限公司、复旦大学、北京开源芯片研究院、飞腾信息技术有限公司、中国电信股份有限公司研究院、中国科学院软件研究所、蚂蚁集团安全实验室。主要参与编写人员：骆华敏、张涛、袁文鸿、崔晓夏、吴超、柳耀勇、郝向宇、曹鎏、许智芯、武洲铭、马俊、韩军、杨卓沅、张健、潘尚杰、刘浩强、武宇亭、戴希铨。

序言

硬件安全尤其是处理器安全是安全技术发展的重要方向之一，是产品安全的基

石。Intel在2000年代服务器产品引领TPM可信根技术，ARM在2010年代移动处理器产品引领TrustzoneTEE技术。随着2018年Spectre/Meltdown幽灵漏洞的大规模爆发，处理器安全受到越来越多的关注。Intel在SGX软件安全隔离技术之后，在新的处理器架构中分别推出基于硬件实现的TDX机密计算技术、TME内存加密技术和

TDT威胁检测技术。ARM则在新一代v9架构中推出全新的CCA四态硬件安全隔离架构以及配套的安全组件技术。

RISC-V作为新兴的处理器指令集架构，从一开始就重视安全。SecurityHC是RVI技术管理委员会下属的六大横向技术委员会之一。目前RVI社区活跃的工作组中有将近三分之一都与安全技术相关，在短短几年时间里，先后标准化

Machine/SupervisorMode特权模式，PMP/ePMP访存权限控制，密码算法

AES/SHA2/SM4/SM3指令集加速技术等，并推进RISC-V安全模型,COVE-APTEE可信执行环境等技术，快速和一线处理器安全技术看齐。

国内RISC-V处理器开发厂商众多，并已经将安全启动、PMP、TEE等相关安全技术应用在智能家居、智能穿戴、安全芯片等产品领域，但技术碎片化严重，各家的技术方案实现各有差异，缺乏统一的标准。

本白皮书从当前RISC-V主要行业应用领域的安全需求，RISC-V平台安全模型，

安全关键技术，以及安全应用实例等四个维度做了概览性介绍，使读者能够对RISC-V安全可信技术的发展与现状有基本了解。

1.RISC-V安全可信行业需求

1.1智能表计

安全可信贯穿于电力系统用电配电的全过程，是电力系统稳定运行的基石。图1示例的电力系统中，终端和主站之间会有大量的数据交互，如用电信息，购电信息

等，这些数据既关系着电力系统的业务稳定，也关系着终端用户的隐私安全。因此，从终端到主站都要有对应的安全技术手段和控制策略，来保证交互数据的安全性。

主站需要实现对终端设备的安全认证、对业务数据的传输加密、签名等安全功

能，以确保信道传输业务数据的保密性和完整性。并通过密钥管理系统实现对系统密钥的生成、分发、备份、销毁等功能，确保密钥体系的安全性。

电力终端如用电终端，采集终端和配电终端的安全需求包括：

1)安全启动：确保设备自身硬件和固件的合法性，防止恶意攻击；

2)身份认证：确保设备和主站通信时身份真实可信；

3)数据完整性和机密性：设备和主站通信时应对数据加密并签名，确保传输安全；数据在终端本地存储与处理时应具有访问权限控制，确保存储与处理安全；

4)密码算法安全：设备应采用强度适当的密码算法并安全实现，能够抵御侧信道和物理故障注入等攻击；

图1.电力系统应用场景

1.2智能穿戴

当前主流智能穿戴设备（智能手表、智能手环等）已集成小额支付功能，其典型场景如图2所示。智能穿戴设备首先和手机端支付APP进行设备绑定，绑定过程采用蓝牙等短距通信协议进行；绑定成功后，智能穿戴设备可以用支付应用的用户账户进

行扣款支付。智能穿戴设备在支付时只需要出具二维码或条形码，扫码设备进行离线扫码，再由收款设备上报交易信息到支付交易云平台完成绑定账号的扣款完成支付。

集成支付功能的智能穿戴设备的安全需求包括：

1)可信执行环境：设备应提供隔离的可信执行环境用于支付应用程序的安全运行；

2)支付凭证的完整性和机密性：设备支付凭证的注入、使用和注销的整个生命周期，需要防止被克隆、泄漏和未授权访问。

3)设备和手机之间传输数据的完整性和机密性：设备和手机需要建立安全会话，对数据加密后再进行传输，防止敏感