RISC-V 如何通过左移实践保障嵌入式系统的安全性

RISC-V 的开放架构使得嵌入式系统能够采用左移方法来保障安全性。了解它如何为在开发周期早期集成安全功能铺平道路。随着连接性的增强，嵌入式系统的安全性集成变得更加复杂，因为连接性带来了风险和漏洞的机会。RISC-V 架构为在生命周期早期实施“左移”安全开发实践提供了独特优势，从而能够尽早缓解风险。它允许开发人员在最基础的层面主动评估、定制和增强安全功能，避免因被动解决安全问题而付出高昂代价。

图 1：RISC-V 为开发过程中的“左移”提供了许多定制化优势。

本文讨论了 RISC-V 的一些特性，这些特性为汽车、航空航天、工业控制系统等关键应用领域提供了架构级别的选项，并支持软件验证工具。嵌入式系统团队可以利用这些能力，在开发生命周期的早期尽可能减少安全风险，并促进 DevSecOps 实践。

RISC-V 的架构透明性和模块化

尽管这可能看起来有些反直觉，但 RISC-V 的开放架构确实具有独特的安全优势。与英特尔或 Arm 等专有架构不同，由于访问权限受限，潜在漏洞可能会隐藏起来，而 RISC-V 的设计则始终受到全球开发社区的严格审查。这种透明性确保了安全问题能够迅速被发现并解决，不会存在可能危及系统安全的隐藏后门或未记录的特性。RISC-V 的全新设计和模块化指令集架构（ISA）允许开发人员仅实现其特定应用所需的功能。这从开发初期就减少了安全问题和潜在的攻击面。与复杂的传统架构相比，这种架构的简洁性使得安全分析和测试更容易实现覆盖。

硬件级别的安全特性

RISC-V 内置的安全特性支持创建全面的可信计算基（TCB）。物理内存保护（PMP）提供了硬件强制的内存隔离，对可信执行环境（TEE）的支持则能够安全地处理敏感数据。安全启动机制从开机时就确保了系统的完整性，创建了一个从硬件到应用软件的信任链。RISC-V 的可扩展性允许开发人员直接在硬件中实现额外的安全特性。他们可以在保持基础架构简洁性的同时，添加自定义安全指令和加速器。这种能力使得安全特性能够从一开始就设计进去，而不是在后期以更高的成本添加。例如，团队可以实现定制的加密引擎、安全启动机制以及针对其特定安全需求的硬件级内存保护单元。

认证与安全验证

RISC-V 的模块化设计在系统认证方面具有显著优势。基础指令集架构（ISA）与自定义扩展之间的明确区分，简化了安全功能的独立认证。这种模块化还有助于开发团队维护安全需求与其硬件实现之间的清晰文档记录和可追溯性，这是 ISO/SAE 21434 和 ISO 26262 等标准的关键方面。RISC-V 基础架构的简洁性使其验证过程比复杂专有架构更为可行。开发团队可以在设计初期验证安全属性，此时进行更改的成本较低。该架构的清晰设计还简化了安全测试功能的实现，例如硬件辅助调试和监控功能。

不断壮大的 RISC-V 生态系统

RISC-V 生态系统不断扩展，提供了更多经过预验证和安全支持的解决方案。来自不同供应商的硬件 IP 模块、加密库和安全库可以在设计初期集成，使开发人员能够实现强大的安全功能，而无需从头开始。许多针对 RISC-V 的软件开发工具支持以安全为中心的开发实践。例如，LDRA 针对 RISC-V 架构的“目标许可包”（TLP）支持需求可追溯性、编码标准合规性、漏洞检测以及在开发主机和目标设备上的多核代码覆盖率分析。此外，LDRA 与 RISC-V 环境高度集成，支持通过硅级仿真和真实硬件进行动态测试。

图 2：LDRA 的工具套件提供了丰富的资源，用于分析代码并确保符合标准和认证。

供应链安全

RISC-V 的开放架构允许采用多种硅片采购策略，从而最大限度地降低与供应链依赖相关的安全风险。开发团队可以在不同供应商的实现中应用统一的安全功能，确保安全属性的一致性，同时多元化供应链。这种灵活性对于供应链完整性至关重要的长生命周期应用尤为重要。

RISC-V 作为可靠的安全选项

RISC-V 架构为在关键系统中实施左移安全提供了根本优势。多个行业已经证明了 RISC-V 实现的安全优势。汽车制造商使用带有自定义安全扩展的 RISC-V 处理器来开发高级系统，航空航天公司则利用 RISC-V 可验证的安全属性用于飞行控制。

图 3：LDRA 的工具使开发人员能够确保在航空航天和汽车等安全关键行业中符合标准。

随着安全需求的不断演变，RISC-V 灵活的架构确保了系统能够适应新的威胁。开发安全关键系统的组织应考虑将 RISC-V 作为以安全为先的开发实践的基础。