为RISC-V第三方IP筑牢安全防线:实现全设计供应链中基于通用缺陷枚举的全面安全验证
加入技术交流群
基于通用缺陷枚举(CWE)的 RISC-V 第三方 IP(3PIP)安全验证流程
安全需求
基于美特莱公司(MITRE)硬件缺陷数据库,制定待验证的安全需求指导原则
核心安全维度:完整性、保密性、可用性
验证手段:1. 信息流分析 2. 系统验证自动化(SVA) 3. 定向 C 语言测试 4. 静态分析
各参与方工作流程
RISC-V 第三方 IP 供应商:筛选适用于实际设计的通用缺陷枚举项→制定匹配安全需求的安全规则→采用适配的验证基础设施开展安全设计分析
RISC-V 第三方 IP 供应商:收集安全验证指标→制定安全需求模板→创建属性宏→开发可移植测试框架→将上述成果应用于未来的设计迭代
商用与政府微电子项目中,RISC-V 架构的采用率持续攀升。无论是开源版本还是商业授权版本,绝大多数 RISC-V 处理器核均以第三方 IP 的形式集成到芯片中,这一模式可能引发供应链安全问题,因此亟需一套结构化的设计层级安全验证方案。
随着芯片系统的异构性与互连性不断提升,设计供应链安全已不再是单纯的文档编制工作,而是一项工程技术挑战。处理器 IP 中一个微小的安全漏洞,都可能引发系统性的安全风险。正因如此,可规模化、可重复的第三方 IP 安全验证至关重要,对于部署在关键任务场景中的 RISC-V 核而言更是如此。
从第三方 IP 安全风险到可重复的安全验证
传统的 IP 集成流程往往依赖供应商的性能声明、基于清单的审核以及有限的测试证据。这些方式虽有一定作用,却难以针对所有相关的缺陷类型,实现设计层级的全面安全验证。为弥补这一短板,基于 ** 通用缺陷枚举(CWE)** 的验证方法应运而生,能够实现结构化、可量化、可移植的安全验证。
这套结构化的 CWE 验证方法,以可量化的验证流程替代了零散的人工审核:从 MITRE 缺陷数据库中筛选出相关缺陷类型,将其转化为具体安全需求,通过可执行的属性验证与测试完成验证工作,并将所有过程转化为可追溯的安全验证成果。
最终实现的不仅是测试覆盖率的提升,更是形成了与公认缺陷定义直接关联、可溯源的安全验证文档体系。
推动 RISC-V 生态的安全验证规模化落地
RISC-V 架构拥有统一的指令集(ISA)基础,这一特性使其能够复用安全需求模板、参数化验证属性以及可移植的 C 语言测试负载。这些验证成果一旦开发完成,只需稍作修改即可应用于多款 RISC-V 处理器核,大幅降低非经常性工程(NRE)成本。
为 RISC-V 处理器定制基于 CWE 的参数化安全需求模板,能带来以下核心优势:
研发团队无需在每次 IP 集成时从零开始搭建验证体系;
缺陷类型的筛选判定标准可重复使用;
验证属性可根据具体的寄存器传输级(RTL)设计进行参数化调整;
基于 C 语言的测试用例可通过标准 RISC-V 工具链编译,经少量修改后即可在多款处理器核中复用。
对于在全产品线或产品生命周期迭代中集成多款 RISC-V 核的项目而言,这种可移植性的价值尤为突出。
实际应用案例:SiFive X280 第三方 IP 的安全验证
Arteris 旗下品牌 Cycuity、SiFive 公司与英国 BAE 系统公司展开合作,将这套验证方法应用于一款集成在大型片上系统(SoC)中的商用 RISC-V 核。项目团队从初步识别的 60 项潜在相关 CWE 缺陷中,选取 16 项进行深度分析,通过标准化安全需求模板与可复用验证基础设施(涵盖信息流规则、静态分析、可移植 C 语言测试、基于断言的验证)完成验证工作。
验证结果分析
在完成分析的 16 项 CWE 缺陷中:
12 项缺陷的设计实现符合既定安全需求,验证通过;
3 项缺陷的设计实现不符合规则定义,验证失败;
1 项缺陷经深度分析后,判定为与本次验证范围无关。
值得注意的是,某项 CWE 缺陷验证失败,并不等同于该设计存在实际安全漏洞,而是表明其设计实现与 CWE 的正式定义存在偏差,需要在系统层面评估相应的风险缓解策略。
例如,对调试模式切换机制的验证发现,芯片进入调试模式时,敏感寄存器并不会自动清零。这一设计虽为架构层面的有意设定,但要求研发团队在系统层面制定软件层面的风险缓解方案。又如,对寄存器复位条件的分析发现,部分寄存器在复位时未被显式初始化,尽管结合应用场景判定该问题并非关键缺陷,但这套结构化的分析流程确保了所有设计假设都经过验证,无任何遗漏。
这些验证结果揭示了一个核心要点:安全验证的意义不仅在于发现设计缺陷,更在于消除设计中的不确定性。工程师与管理人员能够更清晰地掌握设计的实际表现、设计初衷以及风险缓解的边界。
借助可复用验证模板降低非经常性工程成本
该 RISC-V 安全验证项目的一大重要价值,是实现了安全验证工作成本的可量化降低。一旦确定了安全需求模板、属性宏与可移植测试框架,后续对其他 RISC-V 核的验证工作,所需的工程投入将大幅减少。这套方法能够在保证验证严谨性的前提下,提升验证工作效率。
验证团队可将工作重心聚焦在设计的差异化环节,如特定实现的信号、特权模式、内存映射以及集成边界,而非重复搭建基础的安全验证体系。对于有可信保障微电子(T&AM)建设目标的政府与国防项目而言,这种可重复的验证流程,既能够满足技术层面的安全验证要求,也能适配项目的进度规划。
强化 RISC-V 的设计供应链安全
微电子生态的多元化发展,使得设计供应链涵盖了开源代码库、商业 IP 供应商、集成商、工具提供商与系统级开发商。供应链安全无法仅在采购环节进行管控,必须融入设计验证的全生命周期。
基于 CWE 的安全验证为各利益相关方搭建了统一的技术沟通语言,具体体现在:
IP 供应商可将产品文档与验证成果,与标准化的缺陷定义对齐;
IP 集成商可要求供应商提供可追溯的安全验证证据;
系统架构师可量化潜在的残余风险,并制定针对性的缓解策略。
这种透明化的协作模式,既能加强各方合作,又无需不必要地暴露企业的专有寄存器传输级设计或核心设计细节。
未来展望:从 RISC-V 拓展至全品类 IP
尽管本次研究聚焦于 RISC-V 架构,但这套验证方法可推广至所有类型的第三方 IP,包括处理器、加速器与外设。安全验证并非零成本工作,但结构化、可复用的验证框架,能将其从被动的合规性工作,转变为可规模化的工程技术体系。对于基于 RISC-V 架构及其他架构进行产品开发的企业而言,这一转变是保障现代设计供应链安全的重要基础。
随着 RISC-V 架构在高安全要求、关键任务系统中的应用持续扩大,设计团队必须摒弃 “主观信任设计无缺陷” 的思维。基于 CWE 的全面第三方 IP 验证,能够带来可量化的设计可信度,降低 IP 集成的不确定性,从 IP 供应商到终端系统,全方位筑牢整个微电子生态的安全防线。
评论