（本文編譯自Semiconductor Engineering）

半導體網(wǎng)絡攻擊的數(shù)量和規(guī)模持續(xù)攀升，而芯片設計和封裝新方法或可顯著遏制這一趨勢。

根據(jù)網(wǎng)絡情報公司CloudSEK的報告顯示，自2022年以來，與半導體相關的網(wǎng)絡安全攻擊次數(shù)增加了六倍多。在這些攻擊中，僅勒索軟件一項就給半導體行業(yè)造成了約10.5億美元的損失，而僅在美國，處于風險中的戰(zhàn)略性投資就高達數(shù)十億美元。研究人員還發(fā)現(xiàn)，印度某大型道路救援與保險服務商存在一個配置錯誤的.git代碼倉庫，該漏洞導致超20GB的敏感數(shù)據(jù)泄露。這些數(shù)據(jù)與多家頭部汽車品牌相關，其中不僅包含完整源代碼、支付網(wǎng)關令牌、云數(shù)據(jù)庫憑證，還有數(shù)百萬條客戶及商戶記錄。

類似案例不勝枚舉。變化的是，硬件已成為主要的攻擊媒介，而入侵芯片（或芯片系統(tǒng)）最有效的方法之一，就是將該設備帶入實驗室，進行物理探測以發(fā)現(xiàn)其漏洞。過去，這通常需要研磨封裝，并用掃描電子顯微鏡(SEM)尋找各種探測點，這使得許多犯罪組織對此望而卻步。但現(xiàn)在，SEM的普及率大幅提高，最低僅需5萬美元即可購置，而且其復雜性的提高也為許多其他篡改途徑打開了方便之門。

新思科技首席安全技術專家Mike Borza表示：“篡改指攻擊者試圖通過物理方式訪問或修改芯片內(nèi)信息的任何行為，既包括故障注入等手段，也涵蓋嘗試在芯片局部或系統(tǒng)局部接入探測設備，以修改現(xiàn)有數(shù)據(jù)或訪問可能從該訪問點獲取的秘密信息?！?/p>

其結果是，過去在很大程度上被忽視的環(huán)節(jié)，如今必須部署安全防護措施。例如，過去通常會通過防護手段防止運行時軟件被篡改。但隨著對性能要求的不斷增長，之前由單個CPU管理的功能，已被更專業(yè)的控制設備所取代，從而暴露了過去被認為無法訪問的運行時軟件。因此，現(xiàn)在需要修改運行時軟件，以檢測任何更改并糾正任何異常行為，或者至少發(fā)出警告，指出程序存在的問題。

是德科技高級總監(jiān)Marc Witteman表示：“在半導體領域，這通常被稱為‘測量啟動’。開放計算項目（OCP）正嘗試對啟動過程和固件鏡像進行檢測，這是實現(xiàn)信任保障的解決方案之一。因此，從某種程度上來說，通過部署相關技術，一旦發(fā)現(xiàn)軟件鏡像出現(xiàn)異常便發(fā)出警報，就能為軟件提供防篡改保護?！?/p>

堆疊的優(yōu)缺點

諷刺的是，3D IC前所未有的復雜性，或許能夠增強對日益復雜攻擊的防護，尤其是在良好的布局規(guī)劃下。事實上，3D IC面臨的挑戰(zhàn)可能更多地在于功能實現(xiàn)和良率提升，而非安全性。原因在于，堆疊芯片會增加復雜性和物理層面的“模糊性”，從而有助于防止芯片篡改和逆向工程。通過垂直堆疊多個芯?；蛐酒?，3D IC架構或許能夠實現(xiàn)傳統(tǒng)2D集成電路甚至其他多芯片架構都無法實現(xiàn)的全新安全保護措施。

Rambus硅IP高級技術總監(jiān)Scott Best表示：“3D IC顯著提高了攻擊者在不被檢測或干預的情況下訪問或探測內(nèi)部互連結構的難度。這種情況在異質(zhì)裸片堆疊中已然存在，對于同質(zhì)芯片堆疊尤其如此?！?/p>

在2.5D或3.5D設計中，分立的芯片通過中介層連接，這會使它們暴露在外。但在完整的3D IC設計中，芯片彼此連接，這使得黑客更難以辨別堆疊芯片層內(nèi)部深處的情況。

新思科技的Borza表示：“在多數(shù)情況下，3D IC比2.5D技術、中介層上的芯粒或系統(tǒng)級封裝技術更難被訪問，因為中介層更類似于一塊小型印刷電路板。中介層本身可能是硅基的，也可能是有機基板，在某些情況下甚至是陶瓷基板，但無論哪種材質(zhì)，所有互連結構都是暴露的。這意味著每個點的物理尺寸相對較大，可能很容易被攻擊者輕松訪問，因此他們有機會讀取數(shù)據(jù)。而在3D堆疊中，某些中間層的訪問難度極高，與試圖獲取芯片內(nèi)機密信息時遇到的可訪問性問題類似?，F(xiàn)在討論的是更小的線路，在3D IC中，各組件層層堆疊，中間層難以訪問，因此相對而言更難被攻擊。篡改可能發(fā)生在接口處，就像使用光源或激光將故障注入芯片一樣，這使得3D IC在這些環(huán)節(jié)仍容易受到篡改。

多源芯粒也能提高安全性，前提是這些芯粒的來源有保證?！巴ㄟ^有意利用多元化策略，用戶可將每個芯粒分配給不同的制造合作伙伴，”西門子EDA公司Calibre 3D IC解決方案產(chǎn)品管理高級總監(jiān)John Ferguson表示，“這使得任何一個供應商都難以了解設計的全部意圖。為進一步強化這一效果，甚至可以將單個芯粒分解成更小單元，并由不同的代工廠進行生產(chǎn)?！?/p>

也可以將芯粒的前端制造在一家代工廠進行，而將后端制造在另一家代工廠進行?！昂笳呖雌饋碛悬c像無源中介層芯粒，只是在硅片上覆有金屬，”Ferguson表示，“它們之后可以通過硅通孔(TSV)甚至直接鍵合進行連接。同樣，各個封裝或基板的RDL層也可以拆分，并發(fā)送給不同的供應商?！?/p>

但這種高復雜度對設計團隊和黑客而言都是挑戰(zhàn)，它會影響產(chǎn)品上市時間和總體設計成本，同時增加其他安全風險。“你必須非常小心，確保任何給定接口兩側使用的工藝和材料都能正確連接，”Ferguson表示，“由于涉及的加工步驟增多，設計可能會在無意間面臨更多可靠性問題。同時，需將部件送往多家供應商生產(chǎn)，這也會導致供應鏈流程顯著延遲。即便如此，這也未必是100%萬無一失的。”

減少攻擊面

關鍵在于識別和限制攻擊面，同時對剩余暴露部分加以保護。“如果將芯片堆疊起來，攻擊面是有限的，而若采用2D平面布局，攻擊者從底部或可見的底層位置，就能輕松接觸到所有組件，”Secure-IC首席技術官Sylvain Guilley表示，“就可訪問性和檢測儀器而言，放置探頭并嘗試用示波器讀取數(shù)據(jù)，或者強行禁用一些東西等，在系統(tǒng)開放時，這些操作都會比系統(tǒng)折疊壓縮成緊湊結構時容易得多。一旦形成堆疊或‘三明治’式結構，中間層幾乎無法觸及，僅通過這種布局設計和封裝方式本身，就能實現(xiàn)自我保護?！?/p>

這本質(zhì)上是通過布局規(guī)劃來保障安全。如果最重要的資產(chǎn)位于堆棧的中間，它們的安全就不那么容易受到攻擊。但代價是，邏輯和數(shù)據(jù)移動會產(chǎn)生熱量，而當熱量需要從堆棧中間而不是頂部或側面排出時，散熱會更加困難。

多芯片設計還會增加更多故障點，從而增強設備抵御攻擊的能力?！凹词褂幸粋€核心安全組件，仍需管理其他組件的身份驗證方式，并為它們構建各自的安全層，”Secure-IC首席營銷官Yan-Taro Clochard指出，“這包括評估芯粒系統(tǒng)和整體分解芯片的特定威脅，因此可能要求子系統(tǒng)的每個部分都具備抵御物理攻擊的獨立防護能力。但這也使整體安全架構分布更加復雜，必須防范此類情況的發(fā)生。”

其他保護措施和最佳實踐

保護硬件免遭篡改可采用多種技術手段，從物理屏蔽到計算保護措施。

Rambus的Best表示：“基于硬件的解決方案包括電路級傳感器，當檢測到極端環(huán)境、時鐘故障或電壓異常時，它們會發(fā)出警報信號。防篡改物理不可克隆函數(shù)(PUF)是另一種強大的方法。它們可利用芯片防護結構的差異性生成加密密鑰，這樣，當設備受到物理攻擊時，攻擊者將永久無法獲取PUF生成的密鑰。此外，隨機掩碼等計算防護措施也至關重要，能有效抵御功耗分析、電磁分析等非侵入式側信道攻擊。這些技術共同構成了縱深防御策略，與眾多不斷發(fā)展的商業(yè)標準相契合?！?/p>

關鍵在于盡可能地防御攻擊，并在攻擊成功后迅速恢復，而這在很大程度上取決于受保護對象的價值。汽車行業(yè)就是一個很好的例子。

Best表示：“在推動微電子供應商重視汽車子系統(tǒng)安全標準方面，汽車行業(yè)做出了卓越貢獻。無論是針對功能安全的ASIL B級、ASIL D級ISO標準，還是網(wǎng)絡安全相關的ISO標準及CSIP規(guī)范，均納入了防篡改安全理念。幾乎所有其他行業(yè)的安全標準推進速度都遠落后于汽車行業(yè)，后者正引領著這些標準的發(fā)展?！?/p>

汽車安全性之所以復雜，是因為它們是系統(tǒng)之系統(tǒng)，因此設計團隊必須應對的不再僅僅是芯片本身。他們必須思考自己的設計目標。如果系統(tǒng)進行了更新，是否會引發(fā)新的安全問題？在極端環(huán)境溫度下，電路會因高溫而發(fā)生變化時，是否會從安全層面帶來新風險？

所有這些因素都會對每一家原始設備制造商（OEM）產(chǎn)生影響，無論是汽車行業(yè)還是其他行業(yè)。安全和品牌聲譽對OEM至關重要，尤其是在汽車行業(yè)，安全問題會嚴重影響品牌形象。微電子層面的安全性至關重要，因為它直接影響乘客安全和公司形象。

結語

如今，半導體設備已成為支撐汽車、個人電子、工業(yè)基礎設施等領域的核心基石，構建強健的半導體安全體系需求迫切，毋庸置疑。隨著系統(tǒng)互連程度和復雜性的不斷提升，安全防護需采用不斷演進的多層級策略，涵蓋物理防護、模擬防護、計算防護及組織管理防護等多個維度。

封裝方法、布局設計、芯粒技術以及各類傳統(tǒng)和新型的防篡改方法，不僅會深刻影響設計方案抵御攻擊的能力，也決定了攻擊發(fā)生后的應對效果。但所有這些安全設計都需在設計周期早期啟動，并具備隨時間推移調(diào)整防護策略的能力。