介绍

  智能互联家居的愿景已接近现实，想象一下下面的场景。

  你的手机上收到一个摄像头通知提示，告诉你订购的3A级四川花椒已经到货。这是因为你的智能家庭摄像头记录下了包裹的递送过程，读取条形码并追踪到你的在线订单。你下班回家，摄像头认出了你，为你打开了门。当你走进厨房，你会发现冰箱上的显示屏显示你有足够的有机新鲜豆腐和大葱来做麻婆豆腐。在你开始烹饪之前，你可以通过询问你的语音助手来更新你对食谱的记忆，语音助手会在在线搜索后读出食谱的烹饪步骤。就在你做完饭的时候，你听到你的语音助手说你的伴侣到家了。这是因为智能摄像头在门口认出了你的伴侣，并将其广播到你所有连接的家庭设备上，你的语音助手就能接收这些信息并与你交流。你打算播放一首气氛音乐来放松一下，你让语音助手从你的在线音乐订阅中搜索当代爵士乐艺术家，然后餐厅就能弥漫在音乐的氛围中直到晚餐结束。接下来，你可以让机顶盒切换到合适的频道来观看你最喜欢的深夜喜剧节目。就寝前，你在智能显示屏上梳理你的约会安排，并要求它在你第一次会面前几个小时叫醒你。你闭上眼睛，灯光慢慢变暗然后关掉，为了以防夜里起床，夜灯将伴随着的开启。

  上面描述的场景已接近现实，少数人今天已可以享受这样一个智能的、联网的家庭。这是由信息处理、通信、语音和图像识别以及人工智能技术的融合而实现的。互联家庭由智能家居设备组成，这些设备处理信息、相互通信、识别语音命令、显示信息并相互协调运作。这是物联网(IOT)的真正体现，它将永远改变我们的生活方式。

智能家居设备需要大量的智能

  半导体公司专注于制造强大的智能家居设备以迎接智能互联家居的未来。这些设备被设计成片上系统(soc)来实现，以满足不同场景的持续性能的要求，并对远场语音命令识别进行了优化。

  持续的性能是通过利用中央处理器(cpu)、图形处理单元(gpu)和神经网络引擎联合处理来实现的。例如，对远场语音通信的优化涉及到从背景噪音或媒体播放器发出的声音中识别和区分语音命令的能力。神经网络引擎与处理器并行使用，赋予边缘设备智能以执行语音识别和自然语言处理、事件检测和对象识别等应用，所有这些应用都从用户偏好中学习。并且需要将适当的接口集成到智能家居设备中，才能使它们彼此之间进行通信。由于一些设备将被插到墙上，而其他设备是由电池供电的，因此低功耗设计是一个必须要求。最后，设备必须配备适当的固件和软件，以便为企业和服务提供商提供无缝支持。

  虽然智能家居设备可以与集中式服务器通信，并受益于企业云计算的处理能力，但延迟可能会妨碍快速响应时间——例如，如果在家中检测到火灾，就需要快速启动洒水器。在这种情况下，设备需要一定程度的边缘智能计算能力，因此在这些设备中堆叠大量处理能力是智能家居设备供应商的首选选择。

安全与隐私对智能互联家庭至关重要

智能家居设备会处理你的许多私人数据，比如你的生物特征信息，以及受版权保护的媒体和数据。保护私人数据是至关重要的,所以2018年9月,加州通过了一项网络安全法，要求保护联网设备的安全。该法案将于2020年生效，并要求物联网设备制造商为所有联网设备配备合理的安全功能。数据隐私是许多用户不希望他们的信息被发送到云端进行处理的主要原因。来自第三方公司的一份又一份的报告显示，他们的安全措施存在严重的隐私漏洞。调查结果包括用户身份验证和与供应商的云服务通信时打开后门的漏洞。隐私丑闻甚至包括服务提供商记录和分析住户之间的私人对话。试图获取个人数据以进行身份盗窃的网络罪犯可以利用许多漏洞，并利用鱼叉钓鱼攻击来获取用户账户的访问权。

智能家庭设备开发商为提供低延迟和快速的响应时间，就需要进行边缘存储和处理更多的数据，但同时会使隐私问题进一步恶化。边缘设备甚至比云中央服务器更容易受到攻击。云服务器是由拥有大量资源和声誉风险的大公司管理的，但边缘设备可以且确实来自对安全性有不同程度承诺的供应商，它们更倾向于较小的尺寸、更低的成本或更快的上市时间。越来越多的个人和私密数据存储在边缘设备中对黑客来说可能是一个宝库。

智能家居产品的宝贵资产

  在智能家居产品中，有几项宝贵的资产值得隐私保护。视频和音频节目受版权保护，流媒体内容通常只有付费订阅才能获得。基于用户身份验证的访问用于防止未经授权访问那些受版权保护的媒体。特定的产品信息(如芯片标识、版本号、授权的细分市场和产品配置)通常用于确定谁可以访问哪些设备和内容，以及需要保护哪些内容。在没有保护的情况下，可以使用特定的产品信息来模拟产品，以访问受版权保护的信息。智能家居设备会收集用户数据，如指纹、语音和面部识别数据、付费服务的支付信息和个人健康数据，所有这些都非常敏感和隐私。最后，产品制造商存储在智能家居设备中的知识产权，如源代码和程序数据，也是需要保护的。

对智能家居设备的攻击类型

  来自网络罪犯的攻击可以采取多种形式。黑客事件可能导致远程禁用已连接的家庭设备、窃听用户数据流的身份盗窃、窃取受保护的内容或修改智能家居设备的功能。窃取受保护的内容，常见的如音频和视频节目，并导致有版权的材料被盗版，并可提供未经授权的访问。智能家居设备处理语音或执行面部识别的神经网络算法是黑客的典型攻击目标。黑客首先对软件或算法进行逆向工程，然后插入恶意修改以实现替代功能或性能。具有设备物理访问权限的黑客可以通过提取加密密钥、关键指令、关键数据和设备制造商知识产权来进行攻击。

设计具有安全意识的SOC

  半导体行业一直在努力确保智能家居设备的安全，并提出了可信执行环境(TEE)的概念，以确保安全、智能、互联的家庭设备。

  TEE的概念很简单——就创建一个可靠的硬件和软件平台，以确保对代码和数据的保护。TEE的目标是维护系统的真实性、完整性和机密性。真实性确保系统按照预期的方式运行，并正确地保护敏感资产。真实性是通过在SoC硬件中嵌入基于信任根（RoT）架构实现的。完整性可以防止在SoC代码执行期间修改经过认证的代码和数据。机密性防止在没有经过身份认证的情况下将代码和数据导出到设备之外。机密性是通过使用加密密钥来保护敏感数据来实现的。加密密钥来自于储在SoC硬件中的信任根密钥。

  设计人员可以采用多种方法来实现TEE。一种常见的方法是构建一个由安全CPU、安全存储和加密加速器组成的“安全飞地”。这确保了系统的机密性和完整性并提供了安全边界。在这个边界内，可信的执行活动为不同的案例（如身份验证、支付和内容保护）提供代码和数据的保护。

位于信任根的中心的非易失性存储

   为了理解为什么非易失性存储器（NVM）是信任根的中心，让我们来了解一下智能家庭SoC的安全引导流程。

  安全引导从即时验证和认证的固件开始。固件和用于认证固件的加密密钥都存储在SoC内的安全信任根模块中。固件通常存储在只读存储器（ROM）中，验证固件的安全密钥存储在单独的非易失性存储器（NVM）中。

  ROM代码使用存储在NVM信任根中的安全密钥进行解密，从而使代码安全可信。主引导加载程序执行的代码也被认为是安全和可信的，因为在这里执行信任根模块的内容。同时主引导加载程序执行应用处理器引导加载程序的代码，同样被认为是安全和可信的。因此，应用处理器引导加载器、操作系统以及应用程序随后执行的代码本质上都是是安全可信的。

  整个安全引导流程只不过是建立一个“信任链”，信任根对于确保安全可靠的引导流程至关重要。由于这在很大程度上取决于对存储在信任根中的代码的正确身份认证，所以当设备关机时，密钥应该具有持久性，这就意味着它们必须存储在NVM中。

安全信任根的NVM要求

  存储在NVM信任根中的密钥需要是不可更改的，因此在产品制造商对密钥编程一次之后，它们不应该被重新编程。因此，一次性可编程（OTP）NVM是实现安全信任根的唯一选择。

  由于OTP存储器可以通过几种方式实现，因此选择基于固有安全技术的OTP对于抵抗和阻止黑客获取不正当访问的企图至关重要。由于智能连接家庭设备的形式多种多样，对成本敏感，有时还需要电池供电，因此OTP必须可靠、面积优化、耗电少。OTP的访问时间对于加快整个系统的启动时间也很重要。

并非所有的OTP-NVM都同样安全

  嵌入式OTP-NVM可以基于浮栅、电熔丝（e-fuse）或反熔丝技术，每种技术都对安全性有影响。

浮栅OTP-NVM在浮栅上捕获电荷以存储二进制数字，并耗尽电荷以擦除它。捕获和耗尽电荷需要高的电源电压，而产生浮栅及其相关的绝缘氧化物意味着在标准CMOS工艺中增加制造步骤。浮栅OTP-NVM中的数据可以通过暴露在紫外线或辐射下而被擦除，给黑客一个操纵其数值的机会。

  基于E-fuse的OTP-NVM取代了先进工艺节点中的浮栅OTP，因为浮栅OTP-NVM通常不能扩展到40nm以下，所以半导体工厂将其作为工艺支持IP提供给客户。电子保险丝的编程包括断开连续蚀刻的多晶硅或金属线，以产生开路，这是通过利用电迁移来实现的。然而，E-fuse是最不安全的，因为扫描电子显微镜(SEM)下的检查很容易揭示哪些熔断器已经编程，哪些没有，从而使它们自己被黑客逆向工程。

反熔丝OTP-NVM固有安全性

  反熔丝OTP NVM是根据氧化物击穿原理设计的。每个CMOS器件都使用氧化物作为栅极和沟道之间的绝缘体。施加在CMOS晶体管栅极上的高压会导致氧化层击穿，并对OTP进行编程。其他没有高压的晶体管仍然没有编程。由于没有电荷被储存或捕获，OTP-NVM不易受到基于改变设备电源电压或温度的黑客技术的影响。现代标准CMOS工艺技术中的氧化物非常薄，大约有几十埃（每埃是纳米的十分之一），这使得电子显微镜看不到破碎的氧化物，因此无法读出NVM单元的状态。有了这些优点，基于反熔丝的OTP NVM成为在硬件中安全存储加密密钥的实际解决方案的原因就很明显了。

安全增强型OTP NVM

  尽管反熔丝 OTP在物理上是基本安全的，但是可以在OTP的设计中采取步骤来进一步增强它。

  在未编程的位置对OTP NVM施加高压可以对存储器进行编程并改变初始内容。为了防止意外或有目的的高电压编程，OTP必须设计成检测篡改事件，包括应用的电压超出SoC的指定工作范围。当检测到此类事件时，OTP NVM应该发出一个标记，以便SoC中的安全引擎可以采取适当的操作来禁用OTP NVM的尝试或锁定对它的访问。

  除了篡改之外，如果黑客试图访问数据，OTP NVM还应该检测它，并向嵌入式处理器发送一个信号，以采取规避操作。数据篡改应该采取预防措施，将不正确的数据发送到OTP NVM的输出总线以迷惑黑客尝试。黑客经常使用一种称为差分功率分析(DPA)的技术来反向工程OTP NVM的内容。DPA依赖于读取从已编程和未编程位置发出的功率特征，并找到存储内容的模式。为了防止DPA攻击而设计的OTP NVM在其编程中需要是数据不可知的，这意味着无论OTP NVM中存储的是什么内容，功率特征都应该是相同的，并且应该是统一的。面向安全的OTP NVM体系结构还包括其他一些特性，比如数据混淆(在读取周期之间在输出总线上生成连续的数据流)、禁用OTP NVM的位或段的安全锁，以及在编程一次之后禁用对地址的编程。

增强安全性的OTP-NVM

  尽管反使用OTP基本上是物理安全的，但是可以在OTP的设计中采取步骤来进一步增强它。

  在未编程的位置对OTP NVM施加高电压可以编程存储器并改变初始内容。为了防止意外或有目的的高电压编程，OTP必须设计为检测篡改事件，包括超出SoC指定工作范围的外加电压。当检测到此类事件时，OTP NVM应升起一个标志，以便SoC内的安全引擎可以采取适当的操作来禁用对OTP NVM的尝试或锁定访问。

  除了篡改之外，如果黑客试图访问数据，OTP NVM应该检测到数据并向嵌入式处理器发送信号，以采取规避措施。应对数据篡改采取预防措施，将不正确的数据发送到OTP NVM的输出总线，以迷惑黑客的企图。黑客经常使用一种称为差分功率分析（DPA）的技术来反向工程OTP-NVM的内容。DPA依赖于读取来自编程和未编程位置的功率签名，并找到存储内容的模式。为防止DPA攻击而设计的OTP-NVM在编程时需要与数据无关，这意味着无论OTP-NVM中存储的内容是什么，功率特征都应该是相同的，并且应该是一致的。面向安全性的OTP-NVM体系结构包括其他特性，如数据混淆，它在读取周期之间在输出总线上生成连续的数据流，安全锁定以禁用OTP-NVM的位或段，以及在编程一次后禁用对地址的编程。

基于固有安全反熔丝技术的新思科技（Synopsys ）OTP NVM

  新思科技 DesignWare OTP NVM IP基于固有的安全反熔丝技术。 新思科技是基于反熔丝的OTP NVM的技术和市场领导者，其产品在180nm至10nm工艺上已批量生产。 新思科技 OTP NVM IP建立在两个不同的OTP NVM位单元上，两者均已申请专利，并已证明在多种工艺技术和晶圆代工厂中都是面积优化，可扩展且可靠的。 基于反熔丝的OTP NVM从根本上是安全的，不仅因为无法将编程位与未编程位区分开，而且还因为无需像浮栅结构一样擦除电荷。 由于OTP存储阵列中某个位的编程状态与电荷无关，因此在编程状态下不会发生泄漏，并且对OTP中存储的信息进行反向工程的尝试很难成功。

利用新思科技DesignWare XSC OTP NVM进一步提高安全性

  新思科技DesignWare XSC OTP NVM在OTP NVM的外围集成了额外的安全逻辑，以抵制，检测和阻止黑客攻击。 这些设计增强功能使OTP NVM成为需要构建防篡改IOT产品的半导体公司的理想选择。 XSC OTP NVM的位计数最高为32Kb，可帮助保护连接的家用设备中的基本程序代码以及数据和加密密钥。