安谋中国自研“再下一城”：赋能中国安全生态

安谋中国作为一家中国芯片IP企业，自成立至今公开发布了五条自主IP产品线：“周易”AIPU、“星辰”处理器、“玲珑”ISP处理器、“玲珑”VPU“和山海”物联网信息安全解决方案，前四个产品线早前被逐一发布，“山海”则属于一直以来比较神秘的一条产品线。

日前，恰逢安谋中国成立三周年，这一全栈安全解决方案“山海”S12正式发布，21ic中国电子网受邀参加此次新产品发布会。

面向更强算力和更广场景

根据安谋中国安全产品经理耿建华的介绍，实际在“山海”S12之前还存在第一代“山海”产品。早在2019年8月安谋中国曾发布 “山海”E10和E20，这一代产品主要面向Cortex-M系列微控制器系统，彼时主要是定位在IoT的安全解决方案。E10和E20两者定位区别主要在于TrustZone上，E10支持前期架构包括Armv6-M、Armv7-M，E20则支持拥有TrustZone技术Armv8-M架构。

全新发布的“山海”S12则主要面向Armv7/8-A和Armv7/8-R系列应用处理器系统，与M系列不同，A系和R系应用处理器的算力更大、处理能力更强，“山海”S12也将定位于AIoT的安全解决方案。

根据耿建华的介绍，“山海”S12包括硬件加解密引擎、固件和软件、SaaS软件三个部分。

硬件架构方面，根据耿建华的介绍，硬件加解密引擎TrustEngine-600是“山海”S12最核心的一部分。”山海”S12不仅支持国际通用加密算法，也支持国家自主的商用算法，包括对称算法、非对称算法和哈希算法。另外，在真随机数上也同时支持本土标准和国际标准。此外，“山海”S12中OTP以可行跟的形式存在，核心跟秘钥会保存在其中。

耿建华强调，硬件上“山海”S12支持丰富的算法，为了减少产品的面积和和集成复杂度，根据场景应用不同也可对算法进行裁剪或算法能力配置，以此可以减少产品的成本。

软件架构方面，根据耿建华的介绍，“山海”S12提供了丰富的软件栈。在启动态上，支持安全启动、恢复、安全调试、安全烧录，特别是可将安全信息包括Root Key、设备Key、证书和定制化数据，通过工具烧录回设备中。在运行态上，“山海”S12分为安全环境和非安全环境，在安全环境下提供设备身份验证、证书存储、设备管理、FOTA、TEE可信操作系统等，在非安全环境下提供设备管理、FOTA、Linux和Kernel加解密增强等。

SaaS应用软件服务方面，包括设备管理、固件在线升级（FOTA）和安全烧录。据介绍，内部测试中可以支持大概100万的设备，如果通过服务器的平行扩展可以支持更多的设备，此外安谋中国也将会在整个的交付包里交付大家。

“山海”S12优势明显

实际上，安全问题伴随万物互联时代逐渐被重视。尤其是AIoT的场景之下，数据的处理能力更加强劲，应用更加多样化，在此方面对安全的虚构更强，安全威胁更加复杂。

Turnkey解决方案是“山海”S12的优势之一。产品面向的是AIoT的端、管、云一体的安全方案，是以硬件加解密引擎为基础并具备丰富的安全固件和SaaS软件能力的产品。当合作伙伴想要做安全产品时，可以非常快速地选择产品中的安全能力，快速集成产品并加速上市。

灵活可配置性是“山海”S12的优势之二。客户可以根据自身产品安全需求进行灵活配置和灵活裁剪，形成一种“搭积木”的模式，这样可以减少复杂度和降低成本。另外，耿建华强调，安谋中国也会对整个Arm未来的安全架构提供非常好的支持。

以客户为中心的支持是“山海”S12的优势之三。“山海”S系列和E系列产品都是本地化团队开发设计的，整个技术支持团队也是由本地工程师组成，形成本地化技术支持。此外，产品不仅支持国内和国际多个安全标准，客户的芯片或设备在进行PSA或国密认证时安谋中国均可提供相关支持。与此同时，也会借助Arm强大的生态能力提供整个Arm生态支持。

高质量的产品交付是“山海”S12的优势之四。耿建华强调，安谋中国拥有与Arm相同的开发流程和交付标准，因此提供和交付的产品均具有高标准，不会导致客户在集成和开发中因为一些错误导致项目延期，这也是安谋中国在标准上的承诺。

联合其他IP赋能本土安全生态

“山海”S12基于Arm技术，必然也与Arm演进息息相关。根据安谋中国安全产品研发架构师、技术总监吕达夫的介绍，Arm在架构演进过程中，安全是一个重要的演进方向。Arm的TrustZone技术已有十几年的演进历程，除此之外Armv8.3、8.4、8.5等架构升级逐步引入PAC（Pointer Authentication Code）、 BTI (Branch Target Identification)及MTE（Memory Tag Extension）等相关的技术。这些技术一方面是对代码进行隔离，从而减少程序被攻击面；另一方面是限制程序指令的执行流和数据流的流向，从而免受到黑客的攻击，为黑客攻击这些设备带来额外的成本。

Arm在3月底发布了最新的Armv9架构，全新架构中引进了全新的机密计算架构CCA并基于此前的TrustZone引入动态创建机密领域的概念。另外，Arm还和产业伙伴一起推出了PSA（Platform Security Archtecture）安全认证，从而引领Arm的安全技术不断向前发展。

实际上，在任何设备都联接入网后，安全技术需要渗透到生活之中。安谋中国产品研发常务副总裁刘澍认为，安全保护的关键在于信息保护、信息隔离、设备安全管理上。

刘澍强调，归根结底Arm或安谋中国做的其实还是计算型的工作，在提供CPU、GPU、人工智能、ISP、VPU这些计算单元后，又加入了一层安全机制，而这项安全技术是来做保险柜的，但并不限制客户、芯片公司包括OEM将其用在什么地方，最重要的是在整个计算中建立起信任的计算机指。

目前来说，安谋中国坐拥“周易”、“星辰”、“玲珑”，“山海”与这些产品线不同，但是是结合在一起的，“山海”讲究的系统安全性不是由这一个单独点来保证的，是要跟着几个IP一起实现的。

“山海”这条产品线经历了三年两代产品的研发，目前已获得20余家授权客户。展望“山海”S12在中国市场的目标，耿建华表示希望半导体行业如果用到安全IP，会首先会想到安谋中国。与此同时，希望通过创新来赋能中国的安全生态，与本土的合作伙伴一起共同成长。