模拟芯片，新担忧

如果您希望可以时常见面，欢迎标星收藏哦~

来源：内容 编译自 semiengineering 。

多芯片组装的发展以及边缘传感器数据价值的不断增加开始引起人们的关注，并引发了人们对模拟电路安全性的质疑。

在当今大多数SoC设计中，安全性几乎完全是一个数字问题。数字电路的安全性要求已广为人知，尤其是在大型数据中心和边缘计算的高端领域，这些领域以数字计算为主导。这在很大程度上是由于片上空间有限，因为模拟电路无法扩展。即使是混合信号IP也已逐渐数字化，以便能够容纳更小的空间。但随着行业从平面SoC转向多维、异构系统级封装（SiP，包括2.5D、3D和3.5D），这些面积限制已经放宽。

这并没有让模拟电路的集成变得更容易，但工艺节点和尺寸已不再是最紧迫的问题。模拟芯片可以在任何合理的节点上开发，并且仍然可以装入封装中，而封装的尺寸可以调整到合适的大小以容纳更大的芯片。这反过来也有助于提高模拟元件的复用率。

还有其他好处。由于其中一些电路可以更独立地运行——SiP 可以是异构的，并且可以全局异步——它们应该能够比现在更容易地插入多芯片组件。此外，额外的面积可以帮助减轻对平滑模拟波的干扰，而这对于隔离嘈杂、密集排列的数字晶体管来说是一个挑战。

但这也使模拟电路面临大多数芯片制造商未曾考虑过的潜在网络攻击。这些攻击可能发生在多个层面，首先是用于传输和转换日益增多的模拟数据到数字数据的物理层。

Rambus硅片安全产品高级总监 Scott Best 表示：“Chiplet I/O 暴露了一些通常很难实现的子系统间通信。如果一个 chiplet 上的安全处理器与一个性能 chiplet 通信 — — 这两个 chiplet 是独立且不同的，由两个不同的供应商生产，并通过多芯片封装进行通信 — — 我现在可以以一种以前从未有过的方式接入这两个子系统之间的通信，因为它们都在同一个 SoC 上，具有 12 层金属和 100 亿个晶体管。当你查看晶体管阵列时，你会发现安全处理器并没有与应用处理器用一个非常透明的框隔开。所有这些都是一堆自动布局布线的大杂烩，以及大量的门。是的，这里面有一个安全子系统，但它有 10 亿个晶体管，而安全模块只占其中的 200 万个。你永远找不到它。”

将这些不同的处理器划分开来，可以更容易地找到通信通道。“SoC 长期以来一直存在的一些基于密度的安全性，我称之为信号纠缠，”Best 说。“现在，这些 chiplet 到 chiplet 的接口需要在两端都具有点对点安全性，因为 chiplet 链路的任何一侧都不再可信。”

虽然多芯片组件并非新鲜事物，但它们正变得越来越复杂，功能也越来越丰富。这在很大程度上是由于对更高计算能力的需求，尤其是在人工智能领域，以及晶体管的规模不足以提供实现这一目标所需的密度。到目前为止，这些多芯片组件中使用的几乎所有芯片都是内部开发的，但预计未来五年将有更多第三方芯片进入市场，从而推动多芯片组件成为主流。

新思科技高级副总裁兼 IP 事业部负责人 John Koeter 表示：“在开放式 Chiplet 市场中，人们担心的问题之一是，如果恶意行为者制造出假冒芯片，导致芯片整体功能面临风险，会发生什么情况？因此，我们认为，构建针对侧信道攻击的安全性对于 Chiplet 时代真正发挥作用至关重要。目前最常见的分区是计算芯片，即混合了数字和模拟元件的 I/O 芯片，周围环绕着大量的内存。是否可以将更多纯模拟芯片混合到其中？或许可以，比如无线 Chiplet，但由于这些 Chiplet 的细分市场，我们目前还没有看到这种情况。先进封装成本高昂，而那些需要射频 (RF) 的应用可以更经济地集成到多芯片模块中，而不是 2.5D 或 3D-IC 封装中。随着时间的推移，随着我们看到更多成本点的先进封装，您将看到越来越多的异构集成，而不仅仅是传统的内存、I/O 和计算。”

边缘模拟安全

AI/ML 正在向万物扩展，其范围远远超出了数据中心的 SoC 和 SiP 范畴。边缘计算的构建在很大程度上是由传感器驱动的，而由于物理世界是模拟的，因此在边缘收集的模拟数据越来越有价值，需要得到保护。

“你要做的第一件事就是让你的传感器更智能，因为它现在必须能够执行加密操作，”英飞凌产品安全高级总监 Erik Wood 表示。“所以有所谓的‘使用时间’或‘使用时检查’。本质上，你想要做的是在读取数据时检查来源的真实性。这不仅适用于传感器，也适用于机器学习模型。这些模型主要存储在外部闪存中，并且采用就地执行架构。每次启动系统时，你都会验证全系统代码的真实性。但是，每次你想使用机器学习模型进行操作并在运行时执行 XIP（就地执行）时，你也会同时进行身份验证/解密。你需要在使用时检查所有内容，以提高整个系统的可信度。”

动态模拟数据与动态数字数据存在许多相同的安全问题。“安全基本上包含两方面，”Wood 说道，“首先是加密，然后进行所有这些操作。其次是故障方面——注入故障，这样你就可以干扰设备并提取一些信息，或者跳过某个步骤，例如在启动链中。对下一个镜像进行身份验证是在安全启动更改中发生的，你可以注入故障，这样执行下一个镜像身份验证的命令就会被打乱。因此，你可以加载无法验证的代码，并控制设备。传感器是安全的重要组成部分。我们有电压传感器、温度传感器、电磁故障注入传感器和光传感器。这些都是进行感测的模拟电路，它们的性能会随着时间的推移而下降。这会导致偏置变化。噪声、热载流子效应以及所有这些因素都会随着时间的推移而衰减或降低，或者变得不那么精确，而正是这些传感器的阈值触发了故障注入反应。”

在某些情况下，这些传感器会自动重新校准。这通常会与一定程度的冗余相结合，具体取决于用例和相关风险。但冗余会增加成本并影响性能。“这会影响性能、电池寿命和处理时间，”伍德说。“我有一个负责软件的同事，在他第一天上班时，我就告诉他，‘听着，我们合不来，因为我会给你的软件带来问题。我要求你做一些你不想做的事情。这会减慢你的软件速度，并使你的软件臃肿。’”

过去，边缘的模拟安全主要通过减少模拟内容量，转而依赖易于理解的数字安全方法来管理。由于数字晶体管不易受热影响，因此对温度波动的响应时间并不构成太大问题。

“你可能会在模拟层面发起一些攻击，比如加热系统，”弗劳恩霍夫IIS自适应系统工程部高级混合信号自动化团队经理Benjamin Prautsch说道。“这取决于你的芯片的可访问性以及攻击的具体目标。你还可以尝试识别电路本身，或许可以使用激光来激发模拟行为的某些变化。”

如今，大部分此类问题仍在数字领域处理。但一些相同的技术应该适用于纯模拟内容。“例如，你可以在芯片上使用一些监视器——前提是这些监视器是安全的，不会被破坏，”Prautsch 说。

不同的世界

数字和模拟仍然是截然不同的领域。数字设计工程师大量使用 EDA 工具，而模拟工程师则很少使用。事实上，EDA 公司在进军模拟市场方面取得的最大成功，是高度重视数字方面的混合信号设计（大 D，小 A）。

“EDA公司一直在努力让数字技术更贴近软件，”马里兰大学附属情报与安全应用研究实验室的研究员沃伦·萨维奇说道。“模拟技术一直未能大规模普及，因为你需要对物理有深入的理解，而这在电子领域是一项相当专业的技能。我见过最担心模拟技术的项目，就是美国国防部高级研究计划局（DARPA）的异步技术项目。”

该项目源于阿肯色大学开发的一款采用多态异步加密技术的IP核。“它在同一电路中同时执行AES（高级加密标准）和SHA（安全哈希算法），”萨维奇说道。“你可以将电压设置为1.5V，它会执行AES；然后，你可以将电压降低到1.2V，它会执行SHA。这种多态电路极难进行逆向工程。除非你确切知道它执行操作时的电压，否则很难弄清楚它在做什么。而且由于它是异步的，因此很难进行侧信道攻击，因为你一直在进行功率平衡。”

这本质上是使用模拟方法来实现安全性。但总体思路是，多芯片组件并非仅仅采用单一的安全方法，甚至不是分层的安全方法，而是会带来全新的安全挑战维度。这意味着模拟器件需要与数字器件一样安全，并且在模拟芯片普及之前，相关研究需要取得进展。

Synopsys 的 Koeter 表示：“你需要某种硬件安全模块，能够唯一地标识所有芯片，无论它们是模拟芯片还是数字芯片，并赋予其唯一的标识符，这样你才能验证它们并信任它们。这很可能就是我们未来会看到的。”

其他人也提出了类似的方法。“我不认为我们在做更多模拟设计，” Cadence杰出工程师 Moshiko Emmer 说道。“我们正在做的是将许多概念从芯片内处理转移到芯片间处理，这有时涉及模拟 I/O、电源等等。当我们考虑芯片集和安全集成时，我们不仅将每个芯片集视为一个子系统，也将其视为一个独立的芯片。从这个意义上讲，它必须是完全安全的。你需要确保芯片集在其边界内的安全性，包括硬件和软件方面。然后，你还需要研究系统级别，看看如何管理一个安全的芯片集系统。它们可以位于不同的安全岛。因此，在我们的架构中，我们正在研究如何构建这样一个系统，其中一个芯片集实际上是系统管理器。有一个中央系统芯片集管理着整个系统的安全性，并且它可以控制其他芯片集。”

安全关键型系统

这一点在安全关键型系统中尤为重要。过去十年，汽车和军用/航空市场一直在推广芯片组和传感器融合的理念。如今，芯片组已被证明有效，至少部分焦点已转移到它们在任何时间点的工作性能上。对于模拟芯片组而言，这种监控主要在于保持电路的“眼睛”处于打开状态。（见下图1）

图 1：长距离 SerDes PHY 中的多眼图

“有些老化的计数器知道这块芯片已经有点老了，我需要降低时钟性能，因为我知道在过去5到10年的运行中，偏差已经积累起来了，”Rambus的Best说。“也许我需要降低性能。有些温度传感器能够知道需要将系统输入的电压设置为多少。电压太低了吗？太高了吗？电压是不是出了什么问题？在某些安全芯片中，还有光传感器，可以判断在显微镜下的实验台上物体是否倒置或开封，因为这是光线照射到基板的唯一途径。所以很多模拟电路都受到模拟传感器技术的保护。但这引出了一个问题：‘谁在监视守望者？’你如何保护那些保护更昂贵电路的传感器电路？”

结论

模拟和数字是截然不同的工程学科。即使它们在混合信号IP中融合，其推动力主要仍然在于数字技术。但一些因素正在发生变化，这将要求芯片制造商更加密切地关注模拟安全性。其中包括：

能够在任何合理的工艺节点上开发芯片，一直是多芯片组件的广泛目标，因为它可以通过重复使用经过硅验证的设计来缩短上市时间并降低成本。这对于模拟元件尤其有用，但其对安全性的影响在很大程度上仍是未知领域。

传感器收集的模拟数据的价值正在不断增长，尤其是在汽车、国防和航空航天应用领域。这些传感器可以检测运动、光线、热量和振动，而诸如热模糊测试之类的物理攻击可能会扭曲这些数据，进而对汽车或战斗机的响应造成严重后果。

将 SoC 分解成 Chiplet 后，交互将更加复杂，互连也将更加公开。黑客总是会寻找最薄弱的入口点，而关于这会如何影响 PHY、SerDes 或传感器等模拟组件的历史记录却少之又少。

半导体精品公众号推荐

专注半导体领域更多原创内容

关注全球半导体产业动向与趋势

*免责声明：本文由作者原创。文章内容系作者个人观点，半导体行业观察转载仅为了传达一种不同的观点，不代表半导体行业观察对该观点赞同或支持，如果有任何异议，欢迎联系半导体行业观察。

今天是《半导体行业观察》为您分享的第4057期内容，欢迎关注。

『半导体第一垂直媒体』

实时 专业 原创 深度

公众号ID：icbank

喜欢我们的内容就点“在看”分享给小伙伴哦