確保SoC的安全整合歐盟PP0117保護要件的角色

為因應日益漸增的高效且安全的嵌入式解決方案需求，製造商開始將安全子系統整合到系統單晶片（SoC） 架構中。了解保護要件文件0117 （PP0117），對於從事嵌入式安全、安全元件 （SE）、SIM卡和硬體安全模組 （HSM）等5G連接設備（如智慧手機、物聯網設備和汽車應用）的工程師、安全架構師、系統架構師和產品開發人員來說，相當重要。本文將說明PP0117如何針對安全子系統整合到SoC中而建立的安全框架，比較其與PP0084的相異之處，並介紹其獲得全球移動安全權威機構GSMA的認可。

什麼是保護要件？

保護要件（Protection Profile；PP）是一份安全指南文件，用於建立硬體和軟體中安全機制的開發、整合和評估的標準。PP0117是針對SoC中的整合安全子系統（如嵌入式 SIM 卡 （e-SIM） 和安全元件 （SE））的安全要求。

在PP0117推出之前，保護要件文件PP0084廣泛用於獨立的安全元件，如SIM卡和安全元件。然而，當這些元件直接整合到SoC 時，帶來的新挑戰，例如在複雜晶片架構中定義安全邊界，是PP0084無法應對的。因此，為克服上述挑戰，PP0117應運而生，以確保SoC內的整合安全元件（iSE）具備與獨立安全元件相同的安全性。

簡介

保護要件0117（PP0117）是一個專為促進安全子系統（3S）在大規模SoC架構中整合而設計的保護要件。在PP0117出現之前，PP0084主要用於評估獨立的安全元件，如安全元件 （SE） 和SIM卡。然而，當SE 或類似設備的邏輯功能被整合到更大的SoC中時，PP0084的方法和要求在則可能不再適用。

為整合解決方案的安全問題SoC內的安全子系統 （3S in SoC）， 保護要件也就因而誕生，並為業界提供一套清晰可評估的安全要求。

此保護要件是由Eurosmart協會開發，匯聚了技術委員會成員，包括開發商、實驗室 （ITSEF） 和認證機構。PP0117選定的認證機構為德國聯邦訊息安全局 （BSI）。

PP0084與PP0117的設計差異

PP0084 最初是為獨立安全元件（如SIM卡和智慧卡晶片）設計的，假設其具備物理隔離的安全邊界並使用嚴格的介面協議。

相比之下，PP0117則適合SoC內部整合的安全元件，需考量更複雜的內部與外部介面。其主要區別包括：

PP0117確保整合安全元件能夠維持與獨立安全元件相同的安全等級，同時根據SoC設計的實際需求調整安全要求。

當設計和評估大型SoC內的安全子系統時，相較於獨立的安全控制器，需要考量多項重大差異。最顯著的差異來自於晶片製程的限制，例如缺少嵌入式非揮發性儲存以及安全邊界難以定義。

此外，相較於獨立晶片，評估整合安全子系統的複雜性更高，這是因為SoC內部有大量介面，而獨立晶片通常只有有限的接腳和嚴格的介面協議。因此，所有參與設計、製造、評估及使用此類安全子系統的相關方都必須遵循更完整的指南，而PP0117正是為此目的而制定的。

標準SE或e-SIM一般被封裝在一個小型、接腳數有限的封裝中。就安全評估而言，這種小型封裝晶片構成了評估目標 (TOE)，由於其連接性與介面選項有限，評估相對簡單。

然而，對於大型SoC，幾乎所有安全子系統的介面都是內建於晶片內部，極少外露。此外，SoC內的安全子系統可能會擁有額外的介面，例如記憶體介面、除錯介面、系統匯流排介面，以及用於更高級功能的介面。

PP0117對這些介面制定了安全要求，並提供評估方法，以確保整合的安全功能符合標準。

PP0117版本2與GSMA認可

全球移動通信系統協會（GSMA） 是制定行動網路安全、SIM技術及eUICC（嵌入式通用集成電路卡）標準的國際組織。2024年，GSMA正式認可PP0117作為整合eUICC的安全框架。

GSMA最近發布了eUICC（嵌入式SIM） 保護要件V2.0。該保護要件允許獨立eUICC及整合型TRE（防篡改元件）的實作，並在PP0084的基礎安全要求之上，進一步參考了PP0117來應對整合解決方案的需求。GSMA的支持有助於促進SIM/UICC功能的整合，提高手機與物聯網設備在SoC內的功能整合程度。

主要PP0117應用案例

PP0117最顯著的應用案例是SIM卡功能的SoC整合。SIM整合主要發生在兩大市場應用：物聯網連接設備和行動電話。

整合SIM（iSIM）

在智慧型手機中，主SoC儘可能整合最多的邏輯功能，以實現更低的功耗、更優化的成本、更小的電路板佔用空間，並同時引入新的功能。由於SIM卡本質上是一種帶有非揮發性儲存的簡單微控制器，因此，將其整合至更大的SoC中幾乎是不可避免的趨勢。

在物聯網設備中，系統的大部分（如果不是全部）功能，例如射頻 （RF）、基頻處理和應用處理器，通常都被整合到單一設備中。因此，在這種情境下，將SIM整合進SoC不僅能夠最佳化成本結構，還能為最終用戶帶來實質的經濟效益和功能提升。

整合安全元件 (iSE)

另一個應用案例是將安全元件(SE)整合到手機的SoC中。這些安全元件負責管理關鍵的安全功能，例如行動支付、電子身份識別、生物識別用戶驗證以及操作系統安全。幾乎所有現代智慧型手機都至少配備一個安全元件。唯一的例外是中國市場，在中國，行動支付並不強制要求使用安全元件。

中高階手機通常配備兩個安全元件，一個用於e-SIM功能，另一個用於行動支付及相關功能。將這些元件嵌入SoC可顯著影響手機的物料清單(BOM)成本，有時甚至佔據總成本的相當比例。

汽車應用

另一個PP0117應用案例是用於汽車子系統的硬體安全模組(HSM)。這類HSM用於保護車聯網(V2X)網路、駕駛員敏感資訊以及供應商資產。此外，在PC和伺服器生態系統中，整合至主SoC的安全模組可防禦網路攻擊，例如開機保護和安全軟體更新。

另一個新興應用是供應鏈保護，透過安全子系統可在系統生命週期的所有階段對硬體進行身份驗證。 在所有這些應用案例中，將安全邏輯直接整合至主SoC是一種成本效益極高的選擇，因為與SoC內其他邏輯相比，安全子系統所需的邏輯和物理空間極少。

主要方法與評估概念

保護要件(PP0117)及所有收集的資訊均匯總成一份工作文件，並提供給審核機構，以轉換為符合通用準則 (Common Criteria；CC)定義的方法。

為了確保評估的一致性  制定了以下幾點約束條件

A. PP0117為基礎的設計應嚴格符合PP0084（安全 IC 平台保護要件）。這一要求對開發人員至關重要，確保當產品需要根據PP0084進行認證時，由於上層 (軟體和應用程式) 需要與PP0084進行組合評估，他們無需管理兩個獨立的評估流程。

B. 保護要件必須符合歐盟通用準則 (EUCC) 方法，以便被歐洲新認證機制接受。C. 保護要件必須與引用 PP0084或計劃在其組合評估中使用新保護要件的外部機構保持一致。D. 保護要件應採用敏捷 (Agile) 方式定義，包括基礎要求和可選套件，以便開發者根據需求選擇適合的開發路徑。

E. 保護要件應具有通用性，適用於各種安全子系統解決方案，不僅限於安全元件 (SE)，還包括eUICC、iSIM、HSM、TPM和V2X等應用場景。F. 保護要件應支持三種交付形式— IC、硬巨集 (Hard Macro) 和可程式化巨集 (PL Macro)，以符合業界標準，並允許在多個SoC之間重複使用評估結果。

G. 保護要件應支援不同記憶體架構：內嵌記憶體 （如傳統安全元件）、外部標準記憶體、外部被動記憶體、安全記憶體 （該元件通過組合評估方法進行認證）。

外部記憶體的使用

由於現代SoC製造使用先進技術，晶片內建記憶體的實作成本較高。例如，RAM的矽面積需求大，而非揮發性記憶體 (如 Flash) 幾乎無法在最先進的製程中實作。因此，這些限制促使安全子系統採用外部記憶體。

為了促進外部記憶體的使用，PP0117採用了敏捷架構，包含基礎套件(Base Package)，該套件涵蓋SoC內所有安全子系統必須滿足的最低要求，並提供多種可選套件，以適應SoC架構中安全子系統的額外產業需求。

外部記憶體封裝（被動和安全性、揮發性和非揮發性記憶體）-與外部記憶體中儲存的資料和程式碼相關的安全要求。

外部記憶體封裝的安全要求

(1)防止內容濫用（未經授權的讀取、擦除或修改記憶體內容）。(2)防止記憶體晶片被複製或替換至其他系統。(3)防止未經授權的內容復原 (rollback)。(4)防止外部匯流排的通訊干擾，例如命令重播或修改、竊聽與中間人攻擊(Man-in-the-Middle Attack)。

被動式外部記憶體

在被動式（即標準的、非安全性）外部記憶體的情境下，所有保護措施都必須由SoC來管理，因為記憶體裝置本身沒有任何安全功能，無法執行或協助所需的安全機制。

為了防止內容濫用，儲存在外部記憶體中的資料必須進行加密。為避免固定加密金鑰的安全性降低，建議對用戶控制的數據使用不同的金鑰進行加密。從單一根金鑰產生多個加密金鑰需要SoC維護某些狀態資訊，例如單調非揮發性計數器。

在被動記憶體的情境下，防止指令重播 (Command Replay) 的方式與防止設備未經授權內容復原 (Rollback) 的方式相同。在這兩種情況下，攻擊者試圖強制記憶體裝置回到到已知的舊資訊或狀態。

SoC必須負責監控儲存在外部記憶體中的資訊是否仍然最新，以檢測來自指令重播（如寫入與擦除）或復原攻擊的修改。為了實現這一點，SoC需要維護與儲存數據相關的狀態資訊。這通常透過單調計數器 (Monotonic Counter) 來實現。當資料儲存於外部時，SoC會對其進行封裝與驗證，以確保該數據的版本是最新的，並且沒有被回滾至舊版本。

防止設備複製 (Device Cloning) 要求每個SoC使用不同的加密和驗證金鑰來保護儲存於外部的數據。這可防止攻擊者將某個記憶體裝置的內容複製到另一個系統，因為新的系統將無法使用不同的金鑰來驗證該數據的真實性。

在SoC中實作單調計數器需要內部的非揮發性儲存空間。然而，如前所述，在先進製程節點上，標準的非揮發性記憶體（如 Flash）並不可用，因此通常會使用一次性可編程 (OTP) 熔絲型記憶體來儲存單調計數器。然而，即使OTP在某些製程技術中已被驗證為可靠且穩定的解決方案，它仍然存在一些主要的限制與
缺點。

成本：OTP熔絲需要佔用大量晶片面積，且通常無法與製程技術良好縮放。操作便利性：寫入OTP位元需要在晶片內釋放大量能量。安全性：為了抵禦特定的故障注入攻擊 (Fault Injection)，OTP型單調計數器需要使用多個OTP位元來儲存每個計數值。許多情境下，每次計數可能需要至少4個OTP位元，以確保足夠的安全性。

在典型的SoC設計中，若要符合PP0117對被動記憶體的安全要求，SoC在整個生命週期內可能需要消耗大量OTP位元，這將顯著影響SoC的成本。例如，某些使用OTP型單調計數器的SoC需要數十萬個OTP位元，而在某些情境下甚至超過100萬個OTP位元。

這種情況在IoT設備中特別常見，因為IoT設備通常依賴外部記憶體來儲存數據，並且會頻繁斷電。更重要的是，這些IoT設備的預期生命週期通常超過10年，進一步增加了OTP的使用需求。

安全外部記憶體

上述的安全要求同樣適用於安全外部記憶體。然而，由於安全記憶體本身的特性，這些要求由記憶體裝置自身來實現：記憶體裝置本身能夠防止未經授權的存取。所有指令均需經過簽署，因此，對內容的存取與修改都需要掌握正確的秘密金鑰。

由於未授權的實體無法存取內容，因此不會有複製攻擊 (cloning)。此外，SoC與原始安全記憶體綁定於共享的秘密金鑰，因此任何替換的記憶體都無法與SoC配對使用。由於安全記憶體透過內建的單調計數器來保護介面，因此資料內容復原 (roll-back)無法達成。

指令重播攻擊不會發生，因為記憶體裝置的單調計數器確保所有指令均被編入索引，無法重複執行。

除了這些保護功能外，安全外部記憶體還需要防範介面濫用（如中間人攻擊及竊聽）。為此，SoC與記憶體之間的通訊匯流排經過加密與驗證。讀取、寫入、擦除與配置變更等命令均經過加密與簽署，使SoC能夠驗證記憶體中的數據是否遭到修改。

此外，記憶體裝置能夠確保所有寫入、擦除與配置變更命令均確實來自SoC，並防止攻擊者重播命令。

華邦電子(Winbond) PP0117認證安全子系統專用Secure Flash

華邦電子的W75F系列EAL5+認證安全快閃記憶體專為PP0117規範設計，具備以下優勢：(1)SoC 與快閃記憶體之間的安全加密與驗證介面。(2)強大的 128 位元對稱金鑰加密。(3)內建非揮發性單調計數器，防止指令重播與復原，確保數據與程式碼的完整性。(4)強化防護措施，抵禦側通道攻擊、故障注入攻擊與防範惡意攻擊。(5)儲存數據完整性保護。

(6)直接從快閃記憶體執行 (XIP)，可最小化所需的RAM大小，並透過消除在RAM存放明文程式碼映像的需求來提升安全性。(7)支援多次寫入每個位元組。(8)具備複合式認證 (Composite Certification Ready)。

相較於在SoC內部使用OTP型計數器來管理被動記憶體，華邦電子的Secure Flash允許無限次數的數據更新。華邦電子的安全快閃記憶體中的單向計數器僅在每次電源循環時增量，而在許多OTP型設計中，每次寫入新數據到快閃記憶體時都需要增加計數，進一步消耗OTP位元。

透過採用華邦電子的Secure Flash，開發符合PP0117規範要件的解決方案將變得更加簡單直觀。評估過程更快速、流程更順暢，並可大幅減少設計時對被動記憶體共享與保護技術的依賴，讓開發者更輕鬆地達成認證要求。更多資訊請參見，請造訪華邦安全快閃記憶體網頁或直接與華邦聯繫。詳情下載最新硬體資安安全白皮書。