RISC-V架构芯片安全的简单研究分析
本文仅供学习交流使用
部分图源自网络,侵删
中文摘要
随着物联网等技术的发展,硬件安全越来越得到重视。其中,由于相比起其他ISA的复杂且有昂贵的授权费,RISC-V的开源免费受到了广泛的关注。针对RISC-V架构的安全机制研究是当下芯片IP设计的研究热点。本篇文章围绕RISC-V自身的安全保障机制与可附加的安全解决方案展开简单的介绍。
关键词:RISC-V;硬件安全;物联网
英文摘要
With the development of technologies such as the Internet of Things, hardware security is gaining more and more attention. Among them, the open source and free of charge of RISC-V has received a lot of attention due to its complexity and expensive license fees compared to other ISAs. The study of security mechanism for RISC-V architecture is a hot research topic in chip IP design nowadays. This article briefly introduces RISC-V's own security mechanisms and additional security solutions.
第1章 绪论
1.1 背景与研究意义
随着互联网技术的不断迭代升级,物联网目前正逐渐融入大多数工业和商业运营体系中。通过无处不在的物联网互联智能设备,企业能够创造出真正革命性的技术,从而改善未来人类社会和经济生活的方方面面。然而,随着物联网等新兴行业的发展,数字安全性的漏洞问题,尤其是硬件安全性的漏洞问题愈发得到关注。本文中的硬件安全主要讨论芯片的安全。
长期以来,硬件一直被视为支持整个智能计算系统的可信方,通常被视为运行从软件层传递来的指令的抽象层。 因此,与硬件相关的安全性研究通常被称为密码算法的硬件实现,其中硬件被用来提高密码应用的计算性能和效率。但是,这些硬件安全领域的研究人员却很少关注硬件本身的保护。长期以来,网络安全研究人员认为,集成电路供应链受到良好的保护,并具有很高的壁垒,以使攻击者无法轻易破坏已制造的芯片。但是,随着目前的SoC设计越来越复杂,很多IP内核由于能极大地减轻设计工作量,降低制造成本,同时还能保证高效和功能,被广泛用于现代电路设计与制造中。[1]但是对这种第三方资源的严重依赖也会滋生安全隐患。第三方资源外包的模式难以确保所有步骤都是可信的,在整个供应链中,每一步都有可能受到如硬件木马的攻击,对集成电路恶意修改。
除了硬件木马攻击外,硬件安全关注的问题还有以下几种:RTL bugs、物理攻击和软件攻击等。其中,RTL bugs是硬件本身出现漏洞,与其他外界攻击相比还在可控范围内。物理攻击则分为针对芯片外存储的物理攻击和针对芯片的物理攻击。而在针对芯片的物理攻击中,又可分为入侵式攻击、半入侵式攻击和非入侵式攻击。[2]由于非入侵式攻击具有不需要对被攻击的设备进行任何处理且其所需设备的价格低廉的优势,该技术在近些年得到快速发展,是目前的研究热点。而软件攻击则包括Rowhammer(内核访问权限升级)、Meltdown(读取未经授权的内存区域)以及Foreshadow(窃取私人认证密钥)等。[3]
对RISC-V架构的芯片进行安全机制的研究分析,能够进一步了解硬件安全,且由于RISC-V的开源社区,能够将各安全解决方案综合处理,取其精华去其糟粕,得出适合目的场景的设计IP。
1.2 国内外研究现状
RISC-V架构本身是一个开源的ISA,已经包含了特权机制、安全中断和物理内存保护机制(PMP)。而ISA到商用的具体实现还需要进一步的安全包装设计。
2019年,RISC-V处理器的首个可信执行环境(TEE)——MultiZone Security for RISC-V由HEX-Five Security发布。
此外,Andes晶心科技与RISC-V社区合作伙伴也正在一起构建完善的生态体系,其中包括集成多家公司的安全方案。
法国的SECURE-IC发布了它们基于硬件的网络保护解决方案Cyber Escort Unit(CEU),能够很好适配Andes的RISC-V处理器。SECURE-IC还在CEU的基础上推出了他们的旗舰产品:安全子系统Securyzr。
被SECURE-IC收购的Silex Insight则有者高级eSecure IP信任根模块,对Andes RISC-V CPU内核也有很好的支持。
此外,还有Andes增加的堆栈溢出保护机制、Tiempo Secure的Secure Element IP、Dover的CoreGuard等安全解决方案,以上的大部分商业公司都选择了设计提供附加功能的IP。[4]
在设计完成后,对芯片的形式验证也是很重要的。在该领域,由Codasip携手西门子,打造出了RISC-V领域最完整的形式验证。[5]
1.3 主要研究工作与章节安排
主要研究了RISC-V架构的内部安全机制和外部安全解决方案,第二章主要介绍RISC-V架构的内部安全机制,第三章则主要介绍外部的安全解决方案。
第2章 RISC-V 架构的安全机制
2.1 RISC-V 架构的特权介绍
RISC-V ISA标准分为两部分,一个是非特权架构,另外一个是特权架构。非特权部分架构主要用于通用计算,是User(低权限模式)能够运行的指令。而特权架构,提供了硬件上额外的权限管理机制,从而能够限制普通应用代码的行为,防止恶意代码进行的攻击。
2.2 RISC-V 架构的四层特权环
虽然说是四层特权环,但目前的标准中还只用真正设计了三层,也就是Machine Mode、Supervisor Mode和User/Application Mode,剩下的一个编码留给之后扩展设计。
表1-1 RISC-V特权等级表
特权等级 编码 名称 缩写
0 00 User/Application U
1 01 Supervisor S
2 10 Reserved
3 11 Machine M
Machine Mode权级最高,也是RISC-V硬件平台唯一必须有的权级。在Machine Mode(M-mode)下所运行的代码一般都是默认被信任的,因为它可对机器进行最低级的访问。M-mode可用于管理RISC-V上的安全执行环境(Secure Execution Environment)。User-mode(U-mode)和Supervisor-mode(S-mode)则分别用于传统应用程序以及操作系统。[6]
RISC-V ISA是可扩展的。每个权级都各有一组特权ISA的核心扩展,以及相关可选扩展和变体。例如,由machine-mode支持的一个关于内存保护的可选标准扩展。[6]
如表1-2,在RISC-V ISA具体实现时,可以选择提供1至3种特权模式,具体实现需要在控制实现成本和安全之间权衡,最终在隔离级别上做出取舍。[6]
表1-2 RISC-V ISA支持的特权模式组合表
等级数量 支持模式 常用领域
1 M Simple embedded systems
2 M,U Secure embedded systems
3 M,S,U Systems running Unix-like operating systems
2.2.1 Machine Mode
Machine Mode(缩写为 M 模式,M-mode)是 RISC-V 中 hart(hardware thread,硬件线 程)可以执行的最高权限模式。在M-mode下运行的 hart 对内存,I/O 和一些对于启动和配置系统来说必要的底层功能有着完全的使用权。因此它是唯一所有标准 RISC-V 处理器都 必须实现的权限模式。实际上简单的 RISC-V 微控制器仅支持M-mode。
M-mode中,最重要的工作就是处理异常与中断。关于处理异常与中断的具体内容详见2.3。
2.2.2 Supervisor Mode
相比于M-mode的最高权限和强制手段,监管者模式(S-mode)没有这么高的权限。一般来说,监管者模式就是为对标现代操作系统而生的。监管者模式通常存在于复杂的 RISC-V 系统上,其核心功能就是支持内存分页、内存保护、中断/异常处理等。当然,监管者模式还是有些地方与机器模式不同,接下来将会重点介绍。[6]
2.2.2.1 内存分页
在稍微复杂的 RISC-V 处理器中,仅仅依靠 PMP 模块来提供内存保护是不够的。因此,设计人员在监管者模式中又发明了基于页面的虚拟内存机制(分页机制)。RISC-V 中监管者模式提供了一种传统的虚拟内存系统,它将内存划分为固定大小的页,以此为基础进行地址转换,并提供对内存内容的保护。启用分页的时候,监管者模式和用户模式下的地址(包括 load 和 store 的有效地址和 PC 中的地址)都是虚拟地址,要访问物理内存,它们必须被转换为真正的物理地址。而实现这一转换作用,就需要用到satp寄存器。
其中,ASID (Address Space Identifier,地址空间标识符) 域是可选的,它用于帮助地址空间的转换,降低上下文切换的开销。PPN(Physical Page Number of the root page table)存储了根页表的物理页号,以 4 KiB 页面大小为单位,它在内存分页中起了十分重要的作用。MODE 位则用于选择地址转换的方式。MODE位的各功能见下图所示:
我们以 Sv32 分页模式为例,简单介绍一下转换过程。当 satp 启动分页时,在监管者模式或用户模式下,虚拟地址 (VA) 会将 satp 寄存器中根页表地址作为基址 (base),以及自身的页号作偏移 (VPN[1]),在页表中通过计算偏移位置 (base + VPN[1] * 4) 找到页表项(Page Table Entry,PTE)。如果该 PTE 不是叶 PTE,那么再将刚刚找到的 PTE 作为基址,用虚拟地址携带的第二个页号作偏移,继续算出第二个页表项,直到获得物理地址 (PA) 。[6]
2.2.3 User/Application Mode
U-mode往往是普通用户或应用使用的模式,是在不可信任运行环境下的特权模式。hart通常在U-mode下运行应用程序代码,直到遇到某些trap(如supervisor call或者timer interrupt)而迫使其切换至trap handler,交给更高特权模式处理异常与安全中断。
2.3 RISC-V 架构的异常与中断
RISC-V 将 异常分为两类。一类是同步异常,这类异常在指令执行期间产生,如访问了无效的存储器地址或执行了具有无效操作码的指令时。另一类是中断,它是与指令流异步的外部事件有关, 比如鼠标的单击。
在M-mode运行期间可能发生的同步异常有以下五种:
访问错误异常:当物理内存的地址不支持访问类型时发生(例如尝试写入 ROM)。
断点异常:在执行 ebreak 指令,或者地址或数据与调试触发器匹配时发生。
环境调用异常:在执行 ecall 指令时发生。
非法指令异常:在译码阶段发现无效操作码时发生。
非对齐地址异常:在有效地址不能被访问大小整除时发生,例如地址为 0x12 的 amoadd.w。
关于中断,有三种标准的中断源:软件、时钟和外部来源。。软件中断通过向内存映射寄存器中存 数来触发,并通常用于由一个 hart 中断另一个 hart(在其他架构中称为处理器间中断机制)。当 hart 的时间比较器(一个名为 mtimecmp 的内存映射寄存器)大于实时计数器 mtime 时,会触发时钟中断。外部中断由平台级中断控制器(大多数外部设备连接到这个中断控制器)引发。[7]
2.3.1 控制状态寄存器
八个控制状态寄存器(CSR)是机器模式下异常处理的必要部分:
mtvec(Machine Trap Vector)它保存发生异常时处理器需要跳转到的地址。
mepc(Machine Exception PC)它指向发生异常的指令。
mcause(Machine Exception Cause)它指示发生异常的种类。
mie(Machine Interrupt Enable)它指出处理器目前能处理和必须忽略的中断。
mip(Machine Interrupt Pending)它列出目前正准备处理的中断。
mtval(Machine Trap Value)它保存了陷入(trap)的附加信息:地址例外中出错 的地址、发生非法指令例外的指令本身,对于其他异常,它的值为 0。
mscratch(Machine Scratch)它暂时存放一个字大小的数据。
mstatus(Machine Status)它保存全局中断使能,以及许多其他的状态。
2.3.1.1 mstatus 寄存器
mstatus 寄存器在处理中断时会经常用到,且较为复杂,位域包含的信息较多,其结构如下图所示:
在中断使能方面,MIE 、SIE 、UIE 分别提供了 machine mode 、supervisor mode 、user mode 的全局中断使能位,若一个 hart 运行在特权级别 x 下,当 xIE = 1 (Interrupt Enable in x mode,中断使能)时中断全局打开,反之则关闭。在 hart 于 x 运行时,无论 wIE 为何值,低权限中断 w < x 总是无效的,而无论 yIE 为何值,高权限中断 y > x 总是有效。MPIE 和 MPP 分别存储了中断发生前的中断使能位和特权级别位。类比于 mstatus 寄存器,较低权限的 sstatus 和 ustatus 寄存器也几乎同理,只不过少了一些东西而已。
2.3.2 处理过程
处理器在M-mode下运行时,只有在全局中断使能位 mstatus.MIE 置 1 时才会产生中断。此外,每个中断在控制状态寄存器 mie 中都有自己的使能位。例如,mie[7]对应于 M 模式中的时钟中断。控制状态寄存器有相同的布局,并且它指示当前待处理的中断。将所有三个控制状态寄存器合在一起考虑,如果 mstatus.MIE = 1,mie[7] = 1,且 mip[7] = 1,则可以处理机器的时钟中断。 当一个 hart 发生异常时,硬件自动经历如下的状态转换:
异常指令的 PC 被保存在 mepc 中,PC 被设置为 mtvec。(对于同步异常,mepc 指向导致异常的指令;对于中断,它指向中断处理后应该恢复执行的位置。)
根据异常来源设置 mcause(如图 10.3 所示),并将 mtval 设置为出错的地址或 者其它适用于特定异常的信息字。
把控制状态寄存器 mstatus 中的 MIE 位置零以禁用中断,并把先前的 MIE 值保 留到 MPIE 中。
发生异常之前的权限模式保留在 mstatus 的 MPP 域中,再把权限模式更改为 M。图 10.5 显示了 MPP 域的编码(如果处理器仅实现 M 模式,则有效地跳过这 个步骤)。
为避免覆盖整数寄存器中的内容,中断处理程序先在最开始用 mscratch 和整数寄存器(例如 a0)中的值交换。通常,软件会让 mscratch 包含指向附加临时内存空间的指针,处理程序用该指针来保存其主体中将会用到的整数寄存器。在主体执行之后,中断程序会恢复它保存到内存中的寄存器,然后再次使用 mscratch 和 a0 交换, 将两个寄存器恢复到它们在发生异常之前的值。最后,处理程序用 mret 指令(M 模 式特有的指令)返回。mret 将 PC 设置为 mepc,通过将 mstatus 的 MPIE 域复制到 MIE 来恢复之前的中断使能设置,并将权限模式设置为 mstatus 的 MPP 域中的值。这基本是前一段中描述的逆操作。[7]
2.4 RISC-V 架构的PMP机制
在机器模式下,我们可以自由地访问各种硬件平台。然而,一旦我们将这些艰巨的任务转给用户,他们可能会毁了一切。我们需要一种可靠的机制,保护系统免受不可信代码的危害,为不受信任的进程提供隔离保护。这就是RISC-V架构的PMP(Phsical Memory Protection,物理内存保护机制)。
PMP 检查一般用于 hart 在监管者模式或用户模式下的所有访问;或者在 mstatus.MPRV = 1 时的 load 和 store 等情况。一旦触发 PMP 保护,RISC-V 要求产生精确中断并处理。
PMP 允许机器模式指定用户模式下可以访问的内存地址。PMP entry 由一个 8-bit 的 PMP 配置寄存器和一个 32/64 位长的 PMP 地址寄存器组成。整个 PMP 包括若干个(通常为 8 到 16 组)PMP entry 。配置寄存器可以配置读、写和执行权限,地址寄存器用来划定界限。
当处于用户模式的处理器尝试 load 或 store 操作时,将地址和所有的 PMP 地址寄存器比较。如果地址大于等于 PMP 地址 i,但小于 PMP 地址 i+1,则 PMP i+1 的配置寄存器决定该访问是否可以继续,如果不能将会引发访问异常。[6] [7]
第3章 基于RISC-V架构的安全解决方案
芯片的安全解决方案通常是使用一些独立的安全芯片模块构成数据安全保护,如一些HSM(Hardware Security Module,硬件安全模块)、TPM(Trusted Platform Module,可信平台模块)等。不过也有使用软硬件结合的方式实现安全解决方案的,一般是专用软件通过Machine Mode控制硬件实现,下面要介绍的MultiZone Security for RISC-V就是这么一个例子。
3.1 TEE
3.1.1 TEE 简介
TEE(Trusted Execution Experiment,可信执行环境)。通过软硬件方法在中央处理器中构建一个安全区域,保证其内部加载的程序和数据在机密性和完整性上得到保护。通常包含TEE的安全解决方案中,将系统的硬件和软件资源划分为两个执行环境——可信执行环境和普通执行环境。两个环境是安全隔离的,有独立的内部数据通路和计算所需存储空间。普通执行环境的应用程序无法访问TEE,即使在TEE内部,多个应用的运行也是相互独立的,不能无授权而互访。这样一来,便将数据、特定功能、应用程序,同操作系统、系统管理程序或虚拟机管理器以及其他特定进程隔离开来,让数据存储在受信任的执行环境(TEE)中,即使是使用调试器,也无法从外部查看数据或者执行操作。TEE确保只有经过授权的代码才能访问数据,如果代码被篡改,TEE将阻止其继续进行操作。
目前最有代表性的基于硬件TEE技术包括:Arm TrustZone、AMD SEV (Secure Encrypted Virtualization)、Intel SGX (Software Guard eXtensions)、Apple SEP(Secure Enclave Processor)。
而目前传统的 RISC-V 处理器并没有提供类似 ARM TrustZone 的隔离技术。RISC-V 处理器整体运行在 REE(Rich Execution Environment)环境。为此,以HEX-FIVE为首的公司开始了对TEE for RISC-V的研究。
3.1.2 MultiZone Security for RISC-V
Hex Five创建的MultiZone Security,被称为RISC-V的第一个可信执行环境,是一个针对设备安全性的解决方案。与传统的安全解决方案不同,MultiZone是独立运行的,具有非常小的攻击面,并且是策略驱动的,这意味着使用MultiZone不需要重新设计软硬件,也不需要额外的硬件,专用内核或编程模型,并允许对无限数量的安全域进行基于策略的硬件强制分离,并完全控制数据,代码,中断和外设。由于它是开源的,如RISC-V,工程师也可以在MultiZone中实现开放式课程库,第三方二进制文件,甚至旧的遗留代码。Hex Five还在GitHub上为MultiZone维护一个开源存储库,为多应用领域提供了硬件强制执行、软件定义分隔以及完全可控的数据,程序和I/O口。[8]
3.1.3 VirtualZone
虽然 RISC-V 架构的处理器具备物理内存保护、多层权限模型、内存管理单元等技术来支持可信执行环境功能的实现,但处理器仍然需要支持其他安全规范才能创建完全可用的安全执行环境。为了满足 TEE的隔离要求,阿里平头哥的玄铁 C 系列处理器在 RISC-V 架构基础上进行了安全扩展。
该系列处理器在软件的协调下可以虚拟出多个执行域(Zone),每个 Zone 增加了域标识,也就是 Zone ID,整体架构如 Figure 2 所示。每个 Zone 可以独立地运行各自的操作系统以及基于该操作系统的应用程序。操作系统运行在超级用户特权模式,应用程序运行在普通用户特权模式。处理器根据需要在不同的 Zone 里切换运行。当处理器切换到某一 Zone 运行时,他将实时占用整个物理核,并且处理器的域标识也将同时被更新成相应执行域的标识。Zone 的切换由运行在最高模式(机器模式)下的可信固件(TF)来完成。
对部分安全特性进行了扩展,实现了基于 Zone 管理的可信执行环境。该技术方案不需要虚拟化的支持,只需要在支持 U、S 和 M 三种特权模式的情况下,并在可信固件的管理下,实现了具备多个可信执行环境的能力。
当不同 Zone 之间需要切换时,运行在机器模式的可信固件需要对 Zone 的上下文进行保存和切换。虽然看起来这会带来开销,但像 ARM TrustZone 的虚拟化技术同样需要对世界进行切换,这部分切换的工作同样被隐藏在 Monitor 的可信固件中。不同的是,ARM TrustZone 只虚拟出了 2 个世界,而玄铁 RISC-V 处理器在安全扩展之后,最多允许同时支持 16 个 Zone,这为以后的软件安全方案提供了更多的可能。
3.2 RoT
信任根 (RoT) 是在加密系统中始终可以信任的来源。由于密码安全依赖于密钥来加密和解密数据并执行生成数字签名和验证签名等功能,因此 RoT 方案通常包括加固的硬件模块。一个主要的例子是硬件安全模块 (HSM),它在其安全环境中生成和保护密钥并执行加密功能。由于该模块的所有意图和目的都无法在计算机生态系统之外访问,因此该生态系统可以信任它从信任根模块接收到的密钥和其他加密信息是真实的和经过授权的。随着物联网 (IoT) 的激增,这一点尤为重要,因为为了避免被黑客入侵,计算生态系统的组件需要一种方法来确定它们接收到的信息是真实的。RoT 保护数据和应用程序的安全,并有助于在整个生态系统中建立信任。
RoT 是公钥基础设施 (PKI) 的关键组件,用于生成和保护根和证书颁发机构密钥;代码签名以确保软件保持安全、不变和真实;并创建数字证书,用于对物联网应用程序和其他网络部署的专有电子设备进行凭证和身份验证。
3.2.1 eSecure IP
信任根已经成为许多设备和连网服务的必要特性,Silex Insight的高级eSecure IP模块可以为安全应用提供完整的信任根解决方案,能防止机密信息外泄,并提供安全启动、密钥认证与应用程序的保护。AndesCore高效能、低功耗的二级流水线RISC-V CPU内核N22与eSecure模块紧密整合,能完整可靠地控制与执行安全保护功能。eSecure模块可配置性高,在安全功能、性能、面积和功耗方面提供了多样的选择,适合很多应用,例如物联网,储存设备与通讯等。
eSecure是最全面的解决方案之一。一个真正的安全保管库和信任根核心,可以作为保护几乎所有应用程序(包括IoT、边缘传感器、存储设备或通信)的基础。
eSecure可设置单独的RISC-V安全CPU,它为主机安全存储、外围设备、RAM等提供了安全API,可以调用身份验证和加密服务,而无需访问系统机密。
这里的每一个特性都可以在其他专用解决方案中找到,在这里对它们进行整合,来提供全面的安全解决方案:
设备唯一标识
对于每个设备,可以根据底层硬件的唯一属性生成密钥,这些物理上不可复制的功能(PUFs)是设备独有的、不可伪造的指纹。
安全启动
安全的启动过程可以确保仅运行正确且未更改的软件。
安全储存
密钥可以安全地存储在硬件模块中。
侧信道攻击保护
有针对侧信道攻击的保护措施,即攻击者会尝试利用系统的物理属性(例如能源消耗)来推断系统的机密并获得访问权限。
防篡改
检测并记录尝试篡改设备的行为。
多种密码功能
一种可以安全地卸载身份验证和加密功能的机制,基于一个全面的信息库,该信息库支持最新的标准和算法,例如,中国市场所需的标准和国密算法。
安全调试和OTA更新
eSecure提供安全调试和更新机制(OTA,无线)。
3.2.2 CEU
Cyber Escort Unit IP是一种针对网络攻击和硬件攻击的综合保护措施。借助Cyber Escort Unit,对代码或控制流的恶意攻击可以在执行之前被阻止,而且以指令粒度实现。Cyber Escort Unit能够及时检测(实时检测)已执行代码损坏和控制流图(CFG)偏差,并提供强大的保护,防止缓冲区溢出攻击和控制流完整性损坏。
Secure-IC的旗舰产品Securyzr是一种集成了CEU的信任根解决方案,可确保设备安全并提供相应的安全服务(如身份验证、生命周期管理、远程配置、云端计算)。该安全子系统可以嵌入基于标准或强化网络安全的AndesCore V5处理器专用处理单元,加强AndesCore高弹性的安全性能 ,有效抵御各种黑客攻击,包括旁路攻击、错误注入攻击、网络攻击等。
3.2.3 PUFiot
PUFiot完整的防护设计来自于多层次的设计架构,有别于纯软件安全设计的弱点,PUFiot是基于硬件的物理隔离所设计,提供了可靠的安全边界,为系统创造了完整的可信任执行环境 (TEE)。
上图是PUFiot的设计架构, 它的最底层是以模拟电路设计的硬件安全信任根(蓝色区域)。在此硬件安全信任根设计中应用了力旺电子专利技术的NeoPUF,提供每颗芯片独一无二的芯片指纹(UID),并由经过Riscure认证的抗攻击安全存储OTP来存放密钥,保护重要数据免受物理篡改。
经过实际设计验证,PUFiot藉由提供芯片指纹抗攻击保护设计来强化芯片硬件信任根与密钥储存。完整保护系统运作的安全边界,提供可信任安全环境、安全启动以及数据储存安全等功能,同时支持各种硬件加解密算法,且又能提供不同内存区域不同密钥的PMP保护与管理机制,实现IoT连网装置应用不可或缺的信息传输安全与在线安全更新。采用PUFiot的RISC-V系统芯片设计架构如下图所示。
参考文献
[1] JIN, YIER. Introduction to Hardware Security[J]. Electronics,2015,4(4):763. DOI:10.3390/electronics4040763.
[2] Mangard S , Oswald E , Popp T . 能量分析攻击[M]. 冯登国,周永彬,刘继业,等译.北京:科学出版社,2010:3-24,97-100.
[3] KUMAR VINAY B. Y., DEB SUMAN, GUPTA NAINA, et al. Towards Designing a Secure RISC-V System-on-Chip: ITUS[J]. Journal of Hardware and Systems Security,2020,4(4):329-342. DOI:10.1007/s41635-020-00108-8.
[4] Marco Ciaffi , John Min. Building security into an AI SoC using CPU features with extensions[EB/OL]. https://www.embedded.com/building-security-into-an-ai-soc-using-cpu-features-with-extensions/, 2021-4-12.
[5] 电子工程专辑. Codasip携手西门子打造RISC-V领域最完整形式验证[EB/OL]. https://www.eet-china.com/info/65807.html, 2022-05-09.
[6] the RISC-V International Technical Working Groups. RISC-V Instruction Set Manual Volume 2, Privileged Spec v. 20211203[EB/OL]. https://github.com/riscv/riscv-isa-manual/releases/download/Priv-v1.12/riscv-privileged-20211203.pdf, 2021-12-03.
[7] David Patterson, Andrew Waterman. The RISC-V Reader: An Open Architecture Atlas[M]. the State of California. Strawberry Canyon LLC. 2017.
[8] HEX-FIVE Security. MultiZone Security TEE for RISC-V – Hex Five Security[EB/OL]. https://hex-five.com/multizone-security-tee-riscv/
以及一系列的电子文献
