安全增強(qiáng)設(shè)計(jì)（Security Enhancement Design）是指采用特定的設(shè)計(jì)方法和技術(shù)來(lái)加強(qiáng)芯片的安全防護(hù)能力。安全防護(hù)涉及整個(gè)軟硬件體系。與軟件層面的安全技術(shù)不同，芯片的安全增強(qiáng)設(shè)計(jì)特指應(yīng)用于密碼芯片和片上安全系統(tǒng)的針對(duì)旁道攻擊（又稱側(cè)信道或旁路攻擊）的防御性設(shè)計(jì)。旁道攻擊是指對(duì)密碼算法的軟硬件實(shí)現(xiàn)，以及其物理載體進(jìn)行敏感信息獲取的一系列攻擊方法。

根據(jù)旁道信息源的不同，旁道攻擊可以分為時(shí)間,功耗,電磁,聲音,故障等攻擊方法。這些攻擊方法對(duì)芯片的安全功能構(gòu)成了極大威脅。芯片是信息安全的基礎(chǔ)設(shè)施，只有首先保障芯片自身的安全性才能真正為信息社會(huì)提供安全服務(wù)，實(shí)現(xiàn)身份認(rèn)證，維護(hù)數(shù)據(jù)安全，構(gòu)建可信,可靠的網(wǎng)絡(luò)空間。

安全性增強(qiáng)設(shè)計(jì)依據(jù)三項(xiàng)基本原理對(duì)抗旁道攻擊。1）隨機(jī)化：通過(guò)一定措施將密碼芯片的時(shí)間,功耗,電磁,聲音等信息隨機(jī)化，使得攻擊者的數(shù)據(jù)統(tǒng)計(jì)與相關(guān)性分析過(guò)程發(fā)生巨大困難。2）盲化：通過(guò)數(shù)學(xué)和算法上的設(shè)計(jì)，使得攻擊者缺少關(guān)鍵的額外信息，不能預(yù)知密碼計(jì)算過(guò)程的敏感內(nèi)容，從而無(wú)法進(jìn)行相應(yīng)的旁道信息分析。3）掩蔽：密碼芯片通過(guò)產(chǎn)生隨機(jī)數(shù)作為掩碼，對(duì)密碼運(yùn)算的中間結(jié)果進(jìn)行掩蔽，而運(yùn)算的最終結(jié)果卻可以正確恢復(fù)出來(lái)。掩碼導(dǎo)致了中間結(jié)果具有很強(qiáng)的隨機(jī)性，旁道信息的統(tǒng)計(jì)與分析難度因此急劇上升。

目前，算法級(jí),架構(gòu)級(jí),電路級(jí)等多個(gè)層面的安全增強(qiáng)設(shè)計(jì)技術(shù)均得到了研究與發(fā)展。對(duì)于對(duì)稱與非對(duì)稱密碼可以開(kāi)發(fā)相應(yīng)的抗攻擊算法，從而在算法結(jié)構(gòu)上對(duì)可能泄露的旁道信息進(jìn)行消除與隱藏?？构羲惴▌?shì)必引入一定的冗余運(yùn)算，這將導(dǎo)致密碼芯片在性能與功耗上的額外負(fù)擔(dān)?？梢葬槍?duì)中央處理器與密碼運(yùn)算加速器的微架構(gòu)進(jìn)行安全增強(qiáng)設(shè)計(jì)，如通過(guò)修補(bǔ)微架構(gòu)漏洞,添加安全指令與特殊硬件單元，能夠?qū)Χ喾N旁道攻擊起到良好的抑制作用，另外，可以采用高安全性的新型邏輯電路，從根本上解決CMOS互補(bǔ)邏輯電路存在面積大,功耗高的問(wèn)題，如何平衡攻擊能力與實(shí)現(xiàn)代價(jià)也是重要的研究課題。如圖5-100所示，實(shí)現(xiàn)芯片的安全增強(qiáng)需要系統(tǒng)性,跨層次的設(shè)計(jì)技術(shù)，從而在各個(gè)設(shè)計(jì)層次建立安全屏障，防止攻擊者利用各個(gè)層次的漏洞和旁道信息威脅芯片核心部分的安全。

安全性增強(qiáng)設(shè)計(jì)的出現(xiàn)與旁道攻擊技術(shù)的迅猛發(fā)展密切相關(guān)。20世紀(jì)90年代末，Paul Kocher 教授提出的差分功耗攻擊方法在旁道攻擊發(fā)展史上具有里程碑的意義。自此之后，學(xué)術(shù)界和工業(yè)界充分認(rèn)識(shí)到密碼芯片必須具備防御旁道攻擊的措施和技術(shù)，從而催生了安全增強(qiáng)設(shè)計(jì)這一技術(shù)方向。英飛凌,恩智浦等公司在安全增強(qiáng)設(shè)計(jì)方面積累了雄厚的技術(shù)實(shí)力，已使其芯片產(chǎn)品具備抗攻擊特性。近年來(lái)，中國(guó)在密碼芯片的安全增強(qiáng)設(shè)計(jì)方面取得了很大進(jìn)步，國(guó)內(nèi)相關(guān)集成電路設(shè)計(jì)公司研制了具有一定防御攻擊能力的智能卡芯片，在安全防護(hù)方面形成了相應(yīng)的技術(shù)能力。隨著互聯(lián)網(wǎng)和物聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，網(wǎng)絡(luò)空間安全問(wèn)題日益凸顯，芯片的安全增強(qiáng)設(shè)計(jì)的重要性也日漸突出。未來(lái)不僅集成電路設(shè)計(jì)單位，而且各類網(wǎng)絡(luò)技術(shù)公司及互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)都將為提高芯片安全性這一重大課題貢獻(xiàn)力量。

安全增強(qiáng)設(shè)計(jì)技術(shù)將繼續(xù)向前發(fā)展，同時(shí)工業(yè)界將研制與完善面向芯片防護(hù)的全流程自動(dòng)化檢測(cè)設(shè)備與集成開(kāi)發(fā)環(huán)境。全流程的安全增強(qiáng)設(shè)計(jì)將把各層次單點(diǎn)的關(guān)鍵技術(shù)集成為一個(gè)有機(jī)整體，實(shí)現(xiàn)效能最大化；同時(shí)注意硬件載體與軟件環(huán)境的協(xié)同開(kāi)發(fā)，提升自動(dòng)化和智能化水平，保證良好的用戶體驗(yàn)。

審核編輯 ：李倩