芯来科技的RISC-V TEE实践：开放架构下的嵌入式安全创新

随着物联网和嵌入式设备的普及，数据泄露、恶意软件和未经授权访问等安全威胁日益严峻，嵌入式系统对安全隔离的需求愈发迫切。可信执行环境（TEE）应运而生，通过硬件和软件协同设计，为敏感数据和关键操作提供隔离的执行环境。ARM的TrustZone和x86的SGX等技术已在TEE实现中占据主导，但均存在局限。ARM TrustZone依赖专有硬件扩展，增加了设计复杂性和成本，且灵活性有限；x86 SGX则因指令集封闭和高功耗，难以适应资源受限的嵌入式场景。相比之下，RISC-V作为开源指令集架构，凭借其模块化设计和高可定制性，为TEE提供了更灵活、低成本的实现路径，支持多样化的安全需求。

在第五届RISC-V中国峰会嵌入式系统分论坛上，芯来科技高级软件工程师桂兵发表了题为“Nuclei TEE：RISC-V安全系统实践”的演讲，详细介绍了芯来科技在RISC-V架构上实现可信执行环境（TEE）的最新进展。

TEE（可信执行环境）最早由2006年的开放移动终端平台（OMTP）提出，是一种支持安全与非安全环境并存的双系统安全解决方案。2010年，GlobalPlatform（GP）进一步制定了TEE规范标准。TEE架构支持多种处理器架构，包括ARM的TrustZone以及RISC-V的物理内存保护（PMP）、WorldGuard和输入输出PMP（IOPMP）等机制。这些技术通过硬件隔离确保敏感操作与非敏感操作的安全分离，是现代嵌入式系统安全设计的核心。

为便于理解，桂兵简要对比了ARM的TrustZone架构。在ARM A系列处理器中，TrustZone通过增加专用的安全模式以及安全相关的硬件扩展（如TrustZone地址空间控制器TZASC、保护控制器TZPC和通用中断控制器GIC）实现安全隔离。而ARM M系列则通过地址空间划分区分安全与非安全区域，依赖SG（安全网关）、BXNS（跳转到非安全）和BLXNS（带链接跳转到非安全）三条指令实现安全函数调用。非安全代码需通过特定的非安全可调用（NSC）区域执行SG指令，才能访问安全函数，确保安全域与非安全域的受控交互。

芯来科技根据其产品线的特点，针对AP级和MCU级处理器开发了差异化的TEE解决方案。对于AP级处理器，芯来采用机器模式（M）、管理模式（S）和用户模式（U），结合PMP和增强型中断控制器，构建了基于开源OP-TEE框架的安全架构。桂兵提到，去年公司曾展示过一个服务流程，验证了该架构的实际应用。内存隔离通过PMP实现，例如将M模式分配到PMP0区域以运行安全代码。此外，芯来在硬件层面通过总线、缓存和转换旁路缓冲区（TLB）实现了进一步的隔离，确保安全与非安全环境的物理分离。

在AP级方案的中断处理机制中，芯来设计了以S模式为主的处理流程，M模式仅作为中转，负责转发非关键中断。为防止篡改，公司对平台级中断控制器（PLIC）进行了优化，确保M模式启用中断后，S模式无法修改相关配置。在安全世界运行时，非安全中断被暂时搁置，以避免干扰；而非安全世界运行时，安全中断仍可被响应。这种动态中断管理机制在保障安全的同时，兼顾了系统效率。

对于MCU级处理器，芯来基于ARM的开源Trusted Firmware-M（TF-M）框架开发了TEE解决方案，适合资源受限的设备。该方案将安全执行环境（SPE）置于M模式，非安全执行环境（NSPE）则运行于S和U模式，通过PMP实现硬件级隔离。然而，桂兵指出，目前的实现仅限于SPE与NSPE之间的隔离，SPE内部的进一步隔离尚待开发。在中断响应方面，芯来通过配置机器定时器（mtimer）区分安全与非安全中断，严重中断可直接路由至M模式处理，次要中断则交由S模式响应。函数调用采用类似ARM的跳板机制，在M模式维护一个函数ID列表，验证NSPE的调用请求，非法调用将触发错误，确保系统安全性。

在比较AP级与MCU级方案时，桂兵强调了两者的核心差异。在AP级方案中，S模式支持安全与非安全状态，适用于复杂应用场景；而在MCU级方案中，S模式全部为非安全状态，简化了资源受限设备的设计。此外，MCU方案采用的增强型核心本地中断控制器（ECLIC）支持中断嵌套，而AP方案使用的PLIC天然不支持嵌套。芯来的测试流程首先验证M模式运行情况，随后测试NSPE对SPE服务的调用，确保整个TEE系统的完整性。

演讲最后，桂兵通过一个演示展示了芯来TEE方案的实际运行效果，验证了内存隔离、中断处理和安全函数调用的可靠性。演示基于OP-TEE和TF-M框架，展现了安全与非安全环境的无缝交互，凸显了芯来解决方案的实用性与稳定性。

芯来科技的TEE实践充分体现了RISC-V开放架构在安全嵌入式系统中的潜力。通过针对AP和MCU场景的定制化方案，展示了RISC-V在满足现代安全需求方面的灵活性。PMP的内存隔离、优化的中断处理和硬件级保护机制共同构成了健壮且可扩展的解决方案。

据悉，芯来科技成立于2018年，其RISC-V CPU IP完全自主研发，累计出货量已达数亿颗，稳居国内RISC-V IP市场领先地位。目前，公司产品线涵盖六个系列，包括通用型和专用型处理器IP，广泛满足不同应用需求，奠定了其在行业第一梯队的地位。

芯来科技的在RISC-V上实现的TEE创新，为全球RISC-V社区在安全嵌入式系统领域的创新提供了借鉴。随着RISC-V生态的持续发展，芯来科技的TEE解决方案无疑将在推动开源硬件安全应用方面发挥重要作用。