基于通用缺陷枚舉（CWE）的 RISC-V 第三方 IP（3PIP）安全驗證流程

安全需求

基于美特萊公司（MITRE）硬件缺陷數據庫，制定待驗證的安全需求指導原則

核心安全維度：完整性、保密性、可用性

驗證手段：1. 信息流分析 2. 系統驗證自動化（SVA） 3. 定向 C 語言測試 4. 靜態分析

各參與方工作流程

RISC-V 第三方 IP 供應商：篩選適用于實際設計的通用缺陷枚舉項→制定匹配安全需求的安全規則→采用適配的驗證基礎設施開展安全設計分析

RISC-V 第三方 IP 供應商：收集安全驗證指標→制定安全需求模板→創建屬性宏→開發可移植測試框架→將上述成果應用于未來的設計迭代

商用與政府微電子項目中，RISC-V 架構的采用率持續攀升。無論是開源版本還是商業授權版本，絕大多數 RISC-V 處理器核均以第三方 IP 的形式集成到芯片中，這一模式可能引發供應鏈安全問題，因此亟需一套結構化的設計層級安全驗證方案。

隨著芯片系統的異構性與互連性不斷提升，設計供應鏈安全已不再是單純的文檔編制工作，而是一項工程技術挑戰。處理器 IP 中一個微小的安全漏洞，都可能引發系統性的安全風險。正因如此，可規模化、可重復的第三方 IP 安全驗證至關重要，對于部署在關鍵任務場景中的 RISC-V 核而言更是如此。

從第三方 IP 安全風險到可重復的安全驗證

傳統的 IP 集成流程往往依賴供應商的性能聲明、基于清單的審核以及有限的測試證據。這些方式雖有一定作用，卻難以針對所有相關的缺陷類型，實現設計層級的全面安全驗證。為彌補這一短板，基于 ** 通用缺陷枚舉（CWE）** 的驗證方法應運而生，能夠實現結構化、可量化、可移植的安全驗證。

這套結構化的 CWE 驗證方法，以可量化的驗證流程替代了零散的人工審核：從 MITRE 缺陷數據庫中篩選出相關缺陷類型，將其轉化為具體安全需求，通過可執行的屬性驗證與測試完成驗證工作，并將所有過程轉化為可追溯的安全驗證成果。

最終實現的不僅是測試覆蓋率的提升，更是形成了與公認缺陷定義直接關聯、可溯源的安全驗證文檔體系。

推動 RISC-V 生態的安全驗證規模化落地

RISC-V 架構擁有統一的指令集（ISA）基礎，這一特性使其能夠復用安全需求模板、參數化驗證屬性以及可移植的 C 語言測試負載。這些驗證成果一旦開發完成，只需稍作修改即可應用于多款 RISC-V 處理器核，大幅降低非經常性工程（NRE）成本。

為 RISC-V 處理器定制基于 CWE 的參數化安全需求模板，能帶來以下核心優勢：

1. 研發團隊無需在每次 IP 集成時從零開始搭建驗證體系；

2. 缺陷類型的篩選判定標準可重復使用；

3. 驗證屬性可根據具體的寄存器傳輸級（RTL）設計進行參數化調整；

4. 基于 C 語言的測試用例可通過標準 RISC-V 工具鏈編譯，經少量修改后即可在多款處理器核中復用。

對于在全產品線或產品生命周期迭代中集成多款 RISC-V 核的項目而言，這種可移植性的價值尤為突出。

實際應用案例：SiFive X280 第三方 IP 的安全驗證

Arteris 旗下品牌 Cycuity、SiFive 公司與英國 BAE 系統公司展開合作，將這套驗證方法應用于一款集成在大型片上系統（SoC）中的商用 RISC-V 核。項目團隊從初步識別的 60 項潛在相關 CWE 缺陷中，選取 16 項進行深度分析，通過標準化安全需求模板與可復用驗證基礎設施（涵蓋信息流規則、靜態分析、可移植 C 語言測試、基于斷言的驗證）完成驗證工作。

驗證結果分析

在完成分析的 16 項 CWE 缺陷中：

1. 12 項缺陷的設計實現符合既定安全需求，驗證通過；

2. 3 項缺陷的設計實現不符合規則定義，驗證失敗；

3. 1 項缺陷經深度分析后，判定為與本次驗證范圍無關。

值得注意的是，某項 CWE 缺陷驗證失敗，并不等同于該設計存在實際安全漏洞，而是表明其設計實現與 CWE 的正式定義存在偏差，需要在系統層面評估相應的風險緩解策略。

例如，對調試模式切換機制的驗證發現，芯片進入調試模式時，敏感寄存器并不會自動清零。這一設計雖為架構層面的有意設定，但要求研發團隊在系統層面制定軟件層面的風險緩解方案。又如，對寄存器復位條件的分析發現，部分寄存器在復位時未被顯式初始化，盡管結合應用場景判定該問題并非關鍵缺陷，但這套結構化的分析流程確保了所有設計假設都經過驗證，無任何遺漏。

這些驗證結果揭示了一個核心要點：安全驗證的意義不僅在于發現設計缺陷，更在于消除設計中的不確定性。工程師與管理人員能夠更清晰地掌握設計的實際表現、設計初衷以及風險緩解的邊界。

借助可復用驗證模板降低非經常性工程成本

該 RISC-V 安全驗證項目的一大重要價值，是實現了安全驗證工作成本的可量化降低。一旦確定了安全需求模板、屬性宏與可移植測試框架，后續對其他 RISC-V 核的驗證工作，所需的工程投入將大幅減少。這套方法能夠在保證驗證嚴謹性的前提下，提升驗證工作效率。

驗證團隊可將工作重心聚焦在設計的差異化環節，如特定實現的信號、特權模式、內存映射以及集成邊界，而非重復搭建基礎的安全驗證體系。對于有可信保障微電子（T&AM）建設目標的政府與國防項目而言，這種可重復的驗證流程，既能夠滿足技術層面的安全驗證要求，也能適配項目的進度規劃。

強化 RISC-V 的設計供應鏈安全

微電子生態的多元化發展，使得設計供應鏈涵蓋了開源代碼庫、商業 IP 供應商、集成商、工具提供商與系統級開發商。供應鏈安全無法僅在采購環節進行管控，必須融入設計驗證的全生命周期。

基于 CWE 的安全驗證為各利益相關方搭建了統一的技術溝通語言，具體體現在：

1. IP 供應商可將產品文檔與驗證成果，與標準化的缺陷定義對齊；

2. IP 集成商可要求供應商提供可追溯的安全驗證證據；

3. 系統架構師可量化潛在的殘余風險，并制定針對性的緩解策略。

這種透明化的協作模式，既能加強各方合作，又無需不必要地暴露企業的專有寄存器傳輸級設計或核心設計細節。

未來展望：從 RISC-V 拓展至全品類 IP

盡管本次研究聚焦于 RISC-V 架構，但這套驗證方法可推廣至所有類型的第三方 IP，包括處理器、加速器與外設。安全驗證并非零成本工作，但結構化、可復用的驗證框架，能將其從被動的合規性工作，轉變為可規模化的工程技術體系。對于基于 RISC-V 架構及其他架構進行產品開發的企業而言，這一轉變是保障現代設計供應鏈安全的重要基礎。

隨著 RISC-V 架構在高安全要求、關鍵任務系統中的應用持續擴大，設計團隊必須摒棄 “主觀信任設計無缺陷” 的思維。基于 CWE 的全面第三方 IP 驗證，能夠帶來可量化的設計可信度，降低 IP 集成的不確定性，從 IP 供應商到終端系統，全方位筑牢整個微電子生態的安全防線。