近年(nián)來(lái),汽車網絡安全事(shì)故頻發:2015年(nián),Jeep大(dà)切諾基被黑(hēi)客遠(yuǎn)程操控,通過CAN總線惡意控制汽車的制動、轉向、動力等,爲此FCA召回了140萬輛(liàng)汽車;2018年(nián),特斯拉Autopilot系統被攻擊;2021年(nián),Model3被黑(hēi)客入侵提取車内攝像頭的拍(pāi)攝畫(huà)面......這些案例,都(dōu)凸顯了汽車網絡安全問(wèn)題的緊迫性。
在智能網聯汽車的大(dà)背景下,接入網絡的汽車時刻都(dōu)有受到黑(hēi)客攻擊的風(fēng)險,汽車用戶的隐私安全、數據安全甚至生(shēng)命安全都(dōu)受到威脅。因此,各大(dà)主機(jī)廠(chǎng)(OEM)和一級供應商(Tier1)迫切希望填補這方面的安全空白(bái),以确保汽車全生(shēng)命周期的安全。
車規芯片作(zuò)爲汽車各軟件(jiàn)功能實現的基石,其信息安全設計(jì)至關重要。
車規芯片的信息安全設計(jì)考量
車規芯片的信息安全設計(jì)是一個複雜且多維度的過程,需要從(cóng)芯片本身(shēn)的信息安全防護能力、芯片提供的信息安全服務符合通用需求,以及芯片信息安全的設計(jì)流程符合國(guó)家/國(guó)際标準這三個方面進行全面考量。
▎1.芯片硬件(jiàn)安全防護能力
車規芯片作(zuò)爲汽車各軟件(jiàn)功能實現的基石,必須具備抵禦外來(lái)攻擊的能力。這主要涉及兩個方面:硬件(jiàn)安全問(wèn)題和硬件(jiàn)信任問(wèn)題。
首先,針對硬件(jiàn)安全問(wèn)題。我們需要考慮硬件(jiàn)在不同層級下(Chip或PCB)可(kě)能遭受的攻擊,如(rú)側信道攻擊、硬件(jiàn)木馬攻擊等。爲了應對這些攻擊,需要從(cóng)常見(jiàn)的硬件(jiàn)攻擊手段入手,設立相(xiàng)應的防護措施。例如(rú),引入混淆技術(shù)降低信噪比、增加特定傳感器對電壓等進行監控、引入PUF技術(shù)來(lái)實現對給定的輸入産生(shēng)不可(kě)克隆的唯一設備響應等。
-ECU闆級常見(jiàn)攻擊手段-
逆向工(gōng)程:通過對ECU拆蓋,逆向複刻重組出PCB級别的硬件(jiàn)架構和通信架構。 總線探針:通過在系統總線上搭載挂針,通過物理(lǐ)訪問(wèn)提取敏感信息(密鑰、固件(jiàn))等。 硬件(jiàn)物理(lǐ)篡改:通過硬件(jiàn)篡改受保護的功能,最著名的就(jiù)是Modchip篡改星鏈。
在車規MCU中,最有效的防護措施之一就(jiù)是在芯片設計(jì)時引入HTA(Hardware Trust Anchor)。HTA提供了一種基于硬件(jiàn)安全機(jī)制的隔離(lí)環境,可(kě)以有效保護安全敏感數據、爲應用控制算法提供各種密碼服務。目前市面常見(jiàn)的HTA種類有SHE、HSM和TPM等。
▎2.芯片的信息安全服務符合通用需求
汽車信息安全的核心是保證使用主體(tǐ)的機(jī)密性、完整性和真實性(CIA)。因此,車規芯片需要提供一系列的信息安全服務來(lái)滿足這些通用需求。
首先,安全存儲是車規芯片的核心功能之一。它需要提供一個可(kě)信的環境,用于存儲敏感信息,如(rú)密鑰、證書(shū)等。例如(rú)Secure NVM(安全非易失性存儲器)就(jiù)是這樣的一個可(kě)信存儲環境,能夠确保敏感信息的安全性和可(kě)靠性。
其次,爲了滿足不同加密算法的性能要求,車規芯片還(hái)需提供相(xiàng)應的密碼算法硬件(jiàn)加速器和密鑰管理(lǐ)功能。這些服務包括但(dàn)不限于:
● 對稱密碼硬件(jiàn)加速器:基于私密密鑰的數據加解密,如(rú)AES算法,能夠提供高速、安全的加密解密服務;
● 非對稱密碼硬件(jiàn)加速器:用于數字簽名、驗簽以及數據加解密等操作(zuò),确保數據的完整性和真實性;
● 摘要硬件(jiàn)加速器:常用于數據完整性檢查和身(shēn)份驗證等場景,如(rú)基于摘要的HMAC算法,能夠提供快(kuài)速、準确的身(shēn)份驗證服務;
● 密鑰管理(lǐ)功能:包括密鑰導入、密鑰協商、密鑰派生(shēng)等操作(zuò),确保密鑰的安全生(shēng)成、存儲和使用等。
此外,爲了衡量和保證整個ECU系統的完整性和可(kě)用性,車規芯片還(hái)需要提供安全啓動和可(kě)信啓動等功能。這些功能能夠确保ECU系統在啓動過程中不被惡意篡改或破壞,從(cóng)而保證汽車的正常運行和安全性。
3.信息安全方案設計(jì)流程符合國(guó)家/國(guó)際标準
随着汽車網絡安全法規的不斷完善,2022年(nián)7月,聯合國(guó)歐洲經濟委員(yuán)會(UNECE)正式推出了首部汽車網絡安全法規R155法規要求,要求在歐盟上市的車型必須取得(de)特定車型型式認證(VTA),而在此之前,車企必須滿足滿足網絡安全管理(lǐ)體(tǐ)系(CSMS)的要求,并取得(de)相(xiàng)應的認證。
國(guó)家标準《汽車整車信息安全技術(shù)要求》将于2026年(nián)1月1日(rì)拟實施,因此芯片企業在設計(jì)芯片的信息安全技術(shù)時,必須參考這些法規和标準,确保産品符合國(guó)家和國(guó)際的要求。
其中最重要的一環是建議(yì)建立起企業内部的網絡安全管理(lǐ)體(tǐ)系(Cyber Security Management System)。這一體(tǐ)系能夠确保芯片企業在設計(jì)過程中,對于信息安全治理(lǐ)、開發管理(lǐ)、生(shēng)産管理(lǐ)、供應商管理(lǐ)以及風(fēng)險管理(lǐ)等方面,都(dōu)是符合流程體(tǐ)系和法律法規的要求。
通過按照(zhào)這一體(tǐ)系架構和流程對芯片進行信息安全方面的設計(jì),芯片企業可(kě)以生(shēng)成一套完整的文檔材料。這些材料将有助于OEM、Tier1供應商加快(kuài)R155或者《汽車整車信息安全技術(shù)要求》的認證過程,從(cóng)而更快(kuài)的将符合法規要求的産品推向市場。
#二. 功能安全與信息安全
汽車的安全性涵蓋了兩個核心方向:功能安全和信息安全。
功能安全主要聚焦于因電子電氣系統故障引起的潛在危害。其主要目标是預防此類故障導緻的不當風(fēng)險。常用的分(fēn)析方法,如(rú)故障樹(shù)等HARA分(fēn)析,能夠幫助識别可(kě)能導緻危害的單點和多點随機(jī)硬件(jiàn)失效,并據此設置必要的安全防護機(jī)制。
信息安全則着重關注惡意網絡攻擊對個人(rén)财産安全、數據隐私以及車輛(liàng)操作(zuò)構成的威脅。其核心目的是保證數據的真實性、完整性和機(jī)密性(CIA),從(cóng)而免受外界的不良侵害。在這裡(lǐ),攻擊樹(shù)等TARA分(fēn)析等手段成爲識别漏洞、強化信息安全防護措施的關鍵。
功能安全和網絡安全相(xiàng)互補充,共同爲構建整體(tǐ)車輛(liàng)安全系統發揮重要作(zuò)用。
作(zuò)爲一家曆經20年(nián)持續創新的芯片設計(jì)企業,芯海科(kē)技憑借業界領先的“模拟信号鏈+MCU”雙平台技術(shù)優勢,已成功構建出系列化、平台化的汽車電子産品生(shēng)态。公司目前不僅通過了ISO26262 ASIL-D功能安全管理(lǐ)體(tǐ)系認證,還(hái)推出了多款符合AEC-Q100認證的模拟信号鏈和車規MCU産品,與衆多領先的Tier1供應商保持緊密合作(zuò)關系。