近年來(lái),汽車網絡安全事(shì)故頻發:2015年,Jeep大(dà)切諾基被黑客遠程操控,通過CAN總線惡意控制汽車的制動、轉向、動力等,爲此FCA召回了(le)140萬輛汽車;2018年,特斯拉Autopilot系統被攻擊;2021年,Model3被黑客入侵提取車内攝像頭的拍(pāi)攝畫(huà)面......這(zhè)些(xiē)案例,都凸顯了(le)汽車網絡安全問題的緊迫性。
在智能(néng)網聯汽車的大(dà)背景下(xià),接入網絡的汽車時(shí)刻都有受到(dào)黑客攻擊的風(fēng)險,汽車用(yòng)戶的隐私安全、數據安全甚至生命安全都受到(dào)威脅。因此,各大(dà)主機廠(chǎng)(OEM)和(hé)一級供應商(Tier1)迫切希望填補這(zhè)方面的安全空(kōng)白(bái),以确保汽車全生命周期的安全。
車規芯片作(zuò)爲汽車各軟件功能(néng)實現(xiàn)的基石,其信息安全設計(jì)至關重要。
車規芯片的信息安全設計(jì)考量
車規芯片的信息安全設計(jì)是一個複雜(zá)且多維度的過程,需要從(cóng)芯片本身的信息安全防護能(néng)力、芯片提供的信息安全服務符合通用(yòng)需求,以及芯片信息安全的設計(jì)流程符合國家/國際标準這(zhè)三個方面進行全面考量。
▎1.芯片硬件安全防護能(néng)力
車規芯片作(zuò)爲汽車各軟件功能(néng)實現(xiàn)的基石,必須具備抵禦外(wài)來(lái)攻擊的能(néng)力。這(zhè)主要涉及兩個方面:硬件安全問題和(hé)硬件信任問題。
首先,針對(duì)硬件安全問題。我們需要考慮硬件在不同層級下(xià)(Chip或PCB)可能(néng)遭受的攻擊,如側信道(dào)攻擊、硬件木(mù)馬攻擊等。爲了(le)應對(duì)這(zhè)些(xiē)攻擊,需要從(cóng)常見的硬件攻擊手段入手,設立相應的防護措施。例如,引入混淆技術降低(dī)信噪比、增加特定傳感器對(duì)電壓等進行監控、引入PUF技術來(lái)實現(xiàn)對(duì)給定的輸入産生不可克隆的唯一設備響應等。
-ECU闆級常見攻擊手段-
逆向工(gōng)程:通過對(duì)ECU拆蓋,逆向複刻重組出PCB級别的硬件架構和(hé)通信架構。 總線探針:通過在系統總線上(shàng)搭載挂針,通過物理(lǐ)訪問提取敏感信息(密鑰、固件)等。 硬件物理(lǐ)篡改:通過硬件篡改受保護的功能(néng),最著名的就是Modchip篡改星鏈。
在車規MCU中,最有效的防護措施之一就是在芯片設計(jì)時(shí)引入HTA(Hardware Trust Anchor)。HTA提供了(le)一種基于硬件安全機制的隔離環境,可以有效保護安全敏感數據、爲應用(yòng)控制算(suàn)法提供各種密碼服務。目前市面常見的HTA種類有SHE、HSM和(hé)TPM等。
▎2.芯片的信息安全服務符合通用(yòng)需求
汽車信息安全的核心是保證使用(yòng)主體的機密性、完整性和(hé)真實性(CIA)。因此,車規芯片需要提供一系列的信息安全服務來(lái)滿足這(zhè)些(xiē)通用(yòng)需求。
首先,安全存儲是車規芯片的核心功能(néng)之一。它需要提供一個可信的環境,用(yòng)于存儲敏感信息,如密鑰、證書等。例如Secure NVM(安全非易失性存儲器)就是這(zhè)樣的一個可信存儲環境,能(néng)夠确保敏感信息的安全性和(hé)可靠性。
其次,爲了(le)滿足不同加密算(suàn)法的性能(néng)要求,車規芯片還需提供相應的密碼算(suàn)法硬件加速器和(hé)密鑰管理(lǐ)功能(néng)。這(zhè)些(xiē)服務包括但(dàn)不限于:
● 對(duì)稱密碼硬件加速器:基于私密密鑰的數據加解密,如AES算(suàn)法,能(néng)夠提供高(gāo)速、安全的加密解密服務;
● 非對(duì)稱密碼硬件加速器:用(yòng)于數字簽名、驗簽以及數據加解密等操作(zuò),确保數據的完整性和(hé)真實性;
● 摘要硬件加速器:常用(yòng)于數據完整性檢查和(hé)身份驗證等場景,如基于摘要的HMAC算(suàn)法,能(néng)夠提供快(kuài)速、準确的身份驗證服務;
● 密鑰管理(lǐ)功能(néng):包括密鑰導入、密鑰協商、密鑰派生等操作(zuò),确保密鑰的安全生成、存儲和(hé)使用(yòng)等。
此外(wài),爲了(le)衡量和(hé)保證整個ECU系統的完整性和(hé)可用(yòng)性,車規芯片還需要提供安全啓動和(hé)可信啓動等功能(néng)。這(zhè)些(xiē)功能(néng)能(néng)夠确保ECU系統在啓動過程中不被惡意篡改或破壞,從(cóng)而保證汽車的正常運行和(hé)安全性。
3.信息安全方案設計(jì)流程符合國家/國際标準
随着汽車網絡安全法規的不斷完善,2022年7月,聯合國歐洲經濟委員會(huì)(UNECE)正式推出了(le)首部汽車網絡安全法規R155法規要求,要求在歐盟上(shàng)市的車型必須取得特定車型型式認證(VTA),而在此之前,車企必須滿足滿足網絡安全管理(lǐ)體系(CSMS)的要求,并取得相應的認證。
國家标準《汽車整車信息安全技術要求》将于2026年1月1日拟實施,因此芯片企業在設計(jì)芯片的信息安全技術時(shí),必須參考這(zhè)些(xiē)法規和(hé)标準,确保産品符合國家和(hé)國際的要求。
其中最重要的一環是建議(yì)建立起企業内部的網絡安全管理(lǐ)體系(Cyber Security Management System)。這(zhè)一體系能(néng)夠确保芯片企業在設計(jì)過程中,對(duì)于信息安全治理(lǐ)、開(kāi)發管理(lǐ)、生産管理(lǐ)、供應商管理(lǐ)以及風(fēng)險管理(lǐ)等方面,都是符合流程體系和(hé)法律法規的要求。
通過按照這(zhè)一體系架構和(hé)流程對(duì)芯片進行信息安全方面的設計(jì),芯片企業可以生成一套完整的文(wén)檔材料。這(zhè)些(xiē)材料将有助于OEM、Tier1供應商加快(kuài)R155或者《汽車整車信息安全技術要求》的認證過程,從(cóng)而更快(kuài)的将符合法規要求的産品推向市場。
#二. 功能(néng)安全與信息安全
汽車的安全性涵蓋了(le)兩個核心方向:功能(néng)安全和(hé)信息安全。
功能(néng)安全主要聚焦于因電子電氣系統故障引起的潛在危害。其主要目标是預防此類故障導緻的不當風(fēng)險。常用(yòng)的分析方法,如故障樹等HARA分析,能(néng)夠幫助識别可能(néng)導緻危害的單點和(hé)多點随機硬件失效,并據此設置必要的安全防護機制。
信息安全則着重關注惡意網絡攻擊對(duì)個人财産安全、數據隐私以及車輛操作(zuò)構成的威脅。其核心目的是保證數據的真實性、完整性和(hé)機密性(CIA),從(cóng)而免受外(wài)界的不良侵害。在這(zhè)裏,攻擊樹等TARA分析等手段成爲識别漏洞、強化信息安全防護措施的關鍵。
功能(néng)安全和(hé)網絡安全相互補充,共同爲構建整體車輛安全系統發揮重要作(zuò)用(yòng)。
作(zuò)爲一家曆經20年持續創新的芯片設計(jì)企業,芯海科技憑借業界領先的“模拟信号鏈+MCU”雙平台技術優勢,已成功構建出系列化、平台化的汽車電子産品生态。公司目前不僅通過了(le)ISO26262 ASIL-D功能(néng)安全管理(lǐ)體系認證,還推出了(le)多款符合AEC-Q100認證的模拟信号鏈和(hé)車規MCU産品,與衆多領先的Tier1供應商保持緊密合作(zuò)關系。