智能汽车网络安全的芯片级防御

汽车电子设备的复杂性日益增加,这为黑客侵入汽车防御系统带来了更多机会。更多的连接会带来多种网络拓扑,这些拓扑可能安全也可能不安全。由于它们都是相互交织和相互连接的,因此车辆电子设备的任何连接都是黑客的潜在攻击点。例如,干扰RFID信号可能会禁用防盗锁,从而导致车辆被盗。拦截V2X或VSRC可以打开车辆之间的通信通道,从而入侵或监视用户。看似无害的接口可以提供进入车辆的途径,因此从芯片级别开始保护汽车至关重要。作为回应,汽车IC设计人员、OEM必须采用新技术,并使新技术将安全性构建到汽车软件和系统中。

硅为防御奠定了基础

网络安全的基础是保护车辆的纵深防御策略。每个软件程序的核心是运行它的硬件。为确保IC没有受到损害,它应该能够在复位后评估自身的完整性。当它被确认安全时才会启动,形成车内智能的网络,并连接到外部世界。IC设计人员需要使这些系统脱离复位状态,并以确保信任、安全和完整性的方式集成它们,确保它们与制造商预期的一样。

网络安全

除了汽车自身外,还需要远程实体识别和身份验证才能将车辆连接到其他实体。例如,验证报文身份确保空中升级仅发送到预期的地方,并且仅由授权的系统解析。通过车辆服务网络或制造商网络等远程实体提供安全、经过身份验证的通道,可以实现更快的远程软件和固件更新。在车队运营中,运营商网络可用于安全地协调多辆车辆的活动。随着物联网(IoT)在汽车应用中的发展,车辆连接到车主的手机和智能家居,用于实现各种目的,包括车辆监控和跟踪,以防止盗窃。这里面每个网络连接都为黑客提供了潜在的机会。

为了帮助设计人员完成这项艰巨的任务,人们开发了可嵌入汽车电子控制单元(ECU)处理器芯片级的硬件安全模块(HSM)。HSM提供位于芯片核心的安全性——信任根。如图1所示,HSM基于硬件层,具有一组非常简单的服务,如非对称加密、对称加密、真随机数生成器、内存保护和一次性可编程(OTP),非易失性存储器(NVM)。

智能汽车网络安全的芯片级防御_第1张图片

图1:安全系统的基础

Security Primitives层显示了在该HSM处理器上运行的服务,包括安全存储、硬件密钥阶梯(允许设计人员为平台构建信任链)和平台完整性(使系统退出重启并知道软件符合预期)。调试和JTAG服务允许设计人员在这些平台上开发软件,并在开发阶段完成后关闭该接口。

在最上面的两层中,向主机提供了各种服务。IC本身有一个主处理器,它通常像对称多处理器一样复杂,可以在非常标准的固件上运行。例如,信息娱乐系统可以运行为AUTOSAR开发的Linux系统,或Wind River或Unix等公司的其他产品。tRoot HSM为主处理器提供安全服务,以执行各种通信,包括车辆内部和外部的通信。

硬件:信任根的基础

图2显示了一个高级ECU IC,其中核心的硬件安全模块可能包括多个协议加速器或其他加密单元,用于为网络安全等提供特定功能。内置于芯片中的非易失性存储器(NVM)用于存储密钥。控制逻辑和传感逻辑在芯片内执行入侵检测,以发现试图绕过芯片安全的行为者。信任根以安全的方式将主机CPU启动,以初始化系统中的内存控制器、网络和其他子系统,并使它们启动和运行。

智能汽车网络安全的芯片级防御_第2张图片

图2:具有硬件安全协处理器的ECU IC

一旦ECU运行,信任根使IC能够通过受信任的通道,连接到车辆周围的其他设备,并最终连接到在云端或车辆路边网络中运行的系统。

主机软件安全

主机软件安全解决了主机启动后发生的情况。安全启动通常分为两个阶段。首先,HSM把芯片唤醒,对主机软件进行初始的引导加载程序验证,然后在引导加载程序通过验证后,将控制权交给主机软件。然后,主机本身调用额外的可用服务。然后,它可以回调HSM以执行非对称加密操作,以验证为任务模式操作系统安装的软件是否正常工作。

通过信任、身份验证、功能模块硬件强制分离,确保访问和操作车辆时的物理和网络安全。

硬件信任根为SoC提供了独特的身份

面对日益增加的复杂性,为了保持对系统的控制,设计人员开始使用基于独立协处理器的可信执行环境(TEE)(图3)。 

TEE提供安全服务,可用于建立对系统其余部分的信任。将安全处理功能与系统中的其他处理活动分离,使安全协处理器能够在非常小的、严格控制的环境中运行安全协议。

智能汽车网络安全的芯片级防御_第3张图片

图3:HSM是可信执行环境的基础

HSM提供了以安全方式创建、存储和管理机密信息的可能,然后将信任扩展到其他内部和外部实体,因为不同的系统需要在重启后进行身份验证。HSM降低了设计人员管理自身安全需求的要求。设计人员无需构建自己的安全解决方案,而是可以利用现成产品开发团队的专业知识,并使用硬件安全IP构建他们的设计。

为了增强安全性,HSM包括用于验证软件和数据完整性的多级安全引导程序、安全身份验证、安全更新、安全存储和安全调试启用,以提供对设备本身的管理,以及密钥管理和密码编程接口,它们为需要在ECU中运行服务的基于主机的应用程序提供服务(图4)。密码加速也可用于需要高性能密码的系统。

智能汽车网络安全的芯片级防御_第4张图片

图4:HSM框图

HSM的功能包括具有紧凑代码库的小型CPU、有限数量的内部RAM(对于该处理器而言是安全和隔离的),以及用于ECU中的外部存储器的安全指令控制器和安全数据控制器,用作HSM中的可信存储器。这些提供了存储器内容的加密机密性和身份验证。它们允许HSM检测外部实体(如流氓程序)何时试图操纵、替换内存或导致其误执行或执行不正确的指令。如果HSM检测到意外活动,它会转换到安全状态。

HSM包括内置于模块内的随机数生成器的熵输入,因此随机数生成器与系统完全隔离,不能被外部程序操作。

HSM还包括通过UART的通信接口,用于检测和响应系统级干扰,包括芯片的过压和欠压,以及过频和欠频操作。设备身份输入会引入存储在SoC级别的一次性可编程存储器中的密钥,并且使用主机端口接口与主机处理器进行通信。

防护性是确保质量和安全的关键

汽车系统必须满足功能安全标准,这意味着实施防护性功能以确保功能安全不被篡改。没有防护性,就没有安全性或可靠性,因此汽车制造商正在采用更全面的方法来处理功能安全性和防护性。安全系统必须能够处理会产生不可接受行为的不可预测的输入。从硬件层面为汽车SoC设计安全性将有助于确保联网汽车按预期运行,并能够抵御攻击。

你可能感兴趣的:(汽车芯片安全,汽车,web安全,网络,自动驾驶,安全)