近年来,汽车网络安全事故频发:2015年,Jeep大切诺基被黑客远程操控,通过CAN总线恶意控制汽车的制动、转向、动力等,为此FCA召回了140万辆汽车;2018年,特斯拉Autopilot系统被攻击;2021年,Model3被黑客入侵提取车内摄像头的拍摄画面......这些案例,都凸显了汽车网络安全问题的紧迫性。
在智能网联汽车的大背景下,接入网络的汽车时刻都有受到黑客攻击的风险,汽车用户的隐私安全、数据安全甚至生命安全都受到威胁。因此,各大主机厂(OEM)和一级供应商(Tier1)迫切希望填补这方面的安全空白,以确保汽车全生命周期的安全。
车规芯片作为汽车各软件功能实现的基石,其信息安全设计至关重要。
车规芯片的信息安全设计考量
车规芯片的信息安全设计是一个复杂且多维度的过程,需要从芯片本身的信息安全防护能力、芯片提供的信息安全服务符合通用需求,以及芯片信息安全的设计流程符合国家/国际标准这三个方面进行全面考量。
▎1.芯片硬件安全防护能力
车规芯片作为汽车各软件功能实现的基石,必须具备抵御外来攻击的能力。这主要涉及两个方面:硬件安全问题和硬件信任问题。
首先,针对硬件安全问题。我们需要考虑硬件在不同层级下(Chip或PCB)可能遭受的攻击,如侧信道攻击、硬件木马攻击等。为了应对这些攻击,需要从常见的硬件攻击手段入手,设立相应的防护措施。例如,引入混淆技术降低信噪比、增加特定传感器对电压等进行监控、引入PUF技术来实现对给定的输入产生不可克隆的唯一设备响应等。
-ECU板级常见攻击手段-
逆向工程:通过对ECU拆盖,逆向复刻重组出PCB级别的硬件架构和通信架构。 总线探针:通过在系统总线上搭载挂针,通过物理访问提取敏感信息(密钥、固件)等。 硬件物理篡改:通过硬件篡改受保护的功能,最著名的就是Modchip篡改星链。
在车规MCU中,最有效的防护措施之一就是在芯片设计时引入HTA(Hardware Trust Anchor)。HTA提供了一种基于硬件安全机制的隔离环境,可以有效保护安全敏感数据、为应用控制算法提供各种密码服务。目前市面常见的HTA种类有SHE、HSM和TPM等。
▎2.芯片的信息安全服务符合通用需求
汽车信息安全的核心是保证使用主体的机密性、完整性和真实性(CIA)。因此,车规芯片需要提供一系列的信息安全服务来满足这些通用需求。
首先,安全存储是车规芯片的核心功能之一。它需要提供一个可信的环境,用于存储敏感信息,如密钥、证书等。例如Secure NVM(安全非易失性存储器)就是这样的一个可信存储环境,能够确保敏感信息的安全性和可靠性。
其次,为了满足不同加密算法的性能要求,车规芯片还需提供相应的密码算法硬件加速器和密钥管理功能。这些服务包括但不限于:
● 对称密码硬件加速器:基于私密密钥的数据加解密,如AES算法,能够提供高速、安全的加密解密服务;
● 非对称密码硬件加速器:用于数字签名、验签以及数据加解密等操作,确保数据的完整性和真实性;
● 摘要硬件加速器:常用于数据完整性检查和身份验证等场景,如基于摘要的HMAC算法,能够提供快速、准确的身份验证服务;
● 密钥管理功能:包括密钥导入、密钥协商、密钥派生等操作,确保密钥的安全生成、存储和使用等。
此外,为了衡量和保证整个ECU系统的完整性和可用性,车规芯片还需要提供安全启动和可信启动等功能。这些功能能够确保ECU系统在启动过程中不被恶意篡改或破坏,从而保证汽车的正常运行和安全性。
3.信息安全方案设计流程符合国家/国际标准
随着汽车网络安全法规的不断完善,2022年7月,联合国欧洲经济委员会(UNECE)正式推出了首部汽车网络安全法规R155法规要求,要求在欧盟上市的车型必须取得特定车型型式认证(VTA),而在此之前,车企必须满足满足网络安全管理体系(CSMS)的要求,并取得相应的认证。
国家标准《汽车整车信息安全技术要求》将于2026年1月1日拟实施,因此芯片企业在设计芯片的信息安全技术时,必须参考这些法规和标准,确保产品符合国家和国际的要求。
其中最重要的一环是建议建立起企业内部的网络安全管理体系(Cyber Security Management System)。这一体系能够确保芯片企业在设计过程中,对于信息安全治理、开发管理、生产管理、供应商管理以及风险管理等方面,都是符合流程体系和法律法规的要求。
通过按照这一体系架构和流程对芯片进行信息安全方面的设计,芯片企业可以生成一套完整的文档材料。这些材料将有助于OEM、Tier1供应商加快R155或者《汽车整车信息安全技术要求》的认证过程,从而更快的将符合法规要求的产品推向市场。
#二. 功能安全与信息安全
汽车的安全性涵盖了两个核心方向:功能安全和信息安全。
功能安全主要聚焦于因电子电气系统故障引起的潜在危害。其主要目标是预防此类故障导致的不当风险。常用的分析方法,如故障树等HARA分析,能够帮助识别可能导致危害的单点和多点随机硬件失效,并据此设置必要的安全防护机制。
信息安全则着重关注恶意网络攻击对个人财产安全、数据隐私以及车辆操作构成的威胁。其核心目的是保证数据的真实性、完整性和机密性(CIA),从而免受外界的不良侵害。在这里,攻击树等TARA分析等手段成为识别漏洞、强化信息安全防护措施的关键。
功能安全和网络安全相互补充,共同为构建整体车辆安全系统发挥重要作用。
作为一家历经20年持续创新的芯片设计企业,威尼斯欢乐娱人城3328凭借业界领先的“模拟信号链+MCU”双平台技术优势,已成功构建出系列化、平台化的汽车电子产品生态。公司目前不仅通过了ISO26262 ASIL-D功能安全管理体系认证,还推出了多款符合AEC-Q100认证的模拟信号链和车规MCU产品,与众多领先的Tier1供应商保持紧密合作关系。