汽车网络安全始于芯片和IP

简介

汽车行业正在经历重大转型。随着连接性的提升和对更多功能的支持，汽车变得日益复杂且价值越来越高，可提供更出色的用户体验。与此同时，汽车收集和传输的敏感数据也越来越多，因此成为极有吸引力的攻击目标。汽车行业的网络犯罪活动正在迅速增长。

有多糟糕？根据 AV-TEST Institute 的数据，针对汽车的恶意程序数量已经从 2011 年的约 6500 万增加到 2020 年底的约 11 亿。Upstream Security 在 2019 年的一项网络安全研究报告中称，自 2016 年以来，汽车黑客攻击数量同比增长 94%。

网络安全是 OEM 必须解决的关键和迫切需求。OEM 务必从设计周期的早期开始实施这一点。虽然汽车行业还没有受到与其他行业同等程度的监管，但随着法规、标准和指南的增多，行业环境正在发生迅速变化，例如：

UNECE（联合国欧洲经济委员会）发布的 WP.29 法规规定了新车辆的网络安全管理系统。这些法规要求 OEM 管理网络风险，通过设计保护车辆，检测并响应安全事件，并提供安全的无线软件更新。

ISO/SAE 21434 是一项计划于 2021 年发布的新标准，规定了道路车辆系统的网络安全风险管理的流程要求。涵盖的流程包括从概念、开发、生产、操作和维护到报废的整个生命周期。

SAE J3101规定了地面车辆应用的硬件保护安全要求。SAE J3101 综述了安全功能，相应用例，以及需要支持以满足车辆安全需求的应用程序。

NHSTA（美国国家公路交通安全管理局）网络安全最佳实践报告建议采用多层汽车网络安全方法。NHSTA 专注于可能容易受到网络攻击的车辆入口点，例如为人或机器接口设计的有线和无线连接。

汽车安全至关重要，必须从片上系统 （SoCs） 开始解决，并且与功能安全相结合，以整体方式进行实施。除了 ISO 26262 功能安全标准所涵盖的系统与随机故障之外，安全汽车系统还必须能够处理可能意外发生的恶意攻击。使用安全可靠的具有信任根的硬件安全模块 （HSM） IP，从硬件级别设计汽车 SoC 的安全，有助于确保联网汽车按预期运行，防止随机和系统故障，并能够抵御恶意攻击。

汽车 HSM IP 解决方案

保护车辆的深度防御策略是安全的基础。每个软件程序的核心在于支持它运行的硬件。为了确保 SoC 没有受到入侵，硬件需要能够在系统重置时评估其自身的完整性。然后，确定安全之后，它可以启动最终形成汽车内部智能的网络，最后实现与外部世界的连接。除了确保 SoC 安全启动且受到保护，SoC 还需要能够防止随机和系统故障，并满足严格的安全要求。

Synopsys 的 DesignWare tRoot HSM IP 符合 ASIL B 标准，适用于汽车行业，同时提供一套汽车文档（安全手册、DFMEA/FMEDA/DFA 分析报告、质量手册、开发接口和安全案例报告）和硬件安全机制，增强了其全面的信任根安全解决方案，从而在保护 SoC 免受恶意安全攻击的同时，防止随机和系统的安全故障。

它包括广泛的安全机制，如双核锁步、内存 ECC、寄存器 EDC、奇偶校验、监视程序、自检比较器、总线和 MPU 保护，以及双轨逻辑。HSM IP 还集成了符合 ASIL D 标准的低功率 ARC 处理器 IP，用于运行安全应用程序和密码处理。符合 ISO 26262 标准的 HSM 已被主要客户部署，并提供许多关键功能：

完全可编程的解决方案为系统提供硬件信任根，并通过高级别安全保护，防范不断演变的威胁

安全机制满足针对随机故障的 ASIL B 等级，并满足针对系统故障的 ASIL D 等级

可扩展的对称/非对称/散列/MAC 加密加速 - 从 CPU 自定义指令到具有侧通道保护的密码核心

采用 SecureShield 技术的高效低功率 ARC 处理器包括一个用于内存访问权限控制的 MPU

带有侧信道（DPA）防护的安全外部内存控制器为不可信的外部存储提供机密性和完整性保护，以及运行时的防篡改检测

符合 NIST SP800-90c 的真随机数发生器 （TRNG）

多个安全密钥服务器，用于在 SoC 内进行安全密钥分配

符合 EVITA Full/Medium/Light 硬件要求

电源、时钟和重置管理

软件包括安全应用程序，如 SDK、经 NIST 认证的密码库、SecureShield runtime library、设备驱动程序和参考设计

提供开发和制造工具

DesignWare tRoot HSM IP（用于汽车）提供可信执行环境 （TEE），以在 SoC 级别保护敏感信息和处理。HSM 在设备生命周期内实施所需的关键安全功能，客户与第三方应用软件可以进一步扩展这些功能：

安全启动可验证主机 CPU 的软件和数据完整性，并用于确保它仅执行受信任的固件。tRoot HSM 验证将在主机处理器上运行的代码库的真实性和完整性。根据验证的结果，主机系统可以决定是否继续启动过程。除了完整性和真实性，安全启动服务还通过可选的固件解密功能提供机密性保护。

安全更新启用基于安全识别和身份验证的现场固件更新（具有可选加密）。

安全验证对于确保与目标设备通信的一个或多个上游和/或下游设备是否可信至关重要。为确保这种信任，需要双方认可的身份验证方案。HSM 可以确保各种身份验证协议的完整性以及设备之间的共享密钥的机密性。

安全调试允许使用安全协议通过外部主机进行身份验证，以便在设备上启用本地调试。只允许受信任的、经过身份验证的开发人员调试访问系统。

安全存储为设备的应用数据提供保护。启用后，tRoot HSM 提供安全路径以加密和解密存储在不受信任位置的应用程序数据，从而防止攻击者进行读取或修改。

密钥管理将密钥材料保留在硬件信任根中。通过应用程序层的权限和策略，来允许和管理密钥的使用。此外，密钥生成、导入和导出由 tRoot HSM 可信应用软件控制，无需访问来自系统中的应用程序或其他不太可信的处理器的密钥。

结语

由于 ADAS/自动驾驶、V2X 和信息娱乐系统等领域中创新和新应用的增加，互联汽车正在快速发展。随着硬件和软件内容的增多，在更大程度上实现自动化的同时，汽车也具有许多潜在的安全漏洞点，并且是日益猖獗的网络攻击的目标。

为了避免安全性方面的缺陷，OEM 在芯片级别上要求数据保护和功能安全。汽车系统必须满足高级安全性，还必须符合功能安全标准，因而必须实施安全功能以确保功能安全不会被篡改。如果没有安全保障，就没有人身安全，反之亦然。安全系统必须能够处理意外输入，避免不可接受的行为。在硬件级别为汽车 SoC 设计安全性将有助于确保联网汽车的行为符合预期，并能够抵御恶意安全攻击，并能够防止随机和系统性的安全故障。