當(dāng)我告訴人們我從事專(zhuān)注于汽車(chē)安全的半導(dǎo)體行業(yè)時(shí),,他們通常認(rèn)為一定會(huì)涉及汽車(chē)報(bào)警和車(chē)鑰匙,。盡管汽車(chē)盜竊仍是一個(gè)合理的擔(dān)憂,,但與內(nèi)部電子控制單元(ECU)及其車(chē)內(nèi)外通信相關(guān)的安全威脅明顯更大,。在今年銷(xiāo)售的所有新車(chē)中,,大約有50%的車(chē)輛支持聯(lián)網(wǎng)功能,,很多人估計(jì)到2030年,,這一數(shù)字將達(dá)到95%左右,。
這些連接通過(guò)Bluetooth?、USB,、LTE,、5G和Wi-Fi?等實(shí)現(xiàn),可為消費(fèi)者提供諸多便利,,但由于受攻擊面顯著增加,,黑客也同樣感到興奮。在Google上快速搜索黑客攻擊汽車(chē)的主題,,將搜索到無(wú)數(shù)個(gè)實(shí)際安全漏洞,,這些漏洞會(huì)引起費(fèi)用高昂的召回、訴訟,,并導(dǎo)致品牌聲譽(yù)受損,。事實(shí)上,軟件容易出現(xiàn)漏洞,,而這些漏洞會(huì)被黑客利用,。可以通過(guò)很多做法最大程度地減少漏洞并在檢測(cè)到漏洞后采取糾正措施;但是,,只要人們編寫(xiě)新代碼,,就會(huì)引入新漏洞,。
入侵汽車(chē)控制器局域網(wǎng)(CAN總線)是黑客的共同目標(biāo),。在之前的一些黑客攻擊中,黑客能夠先后利用藍(lán)牙及汽車(chē)操作系統(tǒng)中的漏洞通過(guò)CAN總線遠(yuǎn)程篡改報(bào)文?,F(xiàn)代汽車(chē)可能擁有多達(dá)100個(gè)ECU,,其中很多安全關(guān)鍵型ECU通過(guò)總線通信,。CAN總線具有諸多優(yōu)點(diǎn)。它使用一種低成本,、極其穩(wěn)健且相對(duì)不易受到電子干擾的簡(jiǎn)單協(xié)議,,因此是安全關(guān)鍵型節(jié)點(diǎn)彼此通信的可靠選擇。缺點(diǎn)在于,,數(shù)十年來(lái),,這項(xiàng)協(xié)議一直沒(méi)有任何安全措施,這意味著黑客一旦成功入侵,,他們便能發(fā)送偽造的報(bào)文,,導(dǎo)致車(chē)載通信遭到嚴(yán)重破壞。
例如,,開(kāi)/關(guān)雨刷,、關(guān)閉頭燈、通過(guò)操縱音頻分散司機(jī)注意力,、生成虛假儀表板報(bào)警,、顯示錯(cuò)誤的速度、移動(dòng)座椅甚至將車(chē)駛離道路,。好消息是,,隨著CAN FD的出現(xiàn),報(bào)文有效負(fù)載中預(yù)留了額外的字節(jié)來(lái)存儲(chǔ)報(bào)文驗(yàn)證代碼(MAC),,可用于以加密方式驗(yàn)證報(bào)文的真實(shí)性,,濾除所有偽造的報(bào)文,從而提高安全性,。有兩種MAC可供選擇:基于哈希算法的HMAC或基于AES對(duì)稱(chēng)密鑰分組密碼的CMAC,。絕大多數(shù)情況下實(shí)現(xiàn)的都是CMAC。
OEM一直忙于更新其網(wǎng)絡(luò)安全規(guī)范以應(yīng)對(duì)發(fā)生的所有黑客攻擊,。幾乎所有OEM都需要升級(jí)安全關(guān)鍵型ECU來(lái)實(shí)現(xiàn)其全新網(wǎng)絡(luò)安全要求,,其中一些OEM需要升級(jí)全部聯(lián)網(wǎng)ECU?;A(chǔ)安全模塊用于實(shí)現(xiàn)涉及加密驗(yàn)證的安全引導(dǎo):主機(jī)控制器上運(yùn)行的引導(dǎo)和應(yīng)用程序代碼保持不變,,在上電和復(fù)位時(shí)處于可信狀態(tài),并且通常在引導(dǎo)后按照規(guī)定的頻率重復(fù)執(zhí)行,。緊隨其后的要求是支持安全固件更新,。回顧一下,,所有軟件都會(huì)產(chǎn)生漏洞;因此,,通常需要?jiǎng)?chuàng)建可現(xiàn)場(chǎng)應(yīng)用的固件漏洞補(bǔ)丁。
此外,,這些固件更新還需要加密安全實(shí)現(xiàn),,它們通常需要使用對(duì)稱(chēng)(AES)密鑰對(duì)傳入固件有效負(fù)載進(jìn)行加密并使用非對(duì)稱(chēng)私鑰對(duì)其進(jìn)行簽名,,最常見(jiàn)的私鑰是橢圓曲線加密(ECC)。這樣一來(lái),,向主機(jī)控制器提供升級(jí)映像時(shí),,在通過(guò)控制器中嵌入的ECC公鑰驗(yàn)證有效負(fù)載的簽名前,不會(huì)執(zhí)行任何操作,。完成簽名驗(yàn)證后,,即可解密映像,控制器固件通過(guò)漏洞補(bǔ)丁或功能增強(qiáng)進(jìn)行升級(jí),。安全演變之路上增加的第三項(xiàng)措施是上述報(bào)文驗(yàn)證,。
電動(dòng)汽車(chē)領(lǐng)域的獨(dú)特之處在于對(duì)電池驗(yàn)證的需求不斷增加。大多數(shù)電池組都在較大的電池組內(nèi)部設(shè)計(jì)了可更換的電池模塊,,因此當(dāng)其中一個(gè)模塊發(fā)生故障時(shí),,只需更換該故障模塊,無(wú)需更換整個(gè)電池組或處理性能不佳的電池組,。設(shè)計(jì)不佳的模塊可能成為安全隱患,,導(dǎo)致車(chē)輛起火;因此,OEM必須加強(qiáng)生態(tài)系統(tǒng)管理,,這意味著每個(gè)模塊都必須以加密方式進(jìn)行驗(yàn)證,,確保模塊制造經(jīng)審查通過(guò)OEM認(rèn)證,之后模塊才能在電池組中正常工作,。不引發(fā)火災(zāi)但性能欠佳的模塊會(huì)損害OEM品牌聲譽(yù),,從而引起負(fù)面新聞和收入損失。這是對(duì)模塊制造商的來(lái)源進(jìn)行加密驗(yàn)證的另一個(gè)原因,。
對(duì)一個(gè)模塊進(jìn)行加密驗(yàn)證意味著什么?加密驗(yàn)證的實(shí)現(xiàn)方式是使用客戶特定的x.509證書(shū)鏈以及基于惟一ECC密鑰對(duì)的惟一設(shè)備級(jí)證書(shū)設(shè)置用于配置器件的客戶特定簽名密鑰,。配置好的器件安裝在每個(gè)電池模塊上。當(dāng)電池組中更換某個(gè)電池模塊時(shí),,電池管理系統(tǒng)(BMS)(也稱(chēng)為電池網(wǎng)關(guān))將向模塊詢問(wèn)其惟一X.509證書(shū),,并一直驗(yàn)證簽名鏈直至可信根。完成簽名驗(yàn)證后,,使用相關(guān)私鑰進(jìn)行簽名的模塊面臨一項(xiàng)挑戰(zhàn),,即在不通過(guò)總線發(fā)送的情況下(某些情況下通過(guò)RF發(fā)送)證明已獲知機(jī)密信息。模塊級(jí)用例到此為止,。在BMS內(nèi),,OEM通常需要更復(fù)雜的用例。由于BMS/網(wǎng)關(guān)是連通外界,、向云端提供例行電池健康狀態(tài)報(bào)告的通信點(diǎn),,因此安全用例擴(kuò)展為包含安全引導(dǎo)、安全固件更新和傳輸層安全(TLS),,以便與云端建立安全的通信通道,。
此處探討的所有安全實(shí)現(xiàn)都需要安全密鑰存儲(chǔ),,而此類(lèi)存儲(chǔ)只能通過(guò)真正的硬件安全實(shí)現(xiàn),。通過(guò)微型探測(cè),、故障注入、電磁邊信道攻擊,、溫度/循環(huán)上電/電源毛刺和時(shí)序攻擊等執(zhí)行一些標(biāo)準(zhǔn)攻擊,,即可輕松從標(biāo)準(zhǔn)單片機(jī),甚至許多所謂的“安全單片機(jī)”中提取密鑰,。因此,,選擇合適的器件來(lái)執(zhí)行加密重任,防止密鑰遭受此類(lèi)攻擊至關(guān)重要,。專(zhuān)用安全器件提供各種架構(gòu)并被不同的術(shù)語(yǔ)引用,,例如片上和外部硬件安全模塊(HSM)、安全元件,、安全存儲(chǔ)子系統(tǒng),、密鑰庫(kù)和智能卡等。這些器件必須包含針對(duì)上述攻擊的防篡改功能以保護(hù)其安全存儲(chǔ)器中的密鑰,。
但是,,一級(jí)供應(yīng)商或OEM如何驗(yàn)證實(shí)現(xiàn)的安全性足夠出色?安全元件供應(yīng)商證明其安全價(jià)值的最佳方法是將器件提交給第三方進(jìn)行漏洞評(píng)估。第三方應(yīng)獲得北美認(rèn)可的美國(guó)國(guó)家標(biāo)準(zhǔn)及技術(shù)研究所(NIST),、德國(guó)認(rèn)可的聯(lián)邦信息安全局(BSI)或全球認(rèn)可的信息系統(tǒng)安全高級(jí)官方合作組織(SOGIS)等可信機(jī)構(gòu)的認(rèn)證,。
SOGIS認(rèn)可的實(shí)驗(yàn)室采用全球公認(rèn)的聯(lián)合解析庫(kù)(JIL)漏洞評(píng)分系統(tǒng),這套系統(tǒng)需要“白箱”評(píng)估,,即提交IC的供應(yīng)商必須提供有關(guān)器件設(shè)計(jì)(數(shù)據(jù)流,、子系統(tǒng)和存儲(chǔ)器映射定義)、硬件和固件啟動(dòng)序列,、安全保護(hù)機(jī)制說(shuō)明,、完整數(shù)據(jù)手冊(cè)、安全和自舉程序指南文檔,、所有可用代碼(RTL和C級(jí),、加密庫(kù)和固件)、算法實(shí)現(xiàn),、編程腳本,、通信協(xié)議、芯片布局以及源代碼的實(shí)驗(yàn)室文檔,。實(shí)驗(yàn)室隨后將查看所有文檔,,制定針對(duì)所提交樣片的攻擊計(jì)劃。評(píng)分系統(tǒng)根據(jù)提取機(jī)密信息密鑰花費(fèi)的時(shí)長(zhǎng),、所需的專(zhuān)業(yè)知識(shí)水平(應(yīng)屆畢業(yè)生一直到專(zhuān)家),、對(duì)評(píng)估對(duì)象(TOE)的了解,、對(duì)TOE的訪問(wèn)(執(zhí)行一次成功攻擊需要的樣片數(shù))、黑客攻擊設(shè)備的復(fù)雜程度和成本以及訪問(wèn)樣片的難易程度進(jìn)行打分,。得到的JIL評(píng)分依次為無(wú)評(píng)級(jí),、“基本”、“增強(qiáng)基本”,、“中等”和“高”,,其中“高”評(píng)級(jí)是能夠?qū)崿F(xiàn)的最高評(píng)分。JIL“高”評(píng)級(jí)以下表示實(shí)驗(yàn)室能夠從器件提取私鑰,。獲得JIL“高”評(píng)級(jí)的Microchip CryptoAutomotive? TrustAnchor100(TA100)外部HSM等器件能夠承受超過(guò)3個(gè)月的攻擊,,達(dá)到這一時(shí)間后,實(shí)驗(yàn)室將宣布器件遭到的攻擊“無(wú)效”,。
片上還是片外,,這是個(gè)問(wèn)題。通過(guò)32位雙核MCU等片上解決方案升級(jí)前一代ECU的成本高昂,,而在OEM要求實(shí)現(xiàn)真正的安全之前,,標(biāo)準(zhǔn)MCU即可完全滿足前一代ECU的要求。如果要求完全重新構(gòu)建應(yīng)用程序代碼,,這些片上解決方案還會(huì)顯著推遲上市時(shí)間,。內(nèi)部開(kāi)發(fā)安全代碼需要承擔(dān)極高的風(fēng)險(xiǎn),而交給第三方處理則要支付高昂的費(fèi)用,。此外,,一級(jí)供應(yīng)商也很難將此類(lèi)解決方案大量應(yīng)用于多種類(lèi)型的ECU,因?yàn)槊糠N類(lèi)型都有不同的性能和外設(shè)要求,。在這種背景下,,外部HMS或配套安全元件能夠幫助一級(jí)供應(yīng)商極大地減輕安全升級(jí)負(fù)擔(dān)。它們可以添加到現(xiàn)有設(shè)計(jì)中的標(biāo)準(zhǔn)MCU旁邊,,也可以集成到具有不同主機(jī)MCU要求的所有新設(shè)計(jì)中,。TA100等外部HSM預(yù)先配置了全部安全代碼、密鑰和證書(shū),,可顯著縮短上市時(shí)間,。給定與MCU無(wú)關(guān)的相關(guān)加密庫(kù)后,便可輕松移植到任何MCU,。外部HSM可降低風(fēng)險(xiǎn),、縮短上市時(shí)間及減少總成本,為一級(jí)供應(yīng)商提供了一條領(lǐng)先于完全重構(gòu)方案的競(jìng)爭(zhēng)對(duì)手,、獲得商業(yè)成功的捷徑,。
由于當(dāng)今很多車(chē)輛支持聯(lián)網(wǎng)功能且車(chē)載網(wǎng)絡(luò)通信量很大,因此對(duì)車(chē)輛安全的需求明顯遠(yuǎn)超車(chē)輛報(bào)警。由于安全和品牌聲譽(yù)不容有失,,因此在升級(jí)ECU時(shí),,請(qǐng)務(wù)必選擇經(jīng)過(guò)第三方審查的真正安全器件,以滿足眾多全新OEM網(wǎng)絡(luò)安全規(guī)范,、SAE,、ISO標(biāo)準(zhǔn)和地方政府的安全要求。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<