汽车网络安全始于芯片和IP

汽车行业正在经历一场重大变革。随着连接性的增强和提供更好用户体验的能力的增强，汽车变得越来越复杂和有价值。它们还在收集和传输越来越敏感的数据，因此成为非常有吸引力的攻击目标。汽车行业的网络犯罪正在迅速增长。情况有多糟?根据AV-TEST研究所的数据，到2020年底，针对汽车的恶意程序数量已从2011年的约6500万增加到约11亿。Upstream Security在2019年的一项网络黑客安全研究中报告称，自2016年以来，汽车黑客的数量同比增长了94%。

网络安全是整车厂必须解决的关键和紧迫需求，在设计周期的早期就开始解决这一问题是很重要的。虽然汽车行业还没有像其他行业那样受到监管，但随着更多的法规、标准和指导方针的出台，环境正在迅速变化，例如:

• 29日规定UNECE(联合国欧洲经济委员会)发布的新法规规定新车的网络安全管理系统。法规要求原始设备制造商管理网络风险，通过设计保护车辆，检测和响应安全事件，并提供安全可靠的无线软件更新。
• ISO / SAE 21434，计划于2021年发布的新标准，规定了道路车辆系统网络安全风险管理的流程要求。涵盖的流程包括从概念、开发、生产、操作和维护到退役的完整生命周期。
• SAE J3101指定地面车辆应用的硬件保护安全要求。SAE J3101全面介绍了安全功能和相应的用例，以及为满足车辆安全需求而需要支持的应用程序。
• 国家公路交通安全管理局网络安全最佳实践报告建议采用多层汽车网络安全方法。NHSTA主要关注容易受到网络攻击的车辆入口点，比如为人机界面设计的有线和无线连接。

虽然汽车安全至关重要，必须从芯片系统(soc)开始从头开始解决，但也需要以整体的方式将其与安全结合起来。除了ISO 26262功能安全标准所解决的系统性和随机故障外，安全汽车系统还必须能够处理可能发生的不可预测的恶意攻击。从硬件层面使用安全可靠的硬件安全模块(HSM) IP(具有信任根)在汽车soc中设计安全性，将有助于确保联网汽车按预期运行，防止随机和系统故障，并能够抵御恶意攻击。

汽车硬件安全模块，以保护芯片

安全的基础是保护车辆的深度防御策略。每个软件程序的核心是运行它的硬件。为了确保SoC没有被破坏，硬件应该能够在复位后评估自身的完整性。然后，当它被认为是安全的时候，它可以启动网络，最终形成汽车内部的智能，最终与外部世界连接。除了确保SoC安全启动和受到保护外，SoC还需要能够防止随机和系统故障，并满足严格的安全要求。

高度安全的HSM IP，如Synopsys的ASIL B兼容DesignWare root用于汽车的HSM IP(图1)，提供了一个多层面的方法。除了全面的信任根安全解决方案外，ASIL-ready IP还提供了一套汽车文档(安全手册、DFMEA/FMEDA/DFA分析报告、质量手册、开发接口和安全案例报告)和硬件安全机制，以保护SoC免受恶意安全攻击，同时防止随机和系统的安全故障。为了防止恶意攻击和意外错误，IP包括广泛的安全机制，如双核锁步，内存ECC，寄存器EDC，奇偶校验，看门狗，自检比较器，总线和MPU保护，以及双轨逻辑。安全的HSM IP还集成了ASIL兼容的处理器，如ASIL D兼容的低功耗ARC处理器IP，用于运行安全的应用程序和加密处理。

使用HSM的可信执行环境

用于汽车应用的HSM IP必须提供可信执行环境(TEE)，以保护SoC级别的敏感信息和处理。此外，hsm可以提供整个设备生命周期所需的安全关键功能:

• 安全启动验证主机CPU的软件和数据完整性，并用于确保它只执行受信任的固件。HSM验证将在主机处理器上运行的代码库的真实性和完整性。根据身份验证的结果，可以允许主机系统继续启动进程，也可以不允许。除了完整性和真实性之外，安全引导服务还通过可选的固件映像解密支持机密性。
• 安全更新支持基于安全识别和身份验证的现场固件更新，并可选加密。
• 安全认证对于确保与目标设备通信的一个或多个上游和/或下游设备是可信的至关重要。为了确保这种信任，需要一个双方同意的身份验证方案。HSM可以保证各种认证协议的完整性和设备间共享秘密的保密性。
• 安全的调试允许使用安全协议与外部主机进行身份验证，以便在设备上启用本地调试。只有受信任的、经过身份验证的开发人员才允许对系统进行调试访问。
• 安全存储对设备的应用数据进行保护。启用HSM后，HSM将提供一个安全路径来加密和解密存储在非可信位置的应用程序数据，防止攻击者读取或修改数据。
• 密钥管理将密钥材料保存在信任的硬件根中。通过应用层的权限和策略允许和管理密钥的使用。此外，密钥生成、导入和导出由HSM的可信应用程序软件控制，而不需要从系统中的应用程序或其他不太可信的处理器访问密钥。

用于安全汽车芯片的HSM IP

新思科技符合ISO 26262标准的HSM已部署给主要客户，并提供:

• 完全可编程的解决方案为系统提供信任的硬件根源，并以高级安全性保护不断变化的威胁
• 安全机制的ASIL B符合性随机故障和ASIL D符合性的系统
• 可扩展的对称/非对称/哈希/MAC加密加速，从CPU自定义指令，到具有侧通道保护的加密核心
• 采用SecureShield技术的高效低功耗ARC处理器包括用于内存访问权限控制的MPU
• 带有侧通道(DPA保护)的安全外部内存控制器为不可信的外部内存提供机密性和完整性保护，以及运行时篡改检测
• 符合NIST SP800-90c的真随机数生成器(TRNG)
• SoC内用于安全密钥分发的多个安全密钥服务器
• 符合EVITA全/中/轻硬件要求
• 电源、时钟和复位管理
• 软件，包括安全应用程序，如SDK, nist验证加密库，SecureShield运行时库，设备驱动程序和参考设计
• 随开发和制造工具一起交付

图1:用于汽车的DesignWare root HSM。

结论

随着ADAS/自动驾驶、V2X和信息娱乐等领域的更多创新和新应用，联网汽车正在迅速发展。随着越来越多的硬件和软件内容实现了更高程度的自动化，汽车存在许多潜在的安全漏洞，并成为越来越多的网络攻击的目标。为了避免安全方面的弱点，原始设备制造商在芯片层面上同时要求数据保护和安全。汽车系统必须解决高级安全问题，还必须满足功能安全标准，这意味着实现安全功能以确保功能安全不会被篡改。没有安全，就没有安全，反之亦然。安全系统必须能够处理可能产生不可接受行为的不可预知的输入。从硬件层面设计汽车soc的安全性将有助于确保联网汽车按预期运行，能够抵御恶意安全攻击，并能够防止随机和系统的安全故障。

Synopsys在市场上具有独特的定位，具有符合标准的安全可靠的汽车HSM IP，符合最新的技术需求和网络安全指南，使SoC设计人员能够以低风险和快速上市的方式在芯片中快速实现所需的安全性。