嵌入式信任根和可追溯性在深度防御策略中至关重要,以减轻安全风险。
现代汽车是越来越多的连接设备,电子系统的数量越来越多。这种系统复杂性意味着,即使是一辆普通的汽车设计也将包含超过150个ecu,它们不仅控制信息娱乐和通信,还控制动力系统、安全和驾驶系统(图1)。我们不仅看到电子硬件的数量和复杂性在激增,而且软件也在激增。新汽车大约有1亿行代码,而且这个数字还在快速增长。
为了确保这些复杂系统的正确和安全运行,设计人员必须建立功能监控,以确保功能安全、预期功能的安全性和安全问题。信任根(RoT)和芯片内部的其他分层安全机制确保芯片在制造、供应链或现场使用过程中不会受到损害。
图1:车辆有很多电子硬件和软件。
然而,汽车设备中的硬件和软件也需要在设备的生命周期中进行更新。例如,在汽车行业,软件错误是大量且不断增加的召回原因,约占召回总数的46%。
我们都非常习惯更新,不仅是台式机,还有手机、电视,甚至家用电器。目前,只有约2200万辆汽车具备无线或OTA更新功能。到2025年,这一数字预计将增长到2.5亿辆以上。IHS Markit估计到2025年,OTA更新将为OEM节省609亿美元的总成本。
无线连接和远程更新车辆的优势伴随着网络安全风险。新的UNECE(联合国欧洲经济委员会)法规R155(也称为WP.29/GRVA/79)将于今年生效,这是一个有意识的举措,将汽车网络安全视为一个实体,并确保原始设备制造商承担汽车网络安全的法律责任。事实上,它要求汽车OEM在汽车整个生命周期内独自负责汽车的网络安全。UNECE法规的方法与ISO现有和正在制定的标准(26262[功能安全]和21434[网络安全])保持密切一致。
不遵守联合国欧洲经委会R155规定有两个明显的财务后果:
整车厂必须立即开始向合规转型,包括已经投产的车型,以最大限度地减少潜在的财务影响。R155(或WP.29/GRVA/79)明确指出,软件安全过程是任何设计中固有的,并扩展到软件更新。这意味着研发中的车辆,甚至已经上路的车辆,都应该对其系统进行“升级”,以符合这些标准。
复杂汽车系统中的soc必须始终意识到系统面临的威胁和变化,并能够接收软件更新和安全补丁,以领先于安全威胁并符合不断变化的监管要求。
采用智能嵌入式分析设计的汽车应用硅将受益于产品开发中的验证和验证。但是,相同的嵌入式分析IP提供了强大的监控功能,可以发现系统和随机错误,提供了新的安全功能,并允许现场系统健康监控和先进的网络安全取证。
设计人员可以使用Tessent Embedded Analytics半导体知识产权(SIP)将智能自分析功能集成到当今汽车电子核心的soc中。
今年设计的汽车需要配备最新的系统,并可以在2030年代进行升级,预计OTA系统将持续支持至少15年。这意味着,如今设计到汽车系统中的SoC必须能够抵御来自黑客的威胁,绝对最低限度地改变安全和安全要求。嵌入式分析基础设施有助于监控可能危及生命的车辆系统威胁的变化。
不断变化的威胁和设计要求意味着管理汽车设计的行业标准也在不断变化和发展,随着威胁和汽车系统本身的变化,这些标准也在不断升级。
这让我们想到了“纵深防御”的问题,这是一种通过将威胁和安全解决方案视为多维度来交付安全控制系统的战略。为今天的威胁辩护是一回事,但谁知道未来会发生什么呢?我们今天需要部署尽可能多的威胁预防、检测和响应措施,尽我们最大的努力保护我们自己免受明天未知威胁的影响。纵深防御方法迫使你从整体上看待车辆生产和使用的各个方面,并尽可能多地使用不同的技术(图2)。
图2:系统全生命周期安全性与完整性纵深防御策略。来源:西门子
通过芯片内部的信任根(RoT)和其他安全机制,可以确保芯片在制造、供应链或现场使用过程中不受损害。在OTA更新中,只有经过授权且“合适”的软件才能移植到汽车系统中,因此必须有一个嵌入硬件的信任根。为了确保oem实施OTA的最高安全标准,UNECE定义了R156(软件更新流程和管理系统),目前正在开发中,该系统还伴随着ISO24089。
嵌入式分析允许soc在位级上确认合规性、安全性和适用性,以匹配正在使用的硬件配置。可追溯性在这里是基本的:跟踪任何软件的构建,通过完整的软件身份验证和加密实现,以确保适当地交付有效负载。
在设计层面,通过架构SoC来集成传感器、安全性和芯片标识符的IP,并将此类IP与DFT IP一起插入设计流程,SoC供应商可以为可信和安全的硅生命周期管理建立硬件支持基础。
从根本上说,可追溯性需要包含在硬件设计中,每个芯片都被授予唯一和永久的标识符,以便现场供应、数据收集、监控和管理,包括OTA,都可以链接到特定芯片的历史和生命周期数据(图3)。可追溯性和信任标识符的根是在芯片级别建立的,但“设备标识符”可以包含许多芯片特定的标识符。
图3:硅生命周期管理建立可追溯性。
光有硬件支持是不够的。软件芯片到云基础设施平台、开放api和标准将通过安全SoC数据访问实现SoC嵌入式分析,以监控和管理供应链和现场的芯片数量。如果soc的架构能够支持各种各样的用例,包括制造过程中的大规模零接触注册、供应链的可追溯性、云上电以及最终通过空中监控和管理汽车设备,那么软件芯片到云的基础设施可以通过与PLM和云服务提供商合作而发展。为了让合作伙伴关系创造价值,芯片供应商应该专注于从终端应用中收集需求,并将其作为下一代soc的战略基础。有关作为安全硅生命周期管理策略一部分的信任根的详细信息,请参见我之前的文章.
当然,安全性重要的不仅仅是更新软件的部署。一旦我们实施了这些先进的安全和监控技术,我们从soc收集的数据就非常有价值。这意味着从车辆/设备收集和存储数据是至关重要的。业内有很多关于收集数据类型的讨论,以及如何确保这些数据与可能从车辆上收集的任何个人数据完全分开。
凭借现有的技术,我们能够应对围绕OTA更新和法规的许多挑战,从高级应用程序和数据管理到硅级威胁监控IP。
|
|
|
|
|
|
|
|
留下回复