識別和降低系統級風(fēng)險，確保連接汽車(chē)的安全

作者/ Prem Kumar Arora 美高森美公司SoC產(chǎn)品營(yíng)銷(xiāo)總監

摘要：自動(dòng)駕駛作為汽車(chē)工業(yè)發(fā)展的又一方向，ADAS、V2V、V2X等相關(guān)技術(shù)已經(jīng)得到了一定的發(fā)展，但是，自動(dòng)駕駛的安全問(wèn)題仍然未能完全解決。本文針對V2X網(wǎng)絡(luò )安全問(wèn)題，介紹了硅IC生物簽名和公鑰基礎設施(PKI)系統兩種解決方法。

引言

　　100多年以來(lái)，汽車(chē)工業(yè)一直是經(jīng)濟增長(cháng)的推動(dòng)力。汽車(chē)工業(yè)連續開(kāi)展技術(shù)變革，讓汽車(chē)成為安全、舒適和高效的交通形式。但是，到目前為止，這些都只是一點(diǎn)一點(diǎn)增加和演變，而不是革命性地大變化。隨著(zhù)自動(dòng)駕駛汽車(chē)的出現，我們才站到了革命性變化的前沿。引領(lǐng)這種變革但不損失安全，需要從設計階段到IC層面都更密切地關(guān)注系統級風(fēng)險及其減緩措施。

自動(dòng)駕駛面臨的挑戰

　　隨著(zhù)這些技術(shù)的成熟，成功部署最重要的因素將是可靠性和現場(chǎng)性。汽車(chē)電子系統的歷史記錄，特別是最近的記錄問(wèn)題重重。我們已經(jīng)了解了電子訪(fǎng)問(wèn)控制系統的脆弱性，以及自加速汽車(chē)造成傷亡的事件。兩名“道德”黑客因演示遠程訪(fǎng)問(wèn)的脆弱性，成功控制大切諾基吉普并使其失控而登上了新聞頭條。這些事件暴露了自動(dòng)駕駛潛在的挑戰。

　　最常見(jiàn)的三個(gè)威脅領(lǐng)域是：

　　1)車(chē)對車(chē)和車(chē)對基礎設施通信;

　　2)使用可移動(dòng)設備，U盤(pán)或MP3設備;

　　3)售后和工作站/診斷。

　　安全挑戰隨著(zhù)與外部世界連接的每個(gè)節點(diǎn)而提升。作為V2V網(wǎng)絡(luò )的一部分，在連接的汽車(chē)中，有幾個(gè)這樣的節點(diǎn)與互聯(lián)網(wǎng)連接，或與另一臺汽車(chē)對話(huà)。在這些汽車(chē)中，必須確保與外界的通信源自經(jīng)驗證的來(lái)源，并且在傳輸時(shí)未被更改。

　　為了確保安全，將要求設計人員從底層硬件開(kāi)始，通常需要解決以下問(wèn)題：

　　1)硬件完整性，預防/檢測硬件篡改;

　　2)車(chē)內軟件和數據的完整性和真實(shí)性，任何車(chē)輛軟件未經(jīng)授權的更改必須不可行/可檢測;

　　3)車(chē)內通信的完整性和真實(shí)性，接收器必須能夠檢測出未經(jīng)授權的數據更改;

　　4)車(chē)內通信和數據的保密性，未經(jīng)授權的保密數據傳輸或保存必須不可行;

　　5)向其它(遠程)實(shí)體證明平臺完整性和真實(shí)性，證明其平臺配置的完整性和真實(shí)性的能力;

　　6)車(chē)內數據和資源的訪(fǎng)問(wèn)控制，實(shí)現利用性和良好定義的訪(fǎng)問(wèn)。

　　挑戰歸納為三個(gè)主要方面：1)安全硬件，底層硬件非常安全，無(wú)法篡改，能夠形成信任根;2)設計安全，硬件上實(shí)施的設計是安全的，無(wú)法被篡改;3)數據安全，所有數據通信類(lèi)型都安全可靠。

　　確保系統安全從確保硬件安全開(kāi)始。安全受信任的硬件構成了安全系統的基礎，它提供了必要的構件，用于驗證和授權通信、行動(dòng)等，對任何系統都是如此，但是，對V2X系統來(lái)說(shuō)尤其重要。

確保V2X安全

　　為了實(shí)現可靠的V2V/V2I通信，必須確保通信來(lái)自已知來(lái)源，且在傳輸過(guò)程中未被更改。

　　為了證明真實(shí)性，信息發(fā)送者必須向接收者提供能夠驗證的某些識別形式，以確認信息來(lái)自正確的來(lái)源。這可以采用對稱(chēng)或不對稱(chēng)加密技術(shù)實(shí)現。

　　對V2X網(wǎng)絡(luò )來(lái)說(shuō)，由于網(wǎng)絡(luò )的復雜性和規模，通常不能使用對稱(chēng)加密，而是采用不對稱(chēng)加密，提供可擴展的方法，連接網(wǎng)絡(luò )可能需要的許多節點(diǎn)。為了實(shí)現這一點(diǎn)，每個(gè)節點(diǎn)采用私鑰，對傳輸的每個(gè)信息簽署數字簽名。接收器采用傳輸給所有接收節點(diǎn)的相關(guān)公鑰，對這種數字簽名進(jìn)行驗證。除擴展性比對稱(chēng)加密方案好以外，采用這種方法，出錯節點(diǎn)的更換也更容易。

　　但是這種方法帶來(lái)了另一個(gè)問(wèn)題：如何確保每個(gè)節點(diǎn)使用的私鑰和公鑰是真實(shí)且未被篡改的?

　　問(wèn)題第一部分的最佳可能解決方案，是采用以每個(gè)器件制造工藝中微小的物理變化為基礎的硅IC生物簽名。這些工藝變化永遠不可能相同，無(wú)法被克隆，也沒(méi)有兩個(gè)IC具有相同的工藝變化，從而為每個(gè)器件提供了唯一的簽名。這種簽名被稱(chēng)為物理不可克隆功能(PUF)。除不可克隆之外，基于PUF的密鑰通常是在原子級別實(shí)現的，還很難被黑客提取。IC可以基于幾種物理因素定義的PUF，如存儲元件、邏輯延遲和電阻?；赟RAM的IC利用SRAM單元唯一的隨機啟動(dòng)狀態(tài)產(chǎn)生私鑰，由于該單元的狀態(tài)在關(guān)機時(shí)被擦除，因此更為安全。

　　問(wèn)題的第二部分可通過(guò)公鑰基礎設施(PKI)解決。PKI是創(chuàng )建、儲存和分配數字證書(shū)的系統，該數字證書(shū)用于驗證特定公鑰屬于某一實(shí)體。PKI創(chuàng )建映射實(shí)體公鑰的數字證書(shū)，將這些證書(shū)安全地儲存在中央儲存庫內，不需要時(shí)將它們廢除。

　　在PKI系統中，認證機構(CA)利用自己的私鑰對其公鑰簽署數字簽名，對所有節點(diǎn)進(jìn)行認證。最常見(jiàn)的公鑰認證格式是X.509。當一個(gè)設備傳輸用其私鑰簽署數字簽名信息時(shí)，該信息可采用該設備的公鑰驗證。該設備還可以將其X.509證書(shū)發(fā)送給接收其信息的所有節點(diǎn)，使得它們都擁有其公鑰。X.509證書(shū)，包括設備的公鑰，也都可以采用CA事先放在所有節點(diǎn)且本質(zhì)受信任的公鑰在接收器處進(jìn)行驗證。采用這種方案，由于發(fā)射器采用的簽名可以由接收器驗證，因此，可以建立經(jīng)過(guò)證明、基于證書(shū)的分級信任鏈。這種方案還確保容易檢測出假冒設備。

　　本文來(lái)源于《電子產(chǎn)品世界》2017年第5期第23頁(yè)，歡迎您寫(xiě)論文時(shí)引用，并注明出處。