如何安全實(shí)現車(chē)載網(wǎng)絡(luò )通信?

當我告訴人們我從事專(zhuān)注于汽車(chē)安全的半導體行業(yè)時(shí)，他們通常認為一定會(huì )涉及汽車(chē)報警和車(chē)鑰匙。盡管汽車(chē)盜竊仍是一個(gè)合理的擔憂(yōu)，但與內部電子控制單元（ECU）及其車(chē)內外通信相關(guān)的安全威脅明顯更大。在今年銷(xiāo)售的所有新車(chē)中，大約有50%的車(chē)輛支持聯(lián)網(wǎng)功能，很多人估計到2030年，這一數字將達到95%左右。這些連接通過(guò)Bluetooth^?、USB、LTE、5G和Wi-Fi^?等實(shí)現，可為消費者提供諸多便利，但由于受攻擊面顯著(zhù)增加，黑客也同樣感到興奮。在Google上快速搜索黑客攻擊汽車(chē)的主題，將搜索到無(wú)數個(gè)實(shí)際安全漏洞，這些漏洞會(huì )引起費用高昂的召回、訴訟，并導致品牌聲譽(yù)受損。事實(shí)上，軟件容易出現漏洞，而這些漏洞會(huì )被黑客利用?？梢酝ㄟ^(guò)很多做法最大程度地減少漏洞并在檢測到漏洞后采取糾正措施；但是，只要人們編寫(xiě)新代碼，就會(huì )引入新漏洞。

入侵汽車(chē)控制器局域網(wǎng)（CAN總線(xiàn)）是黑客的共同目標。在之前的一些黑客攻擊中，黑客能夠先后利用藍牙及汽車(chē)操作系統中的漏洞通過(guò)CAN總線(xiàn)遠程篡改報文?，F代汽車(chē)可能擁有多達100個(gè)ECU，其中很多安全關(guān)鍵型ECU通過(guò)總線(xiàn)通信。CAN總線(xiàn)具有諸多優(yōu)點(diǎn)。它使用一種低成本、極其穩健且相對不易受到電子干擾的簡(jiǎn)單協(xié)議，因此是安全關(guān)鍵型節點(diǎn)彼此通信的可靠選擇。缺點(diǎn)在于，數十年來(lái)，這項協(xié)議一直沒(méi)有任何安全措施，這意味著(zhù)黑客一旦成功入侵，他們便能發(fā)送偽造的報文，導致車(chē)載通信遭到嚴重破壞。例如，開(kāi)/關(guān)雨刷、關(guān)閉頭燈、通過(guò)操縱音頻分散司機注意力、生成虛假儀表板報警、顯示錯誤的速度、移動(dòng)座椅甚至將車(chē)駛離道路。好消息是，隨著(zhù)CAN FD的出現，報文有效負載中預留了額外的字節來(lái)存儲報文驗證代碼（MAC），可用于以加密方式驗證報文的真實(shí)性，濾除所有偽造的報文，從而提高安全性。有兩種MAC可供選擇：基于哈希算法的HMAC或基于A(yíng)ES對稱(chēng)密鑰分組密碼的CMAC。絕大多數情況下實(shí)現的都是CMAC。

OEM一直忙于更新其網(wǎng)絡(luò )安全規范以應對發(fā)生的所有黑客攻擊。幾乎所有OEM都需要升級安全關(guān)鍵型ECU來(lái)實(shí)現其全新網(wǎng)絡(luò )安全要求，其中一些OEM需要升級全部聯(lián)網(wǎng)ECU?；A安全模塊用于實(shí)現涉及加密驗證的安全引導：主機控制器上運行的引導和應用程序代碼保持不變，在上電和復位時(shí)處于可信狀態(tài)，并且通常在引導后按照規定的頻率重復執行。緊隨其后的要求是支持安全固件更新?；仡櫼幌?，所有軟件都會(huì )產(chǎn)生漏洞；因此，通常需要創(chuàng )建可現場(chǎng)應用的固件漏洞補丁。此外，這些固件更新還需要加密安全實(shí)現，它們通常需要使用對稱(chēng)（AES）密鑰對傳入固件有效負載進(jìn)行加密并使用非對稱(chēng)私鑰對其進(jìn)行簽名，最常見(jiàn)的私鑰是橢圓曲線(xiàn)加密（ECC）。這樣一來(lái)，向主機控制器提供升級映像時(shí)，在通過(guò)控制器中嵌入的ECC公鑰驗證有效負載的簽名前，不會(huì )執行任何操作。完成簽名驗證后，即可解密映像，控制器固件通過(guò)漏洞補丁或功能增強進(jìn)行升級。安全演變之路上增加的第三項措施是上述報文驗證。

電動(dòng)汽車(chē)領(lǐng)域的獨特之處在于對電池驗證的需求不斷增加。大多數電池組都在較大的電池組內部設計了可更換的電池模塊，因此當其中一個(gè)模塊發(fā)生故障時(shí)，只需更換該故障模塊，無(wú)需更換整個(gè)電池組或處理性能不佳的電池組。設計不佳的模塊可能成為安全隱患，導致車(chē)輛起火；因此，OEM必須加強生態(tài)系統管理，這意味著(zhù)每個(gè)模塊都必須以加密方式進(jìn)行驗證，確保模塊制造經(jīng)審查通過(guò)OEM認證，之后模塊才能在電池組中正常工作。不引發(fā)火災但性能欠佳的模塊會(huì )損害OEM品牌聲譽(yù)，從而引起負面新聞和收入損失。這是對模塊制造商的來(lái)源進(jìn)行加密驗證的另一個(gè)原因。

對一個(gè)模塊進(jìn)行加密驗證意味著(zhù)什么？加密驗證的實(shí)現方式是使用客戶(hù)特定的x.509證書(shū)鏈以及基于惟一ECC密鑰對的惟一設備級證書(shū)設置用于配置器件的客戶(hù)特定簽名密鑰。配置好的器件安裝在每個(gè)電池模塊上。當電池組中更換某個(gè)電池模塊時(shí)，電池管理系統（BMS）（也稱(chēng)為電池網(wǎng)關(guān)）將向模塊詢(xún)問(wèn)其惟一X.509證書(shū)，并一直驗證簽名鏈直至可信根。完成簽名驗證后，使用相關(guān)私鑰進(jìn)行簽名的模塊面臨一項挑戰，即在不通過(guò)總線(xiàn)發(fā)送的情況下（某些情況下通過(guò)RF發(fā)送）證明已獲知機密信息。模塊級用例到此為止。在BMS內，OEM通常需要更復雜的用例。由于BMS/網(wǎng)關(guān)是連通外界、向云端提供例行電池健康狀態(tài)報告的通信點(diǎn)，因此安全用例擴展為包含安全引導、安全固件更新和傳輸層安全（TLS），以便與云端建立安全的通信通道。

此處探討的所有安全實(shí)現都需要安全密鑰存儲，而此類(lèi)存儲只能通過(guò)真正的硬件安全實(shí)現。通過(guò)微型探測、故障注入、電磁邊信道攻擊、溫度/循環(huán)上電/電源毛刺和時(shí)序攻擊等執行一些標準攻擊，即可輕松從標準單片機，甚至許多所謂的“安全單片機”中提取密鑰。因此，選擇合適的器件來(lái)執行加密重任，防止密鑰遭受此類(lèi)攻擊至關(guān)重要。專(zhuān)用安全器件提供各種架構并被不同的術(shù)語(yǔ)引用，例如片上和外部硬件安全模塊（HSM）、安全元件、安全存儲子系統、密鑰庫和智能卡等。這些器件必須包含針對上述攻擊的防篡改功能以保護其安全存儲器中的密鑰。

但是，一級供應商或OEM如何驗證實(shí)現的安全性足夠出色？安全元件供應商證明其安全價(jià)值的最佳方法是將器件提交給第三方進(jìn)行漏洞評估。第三方應獲得北美認可的美國國家標準及技術(shù)研究所（NIST）、德國認可的聯(lián)邦信息安全局（BSI）或全球認可的信息系統安全高級官方合作組織（SOGIS）等可信機構的認證。SOGIS認可的實(shí)驗室采用全球公認的聯(lián)合解析庫（JIL）漏洞評分系統，這套系統需要“白箱”評估，即提交IC的供應商必須提供有關(guān)器件設計（數據流、子系統和存儲器映射定義）、硬件和固件啟動(dòng)序列、安全保護機制說(shuō)明、完整數據手冊、安全和自舉程序指南文檔、所有可用代碼（RTL和C級、加密庫和固件）、算法實(shí)現、編程腳本、通信協(xié)議、芯片布局以及源代碼的實(shí)驗室文檔。實(shí)驗室隨后將查看所有文檔，制定針對所提交樣片的攻擊計劃。評分系統根據提取機密信息密鑰花費的時(shí)長(cháng)、所需的專(zhuān)業(yè)知識水平（應屆畢業(yè)生一直到專(zhuān)家）、對評估對象（TOE）的了解、對TOE的訪(fǎng)問(wèn)（執行一次成功攻擊需要的樣片數）、黑客攻擊設備的復雜程度和成本以及訪(fǎng)問(wèn)樣片的難易程度進(jìn)行打分。得到的JIL評分依次為無(wú)評級、“基本”、“增強基本”、“中等”和“高”，其中“高”評級是能夠實(shí)現的最高評分。JIL“高”評級以下表示實(shí)驗室能夠從器件提取私鑰。獲得JIL“高”評級的Microchip CryptoAutomotive? TrustAnchor100（TA100）外部HSM等器件能夠承受超過(guò)3個(gè)月的攻擊，達到這一時(shí)間后，實(shí)驗室將宣布器件遭到的攻擊“無(wú)效”。

片上還是片外，這是個(gè)問(wèn)題。通過(guò)32位雙核MCU等片上解決方案升級前一代ECU的成本高昂，而在OEM要求實(shí)現真正的安全之前，標準MCU即可完全滿(mǎn)足前一代ECU的要求。如果要求完全重新構建應用程序代碼，這些片上解決方案還會(huì )顯著(zhù)推遲上市時(shí)間。內部開(kāi)發(fā)安全代碼需要承擔極高的風(fēng)險，而交給第三方處理則要支付高昂的費用。此外，一級供應商也很難將此類(lèi)解決方案大量應用于多種類(lèi)型的ECU，因為每種類(lèi)型都有不同的性能和外設要求。在這種背景下，外部HMS或配套安全元件能夠幫助一級供應商極大地減輕安全升級負擔。它們可以添加到現有設計中的標準MCU旁邊，也可以集成到具有不同主機MCU要求的所有新設計中。TA100等外部HSM預先配置了全部安全代碼、密鑰和證書(shū)，可顯著(zhù)縮短上市時(shí)間。給定與MCU無(wú)關(guān)的相關(guān)加密庫后，便可輕松移植到任何MCU。外部HSM可降低風(fēng)險、縮短上市時(shí)間及減少總成本，為一級供應商提供了一條領(lǐng)先于完全重構方案的競爭對手、獲得商業(yè)成功的捷徑。

由于當今很多車(chē)輛支持聯(lián)網(wǎng)功能且車(chē)載網(wǎng)絡(luò )通信量很大，因此對車(chē)輛安全的需求明顯遠超車(chē)輛報警。由于安全和品牌聲譽(yù)不容有失，因此在升級ECU時(shí)，請務(wù)必選擇經(jīng)過(guò)第三方審查的真正安全器件，以滿(mǎn)足眾多全新OEM網(wǎng)絡(luò )安全規范、SAE、ISO標準和地方政府的安全要求。