新一代MCU如何提升車(chē)聯(lián)網(wǎng)汽車(chē)安全性

　　汽車(chē)高級駕駛輔助系統(ADAS)涉及ABS防抱死制動(dòng)、安全氣囊、剎車(chē)控制、轉向控制、引擎控制、巡航控制、啟停、自動(dòng)泊車(chē)、集成導航(GPS與Gallileo)等等，隨著(zhù)這一系統的被引入，汽車(chē)電子生態(tài)系統正在變得更加互連且更為復雜。但與此同時(shí)，汽車(chē)電子器件也取代了很多的瑣碎功能，如車(chē)燈控制、空調、電動(dòng)車(chē)窗、引擎啟動(dòng)、車(chē)門(mén)開(kāi)啟、可調及加熱座椅等等。

　　一般來(lái)說(shuō)，車(chē)內的每個(gè)功能都由一個(gè)網(wǎng)絡(luò )微控制器(MCU)來(lái)管理，這些MCU使用相同的通信總線(xiàn)來(lái)交換數據與信息，包括面向動(dòng)力傳動(dòng)、底盤(pán)與車(chē)身電子功能的CAN、FlexRay或LIN總線(xiàn)，以及用于娛樂(lè )信息系統的MOST光纖網(wǎng)絡(luò )和以太網(wǎng)。

　　從純粹的機械環(huán)境發(fā)展到復雜的電子環(huán)境，盡管從舒適性以及駕駛員和乘客的主動(dòng)與被動(dòng)安防方面來(lái)看，確實(shí)增加了許多附加價(jià)值，但同時(shí)，由于這些引擎控制單元(ECU)彼此互連，也引發(fā)了隱私與數據可靠性方面的重大安全問(wèn)題。例如，幾十年前，CAN總線(xiàn)的設計初衷并沒(méi)有要求其具有高度的安全性，實(shí)際上，車(chē)內通信總線(xiàn)內部的任何CAN信息都會(huì )發(fā)送給系統的其它組成部分，而且不支持任何授權、鑒別和加密協(xié)議?，F代汽車(chē)使用CAN總線(xiàn)交換數據，用來(lái)開(kāi)啟車(chē)門(mén)和啟動(dòng)引擎，這些信息在車(chē)內的ECU與電子鑰匙內部的ECU之間交換。如果該系統遭到損害，竊賊就能輕易地偷走汽車(chē)，而且“黑客”也可以訪(fǎng)問(wèn)車(chē)內GPS來(lái)查看汽車(chē)常去的地方，從中探知司機在哪里，什么時(shí)候汽車(chē)無(wú)人看管。

　　此外，用于實(shí)現電郵、SMS、視頻流、視頻電話(huà)等互聯(lián)網(wǎng)移動(dòng)功能的藍牙、GPRS或UMTS，也擴大了“黑客”的攻擊面，他們可以通過(guò)遠程訪(fǎng)問(wèn)，侵入任何通信和駕駛系統，或者插入惡意軟件來(lái)竊取各種數據，如汽車(chē)的實(shí)時(shí)位置、經(jīng)常使用的路線(xiàn)和完整的對話(huà)等。

　　車(chē)載硬件安全架構

　　顧名思義，“開(kāi)放系統”是暴露的，它面臨通過(guò)多種方式實(shí)施各類(lèi)攻擊的可能性正在持續增加。汽車(chē)車(chē)身內部與外部通信網(wǎng)絡(luò )的不斷發(fā)展，正在迅速挑戰汽車(chē)電子本身的安全防護能力。

　　迄今為止，由于最普遍使用的傳輸總線(xiàn)CAN的內部弱點(diǎn)，人們一直從軟件應用的角度來(lái)研究“攻擊面”。但現在，行業(yè)內開(kāi)始把注意力轉向硬件架構，以及應該如何“密封”ECU使其難以滲透并避免受到非法操縱，例如未經(jīng)授權的安裝、惡意軟件上載、“木馬”軟件以及虛假升級等，或者至少能夠限制非法訪(fǎng)問(wèn)并留下確鑿的篡改證據。

　　正因為如此，通過(guò)硅器件廠(chǎng)商與一家知名汽車(chē)OEM廠(chǎng)商的合作，開(kāi)發(fā)出了面向汽車(chē)功能的新一代MCU.這類(lèi)四核微控制器利用專(zhuān)門(mén)的安全內核，即HSM(硬件安全模塊)，提供安全與防護功能，HSM內部包含系統安全配置、安全啟動(dòng)、外部訪(fǎng)問(wèn)保護、閃存保護、加密功能和壽命結束保護等。

　　圖1嵌入ECU內部的HSM硬件安全模塊

　　如圖2所示，HSM模塊嵌入在ECU內部，絕對獨立于其它與內存和外設訪(fǎng)問(wèn)相關(guān)的內核，數據和代碼都有專(zhuān)用的閃存扇區，而且嚴格限于預留訪(fǎng)問(wèn)。

　　圖2五種不同階段的安全功能配置

　　配置系統安全性

　　系統安全性配置是在硬件層面保護敏感數據的第一步，在加電之前的重置階段完全控制整個(gè)初始配置，防止非法侵入和擅自篡改。

　　利用設備配置格式(DCF)，硅器件廠(chǎng)商和軟件開(kāi)發(fā)商都可以保留所有初始配置，從而可以在啟動(dòng)階段檢查與擊穿試驗和用戶(hù)擊穿試驗內部DCF相關(guān)的特殊內存地址、ECC(糾錯碼)錯誤以及奇偶校驗誤差。

　　在重置階段，利用各種漸進(jìn)步驟，可以檢查一些安全防護功能。利用這種方式，通過(guò)幾個(gè)參數進(jìn)行交叉檢查控制，就可以阻止以多種手段修改特殊內存地址的企圖，或者強行改變啟動(dòng)以加載新的惡意固件的企圖。

　　硬件架構規則基于預先定義的設備功能狀態(tài)。安全設計人員提供出幾種安全級別，以便軟件開(kāi)發(fā)者在最終實(shí)現其應用時(shí)擁有較高的自由度。實(shí)際上，一些層級較低的軟件應用經(jīng)?？梢越唤o第三方開(kāi)發(fā)，然后設計和實(shí)施遞增的、不可逆的保護，滿(mǎn)足不同開(kāi)發(fā)者提出的要求。此外，多數安全機制在激活時(shí)要考慮設備的壽命周期(DLC)情況。硅器件廠(chǎng)商與軟件開(kāi)發(fā)者可以建立五種可能的遞增與不可逆配置，以便實(shí)現針對侵入與操縱攻擊的反制措施。

　　對于每一個(gè)階段來(lái)說(shuō)，安全等級都會(huì )得到提升，而且不能撤銷(xiāo)。從第二級開(kāi)始，在客戶(hù)交付階段，這個(gè)非常有限的安全機制為軟件開(kāi)發(fā)階段提供了最大的自由度，而在現場(chǎng)設備階段則開(kāi)啟完整的各種安全防護功能。

　　通常，在JDP生產(chǎn)階段至客戶(hù)交付階段的過(guò)渡階段，設備從原始生產(chǎn)商手中轉移到第一個(gè)軟件開(kāi)發(fā)者手中，后者把MCU整合到更加復雜的系統之中。從客戶(hù)交付階段到OEM生產(chǎn)階段，第三方為了保護自己的知識產(chǎn)權，一般會(huì )為設備開(kāi)發(fā)最后的軟件應用程序。最終，到達現場(chǎng)設備階段，需要在嵌入汽車(chē)的最終應用里面采取一系列控制與不可撤銷(xiāo)的保護措施，來(lái)滿(mǎn)足OEM廠(chǎng)商以及系統開(kāi)發(fā)者和汽車(chē)制造商的要求。“故障分析”是最后的設備生產(chǎn)階段，用于測試的是被退回到工廠(chǎng)的設備系統，因此在這一過(guò)程中，一些相關(guān)安全保護功能將被停用，避免MCU因壽命周期保護而被認定為失效。