最大限度减少联网汽车的安全漏洞应从硅开始

Synopsys 首席 IP 安全技术专家 Mike Borza

IHS Markit 预测,到 2023 年将有超过 7000 万辆联网汽车上路。随着联网汽车市场的增长,网络安全威胁的风险也在增加。作为应对,汽车 IC 设计人员和 OEM 必须采用新工艺和新技术来构建汽车软件和系统的安全性。

车载电子设备也变得日益复杂。图 1 显示了豪华汽车的示意图。该车采用 FlexRay 协议,用于执行器等安全关键解决方案。连接增多就会带来多种网络拓扑,而这些拓扑可能是安全的,也可能不安全。由于它们都是相互交织和相互联系的,因此接入车载电子设备的任何连接都可能成为黑客的攻击点。例如,干扰 RFID 信号可以禁用防盗装置,使得能够盗取车辆。拦截 V2X 或 VSRC 可以打开车辆之间的通信通道,进而攻击或监视用户。看似无害的接口可以提供进入车辆的方式,因此务必要从硅片层面开始保护汽车。 

图 1:网络拓扑增多产生更多潜在的攻击点 

(来源:IHS 市场网络研讨会,"安全和联网汽车") 

硅奠定防御基础

安全的基础是保护车辆的深度防御策略。每个软件程序的核心都是它运行的硬件。软件应该能够在重置时评估其自身的完整性,确保 IC 没有受到损害。然后,确定安全之后,它可以调出最终形成汽车内部智能的网络,最后实现与外部世界的连接。IC 设计人员必须在这些系统重置后,通过确保信任、安全性和完整性的方式集成它们,保证向制造商供货时符合他们的预期。

网络安全

除具体的汽车之外,还必须对远程实体进行识别和身份验证,才能将车辆与之连接。例如,消息验证可确保无线消息仅向预定位置发送,并且仅由授权的系统解读。通过车辆服务网络或制造商网络等远程实体提供经过身份验证的安全通道,可实现更快的无线软件和固件更新。在车队运营中,运营商网络可以安全地协调多辆车的活动。随着物联网 (IoT) 在汽车应用中的发展,车辆可连接车主的电话和智能家居系统,用于车辆监控,防盗恢复和跟踪等各种用途。所有网络连接都为黑客提供了潜在的机会。

为了帮助设计人员完成这项艰巨的任务,Synopsys 提供了tRoot 硬件安全模块 (HSM) 。它可以在芯片层面嵌入汽车电子计算机单元 (ECU) 处理器,从芯片的核心(即信任根)提供安全性。如图 2 所示,tRoot 基于硬件层提供一组非常简单的服务,如非对称加密、对称加密、真随机数生成器、存储器保护和一次编程 (OTP) 非易失性存储器 (NVM)。

图 2:DesignWare tRoot HSM 为安全系统奠定基础

安全原语层显示在该 tRoot 处理器上运行的服务,包括安全存储、硬件密钥阶梯(支持设计人员为平台构建信任链)和平台完整性(使系统退出重启并确保软件符合预期)。调试和 JTAG 服务支持设计人员在这些平台上开发软件,并在开发阶段完成后关闭该渠道。

前两层向主机提供了各种服务。IC 本身有一个主处理器,该处理器常常会像对称的多处理器一样复杂,可在非常标准的固件上运行。例如,信息娱乐系统可以运行专为 Autosar 开发的 Linux 系统,或者 Wind River 或 Unix 等公司供应的其他产品。tRoot HSM 使主处理器的安全服务能够先在车辆内部,最后再到外部设备上执行各种通信。 

硬件:信任根的基础

图 3 显示的一个高级 ECU IC,其硬件安全模块可能包括多个协议加速器或其他加密单元,用于为网络安全等程序提供特定功能。内置于芯片的非易失性存储器 (NVM) 用于存储密钥。控制逻辑和传感逻辑在芯片内执行入侵检测,以发现试图绕过芯片安全功能的操作。信任根安全地将主机 CPU 置于根集之外,用于初始化系统中的内存控制器、网络和其他子系统,从而启动并运行它们。

图 3:tRoot 硬件安全模块启用的带有硬件安全区的 ECU IC

一旦 ECU 运行,信任根帮助 IC 通过可信通道连接到车辆周围的其他设备,最终到达在云端或车辆所在路边网络中运行的系统。 

主机软件安全

主机软件安全功能解决主机启动后发生的问题。安全启动通常分为两个阶段。首先,HSM 使芯片退出重启,对主机软件进行初始引导加载程序验证,然后在验证引导加载程序后将控制权移交给主机软件。然后,主机本身使用其他可用服务。它可以回调 HSM 以执行非对称加密操作,从而验证为任务模式操作系统安装的软件是否正常工作。

信任、身份验证和硬件强制将一个模块的功能与其他模块分离,以确保访问和操作车辆的物理和网络安全。

硬件信任根为 SoC 提供独一无二的标识

设计人员面对日益复杂的情况,必须维持对系统的控制,因而他们会使用基于独立安全区处理器的可信执行环境 (TEE)(图 4)。TEE 提供的安全服务可在系统其余部分建立信任。将安全处理功能与系统中的其他处理活动分开,使得安全区域能够在非常小且经过严格控制的环境中运行安全协议。 

图 4:tRoot HSM 是可信执行环境的基础 

DesignWare tRoot HSM 提供了安全地创建、存储和管理机密的机会,并且由于不同的系统在重置后需要进行身份验证,因此又将信任范围扩展到其他内部和外部实体。tRoot HSM 降低了设计人员管理自身安全标准的要求。设计人员可以借助 Synopsys 产品开发团队的专业知识,使用 Synopsys 的硬件安全 IP 构建他们的设计,而不是构建自己的安全解决方案。

为了增强安全性,tRoot 包含多阶段安全引导程序,用于支持验证软件和数据完整性、安全身份验证、安全更新、安全存储和安全调试,从而提供设备自我管理和密钥管理,以及为基于主机的应用提供必须在 ECU 上运行的服务的加密编程接口(图 5)。密码加速也适用于需要高性能加密的系统。

图 5:DesignWare tRoot HSM 框图

DesignWare tRoot HSM 的功能包括一个代码精简的小型 CPU、一个为该处理器安全隔离的限量内部 RAM,以及一个用于 ECU 的外部存储器,作为 tRoot 中可信内存的安全指令控制器和安全数据控制器 。它们提供加密机密性和内存内容的验证。这些使得 tRoot 可以检测到外部实体(如流氓程序)何时试图篡改或替换内存,或导致它错过执行或执行不正确的指令。tRoot 检测到意外活动时,它会转换为安全状态。

tRoot HSM 包括在模块内部构建的随机数生成器,使得随机数生成器与系统完全隔离,并且不能由外部程序篡改。

tRoot HSM 还包括通过 UART 进行通信的接口,用于检测和响应系统级干扰,包括芯片的过压和欠压以及过频和欠频操作。设备标识接口导入存储在一次性编程存储器中的密钥,主机端口接口用来与主机处理器通信。

安全是确保汽车质量和安全的关键。汽车系统必须符合功能安全标准,因而必须实施安全功能以确保功能安全不会被篡改。没有安全功能,安全性或可靠性就无从谈起。因此汽车制造商正在采用更全面的方法来实现功能安全性和安全保障。安全系统必须能够处理意外输入,避免不可接受的行为。在硬件级别为汽车 SoC 设计安全性将有助于确保联网汽车的行为符合预期,并能够抵御攻击。

 

如需更多信息: