本文轉(zhuǎn)自：TechSugar

（本文編譯自Semiconductor Engineering）

汽車正變得越來越智能、復(fù)雜，也更容易遭受到網(wǎng)絡(luò)攻擊。隨著汽車中半導(dǎo)體和軟件數(shù)量的不斷增加，空中更新（OTA）以及與邊緣服務(wù)器和服務(wù)的連接數(shù)量也在不斷增加，這為攻擊增加了多種新的途徑。

要確保車輛的安全，工程師首先需要識別所有可能的連接點。過去，車輛的安全策略中會采用多個ECU，如今汽車制造商越來越依賴單個增強型ECU，因為它可以提高性能和能效。為了彌補冗余度的降低，汽車制造商正在添加數(shù)據(jù)加密和強大的安全I(xiàn)P，并且開始要求更多類型的工程師進(jìn)行一定程度的安全培訓(xùn)。

英飛凌美洲區(qū)汽車市場營銷副總裁Bill Stewart表示：“看看我們產(chǎn)品的應(yīng)用場景。它們用于轉(zhuǎn)向系統(tǒng)、制動系統(tǒng)、動力系統(tǒng)，無論是燃油車（ICE）還是電動車（EV），這些都已經(jīng)是關(guān)鍵任務(wù)系統(tǒng)。即使對于許多ADAS系統(tǒng)，您要采集傳感器數(shù)據(jù)，將其轉(zhuǎn)換為車輛行駛方向的指令，轉(zhuǎn)換為制動或油門信息，這需要真正高質(zhì)量的器件。器件必須具備安全功能，而且安全標(biāo)準(zhǔn)始終在不斷變化?！?/span>

識別攻擊路徑

任何優(yōu)秀的運動隊都知道，制定防御計劃的最佳方法是了解對手的進(jìn)攻計劃。雖然惡意攻擊者不斷推陳出新，但對抗他們的最佳方法是找出系統(tǒng)的薄弱之處。

Cadence計算解決方案部門副總裁David Glasco表示，從嚴(yán)格意義上來說，汽車只有一個直接攻擊路徑——所有軟件更新都通過Wi-Fi上傳。一旦惡意攻擊者突破了這一防線，他們就能找到無數(shù)種方法來破壞系統(tǒng)。

“一旦我能夠進(jìn)入汽車系統(tǒng)，就可以接觸到芯片，”Glasco表示，“黑客可以通過觀察芯片的電磁輻射來嘗試推斷密鑰。如果你還沒有看過對無防護(hù)安全措施的側(cè)信道攻擊演示，那么你就會發(fā)現(xiàn)，如果沒有側(cè)信道保護(hù)，攻擊是多么容易。你不僅要確保擁有信任根，而且這個信任根必須具有所有必要的側(cè)信道防御措施。”

其他人也同意這一觀點。西門子數(shù)字工業(yè)軟件公司混合和虛擬系統(tǒng)副總裁David Fritz表示：“（威脅可能來自）外部的任何事物，這里的外部指的是計算系統(tǒng)本身之外的事物。”他表示，汽車中一種非常規(guī)攻擊途徑是通過大量傳感器，黑客可以利用這些傳感器“將不良數(shù)據(jù)輸入到中央計算系統(tǒng)”?！暗诋?dāng)今的架構(gòu)中，存在一個安全島，所有這些外部輸入都必須經(jīng)過安全島，并在被傳遞到中央計算系統(tǒng)之前，驗證其合法性?！?/span>

這個安全島是ISO/SAE 21434標(biāo)準(zhǔn)所要求的，通常以ECU的形式存在，用于路由數(shù)據(jù)，然后檢測并拒絕不安全的輸入。過去，汽車設(shè)計中通常會部署多個ECU，但最近的趨勢是采用一個計算能力更強的ECU來運行管理程序，而這個管理程序又可以運行多個操作系統(tǒng)。

“你可能有一個安全操作系統(tǒng)來處理關(guān)鍵任務(wù)，然后同一個ECU上還有另一個操作系統(tǒng)，可以將視頻流傳輸給后座的孩子們播放視頻，”Fritz表示，“我們稱之為混合關(guān)鍵性。其中一些任務(wù)可能是關(guān)鍵任務(wù)，有些則不是，但你需要把這些整合在一起。當(dāng)你整合這些功能時，會帶來一些顯著的優(yōu)勢。它減輕了重量，降低了功耗，從而延長了電動汽車的續(xù)航里程。這大大降低了成本。但與此同時，我們會在同一個環(huán)境中運行非關(guān)鍵任務(wù)和關(guān)鍵任務(wù)，因此確保進(jìn)入這個整合后的ECU的數(shù)據(jù)沒有被破壞，或者以某種方式攜帶可能對必須執(zhí)行的關(guān)鍵任務(wù)有害的東西，這一點非常重要。”

ECU可以被視為一個強化網(wǎng)關(guān)，在這個網(wǎng)關(guān)上進(jìn)行加密操作，并且需要進(jìn)一步加強防護(hù)，以防止任何潛在故障，無論是來自人為攻擊還是其他來源。

“我們正在進(jìn)行各種糾錯和加密/解密、公鑰和私鑰等所有常規(guī)的安全措施，但如果硬件本身有辦法繞過該機制，那一切都無濟(jì)于事，”Fritz表示，“要做到這一點，就需要專門設(shè)計具有容錯能力的芯片，因為你不希望僅僅因為電池電量低或其他類似原因而導(dǎo)致安全功能失效?！?/span>

所有安全防護(hù)的核心歸根結(jié)底在于恰當(dāng)且強大的加密技術(shù)。加密算法和軟件會不斷變化，這進(jìn)一步凸顯了對萬無一失的硬件的需求。雖然這在ECU中尤為重要，但車輛內(nèi)的數(shù)據(jù)也可以加密作為一種故障安全措施。例如，英飛凌使用專用的安全處理器，該處理器獨立于同一芯片上的其他組件運行，可以通過加密汽車內(nèi)部的數(shù)據(jù)流充當(dāng)冗余層。

“你必須確保車輛系統(tǒng)從外部和內(nèi)部的安全，我們也在對車內(nèi)的網(wǎng)絡(luò)流量進(jìn)行加密，”Stewart說道，“這主要在我們內(nèi)置硬件安全模塊的微控制器上實現(xiàn)。顯然，這需要大量的密集處理工作。如果你要對每條以太網(wǎng)消息進(jìn)行加密和解密，并且還有雷達(dá)數(shù)據(jù)和攝像頭數(shù)據(jù)，那么這些車輛中就會有大量數(shù)據(jù)在流動。軟件定義汽車（SDV）的最大不同在于硬件和軟件功能的解耦方式。你需要來回傳輸更多數(shù)據(jù)。這對于安全性而言，意味著你需要同時對這些數(shù)據(jù)進(jìn)行加密。在這種情況下，擁有高效的處理器（這些處理器內(nèi)部有隔離區(qū)域，可以在不干擾主處理器的情況下處理所有這些數(shù)據(jù)）就會大有裨益?！?/span>

如今，向整體安全防護(hù)的轉(zhuǎn)變還包括在汽車各系統(tǒng)的IC中安裝信任根?！八鼈冇糜谠谲囕v內(nèi)建立安全網(wǎng)絡(luò)，”新思科技科學(xué)家Mike Borza表示，“這樣一來，車輛的安全性就能得到保障，車輛的身份也能與制造商的網(wǎng)絡(luò)建立關(guān)聯(lián)，這就為你提供了一種對軟件進(jìn)行認(rèn)證和安全更新的方法，但這一切都源于芯片中的硬件信任根。即使我們過渡到所謂的SDV，這種情況也會持續(xù)存在?！?/span>

IP是SDV安全性的關(guān)鍵要素

一些安全關(guān)鍵問題可以在軟件層面解決，但這可能導(dǎo)致比基于硬件的解決方案更多的漏洞。Imagination Technologies產(chǎn)品管理高級總監(jiān)Rob Fisher表示，在GPU中創(chuàng)建虛擬環(huán)境可以帶來更理想的結(jié)果，Imagination最初在手機中使用這種方法，如今已將其拓展至汽車領(lǐng)域。

Fisher表示：“我們在GPU中所做的，是讓非安全關(guān)鍵任務(wù)與安全關(guān)鍵任務(wù)并行運行且互不干擾。本質(zhì)上，我們在GPU中創(chuàng)建了多個相互隔離、無法通信的環(huán)境，我們這樣做是出于安全考量。但在SoC上創(chuàng)建安全環(huán)境的這一策略，還包括對這些環(huán)境進(jìn)行分區(qū)，并設(shè)置權(quán)限等級，以便特權(quán)應(yīng)用程序可以訪問架構(gòu)的不同部分，而運行中的第三方應(yīng)用程序則不具備相同的訪問權(quán)限?！?/span>

在汽車領(lǐng)域，實施此類IP可讓SoC通過執(zhí)行周期分配任務(wù)，從而執(zhí)行一系列操作。例如，這可能是信息娛樂任務(wù)，也可能是與ADAS相關(guān)的任務(wù)。這兩項任務(wù)都將分布在物理上分離的硬件寄存器中。雖然這顯然有助于功能安全，但Fisher指出，它還可以對車輛的網(wǎng)絡(luò)安全產(chǎn)生積極影響。

“擁有多個環(huán)境，這與在CPU結(jié)構(gòu)中設(shè)置不同的權(quán)限等級非常相似，例如，這能讓你為第三方應(yīng)用程序分配非常低的權(quán)限，”他表示，“在我的車?yán)?，我可能會下載一個尋找停車場的新應(yīng)用程序，但我不知道是誰編寫的。我不知道那個編寫者是否以合理、安全的方式開發(fā)了該應(yīng)用。又或者，它可能是一個試圖入侵我汽車的應(yīng)用程序。我希望在SoC中一個高度隔離的區(qū)域內(nèi)運行它，所以我給它分配一個極低的權(quán)限等級，這個權(quán)限等級將不允許它訪問GPU，或者不允許它訪問車輛總線、傳感器總線之類的組件?！?/span>

SDV設(shè)計者需具備安全專業(yè)知識

從功能強大的ECU，到多層冗余設(shè)計，再到安全I(xiàn)P，實現(xiàn)這些安全功能雖會增加成本，但卻是必要的。通常在討論實施安全措施時，會涉及對PPA影響的權(quán)衡，但Cadence的Glasco表示，在SDV的背景下，安全性優(yōu)先于任何其他考量因素。

“Security和Safety同樣重要，”他表示，“Security是終極目標(biāo)，也是首要任務(wù)。如果有人能侵入車輛，他們就能讓你撞向墻壁。所以必須確保安全。你必須擁有非常優(yōu)秀的安全架構(gòu)師，而且必須認(rèn)真考慮威脅路徑。問題在于，有些人整天都在積極尋找新的攻擊路徑?！?/span>

Rambus汽車行業(yè)業(yè)務(wù)開發(fā)總監(jiān)Adiel Bahrouch認(rèn)為，對于任何想要涉足汽車領(lǐng)域的設(shè)計師來說，至少具備一定程度的安全專業(yè)知識是必不可少的。

“我們面對的是一個非常復(fù)雜的系統(tǒng)，而復(fù)雜性是SecuritySafety的敵人，”Bahrouch說道，“我們面對的是一輛全天候與外界相連的汽車，它還會從傳感器收集大量用于ADAS和自動駕駛的數(shù)據(jù)。大量數(shù)據(jù)需要處理，因此Security和Safety變得至關(guān)重要。在設(shè)計中加入Security和Safety功能可能會導(dǎo)致某些系統(tǒng)選擇和系統(tǒng)架構(gòu)選擇?！?/span>

Glasco對此表示贊同。雖然試圖遠(yuǎn)程訪問車輛的攻擊者幾乎肯定要通過ECU，但仍需要多層冗余設(shè)計。

“你必須把它看作一個大系統(tǒng)，”他表示，“你必須把它看作是攻擊者有可能侵入的系統(tǒng)。這遠(yuǎn)不止是安全啟動這么簡單。你必須考慮所有的攻擊途徑，尤其是現(xiàn)在的聯(lián)網(wǎng)汽車、Wi-Fi聯(lián)網(wǎng)汽車和OTA更新。攻擊途徑比以往更多了?！?/span>

這些冗余可以采用硬件安全模塊(HSM)的形式，他們遍布整個汽車系統(tǒng)?？紤]到所有傳入的數(shù)據(jù)最終都要經(jīng)過ECU，這可能看似有些過度，但卻是必要的。

“安全性是一個系統(tǒng)級的決策，”英飛凌的Stewart說道，“你不能說，‘這個部件是安全的，但它周圍的其他部件卻都不安全?！瘏^(qū)域控制器中有一個HSM，制動模塊中有一個，轉(zhuǎn)向模塊中有一個，因為所有這些網(wǎng)絡(luò)流量都必須是安全的?！?/span>

由于汽車的使用壽命可能達(dá)十年以上，因此加強安全性尤為重要。新思科技的Borza指出，在制造時實施的措施必須具備足夠的靈活性，以便執(zhí)行可能在很久之后才會進(jìn)行的更新。

他說：“至少在車輛使用的前十年，需要有持續(xù)更新的計劃。我們必須確保在安全問題出現(xiàn)、被發(fā)現(xiàn)和威脅出現(xiàn)時，能夠及時解決。這涉及到硬件中的信任根與軟件之間的相互配合，以驗證所有的下載內(nèi)容、車輛內(nèi)部各端點之間的所有通信，以及車輛與網(wǎng)絡(luò)本身之間的通信?！?/span>

結(jié)語

網(wǎng)絡(luò)安全對于SDV至關(guān)重要，它要求將汽車視為一個系統(tǒng)，而非孤立組件的集合。過去，汽車通過多個ECU來實現(xiàn)安全防護(hù)，但如今的趨勢是，在汽車最薄弱的環(huán)節(jié)設(shè)置一個強大的ECU，并在汽車的整個生命周期內(nèi)，通過不同的冗余設(shè)計和新的更新來加以補充。

汽車制造商面臨的挑戰(zhàn)在于，要了解這些系統(tǒng)的各個部分在單獨運行以及協(xié)同運行時的表現(xiàn)，這可能意味著，對于汽車設(shè)計的任何一個方面，安全培訓(xùn)都將成為先決條件。未來，汽車只會變得更加復(fù)雜，網(wǎng)絡(luò)安全也正日益被視為每個人的責(zé)任。