識別和降低系統(tǒng)級風(fēng)險，確保連接汽車的安全

作者/ Prem Kumar Arora 美高森美公司SoC產(chǎn)品營銷總監(jiān)

摘要：自動駕駛作為汽車工業(yè)發(fā)展的又一方向，ADAS、V2V、V2X等相關(guān)技術(shù)已經(jīng)得到了一定的發(fā)展，但是，自動駕駛的安全問題仍然未能完全解決。本文針對V2X網(wǎng)絡(luò)安全問題，介紹了硅IC生物簽名和公鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)兩種解決方法。

引言

　　100多年以來，汽車工業(yè)一直是經(jīng)濟增長的推動力。汽車工業(yè)連續(xù)開展技術(shù)變革，讓汽車成為安全、舒適和高效的交通形式。但是，到目前為止，這些都只是一點一點增加和演變，而不是革命性地大變化。隨著自動駕駛汽車的出現(xiàn)，我們才站到了革命性變化的前沿。引領(lǐng)這種變革但不損失安全，需要從設(shè)計階段到IC層面都更密切地關(guān)注系統(tǒng)級風(fēng)險及其減緩措施。

自動駕駛面臨的挑戰(zhàn)

　　隨著這些技術(shù)的成熟，成功部署最重要的因素將是可靠性和現(xiàn)場性。汽車電子系統(tǒng)的歷史記錄，特別是最近的記錄問題重重。我們已經(jīng)了解了電子訪問控制系統(tǒng)的脆弱性，以及自加速汽車造成傷亡的事件。兩名“道德”黑客因演示遠程訪問的脆弱性，成功控制大切諾基吉普并使其失控而登上了新聞頭條。這些事件暴露了自動駕駛潛在的挑戰(zhàn)。

　　最常見的三個威脅領(lǐng)域是：

　　1)車對車和車對基礎(chǔ)設(shè)施通信;

　　2)使用可移動設(shè)備，U盤或MP3設(shè)備;

　　3)售后和工作站/診斷。

　　安全挑戰(zhàn)隨著與外部世界連接的每個節(jié)點而提升。作為V2V網(wǎng)絡(luò)的一部分，在連接的汽車中，有幾個這樣的節(jié)點與互聯(lián)網(wǎng)連接，或與另一臺汽車對話。在這些汽車中，必須確保與外界的通信源自經(jīng)驗證的來源，并且在傳輸時未被更改。

　　為了確保安全，將要求設(shè)計人員從底層硬件開始，通常需要解決以下問題：

　　1)硬件完整性，預(yù)防/檢測硬件篡改;

　　2)車內(nèi)軟件和數(shù)據(jù)的完整性和真實性，任何車輛軟件未經(jīng)授權(quán)的更改必須不可行/可檢測;

　　3)車內(nèi)通信的完整性和真實性，接收器必須能夠檢測出未經(jīng)授權(quán)的數(shù)據(jù)更改;

　　4)車內(nèi)通信和數(shù)據(jù)的保密性，未經(jīng)授權(quán)的保密數(shù)據(jù)傳輸或保存必須不可行;

　　5)向其它(遠程)實體證明平臺完整性和真實性，證明其平臺配置的完整性和真實性的能力;

　　6)車內(nèi)數(shù)據(jù)和資源的訪問控制，實現(xiàn)利用性和良好定義的訪問。

　　挑戰(zhàn)歸納為三個主要方面：1)安全硬件，底層硬件非常安全，無法篡改，能夠形成信任根;2)設(shè)計安全，硬件上實施的設(shè)計是安全的，無法被篡改;3)數(shù)據(jù)安全，所有數(shù)據(jù)通信類型都安全可靠。

　　確保系統(tǒng)安全從確保硬件安全開始。安全受信任的硬件構(gòu)成了安全系統(tǒng)的基礎(chǔ)，它提供了必要的構(gòu)件，用于驗證和授權(quán)通信、行動等，對任何系統(tǒng)都是如此，但是，對V2X系統(tǒng)來說尤其重要。

確保V2X安全

　　為了實現(xiàn)可靠的V2V/V2I通信，必須確保通信來自已知來源，且在傳輸過程中未被更改。

　　為了證明真實性，信息發(fā)送者必須向接收者提供能夠驗證的某些識別形式，以確認信息來自正確的來源。這可以采用對稱或不對稱加密技術(shù)實現(xiàn)。

　　對V2X網(wǎng)絡(luò)來說，由于網(wǎng)絡(luò)的復(fù)雜性和規(guī)模，通常不能使用對稱加密，而是采用不對稱加密，提供可擴展的方法，連接網(wǎng)絡(luò)可能需要的許多節(jié)點。為了實現(xiàn)這一點，每個節(jié)點采用私鑰，對傳輸?shù)拿總€信息簽署數(shù)字簽名。接收器采用傳輸給所有接收節(jié)點的相關(guān)公鑰，對這種數(shù)字簽名進行驗證。除擴展性比對稱加密方案好以外，采用這種方法，出錯節(jié)點的更換也更容易。

　　但是這種方法帶來了另一個問題：如何確保每個節(jié)點使用的私鑰和公鑰是真實且未被篡改的?

　　問題第一部分的最佳可能解決方案，是采用以每個器件制造工藝中微小的物理變化為基礎(chǔ)的硅IC生物簽名。這些工藝變化永遠不可能相同，無法被克隆，也沒有兩個IC具有相同的工藝變化，從而為每個器件提供了唯一的簽名。這種簽名被稱為物理不可克隆功能(PUF)。除不可克隆之外，基于PUF的密鑰通常是在原子級別實現(xiàn)的，還很難被黑客提取。IC可以基于幾種物理因素定義的PUF，如存儲元件、邏輯延遲和電阻。基于SRAM的IC利用SRAM單元唯一的隨機啟動狀態(tài)產(chǎn)生私鑰，由于該單元的狀態(tài)在關(guān)機時被擦除，因此更為安全。

　　問題的第二部分可通過公鑰基礎(chǔ)設(shè)施(PKI)解決。PKI是創(chuàng)建、儲存和分配數(shù)字證書的系統(tǒng)，該數(shù)字證書用于驗證特定公鑰屬于某一實體。PKI創(chuàng)建映射實體公鑰的數(shù)字證書，將這些證書安全地儲存在中央儲存庫內(nèi)，不需要時將它們廢除。

　　在PKI系統(tǒng)中，認證機構(gòu)(CA)利用自己的私鑰對其公鑰簽署數(shù)字簽名，對所有節(jié)點進行認證。最常見的公鑰認證格式是X.509。當(dāng)一個設(shè)備傳輸用其私鑰簽署數(shù)字簽名信息時，該信息可采用該設(shè)備的公鑰驗證。該設(shè)備還可以將其X.509證書發(fā)送給接收其信息的所有節(jié)點，使得它們都擁有其公鑰。X.509證書，包括設(shè)備的公鑰，也都可以采用CA事先放在所有節(jié)點且本質(zhì)受信任的公鑰在接收器處進行驗證。采用這種方案，由于發(fā)射器采用的簽名可以由接收器驗證，因此，可以建立經(jīng)過證明、基于證書的分級信任鏈。這種方案還確保容易檢測出假冒設(shè)備。

　　本文來源于《電子產(chǎn)品世界》2017年第5期第23頁，歡迎您寫論文時引用，并注明出處。