新一代MCU如何提升車(chē)聯(lián)網(wǎng)汽車(chē)安全性

　　汽車(chē)高級(jí)駕駛輔助系統(tǒng)(ADAS)涉及ABS防抱死制動(dòng)、安全氣囊、剎車(chē)控制、轉(zhuǎn)向控制、引擎控制、巡航控制、啟停、自動(dòng)泊車(chē)、集成導(dǎo)航(GPS與Gallileo)等等，隨著這一系統(tǒng)的被引入，汽車(chē)電子生態(tài)系統(tǒng)正在變得更加互連且更為復(fù)雜。但與此同時(shí)，汽車(chē)電子器件也取代了很多的瑣碎功能，如車(chē)燈控制、空調(diào)、電動(dòng)車(chē)窗、引擎啟動(dòng)、車(chē)門(mén)開(kāi)啟、可調(diào)及加熱座椅等等。

　　一般來(lái)說(shuō)，車(chē)內(nèi)的每個(gè)功能都由一個(gè)網(wǎng)絡(luò)微控制器(MCU)來(lái)管理，這些MCU使用相同的通信總線(xiàn)來(lái)交換數(shù)據(jù)與信息，包括面向動(dòng)力傳動(dòng)、底盤(pán)與車(chē)身電子功能的CAN、FlexRay或LIN總線(xiàn)，以及用于娛樂(lè)信息系統(tǒng)的MOST光纖網(wǎng)絡(luò)和以太網(wǎng)。

　　從純粹的機(jī)械環(huán)境發(fā)展到復(fù)雜的電子環(huán)境，盡管從舒適性以及駕駛員和乘客的主動(dòng)與被動(dòng)安防方面來(lái)看，確實(shí)增加了許多附加價(jià)值，但同時(shí)，由于這些引擎控制單元(ECU)彼此互連，也引發(fā)了隱私與數(shù)據(jù)可靠性方面的重大安全問(wèn)題。例如，幾十年前，CAN總線(xiàn)的設(shè)計(jì)初衷并沒(méi)有要求其具有高度的安全性，實(shí)際上，車(chē)內(nèi)通信總線(xiàn)內(nèi)部的任何CAN信息都會(huì)發(fā)送給系統(tǒng)的其它組成部分，而且不支持任何授權(quán)、鑒別和加密協(xié)議。現(xiàn)代汽車(chē)使用CAN總線(xiàn)交換數(shù)據(jù)，用來(lái)開(kāi)啟車(chē)門(mén)和啟動(dòng)引擎，這些信息在車(chē)內(nèi)的ECU與電子鑰匙內(nèi)部的ECU之間交換。如果該系統(tǒng)遭到損害，竊賊就能輕易地偷走汽車(chē)，而且“黑客”也可以訪(fǎng)問(wèn)車(chē)內(nèi)GPS來(lái)查看汽車(chē)常去的地方，從中探知司機(jī)在哪里，什么時(shí)候汽車(chē)無(wú)人看管。

　　此外，用于實(shí)現(xiàn)電郵、SMS、視頻流、視頻電話(huà)等互聯(lián)網(wǎng)移動(dòng)功能的藍(lán)牙、GPRS或UMTS，也擴(kuò)大了“黑客”的攻擊面，他們可以通過(guò)遠(yuǎn)程訪(fǎng)問(wèn)，侵入任何通信和駕駛系統(tǒng)，或者插入惡意軟件來(lái)竊取各種數(shù)據(jù)，如汽車(chē)的實(shí)時(shí)位置、經(jīng)常使用的路線(xiàn)和完整的對(duì)話(huà)等。

　　車(chē)載硬件安全架構(gòu)

　　顧名思義，“開(kāi)放系統(tǒng)”是暴露的，它面臨通過(guò)多種方式實(shí)施各類(lèi)攻擊的可能性正在持續(xù)增加。汽車(chē)車(chē)身內(nèi)部與外部通信網(wǎng)絡(luò)的不斷發(fā)展，正在迅速挑戰(zhàn)汽車(chē)電子本身的安全防護(hù)能力。

　　迄今為止，由于最普遍使用的傳輸總線(xiàn)CAN的內(nèi)部弱點(diǎn)，人們一直從軟件應(yīng)用的角度來(lái)研究“攻擊面”。但現(xiàn)在，行業(yè)內(nèi)開(kāi)始把注意力轉(zhuǎn)向硬件架構(gòu)，以及應(yīng)該如何“密封”ECU使其難以滲透并避免受到非法操縱，例如未經(jīng)授權(quán)的安裝、惡意軟件上載、“木馬”軟件以及虛假升級(jí)等，或者至少能夠限制非法訪(fǎng)問(wèn)并留下確鑿的篡改證據(jù)。

　　正因?yàn)槿绱耍ㄟ^(guò)硅器件廠(chǎng)商與一家知名汽車(chē)OEM廠(chǎng)商的合作，開(kāi)發(fā)出了面向汽車(chē)功能的新一代MCU.這類(lèi)四核微控制器利用專(zhuān)門(mén)的安全內(nèi)核，即HSM(硬件安全模塊)，提供安全與防護(hù)功能，HSM內(nèi)部包含系統(tǒng)安全配置、安全啟動(dòng)、外部訪(fǎng)問(wèn)保護(hù)、閃存保護(hù)、加密功能和壽命結(jié)束保護(hù)等。

　　圖1嵌入ECU內(nèi)部的HSM硬件安全模塊

　　如圖2所示，HSM模塊嵌入在ECU內(nèi)部，絕對(duì)獨(dú)立于其它與內(nèi)存和外設(shè)訪(fǎng)問(wèn)相關(guān)的內(nèi)核，數(shù)據(jù)和代碼都有專(zhuān)用的閃存扇區(qū)，而且嚴(yán)格限于預(yù)留訪(fǎng)問(wèn)。

　　圖2五種不同階段的安全功能配置

　　配置系統(tǒng)安全性

　　系統(tǒng)安全性配置是在硬件層面保護(hù)敏感數(shù)據(jù)的第一步，在加電之前的重置階段完全控制整個(gè)初始配置，防止非法侵入和擅自篡改。

　　利用設(shè)備配置格式(DCF)，硅器件廠(chǎng)商和軟件開(kāi)發(fā)商都可以保留所有初始配置，從而可以在啟動(dòng)階段檢查與擊穿試驗(yàn)和用戶(hù)擊穿試驗(yàn)內(nèi)部DCF相關(guān)的特殊內(nèi)存地址、ECC(糾錯(cuò)碼)錯(cuò)誤以及奇偶校驗(yàn)誤差。

　　在重置階段，利用各種漸進(jìn)步驟，可以檢查一些安全防護(hù)功能。利用這種方式，通過(guò)幾個(gè)參數(shù)進(jìn)行交叉檢查控制，就可以阻止以多種手段修改特殊內(nèi)存地址的企圖，或者強(qiáng)行改變啟動(dòng)以加載新的惡意固件的企圖。

　　硬件架構(gòu)規(guī)則基于預(yù)先定義的設(shè)備功能狀態(tài)。安全設(shè)計(jì)人員提供出幾種安全級(jí)別，以便軟件開(kāi)發(fā)者在最終實(shí)現(xiàn)其應(yīng)用時(shí)擁有較高的自由度。實(shí)際上，一些層級(jí)較低的軟件應(yīng)用經(jīng)常可以交給第三方開(kāi)發(fā)，然后設(shè)計(jì)和實(shí)施遞增的、不可逆的保護(hù)，滿(mǎn)足不同開(kāi)發(fā)者提出的要求。此外，多數(shù)安全機(jī)制在激活時(shí)要考慮設(shè)備的壽命周期(DLC)情況。硅器件廠(chǎng)商與軟件開(kāi)發(fā)者可以建立五種可能的遞增與不可逆配置，以便實(shí)現(xiàn)針對(duì)侵入與操縱攻擊的反制措施。

　　對(duì)于每一個(gè)階段來(lái)說(shuō)，安全等級(jí)都會(huì)得到提升，而且不能撤銷(xiāo)。從第二級(jí)開(kāi)始，在客戶(hù)交付階段，這個(gè)非常有限的安全機(jī)制為軟件開(kāi)發(fā)階段提供了最大的自由度，而在現(xiàn)場(chǎng)設(shè)備階段則開(kāi)啟完整的各種安全防護(hù)功能。

　　通常，在JDP生產(chǎn)階段至客戶(hù)交付階段的過(guò)渡階段，設(shè)備從原始生產(chǎn)商手中轉(zhuǎn)移到第一個(gè)軟件開(kāi)發(fā)者手中，后者把MCU整合到更加復(fù)雜的系統(tǒng)之中。從客戶(hù)交付階段到OEM生產(chǎn)階段，第三方為了保護(hù)自己的知識(shí)產(chǎn)權(quán)，一般會(huì)為設(shè)備開(kāi)發(fā)最后的軟件應(yīng)用程序。最終，到達(dá)現(xiàn)場(chǎng)設(shè)備階段，需要在嵌入汽車(chē)的最終應(yīng)用里面采取一系列控制與不可撤銷(xiāo)的保護(hù)措施，來(lái)滿(mǎn)足OEM廠(chǎng)商以及系統(tǒng)開(kāi)發(fā)者和汽車(chē)制造商的要求。“故障分析”是最后的設(shè)備生產(chǎn)階段，用于測(cè)試的是被退回到工廠(chǎng)的設(shè)備系統(tǒng)，因此在這一過(guò)程中，一些相關(guān)安全保護(hù)功能將被停用，避免MCU因壽命周期保護(hù)而被認(rèn)定為失效。