新一代MCU如何提升車聯(lián)網(wǎng)汽車安全性

　　汽車高級(jí)駕駛輔助系統(tǒng)(ADAS)涉及ABS防抱死制動(dòng)、安全氣囊、剎車控制、轉(zhuǎn)向控制、引擎控制、巡航控制、啟停、自動(dòng)泊車、集成導(dǎo)航(GPS與Gallileo)等等，隨著這一系統(tǒng)的被引入，汽車電子生態(tài)系統(tǒng)正在變得更加互連且更為復(fù)雜。但與此同時(shí)，汽車電子器件也取代了很多的瑣碎功能，如車燈控制、空調(diào)、電動(dòng)車窗、引擎啟動(dòng)、車門開啟、可調(diào)及加熱座椅等等。

　　一般來(lái)說(shuō)，車內(nèi)的每個(gè)功能都由一個(gè)網(wǎng)絡(luò)微控制器(MCU)來(lái)管理，這些MCU使用相同的通信總線來(lái)交換數(shù)據(jù)與信息，包括面向動(dòng)力傳動(dòng)、底盤與車身電子功能的CAN、FlexRay或LIN總線，以及用于娛樂(lè)信息系統(tǒng)的MOST光纖網(wǎng)絡(luò)和以太網(wǎng)。

　　從純粹的機(jī)械環(huán)境發(fā)展到復(fù)雜的電子環(huán)境，盡管從舒適性以及駕駛員和乘客的主動(dòng)與被動(dòng)安防方面來(lái)看，確實(shí)增加了許多附加價(jià)值，但同時(shí)，由于這些引擎控制單元(ECU)彼此互連，也引發(fā)了隱私與數(shù)據(jù)可靠性方面的重大安全問(wèn)題。例如，幾十年前，CAN總線的設(shè)計(jì)初衷并沒(méi)有要求其具有高度的安全性，實(shí)際上，車內(nèi)通信總線內(nèi)部的任何CAN信息都會(huì)發(fā)送給系統(tǒng)的其它組成部分，而且不支持任何授權(quán)、鑒別和加密協(xié)議?，F(xiàn)代汽車使用CAN總線交換數(shù)據(jù)，用來(lái)開啟車門和啟動(dòng)引擎，這些信息在車內(nèi)的ECU與電子鑰匙內(nèi)部的ECU之間交換。如果該系統(tǒng)遭到損害，竊賊就能輕易地偷走汽車，而且“黑客”也可以訪問(wèn)車內(nèi)GPS來(lái)查看汽車常去的地方，從中探知司機(jī)在哪里，什么時(shí)候汽車無(wú)人看管。

　　此外，用于實(shí)現(xiàn)電郵、SMS、視頻流、視頻電話等互聯(lián)網(wǎng)移動(dòng)功能的藍(lán)牙、GPRS或UMTS，也擴(kuò)大了“黑客”的攻擊面，他們可以通過(guò)遠(yuǎn)程訪問(wèn)，侵入任何通信和駕駛系統(tǒng)，或者插入惡意軟件來(lái)竊取各種數(shù)據(jù)，如汽車的實(shí)時(shí)位置、經(jīng)常使用的路線和完整的對(duì)話等。

　　車載硬件安全架構(gòu)

　　顧名思義，“開放系統(tǒng)”是暴露的，它面臨通過(guò)多種方式實(shí)施各類攻擊的可能性正在持續(xù)增加。汽車車身內(nèi)部與外部通信網(wǎng)絡(luò)的不斷發(fā)展，正在迅速挑戰(zhàn)汽車電子本身的安全防護(hù)能力。

　　迄今為止，由于最普遍使用的傳輸總線CAN的內(nèi)部弱點(diǎn)，人們一直從軟件應(yīng)用的角度來(lái)研究“攻擊面”。但現(xiàn)在，行業(yè)內(nèi)開始把注意力轉(zhuǎn)向硬件架構(gòu)，以及應(yīng)該如何“密封”ECU使其難以滲透并避免受到非法操縱，例如未經(jīng)授權(quán)的安裝、惡意軟件上載、“木馬”軟件以及虛假升級(jí)等，或者至少能夠限制非法訪問(wèn)并留下確鑿的篡改證據(jù)。

　　正因?yàn)槿绱?，通過(guò)硅器件廠商與一家知名汽車OEM廠商的合作，開發(fā)出了面向汽車功能的新一代MCU.這類四核微控制器利用專門的安全內(nèi)核，即HSM(硬件安全模塊)，提供安全與防護(hù)功能，HSM內(nèi)部包含系統(tǒng)安全配置、安全啟動(dòng)、外部訪問(wèn)保護(hù)、閃存保護(hù)、加密功能和壽命結(jié)束保護(hù)等。

　　圖1嵌入ECU內(nèi)部的HSM硬件安全模塊

　　如圖2所示，HSM模塊嵌入在ECU內(nèi)部，絕對(duì)獨(dú)立于其它與內(nèi)存和外設(shè)訪問(wèn)相關(guān)的內(nèi)核，數(shù)據(jù)和代碼都有專用的閃存扇區(qū)，而且嚴(yán)格限于預(yù)留訪問(wèn)。

　　圖2五種不同階段的安全功能配置

　　配置系統(tǒng)安全性

　　系統(tǒng)安全性配置是在硬件層面保護(hù)敏感數(shù)據(jù)的第一步，在加電之前的重置階段完全控制整個(gè)初始配置，防止非法侵入和擅自篡改。

　　利用設(shè)備配置格式(DCF)，硅器件廠商和軟件開發(fā)商都可以保留所有初始配置，從而可以在啟動(dòng)階段檢查與擊穿試驗(yàn)和用戶擊穿試驗(yàn)內(nèi)部DCF相關(guān)的特殊內(nèi)存地址、ECC(糾錯(cuò)碼)錯(cuò)誤以及奇偶校驗(yàn)誤差。

　　在重置階段，利用各種漸進(jìn)步驟，可以檢查一些安全防護(hù)功能。利用這種方式，通過(guò)幾個(gè)參數(shù)進(jìn)行交叉檢查控制，就可以阻止以多種手段修改特殊內(nèi)存地址的企圖，或者強(qiáng)行改變啟動(dòng)以加載新的惡意固件的企圖。

　　硬件架構(gòu)規(guī)則基于預(yù)先定義的設(shè)備功能狀態(tài)。安全設(shè)計(jì)人員提供出幾種安全級(jí)別，以便軟件開發(fā)者在最終實(shí)現(xiàn)其應(yīng)用時(shí)擁有較高的自由度。實(shí)際上，一些層級(jí)較低的軟件應(yīng)用經(jīng)?？梢越唤o第三方開發(fā)，然后設(shè)計(jì)和實(shí)施遞增的、不可逆的保護(hù)，滿足不同開發(fā)者提出的要求。此外，多數(shù)安全機(jī)制在激活時(shí)要考慮設(shè)備的壽命周期(DLC)情況。硅器件廠商與軟件開發(fā)者可以建立五種可能的遞增與不可逆配置，以便實(shí)現(xiàn)針對(duì)侵入與操縱攻擊的反制措施。

　　對(duì)于每一個(gè)階段來(lái)說(shuō)，安全等級(jí)都會(huì)得到提升，而且不能撤銷。從第二級(jí)開始，在客戶交付階段，這個(gè)非常有限的安全機(jī)制為軟件開發(fā)階段提供了最大的自由度，而在現(xiàn)場(chǎng)設(shè)備階段則開啟完整的各種安全防護(hù)功能。

　　通常，在JDP生產(chǎn)階段至客戶交付階段的過(guò)渡階段，設(shè)備從原始生產(chǎn)商手中轉(zhuǎn)移到第一個(gè)軟件開發(fā)者手中，后者把MCU整合到更加復(fù)雜的系統(tǒng)之中。從客戶交付階段到OEM生產(chǎn)階段，第三方為了保護(hù)自己的知識(shí)產(chǎn)權(quán)，一般會(huì)為設(shè)備開發(fā)最后的軟件應(yīng)用程序。最終，到達(dá)現(xiàn)場(chǎng)設(shè)備階段，需要在嵌入汽車的最終應(yīng)用里面采取一系列控制與不可撤銷的保護(hù)措施，來(lái)滿足OEM廠商以及系統(tǒng)開發(fā)者和汽車制造商的要求。“故障分析”是最后的設(shè)備生產(chǎn)階段，用于測(cè)試的是被退回到工廠的設(shè)備系統(tǒng)，因此在這一過(guò)程中，一些相關(guān)安全保護(hù)功能將被停用，避免MCU因壽命周期保護(hù)而被認(rèn)定為失效。