汽車電子
返回首頁

英飛凌:分層式設計與可信安全保障智能網聯汽車的安全性

2021-08-26

全球汽車快訊 據外媒報道,2015年,汽車業所面臨的網絡威脅引發了大眾的關注,有一支“白帽子”研發團隊遠程下達指令,控制了目標車輛的電子件,當時該車輛正在高速公路上行駛。


隨后,該團隊發布的明細內容指出,其識別出多個了離散的薄弱環節(漏洞),其研究人員正是借此向車輛發起了網絡攻擊。該方法向網絡安全研究人員演示了一個業內熟知的理念,創建可信賴的系統需要一個分層防御機制,用于預判并采取防護措施,以便對應對外部的網絡攻擊,同時為系統間的薄弱環節提供保護。


鑒于由電子件推動的技術演進正在重塑汽車行業,該分層式設計方法的重要性愈發凸顯。


電動車、自動駕駛輔助系統/自動駕駛系統與智能網聯功能使得車載系統的復雜性及網聯化程度更勝往昔。隨著車輛智能化和網聯程度的持續提升,該車輛的所有方面都是潛在的攻擊點(圖1),使得網絡安全架構成為車輛設計中需要考慮的重要因素。


同時,致力于自動駕駛功能研發工作的公司也告訴我們,為了提升消費者的舒適度,對于這類車載系統的仰賴成為其取得長期商業成功的關鍵所在。


這就需要依賴英飛凌公司所提到的“可靠的系統”了,車主務必要在所有情況下信賴車載系統,確信車輛在運行時,其駕駛安全性及網絡安全性能獲得保障。由于上述遠程黑客攻擊的存在,保障電子件的功能運轉正常就變得異常重要了,這有助于幫助消費者建立信賴感。


英飛凌:分層式設計與可信安全保障智能網聯汽車的安全性


(藍牙 電動車充電 車載信息娛樂系統 蜂窩網絡 免鑰進入  V2X-專用短程通信  雷達  胎壓監控系統 USB  車載診斷  無線充電  無線網絡)圖1:車內的每一個網聯功能都是一個潛在的攻擊點


改變汽車架構


汽車設計的趨勢是縮減個體電控單元(ECUs)的數量,因為后者負責管控車輛的各項功能。如今,平均每輛車有30-50個電控單元,這本身就可能成為一個弱點。


未來的汽車架構趨勢是電控單元的數量極少,但會通過車輛的地理位置來提升功能域或功能區的整合。即便如此,這類需要保護系統的數量也有數十個之多,從負責同時運行多個虛擬機的域控制器到負責傳感器融合、制動、轉向、集群、車載信息娛樂系統、車載資通訊系統及車身控制(圖2)的模塊,不一而足。


所有這類控制器和模塊將通過空中下載方式實現升級,為特性和功能方面提供前所未有的靈活性,但同樣也會產生更大的安全風險。


未來汽車架構所需的不同安全層級


英飛凌:分層式設計與可信安全保障智能網聯汽車的安全性


(安全的平臺 安全的車載通信 安全的網絡分離 安全的外部通信)圖2:對未來車輛架構而言,半導體提供安全層的作用至關重要


集中式和區域式設計將改善數據共享、簡化整個網聯及支持面向服務的架構,從而改善車輛的運行情況并減少車輛使用壽命期的維修數量。各控制模塊均由三要素構成——運算、存儲及網聯,各元素的相關風險及識別方法將有助于確保其能正確使用。


車企被迫慎重考慮:將如何使用這類模塊?如何防止這類模塊被誤用?如何對這類模塊進行防護?


為提供一個指導方向,有一項標準——《ISO21434:道路車輛——網絡安全工程設計》(ISO21434: Roadvehicles — Cybersecurity engineering)在等待最終批準,該標準可提供過程和方法,用于為汽車業的新設計提供支持。


該標準定義了針對所有車載電子系統、車輛部件、車載軟件及外部網絡的網絡安全工程設計實踐/做法。讓我們看看這類實踐是如何被應用于保護重要硬件部件的安全性


確保適當授權


如今,最新的域控制模塊將專業化的運算引擎(如:圖形處理器、神經元處理器)與“耐用的”(workhorse)微控制器相搭配,如:英飛凌AURIX。該產品專為可信計算(dependable computing)量身設計,這款多核處理器家族產品旨在憑借完全集中化的硬件安全模塊(Hardware Security Module,HSM)來保障運算的安全性與可靠性。


該硬件安全模塊完全符合電子安全車輛入侵保護應用程序(E-safety VehicleIntrusion Protection Application,EVITA)標準,如今,該標準已被廣泛地應用于車輛,為發動機控制、底盤和安全關鍵系統提供最大限度的安全保障。


作為另一款英飛凌處理器的家族產品,TraveoII憑借增強型安全硬件拓展(enhanced Secure Hardware Extension,eSHE)模塊及一次性編程(One Time Programmable)熔斷器為車身控制應用提供支持。


集中式控制及區域控制電控單元的網絡流經安全的微控制單元,而集成安全功能還支持對授權情境(authorization scenarios)的變更,旨在防止2015年的黑客攻擊事件。


若有任何升級系統軟件的要求,目標電控單元將收到一個散列的指令和軟件更新包。在安全和使用前,先檢查數字簽名并確認已通過授權認證。


在總線信息起作用前,還需要完成對車載通信網絡的類似檢查,其中涉及以太網及控制器局域網絡(CAN-FD)兩部分。該舉措旨在保護控制器和網絡,使其免受未經授權的指令、重放攻擊(replayattacks)或源自于非正當授權的惡意信息的傷害。


在視覺系統和傳感器融合系統中,含有啟動代碼和校準數據的閃存將成為一個攻擊點或成為惡意代碼嵌入的“儲蜜罐”(Honey Pot)。英飛凌Semper Secure NOR Flash產品將為內存設備帶來可信賴的硬件架構。(圖3)


在遵循信任群化式裝置標識符(TrustedGroup Device Identifier)的規格后,設備唯一秘密(Unique DeviceSecret)可保障代碼仍處于不受侵犯的狀態,且只能通過指定的運算引擎來實現升級。若探查到任何代碼出錯,將觸發安全啟動模式,且整個內存設備將耐受旁路攻擊(Side Channel Attack)。


英飛凌:分層式設計與可信安全保障智能網聯汽車的安全性


動態隨機存取存儲器(DRAM)  應用代碼和數據  嵌入式多媒體卡/文件管理系統(eMMC/UFS)

圖像、傳感器、攝像頭

多點接口/消息傳遞接口(multi-point interface/ Message Passing Interface,MPI)  視覺與傳感器融合(系統級芯片,SoC) 冗余的系統級芯片 啟動代碼與校準數據  運算處理器  5G LTE調制解調器

超聲波傳感器 激光雷達 雷達傳感器  安全輔助芯片    啟動代碼與數據 啟動代碼與便簽存儲器

圖3:為實現帶5G網絡功能的ADAS集中式系統 SemerSecure NOR Flash(采取)的深度措施


超越電控單元的安全更新


可采用二元方式來看到圖2所強調的安全點:一種是足夠大的安全點,其含有硬件安全模塊;另一種是不含硬件安全模塊的安全點。


為真正實現這一點,務必實現系統安全性元件的擴容。帶有微控制器和微處理器的電動單元等較大設備已被應用于車載網絡、控制安全氣囊、轉向、制動、無線電、集群及先進駕駛輔助系統(ADAS)中,該類系統設備需要足夠大,才能容納硬件安全模塊。


對于那些未與主要網絡總線實現互聯的小型設備(如:車窗執行器),考慮到成本因素,全面配置安全模塊并不現實。


相反,那些僅用于實現設備升級的閃存技術或要求輸入密碼的技術,從本質上講,這些技術的應用能將該類設備轉化為只讀儲存器(ROM),使得代碼更新過程不變,從而確保運行時的安全性。


人機界面的防護


在2015年的黑客大會上,該白帽子團隊首次指出,其攻擊點(突破口)是目標車輛的車載信息娛樂系統。


盡管該系統從根本上講是與其他關鍵系統相隔開的,但黑客們找到了一條侵入控制單元的路徑,而該控制單元恰好與前端進行數據交換,這就為該團隊提供了發動黑客攻擊所需的最終數據。


隨著這類車載信息娛樂系統和車載資通訊系統在現代化車輛人機接口中的重要性愈發凸顯,其注定成為了惡意黑客們攻擊車載系統的潛在攻擊面。


在防護方面,英飛凌為無線網絡和藍牙網絡連接產品設計了多層冗余防護層,旨在延緩并中斷網絡攻擊。


各個子系統均采用了獨立的防護,將啟用經驗證后的內部系統通信和存儲器保護裝置(MPU)來阻斷代碼注入,而TrustZone中央處理器則對可信賴的執行環境提供支持。


供應鏈


隨著汽車電氣化與自動駕駛運行技術齊頭并進,對于惡意黑客們而言,自動駕駛車輛成為其誘人目標的可能性也隨之上升,整個行業在發展壯大的同時,也成為了其潛在的攻擊點。


需要特別強調的是,務必要保障整個供應鏈的網絡安全性。各個控制模塊及數百萬的代碼行數均需要進行安全驗證,該驗證過程貫穿了從控制模塊的最初制造到安裝到車輛上的整個過程。


此外,還需配置好云端與車輛間的網絡連接,確保只有受權方還能與車輛實現互聯。


若攻擊者能從介于產品及編程鏈間的某個設備處侵入,那將使供應鏈面臨風險。


為有助于保障未來供應鏈的安全性,產品在發貨時須配送一份安全證書或一個密鑰,將其存儲于內容空間中或集成到系統主板上專用的集成電路產品標識身份認證(IC)上。這就為硬件創造了監護鏈,上述方法將一直發揮作用,直到安裝軟件或未來升級。


我們已看到許多一級供應鏈和車企在這方面的需求動向。為此,在不遠的將來,很可能許多公司將從制造環節開始保障其供應鏈的完整性,直至最終將產品安裝到車輛上。


當部署了安全的供應鏈后,黑客從某個漏洞侵入的機會將被極大地減少。英飛凌對這類實踐非常熟悉,畢竟在過去的數十年內,英飛凌向銀行卡提供安全性身份認證,并確保政府人員電子護照中身份信息的保密性。英飛凌還做過類似的技術應用,確保終身制端對端安全是其標準化實踐。


云端網聯


我們認識到,在不久的將來,駕駛體驗將受到空中下載升級的驅動,該升級將涉及重要的系統軟件及大量的用戶功能性設定值。屆時,前提是要保障車輛與云端間的數據交換本就是安全的。


為此,作為深度防御措施中的一環,為企業網絡所研發的可信平臺模塊(Trusted Platform Module,TPM)架構如今在符合TPM 2.0要求的合規模組中也有所體現。


古人云,只要您有充足的時間、資源和專業知識,沒啥東西的安全性是百分百可靠的。英飛凌旨在創建互補的防護層,這樣若某個防護層未能充分發揮作用,另一個防護層將充當后備防護層。


通過保障適當授權的安全性、保障系統內以及系統與云端間網絡連接的安全性、為系統擴容以配置目標應用及保障供應鏈的安全性,汽車業可實現可靠的安全等級,使尋找智能網聯與自動駕駛車輛的漏洞變得極為艱難。


半導體行業應做好準備,起到帶頭作用,為保障智能網聯、自動駕駛車輛的安全性提供助力,并保障其運行處于安全、可信賴的狀態。


進入汽車電子查看更多內容>>
相關視頻
  • 由內到外的智能網聯車:車聯網現狀及發展

  • labview2016

  • 直播回放: TI DLP? 技術在汽車上的創新及全新應用

  • 回放 : TI mmWave 毫米波雷達在汽車車內的應用

  • Amplifier Protection Series

  • TI Jacinto 系列產品在 ADAS 中的應用

    相關電子頭條文章
萝卜大香蕉