中国汽车工程师之家--聚集了汽车行业80%专业人士 

论坛口号:知无不言,言无不尽!QQ:542334618 

本站手机访问:直接在浏览器中输入本站域名即可 

您当前所在位置: 汽车电子 > 查看内容

车规芯片为什么需要信息安全

文章作者头像
发布:huangguang 来源:
PostTime:28-5-2024 22:13
目录1.汽车出现过被黑客攻击事件吗?2.汽车信息安全标准汇总2.1 国际标准2.2 国内标准3.车规芯片的信息安全应该从什么地方考虑3.1 芯片硬件安全防护能力3.2 车规芯片的信息安全服务3.3 芯片厂如何证明芯片的信息安全 ...

以下为文章全文:(本站微信公共账号:cartech8)


汽车零部件采购、销售通信录       填写你的培训需求,我们帮你找      招募汽车专业培训老师


目录
1.汽车出现过被黑客攻击事件吗?

2.汽车信息安全标准汇总

2.1 国际标准

2.2 国内标准

3.车规芯片的信息安全应该从什么地方考虑

3.1 芯片硬件安全防护能力

3.2 车规芯片的信息安全服务

3.3 芯片厂如何证明芯片的信息安全能力

4.小结


这个来自家里人的灵魂拷问直接把我问懵了,我只能片面地以个人粗浅理解回答:为了防止黑客攻击。再往下深入聊,我突然发现我没有能力以通俗易懂的比喻来解释。为此,我将自己对这个问题的思考过程记录下来,方便未来的我回溯。对于这个宏大的命题,我从如下几个方向来进行解读。
  • 汽车出现过被黑客攻击事件吗?
  • 汽车信息安全的国际国家标准有哪些?
  • 车规芯片的信息安全应该从什么地方考虑?

1.汽车出现过被黑客攻击事件吗?

这个问题是肯定的。早在2015年,白帽黑客Cahrlie Miller和Chris Valasek通过车载系统成功侵入到Jeep大切诺基整车网络,并通过CAN总线恶意控制汽车的制动、转向、动力等,为此FCA召回了140万辆汽车。这个应该算是首个OEM因黑客攻击而发生的召回事件。

2018年,腾讯科恩实验室向全球首次公布了针对特斯拉Autopilot系统的远程攻击,利用已知漏洞在特斯拉Model S获取Autopilot控制权之后,即使Autopilot系统没有被车主主动开启,也可以利用Autopilot功能实现通过游戏手柄对车辆行驶方向进行操控。

同样是特斯拉,在2021年Model3被黑客大神 greentheonly成功侵入,提取到车内摄像头的拍摄画面,该视频为其提取到的特斯拉车内摄像头拍摄画面,画面中人员面貌清晰可见,左上角的数据记录了驾驶员朝右看、使用手机、闭眼、低头等动作的频率。

而在今年年初,宝马也发生了一起严重数据泄露事件,据研究人员Can Yoleri报告,他在例行扫描中意外发现,宝马在微软Azure平台上的云存储服务器配置错误,被设置为公共访问状态,而非计划中的私有状态。这一配置错误导致宝马的私钥、内部数据以及其他敏感信息暴露于公众视野。很显然,随着车联网的发展,汽车被黑客攻击的事件会越来越多;如果对汽车没有信息安全的约束和要求,驾驶员和乘客每时每刻都会被黑客攻击的阴影所笼罩,其隐私安全、数据安全甚至生命安全都会受到威胁。既然信息安全如此重要,那么国际和国家会做出什么样的要求呢?

2.汽车信息安全标准汇总

2.1 国际标准

目前最耳熟能详的国际标准,应该是UNECE(United Nations Economic Commission for Europe)于2021年1月生效的UNECE R155和R156,分别对于汽车网络安全和汽车OTA提出相关法律法规。
R155:Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management systemR156:Uniform provisions concerning the approval of vehicles with regards to
software update and software updates management system
以R155为例,读过这份标准的同学应该最开始都是云里雾里,它主要涉及汽车的网络安全管理体系(CSMS)及特定车辆型式认证(VTA)两部分。前者要求每个OEM都必须有一个稳定的网络安全管理体系,但是没有具体说应该如何去建立;后者要求OEM去识别特定车型的相关网络安全风险,但传统汽车人对这块确实一头雾水。为此,ISO和SAE与2021年联合发布了ISO\SAE 21434标准,旨在指导OEM、Tier1如何建立起有效的网络安全组织,同时为车辆的整个生命周期(从研发到报废)建立起有效的流程体系,以保证其免受信息\网络安全攻击。换句话说,R155是指导性文件,告诉做什么;ISO\SAE 21434是执行性文件,告诉OEM怎么做。那么如何评价ISO/SAE 21434的完成度呢?因此ISO\PAS 5112:《Road vehicles-Guidelines for auditing cybersecurity engineering》登场,作为审核21434的重要标准。这几份标准关系如下:

除了上述标准外,还有大家比较陌生但是应该是首部针对汽车网络安全制定的指导性文件:SAE J3061:《Cybersecurity Guidebook for Cyber-Physical Vehicle Systems》。该文件于2016年发布,从某种意义上讲它应该是ISO\SAE 21434的前身,文件里详细定义了汽车产品的生命周期框架,将网络安全贯穿于车辆产品设计、研发、制造、维修、回收等各环节。因此个人认为这是每个汽车网络工程师必读的启蒙文档。在阅读该文献时,我接触到了SAE J3101:《Hardware Protected Security for Ground Vehicles》,对于硬件和车规芯片在网络安全设计考虑有了进一步的理解。

2.2 国内标准

这里涉及得标准、法律法规太多了,根据德勤提出的汽车行业企业网络安全和数据合规管控框架,主要分为5大类:

去年年底,为落实《关于加强智能网联汽车生产企业及产品准入管理的意见》,交通运输部开始对智能网联汽车准入和上路进行试点工作;针对数据安全,有《数据安全法》和《汽车数据安全管理若干规定》;针对个人信息有《个人信息保护法》,针对汽车网络安全,有《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》和《道路车辆 信息安全工程》,分别对标R155\R156和ISO/SAE 21434。在了解或者熟悉这些标准之后,我回归初心,从芯片厂的角度来看车规芯片需要如何设计信息安全功能来辅助汽车产品的信息安全?

3.车规芯片的信息安全应该从什么地方考虑

这个问题应该这样问:你怎么证明你们家的芯片是能够满足OEM的信息安全要求的?那么很明显,这个要从三个方向来思考:
  • 证明芯片本身的信息安全防护能力没问题;
  • 证明芯片提供的信息安全服务符合通用需求;
  • 证明芯片厂提供的材料可以帮助OEM完成CMSM和VTA认证。

3.1 芯片硬件安全防护能力

 车规芯片作为汽车控制器的基石,从汽车人角度来说它本身就应该是作为信任锚,但是随着近几年针对芯片硬件本身的攻击事迹层出不穷,车规芯片慢慢也被要求具备抵御外来攻击的能力。根据《Hands-on Learning of Hardware and Systems Security》汇总,对于硬件信息安全防护主要从两个方面考虑下:
  • 硬件安全问题:硬件在不同层级下(Chip或者PCB)均容易遭受攻击,例如侧信道攻击、硬件木马攻击
  • 硬件信任问题:在硬件系统的全生命周期里,从设计、生产、测试等过程均有不同供应商参与,一旦出现不受信的vendor出现,很有可能出现信任问题。
针对信任问题,我想就应该从R155\21434中去寻找答案,建立起企业网络安全管理体系,来保证产品生命周期的网络安全;针对硬件安全问题,应该先搞清楚常见的硬件攻击段,我计划从ECU板级、芯片级别的攻击分别进行描述:ECU板级常见攻击手段:
  • 逆向工程:通过对ECU拆盖,逆向复刻重组出PCB级别的硬件架构和通信架构
  • 总线探针:通过在系统总线上搭载挂针,通过物理访问提取敏感信息(密钥、固件)等
  • 硬件物理篡改:通过硬件篡改受保护的功能,最著名的就是Modchip篡改星链。
芯片级别常见攻击手段:
  • 硬件木马:设计或者制造芯片时故意植入的特殊模块或者设计者无意留下的缺陷模块,在特殊条件触发下,该模块能够被攻击者利用对芯片造成破坏
  • 侧信道攻击:也叫边信道攻击(Side Channel Attack),通过收集分析加密软件或硬件在工作时附带产生的各类侧信道物理量来进行破解。常见的有:SPA (Simple Power Analysis)\DPA (Differential Power Analysis)\SEMA (Simple Electromagnetic Analysis)\ DEMA (Differential Electromagnetic Attack)\Timing attacks\DFA(Differential Fault Analysis)
  • 故障注入攻击:故意在系统中造成错误,危及系统安全的攻击。常见手段有改变芯片供电电压、注入不规则时钟信号、引入辐射或电磁(EM)干扰、加热设备等。
而芯片本身的安全防护能力就是能抵御这些攻击手段,比如引入混淆技术降低信噪比、增加特定传感器对电压等进行监控、引入PUF技术来实现对给定的输入产生不可克隆的唯一设备响应。当然,最方便快捷的就是在芯片设计时引入HTA(Hardware Trust Anchor)。在之前文章我们聊过,HTA就是提供了一种基于硬件安全机制的隔离环境,可以有效保护安全敏感数据、为应用控制算法提供各种密码服务。目前市面常见的HTA种类有:
  • SHE:Secure Hardware Extension
  • HSM:EVITA Hardware Security Module
  • TPM:Trusted Platform Module
但是每家芯片厂对于自己的HTA都有不同的称谓,具体如下:
英飞凌:Aurix HSM / SHE+
瑞萨:Intelligent Cryptographic Unit(ICU)

恩智浦:Hardware Security Engine/Crypto Service Engine(飞思卡尔称呼ARM:Trust Zone
这些变体在各家芯片厂家里虽然名字不同,但是干的活大致相同。那么在车规芯片里,信息安全具体会提出哪些需求呢?

3.2 车规芯片的信息安全服务

毫无疑问,信息安全最重要的就是保证使用主体的CIA(confifidentiality, integrity, authenticity。那么对于车规芯片最基础的信息安全服务需求就是安全存储,提供一个可信环境用于存储敏感信息,包括密钥、证书等,例如Secure NvM;为了满足不同加密算法的性能要求,车规芯片还需提供相应的密码算法硬件加速器以及密钥管理功能,常见的服务如下:
  • 对称密码硬件加速器(Symmertic):基于私密密钥的数据加解密,例如AES;
  • 非对称密码硬件加速器(Asymemtric):用于数字签名\验签,数据加解密;
  • 摘要硬件加速器:常用于身份验证,例如基于摘要的HMAC
  • 密钥管理:如密钥导入、密钥协商、密钥派生等等
此外,为了衡量和保证整个ECU系统的完整性和可用性,安全启动、可信启动等等也是必须提供的。 所谓安全启动,即在固件运行前对其身份、完整性进行校验,验证通过方可允许其执行。有了上述基础概念,按理说从硬件层面上芯片已经具备了客观的信息安全能力,但是OEM、Tier1如何相信呢?

3.3 芯片厂如何证明芯片的信息安全能力

就像六子无法展示自己吃了几碗粉,芯片厂不可能把自己关于信息安全的设计细节展示出来;因此有没有一种大家都认可的方式来展示自己的能力呢?R155提出了对OEM的要求,那么OEM可不可以根据这个反过来对Tier1、Tier2进行约束呢?个人理解是没有问题的,大家结合ISO\SAE 21434约定的内容框架对自己的产品进行开发,理论上不会出现大的错误。因此依托上述标准,在企业内部构建网络安全管理体系应该是一个很好的途径;不过这绝非易事,要建立起公司级别的组织架构,需要得到大量认可和高等级权限,这属实困难;首先组织者可以调配公司各个部门的资源,这就刷掉一大批人;其次要建立起这个架构,需熟悉各地关于网络安全的法律法规,例如熟悉R155、21434;同时对产品业务、供应商有一定的见解,这样讨论问题才能在一个频道;最后架构建立起来了,如何在公司级别或者BU级别贯彻执行,这又是一个大的难题。当然有难度不可怕,交给时间,时间是最好的答案。回过头来,如何建立起公司的CSMS,个人认为从以下几个方面考虑:
  • 确定网络安全管理方针和目标,识别网络安全利益相关方并设置CSMS组织架构
  • 识别网络安全治理项目,包括文件管理、文化普及、安全事件报告管理、安全事件风险管理等;
  • 持续监控安全事件、做好生产和运维
  • 与公司内部的质量管理体系、信息安全体系等做好对接

4.小结

以上,我从政策\法律法规、汽车造成网络攻击的事件、车规芯片设计信息安全需要思考的内容几个方面描述了对于车规芯片为什么需要信息安全的思考,不过有个最重要的点没有进行罗列,那就是到底在汽车上有哪些具体的信息安全使用场景。其实这之前我有总结过,例如安全启动、安全升级、安全存储、安全通信、安全调试和安全诊断;作为芯片从业者,从使用者角度思考如何将这些基本功能做得简单易用且安全可靠,这里面每一个场景都是需要仔细调研。好了,到这里差不多结束了,自己的思路进一步清晰,接下来就是交给时间和决心,让子弹飞!




[文章纠错]

文章网友提供,仅供学习参考,版权为原作者所有,如侵犯到

你的权益请联系542334618@126.com,我们会及时处理。

会员评价:

0 发表评论

QQ|手机版|小黑屋|Archiver|汽车工程师之家 ( 渝ICP备18012993号-1 )

GMT+8, 21-12-2024 19:53 , Processed in 0.129655 second(s), 22 queries .

Powered by Discuz! X3.5

© 2001-2013 Comsenz Inc.