Microchip Technology Inc.
安全產(chǎn)品營銷部
Todd Slack
當(dāng)我告訴人們我從事專注于汽車安全的半導(dǎo)體行業(yè)時,他們通常認(rèn)為一定會涉及汽車報警和車鑰匙。盡管汽車盜竊仍是一個合理的擔(dān)憂,但與內(nèi)部電子控制單元(ECU)及其車內(nèi)外通信相關(guān)的安全威脅明顯更大。在今年銷售的所有新車中,大約有50%的車輛支持聯(lián)網(wǎng)功能,很多人估計到2030年,這一數(shù)字將達(dá)到95%左右。這些連接通過Bluetooth?、USB、LTE、5G和Wi-Fi?等實現(xiàn),可為消費者提供諸多便利,但由于受攻擊面顯著增加,黑客也同樣感到興奮。在Google上快速搜索黑客攻擊汽車的主題,將搜索到無數(shù)個實際安全漏洞,這些漏洞會引起費用高昂的召回、訴訟,并導(dǎo)致品牌聲譽受損。事實上,軟件容易出現(xiàn)漏洞,而這些漏洞會被黑客利用??梢酝ㄟ^很多做法最大程度地減少漏洞并在檢測到漏洞后采取糾正措施;但是,只要人們編寫新代碼,就會引入新漏洞。
入侵汽車控制器局域網(wǎng)(CAN總線)是黑客的共同目標(biāo)。在之前的一些黑客攻擊中,黑客能夠先后利用藍(lán)牙及汽車操作系統(tǒng)中的漏洞通過CAN總線遠(yuǎn)程篡改報文?,F(xiàn)代汽車可能擁有多達(dá)100個ECU,其中很多安全關(guān)鍵型ECU通過總線通信。CAN總線具有諸多優(yōu)點。它使用一種低成本、極其穩(wěn)健且相對不易受到電子干擾的簡單協(xié)議,因此是安全關(guān)鍵型節(jié)點彼此通信的可靠選擇。缺點在于,數(shù)十年來,這項協(xié)議一直沒有任何安全措施,這意味著黑客一旦成功入侵,他們便能發(fā)送偽造的報文,導(dǎo)致車載通信遭到嚴(yán)重破壞。例如,開/關(guān)雨刷、關(guān)閉頭燈、通過操縱音頻分散司機注意力、生成虛假儀表板報警、顯示錯誤的速度、移動座椅甚至將車駛離道路。好消息是,隨著CAN FD的出現(xiàn),報文有效負(fù)載中預(yù)留了額外的字節(jié)來存儲報文驗證代碼(MAC),可用于以加密方式驗證報文的真實性,濾除所有偽造的報文,從而提高安全性。有兩種MAC可供選擇:基于哈希算法的HMAC或基于AES對稱密鑰分組密碼的CMAC。絕大多數(shù)情況下實現(xiàn)的都是CMAC。
OEM一直忙于更新其網(wǎng)絡(luò)安全規(guī)范以應(yīng)對發(fā)生的所有黑客攻擊。幾乎所有OEM都需要升級安全關(guān)鍵型ECU來實現(xiàn)其全新網(wǎng)絡(luò)安全要求,其中一些OEM需要升級全部聯(lián)網(wǎng)ECU?;A(chǔ)安全模塊用于實現(xiàn)涉及加密驗證的安全引導(dǎo):主機控制器上運行的引導(dǎo)和應(yīng)用程序代碼保持不變,在上電和復(fù)位時處于可信狀態(tài),并且通常在引導(dǎo)后按照規(guī)定的頻率重復(fù)執(zhí)行。緊隨其后的要求是支持安全固件更新。回顧一下,所有軟件都會產(chǎn)生漏洞;因此,通常需要創(chuàng)建可現(xiàn)場應(yīng)用的固件漏洞補丁。此外,這些固件更新還需要加密安全實現(xiàn),它們通常需要使用對稱(AES)密鑰對傳入固件有效負(fù)載進(jìn)行加密并使用非對稱私鑰對其進(jìn)行簽名,最常見的私鑰是橢圓曲線加密(ECC)。這樣一來,向主機控制器提供升級映像時,在通過控制器中嵌入的ECC公鑰驗證有效負(fù)載的簽名前,不會執(zhí)行任何操作。完成簽名驗證后,即可解密映像,控制器固件通過漏洞補丁或功能增強進(jìn)行升級。安全演變之路上增加的第三項措施是上述報文驗證。
電動汽車領(lǐng)域的獨特之處在于對電池驗證的需求不斷增加。大多數(shù)電池組都在較大的電池組內(nèi)部設(shè)計了可更換的電池模塊,因此當(dāng)其中一個模塊發(fā)生故障時,只需更換該故障模塊,無需更換整個電池組或處理性能不佳的電池組。設(shè)計不佳的模塊可能成為安全隱患,導(dǎo)致車輛起火;因此,OEM必須加強生態(tài)系統(tǒng)管理,這意味著每個模塊都必須以加密方式進(jìn)行驗證,確保模塊制造經(jīng)審查通過OEM認(rèn)證,之后模塊才能在電池組中正常工作。不引發(fā)火災(zāi)但性能欠佳的模塊會損害OEM品牌聲譽,從而引起負(fù)面新聞和收入損失。這是對模塊制造商的來源進(jìn)行加密驗證的另一個原因。
對一個模塊進(jìn)行加密驗證意味著什么?加密驗證的實現(xiàn)方式是使用客戶特定的x.509證書鏈以及基于惟一ECC密鑰對的惟一設(shè)備級證書設(shè)置用于配置器件的客戶特定簽名密鑰。配置好的器件安裝在每個電池模塊上。當(dāng)電池組中更換某個電池模塊時,電池管理系統(tǒng)(BMS)(也稱為電池網(wǎng)關(guān))將向模塊詢問其惟一X.509證書,并一直驗證簽名鏈直至可信根。完成簽名驗證后,使用相關(guān)私鑰進(jìn)行簽名的模塊面臨一項挑戰(zhàn),即在不通過總線發(fā)送的情況下(某些情況下通過RF發(fā)送)證明已獲知機密信息。模塊級用例到此為止。在BMS內(nèi),OEM通常需要更復(fù)雜的用例。由于BMS/網(wǎng)關(guān)是連通外界、向云端提供例行電池健康狀態(tài)報告的通信點,因此安全用例擴展為包含安全引導(dǎo)、安全固件更新和傳輸層安全(TLS),以便與云端建立安全的通信通道。
此處探討的所有安全實現(xiàn)都需要安全密鑰存儲,而此類存儲只能通過真正的硬件安全實現(xiàn)。通過微型探測、故障注入、電磁邊信道攻擊、溫度/循環(huán)上電/電源毛刺和時序攻擊等執(zhí)行一些標(biāo)準(zhǔn)攻擊,即可輕松從標(biāo)準(zhǔn)單片機,甚至許多所謂的“安全單片機”中提取密鑰。因此,選擇合適的器件來執(zhí)行加密重任,防止密鑰遭受此類攻擊至關(guān)重要。專用安全器件提供各種架構(gòu)并被不同的術(shù)語引用,例如片上和外部硬件安全模塊(HSM)、安全元件、安全存儲子系統(tǒng)、密鑰庫和智能卡等。這些器件必須包含針對上述攻擊的防篡改功能以保護(hù)其安全存儲器中的密鑰。
但是,一級供應(yīng)商或OEM如何驗證實現(xiàn)的安全性足夠出色?安全元件供應(yīng)商證明其安全價值的最佳方法是將器件提交給第三方進(jìn)行漏洞評估。第三方應(yīng)獲得北美認(rèn)可的美國國家標(biāo)準(zhǔn)及技術(shù)研究所(NIST)、德國認(rèn)可的聯(lián)邦信息安全局(BSI)或全球認(rèn)可的信息系統(tǒng)安全高級官方合作組織(SOGIS)等可信機構(gòu)的認(rèn)證。SOGIS認(rèn)可的實驗室采用全球公認(rèn)的聯(lián)合解析庫(JIL)漏洞評分系統(tǒng),這套系統(tǒng)需要“白箱”評估,即提交IC的供應(yīng)商必須提供有關(guān)器件設(shè)計(數(shù)據(jù)流、子系統(tǒng)和存儲器映射定義)、硬件和固件啟動序列、安全保護(hù)機制說明、完整數(shù)據(jù)手冊、安全和自舉程序指南文檔、所有可用代碼(RTL和C級、加密庫和固件)、算法實現(xiàn)、編程腳本、通信協(xié)議、芯片布局以及源代碼的實驗室文檔。實驗室隨后將查看所有文檔,制定針對所提交樣片的攻擊計劃。評分系統(tǒng)根據(jù)提取機密信息密鑰花費的時長、所需的專業(yè)知識水平(應(yīng)屆畢業(yè)生一直到專家)、對評估對象(TOE)的了解、對TOE的訪問(執(zhí)行一次成功攻擊需要的樣片數(shù))、黑客攻擊設(shè)備的復(fù)雜程度和成本以及訪問樣片的難易程度進(jìn)行打分。得到的JIL評分依次為無評級、“基本”、“增強基本”、“中等”和“高”,其中“高”評級是能夠?qū)崿F(xiàn)的最高評分。JIL“高”評級以下表示實驗室能夠從器件提取私鑰。獲得JIL“高”評級的Microchip CryptoAutomotive? TrustAnchor100(TA100)外部HSM等器件能夠承受超過3個月的攻擊,達(dá)到這一時間后,實驗室將宣布器件遭到的攻擊“無效”。
片上還是片外,這是個問題。通過32位雙核MCU等片上解決方案升級前一代ECU的成本高昂,而在OEM要求實現(xiàn)真正的安全之前,標(biāo)準(zhǔn)MCU即可完全滿足前一代ECU的要求。如果要求完全重新構(gòu)建應(yīng)用程序代碼,這些片上解決方案還會顯著推遲上市時間。內(nèi)部開發(fā)安全代碼需要承擔(dān)極高的風(fēng)險,而交給第三方處理則要支付高昂的費用。此外,一級供應(yīng)商也很難將此類解決方案大量應(yīng)用于多種類型的ECU,因為每種類型都有不同的性能和外設(shè)要求。在這種背景下,外部HMS或配套安全元件能夠幫助一級供應(yīng)商極大地減輕安全升級負(fù)擔(dān)。它們可以添加到現(xiàn)有設(shè)計中的標(biāo)準(zhǔn)MCU旁邊,也可以集成到具有不同主機MCU要求的所有新設(shè)計中。TA100等外部HSM預(yù)先配置了全部安全代碼、密鑰和證書,可顯著縮短上市時間。給定與MCU無關(guān)的相關(guān)加密庫后,便可輕松移植到任何MCU。外部HSM可降低風(fēng)險、縮短上市時間及減少總成本,為一級供應(yīng)商提供了一條領(lǐng)先于完全重構(gòu)方案的競爭對手、獲得商業(yè)成功的捷徑。
由于當(dāng)今很多車輛支持聯(lián)網(wǎng)功能且車載網(wǎng)絡(luò)通信量很大,因此對車輛安全的需求明顯遠(yuǎn)超車輛報警。由于安全和品牌聲譽不容有失,因此在升級ECU時,請務(wù)必選擇經(jīng)過第三方審查的真正安全器件,以滿足眾多全新OEM網(wǎng)絡(luò)安全規(guī)范、SAE、ISO標(biāo)準(zhǔn)和地方政府的安全要求。
免責(zé)聲明:本文轉(zhuǎn)自網(wǎng)絡(luò),僅代表作者個人觀點,與亞訊車網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容(包括圖片版權(quán)等問題)未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。
買車、賣車就上亞訊車網(wǎng) taigonlinesolutions.com
汽車團(tuán)購 tg.yescar.cn,省心、省力、省錢!團(tuán)購電話:400-6808097
關(guān)鍵詞:安全,模塊,驗證,攻擊,電池
據(jù)寧德市應(yīng)急管理局消息,9月29日11時許,位于福建寧德市的寧德時代Z
9月29日,蔚來公司宣布與蔚來控股有限公司(以下簡稱:蔚來中國)的三家
近日,吉利汽車集團(tuán)CE0淦家閱在2024世界新能源汽車大會上透露:年內(nèi)
近日,從官方獲悉,哪吒汽車純電中型SUV——哪吒X在印尼雅加達(dá)正式上
近日,阿維塔07正式開啟交付,阿維塔科技總裁陳卓現(xiàn)場為車主交付。阿