向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

车联网时代基于硬件的车辆安全解决方案

时间:2019-10-21 作者:王灏 儒卓力微控制器产品销售经理 阅读:
现代化车辆具有许多外部接口功能,可以让旅途变得更加愉快。然而,这些接口也是黑客攻击车辆的入口,幸好基于硬件的安全功能提供了补救措施。车辆中的IT安全措施是至关重要的,使用具有集成HSM的先进半导体解决方案有助于提高安全性和实施效率。

未来,车辆到基础设施(V2I)和车辆到车辆(V2V)通信将与车辆到一切(V2X)通信相结合 ,这个价值十亿美元的市场吸引了越来越多的消费者关注。V2X通信的一个目标是通过交换信息来减少交通事故的发生量。根据对2004年至2008年美国道路交通事故的分析,美国交通部(USDOT)发现使用V2X系统可以预防450万起事故发生,占据所有事故的81%。0bZEETC-电子工程专辑

威胁

到目前为止,V2X尚未证明广受欢迎。其中一个原因是对V2X通信的安全性存在很多负面看法,最大的威胁可能在于网络攻击。如果车辆的计算机系统或手机系统遭到黑客入侵,则可能导致财产损失。如果当时汽车正在行驶中,甚至可能会危及人员生命。2015年两名安全研究人员利用了基于Linux的信息娱乐系统中的一个弱点,远程成功地攻击了一辆吉普切诺基的CAN总线,从而他们能够操控车辆。一年后,这两位研究人员通过笔记本电脑连接到车辆OBD端口,再次成功操控驾驶这辆吉普切诺基。0bZEETC-电子工程专辑

在几十年前开发CAN技术时,加密安全性尚未受到足够重视。因此,CAN并未保证数据的机密性,并且以广播模式传输信号。现代汽车通过CAN总线交换信息,例如打开车门和启动引擎。信息在车辆内的ECU和电子钥匙之间进行交换,如果这个系统被入侵,窃贼便很容易偷走这辆汽车。0bZEETC-电子工程专辑

此外,用于电子邮件、SMS、视频流、视频呼叫等移动互联网功能的蓝牙、GPRS或UMTS等无线通信标准为黑客提供了更大范围的“目标区域”。这使得黑客不仅能够控制车辆而且还能够安装恶意软件以窃取车辆数据,例如车辆位置、常规驾驶路线以及远程完成呼叫。由于现在所谓的远程信息处理控制单元(T-BOX)负责处理上述所有通信功能,因此安全性是重中之重。0bZEETC-电子工程专辑

解决方案

硬件架构必须具备哪些功能才能确保ECU满足最高安全要求,并且防止发生非法的篡改,未经授权的安装,恶意软件的上传,特洛伊木马和伪造升级?数据加密是确保车辆网络的内部通信总线内数据完整性、可用性和机密性的有效方式。因而该加密方法可以防止网络攻击。0bZEETC-电子工程专辑

0bZEETC-电子工程专辑
EVITA架构(图片来源:EVITA项目)0bZEETC-电子工程专辑

近年来,业界已经成立了各种各样的工作小组,提供相应的系统设计和验证指引来抵御黑客攻击和操纵。0bZEETC-电子工程专辑

这方面的一个主要示例是欧盟资助的EVITA研究项目,其中包括宝马、大陆集团、富士通、英飞凌和博世等数家企业。EVITA项目提出了许多指导原则,详细描述了各种汽车ECU安全架构的设计、验证和原型设计。此外,EVITA规定所有关键ECU均需要配备芯片,其中不仅要包含专用硬件安全模块(HSM),还要包含CPU;其中为HSM定义了三种不同要求的配置:全型、中型和小型。这些模块对ECU之间交换的所有信息进行加密和解密。0bZEETC-电子工程专辑

20191021-101.png0bZEETC-电子工程专辑

 0bZEETC-电子工程专辑

全型EVITA硬件安全模块0bZEETC-电子工程专辑

20191021-102.png0bZEETC-电子工程专辑

 0bZEETC-电子工程专辑

中型EVITA安全模块0bZEETC-电子工程专辑
0bZEETC-电子工程专辑

20191021-103.png0bZEETC-电子工程专辑

小型EVITA安全模块0bZEETC-电子工程专辑

基于EVITA标准,越来越多的半导体供应商正在其微控制器/微处理器中实施所谓的“安全区域”(也称为“信任锚”)。例如,意法半导体已将HSM同时集成到其基于电源架构的SPC5微控制器系列(MCU)和ARM核心处理器中,例如STA1385 TCU(远程信息处理控制单元)。0bZEETC-电子工程专辑

这些带有HSM的IC可以全面防范网络威胁。HSM是一个独立的子系统,具有自己的安全处理器内核、RAM和闪存(用于存储代码和数据)。此外,HSM还具有用于加密的硬件加速器。意法半导体公司旗下的这类器件是C3加密加速器,还包含一个真正随机数发生器(TRNG)。数据和中断请求通过硬件接口在HSM和应用处理器之间进行交换。0bZEETC-电子工程专辑

HSM不仅承担访问接入控制,还可以生成用于加密密匙的实际随机数,并通过集成的TRNG执行所有其它加密功能。如前所述,CAN总线无法提供高级别的安全性,因此无法保证所传输数据的机密性和完整性。但是,若能够配合已加密的数据,CAN总线也可用于安全数据传输。具有HASH函数、消息认证码(MAC)或CMAC的非对称和对称加密算法可以实现数据的机密性、完整性和可用性、数字签名和数据认证。所有的编码和解码功能都在硬件中实现,以确保主机CPU不会发生过载。0bZEETC-电子工程专辑

典型应用

安全启动

安全启动功能验证启动加载程序的完整性。为此,MCU的HSM首先通过总线主控器从闪存加载引导程序。使用商定的密钥,HSM可以计算所接收消息的MAC(消息认证码);如果计算出的MAC符合存储中的引导MAC,则数据的完整性得到保护,MCU便可以使用这个引导加载程序。0bZEETC-电子工程专辑

安全通信

HSM还可以实现安全通信。下面的例子说明了其工作原理:中央ECU与传感器ECU进行通信。如前所述,每个HSM都有一个TRNG和一个硬件加密引擎。中央ECU生成随机数并将其发送到传感器ECU。传感器接收了随机数,并行测量其数据和激活其HSM,以使用ECU随机数来加密测量数据。传感器ECU将加密数据发送回中央ECU。中央ECU使用自己的随机数来解密数据,然后将传送的随机数与接收的随机数进行比较,以验证数据的完整性和真实性。TRNG可以防止重放攻击和加密“窃听”。0bZEETC-电子工程专辑

闪存保护

由于密码和密钥等固件和安全配置资料存储在控制器的闪存中,因此闪存的保护也很重要。ST SPC5 MCU配备了两个专门负责保护存储器的模块:TDM强制软件在TDR(篡改检测区域)中删除一个或多个区块之前,必须先在特定闪存区域写入数据集。另一方面,在写入或删除闪存之前,PASS模块要先执行密码比较操作。0bZEETC-电子工程专辑

系统安全配置

为确保在重置后可安全地执行系统启动,在重新启动之前要先检查所有存储的设备配置格式(DCF)的完整性,从而防止未经授权的干预和更改。此外,还可以检查多项安全功能。这可以确保阻止使用多种攻击方法更改特定位置的内容,或者在启动时加载恶意固件的攻击。0bZEETC-电子工程专辑

结论

车辆中的IT安全措施是至关重要的,使用具有集成HSM的先进半导体解决方案有助于提高安全性和实施效率。0bZEETC-电子工程专辑

本文为《电子工程专辑》10月刊杂志文章,版权所有,禁止转载。点击申请免费杂志订阅0bZEETC-电子工程专辑

责编:Yvonne Geng0bZEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
您可能感兴趣的文章
  • 2019年EDA/IP收购业务盘点 2019年半导体市场EDA/IP行业依旧火热,当然也出现了一些并购案。本文对2019年EDA/IP收购业务进行简要的盘点。
  • 2020趋势预测:AIoT硬件创新+软件定义的汽车 本文转载自:Imgtec《Imagination:关于2020年的预测》,内容略有删改。 2020年这些领域将会出现什么新的技术和应用趋势? 1. 汽车不再需要汽油,软件可以定义未来的车辆;2. WiFi 6和蓝牙;3. 隐私推动边缘计算发展;4. 供应链安全;5. 中美贸易创造更多机会......
  • 汽车市场寒冬,为何Mentor还在加大投入? 全球汽车行业的下滑是个共识:几乎所有统计机构给出的数据都显示,2019年成为全球汽车行业的寒冬;而且在不同时间节点,这些统计机构还在持续下调预期。
  • 激光雷达竞争白热化,第一波洗牌序幕悄然拉开 钢铁侠伊隆·马斯克(Elon Musk)曾经在公开场合对车载激光雷达技术进行毫不留情的鞭挞和鄙视,但其实他也不是完全不认可激光雷达,在谈到SpaceX公司使用激光雷达时,他就说这是有意义的,只是用在汽车上显得很愚蠢而已。不过,12月7日凌晨,一辆处于自动驾驶模式的特斯拉Model 3在美国95号州际公路上发生撞车事故,从另一个侧面说明……
  • 图文详解汽车仪表板背后的车规级安全设计要求 车辆中的电子组件数量不断增长,不仅增加故障率,也给驾驶员和乘客带来更大风险。这种风险的增大迫使汽车行业将功能安全标准融入到汽车设计中。
  • 上海厂Model 3交付特斯拉股价大涨,马斯克脱衣跳舞感谢 1月7日,特斯拉在上海超级工厂庆祝了Model 3的首次交付,马斯克专程从美国洛杉矶来到中国上海。会上除了透露有关Model Y的更多信息,马斯克还兴奋地脱掉了自己的西装来了一场尬舞,对比一年前特斯拉深陷产能地狱、股价被做空和破产传闻,如今马斯克感到高兴并真心实意“感谢中国”是有理由的……
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告