新一代MCU如何提升車聯(lián)網(wǎng)汽車安全性

　　汽車高級駕駛輔助系統(tǒng)(ADAS)涉及ABS防抱死制動、安全氣囊、剎車控制、轉(zhuǎn)向控制、引擎控制、巡航控制、啟停、自動泊車、集成導航(GPS與Gallileo)等等，隨著這一系統(tǒng)的被引入，汽車電子生態(tài)系統(tǒng)正在變得更加互連且更為復雜。但與此同時，汽車電子器件也取代了很多的瑣碎功能，如車燈控制、空調(diào)、電動車窗、引擎啟動、車門開啟、可調(diào)及加熱座椅等等。

　　一般來說，車內(nèi)的每個功能都由一個網(wǎng)絡(luò)微控制器(MCU)來管理，這些MCU使用相同的通信總線來交換數(shù)據(jù)與信息，包括面向動力傳動、底盤與車身電子功能的CAN、FlexRay或LIN總線，以及用于娛樂信息系統(tǒng)的MOST光纖網(wǎng)絡(luò)和以太網(wǎng)。

　　從純粹的機械環(huán)境發(fā)展到復雜的電子環(huán)境，盡管從舒適性以及駕駛員和乘客的主動與被動安防方面來看，確實增加了許多附加價值，但同時，由于這些引擎控制單元(ECU)彼此互連，也引發(fā)了隱私與數(shù)據(jù)可靠性方面的重大安全問題。例如，幾十年前，CAN總線的設(shè)計初衷并沒有要求其具有高度的安全性，實際上，車內(nèi)通信總線內(nèi)部的任何CAN信息都會發(fā)送給系統(tǒng)的其它組成部分，而且不支持任何授權(quán)、鑒別和加密協(xié)議?，F(xiàn)代汽車使用CAN總線交換數(shù)據(jù)，用來開啟車門和啟動引擎，這些信息在車內(nèi)的ECU與電子鑰匙內(nèi)部的ECU之間交換。如果該系統(tǒng)遭到損害，竊賊就能輕易地偷走汽車，而且“黑客”也可以訪問車內(nèi)GPS來查看汽車常去的地方，從中探知司機在哪里，什么時候汽車無人看管。

　　此外，用于實現(xiàn)電郵、SMS、視頻流、視頻電話等互聯(lián)網(wǎng)移動功能的藍牙、GPRS或UMTS，也擴大了“黑客”的攻擊面，他們可以通過遠程訪問，侵入任何通信和駕駛系統(tǒng)，或者插入惡意軟件來竊取各種數(shù)據(jù)，如汽車的實時位置、經(jīng)常使用的路線和完整的對話等。

　　車載硬件安全架構(gòu)

　　顧名思義，“開放系統(tǒng)”是暴露的，它面臨通過多種方式實施各類攻擊的可能性正在持續(xù)增加。汽車車身內(nèi)部與外部通信網(wǎng)絡(luò)的不斷發(fā)展，正在迅速挑戰(zhàn)汽車電子本身的安全防護能力。

　　迄今為止，由于最普遍使用的傳輸總線CAN的內(nèi)部弱點，人們一直從軟件應(yīng)用的角度來研究“攻擊面”。但現(xiàn)在，行業(yè)內(nèi)開始把注意力轉(zhuǎn)向硬件架構(gòu)，以及應(yīng)該如何“密封”ECU使其難以滲透并避免受到非法操縱，例如未經(jīng)授權(quán)的安裝、惡意軟件上載、“木馬”軟件以及虛假升級等，或者至少能夠限制非法訪問并留下確鑿的篡改證據(jù)。

　　正因為如此，通過硅器件廠商與一家知名汽車OEM廠商的合作，開發(fā)出了面向汽車功能的新一代MCU.這類四核微控制器利用專門的安全內(nèi)核，即HSM(硬件安全模塊)，提供安全與防護功能，HSM內(nèi)部包含系統(tǒng)安全配置、安全啟動、外部訪問保護、閃存保護、加密功能和壽命結(jié)束保護等。

　　圖1嵌入ECU內(nèi)部的HSM硬件安全模塊

　　如圖2所示，HSM模塊嵌入在ECU內(nèi)部，絕對獨立于其它與內(nèi)存和外設(shè)訪問相關(guān)的內(nèi)核，數(shù)據(jù)和代碼都有專用的閃存扇區(qū)，而且嚴格限于預留訪問。

　　圖2五種不同階段的安全功能配置

　　配置系統(tǒng)安全性

　　系統(tǒng)安全性配置是在硬件層面保護敏感數(shù)據(jù)的第一步，在加電之前的重置階段完全控制整個初始配置，防止非法侵入和擅自篡改。

　　利用設(shè)備配置格式(DCF)，硅器件廠商和軟件開發(fā)商都可以保留所有初始配置，從而可以在啟動階段檢查與擊穿試驗和用戶擊穿試驗內(nèi)部DCF相關(guān)的特殊內(nèi)存地址、ECC(糾錯碼)錯誤以及奇偶校驗誤差。

　　在重置階段，利用各種漸進步驟，可以檢查一些安全防護功能。利用這種方式，通過幾個參數(shù)進行交叉檢查控制，就可以阻止以多種手段修改特殊內(nèi)存地址的企圖，或者強行改變啟動以加載新的惡意固件的企圖。

　　硬件架構(gòu)規(guī)則基于預先定義的設(shè)備功能狀態(tài)。安全設(shè)計人員提供出幾種安全級別，以便軟件開發(fā)者在最終實現(xiàn)其應(yīng)用時擁有較高的自由度。實際上，一些層級較低的軟件應(yīng)用經(jīng)常可以交給第三方開發(fā)，然后設(shè)計和實施遞增的、不可逆的保護，滿足不同開發(fā)者提出的要求。此外，多數(shù)安全機制在激活時要考慮設(shè)備的壽命周期(DLC)情況。硅器件廠商與軟件開發(fā)者可以建立五種可能的遞增與不可逆配置，以便實現(xiàn)針對侵入與操縱攻擊的反制措施。

　　對于每一個階段來說，安全等級都會得到提升，而且不能撤銷。從第二級開始，在客戶交付階段，這個非常有限的安全機制為軟件開發(fā)階段提供了最大的自由度，而在現(xiàn)場設(shè)備階段則開啟完整的各種安全防護功能。

　　通常，在JDP生產(chǎn)階段至客戶交付階段的過渡階段，設(shè)備從原始生產(chǎn)商手中轉(zhuǎn)移到第一個軟件開發(fā)者手中，后者把MCU整合到更加復雜的系統(tǒng)之中。從客戶交付階段到OEM生產(chǎn)階段，第三方為了保護自己的知識產(chǎn)權(quán)，一般會為設(shè)備開發(fā)最后的軟件應(yīng)用程序。最終，到達現(xiàn)場設(shè)備階段，需要在嵌入汽車的最終應(yīng)用里面采取一系列控制與不可撤銷的保護措施，來滿足OEM廠商以及系統(tǒng)開發(fā)者和汽車制造商的要求。“故障分析”是最后的設(shè)備生產(chǎn)階段，用于測試的是被退回到工廠的設(shè)備系統(tǒng)，因此在這一過程中，一些相關(guān)安全保護功能將被停用，避免MCU因壽命周期保護而被認定為失效。