(本文编译自Semiconductor Engineering)
汽车正变得越来越智能、复杂,也更容易遭受到网络攻击。随着汽车中半导体和软件数量的不断增加,空中更新(OTA)以及与边缘服务器和服务的连接数量也在不断增加,这为攻击增加了多种新的途径。
要确保车辆的安全,工程师首先需要识别所有可能的连接点。过去,车辆的安全策略中会采用多个ECU,如今汽车制造商越来越依赖单个增强型ECU,因为它可以提高性能和能效。为了弥补冗余度的降低,汽车制造商正在添加数据加密和强大的安全IP,并且开始要求更多类型的工程师进行一定程度的安全培训。
英飞凌美洲区汽车市场营销副总裁Bill Stewart表示:“看看我们产品的应用场景。它们用于转向系统、制动系统、动力系统,无论是燃油车(ICE)还是电动车(EV),这些都已经是关键任务系统。即使对于许多ADAS系统,您要采集传感器数据,将其转换为车辆行驶方向的指令,转换为制动或油门信息,这需要真正高质量的器件。器件必须具备安全功能,而且安全标准始终在不断变化。”
任何优秀的运动队都知道,制定防御计划的最佳方法是了解对手的进攻计划。虽然恶意攻击者不断推陈出新,但对抗他们的最佳方法是找出系统的薄弱之处。
Cadence计算解决方案部门副总裁David Glasco表示,从严格意义上来说,汽车只有一个直接攻击路径——所有软件更新都通过Wi-Fi上传。一旦恶意攻击者突破了这一防线,他们就能找到无数种方法来破坏系统。
“一旦我能够进入汽车系统,就可以接触到芯片,”Glasco表示,“黑客可以通过观察芯片的电磁辐射来尝试推断密钥。如果你还没有看过对无防护安全措施的侧信道攻击演示,那么你就会发现,如果没有侧信道保护,攻击是多么容易。你不仅要确保拥有信任根,而且这个信任根必须具有所有必要的侧信道防御措施。”
其他人也同意这一观点。西门子数字工业软件公司混合和虚拟系统副总裁David Fritz表示:“(威胁可能来自)外部的任何事物,这里的外部指的是计算系统本身之外的事物。”他表示,汽车中一种非常规攻击途径是通过大量传感器,黑客可以利用这些传感器“将不良数据输入到中央计算系统”。“但在当今的架构中,存在一个安全岛,所有这些外部输入都必须经过安全岛,并在被传递到中央计算系统之前,验证其合法性。”
这个安全岛是ISO/SAE 21434标准所要求的,通常以ECU的形式存在,用于路由数据,然后检测并拒绝不安全的输入。过去,汽车设计中通常会部署多个ECU,但最近的趋势是采用一个计算能力更强的ECU来运行管理程序,而这个管理程序又可以运行多个操作系统。
“你可能有一个安全操作系统来处理关键任务,然后同一个ECU上还有另一个操作系统,可以将视频流传输给后座的孩子们播放视频,”Fritz表示,“我们称之为混合关键性。其中一些任务可能是关键任务,有些则不是,但你需要把这些整合在一起。当你整合这些功能时,会带来一些显著的优势。它减轻了重量,降低了功耗,从而延长了电动汽车的续航里程。这大大降低了成本。但与此同时,我们会在同一个环境中运行非关键任务和关键任务,因此确保进入这个整合后的ECU的数据没有被破坏,或者以某种方式携带可能对必须执行的关键任务有害的东西,这一点非常重要。”
ECU可以被视为一个强化网关,在这个网关上进行加密操作,并且需要进一步加强防护,以防止任何潜在故障,无论是来自人为攻击还是其他来源。
“我们正在进行各种纠错和加密/解密、公钥和私钥等所有常规的安全措施,但如果硬件本身有办法绕过该机制,那一切都无济于事,”Fritz表示,“要做到这一点,就需要专门设计具有容错能力的芯片,因为你不希望仅仅因为电池电量低或其他类似原因而导致安全功能失效。”
所有安全防护的核心归根结底在于恰当且强大的加密技术。加密算法和软件会不断变化,这进一步凸显了对万无一失的硬件的需求。虽然这在ECU中尤为重要,但车辆内的数据也可以加密作为一种故障安全措施。例如,英飞凌使用专用的安全处理器,该处理器独立于同一芯片上的其他组件运行,可以通过加密汽车内部的数据流充当冗余层。
“你必须确保车辆系统从外部和内部的安全,我们也在对车内的网络流量进行加密,”Stewart说道,“这主要在我们内置硬件安全模块的微控制器上实现。显然,这需要大量的密集处理工作。如果你要对每条以太网消息进行加密和解密,并且还有雷达数据和摄像头数据,那么这些车辆中就会有大量数据在流动。软件定义汽车(SDV)的最大不同在于硬件和软件功能的解耦方式。你需要来回传输更多数据。这对于安全性而言,意味着你需要同时对这些数据进行加密。在这种情况下,拥有高效的处理器(这些处理器内部有隔离区域,可以在不干扰主处理器的情况下处理所有这些数据)就会大有裨益。”
如今,向整体安全防护的转变还包括在汽车各系统的IC中安装信任根。“它们用于在车辆内建立安全网络,”新思科技科学家Mike Borza表示,“这样一来,车辆的安全性就能得到保障,车辆的身份也能与制造商的网络建立关联,这就为你提供了一种对软件进行认证和安全更新的方法,但这一切都源于芯片中的硬件信任根。即使我们过渡到所谓的SDV,这种情况也会持续存在。”
一些安全关键问题可以在软件层面解决,但这可能导致比基于硬件的解决方案更多的漏洞。Imagination Technologies产品管理高级总监Rob Fisher表示,在GPU中创建虚拟环境可以带来更理想的结果,Imagination最初在手机中使用这种方法,如今已将其拓展至汽车领域。
Fisher表示:“我们在GPU中所做的,是让非安全关键任务与安全关键任务并行运行且互不干扰。本质上,我们在GPU中创建了多个相互隔离、无法通信的环境,我们这样做是出于安全考量。但在SoC上创建安全环境的这一策略,还包括对这些环境进行分区,并设置权限等级,以便特权应用程序可以访问架构的不同部分,而运行中的第三方应用程序则不具备相同的访问权限。”
在汽车领域,实施此类IP可让SoC通过执行周期分配任务,从而执行一系列操作。例如,这可能是信息娱乐任务,也可能是与ADAS相关的任务。这两项任务都将分布在物理上分离的硬件寄存器中。虽然这显然有助于功能安全,但Fisher指出,它还可以对车辆的网络安全产生积极影响。
“拥有多个环境,这与在CPU结构中设置不同的权限等级非常相似,例如,这能让你为第三方应用程序分配非常低的权限,”他表示,“在我的车里,我可能会下载一个寻找停车场的新应用程序,但我不知道是谁编写的。我不知道那个编写者是否以合理、安全的方式开发了该应用。又或者,它可能是一个试图入侵我汽车的应用程序。我希望在SoC中一个高度隔离的区域内运行它,所以我给它分配一个极低的权限等级,这个权限等级将不允许它访问GPU,或者不允许它访问车辆总线、传感器总线之类的组件。”
从功能强大的ECU,到多层冗余设计,再到安全IP,实现这些安全功能虽会增加成本,但却是必要的。通常在讨论实施安全措施时,会涉及对PPA影响的权衡,但Cadence的Glasco表示,在SDV的背景下,安全性优先于任何其他考量因素。
“Security和Safety同样重要,”他表示,“Security是终极目标,也是首要任务。如果有人能侵入车辆,他们就能让你撞向墙壁。所以必须确保安全。你必须拥有非常优秀的安全架构师,而且必须认真考虑威胁路径。问题在于,有些人整天都在积极寻找新的攻击路径。”
Rambus汽车行业业务开发总监Adiel Bahrouch认为,对于任何想要涉足汽车领域的设计师来说,至少具备一定程度的安全专业知识是必不可少的。
“我们面对的是一个非常复杂的系统,而复杂性是SecuritySafety的敌人,”Bahrouch说道,“我们面对的是一辆全天候与外界相连的汽车,它还会从传感器收集大量用于ADAS和自动驾驶的数据。大量数据需要处理,因此Security和Safety变得至关重要。在设计中加入Security和Safety功能可能会导致某些系统选择和系统架构选择。”
Glasco对此表示赞同。虽然试图远程访问车辆的攻击者几乎肯定要通过ECU,但仍需要多层冗余设计。
“你必须把它看作一个大系统,”他表示,“你必须把它看作是攻击者有可能侵入的系统。这远不止是安全启动这么简单。你必须考虑所有的攻击途径,尤其是现在的联网汽车、Wi-Fi联网汽车和OTA更新。攻击途径比以往更多了。”
这些冗余可以采用硬件安全模块(HSM)的形式,他们遍布整个汽车系统。考虑到所有传入的数据最终都要经过ECU,这可能看似有些过度,但却是必要的。
