未來，車輛到基礎設施(V2I)和車輛到車輛(V2V)通信將與車輛到一切(V2X)通信相結(jié)合 ，這個價值十億美元的市場也吸引了越來越多的消費者關(guān)注。V2X通信的一個目標是通過交換信息來減少交通事故的發(fā)生量。根據(jù)對2004年至2008年美國道路交通事故的分析，美國交通部(USDOT)發(fā)現(xiàn)使用V2X系統(tǒng)可以預防450萬起事故發(fā)生，占據(jù)所有事故的81%。

威脅

到目前為止，V2X尚未證明廣受歡迎。其中一個原因是圍繞V2X通信的安全性存在很多負面看法。最大的威脅可能在于網(wǎng)絡攻擊。如果車輛的計算機系統(tǒng)或手機系統(tǒng)遭到黑客入侵，則可能導致財產(chǎn)損失，如果當時汽車正在行駛中，甚至可能會危及人員生命。2015年兩名安全研究人員利用了基于Linux的信息娛樂系統(tǒng)中的一個弱點，成功地遠程攻擊了一輛吉普切諾基的CAN總線，使得他們能夠操控車輛。一年后，這兩位研究人員通過筆記本電腦連接到車輛OBD端口，再次成功操控駕駛這輛吉普切諾基。

在幾十年前開發(fā)CAN技術(shù)時，加密安全性尚未受到足夠重視。因此，CAN并未保證數(shù)據(jù)的機密性，并且以廣播模式傳輸信號?，F(xiàn)代汽車通過CAN總線交換信息，例如打開車門和啟動引擎。信息在車輛內(nèi)的ECU和電子鑰匙之間進行交換，如果這個系統(tǒng)被入侵，竊賊便很容易偷走這輛汽車。

此外，用于電子郵件、SMS、視頻流、視頻呼叫等移動互聯(lián)網(wǎng)功能的藍牙、GPRS或UMTS等無線通信標準為黑客提供了更大范圍的“目標區(qū)域”。這使得黑客不僅能夠控制車輛而且還能夠安裝惡意軟件以竊取車輛數(shù)據(jù)，例如車輛位置、常規(guī)駕駛路線以及遠程完成呼叫。由于現(xiàn)在所謂的遠程信息處理控制單元(T-BOX)負責處理上述所有通信功能，因此安全性是重中之重。

解決方案

硬件架構(gòu)必須具備哪些功能以確保ECU滿足最高安全要求，并且防止發(fā)生非法的篡改，未經(jīng)授權(quán)的安裝，惡意軟件的上傳，特洛伊木馬和偽造升級？數(shù)據(jù)加密是確保車輛網(wǎng)絡的內(nèi)部通信總線內(nèi)數(shù)據(jù)完整性、可用性和機密性的有效方式。因而加密方法可以防止網(wǎng)絡攻擊。

近年來，業(yè)界已經(jīng)成立了各種各樣的工作小組，針對抵御黑客攻擊和操縱，提供相應的系統(tǒng)設計和驗證指引。

這方面的一個主要示例是歐盟資助的EVITA研究項目，其中包括寶馬、大陸集團、富士通、英飛凌和博世等數(shù)家企業(yè)。EVITA項目提出了許多指導原則，詳細描述了各種汽車ECU安全架構(gòu)的設計、驗證和原型設計。此外，EVITA規(guī)定所有關(guān)鍵ECU均需要配備芯片，其中不僅要包含專用硬件安全模塊(HSM)，還要包含CPU；其中為HSM定義了三種不同要求的配置：全型、中型和小型。這些模塊對ECU之間交換的所有信息進行加密和解密。

基于EVITA標準，越來越多的半導體供應商正在其微控制器/微處理器中實施所謂的“安全區(qū)域”(也稱為“信任錨”)。例如，意法半導體已將HSM同時集成到其基于電源架構(gòu)的SPC5微控制器系列(MCU)和ARM核心處理器中，例如STA1385 TCU(遠程信息處理控制單元)。

這些帶有HSM的IC可以全面防范網(wǎng)絡威脅。HSM是一個獨立的子系統(tǒng)，具有自己的安全處理器內(nèi)核、RAM和閃存(用于代碼和數(shù)據(jù))。此外，HSM還具有用于加密的硬件加速器。意法半導體公司旗下的這類器件是C3加密加速器，還包含一個真正隨機數(shù)發(fā)生器(TRNG)。數(shù)據(jù)和中斷請求通過硬件接口在HSM和應用處理器之間進行交換。

HSM不僅承擔訪問接入控制，還可以生成用于加密密匙的實際隨機數(shù)，并通過集成的TRNG執(zhí)行所有其他加密功能。如前所述，CAN總線無法提供高級別的安全性，因此無法保證所傳輸數(shù)據(jù)的機密性和完整性。但是，若能夠配合已加密的數(shù)據(jù)，CAN總線也可用于安全數(shù)據(jù)傳輸。具有哈希(HASH)功能、消息認證碼(MAC)或CMAC的非對稱和對稱加密算法可以實現(xiàn)數(shù)據(jù)的機密性、完整性和可用性、數(shù)字簽名和數(shù)據(jù)認證。所有的編碼和解碼功能都在硬件中實現(xiàn)，以確保主機CPU不會發(fā)生過載。

典型應用

安全啟動

安全啟動功能驗證啟動加載程序的完整性。為此，MCU的HSM首先通過總線主控器從閃存加載引導程序。使用商定的密匙，HSM可以計算所接收消息的MAC(消息認證碼)；如果計算出的MAC符合存儲中的引導MAC，則數(shù)據(jù)的完整性得到保護，MCU便可以使用這個引導加載程序。

安全通信

HSM還可以實現(xiàn)安全通信。以下示例顯示其工作原理：中央ECU與傳感器ECU進行通信。如前所述，每個HSM都有一個TRNG和一個硬件加密引擎。中央ECU生成隨機數(shù)并將其發(fā)送到傳感器ECU。傳感器接收了隨機數(shù)，并行測量其數(shù)據(jù)和激活其HSM，以使用ECU隨機數(shù)來加密測量數(shù)據(jù)。傳感器ECU將加密數(shù)據(jù)發(fā)送回中央ECU。中央ECU使用自己的隨機數(shù)來解密數(shù)據(jù)，然后將傳送的隨機數(shù)與接收的隨機數(shù)進行比較，以驗證數(shù)據(jù)的完整性和真實性。TRNG可以防止重放攻擊和加密“竊聽”。

閃存保護

由于密碼和密匙等固件和安全配置資料存儲在控制器的閃存中，因此閃存的保護也很重要。ST SPC5 MCU配備了兩個專門負責保護存儲器的模塊：TDM強制軟件在TDR(篡改檢測區(qū)域)中刪除一個或多個區(qū)塊之前，必須先在特定閃存區(qū)域?qū)懭霐?shù)據(jù)集。另一方面，在寫入或刪除閃存之前，PASS模塊要先執(zhí)行密碼比較操作。

系統(tǒng)安全配置

為確保在重置后可安全地執(zhí)行系統(tǒng)啟動，在重新啟動之前要先檢查所有存儲的設備配置格式(DCF)的完整性，從而防止未經(jīng)授權(quán)的干預和更改。此外，還可以檢查多項安全功能。這可以確保阻止使用多種攻擊方法更改特定位置的內(nèi)容，或者在啟動時加載惡意固件的攻擊。

結(jié)論

車輛中的IT安全措施是至關(guān)重要的，使用具有集成HSM的最先進半導體方案有助于提高安全性和實施效率。