新一代MCU如何提升車聯(lián)網(wǎng)汽車安全性

1、新一代mcu如何提升車聯(lián)網(wǎng)汽車安全性汽車高級(jí)駕駛輔助系統(tǒng)(adas)涉及abs防抱死制動(dòng)、平安氣囊、剎車控制、轉(zhuǎn)向控制、引擎控制、巡航控制、啟停、自動(dòng)泊車、集成導(dǎo)航(與gallileo)等等，隨著這一系統(tǒng)的被引入，生態(tài)系統(tǒng)正在變得越發(fā)互連且更為復(fù)雜。但與此同時(shí)，汽車器件也取代了無數(shù)的瑣碎功能，如車燈控制、空調(diào)、電動(dòng)車窗、引擎啟動(dòng)、車門開啟、可調(diào)及加熱座椅等等。普通來說，車內(nèi)的每個(gè)功能都由一個(gè)網(wǎng)絡(luò)微控制器()來管理，這些mcu用法相同的通信來交換數(shù)據(jù)與信息，包括面對(duì)動(dòng)力傳動(dòng)、底盤與車身電子功能的can、flexray或lin總線，以及用于消遣信息系統(tǒng)的most光纖網(wǎng)絡(luò)和以太網(wǎng)。從純粹的機(jī)械環(huán)境進(jìn)

2、展到復(fù)雜的電子環(huán)境，盡管從舒服性以及駕駛員和乘客的主動(dòng)與被動(dòng)安防方面來看，的確增強(qiáng)了許多附加價(jià)值，但同時(shí)，因?yàn)檫@些引擎控制單元(ecu)彼此互連，也引發(fā)了隱私與數(shù)據(jù)牢靠性方面的重大平安問題。例如，幾十年前，的設(shè)計(jì)初衷并沒有要求其具有高度的平安性，事實(shí)上，車內(nèi)通信總線內(nèi)部的任何can信息都會(huì)發(fā)送給系統(tǒng)的其它組成部分，而且不支持任何授權(quán)、鑒別和加密協(xié)議?，F(xiàn)代汽車用法can總線交換數(shù)據(jù)，用來開啟車門和啟動(dòng)引擎，這些信息在車內(nèi)的ecu與電子鑰匙內(nèi)部的ecu之間交換。假如該系統(tǒng)遭到傷害，竊賊就能輕易地偷走汽車，而且“黑客”也可以拜訪車內(nèi)gps來查看汽車常去的地方，從中探知司機(jī)在哪里，什么時(shí)候汽車無人看守

3、。此外，用于實(shí)現(xiàn)電郵、sms、視頻流、視頻電話等互聯(lián)網(wǎng)移動(dòng)功能的、gprs或umts，也擴(kuò)大了“黑客”的襲擊面，他們可以通過遠(yuǎn)程拜訪，侵入任何通信和駕駛系統(tǒng)，或者插入惡意軟件來竊取各種數(shù)據(jù)，如汽車的實(shí)時(shí)位置、常常用法的路途和完整的對(duì)話等。車載硬件平安架構(gòu)顧名思義，“開放系統(tǒng)”是裸露的，它瀕臨通過多種方式實(shí)施各類襲擊的可能性正在持續(xù)增強(qiáng)。汽車車身內(nèi)部與外部通信網(wǎng)絡(luò)的不斷進(jìn)展，正在快速挑戰(zhàn)汽車電子本身的平安防護(hù)能力。迄今為止，因?yàn)樽钇毡橛梅ǖ膫鬏斂偩€can的內(nèi)部弱點(diǎn)，人們向來從軟件應(yīng)用的角度來討論“襲擊面”。但現(xiàn)在，行業(yè)內(nèi)開頭把注重力轉(zhuǎn)向硬件架構(gòu)，以及應(yīng)當(dāng)如何“密封”ecu使其難以滲透并避開受到非

4、法操縱，例如未經(jīng)授權(quán)的安裝、惡意軟件上載、“木馬”軟件以及虛假升級(jí)等，或者起碼能夠限制非法拜訪并留下確鑿的篡改證據(jù)。正由于如此，通過硅器件廠商與一家知名汽車oem廠商的合作，開發(fā)出了面對(duì)汽車功能的新一代mcu。這類四核微控制器利用特地的平安內(nèi)核，即hsm(硬件平安模塊)，提供平安與防護(hù)功能，hsm內(nèi)部包含系統(tǒng)平安配置、平安啟動(dòng)、外部拜訪庇護(hù)、閃存庇護(hù)、加密功能和壽命結(jié)束庇護(hù)等。圖1 嵌入ecu內(nèi)部的hsm硬件平安模塊2所示，hsm模塊嵌入在ecu內(nèi)部，肯定自立于其它與內(nèi)存和外設(shè)拜訪相關(guān)的內(nèi)核，數(shù)據(jù)和代碼都有專用的閃存扇區(qū)，而且嚴(yán)格限于預(yù)留拜訪。圖2 五種不同階段的平安功能配置配置系統(tǒng)平安性系統(tǒng)

5、平安性配置是在硬件層面庇護(hù)敏感數(shù)據(jù)的第一步，在加電之前的重置階段徹低控制囫圇初始配置，防止非法侵入和擅自篡改。利用設(shè)備配置格式(dcf)，硅器件廠商和軟件開發(fā)商都可以保留全部初始配置，從而可以在啟動(dòng)階段檢查與擊穿實(shí)驗(yàn)和用戶擊穿實(shí)驗(yàn)內(nèi)部dcf相關(guān)的特別內(nèi)存地址、ecc(糾錯(cuò)碼)錯(cuò)誤以及奇偶校驗(yàn)誤差。在重置階段，利用各種漸長進(jìn)驟，可以檢查一些平安防護(hù)功能。利用這種方式，通過幾個(gè)參數(shù)舉行交錯(cuò)檢查控制，就可以阻擋以多種手段修改特別內(nèi)存地址的企圖，或者強(qiáng)行轉(zhuǎn)變啟動(dòng)以加載新的惡意固件的企圖。硬件架構(gòu)規(guī)章基于預(yù)先定義的設(shè)備功能狀態(tài)。平安設(shè)計(jì)人員提供出幾種平安級(jí)別，以便軟件開發(fā)者在終于實(shí)現(xiàn)其應(yīng)用時(shí)擁有較高的自

6、由度。事實(shí)上，一些層級(jí)較低的軟件應(yīng)用常?？梢越唤o第三方開發(fā)，然后設(shè)計(jì)和實(shí)施遞增的、不行逆的庇護(hù)，滿足不同開發(fā)者提出的要求。此外，多數(shù)平安機(jī)制在激活時(shí)要考慮設(shè)備的壽命周期(dlc)狀況。硅器件廠商與軟件開發(fā)者可以建立五種可能的遞增與不行逆配置，以便實(shí)現(xiàn)針對(duì)侵入與操縱襲擊的反制措施。對(duì)于每一個(gè)階段來說，平安等級(jí)都會(huì)得到提升，而且不能撤銷。從其次級(jí)開頭，在客戶交付階段，這個(gè)十分有限的平安機(jī)制為軟件開發(fā)階段提供了最大的自由度，而在現(xiàn)場設(shè)備階段則開啟完整的各種平安防護(hù)功能。通常，在jdp生產(chǎn)階段至客戶交付階段的過渡階段，設(shè)備從原始生產(chǎn)商手中轉(zhuǎn)移到第一個(gè)軟件開發(fā)者手中，后者把mcu整合到越發(fā)復(fù)雜的系統(tǒng)之中

7、。從客戶交付階段到oem生產(chǎn)階段，第三方為了庇護(hù)自己的學(xué)問產(chǎn)權(quán)，普通會(huì)為設(shè)備開發(fā)最后的軟件應(yīng)用程序。終于，到達(dá)現(xiàn)場設(shè)備階段，需要在嵌入汽車的終于應(yīng)用里面實(shí)行一系列控制與不行撤銷的庇護(hù)措施，來滿足oem廠商以及系統(tǒng)開發(fā)者和汽車創(chuàng)造商的要求?！肮收戏治觥笔亲詈蟮脑O(shè)備生產(chǎn)階段，用于測試的是被退回到工廠的設(shè)備系統(tǒng)，因此在這一過程中，一些相關(guān)平安庇護(hù)功能將被停用，避開mcu因壽命周期庇護(hù)而被認(rèn)定為失效。啟動(dòng)平安機(jī)制在啟動(dòng)階段，mcu四個(gè)內(nèi)核中惟獨(dú)兩個(gè)通過重置被喚醒。這兩個(gè)是iop(輸入輸出處理器)和hsm內(nèi)核。通過一個(gè)dcf記錄，iop與hsm cpu之間的一個(gè)信號(hào)交換過程被激活。iop執(zhí)行baf啟動(dòng)輔

8、助閃存，而hsm cpu執(zhí)行客戶定義的代碼。iop內(nèi)核執(zhí)行系統(tǒng)設(shè)置，假如敏感數(shù)據(jù)遭到修改或者發(fā)覺有侵入企圖，hsm內(nèi)核就會(huì)舉行各種檢驗(yàn)，例如閃存完整性檢驗(yàn)。平安啟動(dòng)能夠向來保持并處于受控狀態(tài)，同時(shí)進(jìn)入特別的預(yù)定邊界和微啟動(dòng)階段，與此同時(shí)，能夠檢測篡改襲擊或rom中的固件操縱。在這種狀況下，它可以禁用全部的加密功能，使全部密鑰不行用。por(加電重置)過程中的iop內(nèi)核，假如處于設(shè)備的客戶交付階段，則對(duì)其編程以便執(zhí)行baf輔助閃存。這個(gè)baf是寫入某些內(nèi)存地址中的嵌入代碼，利用兩種機(jī)制加以庇護(hù)：otp(一次性可編程)和opp(程序外庇護(hù))。通過這種方式，啟動(dòng)永久在受控狀態(tài)下執(zhí)行，也可以利用一個(gè)串

9、行引導(dǎo)裝入過程，或者在挺直跳轉(zhuǎn)到應(yīng)用代碼起點(diǎn)的狀況下，把拜訪權(quán)授予ram。各種軟件開發(fā)者都參加到最后的應(yīng)用發(fā)布中，僅在客戶交付和oem生產(chǎn)階段啟用baf，允許上載固件，而在現(xiàn)場設(shè)備階段則徹低禁用。通過這種方式，應(yīng)用代碼在執(zhí)行過程中遭到限制，不行能利用硬件系統(tǒng)資源舉行未經(jīng)授權(quán)的固件升級(jí)。在現(xiàn)場設(shè)備階段，惟獨(dú)oem廠商開發(fā)的應(yīng)用才干執(zhí)行固件升級(jí)。防范外部拜訪汽車選用電子器件是由于其可以通過多種通信總線實(shí)現(xiàn)先進(jìn)的互連功能，因此對(duì)于平安設(shè)計(jì)者來說，庇護(hù)和外部界面的拜訪是最大的挑戰(zhàn)。為了能對(duì)器件拜訪具有較強(qiáng)的挑選性，業(yè)內(nèi)開發(fā)出一種多層jtag平安架構(gòu)。jtag平安架構(gòu)采納了所謂的“pass”模塊，除了庇

10、護(hù)器件閃存拜訪的基本任務(wù)以外，它利用一種口令機(jī)制來限制jtag端口拜訪。因此，jtag端口得到了嚴(yán)格控制，采納一種挑戰(zhàn)/響應(yīng)協(xié)議，封鎖任何自由拜訪。與pass模塊相協(xié)作的還有“審查模塊”，在設(shè)備遭到審查或jtag口令無法識(shí)別的時(shí)候，啟用閃存讀出庇護(hù)和調(diào)試界面拜訪。換句話說，從oem生產(chǎn)階段及后續(xù)階段，審查模塊可以讓設(shè)備被審查或不被審查，在授權(quán)調(diào)試器拜訪的時(shí)候，修改閃存可以被jtag界面讀取。此外，設(shè)備拜訪也依靠來自現(xiàn)場設(shè)備階段的“生產(chǎn)禁用”dcf設(shè)備配置格式，具有高于全部拜訪控制的優(yōu)先級(jí)，可以禁用調(diào)試端口界面。在設(shè)置dcf之后，mcu的運(yùn)行將不受任何限制，但調(diào)試端口界面將被禁用。軟件開發(fā)者可以

11、打算重新啟用這個(gè)端口，但設(shè)備不再能夠用法。事實(shí)上，這種機(jī)制是在can和flexray總線波特率中添加了一個(gè)時(shí)鐘偏差，使得這些通信總線無法工作。另一方面，還需增強(qiáng)兩個(gè)平安級(jí)別，以限制利用調(diào)試端口界面向mcu的內(nèi)存拜訪。hsm用法兩個(gè)寄存器(hsmdur和mdur)來控制外部工具對(duì)主內(nèi)核與hsm內(nèi)核的拜訪。這樣一來，在發(fā)生非法拜訪的狀況下，同一個(gè)tap控制器就可以受到嚴(yán)格限制。換句話說，即使襲擊者能夠在調(diào)試端口舉行未經(jīng)授權(quán)的拜訪，但仍然無法拜訪hsm及其代碼。最弱環(huán)節(jié)：mcu閃存對(duì)于任何外部襲擊來說，最薄弱的環(huán)節(jié)大概就是mcu閃存，這里存放著固件以及全部的平安配置，如口令和密鑰。因此很自然，在mcu內(nèi)部實(shí)行了多種機(jī)制和模塊加以庇護(hù)，與mpu(內(nèi)存庇護(hù)單元)一道，另外兩個(gè)模塊徹低用于庇護(hù)設(shè)備閃存內(nèi)容：即pass和tdm模塊。此外還有上面提到的hsm、審查模塊和密封模塊能夠有效地限制閃存拜訪。3所示，pass與tdm模塊組合可以禁用全部的閃存擦除與程序操作，而一個(gè)專用dcf(otp_en)可以啟用原始設(shè)備的編程。圖3 mcu閃存封鎖庇護(hù)系統(tǒng)盡管mpu在不同拜訪層級(jí)(讀/寫或用戶/審查模式等等)庇護(hù)和管理內(nèi)存，但無法反抗可以修改內(nèi)存內(nèi)容的侵入襲擊和外部操縱。進(jìn)入pass模塊，該模塊不僅可以利用256位口令機(jī)制控制任何閃存操作(閃存讀取