新一代MCU如何提升車聯網汽車安全性

　　汽車高級駕駛輔助系統(ADAS)涉及ABS防抱死制動、安全氣囊、剎車控制、轉向控制、引擎控制、巡航控制、啟停、自動泊車、集成導航(GPS與Gallileo)等等，隨著這一系統的被引入，汽車電子生態系統正在變得更加互連且更為復雜。但與此同時，汽車電子器件也取代了很多的瑣碎功能，如車燈控制、空調、電動車窗、引擎啟動、車門開啟、可調及加熱座椅等等。

　　一般來說，車內的每個功能都由一個網絡微控制器(MCU)來管理，這些MCU使用相同的通信總線來交換數據與信息，包括面向動力傳動、底盤與車身電子功能的CAN、FlexRay或LIN總線，以及用于娛樂信息系統的MOST光纖網絡和以太網。

　　從純粹的機械環境發展到復雜的電子環境，盡管從舒適性以及駕駛員和乘客的主動與被動安防方面來看，確實增加了許多附加價值，但同時，由于這些引擎控制單元(ECU)彼此互連，也引發了隱私與數據可靠性方面的重大安全問題。例如，幾十年前，CAN總線的設計初衷并沒有要求其具有高度的安全性，實際上，車內通信總線內部的任何CAN信息都會發送給系統的其它組成部分，而且不支持任何授權、鑒別和加密協議。現代汽車使用CAN總線交換數據，用來開啟車門和啟動引擎，這些信息在車內的ECU與電子鑰匙內部的ECU之間交換。如果該系統遭到損害，竊賊就能輕易地偷走汽車，而且“黑客”也可以訪問車內GPS來查看汽車常去的地方，從中探知司機在哪里，什么時候汽車無人看管。

　　此外，用于實現電郵、SMS、視頻流、視頻電話等互聯網移動功能的藍牙、GPRS或UMTS，也擴大了“黑客”的攻擊面，他們可以通過遠程訪問，侵入任何通信和駕駛系統，或者插入惡意軟件來竊取各種數據，如汽車的實時位置、經常使用的路線和完整的對話等。

　　車載硬件安全架構

　　顧名思義，“開放系統”是暴露的，它面臨通過多種方式實施各類攻擊的可能性正在持續增加。汽車車身內部與外部通信網絡的不斷發展，正在迅速挑戰汽車電子本身的安全防護能力。

　　迄今為止，由于最普遍使用的傳輸總線CAN的內部弱點，人們一直從軟件應用的角度來研究“攻擊面”。但現在，行業內開始把注意力轉向硬件架構，以及應該如何“密封”ECU使其難以滲透并避免受到非法操縱，例如未經授權的安裝、惡意軟件上載、“木馬”軟件以及虛假升級等，或者至少能夠限制非法訪問并留下確鑿的篡改證據。

　　正因為如此，通過硅器件廠商與一家知名汽車OEM廠商的合作，開發出了面向汽車功能的新一代MCU.這類四核微控制器利用專門的安全內核，即HSM(硬件安全模塊)，提供安全與防護功能，HSM內部包含系統安全配置、安全啟動、外部訪問保護、閃存保護、加密功能和壽命結束保護等。

　　圖1嵌入ECU內部的HSM硬件安全模塊

　　如圖2所示，HSM模塊嵌入在ECU內部，絕對獨立于其它與內存和外設訪問相關的內核，數據和代碼都有專用的閃存扇區，而且嚴格限于預留訪問。

　　圖2五種不同階段的安全功能配置

　　配置系統安全性

　　系統安全性配置是在硬件層面保護敏感數據的第一步，在加電之前的重置階段完全控制整個初始配置，防止非法侵入和擅自篡改。

　　利用設備配置格式(DCF)，硅器件廠商和軟件開發商都可以保留所有初始配置，從而可以在啟動階段檢查與擊穿試驗和用戶擊穿試驗內部DCF相關的特殊內存地址、ECC(糾錯碼)錯誤以及奇偶校驗誤差。

　　在重置階段，利用各種漸進步驟，可以檢查一些安全防護功能。利用這種方式，通過幾個參數進行交叉檢查控制，就可以阻止以多種手段修改特殊內存地址的企圖，或者強行改變啟動以加載新的惡意固件的企圖。

　　硬件架構規則基于預先定義的設備功能狀態。安全設計人員提供出幾種安全級別，以便軟件開發者在最終實現其應用時擁有較高的自由度。實際上，一些層級較低的軟件應用經常可以交給第三方開發，然后設計和實施遞增的、不可逆的保護，滿足不同開發者提出的要求。此外，多數安全機制在激活時要考慮設備的壽命周期(DLC)情況。硅器件廠商與軟件開發者可以建立五種可能的遞增與不可逆配置，以便實現針對侵入與操縱攻擊的反制措施。

　　對于每一個階段來說，安全等級都會得到提升，而且不能撤銷。從第二級開始，在客戶交付階段，這個非常有限的安全機制為軟件開發階段提供了最大的自由度，而在現場設備階段則開啟完整的各種安全防護功能。

　　通常，在JDP生產階段至客戶交付階段的過渡階段，設備從原始生產商手中轉移到第一個軟件開發者手中，后者把MCU整合到更加復雜的系統之中。從客戶交付階段到OEM生產階段，第三方為了保護自己的知識產權，一般會為設備開發最后的軟件應用程序。最終，到達現場設備階段，需要在嵌入汽車的最終應用里面采取一系列控制與不可撤銷的保護措施，來滿足OEM廠商以及系統開發者和汽車制造商的要求。“故障分析”是最后的設備生產階段，用于測試的是被退回到工廠的設備系統，因此在這一過程中，一些相關安全保護功能將被停用，避免MCU因壽命周期保護而被認定為失效。