新一代MCU如何提升車聯網汽車安全性

　　加密功能

　　加密系統是用于保持汽車網絡內部通信總線數據傳輸完整性、可靠性與保密性的最有效方法之一。利用加密功能，可能是阻止利用通用CAN破解機制發動攻擊的最佳手段。這意味著任何單個設備都應該具有自己的加密模塊或者應該把這些功能委托給一個獨特的綜合單元，該單元可以加密和解密汽車內部傳感器與激勵器之間交換的任何信息。

　　HSM模塊可以提供多種加密功能，因為它采用一個密碼通道控制器來管理一個TRNG(真隨機碼生成器)和一個MPAES(微處理器先進加密標準)。

　　當設備進入故障分析階段時，就必須解除某些保護機制，以便對可能的問題進行分析。乍看起來，這種配置似乎會給打破安全保護創造條件，并允許修改嵌入固件，把設備設置到現場設備階段，以便與原始系統相連。但是，可以利用幾種反制性保護措施來應對這種情況。這些措施包含在“壽命終止保護”機制之中，可以在CAN和FlexRay總線傳輸完全中斷的情況下恢復上述情形，如E-fuse保護機制，而且可以選擇無限地循環運行BAF啟動輔助閃存。

　　E-fuse機制可在特定閃存測試模式啟用時在設備內部留下永久的證據。由于這種操作是不可逆轉的，因此通過這種方式，就很容易檢測設備的狀態，并永遠保持在故障分析模式下，使其不可能回到DCF現場狀態。

　　HSM硬件安全模塊代表對于安全需求、反侵入控制和數據加密的最全面答案。車內信息娛樂設備數量不斷增加，如控制公路交通事件以及提供撞車及天氣預報信息的設備等，使得這些安全功能變得非常關鍵。

　　HSM模塊是嵌入在ASIC中的一個SoC系統芯片，它由一個100MHz內核、帶有MPU的一個數據交叉開關以及一個中斷控制器構成。該100MHz內核具有專用本地RAM和預留的代碼與數據閃存。HSM模塊擁有一個HSM/HOST接口用來與MCU內部的其它內核交換數據和指令，交換以安全和自動的方式進行。此外還具有一個C3模塊(加密通道控制器)。HSM用于控制MCU功能，但也控制所有的加密功能，因為它包含一個內部模塊C3，C3集成了一個真隨機數生成器和一個MPAES模塊。除了安全啟動和調試界面訪問控制之外，它最重要的功能是密鑰生成隨機數，并執行所有的加密與解決功能。

　　如前所述，CAN總線當初設計并沒有追求太高的安全性，因為它不能保證傳輸保密性，而且是以廣播模式發送信息。它不能保證傳輸數據的可靠性與完整性，加密信息則可以滿足車內傳輸總線的要求。采用非對稱與對稱密鑰算法，可實現傳輸數據的保密性、完整性和可靠性，而HASH功能如數字簽名或者MAC(信息驗證碼)可提供數字簽名來鑒別數據發送人，或者提供一個CMAC(密碼信息鑒別碼)來發出安全啟動。所有的加密與解決功能，以硬件方式實現，并給予CAN通信總線所需的帶寬，不至于讓主CPU過載。

　　這些將用于下一代汽車的半導體器件是新型MCU，如意法半導體的SPC57EM80、SPC574K72和SPC572L64.它們是嵌入在電子設備中的安防硬件措施，可以阻斷外部與內部攻擊者的非法操縱和未經授權的侵入，專注于實施這種多層架構。這些硬件保護機制能夠提供強大的保護措施，防止他人非法訪問MCU內部數據，而加密功能可以成功地用于汽車的CAN傳輸總線。