簡介

汽車行業(yè)正在經(jīng)歷重大轉型。隨著連接性的提升和對更多功能的支持，汽車變得日益復雜且價值越來越高，可提供更出色的用戶體驗。與此同時，汽車收集和傳輸?shù)拿舾袛?shù)據(jù)也越來越多，因此成為極有吸引力的攻擊目標。汽車行業(yè)的網(wǎng)絡犯罪活動正在迅速增長。

有多糟糕？根據(jù) AV-TEST Institute 的數(shù)據(jù)，針對汽車的惡意程序數(shù)量已經(jīng)從 2011 年的約 6500 萬增加到 2020 年底的約 11 億。Upstream Security 在 2019 年的一項網(wǎng)絡安全研究報告中稱，自 2016 年以來，汽車黑客攻擊數(shù)量同比增長 94%。

網(wǎng)絡安全是 OEM 必須解決的關鍵和迫切需求。OEM 務必從設計周期的早期開始實施這一點。雖然汽車行業(yè)還沒有受到與其他行業(yè)同等程度的監(jiān)管，但隨著法規(guī)、標準和指南的增多，行業(yè)環(huán)境正在發(fā)生迅速變化，例如：

UNECE（聯(lián)合國歐洲經(jīng)濟委員會）發(fā)布的 WP.29 法規(guī)規(guī)定了新車輛的網(wǎng)絡安全管理系統(tǒng)。這些法規(guī)要求 OEM 管理網(wǎng)絡風險，通過設計保護車輛，檢測并響應安全事件，并提供安全的無線軟件更新。

ISO/SAE 21434 是一項計劃于 2021 年發(fā)布的新標準，規(guī)定了道路車輛系統(tǒng)的網(wǎng)絡安全風險管理的流程要求。涵蓋的流程包括從概念、開發(fā)、生產(chǎn)、操作和維護到報廢的整個生命周期。

SAE J3101規(guī)定了地面車輛應用的硬件保護安全要求。SAE J3101 綜述了安全功能，相應用例，以及需要支持以滿足車輛安全需求的應用程序。

NHSTA（美國國家公路交通安全管理局）網(wǎng)絡安全最佳實踐報告建議采用多層汽車網(wǎng)絡安全方法。NHSTA 專注于可能容易受到網(wǎng)絡攻擊的車輛入口點，例如為人或機器接口設計的有線和無線連接。

汽車安全至關重要，必須從片上系統(tǒng) （SoCs） 開始解決，并且與功能安全相結合，以整體方式進行實施。除了 ISO 26262 功能安全標準所涵蓋的系統(tǒng)與隨機故障之外，安全汽車系統(tǒng)還必須能夠處理可能意外發(fā)生的惡意攻擊。使用安全可靠的具有信任根的硬件安全模塊 （HSM） IP，從硬件級別設計汽車 SoC 的安全，有助于確保聯(lián)網(wǎng)汽車按預期運行，防止隨機和系統(tǒng)故障，并能夠抵御惡意攻擊。

汽車 HSM IP 解決方案

保護車輛的深度防御策略是安全的基礎。每個軟件程序的核心在于支持它運行的硬件。為了確保 SoC 沒有受到入侵，硬件需要能夠在系統(tǒng)重置時評估其自身的完整性。然后，確定安全之后，它可以啟動最終形成汽車內部智能的網(wǎng)絡，最后實現(xiàn)與外部世界的連接。除了確保 SoC 安全啟動且受到保護，SoC 還需要能夠防止隨機和系統(tǒng)故障，并滿足嚴格的安全要求。

Synopsys 的 DesignWare tRoot HSM IP 符合 ASIL B 標準，適用于汽車行業(yè)，同時提供一套汽車文檔（安全手冊、DFMEA/FMEDA/DFA 分析報告、質量手冊、開發(fā)接口和安全案例報告）和硬件安全機制，增強了其全面的信任根安全解決方案，從而在保護 SoC 免受惡意安全攻擊的同時，防止隨機和系統(tǒng)的安全故障。

它包括廣泛的安全機制，如雙核鎖步、內存 ECC、寄存器 EDC、奇偶校驗、監(jiān)視程序、自檢比較器、總線和 MPU 保護，以及雙軌邏輯。HSM IP 還集成了符合 ASIL D 標準的低功率 ARC 處理器 IP，用于運行安全應用程序和密碼處理。符合 ISO 26262 標準的 HSM 已被主要客戶部署，并提供許多關鍵功能：

完全可編程的解決方案為系統(tǒng)提供硬件信任根，并通過高級別安全保護，防范不斷演變的威脅

安全機制滿足針對隨機故障的 ASIL B 等級，并滿足針對系統(tǒng)故障的 ASIL D 等級

可擴展的對稱/非對稱/散列/MAC 加密加速 - 從 CPU 自定義指令到具有側通道保護的密碼核心

采用 SecureShield 技術的高效低功率 ARC 處理器包括一個用于內存訪問權限控制的 MPU

帶有側信道（DPA）防護的安全外部內存控制器為不可信的外部存儲提供機密性和完整性保護，以及運行時的防篡改檢測

符合 NIST SP800-90c 的真隨機數(shù)發(fā)生器 （TRNG）

多個安全密鑰服務器，用于在 SoC 內進行安全密鑰分配

符合 EVITA Full/Medium/Light 硬件要求

電源、時鐘和重置管理

軟件包括安全應用程序，如 SDK、經(jīng) NIST 認證的密碼庫、SecureShield runtime library、設備驅動程序和參考設計

提供開發(fā)和制造工具

DesignWare tRoot HSM IP（用于汽車）提供可信執(zhí)行環(huán)境 （TEE），以在 SoC 級別保護敏感信息和處理。HSM 在設備生命周期內實施所需的關鍵安全功能，客戶與第三方應用軟件可以進一步擴展這些功能：

安全啟動可驗證主機 CPU 的軟件和數(shù)據(jù)完整性，并用于確保它僅執(zhí)行受信任的固件。tRoot HSM 驗證將在主機處理器上運行的代碼庫的真實性和完整性。根據(jù)驗證的結果，主機系統(tǒng)可以決定是否繼續(xù)啟動過程。除了完整性和真實性，安全啟動服務還通過可選的固件解密功能提供機密性保護。

安全更新啟用基于安全識別和身份驗證的現(xiàn)場固件更新（具有可選加密）。

安全驗證對于確保與目標設備通信的一個或多個上游和/或下游設備是否可信至關重要。為確保這種信任，需要雙方認可的身份驗證方案。HSM 可以確保各種身份驗證協(xié)議的完整性以及設備之間的共享密鑰的機密性。

安全調試允許使用安全協(xié)議通過外部主機進行身份驗證，以便在設備上啟用本地調試。只允許受信任的、經(jīng)過身份驗證的開發(fā)人員調試訪問系統(tǒng)。

安全存儲為設備的應用數(shù)據(jù)提供保護。啟用后，tRoot HSM 提供安全路徑以加密和解密存儲在不受信任位置的應用程序數(shù)據(jù)，從而防止攻擊者進行讀取或修改。

密鑰管理將密鑰材料保留在硬件信任根中。通過應用程序層的權限和策略，來允許和管理密鑰的使用。此外，密鑰生成、導入和導出由 tRoot HSM 可信應用軟件控制，無需訪問來自系統(tǒng)中的應用程序或其他不太可信的處理器的密鑰。

結語

由于 ADAS/自動駕駛、V2X 和信息娛樂系統(tǒng)等領域中創(chuàng)新和新應用的增加，互聯(lián)汽車正在快速發(fā)展。隨著硬件和軟件內容的增多，在更大程度上實現(xiàn)自動化的同時，汽車也具有許多潛在的安全漏洞點，并且是日益猖獗的網(wǎng)絡攻擊的目標。

為了避免安全性方面的缺陷，OEM 在芯片級別上要求數(shù)據(jù)保護和功能安全。汽車系統(tǒng)必須滿足高級安全性，還必須符合功能安全標準，因而必須實施安全功能以確保功能安全不會被篡改。如果沒有安全保障，就沒有人身安全，反之亦然。安全系統(tǒng)必須能夠處理意外輸入，避免不可接受的行為。在硬件級別為汽車 SoC 設計安全性將有助于確保聯(lián)網(wǎng)汽車的行為符合預期，并能夠抵御惡意安全攻擊，并能夠防止隨機和系統(tǒng)性的安全故障。

Synopsys 在市場上具有獨特的地位，它擁有符合標準的安全 HSM IP（用于汽車），符合最新的技術需求和網(wǎng)絡安全指南，使 SoC 設計人員能夠以低風險和快速的上市時間快速實現(xiàn)其芯片所需的安全性。

除了具有信任根的 tRoot HSMs 之外，Synopsys 還提供一系列高度集成的安全 IP 解決方案，這些解決方案使用一套通用的基于標準的構建模塊和安全概念，為云計算、汽車、數(shù)字家庭、IoT 和移動設備市場中的各類產(chǎn)品實現(xiàn)最高效的芯片設計和最高級別的安全性。

Synopsys 的高度可配置性安全 IP 解決方案包括可集成到片上系統(tǒng) （SoC） 的 PCIe 和 CXL 集成與數(shù)據(jù)加密 （IDE） 安全模塊、內容保護、加密，以及安全協(xié)議加速器。

編輯：jq