智能駕駛
作為比肩智能手機(jī)顛覆功能機(jī)的智能終端產(chǎn)品,智能網(wǎng)聯(lián)汽車(chē)給我們帶來(lái)了更便捷、更智能、更舒適的空間體驗(yàn)。用戶(hù)渴望能獲得一輛越來(lái)越聰明,能夠及時(shí)甚至可以提前預(yù)判自己需求的汽車(chē),但這必然意味著,我們需要將自己的社會(huì)信息、行為數(shù)據(jù)乃至生物數(shù)據(jù)交給汽車(chē)企業(yè),而這些數(shù)據(jù)就會(huì)同樣面臨被泄露的風(fēng)險(xiǎn)。
近幾年,汽車(chē)行業(yè)遭遇黑客攻擊和勒索的情況屢見(jiàn)不鮮。隨著車(chē)輛智能化程度的不斷加深,一輛車(chē)上的弱點(diǎn)也越來(lái)越多。從門(mén)鎖、車(chē)機(jī)屏幕到數(shù)據(jù)后臺(tái),乃至汽車(chē)企業(yè)本身,都在成為黑客們的攻擊目標(biāo)。工信部車(chē)聯(lián)網(wǎng)動(dòng)態(tài)監(jiān)測(cè)情況顯示,2020年整車(chē)企業(yè)、車(chē)聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺(tái)遭到的惡意攻擊次數(shù)已達(dá)到280余萬(wàn)次。
汽車(chē)信息安全的必要性
在早期的汽車(chē)軟件設(shè)計(jì)中,因?yàn)槠?chē)本身很少與外界進(jìn)行互聯(lián),人們并沒(méi)有太多的考慮其信息安全性。隨著軟件定義汽車(chē)時(shí)代的來(lái)臨,大量軟件控制取代了傳統(tǒng)的機(jī)械控制,并為我們帶來(lái)了OTA、ADAS等新功能,汽車(chē)開(kāi)啟了萬(wàn)物互聯(lián)的時(shí)代。然而,一枚硬幣總有它的兩面性,軟件與互聯(lián)網(wǎng)為我們帶來(lái)便利的同時(shí),也帶來(lái)潛在的信息安全風(fēng)險(xiǎn)。
傳統(tǒng)的電子電器架構(gòu)是以分布式為主,只有觸摸屏人機(jī)控制會(huì)通過(guò)射頻系統(tǒng)比如短信,電話等與外界相連,汽車(chē)總體風(fēng)險(xiǎn)窗口比較小。
當(dāng)汽車(chē)進(jìn)入智能互聯(lián)時(shí)代,黑客可以通過(guò)3G/4G/5G, 藍(lán)牙,Wi-Fi等射頻系統(tǒng)入侵篡改數(shù)據(jù),使汽車(chē)的信息安全甚至行車(chē)受到威脅。隨著域控制器,超級(jí)計(jì)算機(jī),OTA,自動(dòng)駕駛等汽車(chē)行業(yè)顛覆性技術(shù)的興起,大量數(shù)據(jù)交互成為整車(chē)新的生態(tài)。新的交互方式為外部暴露了更多潛在的攻擊窗口。據(jù)統(tǒng)計(jì),現(xiàn)代汽車(chē)有90%以上的控制都是通過(guò)軟件來(lái)實(shí)現(xiàn)的,因此,控制不斷上升的安全風(fēng)險(xiǎn),降低可能帶來(lái)的潛在損失,是當(dāng)前汽車(chē)行業(yè)開(kāi)始投入信息安全的主要原因。
信息安全要如何落地?
針對(duì)車(chē)輛信息安全,全球都在加緊推出相關(guān)標(biāo)準(zhǔn),包括ISO/SAE21434國(guó)際標(biāo)準(zhǔn),以及聯(lián)合國(guó)法規(guī)R155(信息安全與信息安全管理系統(tǒng))和R156(軟件升級(jí)與軟件升級(jí)管理系統(tǒng))。
當(dāng)前,國(guó)內(nèi)的主要汽車(chē)信息安全法規(guī)主要還在制定階段,主要的法律法規(guī)(包含征求意見(jiàn)稿)包括:《工業(yè)和信息化部關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》 (2021.08.12),《汽車(chē)信息安全通用技術(shù)要求》,《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定》,《信息安全技術(shù) 網(wǎng)聯(lián)汽車(chē) 采集數(shù)據(jù)的安全要求》,《智能網(wǎng)聯(lián)汽車(chē)信息安全評(píng)價(jià)測(cè)試技術(shù)規(guī)范》等。
強(qiáng)標(biāo)和合規(guī)的驅(qū)動(dòng)力,讓信息安全成為主機(jī)廠迫在眉睫的工作,但各大整車(chē)廠、Tier1的安全能力建設(shè)多數(shù)還在起步階段,面臨的挑戰(zhàn)是全方位的。
智能汽車(chē)信息安全涉及多領(lǐng)域的技術(shù)融合,需要結(jié)合整車(chē)電子電氣架構(gòu)、車(chē)云一體的業(yè)務(wù)場(chǎng)景,對(duì)功能安全、信息安全、網(wǎng)絡(luò)、通信、計(jì)算平臺(tái)、云服務(wù)與應(yīng)用等技術(shù)領(lǐng)域進(jìn)行技術(shù)融合。
智能汽車(chē)的傳感器、控制器,以及相關(guān)的車(chē)聯(lián)網(wǎng)應(yīng)用場(chǎng)景眾多,包括云端、手機(jī)端、車(chē)端(車(chē)機(jī)、傳感器、T-BOX、網(wǎng)關(guān)、ADCU等眾多零部件等),同時(shí)還有OTA、遠(yuǎn)程控制、近場(chǎng)控制等車(chē)聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景,這都需要建立整車(chē)級(jí)信息安全設(shè)計(jì)規(guī)范。
ST為智能網(wǎng)聯(lián)汽車(chē)健康安全發(fā)展“保駕護(hù)航”
汽車(chē)的信息安全涉及的領(lǐng)域廣泛,包括通過(guò)無(wú)線或者無(wú)線連接方式侵入車(chē)輛的信息系統(tǒng)、軟件或者固件IP的保護(hù)、數(shù)據(jù)或者指令完整性和有效性的保護(hù)、軟件或者固件讀寫(xiě)及服務(wù)更新的保護(hù)等等。這里我們主要談及車(chē)用MCU芯片所承擔(dān)的信息安全功能。
ST正在量產(chǎn)的SPC58系列汽車(chē)MCU和已經(jīng)試產(chǎn)的Stellar P/G/E系列MCU都帶有嵌入式硬件信息安全模塊(HSM),以確保系統(tǒng)完整性、可靠的身份驗(yàn)證和數(shù)據(jù)的保密性。
信息安全包括硬件(HSM)和軟件信息安全,其主要特性有:
· 機(jī)密性(Confidentiality)是指要保證數(shù)據(jù)的隱私不被非法泄露;
· 信息完整性(Integrity)的定義是數(shù)據(jù)沒(méi)有被“非預(yù)期的”或“刻意”篡改或損毀;
· 可用性(Availability),即數(shù)據(jù)是否可以被正常訪問(wèn)和使用,例如防止DOS拒絕服務(wù)攻擊。
ST還提供與HSM模塊配套的固件和軟件包,該軟件包可在內(nèi)核上完全執(zhí)行加密和解密功能??商峁┲С中湃胃?RoT)的基本功能,其中私有加密密鑰可在微控制器生命周期內(nèi)使用OTP空間內(nèi)的專(zhuān)用位置進(jìn)行保密。
信息安全的應(yīng)用場(chǎng)景包括:安全的ECU遠(yuǎn)程診斷和固件升級(jí)、安全通訊的隨機(jī)數(shù)以及密鑰交互、安全啟動(dòng)及實(shí)時(shí)數(shù)據(jù)代碼的完整性檢測(cè)、安全的生命周期管理、安全的板間通訊。
當(dāng)前,汽車(chē)信息安全實(shí)施方法還并不完善,選擇具有豐富實(shí)踐經(jīng)驗(yàn)的合作伙伴能夠大幅提升效率、降低成本。作為全球汽車(chē)電子市場(chǎng)領(lǐng)導(dǎo)者,意法半導(dǎo)體擁有30多年的研發(fā)經(jīng)驗(yàn)和全方位的汽車(chē)產(chǎn)品組合,涵蓋智能駕駛的方方面面。
SPC58系列汽車(chē)級(jí)微控制器
意法半導(dǎo)體SPC58系列汽車(chē)級(jí)微控制器,集成有完善的片上安全模塊,包含有生命周期管理,外部調(diào)試端口的接入保護(hù),內(nèi)存保護(hù)以及HSM硬件安全模塊。其中HSM模塊擁有獨(dú)立的PowerPC e200z0內(nèi)核,滿(mǎn)足SHE 1.1標(biāo)準(zhǔn),支持真?zhèn)坞S機(jī)數(shù)生成,密鑰存儲(chǔ)交互,AES128加解密、CMAC生成和校驗(yàn)以及安全啟動(dòng)等,另外HSM FW有擴(kuò)展RSA、ECC、HASH等加密算法,可支持EVITA Medium 到FULL的網(wǎng)絡(luò)安全等級(jí)。
SPC58家族主要的安全模塊有:Flash保護(hù)、JTAG接入保護(hù)及加密引擎。SPC58家族主要有五個(gè)生命周期:ST Production,Customer Delivery,OEM Production,In Field,F(xiàn)ailure Analysis。生命周期管理只能由ST Production向下推進(jìn)到Failure Analysis,過(guò)程不可逆轉(zhuǎn)。
SPC58 HSM模塊滿(mǎn)足EVITA MEDIUM/FULL信息安全等級(jí),最高主頻可達(dá)100MHz,支持安全調(diào)試功能,具有至少40KB的零等待周期SRAM,具有真/偽隨機(jī)數(shù)發(fā)生器。
▲圖示:ST HSM固件和方案架構(gòu)
除了硬件產(chǎn)品,意法半導(dǎo)體及其合作伙伴們還為汽車(chē)應(yīng)用提供完整的生態(tài)系統(tǒng),不僅提供MCU硬件評(píng)估用的各種評(píng)估板,而且提供基于AUTOSAR的網(wǎng)絡(luò)安全軟件產(chǎn)品。用戶(hù)還可通過(guò)低成本的SPC5 Studio集成開(kāi)發(fā)環(huán)境對(duì)SPC5系列產(chǎn)品進(jìn)行快速評(píng)估、原型設(shè)計(jì)。
意法半導(dǎo)體聯(lián)合經(jīng)驗(yàn)豐富的汽車(chē)嵌入式軟件合作伙伴,提供RTA解決方案支持整個(gè)SPC5 MCU家族的所有芯片,并且能夠和ST的MCAL進(jìn)行集成,進(jìn)而降低客戶(hù)的工具鏈成本和芯片切換成本。RTA解決方案包括ECU軟件開(kāi)發(fā)的基本軟件模塊和配置工具,支持完整的Classic AUTOSAR和Adaptive AUTOSAR方案。
▲圖示:AUTOSAR HSM方案架構(gòu)
Stellar 高集成度汽車(chē)級(jí)微控制器
Stellar高集成度汽車(chē)級(jí)微控制器是意法半導(dǎo)體近年推出的新產(chǎn)品系列,具有卓越的計(jì)算能力,可大幅簡(jiǎn)化多源軟件并行確定性運(yùn)行,同時(shí)確保最高的安全性和處理性能。這些功能符合下一代網(wǎng)聯(lián)汽車(chē)的電氣/電子(E/E)體系架構(gòu)的系統(tǒng)要求。為此,Stellar系列引入了最先進(jìn)的硬件支持虛擬化的處理器、服務(wù)質(zhì)量設(shè)置、外設(shè)隔離,以及芯片互連層面的資源隔離等新功能,以確保不同應(yīng)用軟件功能的安全隔離,消除相互干擾。虛擬ECU電控單元可以在同一顆Stellar MCU芯片上共存,同時(shí)支持多個(gè)ECU的不同ASIL安全級(jí)要求。
Stellar集成式MCU配備最多6個(gè)Arm Cortex®-R52內(nèi)核(部分內(nèi)核采用鎖步模式,其他內(nèi)核采用可分模式),在大幅提高度實(shí)時(shí)和確定的處理能力基礎(chǔ)上盡可能低的功耗。集成式MCU嵌入了高達(dá)20 MB的非易失性相變存儲(chǔ)器(PCM),不僅實(shí)現(xiàn)了快速讀取訪問(wèn),而且實(shí)現(xiàn)了1bit寫(xiě)入(在Flash存儲(chǔ)器中不可用),為使用NVM和RAM存儲(chǔ)器的應(yīng)用和軟件帶來(lái)了新的機(jī)會(huì)。其創(chuàng)新的雙單元存儲(chǔ)功能支持經(jīng)濟(jì)高效的OTA更新,可大幅節(jié)約存儲(chǔ)器大小。這得益于意法半導(dǎo)體獨(dú)特的NVM/PCM實(shí)現(xiàn),可在汽車(chē)的整個(gè)生命周期期間提供標(biāo)稱(chēng)存儲(chǔ)器大小,不僅將OTA存儲(chǔ)容量加倍,而且大量縮短O(píng)TA固件更新的所需時(shí)間。借助其雙單元存儲(chǔ)功能,20 MB的Stellar G控制器最多可存儲(chǔ)2x 20 MB用于OTA重新編程目的,可顯著節(jié)約存儲(chǔ)器需求。能夠通過(guò)更好地利用其硬件資源來(lái)管理日益增加的軟件復(fù)雜性和集成,其獨(dú)特的架構(gòu)和基于硬件的虛擬化功能(沙盒化)基于Cortex®-R52和資源訪問(wèn)防火墻,可簡(jiǎn)化多個(gè)源軟件在同一芯片上的開(kāi)發(fā)和集成,同時(shí)確保安全隔離與性能。
針對(duì)高效的ISO 26262 ASIL-D功能實(shí)現(xiàn),該產(chǎn)品在所有架構(gòu)層面上實(shí)施先進(jìn)的安全措施。此外,ST先進(jìn)的28nm的FD-SOI工藝不僅為Stellar 系列MCU提供更低的功耗和成本,而且大大提高了MCU的可靠性。由于FD-SOI工藝的寄生效應(yīng)更小,對(duì)閂鎖效應(yīng)(latch-up)免疫,使得memory具有更低的軟錯(cuò)誤率和MCU具有更好的電磁兼容性。
Stellar集成式MCU進(jìn)一步提升了信息安全的軟硬件設(shè)計(jì),增強(qiáng)型EVITA Full安全功能通過(guò)快速硬件安全模塊來(lái)實(shí)現(xiàn),通過(guò)鎖步加密引擎對(duì)模塊進(jìn)行擴(kuò)展,以支持安全ASIL D功能并提供高速安全加密服務(wù)和安全網(wǎng)絡(luò)驗(yàn)證,從而進(jìn)一步保護(hù)制造商固件以及最終用戶(hù)數(shù)據(jù)。
包括Stellar P、G、E多個(gè)產(chǎn)品系列:? Stellar P系列旨在滿(mǎn)足集成下一代動(dòng)力傳動(dòng)系統(tǒng)、電氣化解決方案和域?qū)蛐拖到y(tǒng)的需求,可實(shí)現(xiàn)更高水平的實(shí)時(shí)性能、安全性與確定性。? Stellar G系列解決了下一代車(chē)輛集成和區(qū)域?qū)蛐蛙?chē)輛架構(gòu)的關(guān)鍵挑戰(zhàn),可確保性能、安全性與功率效率以及廣泛的連接和高安全性。? Stellar E系列為滿(mǎn)足電動(dòng)車(chē)輛的特定要求量身定制,可確保功率轉(zhuǎn)換和電動(dòng)傳動(dòng)系統(tǒng)應(yīng)用的高效執(zhí)行。
以即將量產(chǎn)的Stellar P6 為例,MCU內(nèi)置多達(dá)六顆Arm® Cortex® R52處理器內(nèi)核,其中有些是雙核鎖步運(yùn)行,有些是分核執(zhí)行任務(wù),為應(yīng)用提供失效保護(hù)冗余機(jī)制。這些機(jī)制使新產(chǎn)品能夠?yàn)橄乱淮?chē)驅(qū)動(dòng)系統(tǒng)、電動(dòng)化解決方案和域控制系統(tǒng)帶來(lái)高性能、實(shí)時(shí)確定性和升級(jí)功能。Stellar P6使用Cortex-R52的特色功能和防火墻來(lái)解決硬件虛擬化問(wèn)題(sandboxing),按需訪問(wèn)資源,這簡(jiǎn)化了在同一芯片上的開(kāi)發(fā)和集成多源軟件的工作,同時(shí)確保應(yīng)用的安全隔離和性能。片上集成的快速硬件信息安全模塊(HSM)增加了雙核鎖步加密引擎,支持ASIL D功能安全等級(jí)的信息安全功能,并可以實(shí)現(xiàn)增強(qiáng)的EVITA完整安全功能。Stellar P6 MCU還提供高速安全加密服務(wù)和安全網(wǎng)絡(luò)身份驗(yàn)證,以進(jìn)一步保護(hù)廠商的固件和終端用戶(hù)的數(shù)據(jù)。
Stellar G集成式MCU具有用于通過(guò)CAN、LIN和以太網(wǎng)網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)路由的加速器,并提供大量通信接口(包括100/1000 Mbps以太網(wǎng) – TSN、AVB、VLAN和EMC優(yōu)化型SGMII – CAN-FD、LIN)以及外部存儲(chǔ)器接口(如Hyperbus/OctalSPI和eMMC接口)。
Stellar E系列驅(qū)動(dòng)MCU旨在用于驅(qū)動(dòng)需要更快的控制回路的功率轉(zhuǎn)換應(yīng)用,以便充分利用SiC和GaN功率技術(shù)產(chǎn)品。與此同時(shí),它可以通過(guò)單個(gè)器件支持最先進(jìn)的功能安全與保密汽車(chē)要求。
意法半導(dǎo)體新能源汽車(chē)能力中心已經(jīng)啟動(dòng)汽車(chē)信息安全解決方案的開(kāi)發(fā)來(lái)支持客戶(hù)的不同應(yīng)用場(chǎng)景,信息安全的任何需求都可以通過(guò)Stellar 系列的相應(yīng)信息安全解決方案來(lái)實(shí)現(xiàn)。