车规芯片为什么需要信息安全

这个问题是肯定的。

早在2015年，白帽黑客Cahrlie Miller和Chris Valasek通过车载系统成功侵入到Jeep大切诺基整车网络，并通过CAN总线恶意控制汽车的制动、转向、动力等，为此FCA召回了140万辆汽车。这个应该算是首个OEM因黑客攻击而发生的召回事件。

2018年，腾讯科恩实验室向全球首次公布了针对特斯拉Autopilot系统的远程攻击，利用已知漏洞在特斯拉Model S获取Autopilot控制权之后，即使Autopilot系统没有被车主主动开启，也可以利用Autopilot功能实现通过游戏手柄对车辆行驶方向进行操控。

同样是特斯拉，在2021年Model3被黑客大神 greentheonly成功侵入，提取到车内摄像头的拍摄画面，该视频为其提取到的特斯拉车内摄像头拍摄画面，画面中人员面貌清晰可见，左上角的数据记录了驾驶员朝右看、使用手机、闭眼、低头等动作的频率。

而在今年年初，宝马也发生了一起严重数据泄露事件，据研究人员Can Yoleri报告，他在例行扫描中意外发现，宝马在微软Azure平台上的云存储服务器配置错误，被设置为公共访问状态，而非计划中的私有状态。这一配置错误导致宝马的私钥、内部数据以及其他敏感信息暴露于公众视野。

很显然，随着车联网的发展，汽车被黑客攻击的事件会越来越多；如果对汽车没有信息安全的约束和要求，驾驶员和乘客每时每刻都会被黑客攻击的阴影所笼罩，其隐私安全、数据安全甚至生命安全都会受到威胁。

既然信息安全如此重要，那么国际和国家会做出什么样的要求呢？

2.1 国际标准

目前最耳熟能详的国际标准，应该是UNECE(United Nations Economic Commission for Europe)于2021年1月生效的UNECE R155和R156，分别对于汽车网络安全和汽车OTA提出相关法律法规。

• R155：Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system

• R156：Uniform provisions concerning the approval of vehicles with regards to
  software update and software updates management system

以R155为例，读过这份标准的同学应该最开始都是云里雾里，它主要涉及汽车的网络安全管理体系（CSMS）及特定车辆型式认证（VTA）两部分。

前者要求每个OEM都必须有一个稳定的网络安全管理体系，但是没有具体说应该如何去建立；后者要求OEM去识别特定车型的相关网络安全风险，但传统汽车人对这块确实一头雾水。

为此，ISO和SAE与2021年联合发布了ISOSAE 21434标准，旨在指导OEM、Tier1如何建立起有效的网络安全组织，同时为车辆的整个生命周期(从研发到报废)建立起有效的流程体系，以保证其免受信息网络安全攻击。

换句话说，R155是指导性文件，告诉做什么；ISOSAE 21434是执行性文件，告诉OEM怎么做。

那么如何评价ISO/SAE 21434的完成度呢？因此ISOPAS 5112：《Road vehicles-Guidelines for auditing cybersecurity engineering》登场，作为审核21434的重要标准。

这几份标准关系如下：

除了上述标准外，还有大家比较陌生但是应该是首部针对汽车网络安全制定的指导性文件：SAE J3061：《Cybersecurity Guidebook for Cyber-Physical Vehicle Systems》。

该文件于2016年发布，从某种意义上讲它应该是ISOSAE 21434的前身，文件里详细定义了汽车产品的生命周期框架，将网络安全贯穿于车辆产品设计、研发、制造、维修、回收等各环节。因此个人认为这是每个汽车网络工程师必读的启蒙文档。

在阅读该文献时，我接触到了SAE J3101:《Hardware Protected Security for Ground Vehicles》，对于硬件和车规芯片在网络安全设计考虑有了进一步的理解。

2.2 国内标准

这里涉及得标准、法律法规太多了，根据德勤提出的汽车行业企业网络安全和数据合规管控框架，主要分为5大类：

去年年底，为落实《关于加强智能网联汽车生产企业及产品准入管理的意见》，交通运输部开始对智能网联汽车准入和上路进行试点工作；

针对数据安全，有《数据安全法》和《汽车数据安全管理若干规定》；针对个人信息有《个人信息保护法》，针对汽车网络安全，有《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》和《道路车辆 信息安全工程》，分别对标R155R156和ISO/SAE 21434。

在了解或者熟悉这些标准之后，我回归初心，从芯片厂的角度来看车规芯片需要如何设计信息安全功能来辅助汽车产品的信息安全？

3.1 芯片硬件安全防护能力

车规芯片作为汽车控制器的基石，从汽车人角度来说它本身就应该是作为信任锚，但是随着近几年针对芯片硬件本身的攻击事迹层出不穷，车规芯片慢慢也被要求具备抵御外来攻击的能力。

根据《Hands-on Learning of Hardware and Systems Security》汇总，对于硬件信息安全防护主要从两个方面考虑下：

• 硬件安全问题：硬件在不同层级下(Chip或者PCB)均容易遭受攻击，例如侧信道攻击、硬件木马攻击
• 硬件信任问题：在硬件系统的全生命周期里，从设计、生产、测试等过程均有不同供应商参与，一旦出现不受信的vendor出现，很有可能出现信任问题。

针对信任问题，我想就应该从R15521434中去寻找答案，建立起企业网络安全管理体系，来保证产品生命周期的网络安全；

针对硬件安全问题，应该先搞清楚常见的硬件攻击段，我计划从ECU板级、芯片级别的攻击分别进行描述：

ECU板级常见攻击手段：

• 逆向工程：通过对ECU拆盖，逆向复刻重组出PCB级别的硬件架构和通信架构
• 总线探针：通过在系统总线上搭载挂针，通过物理访问提取敏感信息(密钥、固件)等
• 硬件物理篡改：通过硬件篡改受保护的功能，最著名的就是Modchip篡改星链。

芯片级别常见攻击手段：

• 硬件木马：设计或者制造芯片时故意植入的特殊模块或者设计者无意留下的缺陷模块，在特殊条件触发下，该模块能够被攻击者利用对芯片造成破坏
• 侧信道攻击：也叫边信道攻击(Side Channel Attack)，通过收集分析加密软件或硬件在工作时附带产生的各类侧信道物理量来进行破解。常见的有：SPA (Simple Power Analysis)DPA (Differential Power Analysis)SEMA (Simple Electromagnetic Analysis) DEMA (Differential Electromagnetic Attack)Timing attacksDFA(Differential Fault Analysis)
• 故障注入攻击：故意在系统中造成错误，危及系统安全的攻击。常见手段有改变芯片供电电压、注入不规则时钟信号、引入辐射或电磁(EM)干扰、加热设备等。

而芯片本身的安全防护能力就是能抵御这些攻击手段，比如引入混淆技术降低信噪比、增加特定传感器对电压等进行监控、引入PUF技术来实现对给定的输入产生不可克隆的唯一设备响应。当然，最方便快捷的就是在芯片设计时引入HTA(Hardware Trust Anchor)。

HTA就是提供了一种基于硬件安全机制的隔离环境，可以有效保护安全敏感数据、为应用控制算法提供各种密码服务。

目前市面常见的HTA种类有：

• SHE：Secure Hardware Extension
• HSM：EVITA Hardware Security Module
• TPM：Trusted Platform Module

但是每家芯片厂对于自己的HTA都有不同的称谓，具体如下：

• 英飞凌：Aurix HSM / SHE+

• 瑞萨：Intelligent Cryptographic Unit（ICU）
• 恩智浦：Hardware Security Engine/Crypto Service Engine(飞思卡尔称呼）
• ARM：Trust Zone

这些变体在各家芯片厂家里虽然名字不同，但是干的活大致相同。那么在车规芯片里，信息安全具体会提出哪些需求呢？

3.2 车规芯片的信息安全服务

毫无疑问，信息安全最重要的就是保证使用主体的CIA(confifidentiality, integrity, authenticity。那么对于车规芯片最基础的信息安全服务需求就是安全存储，提供一个可信环境用于存储敏感信息，包括密钥、证书等，例如Secure NvM；

为了满足不同加密算法的性能要求，车规芯片还需提供相应的密码算法硬件加速器以及密钥管理功能，常见的服务如下：

• 对称密码硬件加速器(Symmertic)：基于私密密钥的数据加解密，例如AES；
• 非对称密码硬件加速器(Asymemtric)：用于数字签名验签，数据加解密；
• 摘要硬件加速器：常用于身份验证，例如基于摘要的HMAC
• 密钥管理：如密钥导入、密钥协商、密钥派生等等

此外，为了衡量和保证整个ECU系统的完整性和可用性，安全启动、可信启动等等也是必须提供的。 所谓安全启动，即在固件运行前对其身份、完整性进行校验，验证通过方可允许其执行。

有了上述基础概念，按理说从硬件层面上芯片已经具备了客观的信息安全能力，但是OEM、Tier1如何相信呢？

3.3 芯片厂如何证明芯片的信息安全能力

就像六子无法展示自己吃了几碗粉，芯片厂不可能把自己关于信息安全的设计细节展示出来；因此有没有一种大家都认可的方式来展示自己的能力呢？

R155提出了对OEM的要求，那么OEM可不可以根据这个反过来对Tier1、Tier2进行约束呢？个人理解是没有问题的，大家结合ISOSAE 21434约定的内容框架对自己的产品进行开发，理论上不会出现大的错误。

因此依托上述标准，在企业内部构建网络安全管理体系应该是一个很好的途径；

不过这绝非易事，要建立起公司级别的组织架构，需要得到大量认可和高等级权限，这属实困难；

首先组织者可以调配公司各个部门的资源，这就刷掉一大批人；

其次要建立起这个架构，需熟悉各地关于网络安全的法律法规，例如熟悉R155、21434；同时对产品业务、供应商有一定的见解，这样讨论问题才能在一个频道；

最后架构建立起来了，如何在公司级别或者BU级别贯彻执行，这又是一个大的难题。

当然有难度不可怕，交给时间，时间是最好的答案。

回过头来，如何建立起公司的CSMS，个人认为从以下几个方面考虑：

• 确定网络安全管理方针和目标，识别网络安全利益相关方并设置CSMS组织架构
• 识别网络安全治理项目，包括文件管理、文化普及、安全事件报告管理、安全事件风险管理等；
• 持续监控安全事件、做好生产和运维
• 与公司内部的质量管理体系、信息安全体系等做好对接