新一代MCU如何提升车联网汽车安全性

　　汽车高级驾驶辅助系统(ADAS)涉及ABS防抱死制动、安全气囊、刹车控制、转向控制、引擎控制、巡航控制、启停、自动泊车、集成导航(GPS与Gallileo)等等，随着这一系统的被引入，汽车电子生态系统正在变得更加互连且更为复杂。但与此同时，汽车电子器件也取代了很多的琐碎功能，如车灯控制、空调、电动车窗、引擎启动、车门开启、可调及加热座椅等等。

　　一般来说，车内的每个功能都由一个网络微控制器(MCU)来管理，这些MCU使用相同的通信总线来交换数据与信息，包括面向动力传动、底盘与车身电子功能的CAN、FlexRay或LIN总线，以及用于娱乐信息系统的MOST光纤网络和以太网。

　　从纯粹的机械环境发展到复杂的电子环境，尽管从舒适性以及驾驶员和乘客的主动与被动安防方面来看，确实增加了许多附加价值，但同时，由于这些引擎控制单元(ECU)彼此互连，也引发了隐私与数据可靠性方面的重大安全问题。例如，几十年前，CAN总线的设计初衷并没有要求其具有高度的安全性，实际上，车内通信总线内部的任何CAN信息都会发送给系统的其它组成部分，而且不支持任何授权、鉴别和加密协议。现代汽车使用CAN总线交换数据，用来开启车门和启动引擎，这些信息在车内的ECU与电子钥匙内部的ECU之间交换。如果该系统遭到损害，窃贼就能轻易地偷走汽车，而且“黑客”也可以访问车内GPS来查看汽车常去的地方，从中探知司机在哪里，什么时候汽车无人看管。

　　此外，用于实现电邮、SMS、视频流、视频电话等互联网移动功能的蓝牙、GPRS或UMTS，也扩大了“黑客”的攻击面，他们可以通过远程访问，侵入任何通信和驾驶系统，或者插入恶意软件来窃取各种数据，如汽车的实时位置、经常使用的路线和完整的对话等。

　　车载硬件安全架构

　　顾名思义，“开放系统”是暴露的，它面临通过多种方式实施各类攻击的可能性正在持续增加。汽车车身内部与外部通信网络的不断发展，正在迅速挑战汽车电子本身的安全防护能力。

　　迄今为止，由于最普遍使用的传输总线CAN的内部弱点，人们一直从软件应用的角度来研究“攻击面”。但现在，行业内开始把注意力转向硬件架构，以及应该如何“密封”ECU使其难以渗透并避免受到非法操纵，例如未经授权的安装、恶意软件上载、“木马”软件以及虚假升级等，或者至少能够限制非法访问并留下确凿的篡改证据。

　　正因为如此，通过硅器件厂商与一家知名汽车OEM厂商的合作，开发出了面向汽车功能的新一代MCU.这类四核微控制器利用专门的安全内核，即HSM(硬件安全模块)，提供安全与防护功能，HSM内部包含系统安全配置、安全启动、外部访问保护、闪存保护、加密功能和寿命结束保护等。

　　图1嵌入ECU内部的HSM硬件安全模块

　　如图2所示，HSM模块嵌入在ECU内部，绝对独立于其它与内存和外设访问相关的内核，数据和代码都有专用的闪存扇区，而且严格限于预留访问。

　　图2五种不同阶段的安全功能配置

　　配置系统安全性

　　系统安全性配置是在硬件层面保护敏感数据的第一步，在加电之前的重置阶段完全控制整个初始配置，防止非法侵入和擅自篡改。

　　利用设备配置格式(DCF)，硅器件厂商和软件开发商都可以保留所有初始配置，从而可以在启动阶段检查与击穿试验和用户击穿试验内部DCF相关的特殊内存地址、ECC(纠错码)错误以及奇偶校验误差。

　　在重置阶段，利用各种渐进步骤，可以检查一些安全防护功能。利用这种方式，通过几个参数进行交叉检查控制，就可以阻止以多种手段修改特殊内存地址的企图，或者强行改变启动以加载新的恶意固件的企图。

　　硬件架构规则基于预先定义的设备功能状态。安全设计人员提供出几种安全级别，以便软件开发者在最终实现其应用时拥有较高的自由度。实际上，一些层级较低的软件应用经常可以交给第三方开发，然后设计和实施递增的、不可逆的保护，满足不同开发者提出的要求。此外，多数安全机制在激活时要考虑设备的寿命周期(DLC)情况。硅器件厂商与软件开发者可以建立五种可能的递增与不可逆配置，以便实现针对侵入与操纵攻击的反制措施。

　　对于每一个阶段来说，安全等级都会得到提升，而且不能撤销。从第二级开始，在客户交付阶段，这个非常有限的安全机制为软件开发阶段提供了最大的自由度，而在现场设备阶段则开启完整的各种安全防护功能。

　　通常，在JDP生产阶段至客户交付阶段的过渡阶段，设备从原始生产商手中转移到第一个软件开发者手中，后者把MCU整合到更加复杂的系统之中。从客户交付阶段到OEM生产阶段，第三方为了保护自己的知识产权，一般会为设备开发最后的软件应用程序。最终，到达现场设备阶段，需要在嵌入汽车的最终应用里面采取一系列控制与不可撤销的保护措施，来满足OEM厂商以及系统开发者和汽车制造商的要求。“故障分析”是最后的设备生产阶段，用于测试的是被退回到工厂的设备系统，因此在这一过程中，一些相关安全保护功能将被停用，避免MCU因寿命周期保护而被认定为失效。