識(shí)別和降低系統(tǒng)級(jí)風(fēng)險(xiǎn),確保連接汽車(chē)的安全
作者/ Prem Kumar Arora 美高森美公司SoC產(chǎn)品營(yíng)銷(xiāo)總監(jiān)
本文引用地址:http://2s4d.com/article/201704/358514.htm摘要:自動(dòng)駕駛作為汽車(chē)工業(yè)發(fā)展的又一方向,ADAS、V2V、V2X等相關(guān)技術(shù)已經(jīng)得到了一定的發(fā)展,但是,自動(dòng)駕駛的安全問(wèn)題仍然未能完全解決。本文針對(duì)V2X網(wǎng)絡(luò)安全問(wèn)題,介紹了硅IC生物簽名和公鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)兩種解決方法。
引言
100多年以來(lái),汽車(chē)工業(yè)一直是經(jīng)濟(jì)增長(zhǎng)的推動(dòng)力。汽車(chē)工業(yè)連續(xù)開(kāi)展技術(shù)變革,讓汽車(chē)成為安全、舒適和高效的交通形式。但是,到目前為止,這些都只是一點(diǎn)一點(diǎn)增加和演變,而不是革命性地大變化。隨著自動(dòng)駕駛汽車(chē)的出現(xiàn),我們才站到了革命性變化的前沿。引領(lǐng)這種變革但不損失安全,需要從設(shè)計(jì)階段到IC層面都更密切地關(guān)注系統(tǒng)級(jí)風(fēng)險(xiǎn)及其減緩措施。
自動(dòng)駕駛面臨的挑戰(zhàn)
隨著這些技術(shù)的成熟,成功部署最重要的因素將是可靠性和現(xiàn)場(chǎng)性。汽車(chē)電子系統(tǒng)的歷史記錄,特別是最近的記錄問(wèn)題重重。我們已經(jīng)了解了電子訪問(wèn)控制系統(tǒng)的脆弱性,以及自加速汽車(chē)造成傷亡的事件。兩名“道德”黑客因演示遠(yuǎn)程訪問(wèn)的脆弱性,成功控制大切諾基吉普并使其失控而登上了新聞?lì)^條。這些事件暴露了自動(dòng)駕駛潛在的挑戰(zhàn)。
最常見(jiàn)的三個(gè)威脅領(lǐng)域是:
1)車(chē)對(duì)車(chē)和車(chē)對(duì)基礎(chǔ)設(shè)施通信;
2)使用可移動(dòng)設(shè)備,U盤(pán)或MP3設(shè)備;
3)售后和工作站/診斷。
安全挑戰(zhàn)隨著與外部世界連接的每個(gè)節(jié)點(diǎn)而提升。作為V2V網(wǎng)絡(luò)的一部分,在連接的汽車(chē)中,有幾個(gè)這樣的節(jié)點(diǎn)與互聯(lián)網(wǎng)連接,或與另一臺(tái)汽車(chē)對(duì)話。在這些汽車(chē)中,必須確保與外界的通信源自經(jīng)驗(yàn)證的來(lái)源,并且在傳輸時(shí)未被更改。
為了確保安全,將要求設(shè)計(jì)人員從底層硬件開(kāi)始,通常需要解決以下問(wèn)題:
1)硬件完整性,預(yù)防/檢測(cè)硬件篡改;
2)車(chē)內(nèi)軟件和數(shù)據(jù)的完整性和真實(shí)性,任何車(chē)輛軟件未經(jīng)授權(quán)的更改必須不可行/可檢測(cè);
3)車(chē)內(nèi)通信的完整性和真實(shí)性,接收器必須能夠檢測(cè)出未經(jīng)授權(quán)的數(shù)據(jù)更改;
4)車(chē)內(nèi)通信和數(shù)據(jù)的保密性,未經(jīng)授權(quán)的保密數(shù)據(jù)傳輸或保存必須不可行;
5)向其它(遠(yuǎn)程)實(shí)體證明平臺(tái)完整性和真實(shí)性,證明其平臺(tái)配置的完整性和真實(shí)性的能力;
6)車(chē)內(nèi)數(shù)據(jù)和資源的訪問(wèn)控制,實(shí)現(xiàn)利用性和良好定義的訪問(wèn)。
挑戰(zhàn)歸納為三個(gè)主要方面:1)安全硬件,底層硬件非常安全,無(wú)法篡改,能夠形成信任根;2)設(shè)計(jì)安全,硬件上實(shí)施的設(shè)計(jì)是安全的,無(wú)法被篡改;3)數(shù)據(jù)安全,所有數(shù)據(jù)通信類(lèi)型都安全可靠。
確保系統(tǒng)安全從確保硬件安全開(kāi)始。安全受信任的硬件構(gòu)成了安全系統(tǒng)的基礎(chǔ),它提供了必要的構(gòu)件,用于驗(yàn)證和授權(quán)通信、行動(dòng)等,對(duì)任何系統(tǒng)都是如此,但是,對(duì)V2X系統(tǒng)來(lái)說(shuō)尤其重要。
確保V2X安全
為了實(shí)現(xiàn)可靠的V2V/V2I通信,必須確保通信來(lái)自已知來(lái)源,且在傳輸過(guò)程中未被更改。
為了證明真實(shí)性,信息發(fā)送者必須向接收者提供能夠驗(yàn)證的某些識(shí)別形式,以確認(rèn)信息來(lái)自正確的來(lái)源。這可以采用對(duì)稱(chēng)或不對(duì)稱(chēng)加密技術(shù)實(shí)現(xiàn)。
對(duì)V2X網(wǎng)絡(luò)來(lái)說(shuō),由于網(wǎng)絡(luò)的復(fù)雜性和規(guī)模,通常不能使用對(duì)稱(chēng)加密,而是采用不對(duì)稱(chēng)加密,提供可擴(kuò)展的方法,連接網(wǎng)絡(luò)可能需要的許多節(jié)點(diǎn)。為了實(shí)現(xiàn)這一點(diǎn),每個(gè)節(jié)點(diǎn)采用私鑰,對(duì)傳輸?shù)拿總€(gè)信息簽署數(shù)字簽名。接收器采用傳輸給所有接收節(jié)點(diǎn)的相關(guān)公鑰,對(duì)這種數(shù)字簽名進(jìn)行驗(yàn)證。除擴(kuò)展性比對(duì)稱(chēng)加密方案好以外,采用這種方法,出錯(cuò)節(jié)點(diǎn)的更換也更容易。
但是這種方法帶來(lái)了另一個(gè)問(wèn)題:如何確保每個(gè)節(jié)點(diǎn)使用的私鑰和公鑰是真實(shí)且未被篡改的?
問(wèn)題第一部分的最佳可能解決方案,是采用以每個(gè)器件制造工藝中微小的物理變化為基礎(chǔ)的硅IC生物簽名。這些工藝變化永遠(yuǎn)不可能相同,無(wú)法被克隆,也沒(méi)有兩個(gè)IC具有相同的工藝變化,從而為每個(gè)器件提供了唯一的簽名。這種簽名被稱(chēng)為物理不可克隆功能(PUF)。除不可克隆之外,基于PUF的密鑰通常是在原子級(jí)別實(shí)現(xiàn)的,還很難被黑客提取。IC可以基于幾種物理因素定義的PUF,如存儲(chǔ)元件、邏輯延遲和電阻?;赟RAM的IC利用SRAM單元唯一的隨機(jī)啟動(dòng)狀態(tài)產(chǎn)生私鑰,由于該單元的狀態(tài)在關(guān)機(jī)時(shí)被擦除,因此更為安全。
問(wèn)題的第二部分可通過(guò)公鑰基礎(chǔ)設(shè)施(PKI)解決。PKI是創(chuàng)建、儲(chǔ)存和分配數(shù)字證書(shū)的系統(tǒng),該數(shù)字證書(shū)用于驗(yàn)證特定公鑰屬于某一實(shí)體。PKI創(chuàng)建映射實(shí)體公鑰的數(shù)字證書(shū),將這些證書(shū)安全地儲(chǔ)存在中央儲(chǔ)存庫(kù)內(nèi),不需要時(shí)將它們廢除。
在PKI系統(tǒng)中,認(rèn)證機(jī)構(gòu)(CA)利用自己的私鑰對(duì)其公鑰簽署數(shù)字簽名,對(duì)所有節(jié)點(diǎn)進(jìn)行認(rèn)證。最常見(jiàn)的公鑰認(rèn)證格式是X.509。當(dāng)一個(gè)設(shè)備傳輸用其私鑰簽署數(shù)字簽名信息時(shí),該信息可采用該設(shè)備的公鑰驗(yàn)證。該設(shè)備還可以將其X.509證書(shū)發(fā)送給接收其信息的所有節(jié)點(diǎn),使得它們都擁有其公鑰。X.509證書(shū),包括設(shè)備的公鑰,也都可以采用CA事先放在所有節(jié)點(diǎn)且本質(zhì)受信任的公鑰在接收器處進(jìn)行驗(yàn)證。采用這種方案,由于發(fā)射器采用的簽名可以由接收器驗(yàn)證,因此,可以建立經(jīng)過(guò)證明、基于證書(shū)的分級(jí)信任鏈。這種方案還確保容易檢測(cè)出假冒設(shè)備。
本文來(lái)源于《電子產(chǎn)品世界》2017年第5期第23頁(yè),歡迎您寫(xiě)論文時(shí)引用,并注明出處。
評(píng)論