網(wǎng)絡(luò)安全與功能安全的智能聯(lián)合

在帶有嵌入式硬件安全模塊的 CPU 上運(yùn)行的安全堆棧如今被認(rèn)為是汽車網(wǎng)絡(luò)安全的核心。 因此，它們也是車輛功能安全的關(guān)鍵先決條件。 在最壞的情況下，針對(duì)網(wǎng)絡(luò)攻擊的安全保護(hù)不足的車輛系統(tǒng)最終可能會(huì)導(dǎo)致危及生命的情況。 ESCRYPT 解釋了為什么最好將硬件安全模塊及其安全功能直接集成到車輛的安全概念中。

基于硬件安全模塊 （HSM） 的微控制器和微處理器是當(dāng)今許多汽車 ECU 的最先進(jìn)技術(shù)。帶有硬件安全模塊的芯片現(xiàn)在被廣泛使用，特別是在車輛的眾多安全關(guān)鍵部件中，例如安全氣囊、電池管理系統(tǒng)、轉(zhuǎn)向系統(tǒng)和制動(dòng)系統(tǒng)。因此，HSM 固件是功能安全的車輛系統(tǒng)的核心組件。

作為單獨(dú)的硬件組件連接到主機(jī)控制器，HSM 包括自己的處理器、加密功能以及用于硬件安全固件和安全數(shù)據(jù)的專用存儲(chǔ)器。HSM 固件為硬件添加了額外的安全功能，將這些功能捆綁到復(fù)雜的安全協(xié)議中，以支持專用的 OEM。即使在多核環(huán)境中，底層搶占式實(shí)時(shí)操作系統(tǒng)也能確保優(yōu)化的、優(yōu)先級(jí)驅(qū)動(dòng)的資源利用率。所有功能都通過 API 接口提供給主機(jī)應(yīng)用程序，從而確保 HSM 堆棧可以輕松集成到引導(dǎo)加載程序或任何 Autosar 堆棧中——使用“復(fù)雜驅(qū)動(dòng)程序”或通過 Autosar 加密驅(qū)動(dòng)程序，隨附HSM 固件，如圖 1。HSM 核心和軟件構(gòu)成了車輛系統(tǒng)的信任錨。硬件安全模塊成為系統(tǒng)可用于檢查真實(shí)性和完整性的一種基準(zhǔn)，例如驗(yàn)證車載網(wǎng)絡(luò)內(nèi)的軟件更新或消息（安全車載通信，SecOC）。

HSM 的功能安全

雖然當(dāng)今大多數(shù)汽車微控制器和微處理器都配備了此類硬件安全模塊，但實(shí)際上這些 HSM 中為功能安全而設(shè)計(jì)的很少。盡管硬件設(shè)計(jì)在很大程度上是在質(zhì)量管理流程的基礎(chǔ)上進(jìn)行的，但這很少是涵蓋可能的系統(tǒng)故障的符合 ISO-26262 的流程 ［1］。即使在過程符合 ISO-26262 的情況下，HSM 中也沒有針對(duì)偶發(fā)性故障實(shí)施單獨(dú)的保護(hù)，例如以硬件冗余或附加檢查器功能的形式。這似乎令人驚訝，但考慮到通常沒有直接分配給 HSM 本身的安全目標(biāo)，這是完全有道理的。

由于上述硬件情況，HSM 固件的通用功能安全方法不是有用的解決方案。相反，需要深入考慮個(gè)別用例。HSM 包含在許多與安全相關(guān)的 ECU 中，在應(yīng)用范圍內(nèi)用于各種功能，包括防止操縱、初始化、軟件更新、診斷、車載通信和許多其他功能。因此，需要在 HSM 中進(jìn)行特定于案例的實(shí)現(xiàn)。

安全與干擾共存

HSM 的典型用途是在集成環(huán)境中，它與執(zhí)行安全相關(guān)功能的軟件解決方案共存，分配的安全目標(biāo)高達(dá) ASIL D。因此，根據(jù)ISO 26262實(shí)現(xiàn)無干擾非常重要。這里通常的方法是使用芯片上可用的硬件功能來保護(hù)主機(jī)驅(qū)動(dòng)程序和來自那些執(zhí)行安全關(guān)鍵功能的軟件模塊的共享資源，例如通過使用專用保護(hù)機(jī)制或內(nèi)存保護(hù)單元 （MPU） 。

然而，這種影響深遠(yuǎn)的基于硬件的劃分對(duì)系統(tǒng)來說不一定有用，因?yàn)樵谙嗷ケＷo(hù)的兩個(gè)不同域之間交換數(shù)據(jù)和切換任務(wù)將不可避免地降低性能，潛在地導(dǎo)致的瓶頸會(huì)與其他運(yùn)行時(shí)的要求產(chǎn)生沖突。更重要的是，這種硬件機(jī)制甚至可能不適用于為優(yōu)化整體系統(tǒng)成本而選擇的低成本設(shè)備。

HSM 固件作為上下文之外的安全元素

合格的 HSM 固件提供了針對(duì)此問題的優(yōu)雅解決方案，該固件包括根據(jù) ISO 26262 中指定的 ASIL 要求開發(fā)的主機(jī)驅(qū)動(dòng)程序。這將允許 HSM 輕松集成到車輛 ECU 中，無需分區(qū)或內(nèi)存保護(hù)，因此不會(huì)影響性能，如圖 2。

基于 HSM 本身不會(huì)在硬件方面執(zhí)行任何安全相關(guān)功能的假設(shè)，并考慮到上下文中固件最終將被多方面且未知地使用，它被設(shè)計(jì)為上下文之外的安全元素（ SEooC） ［1］。與此同時(shí)，必須在系統(tǒng)層面采取措施確保固件安全集成，換句話說，以可靠的方式防止硬件安全模塊與其安全相關(guān)功能的主機(jī)內(nèi)核之間的干擾。理想情況下，應(yīng)為 HSM 固件提供專門的安全手冊(cè)，其中包含關(guān)于如何在集成 SEooC 時(shí)確保不受干擾的說明。

使用安全的CMAC降低風(fēng)險(xiǎn)

一般來說，需要進(jìn)行徹底的安全分析，以識(shí)別系統(tǒng)中的威脅和漏洞，并設(shè)計(jì)適當(dāng)?shù)膶?duì)策。通過將網(wǎng)絡(luò)安全方面納入功能安全評(píng)估，可以從功能安全的角度進(jìn)行知情風(fēng)險(xiǎn)評(píng)估，并據(jù)此確定安全完整性水平（SIL），如圖3。但是，上述無干擾共存可能不會(huì)，對(duì)于某些系統(tǒng)設(shè)計(jì)和特定功能，即網(wǎng)絡(luò)安全機(jī)制中的故障產(chǎn)生安全關(guān)鍵的影響［2］。例如，如果ECU之間交換的車載通信消息和信號(hào)與安全相關(guān)，則會(huì)出現(xiàn)這種情況。如果此類信息已損壞但仍被轉(zhuǎn)發(fā)，則可能導(dǎo)致具有嚴(yán)重后果的危險(xiǎn)情況，例如錯(cuò)誤的制動(dòng)信號(hào)或錯(cuò)誤的轉(zhuǎn)向角。

因此，Autosar為交換安全相關(guān)數(shù)據(jù)指定了端到端（E2E）保護(hù)。E2E概念在運(yùn)行期間檢測(cè)并處理通信網(wǎng)絡(luò)中硬件和軟件端的故障。因此，該概念適用于ASIL D之前的安全兼容通信。然而，與此同時(shí)，還有一些新的、更智能的系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)方法，它們補(bǔ)充了E2E方法，同時(shí)設(shè)法避免其造成的開銷。其中一種新穎的補(bǔ)充方法是安全CMAC，它使用基于密碼的消息認(rèn)證碼（CMAC）保護(hù)安全關(guān)鍵消息。

滿足ASIL D的基于HSM的安全機(jī)制

事實(shí)上，車內(nèi)網(wǎng)絡(luò)中的每條消息通常都包含一個(gè)CMAC，該CMAC被路由到硬件安全模塊以驗(yàn)證消息的真實(shí)性。然而，同樣的是這種MAC身份驗(yàn)證也可以用作檢測(cè)損壞消息的功能安全措施。然而，HSM中的單點(diǎn)故障，例如隨機(jī)HSM硬件故障，可能導(dǎo)致違反ASIL D規(guī)定的ECU安全目標(biāo)，即避免轉(zhuǎn)發(fā)非真實(shí)消息的要求。

因此，對(duì)于HSM，有必要定義一個(gè)額外的安全要求，即不驗(yàn)證任何虛假M(fèi)AC是否正確；這適用于所有安全相關(guān)信息，無論有多少。根據(jù)使用情況，安全相關(guān)消息的數(shù)量將從每個(gè)驅(qū)動(dòng)循環(huán)的單個(gè)消息和軟件更新到100%的消息不等。另一方面，如果對(duì)所有消息（包括非安全相關(guān)消息）實(shí)施基于HSM的此類安全機(jī)制，這只會(huì)導(dǎo)致不必要的開銷。因此，特定于用例的實(shí)施概念再次需要智能HSM固件，該固件提供了多個(gè)選項(xiàng)，用于在需要時(shí)集成基于CMAC的車輛系統(tǒng)功能安全。

可能的安全機(jī)制之一是基于應(yīng)用程序啟動(dòng)的錯(cuò)誤MAC自檢。系統(tǒng)集成商必須確保執(zhí)行和評(píng)估測(cè)試本身以及進(jìn)入安全狀態(tài)所需的時(shí)間滿足要求的故障處理時(shí)間間隔（FHTI），即故障檢測(cè)時(shí)間間隔（FDTI）和故障反應(yīng)時(shí)間間隔（FRTI）的總和。此解決方案最多可用于ASIL B。另一種安全機(jī)制基于循環(huán)冗余校驗(yàn)（CRC），并應(yīng)用于每個(gè)與安全相關(guān)的MAC驗(yàn)證。集成到HSM固件的性能優(yōu)化批量CMAC接口中，可最大限度地減少因附加CRC計(jì)算和比較功能而導(dǎo)致的目標(biāo)與時(shí)間的權(quán)衡，尤其是在設(shè)備硬件支持CRC的情況下。此解決方案最多可用于ASIL D。

關(guān)鍵系統(tǒng)功能安全的工具化

智能的成本和性能優(yōu)化安全概念可以將功能安全目標(biāo)委托給硬件安全模塊。與其采取一般方法，不如對(duì)照整個(gè)系統(tǒng)的安全目標(biāo)檢查每個(gè)單獨(dú)的用例，以得出硬件安全模塊的特定功能安全要求。這方面的基本先決條件是具有相應(yīng)功能安全包的適當(dāng)復(fù)雜的HSM固件，該軟件包可以涵蓋ASIL D之前的用例，具體取決于每個(gè)用例中的目標(biāo)和上下文。但是，這必須始終符合以下條件：HSM中定義的安全措施與主機(jī)側(cè)的適當(dāng)功能安全措施相伴隨。

最新一代設(shè)備中使用的硬件已經(jīng)具有增強(qiáng)的安全機(jī)制和性能。盡管如此，對(duì)提供更高性能的成本優(yōu)化系統(tǒng)設(shè)計(jì)的需求仍然存在。在這方面，一個(gè)開創(chuàng)性的解決方案似乎是將網(wǎng)絡(luò)安全機(jī)制工具化通過使用智能HSM固件實(shí)現(xiàn)硬件安全模塊的安全性，以確保關(guān)鍵車內(nèi)系統(tǒng)的功能安全。

原文標(biāo)題：網(wǎng)絡(luò)安全與功能安全的智能聯(lián)合

文章出處：【微信公眾號(hào)：ETAS易特馳】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。
責(zé)任編輯:pj