硬件安全模块(HSM)的性能提升

2020-05-21 23:11:56·  来源:ETAS易特驰  
 
在未来的汽车架构中(如图1所示),很多电子模块的功能将向域控制器集中和转移,而车载以太网将作为骨干网,提供高速车内通信,这就需要引入新的信息安全方法。
在未来的汽车架构中(如图1所示),很多电子模块的功能将向域控制器集中和转移,而车载以太网将作为骨干网,提供高速车内通信,这就需要引入新的信息安全方法。下一代硬件安全模块(Hardware Security Module, HSM) 正在成为电子模块的中心组件,因为HSM将多应用程序功能与实时通信结合在了一起。


图1. 汽车电子电气架构发展趋势预测

在新的域控制器+车辆计算机架构中,车辆计算机(Vehicle Computer, VC)将合并域控制器及其软件控制的功能,而域控制器所连接的ECU将逐渐发展为相对标准的传感器与执行机构,其实际应用与控制算法将在车辆计算机上运行。

在这种架构中,电子电气体系结构的复杂性降低了,工程设计也减少了。主机厂无需为每一个平台购买特定的ECU和软件,而是将软件应用程序的开发和交互作用集中在车辆计算机上,从而节省时间和费用。

但是E/E向着域控制器与车辆控制计算机的发展,对车载通信的提出了新的带宽要求。域控制器必须收集数据,进行处理并将其分发到车辆中,而不是在ECU中进行分散处理。域控制器之间的通信的实时性要求,使得数据流量将通过车载以太网传输。同时,在子网中,信号传输仍将通过CAN/CAN FD/LIN/FlexRay等总线完成。信息安全必须适应这种混合的体系结构。

01  通过设计保证安全

面对车内互联的增长趋势,在混合型车载网络中,应将通过设计保证安全和更新- 特别是考虑到硬件和软件的解耦以及许多软件的重新定义。在集中式的车载网络中集中管理信息安全功能,以及确保对域控制器所连接的ECU进行保护,变得可行。

HSM对于完全的安全车载通信 (Secure onboard Communication, SecOC) 是必不可少的。HSM有助于确保此处收到的所有数据的真实性,并防止攻击者通过绕过与安全性相关的ECU接口,获得对中央处理器甚至车载网络的访问权限。

但是,集中式车载网络所面临的挑战不仅限于此:每当车辆计算机(通常划分为多个虚拟机)接管多个ECU的软件应用程序和功能时,对安全组件的需求也会增加。新一代的HSM也为此做好了准备。

02  任务偏好和实时操作系统

物理上,HSM的安全功能封装在相应处理器的HSM内核中。在那里,安全功能通过HSM软件协议栈激活和操作。因此,车辆计算机的主控制器可以专注于其实际任务,而HSM内核则处理安全性的要求:安全的车载通信、运行时的操作检测以及安全的启动、刷新、日志记录和调试。这使HSM比纯粹基于软件的安全解决方案要强大得多。

如果将软件应用程序和ECU功能组合在车辆计算机上,则可以预见,有时会有许多应用程序同时调用HSM的安全功能。在这种情况下,HSM必须提供必要的安全功能,并实时管理多个应用程序的数据流。这将到达标准HSM的极限,甚至超过纯软件安全解决方案的极限多。但是,具有实时操作系统和智能、灵活的会话概念的新一代HSM可以完成任务。

03  多核/多应用的支持

在未来的架构中,如果多个内核并行发出请求,则新的HSM固件可确保HSM内核最多处理16个并行会话,而HSM软件中的会话数量可配置。这种多核和多应用程序支持的秘密在于HSM固件驱动程序的特殊体系结构。这允许不同的虚拟化应用程序独立集成驱动程序,从而为独立开发各种软件部件铺平了道路:在集成过程中,“链接器”步骤可确保驱动程序的各种实例在硬件的共享RAM中使用通用结构。如图2所示,每个实例创建自己的结构(会话),以便驱动程序始终可以并行管理来自应用程序的多个请求。



图2. HSM固件在并行会话中处理来自多个主机核心的请求

如图3所示,上述设计中的中央安全组件是主机到HSM的桥接模块(bridge module)。桥接模块的主要目的是将HSM子系统连接到主机系统 (host system),并进行两个系统之间的所有交互。作为将HSM与主机分开的组件,桥接模块将接管到HSM的流量控制。在桥接模块的寄存器中,来自主机的请求队列以确保HSM作为有限资源的最佳利用,并尽可能快地执行所请求的安全功能的方式来设置和处理。下一代HSM软件将HSM的多应用程序和多核功能变为现实。



图3. HSM固件在并行会话中处理来自多个主机的请求

04  批量消息验证码的实时性能

新的E/E架构带来的另一个挑战是如何确保大量增加的通讯安全。它要求在混合车载网络中能够并行处理CAN/CAN FD总线和车载以太网的通信,并保护所需要的通信协议数据交换的安全。新的HSM尽管受制于本身性能,但也为此提供了解决方案。一种解决方案是批量MAC接口:首先,主机在预定时间段内收集所有消息,然后将它们作为请求通过桥模块寄存器整体发送到HSM。这样,一次数据传输就足够了。HSM固件立即处理HSM模块上所有收集的消息,并将结果发送到主机(如图4所示)。



图4. HSM固件在并行会话中处理来自多个主机的请求

这带来了巨大的性能提升。 假设主机和HSM之间的每次数据传输仅花费10us,对于100条消息,延迟总计也高达1 ms = 10us * 100,这给实时系统带来了挑战。使用批量MAC接口,可以在百分之一的时间内处理这100条消息。对于使用车辆计算机和域控制器建立网络并在此过程中定义了许多PDU的主机厂而言,批量MAC接口具有明显的优势。通过确保对大量不同消息的足够快速的身份验证,它可以在车载网络中维持安全的实时通信。在下一代HSM软件中,已经集成了批量MAC。

05  面向未来的HSM

车载网络向集中式平台的转换,正在推动硬件和软件的分离。HSM在确保这些平台的安全性方面发挥着核心作用。HSM不仅可以通过SecOC保护在域控制器连接的ECU中占主导地位的CAN/CAN FD总线的数据流免受访问和操纵,而且能够保护最高级别的安全用例,和具有高数据负载和实时要求的软件应用程序的安全运行。新一代HSM设计用于多核和多应用程序任务,使用批量MAC接口,即使在高数据负载和异构格式的情况下,也可以确保通信的实时性。

基于车载网络的多样性和自动驾驶的发展趋势,主机厂越来越多地为E/E架构设置自己的特定安全标准。下一代HSM固件可以根据主机厂特定安全标准提供对应的差异化产品。HSM固件在最新的微控制器上运行,并以源代码的方式提供主机驱动程序。这为主机厂和零部件供应商重用和定制提供了便利。由于具有这种灵活性和高性能,带有最新固件的HSM对于确保未来的集中式混合型车载网络的安全而言是不可或缺的组件。
 
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25