随着全球汽车行业智能化和车联网的发展,新时代的人们越来越多地享受到便利的出行和舒适的驾乘体验。然而,联网环境下所带来的各种风险也悄然而至,无论是互联网、紧急呼叫、导航系统、自动收费、按需供电,还是基于地点的服务广告、维护更新和交通告警,都将成为黑客攻击的潜在漏洞,汽车安全事件频发,构建智能网联汽车信息安全防护体系刻不容缓。在汽车信息安全防护体系中,汽车安全芯片是非常关键的一环,中央网关、域控制器、ECU等车载设备通过增加安全芯片,可以实现车内通信加密、车内设备的身份识别、以及OBD诊断的设备安全接入。可有效阻止CAN以太网等总线攻击,阻止非法OBD设备读取和刷写、识别恶意节点发送非法报文等,为车与车、以及车与物之间的通讯以及车辆系统的运行提供安全保障。
本文是以汽车安全芯片为主题,首先介绍了车规级安全芯片的相关标准,其次之后根据不同应用场景,列举了汽车安全芯片的主要形态,以及在汽车电子电气架构中的使用布局,通过调研和对比,国内外主流汽车安全芯片方案来了解现状和未来趋势,最后介绍了芯片安全测试技术,作为汽车安全芯片发展的重要保障。
首先,汽车安全芯片属于一种车规级芯片,对于车规级芯片,主要包括AEC和ISO 26262等标准。
AEC是汽车电子协会(Automotive Electronics Council),目的是建立共同的零部件资格和质量体系标准。具体标准细节参考表格1:
汽车安全芯片属于集成电路芯片,属于标准AEC-Q100,包含等级细节如下表格2:
ISO 26262是道路车辆功能安全的国际标准,主要是针对功能安全,用于确定汽车安全完整性等级ASIL(Automotive Safety Integrity Level)。ASIL等级分为 A、B、C和D,汽车安全芯片需要满足此标准和相应等级要求。
同时,汽车安全芯片作为一种安全芯片,亦需要满足安全芯片的相关等级评定,目前行业对于安全芯片的安全等级评定标准包括国际、国内EAL和国密等级。
国际评估保证等级EAL(evaluation Assurance Level)包括7个等级(EAL1至EAL7),是一个完全遵循国际标准化通用标准CC(Common Criteria),制定用来评估IT产品或系统安全的数字级别。国内EAL等级评估由中国网络安全审查技术与认证中心进行评估,包括5个等级(EAL1至EAL5)。
国密等级由国家密码安全局制定的标准进行评估,主要分为3级安全等级。安全等级1规定安全能力需要满足的最低安全标准,对密钥和敏感信息提供基础保护措施。安全等级2规定在1的基础上,具有逻辑或物理保护措施,达到中等安全等级要求。安全等级3为最高的安全等级,要求对各种安全风险具有全面的防护能力。
汽车安全芯片主要有三类应用形态,第一类是微控制器、微处理器和ADAS等处理器中内嵌HSM(Hardware Security Module)硬件安全模块,主要应用在车内各个控制器中,提供安全启动、安全算法等安全功能支持。第二类是安全存储芯片,此类芯片具备安全存储区域,提供加密读写功能,主要应用在重要数据存储安全要求高的领域。第三类是分立的安全控制器,包含可编程的SE(Secure Element)安全单元或者可编程安全eSIM(V2X通信),主要应用在车辆对外通信和频繁被外部访问的领域。值得一提的是,V2X安全通信的整个场景中,不仅要做数据加密、数据签名、身份验证,还要保证端到端的可靠性和安全性,另外还需要V2X安全芯片能够达到较高性能,满足目前“新四化”的要求。汽车安全芯片应用形态分类和车内应用布局如图1。
汽车安全类芯片产品国外公司主要包括:ST、NXP、Infineon、Renesas、TI和Microchip等。国内公司包括:紫光同芯、华大微电子、宏思电子、芯钛、国民技术、复旦微电子、芯驰、黑芝麻和地平线等,经市场调研,国内外厂商相关产品,参考表格3。
毋庸置疑,对于车载安全芯片,在应用于车辆终端系统时,其信息安全特性需要经过第三方机构严格规范的测试与评价。车载芯片的安全测试技术沿袭自集成电路安全测试技术,主要通过模拟黑客安全攻击的方式执行,以芯片可抵抗各类安全攻击的真实情况,并结合系统性分析,作为其安全指标。
针对芯片的安全攻击测试技术,主要包括主动与被动两类:
主动攻击测试:测试者对芯片的输入或运行环境进行控制,使安全芯片运行行为出现异常,在这种情况下,通过分析芯片工作的异常行为,获得芯片内的密钥等关键敏感信息。主动攻击常用故障注入的方式,包括电磁、激光、红外、高电压注入等测试方法。
被动攻击测试:测试者令芯片等密码设备大多数情况下按照其规范运行,甚至完全按照其规范运行。在这种情况下,通过观测芯片的物理特性(如执行时间、能量消耗等),测试者可能获得密钥等关键敏感信息。被动测试常用方式为侧信道攻击,包括分析芯片的时序、功率、电磁辐射等信号特征。
芯片的安全测试需要专业设备与专业人员,测试执行方式主要包括非侵入式、半侵入式和侵入式三类,详细情况见表格4:
国家智能网联汽车创新中心以信息安全实验室为依托,针对车载终端安全测试,已建设了全面的安全测试与验证能力。测试对象包括车载网关、T-BOX、ADAS和IVI等关键控制器等。测试项包含硬件安全、固件安全、密钥安全、传感器信号安全、数字证书安全和通信安全测试等。其中,芯片安全测试作为车辆终端安全测试的核心组成部分,测试对象主要包括各类车规级处理器以及相关的HSM芯片、安全存储芯片和V2X安全芯片等,测试方法包括侧信道攻击测试、电流注入测试、电磁注入测试和随机数发生质量测试等,同时针对V2X安全芯片,可开展国密算法处理性能与协议一致性专项测试(部分测试环境如图2)。通过以上测试,可评估车载安全芯片各项指标与安全标准和安全需求的符合性与一致性,帮助企业发现芯片级安全缺陷、规避安全风险和完善产品功能,为车载安全芯片的发展以及国密技术在芯片中的快速落地提供相应测试技术方法和保障。
1. Infineon英飞凌Automotive Security汽车安全架构
2. Automotive Electronics Council AEC官网
3. BroadStar宝兴达《安全芯片分类选型》http://www.broadstar.cn/pro_info.php?id=871
4. CASF2020王建伟《车载安全芯片现状及应用》
5. CSDN账号何以解忧唯有写!《车规级芯片IC等级及其特点》
6. Synopsys新思《什么是ASIL?ASIL D 又是什么?》
7. 维基百科《Secure cryptoprocessor》
8. 维基百科《evaluation Assurance Level》
9. GM/T0008-2012《安全芯片密码检测准则》
10. 电子工程师专辑《中国工程师最喜欢的10大车规级MCU芯片》
11. 头豹LeadLeo《2020年 中国智能安全芯片行业概览》