汽车基础软件信息安全关键技术

加密芯片应用

随着信息安全需求的增加，在业务正常运行的情况下，SoC/MCU 已无法满足纯软加密对资源的需求， 且关键数据和密钥的安全存储依赖加密芯片或 SoC/MCU 内置可信安全存储区。

目前常见的解决方案一种是 SoC/MCU 内置加密模块和可信安全存储区，满足加密算法加速和可信存储的要求；另一种则是在芯片外挂专用的高性能加密芯片，通过 SPI 等总线与芯片进行数据交互。

芯片上内置的加解密模块普遍性能偏低，一般只有对称加密算法和哈希算法。非对称加解密的数据需求是无法被满足的，但芯片内置的加密模块不会有与业务芯片通讯总线被监听的拆件破解风险。内置加密模块一般用于可信启动和高安全要求的加解密计算的应用中，具体场景包括：

• 可信启动：一般使用可信安全存储区，将用于校验 BootLoader 和 OS 等关键初始启动部分的证书/ 公钥存入，防止通过篡改证书 / 公钥的方式替换非法的 OS。

• 高安全要求加解密：根据目前行业的惯例，非对称算法主要用于身份验证和对称密钥协商，实际的数据加解密依然会使用资源消耗更低的对称算法。在数据保密要求高的情况下，一般直接使用SoC/MCU 内置的加解密模块，数据的加解密过程不会有明文数据流出芯片，安全性更高。

外置加密芯片一般会包含常用的对称、非对称、哈希、随机数等算法，基本能满足全部业务所需的功能。并且专用加密芯片都带有可信安全存储区，可以满足密钥和关键数据的存储需求。此种芯片一般用于内置加密模块或纯软加密无法满足业务需求的场景：

1. 车云交互通讯：数据量较大且和其他业务同时运行，要避免影响 CPU 的算力。

2. OTA 升级包校验：数据量大，且依赖 HASH 和非对称算法校验签名，专用芯片的算力会更高更适合此场景。

3. 密钥管理：专用芯片的可信存储区的根密钥可以做到以电荷形式存储，破坏芯片会导致存储区损坏， 可信区的安全性极高。

车用操作系统的安全技术

传统实时操作系统

传统车载ECU 上，以单片机 MCU 为核心，运行 AUTOSAR CP OS、UCOS 等实时性较高的操作系统。传统 ECU 上，运行环境相对简单，通信方式通常以 CAN 总线为主，该类操作系统上应用的安全技术也相对简单，包括如下技术：

内存保护

大多数主流的MCU 中都具备MPU（Memory Protection Unit，内存保护单元）。OS 在进行系统调度时，可通过在MPU 中配置不同的地址段及其读/ 写/ 执行权限，实现内存保护的功能，确保用户任务在运行时， 不能够访问没有权限的地址范围。

服务保护

OS 中可配置不同对象（任务，中断，报警等）的访问权限，当前任务或中断在运行时，能否访问其他的 OS 对象（例如激活其他的任务）是受限的，可信应用无法获取执行特定的服务例如 Shutdown 的权限

基于 CAN 总线的入侵检测

基于 CAN 总线的入侵检测一般部署在网关节点，可用于检测 CAN 总线的入侵事件。包括负载率、报文  ID、报文周期、DLC、CRC、报文的固定格式、信号值上下文、应用层协议等内容。检测到入侵时间后， 可将相关事件日志进行记录和上报。

HSM

主流的 MCU 中大多集成了 HSM 部件，HSM 通常是独立的内核，与 MCU 其他正常功能的内核是隔离开的。HSM 中可以支持的安全技术包括：随机数生成、密钥及安全数据的存储、基于硬件加速更加高效的加解密算法、串行或并行的安全启动特性，可以检测应用程序是否被恶意篡改。

HSM 的固件一般由芯片厂商提供，也可基于不同客户的需求进行定制开发，例如，可以在 HSM 中支持更多的非对称算法以适应不同的项目需求。

自适应操作系统

近年来，随着智能驾驶，车联网，智能座舱等需求的不断增长，传统的 MCU 及实时车载操作系统 已经无法满足要求。车机、T-BOX、智能座舱中央控制器、域控制器等控制器更多的会使用 Linux、安卓、QNX 等操作系统。该类控制器通常以以太网为主干，其功能更加复杂，更加灵活，其安全风险也更多。前文提及的各类关键技术，在该类控制器上都有相关的应用场景。

1、基于以太网总线的入侵检测和防御。

随着技术的进步，以车载以太网作为主干网的车型越来越多，车辆也不再是一个封闭的世界，需要 通过联网与外界进行交互。这满足了越来越多样的用户需求，但同时也带来了更多的信息安全方面的风险。

基于Ethernet 的IDPS，可以检测和防护来自Ethernet 的攻击事件，并进行存储和上报。包括泛洪攻击、欺骗攻击、畸形报文、黑名单、白名单等，也可支持上层 DOIP、SOME/IP 等协议的检测。

2、TEE

TEE（可信执行环境）是与设备上的 Rich OS( 如 Android、Linux 等 ) 并存的运行环境，主要功能包括在设备中提供了安全区域，用于存储、隔离和处理安全数据，提供各类安全服务，管理各类安全 APP 等。在传统的手机 IT 行业中，TEE 有着广泛的应用。

在车载环境下，随着用户需求的增长，车辆控制器需要支持指纹识别、面部识别、在线支付，软件更新下载，车辆远程操控等等功能，都会涉及到用户私密信息的安全性。在车载系统中加入 TEE，来支持相关的需求，是十分必要的。

3、系统日志管理

系统需要记录、存储和上传系统中关键的事件，供后期审计，以便发现安全风险和漏洞。常见的事件包括：用户的登录与注销；用户信息的变更；车载APP 的安装与卸载；软件版本的OTA 升级；系统检测到的可能的安全事件；安全策略的升级等等。

4、访问控制与身份鉴别

车辆联网后，需要对通过网络与车辆连接的设备进行鉴别，防止非法设备对车辆进行攻击。常见场 景包括：请求远程控制的设备是否合法 , 请求 OTA 升级的设备是否合法 , 当前接入的设备具备哪些权限， 可以访问那些功能等等。

5、系统安全增强

通过对系统地址空间布局随机化，使得系统上运行进程的内存地址无法被预测，以及增加程序控制 流保护，当控制流发生意外更改时，必须执行预定义的操作，或者实施栈保护等措施，增强系统运行安全， 防止代码意外执行。