车联网安全:嵌入式系统的硬件安全保护

2019-3-23 09:14| 发布者: admin| 查看: 2105| 评论: 0

摘要: 【作者简介】李峰先生系金雅拓公司（金雅拓Gemalto是数字安全领域的全球领袖）的资深安全咨询。加入法国金雅拓公司将近20年，一直从事与安全服务及解决方案相关的业务，5年左右致力于IOT及汽车安全业务，负责产品安 ...

【作者简介】李峰先生系金雅拓公司（金雅拓Gemalto是数字安全领域的全球领袖）的资深安全咨询。加入法国金雅拓公司将近20年，一直从事与安全服务及解决方案相关的业务，5年左右致力于IOT及汽车安全业务，负责产品安全设计及咨询相关业务。

车联网安全探讨

之

嵌入式系统的硬件安全保护

车联网简介

随着汽车产业正在不断的发展，增加更多的便利和个性化的驾驶体验的能力特点凸显。一方面消费者希望通过连接来享受更为便利和个性化的服务，推动汽车制造商增加车辆和个人设备之间进行更多的整合，如智能手机等；另一方面汽车制造商也认识到车联网在车辆远程管理所带来的巨大价值，推动车辆制造商在车联网上不断增加新的功能应用，例如远程车控、远程诊断、OTA软件升级、安防救援等能力。

随着车联网的进化，车内网络也逐步地向车载以太网络架构发展，因此黑客通过车联网的漏洞对车辆进行远程攻击并控制车辆就不仅仅是想象中才会发生的事情。以车辆智能化创新著名的特斯拉，都有多款车型被黑客远程攻击并接管车辆控制权的事件发生。

因此，车联网的安全设计引起了更多相关方的关注，车联网安全设计首先要依赖于可信任的设备及云端之间交互双方的可靠认证，只有在可信的认证基础上才能在通信双方或者多方之间建立安全的通信信道，对通信数据来进行加密。可信的身份系统基于一个与密钥相关的强标识体系，这样的体系通常为中心化的分层安全体系，例如基于对称密钥的多层离散体系以及基于非对称的PKI系统。

在这样的安全体系中，一个用于安全存储设备标识及身份密钥的可靠的信任锚就成为了整个信任链的安全基础。

2

HTA介绍

但是在车端设备的嵌入式系统上，如果没有可靠的硬件手段，密钥及设备标识的安全存储反而成为了最弱的一个环节。同时考虑到无法有效控制攻击者对车端设备物理访问及分析，这样的风险必然成为车联网系统的基础漏洞，对整个车联网系统的系统性风险。

在这种基础上，基于硬件的信任锚HTA(Hardware Trusted Anchor)就成为必要。HTA是基于硬件来实现对敏感数据，尤其是密钥及标识数据的存储和处理，从而确保这些数据不会受到恶意软件的攻击和嗅探。

根据不同的设备运算及数据保护能力要求，HTA也有多种类型：

Secure Hardware Extension(SHE)
Hardware Security Module(HSM)
Trusted Platform Module(TPM)

对于车载ECU嵌入式系统而言，HSM是较为常用的HTA。对HSM的定义起源于欧盟资助的EVITA项目，HSM的主要目标包括：

加强ECU设备的抗攻击能力：包括软件攻击以及特定的硬件攻击手段
提供基于硬件加速的加密能力：降低MCU处理器的运算压力
支持ECU之间的通信保护：用于实现敏感信息的传输保护及设备身份认证

根据EVITA的定义，HSM有三种类型，分别是：

HSM FULL：具有独立的加密处理芯片，支持强认证机制(例如基于RSA, ECC)，支持复杂的对称加密运算，提供基于硬件加速的高性能加解密运算。通常用于保护车辆ECU与外部设备或软件的认证及通信。安全芯片secure element(SE)就是一种典型的HSM FULL
HSM Medium：在主处理器内部特别设计的硬件安全模块，专用于存储密钥以及保护运算过程。应用程序通过内部加解密接口实现数据的加密保护，通常用于保护ECU之间的安全通信。
HSM Small：低成本安全模块，实现简单的块加密运算，用于对关键的传感器等进行保护，与SHE类似。

3

AutoSAR 4.3安全模型

以TLS协议栈为例，下图为OPENSSL软件架构图：

默认的OPENSSL基于软件加密引擎来完成密钥及标识的存储和运行，对于嵌入式设备而言，基于软件的密钥保护无法形成可靠的TRUST Anchor。OPENSSL的加密引擎机制，使得开发者可以通过自定义的引擎，将基于软件的加解密操作平滑升级到基于硬件HSM的安全机制。

在AutoSAR 4.3中基于HSM FULL所定义的嵌入式安全模型与OPENSSL形成适当的映射，其架构如下图：

在此模型中的crypto driver(CRYDRV)就是具体的加解密功能的实现部分，完全对应于OPENSSL的engine的概念。通过对OPENSSL的引擎配置，我们可以非常简单地实现基于HTA的安全能力，为设备的身份认证体系建立一个安全可行的锚点。

基于硬件的加密包通常包括三个部分：

运行在MCU内的HSM接口驱动
运行于MCU内的加解密接口驱动
运行于HSM内部的加密程序

然而，HTA的安全不仅仅是软件本身，HTA本身的安全生产及安全更新也是整个硬件安全所需要考虑的关键内容。正因为如此，对于HSM FULL产品，传统的安全芯片生产厂商例如金雅拓不仅提供高标准的安全产品，也提供可信任的安全生产及空中更新管理能力，为整个车联网安全体系信任链建立可信任的安全锚点。

4

小结

正如本文开头所述，联网汽车的时代已经开始。对增强安全性，改善客户体验的新服务以及提高制造商利润的运营和维护优势的潜在要求使得Connected Car成为行业及其客户的双赢主张。要成功地管理这一革命性变革，设计时安全和生命周期安全必须成为产品开发周期以及制造商IT基础设施需要考虑的关键部分。

因此将安全设计视为ECU系统设计的关键部分而非现有系统架构的附加组件至关重要。

汽车行业在设计Connected Car安全架构时面临的任务是确定不同的汽车系统所需的安全技术要求以及ECU之间如何相互作用。最佳的方案是为汽车中的不同设备使用不同的HTA安全硬件，这一方案需要在车辆设计过程的早期建立架构决策。

声明：本文内容及图片由BC-AUTO转载至网络，来源于智能网联与人工智能，已获得授权。

----------------------------------------------------------------------------------------------------------------------
我们尊重原创，也注重分享，文章来源于微信公众号：燃云汽车，建议关注公众号查看原文。如若侵权请联系qter@qter.org。
----------------------------------------------------------------------------------------------------------------------

鲜花

握手

雷人

路过

鸡蛋

收藏分享邀请

帐号		自动登录	找回密码
密码			立即注册

账号		自动登录	找回密码
密码			立即注册