加密芯片應用

隨著信息安全需求的增加，在業(yè)務正常運行的情況下，SoC/MCU 已無法滿足純軟加密對資源的需求， 且關鍵數(shù)據(jù)和密鑰的安全存儲依賴加密芯片或 SoC/MCU 內置可信安全存儲區(qū)。

目前常見的解決方案一種是 SoC/MCU 內置加密模塊和可信安全存儲區(qū)，滿足加密算法加速和可信存儲的要求；另一種則是在芯片外掛專用的高性能加密芯片，通過 SPI 等總線與芯片進行數(shù)據(jù)交互。

芯片上內置的加解密模塊普遍性能偏低，一般只有對稱加密算法和哈希算法。非對稱加解密的數(shù)據(jù)需求是無法被滿足的，但芯片內置的加密模塊不會有與業(yè)務芯片通訊總線被監(jiān)聽的拆件破解風險。內置加密模塊一般用于可信啟動和高安全要求的加解密計算的應用中，具體場景包括：

• 可信啟動：一般使用可信安全存儲區(qū)，將用于校驗 BootLoader 和 OS 等關鍵初始啟動部分的證書/ 公鑰存入，防止通過篡改證書 / 公鑰的方式替換非法的 OS。

• 高安全要求加解密：根據(jù)目前行業(yè)的慣例，非對稱算法主要用于身份驗證和對稱密鑰協(xié)商，實際的數(shù)據(jù)加解密依然會使用資源消耗更低的對稱算法。在數(shù)據(jù)保密要求高的情況下，一般直接使用SoC/MCU 內置的加解密模塊，數(shù)據(jù)的加解密過程不會有明文數(shù)據(jù)流出芯片，安全性更高。

外置加密芯片一般會包含常用的對稱、非對稱、哈希、隨機數(shù)等算法，基本能滿足全部業(yè)務所需的功能。并且專用加密芯片都帶有可信安全存儲區(qū)，可以滿足密鑰和關鍵數(shù)據(jù)的存儲需求。此種芯片一般用于內置加密模塊或純軟加密無法滿足業(yè)務需求的場景：

1. 車云交互通訊：數(shù)據(jù)量較大且和其他業(yè)務同時運行，要避免影響 CPU 的算力。

2. OTA 升級包校驗：數(shù)據(jù)量大，且依賴 HASH 和非對稱算法校驗簽名，專用芯片的算力會更高更適合此場景。

3. 密鑰管理：專用芯片的可信存儲區(qū)的根密鑰可以做到以電荷形式存儲，破壞芯片會導致存儲區(qū)損壞， 可信區(qū)的安全性極高。

車用操作系統(tǒng)的安全技術

傳統(tǒng)實時操作系統(tǒng)

傳統(tǒng)車載ECU 上，以單片機 MCU 為核心，運行 AUTOSAR CP OS、UCOS 等實時性較高的操作系統(tǒng)。傳統(tǒng) ECU 上，運行環(huán)境相對簡單，通信方式通常以 CAN 總線為主，該類操作系統(tǒng)上應用的安全技術也相對簡單，包括如下技術：

內存保護

大多數(shù)主流的MCU 中都具備MPU（Memory Protection Unit，內存保護單元）。OS 在進行系統(tǒng)調度時，可通過在MPU 中配置不同的地址段及其讀/ 寫/ 執(zhí)行權限，實現(xiàn)內存保護的功能，確保用戶任務在運行時， 不能夠訪問沒有權限的地址范圍。

服務保護

OS 中可配置不同對象（任務，中斷，報警等）的訪問權限，當前任務或中斷在運行時，能否訪問其他的 OS 對象（例如激活其他的任務）是受限的，可信應用無法獲取執(zhí)行特定的服務例如 Shutdown 的權限

基于 CAN 總線的入侵檢測

基于 CAN 總線的入侵檢測一般部署在網關節(jié)點，可用于檢測 CAN 總線的入侵事件。包括負載率、報文  ID、報文周期、DLC、CRC、報文的固定格式、信號值上下文、應用層協(xié)議等內容。檢測到入侵時間后， 可將相關事件日志進行記錄和上報。

HSM

主流的 MCU 中大多集成了 HSM 部件，HSM 通常是獨立的內核，與 MCU 其他正常功能的內核是隔離開的。HSM 中可以支持的安全技術包括：隨機數(shù)生成、密鑰及安全數(shù)據(jù)的存儲、基于硬件加速更加高效的加解密算法、串行或并行的安全啟動特性，可以檢測應用程序是否被惡意篡改。

HSM 的固件一般由芯片廠商提供，也可基于不同客戶的需求進行定制開發(fā)，例如，可以在 HSM 中支持更多的非對稱算法以適應不同的項目需求。

自適應操作系統(tǒng)

近年來，隨著智能駕駛，車聯(lián)網，智能座艙等需求的不斷增長，傳統(tǒng)的 MCU 及實時車載操作系統(tǒng) 已經無法滿足要求。車機、T-BOX、智能座艙中央控制器、域控制器等控制器更多的會使用 Linux、安卓、QNX 等操作系統(tǒng)。該類控制器通常以以太網為主干，其功能更加復雜，更加靈活，其安全風險也更多。前文提及的各類關鍵技術，在該類控制器上都有相關的應用場景。

1、基于以太網總線的入侵檢測和防御。

隨著技術的進步，以車載以太網作為主干網的車型越來越多，車輛也不再是一個封閉的世界，需要 通過聯(lián)網與外界進行交互。這滿足了越來越多樣的用戶需求，但同時也帶來了更多的信息安全方面的風險。

基于Ethernet 的IDPS，可以檢測和防護來自Ethernet 的攻擊事件，并進行存儲和上報。包括泛洪攻擊、欺騙攻擊、畸形報文、黑名單、白名單等，也可支持上層 DOIP、SOME/IP 等協(xié)議的檢測。

2、TEE

TEE（可信執(zhí)行環(huán)境）是與設備上的 Rich OS( 如 Android、Linux 等 ) 并存的運行環(huán)境，主要功能包括在設備中提供了安全區(qū)域，用于存儲、隔離和處理安全數(shù)據(jù)，提供各類安全服務，管理各類安全 APP 等。在傳統(tǒng)的手機 IT 行業(yè)中，TEE 有著廣泛的應用。

在車載環(huán)境下，隨著用戶需求的增長，車輛控制器需要支持指紋識別、面部識別、在線支付，軟件更新下載，車輛遠程操控等等功能，都會涉及到用戶私密信息的安全性。在車載系統(tǒng)中加入 TEE，來支持相關的需求，是十分必要的。

3、系統(tǒng)日志管理

系統(tǒng)需要記錄、存儲和上傳系統(tǒng)中關鍵的事件，供后期審計，以便發(fā)現(xiàn)安全風險和漏洞。常見的事件包括：用戶的登錄與注銷；用戶信息的變更；車載APP 的安裝與卸載；軟件版本的OTA 升級；系統(tǒng)檢測到的可能的安全事件；安全策略的升級等等。

4、訪問控制與身份鑒別

車輛聯(lián)網后，需要對通過網絡與車輛連接的設備進行鑒別，防止非法設備對車輛進行攻擊。常見場 景包括：請求遠程控制的設備是否合法 , 請求 OTA 升級的設備是否合法 , 當前接入的設備具備哪些權限， 可以訪問那些功能等等。

5、系統(tǒng)安全增強

通過對系統(tǒng)地址空間布局隨機化，使得系統(tǒng)上運行進程的內存地址無法被預測，以及增加程序控制 流保護，當控制流發(fā)生意外更改時，必須執(zhí)行預定義的操作，或者實施棧保護等措施，增強系統(tǒng)運行安全， 防止代碼意外執(zhí)行。