新一代的汽車(chē)非常複雜。現(xiàn)今的車(chē)輛採(cǎi)用數(shù)百萬(wàn)行的程式碼和數(shù)十種處理器、控制器和感應(yīng)器,產(chǎn)生龐大的資料量,內(nèi)容之多堪比一座資料中心。但與資料中心不同的是,車(chē)輛會(huì)四處移動(dòng),而且必須保障所有用路人的安全。車(chē)主希望連網(wǎng)方式直覺(jué)化、個(gè)人化和簡(jiǎn)單好用,不只駕駛受惠,也要讓所有乘客都能享受。車(chē)輛已經(jīng)成為大規(guī)模互連的移動(dòng)型「資料中心」,所有寶貴的資料,都必須以安全可靠的方式管理和分析。
沒(méi)有防護(hù),就沒(méi)有安全
| 圖1 : 車(chē)輛已成為大規(guī)模互連的移動(dòng)型「資料中心」,所有資料都必須以安全可靠的方式管理和分析。 |
|
駕駛?cè)撕统丝偷某塑?chē)體驗(yàn)重點(diǎn),包括抬頭顯示器、數(shù)位儀表板、車(chē)載資通訊系統(tǒng)、導(dǎo)航、媒體播放器、語(yǔ)音和資料通訊,而正是這些駕駛資訊系統(tǒng) (Driver Information Systems, DIS) 的「酷炫功能」,讓行車(chē)體驗(yàn)便利而有趣。但是另一方面,這些應(yīng)用的連線功能,也為車(chē)輛帶來(lái)潛在的安全漏洞。因此,為了確保安全,我們需要嵌入式處理器,利用其內(nèi)建的強(qiáng)大防禦機(jī)制,防禦已知的威脅。
我們也需要能夠更新無(wú)線韌體的系統(tǒng),藉以修補(bǔ)所有安全漏洞,並防禦新發(fā)現(xiàn)的攻擊機(jī)制。
在資訊娛樂(lè)處理器產(chǎn)業(yè),恩智浦的 i.MX 系列應(yīng)用處理器支援所有類(lèi)型的 DIS 應(yīng)用。恩智浦 2016 年 10 月在底特律發(fā)表的 i.MX 8 和 8X 最新系列,採(cǎi)用四點(diǎn)分層式機(jī)制,提供全方位的安全保護(hù),涵蓋硬體到通訊鏈的整個(gè)系統(tǒng)。
這項(xiàng)分層式防禦機(jī)制的四個(gè)組成部分包括
1.SECO:一種獨(dú)立、專(zhuān)屬的硬體安全模組(Hardware Security Module;HSM),用於加密、驗(yàn)證、監(jiān)控和回應(yīng)。
2.防止物理性篡改 (電壓、溫度、電源) 的硬體保護(hù)機(jī)制
3.適用同時(shí)並行的多重作業(yè)系統(tǒng)的信任根機(jī)制,從開(kāi)機(jī)到執(zhí)行期間均提供完善保護(hù)
4.處理器內(nèi)建硬體防火牆網(wǎng)域,用以維持服務(wù)的資料與記憶體完整性
SECO機(jī)制
SECO安全控制器 (SEcurity COntroller) 是一種獨(dú)立的專(zhuān)屬硬體安全模組 (HSM)。作為系統(tǒng)的信任根,其功能不侷限於金鑰管理,也用於驗(yàn)證、監(jiān)控和鎖住系統(tǒng)的控制器韌體。針對(duì)車(chē)用電子控制單元 (ECU) 的交互運(yùn)作能力,SECO 執(zhí)行安全硬體延伸協(xié)定 (SHE/SHE+) 的無(wú)快閃記憶體版本,完全符合「EVITA Full」 HSM 規(guī)格的功能性目標(biāo)。SECO 配備高品質(zhì)的可驗(yàn)證隨機(jī)亂數(shù)產(chǎn)生器,支援所有必要的 AES 加密模式,包括 CMAC、ECB、CBC 與 Miyaguchi Preneel。
SECO 為韌體型態(tài),演算法具備靈活性,可隨安全需求增加而擴(kuò)充,能確保韌體版本即時(shí)更新,以避免使用過(guò)時(shí)或風(fēng)險(xiǎn)較高的韌體。SECO 短小精悍!若採(cǎi)用 P-256 曲線,SECO 每秒可進(jìn)行約 750 筆的 ECDSA 簽章驗(yàn)證;若為 SHA 引擎,傳輸量速率約為 2 Gbps;而 AES 引擎則約 1 Gbps。
防止物理性攻擊的硬體保護(hù)
i.MX 8 和 8X 的保護(hù)機(jī)制可防禦最常見(jiàn)的駭客攻擊手法:調(diào)控處理器的電源、電壓和熱環(huán)境,藉此竊取機(jī)密。只要「微調(diào)」電源輸入,就能導(dǎo)致未受保護(hù)的處理器故障,即使是獨(dú)立的 HSM,也會(huì)門(mén)戶(hù)洞開(kāi)。低電壓攻擊會(huì)導(dǎo)致處理器運(yùn)作電壓不足,企圖藉此破壞處理器的穩(wěn)定性,從中產(chǎn)生漏洞。溫度也可以用來(lái)攻擊,處理器溫度一旦超過(guò)容許範(fàn)圍,就處?kù)兑资芄舻臓顟B(tài)。i.MX 8 和 8X 的保護(hù)機(jī)制可透過(guò)持續(xù)監(jiān)控、刪除安全金鑰 (zero-izable memories;「可歸零記憶體」)、中止處理器的操作功能 (Bricking;「變磚」) 等方式來(lái)回應(yīng)攻擊,進(jìn)而預(yù)防這類(lèi)物理性篡改事件。
多個(gè)平臺(tái),一顆晶片
由單一處理器執(zhí)行多重作業(yè)系統(tǒng),已成為現(xiàn)代汽車(chē)設(shè)計(jì)中的常態(tài),卻也為設(shè)計(jì)人員帶來(lái)更大的安全挑戰(zhàn)。抬頭顯示器 (HUD) 和數(shù)位儀表板系統(tǒng)需要高比例的正常運(yùn)作時(shí)間,才能提供關(guān)鍵資訊、進(jìn)行導(dǎo)航並操作媒體系統(tǒng),因此這些裝置強(qiáng)調(diào)應(yīng)用程式和網(wǎng)路的存取能力,以及個(gè)人化的使用體驗(yàn)。每套系統(tǒng)因功能而異,各需不同的作業(yè)系統(tǒng)環(huán)境,且均由單一處理器執(zhí)行。i.MX 8採(cǎi)行完整的晶片虛擬化功能,以安全地執(zhí)行功能豐富的多重作業(yè)系統(tǒng),同時(shí)建置了強(qiáng)化的隔離 Cortex M4 網(wǎng)域,用於執(zhí)行即時(shí)作業(yè)系統(tǒng) (RTOS) 功能,例如 CAN 通訊和後視攝影機(jī)系統(tǒng)。為了避免作業(yè)系統(tǒng)互相干擾而產(chǎn)生漏洞遭駭客利用,這些系統(tǒng)已是不可或缺的配備。
防火牆網(wǎng)域分區(qū)是關(guān)鍵所在
i.MX 8 和 8X 應(yīng)用處理器具備豐富的功能與特色,可提供優(yōu)異效能與彈性,帶來(lái)絕佳的駕駛體驗(yàn)。要實(shí)現(xiàn)這些體驗(yàn),前提在於多個(gè)獨(dú)立的作業(yè)系統(tǒng),而且需要足夠的彈性,足以容納新的應(yīng)用程式和升級(jí)功能,透過(guò)無(wú)線方式 (over-the-air;OTA) 提升上述體驗(yàn)。 為了保護(hù)和隔離這些同時(shí)並行的軟體,i.MX 8 和 8X 利用防火牆網(wǎng)域分區(qū)系統(tǒng),允許不同軟體各別運(yùn)作,與系統(tǒng)其餘部分有效隔離。防火牆網(wǎng)域分區(qū)是硬體型態(tài)的私有匯流排和權(quán)限集,系統(tǒng)軟體無(wú)法存取。這項(xiàng)機(jī)制可與 SECO 搭配使用,提供最多 16 個(gè)隔離環(huán)境,處理器硬體模塊及相關(guān)記憶體儲(chǔ)存區(qū)均可置於其中,並監(jiān)控系統(tǒng)的異常活動(dòng)。例如,OTA 升級(jí)可以在防火牆中進(jìn)行沙盒測(cè)試,並在主核心、GPU 和通訊埠上執(zhí)行。系統(tǒng)會(huì)監(jiān)看 OTA 軟體的執(zhí)行狀況,如果軟體異常存取晶片的其他部分 (例如乙太網(wǎng)路通訊埠),可能表示挾帶惡意或故障的酬載程式碼,系統(tǒng)將不會(huì)接受該 OTA 軟體的要求。
大規(guī)模互連的移動(dòng)型「資料中心」需要強(qiáng)大的安全性。i.MX 8/8X 的四層防禦機(jī)制組合,為現(xiàn)代化車(chē)輛的駕駛資訊系統(tǒng)提供安全保障。
(本文作者Kyle Fox為恩智浦半導(dǎo)體i.MX 8 應(yīng)用處理器產(chǎn)品經(jīng)理)
