英飞凌：分层式设计与可信安全保障智能网联汽车的安全性

全球汽车快讯 据外媒报道，2015年，汽车业所面临的网络威胁引发了大众的关注，有一支“白帽子”研发团队远程下达指令，控制了目标车辆的电子件，当时该车辆正在高速公路上行驶。

随后，该团队发布的明细内容指出，其识别出多个了离散的薄弱环节（漏洞），其研究人员正是借此向车辆发起了网络攻击。该方法向网络安全研究人员演示了一个业内熟知的理念，创建可信赖的系统需要一个分层防御机制，用于预判并采取防护措施，以便对应对外部的网络攻击，同时为系统间的薄弱环节提供保护。

鉴于由电子件推动的技术演进正在重塑汽车行业，该分层式设计方法的重要性愈发凸显。

电动车、自动驾驶辅助系统/自动驾驶系统与智能网联功能使得车载系统的复杂性及网联化程度更胜往昔。随着车辆智能化和网联程度的持续提升，该车辆的所有方面都是潜在的攻击点（图1），使得网络安全架构成为车辆设计中需要考虑的重要因素。

同时，致力于自动驾驶功能研发工作的公司也告诉我们，为了提升消费者的舒适度，对于这类车载系统的仰赖成为其取得长期商业成功的关键所在。

这就需要依赖英飞凌公司所提到的“可靠的系统”了，车主务必要在所有情况下信赖车载系统，确信车辆在运行时，其驾驶安全性及网络安全性能获得保障。由于上述远程黑客攻击的存在，保障电子件的功能运转正常就变得异常重要了，这有助于帮助消费者建立信赖感。

（蓝牙 电动车充电 车载信息娱乐系统 蜂窝网络 免钥进入  V2X-专用短程通信  雷达  胎压监控系统 USB  车载诊断  无线充电  无线网络）图1：车内的每一个网联功能都是一个潜在的攻击点

改变汽车架构

汽车设计的趋势是缩减个体电控单元（ECUs）的数量，因为后者负责管控车辆的各项功能。如今，平均每辆车有30-50个电控单元，这本身就可能成为一个弱点。

未来的汽车架构趋势是电控单元的数量极少，但会通过车辆的地理位置来提升功能域或功能区的整合。即便如此，这类需要保护系统的数量也有数十个之多，从负责同时运行多个虚拟机的域控制器到负责传感器融合、制动、转向、集群、车载信息娱乐系统、车载资通讯系统及车身控制（图2）的模块，不一而足。

所有这类控制器和模块将通过空中下载方式实现升级，为特性和功能方面提供前所未有的灵活性，但同样也会产生更大的安全风险。

未来汽车架构所需的不同安全层级

（安全的平台 安全的车载通信 安全的网络分离 安全的外部通信）图2：对未来车辆架构而言，半导体提供安全层的作用至关重要

集中式和区域式设计将改善数据共享、简化整个网联及支持面向服务的架构，从而改善车辆的运行情况并减少车辆使用寿命期的维修数量。各控制模块均由三要素构成——运算、存储及网联，各元素的相关风险及识别方法将有助于确保其能正确使用。

车企被迫慎重考虑：将如何使用这类模块？如何防止这类模块被误用？如何对这类模块进行防护？

为提供一个指导方向，有一项标准——《ISO21434：道路车辆——网络安全工程设计》（ISO21434: Roadvehicles — Cybersecurity engineering）在等待最终批准，该标准可提供过程和方法，用于为汽车业的新设计提供支持。

该标准定义了针对所有车载电子系统、车辆部件、车载软件及外部网络的网络安全工程设计实践/做法。让我们看看这类实践是如何被应用于保护重要硬件部件的安全性

确保适当授权

如今，最新的域控制模块将专业化的运算引擎（如：图形处理器、神经元处理器）与“耐用的”（workhorse）微控制器相搭配，如：英飞凌AURIX。该产品专为可信计算（dependable computing）量身设计，这款多核处理器家族产品旨在凭借完全集中化的硬件安全模块（Hardware Security Module，HSM）来保障运算的安全性与可靠性。

该硬件安全模块完全符合电子安全车辆入侵保护应用程序（E-safety VehicleIntrusion Protection Application，EVITA）标准，如今，该标准已被广泛地应用于车辆，为发动机控制、底盘和安全关键系统提供最大限度的安全保障。

作为另一款英飞凌处理器的家族产品，TraveoII凭借增强型安全硬件拓展（enhanced Secure Hardware Extension，eSHE）模块及一次性编程（One Time Programmable）熔断器为车身控制应用提供支持。

集中式控制及区域控制电控单元的网络流经安全的微控制单元，而集成安全功能还支持对授权情境（authorization scenarios）的变更，旨在防止2015年的黑客攻击事件。

若有任何升级系统软件的要求，目标电控单元将收到一个散列的指令和软件更新包。在安全和使用前，先检查数字签名并确认已通过授权认证。

在总线信息起作用前，还需要完成对车载通信网络的类似检查，其中涉及以太网及控制器局域网络（CAN-FD）两部分。该举措旨在保护控制器和网络，使其免受未经授权的指令、重放攻击（replayattacks）或源自于非正当授权的恶意信息的伤害。

在视觉系统和传感器融合系统中，含有启动代码和校准数据的闪存将成为一个攻击点或成为恶意代码嵌入的“储蜜罐”（Honey Pot）。英飞凌Semper Secure NOR Flash产品将为内存设备带来可信赖的硬件架构。（图3）

在遵循信任群化式装置标识符（TrustedGroup Device Identifier）的规格后，设备唯一秘密（Unique DeviceSecret）可保障代码仍处于不受侵犯的状态，且只能通过指定的运算引擎来实现升级。若探查到任何代码出错，将触发安全启动模式，且整个内存设备将耐受旁路攻击（Side Channel Attack）。

动态随机存取存储器（DRAM）  应用代码和数据  嵌入式多媒体卡/文件管理系统（eMMC/UFS）

图像、传感器、摄像头

多点接口/消息传递接口（multi-point interface/ Message Passing Interface，MPI）  视觉与传感器融合（系统级芯片，SoC） 冗余的系统级芯片 启动代码与校准数据  运算处理器  5G LTE调制解调器

超声波传感器 激光雷达 雷达传感器  安全辅助芯片    启动代码与数据 启动代码与便签存储器

图3：为实现带5G网络功能的ADAS集中式系统 SemerSecure NOR Flash（采取）的深度措施

超越电控单元的安全更新

可采用二元方式来看到图2所强调的安全点：一种是足够大的安全点，其含有硬件安全模块；另一种是不含硬件安全模块的安全点。

为真正实现这一点，务必实现系统安全性元件的扩容。带有微控制器和微处理器的电动单元等较大设备已被应用于车载网络、控制安全气囊、转向、制动、无线电、集群及先进驾驶辅助系统（ADAS）中，该类系统设备需要足够大，才能容纳硬件安全模块。

对于那些未与主要网络总线实现互联的小型设备（如：车窗执行器），考虑到成本因素，全面配置安全模块并不现实。

相反，那些仅用于实现设备升级的闪存技术或要求输入密码的技术，从本质上讲，这些技术的应用能将该类设备转化为只读储存器（ROM），使得代码更新过程不变，从而确保运行时的安全性。

人机界面的防护

在2015年的黑客大会上，该白帽子团队首次指出，其攻击点（突破口）是目标车辆的车载信息娱乐系统。

尽管该系统从根本上讲是与其他关键系统相隔开的，但黑客们找到了一条侵入控制单元的路径，而该控制单元恰好与前端进行数据交换，这就为该团队提供了发动黑客攻击所需的最终数据。

随着这类车载信息娱乐系统和车载资通讯系统在现代化车辆人机接口中的重要性愈发凸显，其注定成为了恶意黑客们攻击车载系统的潜在攻击面。

在防护方面，英飞凌为无线网络和蓝牙网络连接产品设计了多层冗余防护层，旨在延缓并中断网络攻击。

各个子系统均采用了独立的防护，将启用经验证后的内部系统通信和存储器保护装置（MPU）来阻断代码注入，而TrustZone中央处理器则对可信赖的执行环境提供支持。

供应链

随着汽车电气化与自动驾驶运行技术齐头并进，对于恶意黑客们而言，自动驾驶车辆成为其诱人目标的可能性也随之上升，整个行业在发展壮大的同时，也成为了其潜在的攻击点。

需要特别强调的是，务必要保障整个供应链的网络安全性。各个控制模块及数百万的代码行数均需要进行安全验证，该验证过程贯穿了从控制模块的最初制造到安装到车辆上的整个过程。

此外，还需配置好云端与车辆间的网络连接，确保只有受权方还能与车辆实现互联。

若攻击者能从介于产品及编程链间的某个设备处侵入，那将使供应链面临风险。

为有助于保障未来供应链的安全性，产品在发货时须配送一份安全证书或一个密钥，将其存储于内容空间中或集成到系统主板上专用的集成电路产品标识身份认证（IC）上。这就为硬件创造了监护链，上述方法将一直发挥作用，直到安装软件或未来升级。

我们已看到许多一级供应链和车企在这方面的需求动向。为此，在不远的将来，很可能许多公司将从制造环节开始保障其供应链的完整性，直至最终将产品安装到车辆上。

当部署了安全的供应链后，黑客从某个漏洞侵入的机会将被极大地减少。英飞凌对这类实践非常熟悉，毕竟在过去的数十年内，英飞凌向银行卡提供安全性身份认证，并确保政府人员电子护照中身份信息的保密性。英飞凌还做过类似的技术应用，确保终身制端对端安全是其标准化实践。

云端网联

我们认识到，在不久的将来，驾驶体验将受到空中下载升级的驱动，该升级将涉及重要的系统软件及大量的用户功能性设定值。届时，前提是要保障车辆与云端间的数据交换本就是安全的。

为此，作为深度防御措施中的一环，为企业网络所研发的可信平台模块（Trusted Platform Module，TPM）架构如今在符合TPM 2.0要求的合规模组中也有所体现。

古人云，只要您有充足的时间、资源和专业知识，没啥东西的安全性是百分百可靠的。英飞凌旨在创建互补的防护层，这样若某个防护层未能充分发挥作用，另一个防护层将充当后备防护层。

通过保障适当授权的安全性、保障系统内以及系统与云端间网络连接的安全性、为系统扩容以配置目标应用及保障供应链的安全性，汽车业可实现可靠的安全等级，使寻找智能网联与自动驾驶车辆的漏洞变得极为艰难。

半导体行业应做好准备，起到带头作用，为保障智能网联、自动驾驶车辆的安全性提供助力，并保障其运行处于安全、可信赖的状态。