新一代MCU如何提升车联网汽车安全性

1、新一代mcu如何提升车联网汽车安全性汽车高级驾驶辅助系统(adas)涉及abs防抱死制动、平安气囊、刹车控制、转向控制、引擎控制、巡航控制、启停、自动泊车、集成导航(与gallileo)等等，随着这一系统的被引入，生态系统正在变得越发互连且更为复杂。但与此同时，汽车器件也取代了无数的琐碎功能，如车灯控制、空调、电动车窗、引擎启动、车门开启、可调及加热座椅等等。普通来说，车内的每个功能都由一个网络微控制器()来管理，这些mcu用法相同的通信来交换数据与信息，包括面对动力传动、底盘与车身电子功能的can、flexray或lin总线，以及用于消遣信息系统的most光纤网络和以太网。从纯粹的机械环境进

2、展到复杂的电子环境，尽管从舒服性以及驾驶员和乘客的主动与被动安防方面来看，的确增强了许多附加价值，但同时，因为这些引擎控制单元(ecu)彼此互连，也引发了隐私与数据牢靠性方面的重大平安问题。例如，几十年前，的设计初衷并没有要求其具有高度的平安性，事实上，车内通信总线内部的任何can信息都会发送给系统的其它组成部分，而且不支持任何授权、鉴别和加密协议。现代汽车用法can总线交换数据，用来开启车门和启动引擎，这些信息在车内的ecu与电子钥匙内部的ecu之间交换。假如该系统遭到伤害，窃贼就能轻易地偷走汽车，而且“黑客”也可以拜访车内gps来查看汽车常去的地方，从中探知司机在哪里，什么时候汽车无人看守

3、。此外，用于实现电邮、sms、视频流、视频电话等互联网移动功能的、gprs或umts，也扩大了“黑客”的袭击面，他们可以通过远程拜访，侵入任何通信和驾驶系统，或者插入恶意软件来窃取各种数据，如汽车的实时位置、常常用法的路途和完整的对话等。车载硬件平安架构顾名思义，“开放系统”是裸露的，它濒临通过多种方式实施各类袭击的可能性正在持续增强。汽车车身内部与外部通信网络的不断进展，正在快速挑战汽车电子本身的平安防护能力。迄今为止，因为最普遍用法的传输总线can的内部弱点，人们向来从软件应用的角度来讨论“袭击面”。但现在，行业内开头把注重力转向硬件架构，以及应当如何“密封”ecu使其难以渗透并避开受到非

4、法操纵，例如未经授权的安装、恶意软件上载、“木马”软件以及虚假升级等，或者起码能够限制非法拜访并留下确凿的篡改证据。正由于如此，通过硅器件厂商与一家知名汽车oem厂商的合作，开发出了面对汽车功能的新一代mcu。这类四核微控制器利用特地的平安内核，即hsm(硬件平安模块)，提供平安与防护功能，hsm内部包含系统平安配置、平安启动、外部拜访庇护、闪存庇护、加密功能和寿命结束庇护等。图1 嵌入ecu内部的hsm硬件平安模块2所示，hsm模块嵌入在ecu内部，肯定自立于其它与内存和外设拜访相关的内核，数据和代码都有专用的闪存扇区，而且严格限于预留拜访。图2 五种不同阶段的平安功能配置配置系统平安性系统

5、平安性配置是在硬件层面庇护敏感数据的第一步，在加电之前的重置阶段彻低控制囫囵初始配置，防止非法侵入和擅自篡改。利用设备配置格式(dcf)，硅器件厂商和软件开发商都可以保留全部初始配置，从而可以在启动阶段检查与击穿实验和用户击穿实验内部dcf相关的特别内存地址、ecc(纠错码)错误以及奇偶校验误差。在重置阶段，利用各种渐长进骤，可以检查一些平安防护功能。利用这种方式，通过几个参数举行交错检查控制，就可以阻挡以多种手段修改特别内存地址的企图，或者强行转变启动以加载新的恶意固件的企图。硬件架构规章基于预先定义的设备功能状态。平安设计人员提供出几种平安级别，以便软件开发者在终于实现其应用时拥有较高的自

6、由度。事实上，一些层级较低的软件应用常常可以交给第三方开发，然后设计和实施递增的、不行逆的庇护，满足不同开发者提出的要求。此外，多数平安机制在激活时要考虑设备的寿命周期(dlc)状况。硅器件厂商与软件开发者可以建立五种可能的递增与不行逆配置，以便实现针对侵入与操纵袭击的反制措施。对于每一个阶段来说，平安等级都会得到提升，而且不能撤销。从其次级开头，在客户交付阶段，这个十分有限的平安机制为软件开发阶段提供了最大的自由度，而在现场设备阶段则开启完整的各种平安防护功能。通常，在jdp生产阶段至客户交付阶段的过渡阶段，设备从原始生产商手中转移到第一个软件开发者手中，后者把mcu整合到越发复杂的系统之中

7、。从客户交付阶段到oem生产阶段，第三方为了庇护自己的学问产权，普通会为设备开发最后的软件应用程序。终于，到达现场设备阶段，需要在嵌入汽车的终于应用里面实行一系列控制与不行撤销的庇护措施，来满足oem厂商以及系统开发者和汽车创造商的要求。“故障分析”是最后的设备生产阶段，用于测试的是被退回到工厂的设备系统，因此在这一过程中，一些相关平安庇护功能将被停用，避开mcu因寿命周期庇护而被认定为失效。启动平安机制在启动阶段，mcu四个内核中惟独两个通过重置被唤醒。这两个是iop(输入输出处理器)和hsm内核。通过一个dcf记录，iop与hsm cpu之间的一个信号交换过程被激活。iop执行baf启动辅

8、助闪存，而hsm cpu执行客户定义的代码。iop内核执行系统设置，假如敏感数据遭到修改或者发觉有侵入企图，hsm内核就会举行各种检验，例如闪存完整性检验。平安启动能够向来保持并处于受控状态，同时进入特别的预定边界和微启动阶段，与此同时，能够检测篡改袭击或rom中的固件操纵。在这种状况下，它可以禁用全部的加密功能，使全部密钥不行用。por(加电重置)过程中的iop内核，假如处于设备的客户交付阶段，则对其编程以便执行baf辅助闪存。这个baf是写入某些内存地址中的嵌入代码，利用两种机制加以庇护：otp(一次性可编程)和opp(程序外庇护)。通过这种方式，启动永久在受控状态下执行，也可以利用一个串

9、行引导装入过程，或者在挺直跳转到应用代码起点的状况下，把拜访权授予ram。各种软件开发者都参加到最后的应用发布中，仅在客户交付和oem生产阶段启用baf，允许上载固件，而在现场设备阶段则彻低禁用。通过这种方式，应用代码在执行过程中遭到限制，不行能利用硬件系统资源举行未经授权的固件升级。在现场设备阶段，惟独oem厂商开发的应用才干执行固件升级。防范外部拜访汽车选用电子器件是由于其可以通过多种通信总线实现先进的互连功能，因此对于平安设计者来说，庇护和外部界面的拜访是最大的挑战。为了能对器件拜访具有较强的挑选性，业内开发出一种多层jtag平安架构。jtag平安架构采纳了所谓的“pass”模块，除了庇

10、护器件闪存拜访的基本任务以外，它利用一种口令机制来限制jtag端口拜访。因此，jtag端口得到了严格控制，采纳一种挑战/响应协议，封锁任何自由拜访。与pass模块相协作的还有“审查模块”，在设备遭到审查或jtag口令无法识别的时候，启用闪存读出庇护和调试界面拜访。换句话说，从oem生产阶段及后续阶段，审查模块可以让设备被审查或不被审查，在授权调试器拜访的时候，修改闪存可以被jtag界面读取。此外，设备拜访也依靠来自现场设备阶段的“生产禁用”dcf设备配置格式，具有高于全部拜访控制的优先级，可以禁用调试端口界面。在设置dcf之后，mcu的运行将不受任何限制，但调试端口界面将被禁用。软件开发者可以

11、打算重新启用这个端口，但设备不再能够用法。事实上，这种机制是在can和flexray总线波特率中添加了一个时钟偏差，使得这些通信总线无法工作。另一方面，还需增强两个平安级别，以限制利用调试端口界面向mcu的内存拜访。hsm用法两个寄存器(hsmdur和mdur)来控制外部工具对主内核与hsm内核的拜访。这样一来，在发生非法拜访的状况下，同一个tap控制器就可以受到严格限制。换句话说，即使袭击者能够在调试端口举行未经授权的拜访，但仍然无法拜访hsm及其代码。最弱环节：mcu闪存对于任何外部袭击来说，最薄弱的环节大概就是mcu闪存，这里存放着固件以及全部的平安配置，如口令和密钥。因此很自然，在mcu内部实行了多种机制和模块加以庇护，与mpu(内存庇护单元)一道，另外两个模块彻低用于庇护设备闪存内容：即pass和tdm模块。此外还有上面提到的hsm、审查模块和密封模块能够有效地限制闪存拜访。3所示，pass与tdm模块组合可以禁用全部的闪存擦除与程序操作，而一个专用dcf(otp_en)可以启用原始设备的编程。图3 mcu闪存封锁庇护系统尽管mpu在不同拜访层级(读/写或用户/审查模式等等)庇护和管理内存，但无法反抗可以修改内存内容的侵入袭击和外部操纵。进入pass模块，该模块不仅可以利用256位口令机制控制任何闪存操作(闪存读取