識別和降低系統(tǒng)級風險,確保連接汽車的安全
作者/ Prem Kumar Arora 美高森美公司SoC產(chǎn)品營銷總監(jiān)
本文引用地址:http://cafeforensic.com/article/201704/358514.htm摘要:自動駕駛作為汽車工業(yè)發(fā)展的又一方向,ADAS、V2V、V2X等相關(guān)技術(shù)已經(jīng)得到了一定的發(fā)展,但是,自動駕駛的安全問題仍然未能完全解決。本文針對V2X網(wǎng)絡(luò)安全問題,介紹了硅IC生物簽名和公鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)兩種解決方法。
引言
100多年以來,汽車工業(yè)一直是經(jīng)濟增長的推動力。汽車工業(yè)連續(xù)開展技術(shù)變革,讓汽車成為安全、舒適和高效的交通形式。但是,到目前為止,這些都只是一點一點增加和演變,而不是革命性地大變化。隨著自動駕駛汽車的出現(xiàn),我們才站到了革命性變化的前沿。引領(lǐng)這種變革但不損失安全,需要從設(shè)計階段到IC層面都更密切地關(guān)注系統(tǒng)級風險及其減緩措施。
自動駕駛面臨的挑戰(zhàn)
隨著這些技術(shù)的成熟,成功部署最重要的因素將是可靠性和現(xiàn)場性。汽車電子系統(tǒng)的歷史記錄,特別是最近的記錄問題重重。我們已經(jīng)了解了電子訪問控制系統(tǒng)的脆弱性,以及自加速汽車造成傷亡的事件。兩名“道德”黑客因演示遠程訪問的脆弱性,成功控制大切諾基吉普并使其失控而登上了新聞頭條。這些事件暴露了自動駕駛潛在的挑戰(zhàn)。
最常見的三個威脅領(lǐng)域是:
1)車對車和車對基礎(chǔ)設(shè)施通信;
2)使用可移動設(shè)備,U盤或MP3設(shè)備;
3)售后和工作站/診斷。
安全挑戰(zhàn)隨著與外部世界連接的每個節(jié)點而提升。作為V2V網(wǎng)絡(luò)的一部分,在連接的汽車中,有幾個這樣的節(jié)點與互聯(lián)網(wǎng)連接,或與另一臺汽車對話。在這些汽車中,必須確保與外界的通信源自經(jīng)驗證的來源,并且在傳輸時未被更改。
為了確保安全,將要求設(shè)計人員從底層硬件開始,通常需要解決以下問題:
1)硬件完整性,預防/檢測硬件篡改;
2)車內(nèi)軟件和數(shù)據(jù)的完整性和真實性,任何車輛軟件未經(jīng)授權(quán)的更改必須不可行/可檢測;
3)車內(nèi)通信的完整性和真實性,接收器必須能夠檢測出未經(jīng)授權(quán)的數(shù)據(jù)更改;
4)車內(nèi)通信和數(shù)據(jù)的保密性,未經(jīng)授權(quán)的保密數(shù)據(jù)傳輸或保存必須不可行;
5)向其它(遠程)實體證明平臺完整性和真實性,證明其平臺配置的完整性和真實性的能力;
6)車內(nèi)數(shù)據(jù)和資源的訪問控制,實現(xiàn)利用性和良好定義的訪問。
挑戰(zhàn)歸納為三個主要方面:1)安全硬件,底層硬件非常安全,無法篡改,能夠形成信任根;2)設(shè)計安全,硬件上實施的設(shè)計是安全的,無法被篡改;3)數(shù)據(jù)安全,所有數(shù)據(jù)通信類型都安全可靠。
確保系統(tǒng)安全從確保硬件安全開始。安全受信任的硬件構(gòu)成了安全系統(tǒng)的基礎(chǔ),它提供了必要的構(gòu)件,用于驗證和授權(quán)通信、行動等,對任何系統(tǒng)都是如此,但是,對V2X系統(tǒng)來說尤其重要。
確保V2X安全
為了實現(xiàn)可靠的V2V/V2I通信,必須確保通信來自已知來源,且在傳輸過程中未被更改。
為了證明真實性,信息發(fā)送者必須向接收者提供能夠驗證的某些識別形式,以確認信息來自正確的來源。這可以采用對稱或不對稱加密技術(shù)實現(xiàn)。
對V2X網(wǎng)絡(luò)來說,由于網(wǎng)絡(luò)的復雜性和規(guī)模,通常不能使用對稱加密,而是采用不對稱加密,提供可擴展的方法,連接網(wǎng)絡(luò)可能需要的許多節(jié)點。為了實現(xiàn)這一點,每個節(jié)點采用私鑰,對傳輸?shù)拿總€信息簽署數(shù)字簽名。接收器采用傳輸給所有接收節(jié)點的相關(guān)公鑰,對這種數(shù)字簽名進行驗證。除擴展性比對稱加密方案好以外,采用這種方法,出錯節(jié)點的更換也更容易。
但是這種方法帶來了另一個問題:如何確保每個節(jié)點使用的私鑰和公鑰是真實且未被篡改的?
問題第一部分的最佳可能解決方案,是采用以每個器件制造工藝中微小的物理變化為基礎(chǔ)的硅IC生物簽名。這些工藝變化永遠不可能相同,無法被克隆,也沒有兩個IC具有相同的工藝變化,從而為每個器件提供了唯一的簽名。這種簽名被稱為物理不可克隆功能(PUF)。除不可克隆之外,基于PUF的密鑰通常是在原子級別實現(xiàn)的,還很難被黑客提取。IC可以基于幾種物理因素定義的PUF,如存儲元件、邏輯延遲和電阻?;赟RAM的IC利用SRAM單元唯一的隨機啟動狀態(tài)產(chǎn)生私鑰,由于該單元的狀態(tài)在關(guān)機時被擦除,因此更為安全。
問題的第二部分可通過公鑰基礎(chǔ)設(shè)施(PKI)解決。PKI是創(chuàng)建、儲存和分配數(shù)字證書的系統(tǒng),該數(shù)字證書用于驗證特定公鑰屬于某一實體。PKI創(chuàng)建映射實體公鑰的數(shù)字證書,將這些證書安全地儲存在中央儲存庫內(nèi),不需要時將它們廢除。
在PKI系統(tǒng)中,認證機構(gòu)(CA)利用自己的私鑰對其公鑰簽署數(shù)字簽名,對所有節(jié)點進行認證。最常見的公鑰認證格式是X.509。當一個設(shè)備傳輸用其私鑰簽署數(shù)字簽名信息時,該信息可采用該設(shè)備的公鑰驗證。該設(shè)備還可以將其X.509證書發(fā)送給接收其信息的所有節(jié)點,使得它們都擁有其公鑰。X.509證書,包括設(shè)備的公鑰,也都可以采用CA事先放在所有節(jié)點且本質(zhì)受信任的公鑰在接收器處進行驗證。采用這種方案,由于發(fā)射器采用的簽名可以由接收器驗證,因此,可以建立經(jīng)過證明、基于證書的分級信任鏈。這種方案還確保容易檢測出假冒設(shè)備。
本文來源于《電子產(chǎn)品世界》2017年第5期第23頁,歡迎您寫論文時引用,并注明出處。
評論