汽車控制芯片信息安全技術(shù)研究

摘" 要：本文概括了汽車控制芯片的信息安全資產(chǎn)，分析了芯片信息安全威脅，對應(yīng)用于汽車控制器中的控制芯片提出了技術(shù)要求，有利于統(tǒng)一行業(yè)對汽車控制芯片信息安全的認識，對設(shè)計開發(fā)滿足信息安全要求的汽車控制芯片具有指導(dǎo)意義，也對設(shè)計開發(fā)汽車控制器有參考意義。

關(guān)鍵詞：汽車控制器；汽車控制芯片；信息安全；硬件安全模塊HSM；安全啟動

中圖分類號：U463.6" " " " 文獻標志碼：A" " " 文章編號：1005-2550（2023）05-0081-06

Research on Information Security Technology of Automotive Control Chips

JIA Wen-wei

（ Beijing National New Energy Vehicle Technology Innovation Center CO. LTD， Beijing 100176， China）

Abstract： This article summarizes the information security assets of automotive control chips， analyzes chip information security threats， and proposes technical requirements for control chips used in automotive controllers， which is conducive to unifying industry understanding of automotive control chip information security. It has guiding significance for the design and development of automotive control chips that meet information security requirements， and also has reference significance for the design and development of automotive controllers.

Key Words： Automotive Controllers; Automotive Microprocessor; Cybersecurity; Hardware Security Module HSM; Bootloader

1" " 引言

近些年智能汽車的快速發(fā)展，使得汽車信息安全風(fēng)險也越來越突出，更多的國家行業(yè)組織越來越重視汽車電控系統(tǒng)的信息安全問題。關(guān)于整車信息安全的研究在國內(nèi)外行業(yè)組織，整車廠，設(shè)備供應(yīng)商以及汽車芯片廠商都做了大量的工作，關(guān)于整車信息安全工程方法的國際標準ISO/SAE-21434在2021年8月份已經(jīng)發(fā)布了第一版。智能汽車信息安全依賴于云端數(shù)據(jù)安全，網(wǎng)絡(luò)鏈路安全以及整車電子電控系統(tǒng)的信息安全。整車電子電控系統(tǒng)的信息安全極度依賴于具有運算處理能力的汽車芯片，包括計算芯片和控制芯片，更多的行業(yè)組織明確提出智能汽車的信息安全需要構(gòu)建在具有信息安全特性的芯片基礎(chǔ)上。

2" " 汽車控制芯片信息安全

站在汽車控制芯片的角度，分析需要保護的安全資產(chǎn)和可能的安全威脅，對芯片提出相應(yīng)的防護要求。需要保護的安全資產(chǎn)分為三類：芯片數(shù)據(jù)，用戶數(shù)據(jù)和安全功能，芯片的安全威脅也可分為三類：侵入類攻擊，半侵入類攻擊和非侵入類攻擊。基于安全威脅的攻擊方法，為了保護安全資產(chǎn)，指出了安全防護需求，并進一步提出了汽車控制芯片信息安全的技術(shù)要求。

2.1" "安全資產(chǎn)

攻擊者通過技術(shù)手段獲得、篡改、替換、破環(huán)芯片相關(guān)安全資產(chǎn)之后，可能會對芯片使用者造成財產(chǎn)或經(jīng)濟上的損失，甚至有可能造成社會性危害。

汽車控制芯片需要保護的信息安全資產(chǎn)包括3類：用戶數(shù)據(jù)、安全功能和芯片數(shù)據(jù)。

用戶數(shù)據(jù)是指芯片在使用過程中產(chǎn)生的或用到的敏感數(shù)據(jù)，包括固件軟件、配置數(shù)據(jù)、敏感數(shù)據(jù)、殘留信息等。固件軟件是芯片硬件設(shè)備的程序代碼及配置數(shù)據(jù)，例如啟動加載代碼及數(shù)據(jù)、指令代碼集等。用戶配置數(shù)據(jù)是芯片軟件運行需要的資源文件及配置文件，例如安全配置信息、權(quán)限配置信息等。敏感數(shù)據(jù)指用戶私密的，用于保護安全資產(chǎn)的數(shù)據(jù)，如密匙、密碼、口令、數(shù)字證書、用戶標識等。殘留信息指用戶在使用芯片的過程中產(chǎn)生的敏感數(shù)據(jù)，包括記錄數(shù)據(jù)和程序運行緩存數(shù)據(jù)。用戶數(shù)據(jù)一般存儲在芯片內(nèi)部存儲器（RAM、ROM、EEPROM、FLASH 等）中，RAM 內(nèi)部數(shù)據(jù)掉電丟失，ROM、EEPROM 或 FLASH等掉電不丟失，用于存儲用戶數(shù)據(jù)。

安全功能指為芯片硬件設(shè)備提供信息安全服務(wù)的芯片功能，汽車控制芯片信息安全相關(guān)的功能包括數(shù)據(jù)存儲、數(shù)據(jù)讀寫、數(shù)據(jù)訪問控制、安全啟動、加解密算法、隨機數(shù)生成、安全通訊、芯片接口。

汽車控制芯片具備非易失性存儲器（ROM、EEPROM、FLASH等），可以安全存儲用戶數(shù)據(jù)（軟件固件、配置數(shù)據(jù)、敏感數(shù)據(jù)、殘留信息）。存儲管理數(shù)據(jù)需要為用戶數(shù)據(jù)提供安全地讀寫擦的功能，通過數(shù)據(jù)訪問控制（鑒別、授權(quán)、加解密等）實現(xiàn)安全訪問或使用用戶數(shù)據(jù)。控制芯片安全啟動是保障芯片正確的安全地啟動固件程序的能力，包括安全自檢，程序合法校驗等。加解密算法采用專用硬件電路實現(xiàn)的加解密算法用于用戶數(shù)據(jù)的加密存儲傳輸?shù)龋鏏ES、RSA。隨機數(shù)生成（RNG）需要可以生成滿足 GM/T 0005 隨機性檢測要求的隨機數(shù)。安全通訊為數(shù)據(jù)通訊建立安全環(huán)境，保障數(shù)據(jù)傳輸過程中的信息安全，如密文傳輸?shù)哪芰ΑＰ酒涌谥妇邆浒踩L問控制機制的開發(fā)調(diào)試接口，如JTAG口，固件刷寫端口等。

芯片數(shù)據(jù)指通過技術(shù)手段可以獲得的芯片版圖、芯片配置等信息。芯片數(shù)據(jù)被攻擊者利用，不僅可以了解芯片的工作原理和運行機制，還可以對芯片使用過程中的用戶數(shù)據(jù)（固件、配置數(shù)據(jù)等）和產(chǎn)生的敏感數(shù)據(jù)造成威脅，產(chǎn)生信息安全漏洞。

芯片版圖是芯片的制造文件，包含芯片全部電路信息，通過分析版圖可以獲得芯片設(shè)計信息。攻擊者可以分析芯片版圖信息得到獲得、替換、篡改、探測芯片內(nèi)部敏感數(shù)據(jù)的方法。芯片配置信息指固化在芯片內(nèi)部的標識芯片唯一性的信息，包括芯片唯一序列號、芯片版本、日期等信息。通過技術(shù)手段獲得、篡改、破環(huán)芯片配置后，可能影響芯片安全功能進入不安全狀態(tài)，造成信息安全漏洞。

2.2" "安全威脅

芯片安全威脅分為三類：侵入類攻擊，半侵入類攻擊以及非侵入類攻擊。

侵入式攻擊也稱物理攻擊或物理分析，方法是用化學(xué)或物理方法去除芯片的封裝，然后用精密儀器對芯片內(nèi)部的功能單元和電路進行探測或改動，進而探測芯片數(shù)據(jù)和用戶數(shù)據(jù)，攻擊者也可對芯片實施物理更改，改變芯片行為，以達到改變和獲取數(shù)據(jù)信息和安全功能的目的。常見物理探測改動的攻擊手段包括：總線探針檢測、傳感器拆除探針檢測、讀ROM、讀 EEPROM、讀 FLASH、FIB 電路重構(gòu)、隨機數(shù)發(fā)生器攻擊、檢測模式等。

半侵入攻擊可以將芯片的封裝打開一個窗口，去除屏蔽層和鈍化層，暴露芯片表面的電路層。不使用外部電子設(shè)備與芯片內(nèi)部電路進行直接的物理接觸。這種方式的攻擊可以用肉眼或借助顯微設(shè)備對芯片內(nèi)部的表面進行直接觀測，以獲得芯片內(nèi)部的一些基本信息，也可以對運行中的芯片進行故障引入攻擊和環(huán)境壓力攻擊。對處于運行態(tài)下的芯片進行故障引入，使芯片運行出錯或進入到非正常運行狀態(tài)。通過對比分析芯片運行的正確結(jié)果和錯誤結(jié)果，獲得芯片的信息安全功能漏洞，或者利用芯片當(dāng)前的非正常狀態(tài)，破解密鑰或獲取其他敏感數(shù)據(jù)。常見的芯片故障引入攻擊手段包括：激光錯誤引入、電壓端錯誤引入、隨機數(shù)發(fā)生器故障引入、時鐘端子錯誤引入等。極限環(huán)境攻擊手段包括：電磁干擾、極限溫度、靜電干擾、強光干擾等。

非侵入類攻擊是指在不打開芯片的封裝，不對芯片產(chǎn)生任何物理損害的情況下，通過側(cè)信道信息、芯片接口或安全功能自身對芯片進行攻擊。側(cè)信道信息分析指通過采集、測量芯片運行時所消耗或產(chǎn)生的某些物理量，對采集樣本進行相關(guān)的算法特性分析和數(shù)據(jù)分析獲取敏感信息。攻擊者通過分析芯片功耗、電磁輻射、I/0特性、運算頻率、時耗等物理量的變化情況有可能獲得芯片敏感信息。芯片安全功能的故障可能通過改變芯片的運行環(huán)境而觸發(fā)的，也可能由于芯片片本身的設(shè)計缺陷而自發(fā)產(chǎn)生的，這些故障可能導(dǎo)致芯片的安全功能失效，從而導(dǎo)致敏感數(shù)據(jù)泄露。隨機數(shù)生成功能如果存在缺陷，極有可能被攻擊者利用，通過隨機數(shù)噪音源的不穩(wěn)定性和低值等缺陷，可以預(yù)測或獲取芯片安全功能中與隨機數(shù)相關(guān)的敏感數(shù)據(jù)。通過非法程序也可以對芯片進行攻擊，編寫帶有惡意代碼的芯片軟件，攻擊用戶數(shù)據(jù)或安全功能獲取敏感數(shù)據(jù)。常用的攻擊手段包括：初始化代碼攻擊、存儲器操作代碼攻擊、密碼運算操作代碼、軟件隨機數(shù)發(fā)生器攻擊、重放攻擊、緩存溢出或堆棧溢出、異常指令響應(yīng)探測、直接協(xié)議攻擊、繞過認證機制或訪問控制機制、利用檢測模式等。芯片測試調(diào)試接口的生命周期功能可能被濫用，這些接口在芯片生命周期的開發(fā)測試生產(chǎn)階段是必要的，但在產(chǎn)品發(fā)布后是被禁用的，如JTAG口。攻擊者可利用這些接口來獲得芯片的敏感數(shù)據(jù)，包括固件軟件、配置信息、敏感數(shù)據(jù)、運行狀態(tài)，甚至可以直接獲得芯片運行的控制權(quán)。芯片測試調(diào)試接口屬于芯片信息安全重點考慮的保護對象。芯片邏輯接口是芯片與外部數(shù)據(jù)的交換接口，如UART，CAN，SPI等，攻擊者可利用芯片的邏輯接口，通過數(shù)據(jù)偵聽或猜解數(shù)據(jù)等方式來繞過芯片的訪問控制措施，獲取/修改敏感數(shù)據(jù)。

2.3" "安全要求

本文以用戶數(shù)據(jù)、安全功能和芯片數(shù)據(jù)的真實性、保密性、完整性、可用性、訪問可控性為安全目標，對汽車控制芯片提出了安全要求，防止芯片設(shè)計制造者或第三方攻擊者對芯片使用者的信息安全資產(chǎn)造成損失。芯片設(shè)計制造者除了對芯片設(shè)計信息和文檔的安全負責(zé)之外，還對芯片的信息安全技術(shù)負責(zé)。芯片要能夠正確有效的實現(xiàn)聲明的功能，但不得實現(xiàn)獲取/篡改用戶數(shù)據(jù)聲明以外的功能，如后門。基于對汽車控制芯片的安全資產(chǎn)和安全威脅的分析，得出汽車控制芯片的信息安全要求，匯總?cè)绫砀?。

3" " 結(jié)束語

智能汽車的發(fā)展要求應(yīng)用于汽車電控系統(tǒng)的汽車控制芯片集成更多的信息安全特性，整車電子電控系統(tǒng)的信息安全更多基于芯片的安全能力來實現(xiàn)。目前，汽車控制芯片內(nèi)嵌硬件信息安全模塊HSM已成為智能車的安全基礎(chǔ)，也已成為行業(yè)默認的一種汽車芯片信息安全解決方案。國外設(shè)計開發(fā)汽車控制芯片的企業(yè)主要有ST、NXP、Infineon、Renesas、TI和Microchip等，這些企業(yè)已設(shè)計開發(fā)了比較成熟的滿足信息安全的要求汽車控制芯片。汽車控制芯片中嵌入相應(yīng)的硬件信息安全模塊HSM是比較通用的解決方案。國內(nèi)芯片企業(yè)絕大部分借鑒國外嵌入硬件信息安全模塊HSM的方案，基于國密的要求和適應(yīng)國內(nèi)市場，國內(nèi)企業(yè)增加了支持國密算法做為自身控制芯片信息安全方面的技術(shù)特點。另外，汽車支持國密的加解密芯片也獲得了發(fā)展，彌補了國外汽車控制芯片不支持國密的缺點。

本文概括了汽車控制芯片信息安全要保護的安全資產(chǎn)，并全面總結(jié)分析了針對控制芯片的攻擊方法和手段，有針對性的對汽車控制芯片提出了技術(shù)要求，有利于統(tǒng)一行業(yè)對汽車控制芯片信息安全的認識，有助于汽車控制芯片信息安全技術(shù)水平的提升，對設(shè)計開發(fā)滿足信息安全要求的汽車控制芯片有指導(dǎo)意義。

參考文獻：

[1]黃慧麗，徐清魁.智能網(wǎng)聯(lián)汽車信息安全研究現(xiàn)狀與展望[J].汽車制造業(yè)，2022（4）：26-29.

[2]于海洋，陳秀真，馬進，等.面向智能汽車的信息安全漏洞評分模型[J].網(wǎng)絡(luò)與信息安全學(xué)報，2022（001）：008.DOI：10.11959/j.issn.2096-109x.2021096.

[3]郝晶晶，韓光省.智能網(wǎng)聯(lián)汽車信息安全威脅識別和防護方法研究[J].現(xiàn)代電子技術(shù)，2021，44（23）：5.

[4]趙浩，劉平一，劉天宇.基于混合分析的汽車信息安全風(fēng)險分級方法[J].汽車實用技術(shù)，2021（046-016）.

[5]郭輝，羅勇.智能網(wǎng)聯(lián)汽車信息安全關(guān)鍵技術(shù)[J].上海汽車，2019（10）：6.DOI：CNKI：SUN：SHQC.0.2019-10-003.

[6]蔡婷婷.基于可信計算的文件遷移系統(tǒng)的設(shè)計與實現(xiàn)[D].西安電子科技大學(xué)，2010.DOI：10.7666/d.y1668621.

[7]林楷.端信息跳變系統(tǒng)的設(shè)計與實現(xiàn)[D].南開大學(xué)，2010.DOI：10.7666/d.y1814237.

[8]虞致國，魏敬和，YUZhi-guo，等.基于JTAG的SoC芯片調(diào)試系統(tǒng)設(shè)計[J].電子與封裝，2007，7（7）：5.DOI：10.3969/j.issn.1681-1070.2007.07.007.

[9]羅宏偉.集成電路芯片安全隱患檢測技術(shù)[J].半導(dǎo)體技術(shù)，2007，32（12）：4.DOI：10.3969/j.issn.1003-353X.2007.12.021.

[10]羅宏偉.集成電路芯片安全隱患檢測技術(shù)[J].半導(dǎo)體技術(shù)，2007，32（12）：4.DOI：10.3969/j.issn.1003-353X.2007.12.021.

[11]葉世芬.安全芯片物理防護研究[D].浙江大學(xué)，2005.DOI：CNKI：CDMD：2.2005.086890.

專家推薦語

盛" "凱

西安電子科技大學(xué)前沿交叉研究院

信息感知與智能系統(tǒng)教授

本文針對汽車控制芯片信息安全技術(shù)進行了詳細的闡述，概括了信息安全資產(chǎn)、分析對于汽車控制芯片的威脅，對安全防護技術(shù)做出了技術(shù)要求的限制，本文能夠提高汽車控制芯片行業(yè)對于信息安全技術(shù)的意識，能夠為汽車控制芯片的信息安全防護設(shè)計提供一定的指導(dǎo)價值。