近年來，汽(qi)車網絡安全事故頻發(fa)：2015年，Jeep大(da)切諾基被黑客(ke)遠程操(cao)控，通過CAN總線惡意控制汽(qi)車的制動(dong)(dong)、轉向、動(dong)(dong)力等，為此(ci)FCA召回了140萬(wan)輛汽(qi)車；2018年，特斯(si)拉Autopilot系統被(bei)攻擊；2021年，Model3被(bei)黑客入(ru)侵提取車內攝像頭的拍攝畫面......這些(xie)案例，都凸顯了汽(qi)車網絡(luo)安全問題的緊迫性。

在(zai)智(zhi)能網聯汽車的(de)大(da)背景下，接入網絡的(de)汽車時刻都有受(shou)到黑客攻擊(ji)的(de)風險，汽車用戶的(de)隱(yin)私安(an)全(quan)、數據(ju)安(an)全(quan)甚至(zhi)生(sheng)命(ming)安(an)全(quan)都受(shou)到威脅。因此(ci)，各大(da)主(zhu)機(ji)廠(OEM)和(he)一(yi)級供應商(Tier1)迫切希(xi)望填補這(zhe)方(fang)面(mian)的安全(quan)空白(bai)，以確保汽(qi)車全(quan)生命周期(qi)的安全(quan)。

車規芯(xin)片(pian)作為汽車各(ge)軟(ruan)件功能實現的基石，其(qi)信息安全設計至(zhi)關重(zhong)要。

車規芯(xin)(xin)片的(de)(de)(de)信(xin)息(xi)安(an)全設計(ji)是一個復雜且多維度的(de)(de)(de)過(guo)程(cheng)，需要從(cong)芯(xin)(xin)片本身的(de)(de)(de)信(xin)息(xi)安(an)全防護能力、芯(xin)(xin)片提供的(de)(de)(de)信(xin)息(xi)安(an)全服(fu)務符(fu)合通用(yong)需求，以及(ji)芯(xin)(xin)片信(xin)息(xi)安(an)全的(de)(de)(de)設計(ji)流程(cheng)符(fu)合國家/國際標準這(zhe)三個方面(mian)進行全面(mian)考(kao)量。

▎1.芯片硬件(jian)安全(quan)防護能力

車規芯(xin)片作為(wei)汽車各軟件功(gong)能(neng)實現的基石，必(bi)須具(ju)備抵御外來攻擊的能(neng)力。這(zhe)主要(yao)涉及兩個方(fang)面：硬件安全(quan)問題和硬件信(xin)任問題。

首先(xian)，針對(dui)(dui)硬(ying)(ying)件(jian)安全(quan)問題。我(wo)們(men)需要(yao)考慮硬(ying)(ying)件(jian)在(zai)不同層(ceng)級下(Chip或PCB)可(ke)能(neng)遭受的攻(gong)擊(ji)(ji)，如側(ce)信道攻(gong)擊(ji)(ji)、硬(ying)(ying)件(jian)木(mu)馬攻(gong)擊(ji)(ji)等。為(wei)了應(ying)對(dui)(dui)這些(xie)攻(gong)擊(ji)(ji)，需要(yao)從常見的硬(ying)(ying)件(jian)攻(gong)擊(ji)(ji)手(shou)段入(ru)(ru)手(shou)，設(she)立相應(ying)的防護措施。例如，引入(ru)(ru)混淆技(ji)術降低(di)信噪比、增(zeng)加特定傳感器對(dui)(dui)電壓(ya)等進行監控、引入(ru)(ru)PUF技術來實現對給(gei)定的(de)輸入產(chan)生不可克隆的(de)唯一設備響應等(deng)。

-ECU板級常見攻擊手段-

在車規MCU中，最有(you)效的防護措(cuo)施之一就是在芯片設(she)計時引入HTA(Hardware Trust Anchor)。HTA提供(gong)了(le)一種基(ji)于(yu)硬(ying)件安(an)全機制的(de)隔(ge)離環(huan)境，可以有效保護(hu)安(an)全敏感數據、為(wei)應(ying)用控制算法提供(gong)各種密(mi)碼服務(wu)。目前(qian)市面常(chang)見的(de)HTA種類(lei)有SHE、HSM和TPM等(deng)。

▎2.芯片的信(xin)息安全服務符合通用需求(qiu)

汽車信(xin)息(xi)安(an)全的核(he)心是保證使用主體的機(ji)密性、完整(zheng)性和真(zhen)實性(CIA)。因此，車規(gui)芯片(pian)需要提供一系列的信(xin)息(xi)安(an)全服務來滿足這些通(tong)用需求。

首先，安全(quan)(quan)存(cun)儲(chu)是車規芯片的(de)核心功(gong)能之(zhi)一(yi)。它需要提供(gong)一(yi)個(ge)可(ke)信(xin)(xin)的(de)環境，用于存(cun)儲(chu)敏(min)感(gan)(gan)信(xin)(xin)息，如密鑰(yao)、證書等。例如Secure NVM（安全(quan)(quan)非易(yi)失(shi)性存(cun)儲(chu)器）就是這樣(yang)的(de)一(yi)個(ge)可(ke)信(xin)(xin)存(cun)儲(chu)環境，能夠(gou)確(que)保敏(min)感(gan)(gan)信(xin)(xin)息的(de)安全(quan)(quan)性和可(ke)靠性。

其次，為了滿足不(bu)同加密算法的(de)(de)性能(neng)要求，車規(gui)芯片還需(xu)提供(gong)相應(ying)的(de)(de)密碼(ma)算法硬件加速器和密鑰管理功能(neng)。這(zhe)些服務包括但(dan)不(bu)限于：

● 對稱密碼硬件加速器：基于私密密鑰的數據加解密，如AES算法，能夠提供高速、安全的加密解密服務；

● 非對稱密碼硬件加速器：用于數字簽名、驗簽以及數據加解密等操作，確保數據的完整性和真實性；

● 摘要硬件加速器：常用于數據完整性檢查和身份驗證等場景，如基于摘要的HMAC算法，能夠提供快速、準確的身份驗證服務；

● 密鑰管理功能：包括密鑰導入、密鑰協商、密鑰派生等操作，確保密鑰的安全生成、存儲和使用等。

此外，為了(le)衡量和(he)保(bao)證整個(ge)ECU系(xi)統的完整性(xing)和(he)可用性(xing)，車(che)規芯片還需要提(ti)供安全啟動(dong)和(he)可信(xin)啟動(dong)等功(gong)能(neng)(neng)。這(zhe)些功(gong)能(neng)(neng)能(neng)(neng)夠確保(bao)ECU系(xi)統在啟動(dong)過程中不被惡(e)意篡(cuan)改或破壞，從而(er)保(bao)證汽車(che)的正常(chang)運(yun)行和(he)安全性(xing)。

3.信息安全方案設計流(liu)程符合國家/國際標準(zhun)

隨(sui)著汽車(che)(che)網(wang)絡(luo)安(an)全(quan)法規(gui)的不斷完善，2022年7月，聯合國歐洲經濟委(wei)員會(hui)（UNECE）正式推出了首部汽車(che)(che)網(wang)絡(luo)安(an)全(quan)法規(gui)R155法規(gui)要求(qiu)(qiu)，要求(qiu)(qiu)在歐盟上市的車(che)(che)型必須取得(de)特(te)定車(che)(che)型型式認(ren)證（VTA），而在此之前，車(che)(che)企必須滿(man)足滿(man)足網(wang)絡(luo)安(an)全(quan)管理體(ti)系（CSMS）的要求(qiu)(qiu)，并(bing)取得(de)相應的認(ren)證。

國家標準(zhun)《汽車整車信息安全技術要求》將于2026年1月1日擬(ni)實施，因此芯(xin)(xin)片企業(ye)在設計芯(xin)(xin)片的信息安全技術時，必(bi)須參考這些(xie)法規和標準(zhun)，確保產(chan)品符(fu)合國家和國際的要求。

其中最重要(yao)的(de)一環是(shi)建議建立起企業(ye)(ye)內部(bu)的(de)網絡安(an)全管(guan)理(li)體系（Cyber Security Management System）。這一體系能夠確保芯片企業(ye)(ye)在設計過(guo)程中，對于信息(xi)安(an)全治理(li)、開發(fa)管(guan)理(li)、生(sheng)產管(guan)理(li)、供(gong)應商管(guan)理(li)以及風(feng)險管(guan)理(li)等方面，都是(shi)符合流程體系和法律(lv)法規的(de)要(yao)求。