华体会体育

您现在的位置是:首页 > 新闻动态 > 华体会体育_如何将硬件安全模块功能直接集成到车辆的安全概念中?

华体会体育_如何将硬件安全模块功能直接集成到车辆的安全概念中?

文章来源:华体会体育  作者:华体会体育  发布日期:2021-09-30  浏览次数:860  【打印】  【关闭】   【返回

收集平安与功能平安的智能结合

在带有嵌入式硬件平安模块的 CPU 上运行的平安仓库现在被认为是汽车收集平安的焦点。 是以,它们也是车辆功能平安的要害先决前提。 在最坏的环境下,针对收集进犯的平安庇护不足的车辆系统终究可能会致使危和生命的环境。 ESCRYPT 注释了为何最好将硬件平安模块和其平安功能直接集成到车辆的平安概念中。

基在硬件平安模块 (HSM) 的微节制器和微处置器是现今很多汽车 ECU 的最早进手艺。带有硬件平安模块的芯片此刻被普遍利用,特殊是在车辆的浩繁平安要害部件中,例如平安气囊、电池治理系统、转向系统和制动系统。是以,HSM 固件是功能平安的车辆系统的焦点组件。

作为零丁的硬件组件毗连到主机节制器,HSM 包罗本身的处置器、加密功能和用在硬件平安固件和平安数据的专用存储器。HSM 固件为硬件添加了额外的平安功能,将这些功能绑缚到复杂的平安和谈中,以撑持专用的 OEM。即便在多核情况中,底层抢占式及时操作系统也能确保优化的、优先级驱动的资本操纵率。所有功能都经由过程 API 接口供给给主机利用法式,从而确保 HSM 仓库可以轻松集成到指导加载法式或任何 Autosar 仓库中——利用“复杂驱动法式”或经由过程 Autosar 加密驱动法式,随附HSM 固件,如图 1。HSM 焦点和软件组成了车辆系统的信赖锚。硬件平安模块成为系统可用在查抄真实性和完全性的一种基准,例如验证车载收集内的软件更新或动静(平安车载通讯,SecOC)。

HSM 的功能平安

固然现今年夜大都汽车微节制器和微处置器都配备了此类硬件平安模块,但现实上这些 HSM 中为功能平安而设计的很少。虽然硬件设计在很年夜水平上是在质量治理流程的根本长进行的,但这很少是涵盖可能的系统故障的合适 ISO-26262 的流程 [1]。即便在进程合适 ISO-26262 的环境下,HSM 中也没有针对偶发性故障实行零丁的庇护,例如以硬件冗余或附加查抄器功能的情势。这仿佛使人惊奇,但斟酌到凡是没有直接分派给 HSM 自己的平安方针,这是完全有事理的。

因为上述硬件环境,HSM 固件的通用功能平安方式不是有效的解决方案。相反,需要深切斟酌个体用例。HSM 包括在很多与平安相干的 ECU 中,在利用规模内用在各类功能,包罗避免把持、初始化、软件更新、诊断、车载通讯和很多其他功能。是以,需要在 HSM 中进行特定在案例的实现。

平安与干扰共存

HSM 的典型用处是在集成情况中,它与履行平安相干功能的软件解决方案共存,分派的平安方针高达 ASIL D。是以,按照ISO 26262实现无干扰很是主要。这里凡是的方式是利用芯片上可用的硬件功能来庇护主机驱动法式和来自那些履行平安要害功能的软件模块的同享资本,例如经由过程利用专用庇护机制或内存庇护单位 (MPU) 。

但是,这类影响深远的基在硬件的划分对系统来讲纷歧定有效,由于在彼此庇护的两个分歧域之间互换数据和切换使命将不成避免地下降机能,潜伏地致使的瓶颈会与其他运行时的要求发生冲突。更主要的是,这类硬件机制乃至可能不合用在为优化整系统统本钱而选择的低本钱装备。

HSM 固件作为上下文以外的平安元素

及格的 HSM 固件供给了针对此问题的优雅解决方案,该固件包罗按照 ISO 26262 中指定的 ASIL 要求开辟的主机驱动法式。这将答应 HSM 轻松集成到车辆 ECU 中,无需分区或内存庇护,是以不会影响机能,如图 2。

基在 HSM 自己不会在硬件方面履行任何平安相干功能的假定,并斟酌到上下文中固件终究将被多方面且未知地利用,它被设计为上下文以外的平安元素( SEooC) [1]。与此同时,必需在系统层面采纳办法确保固件平安集成,换句话说,以靠得住的体例避免硬件平安模块与其平安相干功能的主机内核之间的干扰。抱负环境下,应为 HSM 固件供给专门的平安手册,此中包括关在若何在集成 SEooC 时确保不受干扰的申明。

利用平安的CMAC下降风险

一般来讲,需要进行完全的平安阐发,以辨认系统中的要挟和缝隙,并设计恰当的对策。经由过程将收集平安方面纳入功能平安评估,可以从功能平安的角度进行知情风险评估,并据此肯定平安完全性程度(SIL),如图3。可是,上述无干扰共存可能不会,对某些系统设计和特定功能,即收集平安机制中的故障发生平安要害的影响[2]。例如,假如ECU之间互换的车载通讯动静和旌旗灯号与平安相干,则会呈现这类环境。假如此类信息已破坏但仍被转发,则可能致使具有严重后果的危险环境,例如毛病的制动旌旗灯号或毛病的转向角。

是以,Autosar为互换平安相干数据指定了端到端(E2E)庇护。E2E概念在运行时代检测并处置通讯收集中硬件和软件真个故障。是以,该概念合用在ASIL D之前的平安兼容通讯。但是,与此同时,还一些新的、更智能的系统设计实现方式,它们弥补了E2E方式,同时想法避免其酿成的开消。此中一种新奇的弥补方式是平安CMAC,它利用基在暗码的动静认证码(CMAC)庇护平安要害动静。

知足ASIL D的基在HSM的平安机制

事实上,车内收集中的每条动静凡是都包括一个CMAC,该CMAC被路由到硬件平安模块以验证动静的真实性。但是,一样的是这类MAC身份验证也能够用作检测破坏动静的功能平安办法。但是,HSM中的单点故障,例如随机HSM硬件故障,可能致使背反ASIL D划定的ECU平安方针,即避免转发非真实动静的要求。

是以,对HSM,有需要界说一个额外的平安要求,即不验证任何子虚MAC是不是准确;这合用在所有平安相干信息,不管有几多。按照利用环境,平安相干动静的数目将从每一个驱动轮回的单个动静和软件更新到100%的动静不等。另外一方面,假如对所有动静(包罗非平安相干动静)实行基在HSM的此类平安机制,这只会致使没必要要的开消。是以,特定在用例的实行概念再次需要智能HSM固件,该固件供给了多个选项,用在在需要时集成基在CMAC的车辆系统功能平安。

可能的平安机制之一是基在利用法式启动的毛病MAC自检。系统集成商必需确保履行和评估测试自己和进入平安状况所需的时候知足要求的故障处置时候距离(FHTI),即故障检测时候距离(FDTI)和故障反映时候距离(FRTI)的总和。此解决方案最多可用在ASIL B。另外一种平安机制基在轮回冗余校验(CRC),并利用在每一个与平安相干的MAC验证。集成到HSM固件的机能优化批量CMAC接口中,可最年夜限度地削减因附加CRC计较和比力功能而致使的方针与时候的衡量,特别是在装备硬件撑持CRC的环境下。此解决方案最多可用在ASIL D。

要害系统功能平安的东西化

智能的本钱和机能优化平安概念可以将功能平安方针拜托给硬件平安模块。与其采纳一般方式,不如对比全部系统的平安方针查抄每一个零丁的用例,以得出硬件平安模块的特定功能平安要求。这方面的根基先决前提是具有响应功能平安包的恰当复杂的HSM固件,该软件包可以涵盖ASIL D之前的用例,具体取决在每一个用例中的方针和上下文。可是,这必需始终合适以下前提:HSM中界说的平安办法与主机侧的恰当功能平安办法相陪伴。

最新一代装备中利用的硬件已具有加强的平安机制和机能。虽然如斯,对供给更高机能的本钱优化系统设计的需求依然存在。在这方面,一个首创性的解决方案仿佛是将收集平安机制东西化经由过程利用智能HSM固件实现硬件平安模块的平安性,以确保要害车内系统的功能平安。

原文题目:收集平安与功能平安的智能结合

文章出处:【微信公家号:ETAS易特驰】接待添加存眷!文章转载请注明出处。 责任编纂:pj

Copyright © 2020 Shanghai Lineprinting Materials Co., ltd. All rights reserved .
Tel: (+86)21-57760077 Address:No.945,Huifu road, Waigang Town, Jiading District, Shanghai