1. 背景簡介

汽車芯片信息安全的必要性

1. 早期由于ECU本身設計的資源有限，信息安全考慮的也比較少，導致自身的防護能力很弱，容易導致黑客攻擊。隨著智能車技術的發展，雖然芯片的數據處理能力不斷提升，如果芯片自身的安全防護能力過于薄弱，將導致芯片運行的固件也很容易受到攻擊，比如固件篡改，敏感信息（如密鑰等）泄露.

2. 隨著智能車技術的不斷發展，越來越多的政府，行業組織的最佳實踐也明確提出智能車的安全需要構建在安全的芯片基礎上，比如EVITA、GSMA關于汽車安全的要求，HSM已成為智能車的安全基礎，成為行業默認的標準。

3. 智能車功能安全（Safety）和信息安全（Security）在設計階段也有沖突的地方，比如過度基于軟件實現的安全特性，會導致控制指令的延時，影響功能安全特性的實現。因此為了提升產品的性能，以及Safety和Secuirty的強隔離，也必然會要求將更多的信息安全特性集成到芯片里，或者基于芯片的能力來實現。

2. 芯片安全知識圖譜

芯片安全圖譜的兩個維度：

1. 一個維度是芯片自身的安全防護能力，比如能抵抗物理侵入式、半侵入式物理攻擊；能檢測和防御故障注入攻擊；以及耳濡目染的側信道攻擊。這就像是一輛坦克自身厚重的鋼板，能抵擋普通子彈和炸彈的攻擊。物理攻擊需要較強的專業能力，比如借助專用的測試儀器，以及可以近距離接觸的物理設備。

2. 另外一個維度是基于芯片的安全服務，比如芯片直接固化的密碼類算法，密鑰管理機制，真隨機數生成器，PUF等機制。

汽車芯片信息安全知識圖譜V1.0

3. 常見的芯片攻擊手段

3.1 側信道攻擊

a)概念：利用設備的接口對芯片進行電磁和功耗的分析，無需對芯片進行破壞

b)常見測評、攻擊類型：時間分析、功耗分析，電磁輻射分析，光子分析

c)適用對象：集成電路/芯片、智能卡、智能門鎖、物聯網終端、車載電子等產品

下面是一個針對手機的側信道攻擊（電磁分析攻擊），作為一個簡單的樣例。

d)防護原理：消除和降低側信道信息與密鑰的相關性，常用手段：

- 掩碼技術：引入隨機掩碼，平衡“0”和“1”分布。

- 隱藏技術：平均化側信道信息，降低數據的可區分度

- 混淆技術：降低信噪比（有效側信道信息）如使用隨機時鐘等，增加側信道分析難度。

3.2 故障注入攻擊

利用故障（電壓、時鐘等）引起電路出現異常，根據異常信息分析芯片內部的敏感信息；或者直接利用引起電路的異常來改變程序運行等。

常用測評/攻擊類型：電壓注入、時鐘注入、電磁注入、溫度注入，激光注入。

案例：故障注入攻擊導致安全啟動被成功繞開

（參考Source:樂鑫發布關于故障注入和安全啟動的安全性公告 (CVE-2019-15894)）

故障注入攻擊的防護技術：

- 傳感器:專用傳感器（電壓、頻率、溫度等）對電壓、時鐘故障可以起到檢測和告警作用

- 邏輯&時鐘冗余：邏輯冗余分為面積冗余和時間冗余。面積冗余是指多分計算邏輯各計算一次，最終對比各個計算邏輯的結果來檢查是否有故障注入；時間冗余是指一份計算邏輯計算多次，比較多次的結果來檢查是否有故障注入。

- 金屬外殼&特殊封裝：通過金屬外殼，可以對激光故障注入，電磁故障注入等手段具有一定的抑制作用

- 邏輯深埋：將關鍵電路邏輯部署在芯片內層，而不是直接部署在芯片表層，使得故障注入的難度增加

- CRC校驗

3.3 物理攻擊

a)概念：去除芯片封裝，對內部電路進行電接觸，結合其他攻擊手段獲取保存在芯片內部的敏感信息

b)常見攻擊類型：FIB電路修改/探針攻擊、單板級走線篡改/探聽、整機攻擊。

c)防護技術：

- Passive shield：被動屏蔽層，例如在芯片表面構建鈍化層，金屬屏蔽層，增加攻擊者解封裝難度

- Active shield：主動屏蔽層構建一個電路檢測網，覆蓋在關鍵電路表面檢測電路一旦有損壞，就會發出告警

- 特殊封裝：對電路（芯片）采用特殊封裝

- 信號完整性、機密性保護等: 針對單板走線篡改&竊聽總線探針竊聽&篡改等，通過對信號完整性和機密性進行保護來應對此類攻擊

4. 驗證輔助的安全特性

1. Hardware Trust Anchor(HTA)

- 以軟件無法操作的方式保護敏感數據

- 提供加解密功能

2. HTA不同標準：

- SHE

- HSM

- TPM

3. Evita Full-Medium-Light與SHE差異

以下為詳細的案例介紹。

4.1 NXP高級加解密引擎

(1)架構與功能描述：

（2）核心能力：

1) 滿足HSM Full等級；

2) 芯片內支持4個并發加解密任務（job），每個任務帶有資源ID、TZ（Trustzone標記）和任務ID，并能和Trustzone機制配合使用，具有很強的權限控制能力。

4.2 專用算法密碼引擎

（1）NXP針對Flash讀寫直接加解密引擎-Bus Encryption Engine, BEE

BEE 邏輯架構圖

總線加密引擎（BEE）被實現為實時解密引擎，用于CPU直接讀取并同時解密Flash（FlexSPI接口）中的數據。BEE的主要功能是：

- 即時AES-128解密，支持ECB和CTR模式

- 別名內存空間支持。重新映射最多兩個單獨的區域

- 針對這兩個區域的獨立AES密鑰管理

- 基于安全標簽的非安全訪問的過濾

- 非法訪問檢查和過濾

（2）NXP 針對RAM在線加解密引擎-Inline Encryption Engine

支持的功能：

- AES-XTS模式下的DDR加密和解密

- QSPI閃存解密，在AES-CTR模式下

- /O DMA直接加密的存儲和檢索（AES CTR 128）

- 多核資源域分離

- 使用專用總線安全地加載片上密鑰

- 差分功率分析（DPA）電阻

- 檢測物理篡改并響應

4.3 小結

1. SHE規范奠定了汽車安全基礎，引入了汽車可配置的安全子系統概念

2. EVITA的HSM規范擴展了SHE，并采用了Full，Medium、Light三種規格，從而滿足更多場景的要求

3. 如今，OEM正在創建自己的技術規范，包括SHE、EVITA和FIPS 140-2的某些方面，以及區域/行業性特殊要求（比如支持國密算法）

4. 還有一些廠商定義特定的輕量級加密引擎，比如NXP的IEE、BEE、PRINCE算法等

5. 啟動安全

先講一個概念：信任鏈 (chain of trust)

在可信計算體系中，建議信任需要先擁有可信根（Root of Trust），然后建立一條可信鏈（chain of Trust）,再將信任傳遞到系統的各個模塊，之后就能建立整個系統的可信。

安全啟動的原理就是硬件信任錨+信任鏈。

網絡設備的安全性嚴重依賴設備上運行軟件的完整性，通常使用信任鏈確保軟件完整性，啟動期間每個階段在執行前檢查下一個階段，如下圖所示，這個過程有一個特例，這一步之前沒有任何東西可以進行任何檢查，此階段稱為信任根（Root of Trust）。

5.1 安全啟動

安全啟動(Secure Boot)：安全啟動也叫Verify boot,就是在啟動過程中，前一個部件驗證后一個部件的數字簽名，驗證通過后，運行后一個部件。

目前安全啟動基本上是對安全要求比較高的場景下，芯片必備功能。

5.2 可信啟動

可信啟動(Trusted Boot)：也稱為Measure boot,就是在啟動過程中，前一個部件度量（計算HASH）后一個部件，然后把度量值安全保存下來，比如放到一個集中的部件（或云端），設備啟動后的一致性（完整性）的校驗由集中的部件負責完成。

擴展：在IoT領域，以微軟為主推出了輕量級的類TPM技術-DICE，就使用了基于硬件信任錨的可信啟動方式。

5.3 加密啟動

顧名思義，就是存儲在flash中的image是密文，啟動過程中會解密在啟動，下圖是NXP加密啟動的流程圖：

注：

1. 加密啟動過程本身沒有信任鏈的構建過程

   
   

2. 安全啟動（Secure boot）、可信啟動（Trusted boot）和加密啟動（Encryptedboot）三種啟動方式并不是互斥的，可以結合實際應用場景、性能要求結合起來使用。比如安全啟動（Secure Boot）和加密啟動（Encrypted boot）相結合，既可以確保啟動過程系統軟件的一致性（沒有加載被篡改過的軟件系統），又能確保Flash中的軟件image不被逆向破解（因為image已被加密）

   
   

3. 需要注意的，如采用加密啟動，可以借助前面講的IEE硬件加密引擎，就可以顯著提升解密性能，從而提升啟動啟動。