芯片和IP，汽车的两大安全使者

今汽车行业正在经历着重大转折，由于ADAS/自动驾驶、V2X和信息娱乐系统等领域中创新应用的增加，互联汽车正在快速发展。随着硬件和软件内容的增多，在更大程度上实现自动化的同时，也让汽车有了许多潜在的安全漏洞点，成为日益猖獗的网络攻击的目标。为了避免这些安全性问题，OEM需要在芯片级别上提供数据保护和功能安全。

汽车安全问题不容忽视

随着汽车的连接需求不断提升，功能越来越多，汽车由单一的出行工具晋升为更具用户体验的小型电脑。但在这背后，汽车也因为收集和传输的敏感数据越来越多，更容易遭受网络攻击。

根据 AV-TEST Institute 的数据，针对汽车的恶意程序数量已经从2011年的约6500万增加到2020年底的约 11 亿。Upstream Security 在 2019 年的一项网络安全研究报告中称，自2016年以来，汽车黑客攻击数量同比增长94%。

虽然汽车行业还没有受到与其他行业同等程度的监管，但随着法规、标准和指南的增多，行业环境正在发生迅速变化，例如UNECE（联合国欧洲经济委员会）发布的 WP.29 法规规定了新车辆的网络安全管理系统；2021年新发布的ISO/SAE 21434标准规定了道路车辆系统的网络安全风险管理的流程要求；SAE J3101也规定了地面车辆应用的硬件保护安全要求；NHSTA（美国国家公路交通安全管理局）网络安全最佳实践报告建议采用多层汽车网络安全方法。

网络安全已成为OEM必备需求，在设计的早期就应当将安全问题考虑进去，从片上系统 (SoCs) 开始解决，并与功能安全相结合，以整体方式进行实施。汽车系统应当满足高级安全性，还需要符合功能安全标准，以确保数据和程序不会被篡改。如果没有功能安全保障，就没有人身安全，反之亦然。安全系统必须能够处理意外输入，避免不可接受的行为。

在硬件级别为汽车 SoC 设计安全性将有助于确保联网汽车的行为符合预期，并能够抵御恶意安全攻击，防止随机和系统性的安全故障。除了ISO 26262功能安全标准所涵盖的系统与随机故障之外，安全汽车系统还必须能够处理可能意外发生的恶意攻击。使用安全可靠的具有信任根的硬件安全模块 (HSM) IP，从硬件级别设计汽车SoC的安全，将有助于确保联网汽车按预期运行，防止随机和系统故障，并能够抵御恶意攻击。

新思科技从芯片级为汽车提供IP保护

保护车辆的深度防御策略是安全的基础。软件程序的核心在于支持它运行的硬件，为了确保 SoC 不受入侵，硬件需要能够在系统重置时评估其自身的完整性，确定安全之后，才能启动最终形成汽车内部智能的网络，最后实现与外部世界的连接。除了确保 SoC 安全启动且受到保护外，SoC 还需要能够防止随机和系统故障，并满足严格的安全要求。

新思科技的 DesignWare® tRoot™ HSM IP （图 1）符合 ASIL B 标准，适用于汽车行业，同时它还提供一套汽车文档（安全手册、DFMEA/FMEDA/DFA 分析报告、质量手册、开发接口和安全案例报告）和硬件安全机制，增强了其全面的信任根安全解决方案，从而在保护 SoC 免受恶意安全攻击的同时，防止随机和系统的安全故障。

图 1：DesignWare® tRoot™ HSM（用于汽车）

它还包括广泛的安全机制，如双核锁步、内存 ECC、寄存器 EDC、奇偶校验、监视程序、自检比较器、总线和MPU保护，以及双轨逻辑。HSM IP还集成了符合 ASIL D 标准的低功率ARC®处理器 IP，用于运行安全应用程序和密码处理。目前符合ISO26262标准的 HSM已被主要客户部署。

HSM IP可提供多个功能：

• 完全可编程的解决方案为系统提供硬件信任根，并通过高级别安全保护，防范不断演变的威胁
• 安全机制满足针对随机故障的 ASIL B 等级，并满足针对系统故障的 ASIL D 等级
• 可扩展的对称/非对称/散列/MAC 加密加速 - 从 CPU 自定义指令到具有侧通道保护的密码核心
• 采用 SecureShield 技术的高效低功率 ARC 处理器包括一个用于内存访问权限控制的 MPU
• 带有侧信道（DPA）防护的安全外部内存控制器为不可信的外部存储提供机密性和完整性保护，以及运行时的防篡改检测
• 符合 NIST SP800-90c 的真随机数发生器 (TRNG)
• 多个安全密钥服务器，用于在 SoC 内进行安全密钥分配
• 符合 EVITA Full/Medium/Light 硬件要求
• 电源、时钟和重置管理
• 软件包括安全应用程序，如 SDK、经 NIST 认证的密码库、SecureShield runtime library、设备驱动程序和参考设计
• 提供开发和制造工具

DesignWare® tRoot™ HSM IP（用于汽车）提供了可信执行环境 (TEE)，以在 SoC 级别保护敏感信息。HSM能在设备生命周期内实施所需的关键安全功能，客户与第三方可以应用软件进一步扩展这些功能：

• 安全启动可验证主机 CPU 的软件和数据完整性，并用于确保它仅执行受信任的固件。tRoot™ HSM 验证将在主机处理器上运行的代码库的真实性和完整性。根据验证的结果，主机系统可以决定是否继续启动过程。除了完整性和真实性，安全启动服务还通过可选的固件解密功能提供机密性保护。
• 安全更新启用基于安全识别和身份验证的现场固件更新（具有可选加密）。
• 安全验证对于确保与目标设备通信的一个或多个上游和/或下游设备是否可信至关重要。为确保这种信任，需要双方认可的身份验证方案。HSM 可以确保各种身份验证协议的完整性以及设备之间的共享密钥的机密性。
• 安全调试允许使用安全协议通过外部主机进行身份验证，以便在设备上启用本地调试。只允许受信任的、经过身份验证的开发人员调试访问系统。
• 安全存储为设备的应用数据提供保护。启用后，tRoot™ HSM 提供安全路径以加密和解密存储在不受信任位置的应用程序数据，从而防止攻击者进行读取或修改。
• 密钥管理将密钥材料保留在硬件信任根中。通过应用程序层的权限和策略，来允许和管理密钥的使用。此外，密钥生成、导入和导出由 tRoot™ HSM 可信应用软件控制，无需访问来自系统中的应用程序或其他不太可信的处理器的密钥。

结语

新思科技能提供符合标准的安全 HSM IP（用于汽车），满足最新的技术需求和网络安全指南，确保SoC 设计人员能够以低风险快速实现其芯片所需的安全性，加速产品上市时间。

除了具有信任根的 tRoot™ HSMs 之外，新思科技还提供一系列高度集成的安全 IP 解决方案，这些解决方案使用一套通用的基于标准的构建模块和安全概念，为云计算、汽车、数字家庭、IoT 和移动设备市场中的各类产品实现最高效的芯片设计和最高级别的安全性。

新思科技的高度可配置性安全 IP 解决方案包括可集成到片上系统 (SoC) 的 PCIe 和 CXL 集成与数据加密 (IDE) 安全模块、内容保护、加密，以及安全协议加速器。