信息安全知从科技-成为全球领先的汽车基础软件公司

信息安全

知从木牛信息安全方案

详细介绍

早期的汽车电子是一个比较封闭的系统，不与外界互联，然而随着汽车电子智能化和网联化的发展，信息安全正在占据重要的位置。信息安全ISO21434标准也随之出台，汽车电子对信息安全的要求也越来越严格，相关的需求日益增多。

MCU端的信息安全正式汽车电子信息安全环节中的重要一环，

Ø 安全启动（SecureBoot）可以有效防止攻击者恶意修改软件；

Ø 安全诊断（SecureDiagnostic）确保了应用数据不会被第三方获取，避免信息泄露；

Ø 安全升级（SecureUpdate）保证授权软件才可被控制器使用，搭配安全启动功能有效避免非官方程序被控制器执行

Ø 安全通信（SecOC）有效确保了整车通信数据安全，防止行车过程中数据被攻击篡改导致危险事故

Ø 安全调试（SecureDebug）防止控制器内部安全数据被非法导出修改

Ø 安全存储（SecureStorage）避免控制器数据内部数据被非法软件获取

Ø 安全日志（SecureLog）可以有效地保护控制器在客户端的信息安全,有效防止控制器被异常篡改和信息窃取,增加整车的安全性,加速汽车电子网联化进程。

企业微信截图_17011405539141.png

ECU Security Module

功能概括

安全启动SecureBoot

知从科技可以为客户提供SecureBoot完整方案，并可针对项目特定需求和硬件模块定制开发：

l 基于硬件加密方案

l 基于软件加密方案

l 密钥存储管理方案

l 安全启动失效分析

l 产线生产模式方案

安全启动（SecureBoot）是 MCU 的基本功能，通过硬件加密模块来实现，该机制必须独立于用户程序运行，不能被破坏。作为整个安全启动信任链的基础，安全启动主要用于在 MCU 启动之后，用户程序执行之前，对用户定义的 Flash 中关键程序的数据完整性和真实性进行验证，确定是否被篡改。如果验证失败，说明 MCU 处于不可信的状态，部分功能甚至整个程序不能运行。

企业微信截图_17011411678986.png

Secure Boot

Ø 安全启动信任根

安全启动依赖于芯片硬件支持，用于提供初始信任根的可执行代码和密钥。信任根密钥用于信任根代码验证已签名软件或已签名的软件关键数据部分内容的第一个启动阶段。此签名软件用于验证软件组件的后续运行阶段代码。密钥应该由OEM在生产阶段供应给硬件厂商，并存储在受保护内存中。

Ø 安全启动信任链

安全启动信任链是由信任根代码建立的。通过信任根代码的root对第一阶段引导程序进行验证，验证成功则可通过此验证有效的软件执行并继续验证后续引导阶段软件有效性。

Ø 安全启动过程

通过数据内容加密可实现对数据的保护以防止数据被泄露，同时也可防止数据在传输过程中被篡改。加密算法一般分为对称加密算法和非对称加密算法。对称加密算法的加密和解密使用相同密钥，而非对称算法则使用公钥和私钥加解密数据内容。公钥私钥成对存在，例如用公钥加密需用私钥解密，反之亦然。

AES是最常用的对称加密算法，其拥有运算速度快，内存需求低，分组长度和密钥长度设计灵活等优点。对于非对称加密算法来说，典型的有RSA和ECC两种加密算法。RSA加密算法常被选择用于镜像的签名与验签。

知从科技所开发的木牛CryptoLibrary包括硬件加密模块(HSM)的内核固件(zHSM CORE)和客户应用接口函数 (SHE CD)。内核固件除了满足常规的 SHE 功能(密钥注入、对称加解密、消息认证码生成与校验、随机数生成和安全启动等)，还可扩展多种算法，如 HASH 、ECC256以及国密算法等。

安全诊断SecureDiagnostic

知从科技可以为客户提供SecureDiagnostic完整方案，并可针对项目特定需求和硬件模块定制开发，实现的安全诊断特性包括：

l 证书存储解析功能

l 公私钥存储解析功能

l 密钥更新管理功能

l 支持UDS0x29服务

l 支持UDS0x84服务

l 支持集成信息安全库

安全诊断（SecureDiagnostic）是保护ECU内部数据安全的重要手段，主要用于将程序或数据下载 / 上传到服务器以及从服务器读取特定内存位置的诊断服务需要进行身份验证。异常的程序上传或下载到服务器的数据可能会潜在地破坏电子设备或其他车辆部件，或可能违背车辆的排放或安全等标准。另一方面，当从服务器检索数据时，可能会违反数据安全性。因此需在这些服务执行前，要求上位机证明其身份，在合法身份确认之后，才允许其访问数据和诊断服务。

安全诊断是通过某种认证算法来确认客户端的身份，并决定客户端是否被允许访问。可以通过对随机数种子生成的非对称签名进行验证或者通过基于对称加密算法的消息校验码来验证其身份。

知从科技所开发的木牛CryptoLibrary支持X.509v3证书的解析，认证，存储等流程。可以实现不同OEM的规范要求，对证书扩展数据进行解析和处理，可定制开发等。证书在诊断安全认证过程中起到了非常重要的作用，有效避免非法人员窃取控制器数据。

企业微信截图_17011417951912.png

Secure Diagnostic

安全升级SecureUpdate

知从科技可以为客户提供SecureUpdate完整方案，并可针对项目特定需求和硬件模块定制开发，实现安全升级特性包括：

l X.509证书授权管理

l A/B区备份升级

l 数据压缩下载

l 数据加密升级

l 配套上位机工具(玄武上位机工具)

l 支持不同OEM厂家规范

随着越来越复杂的网络环境，在软件升级更新过程中，保证升级包的发布来源有效、不被篡改、数据不丢失以及升级内容不被恶意获取变得越来越重要。

传统升级过程的升级包数据基本上是以明文传输，数据校验方式也是安全性较低的散列算法。安全升级在传统升级基础上，一方面使用添加签名的固件和在固件验证过程中额外执行签名验证来增强固件完整性验证，保证数据来源可靠，数据完整没有被篡改；另一方面还增加了对通过服务器加密固件的解密功能，传输数据过程通过密文传输，有效的降低 OTA 无线更新时数据暴露的风险。

企业微信截图_17011418851526.png

Secure Update

安全日志SecureLog

安全日志可以用于记录在安全通信过程中产生的异常问题或授权用户记录等信息，可以方便控制器开发的问题排查以及风险管控。当ECU产生信息安全漏洞时，可通过日志信息快速分析影响原因和影响功能，提升代码开发鲁棒性，降低信息安全漏洞导致的一系列影响。

企业微信截图_170115744481.png

Secure Log

安全通信SecOC

在目前的车载网络中，大部分数据传输都是在没任何安全措施的情况下进行的。例如应用最广的CAN 通讯设计之初是没有考虑过信息安全问题的，其明文传输、报文广播传输、极少网络分段等特性，让进入整车网络的黑客如同进了游乐场，轻松便可以伪造报文对车辆进行控制。

SecOC 是在 AUTOSAR 软件包中添加的信息安全组件（组件位置及可应用的通讯方式如下图所示），该 Feature 增加了 CMAC 运算、秘钥管理、新鲜值管理和分发等一系列的功能和新要求。SecOC 模块在PDU 上为关键数据提供有效可行的身份验证机制，认证机制与当前的 AUTOSAR 通信系统无缝集成，同时对资源消耗的影响应尽可能小，以便为旧系统提供附加保护。

SecOC

安全调试SecureDebug

知从科技提供的安全调试方案可支持如下内容：

l 下线调试加密流程

l 诊断解密调试权限

l 诊断获取密钥信息

现在大部分控制器都配备了基于硬件的调试功能，用于片上调试过程。安全 JTAG 模式是指通过使用基于Challenge / Response的身份验证机制来限制 JTAG 访问。检查对 JTAG 端口的任何访问，只有授权的调试设备（具有正确响应的设备）才能访问 JTAG 端口，未经授权的 JTAG 访问尝试将被拒绝。在生产或者下线阶段，必须要禁用或者锁定相关的调试诊断接口，禁用意味着无法与硬件调试接口建立连接，锁定意味着硬件调试接口受到保护，只能根据安全调试解锁来访问。

知从科技针对不同厂家芯片，制定了不同的安全调试功能方案。例如针对NXP S32K1xx系列芯片，可以通过安全诊断方式开启和关闭Debug功能，通过SecureDiagnostic确保授权用户可执行调试功能。

Secure Debug

安全存储SecureStorage

安全存储可保护数据区域内容不被异常窃取，避免因为控制器通过强行访问数据存储区，将存储的密钥，证书等内容进行复制。目前主流芯片都可通过设置Flash，Nvm，RAM等存储区进行数据保护，开启此功能可有效避免上述情况产生。

部分芯片包含加密功能，内部存储的安全数据还可通过地址区域数据加密存储方式进行保护，即便破解了数据访问权限，仍然无法得到明文数据内容。部分芯片也带有一次性可编程存储器 OTP(On Chip One Time Programmable ROM, On-Chip OTP ROM)，也称为eFuse，是芯片中特殊存储模块，字段中的任何 eFuse 位都只能从 0 编程为 1（融合），只能被烧写一次，但是读取操作没有限制。安全存储还可以通过将 Flash 某些区域设置只读或者只写来实现，防止非法访问和篡改。Flash 保护区域的数量和大小会根据 Flash 的类型和该 Flash 块的大小而有所不同。

知从木牛CryptoLibrary信息安全库

知从科技针对英飞凌TC2xx/TC3xx系列(如 TC275,TC264,TC39x,TC38x 和 TC37x 等)开发了木牛CryptoLibrary，包括硬件加密模块(HSM)的内核固件(zHSM CORE)和客户应用接口函数 (SHE CD)。

知从木牛CryptoLibrary的软件主要分为两部分：

1) HSM硬件加密模块固件(zHSM CORE）

2) Tricore主核的SHE复杂驱动(zSHE CD）

Crypto Library

zSHE CD包含和CSM的接口zCRY模块, 和HSM通讯的zHSM COM 和zHSM MCAL模块三个子模块，各模块的功能介绍如表1。

表 1 软件模块功能说明

TC3xx HSM资源