车规芯片如何打造信息安全新防线

随着智能网联汽车的飞速发展，整车电子电气架构正经历从分布式ECU架构向域/中央集中式架构的重大变革，同时，基于V2X的云路车一体化方案也在逐步落地。然而，智能网联技术在给人们生活带来便捷的同时，也带来了更为复杂和严峻的汽车网络安全问题。

近年来，汽车网络安全事故频发：2015年，Jeep大切诺基被黑客远程操控，通过CAN总线恶意控制汽车的制动、转向、动力等，为此FCA召回了140万辆汽车；2018年，特斯拉Autopilot系统被攻击；2021年，Model3被黑客入侵提取车内摄像头的拍摄画面......这些案例，都凸显了汽车网络安全问题的紧迫性。

在智能网联汽车的大背景下，接入网络的汽车时刻都有受到黑客攻击的风险，汽车用户的隐私安全、数据安全甚至生命安全都受到威胁。因此，各大主机厂(OEM)和一级供应商(Tier1)迫切希望填补这方面的安全空白，以确保汽车全生命周期的安全。

车规芯片作为汽车各软件功能实现的基石，其信息安全设计至关重要。

#一.车规芯片的信息安全设计考量

车规芯片的信息安全设计是一个复杂且多维度的过程，需要从芯片本身的信息安全防护能力、芯片提供的信息安全服务符合通用需求，以及芯片信息安全的设计流程符合国家/国际标准这三个方面进行全面考量。

▎1.芯片硬件安全防护能力

车规芯片作为汽车各软件功能实现的基石，必须具备抵御外来攻击的能力。这主要涉及两个方面：硬件安全问题和硬件信任问题。

首先，针对硬件安全问题。我们需要考虑硬件在不同层级下(Chip或PCB)可能遭受的攻击，如侧信道攻击、硬件木马攻击等。为了应对这些攻击，需要从常见的硬件攻击手段入手，设立相应的防护措施。例如，引入混淆技术降低信噪比、增加特定传感器对电压等进行监控、引入PUF技术来实现对给定的输入产生不可克隆的唯一设备响应等。

-ECU板级常见攻击手段-

逆向工程：通过对ECU拆盖，逆向复刻重组出PCB级别的硬件架构和通信架构。

总线探针：通过在系统总线上搭载挂针，通过物理访问提取敏感信息(密钥、固件)等。

硬件物理篡改：通过硬件篡改受保护的功能，最著名的就是Modchip篡改星链。

-芯片级别常见攻击手段-硬件木马：设计或者制造芯片时故意植入的特殊模块或者设计者无意留下的缺陷模块，在特殊条件触发下，该模块能够被攻击者利用对芯片造成破坏。侧信道攻击：也叫边信道攻击(Side Channel Attack)，通过收集分析加密软件或硬件在工作时附带产生的各类侧信道物理量来进行破解。常见的有：SPA (Simple Power Analysis)、DPA(Differential Power Analysis)、SEMA (Simple Electromagnetic Analysis)、DEMA(Differential Electromagnetic Attack)、Timing Attacks、DFA(Differential Fault Analysis)。故障注入攻击：故意在系统中造成错误，危及系统安全的攻击。常见手段有改变芯片供电电压、注入不规则时钟信号、引入辐射或电磁(EM)干扰、加热设备等。

在车规MCU中，最有效的防护措施之一就是在芯片设计时引入HTA(Hardware Trust Anchor)。HTA提供了一种基于硬件安全机制的隔离环境，可以有效保护安全敏感数据、为应用控制算法提供各种密码服务。目前市面常见的HTA种类有SHE、HSM和TPM等。

其次，针对硬件信任问题，我们需要从企业内部建立起网络安全管理体系，做好供应链授信管理，以确保产品全生命周期的信息安全。这包括在硬件系统的全生命周期里，从设计、生产、测试等过程均有严格的供应商管理和授信机制，避免出现信任问题。

▎2.芯片的信息安全服务符合通用需求

汽车信息安全的核心是保证使用主体的机密性、完整性和真实性(CIA)。因此，车规芯片需要提供一系列的信息安全服务来满足这些通用需求。

首先，安全存储是车规芯片的核心功能之一。它需要提供一个可信的环境，用于存储敏感信息，如密钥、证书等。例如Secure NVM（安全非易失性存储器）就是这样的一个可信存储环境，能够确保敏感信息的安全性和可靠性。

其次，为了满足不同加密算法的性能要求，车规芯片还需提供相应的密码算法硬件加速器和密钥管理功能。这些服务包括但不限于：

●对称密码硬件加速器：基于私密密钥的数据加解密，如AES算法，能够提供高速、安全的加密解密服务；

●非对称密码硬件加速器：用于数字签名、验签以及数据加解密等操作，确保数据的完整性和真实性；

●摘要硬件加速器：常用于数据完整性检查和身份验证等场景，如基于摘要的HMAC算法，能够提供快速、准确的身份验证服务；

●密钥管理功能：包括密钥导入、密钥协商、密钥派生等操作，确保密钥的安全生成、存储和使用等。

此外，为了衡量和保证整个ECU系统的完整性和可用性，车规芯片还需要提供安全启动和可信启动等功能。这些功能能够确保ECU系统在启动过程中不被恶意篡改或破坏，从而保证汽车的正常运行和安全性。

芯片级别的信息安全解决方案

▎3.信息安全方案设计流程符合国家/国际标准

随着汽车网络安全法规的不断完善，2022年7月，联合国欧洲经济委员会（UNECE）正式推出了首部汽车网络安全法规R155法规要求，要求在欧盟上市的车型必须取得特定车型型式认证（VTA），而在此之前，车企必须满足满足网络安全管理体系（CSMS）的要求，并取得相应的认证。

国家标准《汽车整车信息安全技术要求》将于2026年1月1日拟实施，因此芯片企业在设计芯片的信息安全技术时，必须参考这些法规和标准，确保产品符合国家和国际的要求。

其中最重要的一环是建议建立起企业内部的网络安全管理体系（Cyber Security Management System）。这一体系能够确保芯片企业在设计过程中，对于信息安全治理、开发管理、生产管理、供应商管理以及风险管理等方面，都是符合流程体系和法律法规的要求。

CSMS全生命周期体系架构

通过按照这一体系架构和流程对芯片进行信息安全方面的设计，芯片企业可以生成一套完整的文档材料。这些材料将有助于OEM、Tier1供应商加快R155或者《汽车整车信息安全技术要求》的认证过程，从而更快的将符合法规要求的产品推向市场。

#二. 功能安全与信息安全

汽车的安全性涵盖了两个核心方向：功能安全和信息安全。

功能安全主要聚焦于因电子电气系统故障引起的潜在危害。其主要目标是预防此类故障导致的不当风险。常用的分析方法，如故障树等HARA分析，能够帮助识别可能导致危害的单点和多点随机硬件失效，并据此设置必要的安全防护机制。

信息安全则着重关注恶意网络攻击对个人财产安全、数据隐私以及车辆操作构成的威胁。其核心目的是保证数据的真实性、完整性和机密性（CIA），从而免受外界的不良侵害。在这里，攻击树等TARA分析等手段成为识别漏洞、强化信息安全防护措施的关键。

功能安全和网络安全相互补充，共同为构建整体车辆安全系统发挥重要作用。

作为一家历经20年持续创新的芯片设计企业，芯海科技凭借业界领先的“模拟信号链+MCU”双平台技术优势，已成功构建出系列化、平台化的汽车电子产品生态。公司目前不仅通过了ISO26262 ASIL-D功能安全管理体系认证，还推出了多款符合AEC-Q100认证的模拟信号链和车规MCU产品，与众多领先的Tier1供应商保持紧密合作关系。

针对严峻的汽车智能网络安全挑战，芯海科技持续完善并优化了公司的全面质量管理体系，以确保可满足ISO\SAE21434标准的各项要求。公司从芯片层面出发的完整信息安全解决方案，致力于为OEM厂商在满足R155法规方面提供有力的支持。

在物联网、车联网迅猛发展的当前，面对无处不在的信息安全威胁，我们相信只有具备强大信息安全防护能力的车规芯片才能为智能网联汽车提供真正的保障。芯海科技致力于研发和创新更先进的车规芯片技术，助力OEM厂商构筑坚固防线，成为推动企业和社会向前发展的强大动力。