概述

隨著全球汽車行業(yè)智能化和車聯(lián)網(wǎng)的發(fā)展，新時(shí)代的人們?cè)絹?lái)越多地享受到便利的出行和舒適的駕乘體驗(yàn)。然而，聯(lián)網(wǎng)環(huán)境下所帶來(lái)的各種風(fēng)險(xiǎn)也悄然而至，無(wú)論是互聯(lián)網(wǎng)、緊急呼叫、導(dǎo)航系統(tǒng)、自動(dòng)收費(fèi)、按需供電，還是基于地點(diǎn)的服務(wù)廣告、維護(hù)更新和交通告警，都將成為黑客攻擊的潛在漏洞，汽車安全事件頻發(fā)，構(gòu)建智能網(wǎng)聯(lián)汽車信息安全防護(hù)體系刻不容緩。在汽車信息安全防護(hù)體系中，汽車安全芯片是非常關(guān)鍵的一環(huán)，中央網(wǎng)關(guān)、域控制器、ECU等車載設(shè)備通過(guò)增加安全芯片，可以實(shí)現(xiàn)車內(nèi)通信加密、車內(nèi)設(shè)備的身份識(shí)別、以及OBD診斷的設(shè)備安全接入。可有效阻止CAN以太網(wǎng)等總線攻擊，阻止非法OBD設(shè)備讀取和刷寫、識(shí)別惡意節(jié)點(diǎn)發(fā)送非法報(bào)文等，為車與車、以及車與物之間的通訊以及車輛系統(tǒng)的運(yùn)行提供安全保障。

本文是以汽車安全芯片為主題，首先介紹了車規(guī)級(jí)安全芯片的相關(guān)標(biāo)準(zhǔn)，其次之后根據(jù)不同應(yīng)用場(chǎng)景，列舉了汽車安全芯片的主要形態(tài)，以及在汽車電子電氣架構(gòu)中的使用布局，通過(guò)調(diào)研和對(duì)比，國(guó)內(nèi)外主流汽車安全芯片方案來(lái)了解現(xiàn)狀和未來(lái)趨勢(shì)，最后介紹了芯片安全測(cè)試技術(shù)，作為汽車安全芯片發(fā)展的重要保障。

1. 汽車安全芯片相關(guān)標(biāo)準(zhǔn)

首先，汽車安全芯片屬于一種車規(guī)級(jí)芯片，對(duì)于車規(guī)級(jí)芯片，主要包括AEC和ISO 26262等標(biāo)準(zhǔn)。

AEC是汽車電子協(xié)會(huì)（Automotive Electronics Council），目的是建立共同的零部件資格和質(zhì)量體系標(biāo)準(zhǔn)。具體標(biāo)準(zhǔn)細(xì)節(jié)參考表格1：

表格 1AEC標(biāo)準(zhǔn)的種類

汽車安全芯片屬于集成電路芯片，屬于標(biāo)準(zhǔn)AEC-Q100，包含等級(jí)細(xì)節(jié)如下表格2：

表格 2AEC-Q100標(biāo)準(zhǔn)等級(jí)描述

ISO 26262是道路車輛功能安全的國(guó)際標(biāo)準(zhǔn)，主要是針對(duì)功能安全，用于確定汽車安全完整性等級(jí)ASIL（Automotive Safety Integrity Level）。ASIL等級(jí)分為 A、B、C和D，汽車安全芯片需要滿足此標(biāo)準(zhǔn)和相應(yīng)等級(jí)要求。

同時(shí)，汽車安全芯片作為一種安全芯片，亦需要滿足安全芯片的相關(guān)等級(jí)評(píng)定，目前行業(yè)對(duì)于安全芯片的安全等級(jí)評(píng)定標(biāo)準(zhǔn)包括國(guó)際、國(guó)內(nèi)EAL和國(guó)密等級(jí)。

國(guó)際評(píng)估保證等級(jí)EAL（Evaluation Assurance Level）包括7個(gè)等級(jí)（EAL1至EAL7），是一個(gè)完全遵循國(guó)際標(biāo)準(zhǔn)化通用標(biāo)準(zhǔn)CC（Common Criteria），制定用來(lái)評(píng)估IT產(chǎn)品或系統(tǒng)安全的數(shù)字級(jí)別。國(guó)內(nèi)EAL等級(jí)評(píng)估由中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心進(jìn)行評(píng)估,包括5個(gè)等級(jí)(EAL1至EAL5)。

國(guó)密等級(jí)由國(guó)家密碼安全局制定的標(biāo)準(zhǔn)進(jìn)行評(píng)估，主要分為3級(jí)安全等級(jí)。安全等級(jí)1規(guī)定安全能力需要滿足的最低安全標(biāo)準(zhǔn)，對(duì)密鑰和敏感信息提供基礎(chǔ)保護(hù)措施。安全等級(jí)2規(guī)定在1的基礎(chǔ)上，具有邏輯或物理保護(hù)措施，達(dá)到中等安全等級(jí)要求。安全等級(jí)3為最高的安全等級(jí)，要求對(duì)各種安全風(fēng)險(xiǎn)具有全面的防護(hù)能力。

2. 汽車安全芯片應(yīng)用

汽車安全芯片主要有三類應(yīng)用形態(tài)，第一類是微控制器、微處理器和ADAS等處理器中內(nèi)嵌HSM（Hardware Security Module）硬件安全模塊，主要應(yīng)用在車內(nèi)各個(gè)控制器中，提供安全啟動(dòng)、安全算法等安全功能支持。第二類是安全存儲(chǔ)芯片，此類芯片具備安全存儲(chǔ)區(qū)域，提供加密讀寫功能，主要應(yīng)用在重要數(shù)據(jù)存儲(chǔ)安全要求高的領(lǐng)域。第三類是分立的安全控制器，包含可編程的SE（Secure Element）安全單元或者可編程安全eSIM（V2X通信），主要應(yīng)用在車輛對(duì)外通信和頻繁被外部訪問(wèn)的領(lǐng)域。值得一提的是，V2X安全通信的整個(gè)場(chǎng)景中，不僅要做數(shù)據(jù)加密、數(shù)據(jù)簽名、身份驗(yàn)證，還要保證端到端的可靠性和安全性，另外還需要V2X安全芯片能夠達(dá)到較高性能，滿足目前“新四化”的要求。汽車安全芯片應(yīng)用形態(tài)分類和車內(nèi)應(yīng)用布局如圖1。

圖 1 汽車安全芯片主要形態(tài)和在汽車中的應(yīng)用布局

汽車安全類芯片產(chǎn)品國(guó)外公司主要包括：ST、NXP、Infineon、Renesas、TI和Microchip等。國(guó)內(nèi)公司包括：紫光同芯、華大微電子、宏思電子、芯鈦、國(guó)民技術(shù)、復(fù)旦微電子、芯馳、黑芝麻和地平線等，經(jīng)市場(chǎng)調(diào)研，國(guó)內(nèi)外廠商相關(guān)產(chǎn)品，參考表格3。

表格 3國(guó)內(nèi)外廠商車規(guī)級(jí)安全芯片方案

4.芯片安全測(cè)試技術(shù)

毋庸置疑，對(duì)于車載安全芯片，在應(yīng)用于車輛終端系統(tǒng)時(shí)，其信息安全特性需要經(jīng)過(guò)第三方機(jī)構(gòu)嚴(yán)格規(guī)范的測(cè)試與評(píng)價(jià)。車載芯片的安全測(cè)試技術(shù)沿襲自集成電路安全測(cè)試技術(shù)，主要通過(guò)模擬黑客安全攻擊的方式執(zhí)行，以芯片可抵抗各類安全攻擊的真實(shí)情況，并結(jié)合系統(tǒng)性分析，作為其安全指標(biāo)。

針對(duì)芯片的安全攻擊測(cè)試技術(shù)，主要包括主動(dòng)與被動(dòng)兩類：

主動(dòng)攻擊測(cè)試：測(cè)試者對(duì)芯片的輸入或運(yùn)行環(huán)境進(jìn)行控制，使安全芯片運(yùn)行行為出現(xiàn)異常，在這種情況下，通過(guò)分析芯片工作的異常行為，獲得芯片內(nèi)的密鑰等關(guān)鍵敏感信息。主動(dòng)攻擊常用故障注入的方式，包括電磁、激光、紅外、高電壓注入等測(cè)試方法。

被動(dòng)攻擊測(cè)試：測(cè)試者令芯片等密碼設(shè)備大多數(shù)情況下按照其規(guī)范運(yùn)行，甚至完全按照其規(guī)范運(yùn)行。在這種情況下，通過(guò)觀測(cè)芯片的物理特性（如執(zhí)行時(shí)間、能量消耗等），測(cè)試者可能獲得密鑰等關(guān)鍵敏感信息。被動(dòng)測(cè)試常用方式為側(cè)信道攻擊，包括分析芯片的時(shí)序、功率、電磁輻射等信號(hào)特征。

芯片的安全測(cè)試需要專業(yè)設(shè)備與專業(yè)人員，測(cè)試執(zhí)行方式主要包括非侵入式、半侵入式和侵入式三類，詳細(xì)情況見表格4：

表格4安全芯片安全測(cè)試方式

國(guó)家智能網(wǎng)聯(lián)汽車創(chuàng)新中心以信息安全實(shí)驗(yàn)室為依托，針對(duì)車載終端安全測(cè)試，已建設(shè)了全面的安全測(cè)試與驗(yàn)證能力。測(cè)試對(duì)象包括車載網(wǎng)關(guān)、T-BOX、ADAS和IVI等關(guān)鍵控制器等。測(cè)試項(xiàng)包含硬件安全、固件安全、密鑰安全、傳感器信號(hào)安全、數(shù)字證書安全和通信安全測(cè)試等。其中，芯片安全測(cè)試作為車輛終端安全測(cè)試的核心組成部分，測(cè)試對(duì)象主要包括各類車規(guī)級(jí)處理器以及相關(guān)的HSM芯片、安全存儲(chǔ)芯片和V2X安全芯片等，測(cè)試方法包括側(cè)信道攻擊測(cè)試、電流注入測(cè)試、電磁注入測(cè)試和隨機(jī)數(shù)發(fā)生質(zhì)量測(cè)試等，同時(shí)針對(duì)V2X安全芯片，可開展國(guó)密算法處理性能與協(xié)議一致性專項(xiàng)測(cè)試（部分測(cè)試環(huán)境如圖2）。通過(guò)以上測(cè)試，可評(píng)估車載安全芯片各項(xiàng)指標(biāo)與安全標(biāo)準(zhǔn)和安全需求的符合性與一致性，幫助企業(yè)發(fā)現(xiàn)芯片級(jí)安全缺陷、規(guī)避安全風(fēng)險(xiǎn)和完善產(chǎn)品功能，為車載安全芯片的發(fā)展以及國(guó)密技術(shù)在芯片中的快速落地提供相應(yīng)測(cè)試技術(shù)方法和保障。

圖 2 實(shí)驗(yàn)室芯片安全測(cè)試環(huán)境

審核編輯：郭婷