來源:內容由半導體行業觀察(icbank)編譯自「eenews」,作者:Jason Oberg,謝謝。
您的汽車安全嗎?面對這個備受關注的話題,特斯拉發現了問題:黑客攻擊通常始於發現的一系列漏洞,這些漏洞為越過汽車的防禦體系創造了一條通路。
因此,當中國公司騰訊(Tencent)的研究人員透露他們可以通過特斯拉S的Wi-Fi連接漏洞,進入到其驅動系統,然後遠程激活車輛的剎車時,一連串的安全問題暴露了出來。在汽車芯片的整個設計週期中,很可能從體系結構級就開始引入了安全漏洞,其中安全體系結構中的基本缺陷(例如將啟動代碼存儲在不受保護的可寫SPI Flash中)可能會使系統遭受攻擊。
有缺陷的微體系結構設計還會使硬件容易受到攻擊(例如Meltdown和Foreshadow)。在RTL設計期間也可能引入漏洞,例如測試和調試電路中的意外後門,以及底層固件和軟件在配置和使用硬件方面的錯誤。
作為較大的驗證策略的一部分,常用的安全驗證技術(包括手動設計和代碼審查,形式驗證和基於仿真的功能驗證)很重要,但在芯片設計階段,還沒有提供可在所有階段應用的統一可擴展方法。
汽車安全開發週期
將安全性植根於硬件正在成為一種趨勢。在全球半導體聯盟(GSA)和麥肯錫(McKinsey)於2015年進行的一項調查中,半導體業高管將安全性列為物聯網(IoT)的重中之重,其中重點是汽車。這項調查還列出了先進汽車芯片中一些最易受攻擊的點。
長期以來,功能安全一直是OEM及其供應商關注的主要問題。但是,現在有了聯網的自動駕駛汽車,網絡安全帶來了其他設計挑戰。汽車工業即將出臺的標準ISO / SAE 21434旨在在汽車生命週期的各個階段提升安全保障,目的是確保人員和信息安全。該新標準將部分基於現有的Auto-ISAC(Automotive Information Sharing and Analysis Center,汽車信息共享和分析中心)最佳實踐指南。
汽車安全的Auto-ISAC最佳實踐指南涵蓋了關鍵的網絡安全功能。該指南概述了旨在降低網絡安全漏洞潛在影響的第一步的風險評估和管理策略。最佳實踐著重於識別、分類、確定優先級和處理可能導致安全和數據安全問題的網絡安全風險的流程。特別是,第4.3節提出了“設計安全”的最佳做法,包括:
在設計過程中識別並解決潛在的威脅和攻擊目標
分層網絡安全防禦以實現深度防禦
識別信任邊界並使用安全控制措施保護它們
作為組件測試的一部分,測試硬件和軟件以評估產品的完整性和安全性
此外,同樣由Auto-ISAC開發的ASDL(the Automotive Security Development Lifecycle,汽車安全開發週期)有助於確保在設計的早期階段就確定適當的網絡安全保護,此時,較低的實施成本和時間考量可能影響網絡安全的設計交互。這些可以用於包括芯片在內的汽車硬件的安全設計。
Auto-ISAC安全開發週期最佳實踐
Auto-ISAC ASDL涵蓋了整個車輛生命週期,包括開發前,開發中和開發後,所有這些都與硬件相關。
開發前:考慮到限制未來設計決策的現有系統架構,以及標準組織可能希望定義對於最終部署的SoC,ASIC或FPGA可接受和不可接受的網絡風險的類型。
圖1:Auto-ISAC安全開發生命週期
開發中:設計和開發是所有必需的網絡安全規範的綜合超集,可以在初始需求設計過程中根據硬件組件的功能為其量身定製。
需求:在產品需求階段,必須考慮SoC,ASIC或FPGA設計的哪些部分在開發週期的後期需要進一步的威脅建模(threat modeling),滲透測試或模糊測試。例如,您可能會提出要求,以確保採用適當的內存保護機制來保護客戶的數據。該階段用作確定在設計/架構階段需要進一步威脅建模的一種方式。
設計/架構:在此階段,重要的是對第一步中確定的對安全性至關重要的設計部分執行威脅建模。威脅建模是一個過程,它考慮攻擊者的適當功能,攻擊者要實現的目標以及如何使用可接受的資源量(金錢,時間等)執行攻擊。例如,攻擊者可能至少會通過簡單的嘗試從可能存儲關鍵信息、唯一ID或私人客戶數據的特權內存位置讀取數據來破壞內存保護。在此階段,應識別這種威脅,以在實施過程中加以預防。
實施:實施設計時,務必遵循上一步中提出的威脅模型。例如,在設計中已實現了硬件存儲器保護單元,以防止非特權軟件讀取受保護的存儲器區域,並且對設計進行了充分的測試以確保該功能。在這裡使用一些自動化硬件安全平臺非常有益,以確保實現基於威脅模型的安全功能,並且確保功能被安全地設計並且不會在系統中引入漏洞。
測試和驗證:這是流片或製造SoC、ASIC設計之前的最後階段。在此階段, 必須驗證所有已實現的安全功能確實為安全功能。手動檢查是這裡最常用的方法,但是自動硬件安全解決方案減少了執行此步驟所需的工作量。一旦拿到最終的芯片,根據您的威脅模型是否涵蓋對芯片的物理攻擊,執行模糊或滲透測試也很重要。
開發後:在此階段,製造商監視車輛,以解決在開發後出現的網絡安全問題,從而為汽車SDL流程的要求和設計階段提供反饋,以幫助持續改進安全性。
Auto-ISAC安全開發週期自動化
基於以上標準和規則,這裡介紹一款用於先進汽車芯片設計的開發工具,名為Radix。該方案可通過提供獨特的環境來指定安全屬性,然後使用Cadence,Mentor Graphics和Synopsys的標準SoC,ASIC和FPGA仿真軟件來檢測,以幫助Auto-ISAC防止安全漏洞。這些安全漏洞可能是由於系統架構、實施或系統集成錯誤所致。它在芯片設計前期進行部署,其專利技術和分析可幫助團隊在芯片製造之前識別並隔離嚴重的安全漏洞,從而節省了因攻擊而導致的昂貴的重新設計或災難性的系統故障。
圖2:Radix解決方案
如圖3所示,Radix能夠在最早的規劃階段指定安全需求,並能夠在設計、實施以及測試和驗證過程中有效地檢測和預防漏洞,因此非常適合ASDL硬件。
圖3:使用Radix自動化安全開發週期
結論
隨著越來越多的聯網汽車上路,惡意黑客將可以利用蜂窩網絡、Wi-Fi和物理連接存在的漏洞實施攻擊。若無法規避這些風險,則可能付出高昂的代價,包括對消費者的信心、個人隱私和品牌聲譽造成的影響。另外,芯片漏洞還可能增加產品上市時間,降低供應商的信任度,並導致代價高昂的訴訟、芯片召回,甚至整個項目流產。
新的行業標準ISO / SAE 21434,以及如Radix的創新開發環境,可以在流片和部署之前識別並防止安全漏洞。作為汽車安全開發生命週期的一部分,Radix還啟用了安全簽名方法,為汽車安全和設計團隊提供了一種可靠且有效的方式來驗證其芯片及硬件系統的安全性。
*免責聲明:本文由作者原創。文章內容系作者個人觀點,半導體行業觀察轉載僅為了傳達一種不同的觀點,不代表半導體行業觀察對該觀點贊同或支持,如果有任何異議,歡迎聯繫半導體行業觀察。
今天是《半導體行業觀察》為您分享的第2216期內容,歡迎關注。
★ 封測業的十年變遷
“芯”系疫情|AI|英偉達|華為|晶圓|CMOS|射頻|2020半導體市場
閱讀更多 半導體行業觀察 的文章
