新一代MCU如何提升车联网汽车安全性

加密功能

加密系统是用于保持汽车网络内部通信总线数据传输完整性、可靠性与保密性的最有效方法之一。利用加密功能，可能是阻止利用通用CAN破解机制发动攻击的最佳手段。这意味着任何单个设备都应该具有自己的加密模块或者应该把这些功能委托给一个独特的综合单元，该单元可以加密和解密汽车内部传感器与激励器之间交换的任何信息。

HSM模块可以提供多种加密功能，因为它采用一个密码通道控制器来管理一个TRNG（真随机码生成器）和一个MPAES（微处理器先进加密标准）。

当设备进入故障分析阶段时，就必须解除某些保护机制，以便对可能的问题进行分析。乍看起来，这种配置似乎会给打破安全保护创造条件，并允许修改嵌入固件，把设备设置到现场设备阶段，以便与原始系统相连。但是，可以利用几种反制性保护措施来应对这种情况。这些措施包含在"寿命终止保护"机制之中，可以在CAN和FlexRay总线传输完全中断的情况下恢复上述情形，如E-fuse保护机制，而且可以选择无限地循环运行BAF启动辅助闪存。

E-fuse机制可在特定闪存测试模式启用时在设备内部留下永久的证据。由于这种操作是不可逆转的，因此通过这种方式，就很容易检测设备的状态，并永远保持在故障分析模式下，使其不可能回到DCF现场状态。

HSM硬件安全模块代表对于安全需求、反侵入控制和数据加密的最全面答案。车内信息娱乐设备数量不断增加，如控制公路交通事件以及提供撞车及天气预报信息的设备等，使得这些安全功能变得非常关键。

HSM模块是嵌入在ASIC中的一个SoC系统芯片，它由一个100MHz内核、带有MPU的一个数据交叉开关以及一个中断控制器构成。该100MHz内核具有专用本地RAM和预留的代码与数据闪存。HSM模块拥有一个HSM/HOST接口用来与MCU内部的其它内核交换数据和指令，交换以安全和自动的方式进行。此外还具有一个C3模块（加密通道控制器）。HSM用于控制MCU功能，但也控制所有的加密功能，因为它包含一个内部模块C3，C3集成了一个真随机数生成器和一个MPAES模块。除了安全启动和调试界面访问控制之外，它最重要的功能是密钥生成随机数，并执行所有的加密与解决功能。

如前所述，CAN总线当初设计并没有追求太高的安全性，因为它不能保证传输保密性，而且是以广播模式发送信息。它不能保证传输数据的可靠性与完整性，加密信息则可以满足车内传输总线的要求。采用非对称与对称密钥算法，可实现传输数据的保密性、完整性和可靠性，而HASH功能如数字签名或者MAC（信息验证码）可提供数字签名来鉴别数据发送人，或者提供一个CMAC（密码信息鉴别码）来发出安全启动。所有的加密与解决功能，以硬件方式实现，并给予CAN通信总线所需的带宽，不至于让主CPU过载。

这些将用于下一代汽车的半导体器件是新型MCU，如意法半导体的SPC57EM80、SPC574K72和SPC572L64.它们是嵌入在电子设备中的安防硬件措施，可以阻断外部与内部攻击者的非法操纵和未经授权的侵入，专注于实施这种多层架构。这些硬件保护机制能够提供强大的保护措施，防止他人非法访问MCU内部数据，而加密功能可以成功地用于汽车的CAN传输总线。