引言
自计算机和网络出现以来,信息安全和数据安全一直是系统设计人员和用户最关心的问题。多年来业界广泛研究保护系统和网络免受各种形式的攻击,比如针对关键信息的损坏/泄漏和未经授权的访问。计算机系统中的软件攻击也得到了广泛的分析,主要基于密码措施的信息安全已在各种应用程序中进行了部署。并提出了各种各样的解决方案,包括静态认证和动态执行监控。
汽车网络安全相较于传统互联网安全需要额外关注硬件安全,本篇将简要介绍硬件安全与信任问题。
什么是硬件安全?
硬件安全性的研究相对较新,因为硬件传统上被认为是不受攻击的,因此被用作系统的信任锚或“信任根”。然而,在过去的三十年中,各种安全漏洞和对硬件的攻击屡见不鲜。
早期,主要关注加密芯片中导致信息泄漏的可利用漏洞。然而,电子硬件生产中的新兴趋势,如基于知识产权(基于IP)的片上系统(SoC)设计,以及电子组件制造和分销的长分布式供应链导致了芯片制造商对设计和制造步骤的控制减少,同样引起了许多日益增长的安全问题。这包括在不受信任的设计公司或代工厂中对集成电路的恶意修改(硬件木马攻击)。
其他示例包括侧信道攻击,其中可以通过测量和分析侧信道的物理信号来提取芯片的秘密信息,例如功率、信号传播延迟和信号波;逆向工程、伪造、对IC的微探针攻击、对PCB中的迹线或组件的物理篡改、PCB中的总线窥探以及通过测试/调试基础设施对特权资源的访问。它们跨越硬件组件的整个生命周期,从设计到报废,跨越所有抽象层次,从芯片到PCB再到系统。这些攻击、相关漏洞和根本原因及其对策构成了硬件安全领域。
硬件安全的另一个重要方面:通过硬件设计、实施和验证实现软件堆栈的安全可靠运行。它负责保护存储在硬件中的敏感资产免受恶意软件和网络的攻击,并在安全和不安全的数据和代码之间提供适当级别的隔离,此外还提供多个用户应用程序之间的隔离。这一领域的两个主要方向如下:
(1)可信执行环境(TEE),例如ARM的TrustZone、Intel SGX和Samsung Knox,它在机密性(观察数据的能力)、完整性(更改数据的能力)和可用性(合法所有者访问特定数据/代码的能力)方面保护应用程序的代码和数据免受其他不受信任的应用程序的影响。机密性、完整性和可用性称为CIA要求。它们构成了在硬件平台上安全执行软件的三个重要支柱。这些需求的建立是通过硬件-软件联合机制来实现的,其中硬件为这种隔离提供架构支持,并促进加密功能的有效使用,软件提供有效的策略和协议。
(2)通过适当实现安全策略(如访问控制和信息流策略)来保护SoC中的安全关键型资产,满足对这些资产的CIA要求。
图1. 硬件安全和信任范围
硬件安全与硬件信任
硬件安全问题源于其自身对不同级别(如芯片或印刷电路板)的攻击的脆弱性,以及缺乏对软件和系统安全的强大硬件支持。另一方面,硬件信任问题源于不受信任的实体参与硬件的生命周期,包括不受信任的品牌方或计算机辅助设计(CAD)工具供应商,以及不受信任的设计、制造、测试或分销设施。他们都能够破坏硬件组件或系统的可信性。它们可能会导致偏离预期的功能行为、性能或可靠性。信任问题经常导致安全问题,例如,不可信的品牌供应商可能在设计中包含恶意植入,这可能导致拒绝服务(DoS)或现场操作期间的信息泄漏攻击。然而,信任问题也可能导致其他事件,例如不良的参数行为(例如,性能或能效降低)、可靠性降低或安全问题。全球供应链的演变和半导体商业模式使硬件信任问题变得更加重要。反过来,也正在推动信任验证和信任保证硬件设计方面的新研究。
什么导致硬件信任问题
图2. 电子硬件设计和测试流程的主要步骤
上图显示了IC生命周期的主要步骤。它始于设计公司创建设计的功能规范(如数据压缩、加密或模式识别)和参数规范(如工作频率或待机功率)。接下来,它经历一系列的设计和验证步骤,其中设计的高级描述(如架构级描述)被转换成逻辑门,然后转换成晶体管级电路,最后,进入物理布局。在此转换过程中,验证设计是否具有正确的功能行为以及性能、功耗和其他参数约束。然后将版图转移到制造设备,该设备为版图创建掩模,然后经过一系列复杂的光刻、蚀刻和其他步骤来生产“晶圆”,通常是圆形硅盘,包含一批集成电路。然后使用特殊的测试模式单独测试晶圆中的每个 IC 是否存在某些缺陷。在这个阶段,IC 被称为“裸片”。然后用金刚石锯从晶片上切割这些管芯,并组装到由陶瓷或其他材料制成的封装中。
然后在制造测试设施中使用另一组测试模式测试封装的管芯或 IC 是否符合功能和参数特征。确保不符合功能或参数规格的缺陷芯片被丢弃并且不会进入供应链。在 IC 开发过程的早期阶段,此步骤用于识别和调试设计错误,并将有关已识别错误的信息反馈给设计团队,以便进行适当的纠正。复杂 IC 的测试和调试过程通常通过在设计中加入专门的结构来促进,分别称为测试设计 (DFT) 和调试设计 (DFD) 基础设施。
插入这些结构的主要目的是提高设计中内部节点的可控性和可观察性,这些节点很难从制造的芯片中访问。然而,它固有地产生了与安全目标的冲突,安全目标旨在最小化这些节点的可控制性和可观察性,使得攻击者不能容易地访问或控制内部电路节点。例如,通过 DFT/DFD 接口直接访问处理器中嵌入式内存的读/写控制可以帮助攻击者泄漏或操纵存储在内存受保护区域中的敏感数据。
图3. IC 生命周期中每个阶段的攻击向量和对策
通过制造测试的芯片然后进入供应链进行分销。在当前的商业模式中,大多数 OEM 从供应链中获取这些芯片,然后将它们集成到 PCB 中,将固件或配置比特流安装到 COTS 组件中,并创建一个完整的系统。这种漫长的硬件开发周期涉及多个不受信任且分布在全球各地的第三方供应商和设施。
图4. 硬件安全问题发展历程
结语
汽车网络安全攻防相较于传统互联网信息安全攻防中攻防链路、攻击手法更加深入底层对抗。攻防思路需要突破固有的软件层、系统层攻防视角局限延伸到硬件安全层面。
原文始发于微信公众号(汽车信息安全):外宣 l 第二届SAE汽车网络安全Workshop 硬件安全篇
