汽车安全：硬件安全策略的新方向

由于复杂设计和连接设备中的漏洞数量不断增加，考虑到硬件和软件中的潜在漏洞，以及扩展的全球供应链的完整性，硬件安全策略正在芯片设计流程中不断向前推进。

这些方法利用了软件修复问题的速度，以及硬件信任根和加密模块的有效性。但它们也代表了一种显著的心态转变，从硬件或软件特定的方法转向一种更全面的系统范围，从异构设计的起点到最终制造以及现场的监控和修复。

“过去我们有专门用于安全的硬件，”Intel产品保证和安全组副总裁Vivek Tiwari在最近的设计自动化会议上讨论时表示，“然后，是如何为软件提供硬件匹配以使软件更安全。如果软件出现问题，损害可以被控制。或者，你有一个缓冲区溢出。那是硬件扮演的传统角色。最近，由于一系列事件——包括2018年的Spectre和Meltdown——硬件的安全角色变得突出。非常聪明的研究人员开始关注硬件，这为他们打开了一条丰富的研究路线。随着研究人员的兴趣增加，整个生态系统对硬件的基础安全也产生了兴趣。今天，它回到了硬件-软件协同的基础——你期望什么——然后加固这些基础。”

随着软件质量的提高和新的内存安全语言和工具的广泛使用，更多的基于网络的软件攻击瞄准了底层硬件漏洞。Synopsys安全IP产品管理高级总监Dana Neustadter解释说：“硬件在系统安全中的重要基础作用也得到了越来越多的认可。这些因素提高了硬件安全在建立和维护整体系统安全中的重要性。此外，越来越多的法律法规，如最新的欧盟网络韧性法案、美国网络信任标志计划、汽车联合国法规R155，推动了从芯片到系统的正确安全设计。公司面临着评估其产品安全性并证明其保证、信任和合规性的压力，否则他们可能无法销售其产品，或者在发生数据泄露时可能会被处以巨额罚款。一个相关且非常近期的例子是，保时捷由于不符合联合国法规R155的网络安全保护要求，自今年7月1日起无法在欧盟销售其Macan、Boxter和Cayman车型。”

过去，许多人认为芯片是安全的。一般来说，人们认为问题在于软件。今天，问题可能在于两者之一，单独保护任何一个都是不够的。

“如果你想加速一些关键操作的硬件，你必须有一个随机差异，以便在验证它们之前存储秘密。”Rambus硅IP业务部门高级副总裁兼总经理Neeraj Paliwal说。“十年前，做半导体微控制器的人非常自豪地说，‘顺便说一下，我们在你的微控制器的软件堆栈中添加了安全性以保护它们。’然后他们开始说，‘我们在微控制器中添加了智能卡级别的安全性。’现在，不仅仅是硬件安全，而是防篡改硬件安全，因为在使其防篡改之前，仅靠硬件安全是不够的。”

这种篡改可以通过软件和硬件进行。“Marc Andreessen总是说，‘软件正在吞噬世界。’每个人都成了软件开发者，没有人再关心EDA或芯片设计了，”Cycuity首席执行官Andreas Kuehlmann说。“每个人都认为它在工作，而Spectre和Meltdown是一个巨大的警钟。人们意识到，要破解一个芯片，你不需要物理资产。这就是变化。在此之前，你可以攻击一个芯片。你可以打开它，你可以切开它。然后，当人们意识到你可以远程攻击一个芯片时，你就得到了来自拥有各种设备的高级国家实验室的攻击者。现在，你只需要下载一个脚本，远程做一些事情，攻击面大大增加了。”

安全专家的警告

安全专家们已经警告了几十年，但直到最近，只有那些拥有极高价值数据的人，才愿意为此买单——金融机构、政府和拥有商业机密的跨国公司。在其他情况下，这就像向一个基于稀少数据的行业销售保险，因为许多网络攻击的受害者不愿公开谈论它们，并且因为不同解决方案之间没有好的比较。

“可信平台模块已经被内置到商业PC/笔记本电脑中超过十年了，”Infineon Technologies连接安全系统部数字安全和身份副总裁Josef Haid说。“以前，硬件安全设备主要由非常注重安全的公司用作其产品的差异化因素。这种情况已经改变。由于内部需求和新兴的全球法规，硬件安全模块现在被更广泛地使用。”

攻击目标的变化是因为更多数据被数字化。“过去，硬件安全主要集中在保护设备内存储的高价值数据，通常是用于金融交易的加密密钥——本质上是数据的单向流动，”Siemens EDA的Tessent汽车IC解决方案总监Lee Harrison说。“今天，硬件安全已经发展到应对新的多维挑战，设备和系统更加互联，并具有广泛的高速接口。共享的数据量更大，通常包含敏感内容。此外，这些数据不再只是隐藏在设备内的静态数据，而是动态数据，实时共享。”

此外，这种数据流现在是双向的，所以硬件安全需要包括设备连接，这通常是最大漏洞所在。“这不仅是为了确保从设备提取的数据由可信来源进行，还要确保任何进入设备的访问也是可信的，不会篡改内部操作，”Harrison说。“此外，安全性如今通常是多层次的，过去是单层次的。这种多层次的方法提供了内部监控，以确保即使设备的接口被穿透，也能检测到任何异常活动并进行缓解。”

走向整体安全方案

随着硬件安全的发展，了解硬件和软件的不同威胁模型和最佳实践是至关重要的。通常，硬件安全侧重于保护物理组件免受篡改和物理攻击，而软件安全则通过代码检查来查找应用程序和操作系统中的漏洞。

“制定安全标准需要一种整合硬件和软件保护的整体方法，”TXOne Networks半导体市场开发总监Jim Montgomery说。“硬件的永久性带来了独特的安全挑战，在设计标准时起着重要作用，因为更新这些设备在大多数情况下是困难且昂贵的，更新软件安全性可以更灵活和适应新出现的漏洞和利用方式。”

此外，硬件在投入硅片后是不可变的，而软件和固件可以相对容易地更新。“此外，行业中硬件安全实践的成熟度平均低于软件，”Neustadter说。“所以，我们有机会将为软件开发的技术应用于硬件。硬件的不可变性意味着标准需要关注开发过程的早期阶段（架构和设计），以及硅前和硅后的验证最佳实践。”

然而，硬件安全带来了自己独特的挑战。首先，硬件的延迟比软件低，这就是为什么通常认为硬件安全是零延迟的原因。

“通常，硬件安全有自己的独立架构，因此不能通过访问功能系统进行篡改，这是一个巨大的优势，因为任何基于软件的系统通常会在作为攻击目标的功能硬件上运行，”Siemens的Harrison说。“软件确实有可修补的优势，因此可以在硬件的整个生命周期内轻松进行更新。出于这个原因，通常硬件安全中也会有一些小的软件元素，这允许在出现新的攻击向量和威胁时进行必要的调整。但要使任何系统具有全面的安全解决方案，它将是多层次的，并包含软件和硬件元素。就好比房屋的安全，软硬件相当于同时拥有防盗锁和安全摄像头，因为每个都带来了不同的安全元素来保护同一资产。”

解决方案因应用而异。“专用硬件设备的一个大优势是它被设计用于特定任务——保护安全相关凭证，”Infineon的Haid说。“为此，设计了一个专用安全芯片来防御复杂的攻击，并提供证书，例如共同标准。在系统中，这些安全芯片通常放置在MCU旁边，使设计人员能够进行易于使用的模块化设计。面向垂直行业的应用安全标准可以简单地参考所需的安全认证。”

另一方面，硬件的实现可能显著更昂贵，”美国空军首席科学家Victoria Coleman指出，当安全性在硬件中实现时，生态系统需要支持它，包括制定安全标准。

图1：更细致和复杂的安全架构。来源：Infineon

“实际上，即使理解安全标准的用途也是一个非常重要的考虑因素，因为我们对软件有广泛理解的共同标准，而当被问及这是否也需要硬件时，行业和政府对推进安全所需的标准类型和类别有很多困惑，”Coleman说。“其中一些我称之为‘制造’标准，而另一些是‘使用’标准，这些是非常不同的事情。它们需要结合在一起，但它们是不同的事情，并且每一个都有非常不同的内容。”

制造标准在设计流程中将安全性进一步向前推进。“一般来说，安全标准曾是我们在生命周期开始时担心的事情，”Coleman说。“但当涉及到政府时，一切都与制造有关。这几乎与设计无关，我们都在关注分布式安全区域以及如何构建这些东西，使坏人无法进入，忘记了实际上在许多方面，这是生命周期中最安全的部分，因为很少有人能接触到它。此外，像Intel这样的公司非常擅长保护制造过程。但然后你有这个开放的事情在开始和结束时，当你进行设计、测试和配置时，这是非常大的漏洞。所以当你考虑安全标准时，你需要考虑每个生命周期中的标准，以及我们如何共同努力以提供更好的整体安全性。”

这包括硬件和软件。“安全性在任何决策标准中始终是最薄弱的一点，”Cycuity的Kuehlmann说。“一切都是关于上市时间、开发成本、功能、功率和性能——它们都是冲突。如果每个人都诚实，那就是绝对的事实。安全性完全是关于业务风险管理，因为没有完美的安全性。所以这实际上是关于你愿意承担多少风险，因为像Spectre和Meltdown这样广为人知的事件。”

安全生命周期管理

安全性的一个大挑战是，今天构建的系统可能会在市场上存在数十年，具体取决于应用。因此，今天安全的东西在未来某个时候可能不再安全。

“产品在现场，这就是世界所依赖的，那么我们如何保护它们，”Intel的Tiwari问道。“相关法规能使它们安全吗？在这里，硬件与软件的差异是相当重要的。你不能现场修复晶体管，所以需要依赖固件更新，依赖内置在产品中功能。与软件不同，软件相对更容易进行补丁，软件可以立即部署，并直接到达最终用户或IT部门。如果你进行固件更新，就有一个生态系统。将固件更新交付给最终客户的笔记本电脑需要经过一个生态系统。这是硬件与软件不同之处，并且在谈论法规和规范化这个模型时需要牢记。”

在过去十年左右的时间里，围绕安全性已经出现了一整套最佳实践，首先是可接受的信任级别以及应该包含在安全标准中的内容。

“我们从零信任的概念开始，”Rambus的Paliwal说。“在今天开始更多本土化发展的环境中，我们将永远不会处于将所有东西都放在一个屋檐下的位置——即使是在代工厂。所以我们需要一种方法来插入一个独特且不可变的身份，然后跟随它。商业世界已经在这样做了。大型应用处理器公司每年出货量从2亿到30亿芯片，他们可以深入到特性管理，不仅仅是通过这些密钥和软件的OTA。解决方案已经存在，围绕零信任构建。这是一个独特的方式来看待供应链并建立完整性和保证。”

Infineon的Haid同意这一点。“建立信任在很大程度上取决于行业和应用的信任级别，”他说。“第一步是要明确成功攻击对用户、公司甚至公众的多重后果，例如对电力网络的成功攻击。基于这一评估和要实施的设备，应选择一个国际公认的安全方案，例如共同标准。”

零信任的概念已经使用了一段时间，并且为了实现系统组件之间的任何级别的通信，需要某种形式的身份验证。这也可以在硬件或软件中完成。“它确保系统免受多种类型的攻击，从中间人攻击到硬件造假，”Siemens的Harrison补充道。

这归结为确定要实施的安全级别，因为可接受的安全级别非常依赖于应用，需要作为产品安全目标设定的一部分来确定。“这些将取决于产品将运行的威胁环境、法规和认证要求以及被保护内容的价值，”Synopsys的Neustadter说。“安全标准通常可以分为两类：特定应用标准（例如汽车应用）；以及面向产品适用性或用途的标准。第一类标准可能对符合要求的产品施加特定要求。第二类标准不应，但应说明应用特定标准应如何建立其要求的原则，并可能提供指导或要求以声称特定级别的安全合规性。”

政府开始制定法规以确保在涉及安全关键系统的情况下采取安全措施，例如在汽车中。例如，欧洲有关于空中更新交付的UNECE WP155和156法规。更多的法规预期出台，即使在家中，控制关键家居系统时也是如此。

客户还要求提供安全认证支持，例如FIPS 140-3、共同标准以及汽车领域特有的ISO 26262功能安全和ISO 21434网络安全。即使在测试设计领域，这也在发生，因为这些工具由于技术需要访问设计中的所有触发器和状态元素，提供了显著的攻击面，Harrison说。

Haid看到了类似的客户需求。“几十年来，传统安全芯片一直根据国际标准（例如共同标准）进行认证。此外，行业特定的认证计划也受到客户的关注，例如由Arm在2018年建立的‘PSA认证’框架，以在共同安全基线下联合物联网和嵌入式生态系统。PSA特别用于MCU市场，使客户能够看到安全措施。”

半导体政府、行业和供应商之间也出现了一些联盟，以创建不同利益相关者如何互动的最佳实践。实际的法规可能更难建立，并需要更加集中。

“法规在整个行业中设定了统一的标准和要求，制造商和供应商必须遵守，”TXOne的Montgomery说。“保护基础设施是今天解决的主要问题之一。芯片制造已经存在数十年，设备的生命周期非常长。这导致了额外的风险和暴露在网络事件和有针对性的攻击中的关键空间中，因为软件和操作系统过时。在半导体行业发生的事件可能会产生全球影响，我们需要立即采取行动以确保半导体生态系统的保护和弹性。SEMI组织在推动这一倡议方面非常活跃，与半导体制造网络安全联盟（SMCC）合作。在SMCC中，有几个工作组正在解决这个问题并制定实施指南。E187、E188、欧盟网络安全法案、NIST网络安全框架、网络韧性法案（CRA）等标准都是行业的考虑因素，并且是该小组应用和实施指南的考虑因素。”

另一方面，没有任何法规或标准能保证系统完全安全。因此，法规和标准的作用是提供一种分析安全性的共同方法，Harrison说。

“半导体行业的一个角色是验证和验证芯片是否抗篡改和未授权访问，”Montgomery说。“在维持半导体产品完整性方面，先进的制造技术和安全供应链实践，例如采用安全启动过程和基于硬件的加密方法，至关重要。设计人员和制造商还需要利用硬件安全模块（HSM）和可信平台模块（TPM）等技术，这些技术可以将固有的安全特性直接嵌入芯片中，提供对物理和网络威胁的保护。同样重要的是持续的研究和开发工作，专注于推进安全技术和方法，使生态系统能够领先于潜在漏洞。”

确实，半导体行业在过去几十年中证明了能够提供安全芯片的能力，Haid说。例子包括用于支付和身份证件/护照的安全IC或TPM。这些是在安全认证的环境中生产的，并在交付给客户时配备了专用的安全凭证。

“近年来，安全法规、标准和最佳实践发布的速度很快，”Haid说。“因此，对于大多数行业来说，比十年前有更多具体要求。这是组织在更好的基础上做出设计决策的机会，安全专家需要做出这些决策。在这个背景下使用硬件安全是一些行业长期以来采取的方法。此外，使用专用安全IC来存储最安全相关的凭证，使设计人员能够以相对简单的方式对系统进行分区。”

结论

安全是一个有许多访问点的移动目标。不可能构建一个能够永远抵御国家级攻击的完全安全的芯片，但可以使其难以检索有价值的数据，以至于不值得花费精力。但这一切都需要付出性能、功耗和面积/成本的代价，在大多数情况下，安全性不是主要的业务目标。

“业务目标始终是主要的，”Cycuity的Kuehlmann说。“在汽车行业，主要的业务目标是安全。如果你能破解一辆车，你就有可能查看并驾驶它。对于社交网络公司来说，它是隐私。主要的业务目标在不同的行业中总是

不同的，并且根据这一点，安全的概念、信任的概念和风险承担的概念是不同的。”

尽管如此，现在越来越多的芯片制造商开始关注安全性。但要制定适用于每个设计或应用的一致公式或方法是不可能的，这给芯片的安全带来了一个可能持续多年的挑战。

关于零信任

零信任（Zero Trust）是一种现代安全模型，它基于以下原则：在不验证用户、设备或应用程序的身份之前，不信任任何人或任何事物，无论它们是在网络内部还是外部。这种方法与传统的安全模型形成对比，后者假定网络内部的所有内容都是可信的，而外部的内容则是不可信的。零信任模型要求始终验证每个请求，不论请求来源于内部还是外部网络。

零信任的核心原则

1. 永不信任，始终验证：默认情况下，不信任任何设备、用户或应用程序，即使它们在企业防火墙内。每次访问请求都需要进行身份验证和授权。

2. 最小权限访问：只授予完成工作所需的最低权限，限制用户和应用程序的访问权限，以减少潜在攻击面。

3. 细粒度控制：使用多因素身份验证（MFA）、设备验证、行为分析和实时监控等技术，以细粒度方式控制和审查访问请求。

4. 持续监控和验证：持续监控和验证用户、设备和应用程序的行为，检测和响应异常活动或潜在威胁。

零信任的实现

实现零信任模型需要多种技术和策略的结合，包括但不限于以下几个方面：

1. 身份和访问管理（IAM）：使用强身份验证方法（如MFA）和访问控制策略，确保只有经过验证的用户和设备才能访问资源。

2. 设备安全：确保接入网络的所有设备都是安全的，并且符合安全策略要求。这可能包括设备检测、合规性检查和设备隔离等措施。

3. 网络分段：将网络划分为多个小段，限制用户和设备只能访问他们需要的部分，以减小潜在攻击面。

4. 加密和数据保护：使用加密技术保护数据在传输和存储中的安全，防止未经授权的访问和数据泄露。

5. 持续监控和威胁检测：使用先进的监控和分析工具，实时检测和响应网络中的异常活动和潜在威胁。

零信任的优势

1.提升安全性：通过严格的验证和最小权限访问，零信任模型可以显著减少数据泄露和网络攻击的风险。

2. 提高灵活性：适用于远程工作和云计算环境，支持多种接入方式，同时保持高水平的安全性。

3. 简化合规：零信任模型可以帮助企业更容易地满足各种安全法规和标准的要求，如GDPR、HIPAA等。

零信任是一种全面且动态的安全策略，通过不断验证和严格控制访问，能够有效应对现代网络环境中的各种安全威胁。