在汽车级芯片RH850和R-Car中实现安全启动的信任根第1部分:安全启动的概念及重要性
自从1960年后期将微处理器引入车辆架构以来,现代汽车的复杂性呈指数级增长。车辆计算机最初用于电动控制燃油喷射,现在可以控制现代车辆的各个方面,从加热座椅到半自动驾驶。现在的汽车上有100多台车载计算机,执行超过1亿行代码。从复杂性的角度来看,1亿个接近小鼠等小动物的DNA碱基对总数(人类大约有33,000亿个碱基对)。未来的自动驾驶汽车将有超过3亿行代码。
随着这种日益增加的复杂性,网络安全是汽车设计中一个持续关注的问题。随着更多的驾驶控制权交给计算机,网络安全事件的影响变得更加复杂。为了让事情变得更具挑战性,安全架构师需要在隐私和安全与功能安全要求之间取得平衡。为了安全和保障,车内运行的代码必须是真实的和不变的。这就是安全启动的用武之地。安全启动回答了“在执行之前我如何知道软件是真实的?”和“我如何知道软件在执行前未被更改?”的问题。本文RENESAS将介绍安全启动的概念以及为什么需要它。
安全启动是现代多层嵌入式系统安全的基础第一步。安全启动是一种安全机制,通过它在执行前验证软件的完整性和真实性。换句话说,安全启动允许在启动嵌入式设备时检测(并可能禁止执行)不真实或修改过的软件。安全启动降低了攻击者在设备中获得持久性的能力。
在最基本的层面上,如果预期的软件与预期的不一致,将执行一组定义的制裁。制裁可能包括禁止访问加密密钥或外设、重置CPU或执行回退或设备恢复程序。虽然在最高层次上,这个概念似乎很简单,但要确保安全启动正常工作,涉及到许多步骤。
建立信任根
为了执行安全启动,需要一个“信任根”。这基本上为所有进一步的步骤建立了基本事实,并将信任链锚定到不可变的东西上。“信任根”,有时被称为“信任锚”,植根于设备硬件的不可变部分。虽然实现这一概念的方法有多种,但通常都有两个关键特征:1)必须能够安全地控制复位向量。2)复位向量指向的代码必须是安全的。
执行复位的常用解决方案包括以下内容:
• 无法更改的固定掩码ROM
• 已经编程和锁定的一次性可编程(OTP)代码闪存
• 在以受保护内存为引导核心的专用安全核心上执行软件
第一个代码块必须执行安全启动逻辑。其目标是为下一个启动阶段的系统做准备并进行验证。这个关键的代码块必须经过严格的审核,并且复杂度保持在最低。作为系统中不可更改的一部分,这部分代码中的任何漏洞或缺陷往往只有通过硬件的完全替换才能修复。
验证软件映像
构建安全启动实现的下一步是验证软件映像。通常有两种不同的方法用于在安全启动中检查真实性和完整性。选择的方法基于设计要求或启动时间等因素。
方法一:使用对称算法进行安全启动验证
验证启动代码的一种方法是使用称为消息认证码的密钥对称加密算法。如果硬件设备具有用于所用算法的加速器,则该方法的优点就得到了实现。使用CMAC或HMAC算法可以缩短启动时间。此解决方案的最大挑战是加密密钥和参考MAC的存储。用于对称算法的私钥需要安全地存储在受保护的安全环境中(如HSM)。此外,由于同样的密钥用于MAC生成和MAC验证,默认情况下不提供不可否认性。为了克服这个缺点,密钥可以被配置为具有MAC生成或仅由硬件实现的验证属性。
方法二:使用非对称算法进行安全启动验证
在此方法中,代码使用非对称加密算法(也称为公钥加密)进行验证。非对称算法基于称为单向函数的数学问题。 两种流行的解决方案是RSA和ECDSA。虽然底层数学和算法不同,但两种解决方案都依赖于公钥和私钥对。
要验证映像,映像必须由签名机构使用私钥进行签名。这是在设备之外完成的。在设备上,安全启动代码使用公钥验证映像。由于密钥是公共的,而且私钥不能很容易地从公钥的知识中获得,所以公钥的隐私不是必需的。虽然不需要公钥的私密性来保证密钥的安全性,但系统仍然必须确保公钥不能在未经授权的情况下被修改或替换。
1、签名生成
为了生成签名,需要根据输入数据计算消息摘要。这通常是在嵌入式设备之外的企业设置中创建的。签名者用自己的私钥对消息摘要进行加密。加密后的摘要称为签名。签名的类型取决于算法和填充方案(如RSA-PSS)。原始映像数据和签名被编入设备。
2、签名验证
签名验证是根据代码签名验证数据的完整性和真实性的过程。验证涉及计算数据的消息摘要并将其与解密签名中收到的摘要进行比较。
建立信任链
在进行安全启动时,有几种方法可用于构建信任链。选择的策略主要由启动时间要求驱动。
执行安全启动的最简单方法是整体方法,其中整个映像由第一阶段启动验证。虽然干净简单,但由于启动时间要求,整体启动很少在现实世界中起作用。通常,嵌入式设备需要在上电复位后的几毫秒内启动并执行其主要任务。在这些情况下,必须采取分阶段的方法。
更高级的解决方案允许部分执行和验证并行运行。这在多核系统上最为常见。
随着映像大小和复杂性的增加,加密硬件加速器成为满足时序要求的必要条件。
制裁
到目前为止,只讨论了验证通过时的一般流程,但是如果其中一个阶段验证失败会发生什么?在这种情况下,需要实施制裁。系统设计人员必须决定在验证阶段失败时要做什么。 根据阶段和其他系统要求,可能会发生一种或多种可能的制裁:
1)系统复位
2)以降低的权限执行下一阶段
• 例如,禁止使用加密密钥或某些外围设备
3)执行替代的验证应用程序
• 将执行更改为回退或替代应用程序
• 这种情况在OTA或诊断更新失败的情况下特别有用
4)停留在当前启动阶段
如何更新软件?
所以知道安全启动将确保应用程序是真实的和不变的,但是如何解决新(真实)软件更新的需要?软件更新允许新功能并允许修复错误和安全漏洞。关键是能够保护这些更新。 已发布软件的签署需要成为生产软件开发的构建/发布过程的一部分。解决此过程的复杂性和安全性并非易事。
结论
1)安全启动是创建安全信任链系统不可或缺的一部分
2)它提供:
• #1 - 身份验证(未经授权的映像不允许运行)
• #2 - 完整性(应检测“篡改”的映像)
3)它通常使用:
• 数字签名
• 确保身份验证和完整性
• 私钥 -> 用于签名
• 公钥 -> 用于验证
• (可选)映像/数据加密
• 用于保密
• 用于防克隆/伪造
4)当验证失败时,应用制裁
5)安全启动需要与软件更新策略共存
- |
- +1 赞 0
- 收藏
- 评论 0
本文由天星翻译自Renesas,版权归世强硬创平台所有,非经授权,任何媒体、网站或个人不得转载,授权转载时须注明“来源:世强硬创平台”。
相关推荐
移远通信率先通过ISO/SAE 21434汽车网络安全管理体系认证
近日,移远通信车载前装BU获得了ISO/SAE 21434汽车网络安全管理体系认证证书,表明移远通信车载前装BU的网络安全风险管理满足了产品从概念设计、开发、生产、运营到售后维护的全生命周期的要求,具备为汽车厂商和Tier1供应商提供高质量、高安全的合规车载产品和解决方案的能力。
Newsight Imaging推出高精度CMOS图像传感器,可用于自动驾驶汽车的激光雷达、ADAS安全系统、AFS
Newsight Imaging的CMOS图像传感器已经融入到移动领域的许多应用中,并参与到汽车行业的伟大创新中。一些现有应用使用Newsight Imaging的高灵敏度、高精度图像传感器,用于自动驾驶汽车的激光雷达、ADAS安全系统、自适应前照灯系统。
地平线通过德国莱茵TÜV ISO/SAE 21434 汽车网络安全管理体系认证
地平线通过德国莱茵TÜV《ISO/SAE 21434道路车辆-网络安全工程》(以下简称“ISO/SAE 21434”)汽车网络安全管理体系认证,表明地平线的产品研发、采购、生产、运维等全生命周期流程完全满足ISO/SAE 21434网络安全管理体系的要求。
LX Semicon电机驱动器&MCU选型表
LX Semicon电机驱动器&MCU选型表包含32位通用MCU、2ch H-桥电机驱动器、三相电机驱动器三个品类,主要包含以下参数,Operating Temperature(℃):-40℃ ~ 85℃;Power (V):3.9 to 5.5V、2.7 to 5.5V、Max.20V、Max.28V;competitor:Toshiba、Renesas、TI。
|
产品型号
|
品类
|
封装/外壳/尺寸
|
Power (V)
|
Grade certification standard
|
competitor
|
External High Speed OSC(MHz)
|
External Low Speed OSC(KHz)
|
Operating Temperature(℃)
|
Maximum Frequency(MHz)
|
SRAM(Kbyte)
|
|
SW31100
|
32位通用MCU
|
LQFP 64
(10*10, 0.5pitch)
|
3.9 to 5.5V
|
IEC 60730 supported
|
Toshiba
|
10MHz
|
32.768kHz
|
-40℃ ~ 85℃
|
35MHZ
|
12 Kbyte
|
选型表 - LX Semicon 立即选型
【经验】Silicon Labs蓝牙芯片AES加密算法在网络安全上的应用实践
本文通过实际应用仔细讨论芯科科技(Silicon Labs)在数据加密应用的安全方法,并以EFR32BG22C224F512IM40这款蓝牙芯片上应用加密算法库mbed TLS来讨论AES算法在网络安全上的实践方法。
探讨晶体振荡器在自动驾驶汽车中的关键应用领域以及晶体振荡器是如何发挥重要作用的
随着自动驾驶汽车技术的迅速发展,许多关键组件的性能直接影响着车辆的安全性和可靠性。在这些组件中,晶体振荡器发挥着至关重要的作用,确保各种电子系统的精确运行和协调。本文将探讨晶体振荡器在自动驾驶汽车中的关键应用领域以及晶体振荡器是如何发挥重要作用的。
【仪器】信而泰重磅发布面向语音、视频、数据应用及网络安全的BigTao U1测试模块
XINERTEL信而泰BigTao U1 L4-7测试板卡是信而泰最新推出的面向语音、视频、数据应用及网络安全的测试板卡,通过精确仿真数百万的真实终端用户的网络访问行为,对单个应用层感知设备如(Firewall/IPS/IDS/WAF/DPI)等或整个系统进行压力和性能测试。
服务推荐 | 钛和网络安全服务,助力EN 18031标准下的硬件产品合规
凭借标准的深刻理解以及网络安全领域的专业能力,钛和网络安全服务能够依据EN 18031系列标准提供RED网络安全一站式服务,覆盖从咨询、测试、认证支持到培训服务,帮助企业理解并满足标准要求,顺利进入欧洲市场。
OX03F10 300 万像素豪威科技扩充用于汽车观测摄像头的图像传感器系列,提供更高的300 万像素分辨率和更强的网络安全性产品简介
描述- 豪威科技推出新型OX03F10 300万像素图像传感器,专为汽车观测摄像头设计。该传感器具备高分辨率、网络安全功能和优秀的LED闪烁抑制能力,适用于高级驾驶员辅助系统和自动驾驶车辆。
型号- OX03F10-B84Y-001A-Z,OX03F10
信而泰防火墙安全测试解决方案:为网络安全保驾护航
在当今数字化时代,网络安全至关重要。防火墙作为网络安全的第一道防线,其性能和可靠性直接影响到网络的安全性。信而泰提供的防火墙安全测试解决方案,旨在通过全面的测试流程,确保防火墙能够高效、准确地执行其安全任务。
【元件】Coherent推出点阵投射器模块,面向消费电子产品、机器人和自动驾驶汽车领域深度传感应用
COHERENT高意近日宣布推出点阵投射器模块,专门面向消费电子产品、机器人和自动驾驶汽车领域的深度传感应用;该产品各型号点数介于600-13000,,即便在高亮度户外照明条件下,也能以宽角度、大深度范围捕捉整个场景,并同时维持低功耗。
【技术】罗杰斯分享自动驾驶汽车毫米波雷达设计趋势及PCB材料解决方案
这篇文章就将简要说明毫米波雷达的一些应用场景,设计趋势;以及就毫米波雷达天线设计中的关键PCB材料的选型考虑、PCB材料的关键特性等方面来展开讨论。
钛和漏洞扫描解决方案,为网络安全构筑稳固防线
面对日益严峻的网络安全形势,为企业解決安全漏洞管理之痛,钛和网络安全服务推出漏洞扫描解决方案,帮助企业和产品升级网络安全,防范风险。漏洞扫描解决方案漏洞扫描是一种基于漏洞数据库的安全检测行为,通过扫描远程或本地计算机系统,主动发现潜在的安全风险。它广泛应用于信息系统的安全建设和维护工作中,是评估与度量系统风险的基础手段,对于提升信息系统的整体安全性具有重要意义。
【应用】TVS用于保护自动驾驶汽车通信模组、高速以太网络、HDBaseT、CAN和LIN总线系统
本文介绍TVS二极管/TVS二极管阵列用于保护自动驾驶汽车“车辆对车辆(V2V)”和“车辆对基础设施(V2I)”通信模块、高速以太网络、HDBaseT、CAN和LIN总线系统等,Littelfuse SM24CANB TVS二极管阵列等器件可保护CAN和LIN数据线免受ESD和其它过电压瞬变的影响,汽车HDBaseT数据线可以采用低电容TVS二极管阵列AQ2555NUTG来进行ESD保护。
自动驾驶汽车激光雷达散热,金菱通达导热凝胶XK-G40大有可为:不固化、不垂流、不外溢,服役寿命超过10年
在自动化驾驶技术日益成熟的今天,激光雷达作为车辆“双眼”的重要组成部分,其性能直接影响到自动驾驶汽车的安全性和可靠性。为了确保激光雷达在各种复杂环境下的正常工作,高效的热管理方案显得尤为重要。金菱通达导热凝胶XK-G40在自动化驾驶汽车激光雷达散热应用中表现出色,成为了众多工程师的首选。
电子商城
现货市场
授权代理品牌:集成电路
授权代理品牌:分立元件
授权代理品牌:接插件及结构件
授权代理品牌:部件、组件及配件
授权代理品牌:电源及模块
授权代理品牌:电子材料
授权代理品牌:仪器仪表及测试配组件
授权代理品牌:电工工具及材料
授权代理品牌:机械电子元件
授权代理品牌:加工与定制
我要提问
登录 | 立即注册
提交评论