使用ARC SEM130FS处理器满足新车规SOC的安全防护需求

Synopsys ARC 处理器 IP 产品营销经理 Omar Cruz

随着硬件和软件的进步,智能汽车每一代都在进步。以往看似遥不可及、只属于未来的功能(从自动刹车到自动驾驶功能)如今即便不是标准配备,也是触手可及的。然而,随着车辆架构的发展,在片上系统 (SoC) 层面上解决保护 (security) 和安全问题的方式也必须不断发展。

汽车的连接性和复杂性正在日益增加。通过空中下载 (OTA)、5G 连接和车对车通信,越来越多的数据在汽车、服务器和基础设施之间移动,从而面临被黑客或攻击者截取宝贵信息的潜在威胁。

联网汽车的攻击可能有多种形式(图 1)。例如,攻击者可以从具有漏洞的无钥匙汽车系统中获取独特的“密钥”信息,让汽车更容易被盗窃;手机连接到汽车信息娱乐系统,汽车可能被黑客通过下载到手机上的病毒进行攻击;或安全性较差的汽车芯片可以运行在测试或调试模式下,允许具有物理访问权限的未授权用户获得对系统的增强权限。在车辆中添加网络安全保护用于保护汽车电子系统、通信网络、控制算法、软件、用户和基础数据免受恶意攻击、损坏、未经授权的访问或系统操纵。

高度互联的车辆为黑客提供了许多攻击面

图 1:高度互联的车辆为黑客提供了许多攻击面(来源:https://i0.wp.com/idstch.com/wp-content/uploads/2020/04/vehiclecybersecurity.jpg)

此外,几乎所有汽车芯片现在都需要具备一定程度的功能安全能力。满足车辆电气/电子系统中的功能安全标准,有助于确保一切按照预期正常运行,同时保护乘客。满足 ISO 26262 标准的要求,有助于确保“不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险”。为了满足 ISO 26262 功能安全标准,设计人员需要解决系统故障和随机(永久或瞬态)硬件故障。

系统故障适用于硬件和软件,而且是在硬件和软件模块的开发过程中被引入。系统故障可以通过严格的 IP/SoC 开发过程来予以防范。另一方面,在设备的生命周期内,无法预测随机硬件故障何时发生。永久性随机故障在其发生后会一直持续存在(或至少持续到修复),例如,α 粒子引起的位翻转。任务期间执行的冗余和连续检查可内置到系统中,以减少随机故障。

由于不断演变的安全威胁,再加上新标准和市场要求,令设计人员正在寻找一条清晰的路径,将保护和安全功能融入其 SoC 中。然而,新设计的复杂性意味着,将功能安全特性和保护特性作为互不相关的功能进行添加,可能无法得到最佳解决方案。开发用于安全攸关和网络安全汽车应用的 SoC,需要从一开始就防止恶意攻击和具备功能安全特性。从设计阶段和处理器选择两方面来满足这两个功能,将使新一代的安全与可靠 (security) 的汽车成为可能。

安全和保护处理器

各公司都需要全面处理新汽车 SoC 的安全与保护问题。SoC 需要保护系统免受恶意攻击,同时防止系统性和随机性故障,并满足最严格的功能安全要求。

Synopsys ASIL D 合规 DesignWare® ARC® SEM130FS 安全与保护处理器 IP,帮助设计人员保护安全攸关的系统免受软件、硬件和测信道攻击。处理器的 ASIL D 合规性涵盖随机(瞬态和永久性)硬件故障和系统故障,并提供一套全面的汽车文档。ARC MetaWare 安全工具包(带有 ASIL D Ready 认证的编译器)用于产生符合 ISO 26262 标准的代码(图 2)。

 

Synopsys ARC SEM 130FS 安全与保护处理器框图

图 2:Synopsys ARC SEM 130FS 安全与保护处理器框图

ARC SEM130FS 安全与保护处理器的保护 (security) 功能

ARC SEM130FS 安全与保护处理器为嵌入式应用提供集成的保护功能,防止来自逻辑、硬件和物理的攻击,同时具备高性能和最低功耗。

防止逻辑篡改

SEM130FS 处理器提供一系列功能,以提供硬件强制的软件安全性,包括可信执行环境的硬件实现,堆栈和代码保护的内存保护单元,以及为 SoC 设计增加灵活性的安全自定义指令。这些逻辑保护功能包括:

  • SecureShield® 技术:让系统设计人员能够开发可信执行环境,并通过内核和用户的安全和正常模式,以隔离安全相关操作和标准核心操作(图 3)
  • 增强型安全内存保护单元 多达 16 个可配置的受保护区域,每个区域包含一个定义为安全或正常的内存单元(MPU 区域)。安全 MPU 区域只能在安全操作模式下访问,而正常 MPU 区域可以从正常和安全操作模式下访问
  • 可选堆栈保护:可进行编程以检查预留堆栈空间溢出或下溢的硬件
  • 可选代码保护:可以阻止对各个内存区域的读取或写入访问的硬件和外部引脚
  • 可选安全相关自定义指令:以可信模式运行的协处理器,可提高设备性能、效率,同时降低功耗

物理篡改对策

乍一看,在汽车领域中的物理攻击可能并不像远程攻击那么重要。然而,在汽车 SoC 设计中,物理攻击对策是强制性的,原因有几个。测信道攻击是一种物理攻击,其中潜在敏感信息可以通过监测来自汽车中存在的电子设备的信号来获得或攻击者通过调试端口来访问汽车系统。ARC SEM130FS 处理器提供一组保护功能,以避免物理篡改攻击:

  • 测信道攻击保护:提供统一的指令时序和时序/功率随机化,增加对简单和功率差分析的抵抗力
  • 故障注入攻击检测和保护:提供数据和指令路径完整性检查
  • 安全调试:支持 ARC SEM 安全处理器调试端口的显式解锁,实现安全或正常访问
  • 定制的在线指令和数据扰乱:保护客户算法免受逆向工程和 IP 盗窃
  • 看门狗定时器:检测与篡改相关的系统故障并启用对策

ARC SEM130FS 处理器的功能安全性

除了广泛的安全功能外,ARC SEM130FS 安全与保护处理器还通过提供符合 ASIL-D 标准的解决方案,以及汽车环境中所需的所有必要的挂钩和安全机制,简化了安全攸关应用的开发,并加速了汽车 SoC 的 ISO 26262 认证。其中包括了以下关键功能:

  • 预先验证的双核锁步处理器:基于低功耗 SEM 安全处理器的安全实现
  • 安全监视器:提供监控以确保主核和影子内核保持锁步操作
  • 错误检测和纠正逻辑 (ECC):处理紧密耦合存储器上的数据和地址错误
  • 集成看门狗定时器:启用对策以帮助从死锁情况中恢复

超越处理器 IP

DesignWare ARC SEM130FS 处理器以及其他 DesignWare ARC 功能安全处理器,不仅提供了处理器 IP 本身,也通过支持全面的安全文档简化 SoC 认证流程。Synopsys 提供的一些安全文档包括:

  • Synopsys IP 业务部门质量管理体系 (QMS) 的质量手册
  • 设计故障模式和影响分析 (DFMEA),聚焦于避免潜在的系统故障
  • 故障模式、影响和诊断分析 (FMEDA) 聚焦于随机硬件故障(包括永久和瞬态故障)指标的评估
  • 安全手册,包括适用情况、内部和外部安全机制和使用假设的描述
  • 相关故障分析 (DFA),涵盖常见故障和级联故障(如适用)
  • 安全案例报告,指出 Synopsys 将在内部用作审查和评估一部分的证据参考
  • 包含 ASIL B 随机硬件故障和 ASIL D 系统故障的 ISO 26262 评估报告。由 Synopsys 内部独立功能安全小组执行此评估,并生成报告

为了补充 DesignWare ARC 处理器已经强大且完整的安全与保护解决方案,ARC SEM130FS 安全与保护处理器还被 MetaWare for Safety 工具包所支持,该工具包有助于开发符合 ISO 26262 标准的软件。MetaWare 编译器工具链已通过 ASIL D 认证,提供安全手册和安全指南,可帮助开发人员满足 ISO 26262 标准的要求,并为安全攸关系统的合规性测试做好准备。

结语

汽车 SoC 中的安全与保护功能组合现已成为下一代趋势,以应对针对潜在恶意攻击的新汽车网络安全要求,并减少功能安全中的系统和随机故障。为了确保这些联网汽车按预期运行,应从设计/硬件阶段全面构建安全与保护功能。

Synopsys DesignWare ARC SEM130FS 安全与保护处理器 IP 提供符合 ASIL-D 标准的处理器,可避免系统故障和随机故障,同时提供所有安全保护功能,以实现可信执行环境、测信道抗攻击能力和物理篡改检测,以满足下一代汽车设计的新要求。DesignWare 系列处理器还为 SoC 开发人员提供了一套全面的功能安全文档和一个经过 ASIL-D 认证的编译器,以便开发符合 ISO 26262 标准的软件,而不是只提供处理器 IP。