在上一篇文中，我們了解到車輛信息安全Cybersecurity 國(guó)際標(biāo)準(zhǔn)ISO21434以及完整的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估流程。這一篇就來(lái)聊聊大家實(shí)際關(guān)心的話題：Cybersecurity 在 MPS 產(chǎn)品上的一些應(yīng)用和實(shí)例。

針對(duì)上一篇提到的潛在風(fēng)險(xiǎn)案例，在芯片層面衍生出了各種各樣的保護(hù)機(jī)制。比如在硬件層面，可以通過植入各種各樣的篡改保護(hù)和一些嵌入式的只讀內(nèi)存去保證硬件的寄存器不被修改； 在軟件層面，可以通過生成公用和私用密碼，以及數(shù)字簽名去保護(hù)芯片與芯片之間的通信不會(huì)被破解，而且也可以避免通信不會(huì)被篡改，從而影響到我們所預(yù)期的芯片行為。

1那么問題來(lái)了，芯片是怎么做保護(hù)的呢？

MPS在Cybersecurity上建立了完善的分析流程，以從ISO21434的角度給客戶提供支持 。首先，我們可以從系統(tǒng)方面進(jìn)行分析，去確定在客戶應(yīng)用場(chǎng)景中MPS的芯片可能會(huì)面臨什么樣的外部威脅，然后確定這些威脅所造成的危害風(fēng)險(xiǎn)等級(jí)。

電源管理芯片通常只是整個(gè)系統(tǒng)的一個(gè)部分，對(duì)系統(tǒng)造成的影響有限，所以我們?cè)谶M(jìn)行評(píng)估的時(shí)候，會(huì)將系統(tǒng)的風(fēng)險(xiǎn)定級(jí)為中等或者是低。

圖一：系統(tǒng)的風(fēng)險(xiǎn)定級(jí)

但有些電源管理芯片會(huì)給核心單元供電，這些硬件被入侵的可能性不能被忽略，還是建議通過有效的加密手段，保護(hù)核心工作性能，保護(hù)用戶的人身和財(cái)產(chǎn)安全。

以汽車的相機(jī)模組為例，比如一輛車在自動(dòng)泊車期間，相機(jī)的供電芯片突然被入侵了，導(dǎo)致輸出關(guān)機(jī)、相機(jī)不工作、檢測(cè)不到周圍情況，那可能會(huì)導(dǎo)致車子跟其他車輛發(fā)生碰撞，從而對(duì)人員安全，財(cái)產(chǎn)造成損害。 MPS新一代研發(fā)的相機(jī)的電源管理芯片MPQ70XXX，就使用了一種特殊的密碼保護(hù)，去防止黑客進(jìn)行關(guān)鍵計(jì)算機(jī)的修改，同時(shí)我們還可以保證利用簡(jiǎn)化后的數(shù)字簽名加入通信數(shù)據(jù)的方式去保證數(shù)據(jù)傳輸?shù)耐暾?，也就是相機(jī)ECU發(fā)出的信號(hào)，完整地被我們芯片接收。

如此既可以保證芯片滿足ISO21434的標(biāo)準(zhǔn)，另一方面簡(jiǎn)化了相比主流通信加密的復(fù)雜度，使得芯片可以被更廣泛的接受。

除了安全機(jī)制的應(yīng)用，我們還會(huì)對(duì)于系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行再一次的分析，這種分析主要是專注于攻擊可行性是否被我們的安全機(jī)制有效降低。

2MPS 完善的 Cybersecurity 分析流程

MPS的分析評(píng)估主要包含5個(gè)方面，第一個(gè)是黑客可用的攻擊窗口是不是被成功減少了，第二個(gè)是采取進(jìn)行攻擊所需要的專業(yè)知識(shí)水平，第三，我們芯片可用信息的獲取程度，第四，是否可以通過抓住可用的時(shí)間窗口去進(jìn)行攻擊，最后是進(jìn)行攻擊所需要的一些專業(yè)工具。

通過這一系列的分析得出結(jié)論，然后應(yīng)用密碼寫入保護(hù)機(jī)制，把它的攻擊可行性從中等降到了低。

除了去符合ISO21434，還需要去確定其他方面的一些合規(guī)性，比如說(shuō)我們的研發(fā)流程需要去進(jìn)行權(quán)威機(jī)構(gòu)的信息安全認(rèn)證，我們的IT 系統(tǒng)需要有很好的保密機(jī)制，以防黑客通過社會(huì)工程學(xué)去黑進(jìn)我們公司內(nèi)部，并獲取相應(yīng)的產(chǎn)品機(jī)密信息。

其次，系統(tǒng)在應(yīng)用這些安全機(jī)制之后，還要進(jìn)行各種各樣的安全測(cè)試，比如說(shuō)穿透測(cè)試，去證明我們的安全機(jī)制在系統(tǒng)層面確實(shí)是有效的，并且有效地增加了被攻擊的難度。

經(jīng)過這些一系列的安全測(cè)試以后，車輛的信息安全問題將會(huì)提到大大的提高。