CALTERAH | 加特兰白皮书系列 | 加特兰汽车雷达安全子系统方案（一）

在智能汽车的浪潮中，安全问题日益成为行业关注的焦点。加特兰推出《加特兰汽车雷达安全子系统方案》白皮书，解析汽车网络安全的发展趋势，深入探讨雷达系统面对的安全挑战，并提供创新的汽车雷达安全防护策略。本白皮书覆盖从汽车雷达芯片硬件到软件、从标准到实践的多维度视角，旨在为业界提供智能汽车雷达网络安全的深度洞察与实用策略参考。

本文介绍《加特兰汽车雷达安全子系统方案》白皮书第一部分，包含以下内容：

1.汽车网络安全趋势

2.雷达面临的安全攻击威胁

3.加特兰汽车雷达安全子系统方案

4.加特兰安全固件支持

5.加特兰网络安全认证

1. 汽车网络安全趋势

伴随着汽车的智能化和网联化，汽车从本地的独立设备变化为网联设备，攻击面日益增大，攻击所产生的后果也日益严重，已经能够威胁到汽车的驾乘安全以及车辆乘员的人身安全。因此车辆的网络安全也日益成为一个严重的问题。它不仅成为了整个汽车行业的问题，也危及到了国家安全。

表1 汽车网络安全相关法规标准

国内和国际都针对该问题出台了众多的法规和标准，来定义、解决和规范该领域的相关问题。国外相关的法规标准有UN/WP29、ISO 21434和TISAX等，而国内也相继出台了《智能网联汽车生产企业及产品准入管理指南》、《车联网（智能网联汽车）网络安全标准》和《汽车整车信息安全技术要求》等各种法规标准。这些法规标准自2017年开始起草，并且已经或者即将作为强制性标准和推荐性标准，在国内逐步进行颁布实施。因此整个行业为应对法规标准以及潜在的安全威胁攻击，都纷纷在进行相关方案的设计开发和实施落地。

2. 雷达面临的安全攻击威胁

雷达设备作为汽车智驾系统的重要传感器，其网络安全严重影响汽车的安全，其影响的范围不仅仅包含网络安全，同时也涉及功能安全。

图1 汽车系统中的雷达架构

假如从系统整体的角度分析雷达系统，系统的潜在资产可以分为：雷达和其他系统之间的通信、系统镜像文件和数据、系统秘钥。

2.1 雷达和其他系统之间的通信

雷达和其他系统之间的通信包括数据报文通信、诊断的命令控制字、更新的数据包等。因此，针对这些报文可能产生如下攻击：

对报文进行侦听，以了解报文的详细内容，例如雷达的detection list等。
对通信数据进行篡改，以发送特殊的命令去控制或者破坏系统。

2.2 系统镜像文件和数据

系统的镜像文件包括bootloader、application image等各种系统软件组件。黑客一般会通过以下方式对镜像文件进行攻击：

对镜像文件进行分析，以发现系统中可能存在相关的漏洞，并试图利用漏洞。
通过系统升级等方式刷新镜像包，以便植入后门。
对在线系统进行篡改，以便获取系统控制权。

系统的数据文件作为系统在线运行时产生的实时数据，其安全风险可能会导致：

黑客通过恶意篡改配置文件等对系统的行为进行修改。
黑客通过修改本地数据文件等对云端进行攻击，例如日志数据等。

2.3 系统秘钥

密码学作为网络安全的基础技术，其安全的核心在于密钥的安全。密钥的不安全可能会导致系统的整体安全遭到破坏，例如镜像文件的篡改、通信报文的泄露等。因此，黑客往往会把获取密钥作为系统的第一要务。其典型的攻击包括以下：

从系统中抽取密钥，包括但不限于对称和非对称密钥。这些密钥可能被用于系统镜像文件的加密、通信报文的加密等。通过获取密钥，黑客能够反向破解和侦听系统，得到直接可被利用的信息或者可被间接利用的信息。如果存在部分全局可被利用的密钥，其攻击效果可被扩散至不同车辆乃至不同车型上，其造成的攻击危害会远远增大。
向系统中植入密钥，或者修改本地的其他密钥，以便完成密钥的篡改。
利用系统的漏洞，间接调用密钥，以达到解密或者其他目的。

图2 汽车雷达系统的安全资产、风险与应对措施

针对这些攻击，从整车和零部件的角度要提供各种应对措施，以消弭或者减少系统面临的潜在风险，例如安全车载通信（Secure Onboard Communication， SecOC)、安全升级、安全诊断、调试接口保护、安全启动以及底层的密钥管理、硬件加速、防侧信道攻击（Side Channel Attack，SCA）等措施。

3. 加特兰汽车雷达安全子系统方案

通过对于资产的枚举和威胁的分析，可以知道雷达设备面临的风险类型较为繁多。因此，如何确保雷达设备的安全已经成为一个系统性问题。

针对此问题，首先需要为系统构建初始的安全状态。该安全状态包括一个完整的可信程序以及对应的密钥系统。密钥系统中包含合适的密码学算法、合理的密钥管理系统。应用可以利用该密钥系统构建初始的安全边界。伴随着时间的迁移，系统可能会暴露出更多的风险和漏洞，同时由于应用的要求，系统也可能面临升级等各种状态的变迁。由于每个系统的初始状态是安全的，在确保密钥不会被泄露的前提下，雷达系统可以通过已有的可信程序去验证和确保系统的变迁不会产生变化。

基于以上的方法论，雷达系统的安全措施可以进行多层分解。雷达系统自身涵盖了从硬件、系统到应用软件等各个层级，因此其整体设备的安全需要各个方面的共同协作。

图3 汽车雷达安全系统的四层级

从整体系统的角度，加特兰提供了一个能够为固件、数据、通信报文等资产提供完整防护能力的硬件芯片及相关软件能力，原生支持密码学硬件加速器、密钥生成和管理、安全启动等各种特性，为上层的系统级安全、安全通信提供了完整的支撑能力。用户可以基于这些特性增加自身系统级的特性，例如安全诊断、安全升级、SecOC等各种特性功能，并对上层App进行应用级加固，以达到整体系统级的安全目标。

图4 加特兰完整雷达安全防护

如图4所示，加特兰的安全IP为雷达赋能，提供了完整的安全防护能力：

密码学硬件加速器

加特兰提供了各种不同的对称、非对称、杂凑（Hash）、随机数生成（RNG）等算法，用于支持不同安全功能场景和满足不同的性能要求。

调试接口保护

芯片支持调试接口保护，以确保调试接口在SOP后不会被恶意滥用。

固件加密

系统固件可被加密，确保固件不会被进行逆向工程（Reverse Engineering）以发现相关的漏洞。

密钥生成和管理

系统可以支持密钥对的本地生成、安全存储、访问控制和销毁等完整生命周期的管理，以确保密钥能够被合法使用。

安全启动

芯片原生支持系统镜像启动过程中的校验，以确保系统镜像不会被篡改和替换。

抗侧信道攻击

芯片针对侧信道攻击专门开发了各种防护措施，以防止黑客通过功耗等方式进行攻击。

4. 加特兰安全固件支持

针对雷达芯片的应用，加特兰开发了能够支持AUTOSAR CP的套件，支持加特兰全系芯片的完整驱动。

该套件包括了一套完整驱动、外部软件的Demo Code和相关其他软件，能够支持包括安全通信、安全诊断、安全升级、安全密钥灌装等不同上层应用场景。在AUTOSAR CP方面，套件支持标准AUTOSAR CP 4.4及以上的版本。同时，它能够基于EB的IDE，支持HSM套件的配置功能，从配置方面为用户大大减少代码开发的人力和时间成本。

图5 加特兰雷达芯片安全固件

5. 加特兰网络安全认证

加特兰于2022年6月开始启动ISO/SAE 21434:2021《道路车辆–网络安全工程》（以下简称 “ISO/SAE 21434”）标准的汽车网络安全管理体系建设和认证流程，并在2023年6月正式通过德国莱茵TÜV评估，获得ISO/SAE 21434体系认证，成为目前国内半导体行业率先获得该认证的芯片公司，标志着加特兰具备了网络安全开发和管理方面的能力。目前，加特兰在多个项目中实施符合ISO/SAE 21434的网络安全开发工作，能够为汽车行业的网络安全实施提供底层能力和完整的管理支持能力。

图6 加特兰汽车网络安全管理体系认证