MIPI CSI-2 und Cybersicherheit
Auch Embedded-Vision-Anwendungen erfordern Security
Heutige Anwendungen von Embedded-Vision-Systemen benötigen lückenlose Cybersecurity. Doch welche Designanforderungen sollten bei der Entwicklung sicherer Embedded-Vision-Systeme berücksichtigt werden? Und was trägt die in solchen Systemen gängige MIPI-CSI-2-Schnittstelle dazu bei?
Die Fortentwicklung der Bildsensortechnologie ermöglicht eine Vielzahl neuer Anwendungen, die fortschrittlichere Bildsensorik in kleineren Gehäusegrößen, mit deutlich geringerem Stromverbrauch und zu niedrigeren Kosten nutzen. Zu den Anwendungsbeispielen gehören Fahrzeuge, die mit Hilfe von Kameras sowie Radar- und Lidar-Sensoren autonomer werden, Drohnen für die Luftüberwachung, die über die Sichtverbindung hinaus eingesetzt werden können, Industrieroboter, die mit Hilfe hochauflösender Bildverarbeitung in Echtzeit Qualitätskontrollen durchführen können, sowie fortschrittliche endoskopische medizinische Bildgebungsgeräte, die eine schnellere Diagnose und Behandlung ermöglichen.
Warum müssen Imaging-Systeme sicher sein?
Bei den neuen Anwendungsfällen für Imaging-Systeme wird schnell deutlich, dass viele dieser Systeme vor Sicherheitsbedrohungen geschützt werden müssen. In sicherheitskritischen Systemen in Automobilen beispielsweise müssen die Bildsysteme im Zusammenhang mit Fahrerassistenzsystemen und autonomem Fahren vor Risiken wie dem Einbau minderwertiger oder nicht zugelassener Bildsystemkomponenten, der böswilligen Manipulation von Bilddaten und der Verletzung der Privatsphäre der Insassen geschützt werden.
Ähnlich verhält es sich in Fertigungslinien, in denen Industrieroboter Bildverarbeitungssysteme für die Qualitätskontrolle und die automatisierte Logistik einsetzen. Hier müssen die Systeme vor Sicherheitsrisiken geschützt werden, die sich auf die Produktionsqualität und den Ertrag auswirken könnten, sowie vor Datensicherheits-Verletzungen, die Industriespionage ermöglichen könnten. Weitere Beispiele umfassen die Gebäudeautomatisierung, medizinische Geräte, die Luftfahrt, das Verkehrswesen, die Energienutzung und vieles mehr.
Wesentliche Designanforderungen für sichere Embedded-Bildverarbeitungssysteme
Um die aufgezeigten Risiken zu verringern und praktische sowie kostengünstige Systementwürfe zu ermöglichen, sollten bei der Entwicklung sicherer Embedded-Imaging-Systeme die folgenden Designanforderungen berücksichtigt werden:
1. Ende-zu-Ende-Datenschutz – Bilddaten müssen von der »Datenquelle« in jedem Bildsensor bis zur »Datensenke« in der entsprechenden ECU des Sensors integritätsgeschützt sein. Dies begünstigt die Sicherung auf der Anwendungsschicht (im Gegensatz zur Sicherheit auf der Multi-Hop-Verbindungsschicht), die eine durchgängige Datenintegrität unabhängig vom zugrunde liegenden Kommunikationsnetz ermöglicht.
2. Komponentenauthentifizierung – Komponenten innerhalb des Bildverarbeitungssystems müssen vertrauenswürdig sein, was die Fähigkeit (durch das Steuergerät) erfordert, Bildsensoren und die wichtigsten Kommunikations-Netzwerkkomponenten, die zur Verbindung der Sensoren verwendet werden (z.B. SerDes-Brücken), zu authentifizieren.
3. Datenverschlüsselung – Besteht die Gefahr der Datenexfiltration bzw. des Datendiebstahls aus dem Bildverarbeitungssystem, sollte eine Ende-zu-Ende-Datenverschlüsselung angewendet werden, auch hier wieder zwischen der »Datenquelle« innerhalb jedes Bildsensors und der »Datensenke« innerhalb der entsprechenden ECU des Sensors.
4. Sichere Befehls- und Steuerungsschnittstellen – Die Befehls- und Steuerungs-Schnittstellen (Command and Control) von Sensoren müssen gesichert werden, um Risiken durch falsch konfigurierte Sensoren zu minimieren.
5. Standardisierte Systeme – Bewährte, von der Industrie geprüfte Sicherheitsprotokolle und -standards müssen in automobilen Bildgebungssystemen zum Einsatz kommen.
6. Minimaler Daten- und Energieaufwand – Bildsensoren erzeugen große Datenmengen und sind hitzeempfindlich. Es ist von entscheidender Bedeutung, dass die Sicherheit mit einem minimalen Daten-Overhead arbeitet, um die Bandbreite des Bordnetzes nicht zu überschreiten, und dass strenge Vorgaben für den Stromverbrauch und die Wärmeabgabe des Bildsensors eingehalten werden. Zur Optimierung des Systemdesigns sollten fortschrittliche quellenselektive Sicherheitstechniken genutzt werden, etwa ein partieller Datenintegritätsschutz, bei dem das Schutzniveau je nach Kritikalität der in jedem Bild gesendeten Daten variiert wird.
7. Netzwerkunabhängige Sicherheit – Um die Komplexität des Designs von Bildsensor-Kommunikationsnetzwerken zu minimieren, ist es notwendig, Kameras in verschiedenen Netzwerktopologien zu verbinden, etwa in einer Daisy-Chain- oder Baumstruktur. Dies erfordert von der Netzwerktechnologie unabhängige Sicherheitsmaßnahmen, die auf der Anwendungsebene implementiert werden und unabhängig von der Technologie und den Komponenten des Kommunikationsnetzes (SerDes-Brücken, Weiterleitungselemente usw.) sind.
Anforderungen an das Sicherheitsdesign
MIPI Camera Serial Interface 2 (MIPI CSI-2), ein Protokoll für schnelle Bilddatenübertragung zwischen Bildsensoren und Anwendungsprozessoren, ist die gängige Kamera-Schnittstelle für Embedded-Imaging-Anwendungen. Um den Sicherheitsanforderungen und Designüberlegungen innerhalb eingebetteter Bildverarbeitungssysteme, die CSI-2 verwenden, gerecht zu werden, hat die MIPI Alliance ein neues Camera Security Framework entwickelt.
Das flexible Framework, das auf anerkannten und branchenüblichen Sicherheitsprotokollen beruht, ermöglicht die Authentifizierung von Bildsensoren und Netzwerkkomponenten, den Integritätsschutz und die optionale Verschlüsselung von Bilddaten sowie den Schutz der Befehls- und Steuerungs-Schnittstellen von Sensoren. Das Framework sorgt für quellenselektive, anwendungsbasierte End-to-End-Sicherheit innerhalb von Bildsensoranwendungen, wie in Abbildung 1 dargestellt.
Das Camera Security Framework umfasst vier Spezifikationen:
1. MIPI Camera Service Extensions (MIPI CSE) v2.0 – enthält Sicherheitsfunktionen, die den Schutz der Datenintegrität und die optionale Verschlüsselung von CSI-2-Daten ermöglichen. Dies ist eine Ergänzung zu den funktionalen Sicherheitsdiensten, die in CSE v1.0 bereitgestellt werden.
2. MIPI Camera Security v1.0 – definiert das System-Sicherheitsmanagement von MIPI CSE und MIPI CCISE unter Verwendung der SPDM-Architektur (Security Protocol and Data Model) der DMTF (Distributed Management Task Force) zur Authentifizierung und zum Aufbau sicherer Übertragungen zwischen Bildverarbeitungssystem-Komponenten.
3. MIPI Camera Security Profiles v1.0 – definiert eine Reihe gemeinsamer Sicherheitsprofile, mit denen Interoperabilität ermöglicht wird, einschließlich der Festlegung von SPDM-Authentifizierungsmechanismen.
4. MIPI Command and Control Interface Service Extensions (MIPI CCISE) v1.0 – definiert Sicherheitsdienste, die den Schutz der Datenintegrität und die optionale Verschlüsselung der MIPI-CCI-Schnittstelle (Command and Control) auf der Basis von I2C ermöglichen. Diese Spezifikation befindet sich derzeit in der Entwicklung und wird demnächst fertiggestellt.
Das Framework lässt sich überall dort einsetzen, wo das CSI-2-Imaging-Protokoll verwendet wird, und ist unabhängig von der zugrunde liegenden Übertragungsschicht. Es bietet ein hohes Maß an Flexibilität, um das erforderliche Sicherheitsniveau mit der Verarbeitungseffizienz, der Wärmeregulierung und dem Stromverbrauch in Einklang zu bringen. Folgende Funktionen innerhalb des Frameworks ermöglichen dies:
• Wahl der Cyphersuites – Die Optionen umfassen eine »Effizienz«-Chiffre, die nur AES-CMAC-Datenintegrität (keine Verschlüsselung) bietet und für Sensoren mit begrenzten Hardware-Ressourcen gedacht ist, sowie eine »Leistungs«-Chiffre, die AES-GMAC-Datenintegrität und optional AES-CTR-Verschlüsselung bietet und für Sensoren mit spezieller Hardware-Unterstützung gedacht ist.
• Unterschiedliche Tag-Modi – Mehrere Optionen für Sicherheits-Tag-Modi ermöglichen es dem Implementierer, zu wählen, wie oft das Sicherheits-Tag berechnet und übertragen wird.
• Granulare Sicherheitsfunktionen – Diese Kontrollelemente bieten eine hochgranulare, quellenselektive Kontrolle über die verschiedenen Segmente des CSI-2-Bildrahmens, um eine gleitende Skalierung von Sicherheitsstufen zu ermöglichen.
• Safety und Security – Wenn sowohl Security- als auch Safety-Erweiterungen aktiviert sind, wird die Security über die Safety geschichtet – aus Sicht der Quelle (oder des Senders) wird die Security zuerst auf die Bilddaten angewendet, gefolgt von der Anwendung der Safety.
Weitere Informationen über das MIPI Camera Security Framework stellt die MIPI Alliance am Beispiel der hohen Kamera-Sicherheitsanforderungen im Automotive-Bereich in dem neuen Whitepaper »A Guide to the MIPI Camera Security Framework for Automotive Applications« bereit.
Lesen Sie mehr zum Thema
