Startseite > Distribution > Design-In > Cyber-Security in Automotive-Anwendungen

Funktionale Sicherheit im Halbleiter

Cyber-Security in Automotive-Anwendungen

31. Januar 2018, 14:15 Uhr | Von Martin Motz, Product Manager CPU von Rutronik

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

Anwendungsbeispiel SOTA

Kostspielige Rückrufaktionen zur Behebung von Softwareproblemen in den Fahrzeugsteuereinheiten veranlassen Fahrzeughersteller dazu, verstärkt über Möglichkeiten nachzudenken, Software-Updates über die Luftschnittstelle „Software Update Over The Air“ oder kurz SOTA durchzuführen. Neben den eingesparten Rückrufkosten ermöglicht die Mobilverbindung zum Fahrzeug und die Download-Fähigkeit neuer Software über diese Kommunikationsschnittstelle das Angebot neuer Funktionen und Anwendungen. Dedizierte Security-Lösungen (Bild 3) bieten hardwarebasierte Sicherheitsmechanismen für die unterschiedlichen Funktionen in einer SOTA-Anwendung im Fahrzeug an.

Die Fahrzeug-Architektur für SOTA kann – neben der Ende-zu-Ende-Kommunikation zwischen OEM-Server und Ziel-Steuereinheit – über drei Steuereinheiten implementiert werden, in denen unterschiedliche Security-Lösungen die jeweiligen Sicherheitsfunktionen übernehmen: Telematik-Steuergerät, zentrales Gateway und Ziel-Steuereinheit. Über die Funkverbindung werden in der Telematik-Einheit die Authentifizierungs- und Verschlüsselungsdienste aktiviert und dann die übertragenen Daten vom OEM mittels eines sicheren Protokolls empfangen bzw. entschlüsselt. Für diese kritische Authentifizierungsfunktion wird die Implementierung eines dedizierten TPM-Sicherheitscontrollers empfohlen, um die sicherheitskritischen Schlüssel und Zertifikate zu schützen.

Anschließend wird das Software-Update im Zentralspeicher des Fahrzeuges abgelegt. Nach der Authentifizierung des OEM und Verifizierung im zentralen Gateway werden die entsprechenden Datenpakete für die Steuerungseinheiten entpackt. Jetzt beginnt der eigentliche Update-Vorgang mit der Programmierung, wobei die Daten-Pakete in kleinen Blöcken zu den ECUs gesendet werden. Innerhalb der Steuereinheiten werden die Datenblöcke entschlüsselt, dekomprimiert und über den Secure Flash-Bootloader neuer Code in den Flash-Speicher der Ziel-Steuereinheit geschrieben. Der Secure Flash-Bootloader ist ein wichtiges Element für den SOTA-Prozess innerhalb der Steuerungseinheit. Die wesentlichen Sicherheitsfunktionen werden beispielsweise vom HSM im Aurix-Mikrocontroller ausgeführt: sicheres Booten, Authentifizierung, Ent- und Verschlüsselung, Schlüssel-Management und Integritätsüberprüfung. Die Autorisierung für den Flash-Zugriff verhindert unerlaubte Schreib- und Lesezugriffe auf den Flash-Speicher. Der Flash-Zugriff wird vom HSM nur nach erfolgreicher Authentifizierung des zentralen Gateways und nach Senden eines entsprechenden Programmierbefehls erlaubt. Nach erfolgreicher Verifizierung des Updates wird dies zum Update-Server gemeldet. Am Ende des Update-Modus wird das Fahrzeug mit allen ECUs neu gebootet bzw. gestartet.

[Fazit

Moderne Halbleiter ermöglichen Fahrzeugsicherheitssysteme mit hoher funktionaler Sicherheit und Cyber-Security, die sowohl das Fahrzeug als auch die Insassen und Verkehrsteilnehmer schützen. Optimiert für spezifische Anwendungen, stehen 32-bit-Mikrocontroller mit integrierten Hardware-Sicherheitsmodulen, SIM-Controller und spezielle TPM-Sicherheitscontroller als auch zugehörige Softwarepakete zur Verfügung. Dadurch können die jeweiligen Schutzmechanismen an die Sicherheitsanforderungen einer bestimmten Anwendung angepasst werden. Der Einsatz bewährter Krypto-Algorithmen wie AES und ECC sowie die Einhaltung von Standards wie SHE, EVITA und TPM senken das Risiko und den Integrationsaufwand für OEMs, deren Lieferanten und Sublieferanten.