基于硬件的Soc實(shí)時(shí)監(jiān)測解決方案

摘要

片上系統(tǒng)（SoC）集成了所有的計(jì)算部件，為當(dāng)今的物聯(lián)網(wǎng)（IoT）提供動(dòng)力，包括車聯(lián)網(wǎng)和自動(dòng)駕駛汽車（CAVs）。它們的全球連接性和計(jì)算資源使它們?nèi)菀资艿酵ㄟ^各種載體的網(wǎng)絡(luò)攻擊，包括有線（如CAN、LIN）和無線（如藍(lán)牙、Wi-Fi）通信。因此，CAVs代表了一個(gè)重大的網(wǎng)絡(luò)安全挑戰(zhàn)。雖然目前的軟件監(jiān)控解決方案無法檢測到網(wǎng)絡(luò)攻擊，但卻沒有基于硬件的解決方案來實(shí)時(shí)監(jiān)控整個(gè)SoC的運(yùn)行情況。在本文中，提出了一個(gè)包含SoC現(xiàn)場可編程門陣列（FPGA），部署了一個(gè)獨(dú)特的硅知識產(chǎn)權(quán)（IP），包括專用的分析CPU（中央處理器），不僅可以智能地監(jiān)測SoC本身，還可以平行地實(shí)時(shí)監(jiān)測汽車內(nèi)部網(wǎng)絡(luò)。該解決方案已經(jīng)針對三個(gè)汽車相關(guān)的侵權(quán)案例進(jìn)行了測試，突出了控制器區(qū)域網(wǎng)絡(luò)（CAN）和高級可擴(kuò)展接口（AXI）總線網(wǎng)絡(luò)的漏洞。結(jié)果表明，所提出的解決方案有能力成功地檢測和阻止汽車領(lǐng)域的網(wǎng)絡(luò)攻擊。

I.簡介

現(xiàn)代汽車由多個(gè)聯(lián)網(wǎng)的計(jì)算機(jī)組成，被稱為電子控制單元（ECU），以實(shí)現(xiàn)一系列的功能和特性，包括駕駛和動(dòng)力系統(tǒng)控制、連接、傳感和車身模塊。這些ECU通過包括CAN在內(nèi)的車載網(wǎng)絡(luò)相互連接。因此，現(xiàn)代汽車是網(wǎng)絡(luò)物理系統(tǒng)（CPS）的一個(gè)實(shí)例。由于連接性（通過各種接口）和復(fù)雜性（設(shè)計(jì)和功能）的結(jié)合，現(xiàn)代汽車也受到了網(wǎng)絡(luò)攻擊。隨著傳感器、執(zhí)行器和設(shè)備的相互連接的趨勢，現(xiàn)代汽車往往具備能夠與外界進(jìn)行有線（如通用串行總線（USB））或無線（如藍(lán)牙、WiFi、蜂窩）通信的接口。因此，現(xiàn)代汽車中嵌入的各種計(jì)算系統(tǒng)不能再被視為一個(gè)封閉的網(wǎng)絡(luò)，針對嵌入式汽車網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊的機(jī)會(huì)已經(jīng)成為現(xiàn)實(shí)。已經(jīng)有事實(shí)表明，一些網(wǎng)絡(luò)攻擊如果被破壞，會(huì)嚴(yán)重影響車輛的安全。

在過去的十年中，針對汽車的網(wǎng)絡(luò)攻擊數(shù)量明顯增加。

攻擊包括入侵車輛的各種安全關(guān)鍵系統(tǒng)，如剎車失靈，停止引擎和關(guān)掉前燈，所有這些都使人的生命受到嚴(yán)重威脅。因此，有必要加強(qiáng)CAVs的操作彈性，以盡量減少其對安全關(guān)鍵的物聯(lián)網(wǎng)系統(tǒng)的影響。然而，現(xiàn)有的軟件監(jiān)控解決方案受到一些限制。首先，它們通常需要數(shù)百毫秒的時(shí)間來處理來自傳感器的數(shù)據(jù)。這對于可能對避免事故至關(guān)重要的安全關(guān)鍵型應(yīng)用來說太慢了。第二，它們非常明顯更容易受到黑客攻擊。第三，它們的實(shí)施是侵入性的，干擾了CAV的正常運(yùn)行。最后，由于其數(shù)據(jù)訪問量有限，它們無法監(jiān)控整個(gè)系統(tǒng)。

另一方面，基于硬件的SoC監(jiān)控方法可以提供適當(dāng)?shù)慕鉀Q方案以克服這些限制，因?yàn)樗鼈兙哂蟹乔秩胄院瓦\(yùn)行時(shí)可配置性。例如，西門子已經(jīng)開發(fā)了一套獨(dú)特的硅IP，可以實(shí)現(xiàn)基于硬件的SoC監(jiān)測。在強(qiáng)大的機(jī)器學(xué)習(xí)模式的支持下，它們支持系統(tǒng)行為學(xué)習(xí)、快速異常識別、檢測警報(bào)和故障原因的排查跟蹤。

在本文中，提議將基于硬件的SoC監(jiān)控應(yīng)用于汽車領(lǐng)域，以加強(qiáng)其網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。這種方法將確保安全關(guān)鍵型物聯(lián)網(wǎng)系統(tǒng)，如CAVs，按照設(shè)計(jì)發(fā)揮功能，智能地保護(hù)乘員和數(shù)字基礎(chǔ)設(shè)施系統(tǒng)。此外，這也提供了線速的異常檢測，以避免潛在的致命災(zāi)難，如車禍和重大社會(huì)經(jīng)濟(jì)破壞。為了證明基于硬件的SoC監(jiān)控的有效性，我們在嵌入西門子IP的SoC FPGA上實(shí)現(xiàn)了三個(gè)汽車網(wǎng)絡(luò)安全侵權(quán)案例。侵權(quán)案例包括里程篡改、未經(jīng)授權(quán)訪問信息娛樂系統(tǒng)和汽車門鎖單元內(nèi)存。為此，我們將展示如何對它們進(jìn)行檢測、警告和減輕。

本文的結(jié)構(gòu)如下：在第二節(jié)中，回顧了汽車網(wǎng)絡(luò)攻擊的現(xiàn)狀及其現(xiàn)有的基于軟件的解決方案。接下來是幾個(gè)基于硬件的示范性解決方案之一。然后，在第三節(jié)中規(guī)定了SoC FPGA的結(jié)構(gòu)及其西門子分析IP。

第四節(jié)介紹了三個(gè)侵權(quán)案例的實(shí)施。然后，在第五節(jié)中展示了基于硬件的監(jiān)控解決方案的有效性。最后，第六節(jié)總結(jié)。

II.相關(guān)工作

在本節(jié)中，我首先回顧了文獻(xiàn)中的汽車網(wǎng)絡(luò)攻擊及其現(xiàn)有的基于軟件的解決方案。然后，介紹了一個(gè)基于硬件的解決方案的例子。最后，重新審視了可以支持驗(yàn)證這些解決方案的現(xiàn)有汽車測試平臺。

A.汽車網(wǎng)絡(luò)安全攻擊和檢測方法

對CAN網(wǎng)絡(luò)的攻擊需要攻擊者改變數(shù)據(jù)包廣播。攻擊可能會(huì)破壞數(shù)據(jù)包廣播率，例如，通過用捏造的數(shù)據(jù)包充斥網(wǎng)絡(luò)來進(jìn)行拒絕服務(wù)（DoS），從而使車輛或某些功能喪失能力。雖然是立即破壞性的，但這種粗糙的攻擊被認(rèn)為是相對容易檢測的。試圖控制汽車的某些功能或有意義地改變信息表述的攻擊可能更難檢測。例如，通過廣播編造的帶有誤導(dǎo)性的有效載荷數(shù)據(jù)包。這種攻擊可能會(huì)迫使汽車陷入危險(xiǎn)境地，系統(tǒng)地改變汽車的性能或效率，或者為了經(jīng)濟(jì)利益或不滿而進(jìn)行操縱。這些小伎倆可能需要從偽裝成合法控制單元的攻擊系統(tǒng)中編造看似合法的數(shù)據(jù)包。

對一輛吉普切諾基的攻擊廣為人知，它要求攻擊者廣播編造的數(shù)據(jù)包，其中包含似是而非的速度數(shù)據(jù)，從而欺騙汽車系統(tǒng)，使其認(rèn)為汽車行駛速度更慢--這反過來又允許激活其他功能，如停車輔助。 檢測這種攻擊的一個(gè)問題是，被操縱的數(shù)據(jù)值仍然在合法范圍內(nèi)，所以可能看起來沒有明顯的惡意。

檢測包括CAN在內(nèi)的任何計(jì)算機(jī)網(wǎng)絡(luò)的攻擊的兩種常見方法是簽名法和異常法。簽名方法將流量模式與基于規(guī)則的方式進(jìn)行比較。盡管這些方法可能是準(zhǔn)確的，假定它們能夠確定、編碼和分發(fā)演化的攻擊模型。但這對汽車CAN系統(tǒng)來說是有問題的，因?yàn)椋篿）數(shù)據(jù)推導(dǎo)通常對制造商是保密的；ii）汽車有不同的位置、使用模式和生命周期，這使得維護(hù)和更新簽名數(shù)據(jù)庫很困難；以及，iii）攻擊場景仍在出現(xiàn)。因此，用于檢測CAN攻擊的簽名法通常被認(rèn)為是不太有利的。

異常方法試圖識別網(wǎng)絡(luò)流量中的異常情況。其假設(shè)是，異常情況可能是由攻擊造成的。因此，可應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域的主要機(jī)器學(xué)習(xí)算法都集中在檢測異常或異常值。根據(jù)定義，這些數(shù)據(jù)點(diǎn)在所收集的數(shù)據(jù)集中是稀缺的，并且具有挑戰(zhàn)性，甚至不可能被標(biāo)記為異常點(diǎn)。

出于這個(gè)原因，無監(jiān)督模型通常比有監(jiān)督分類或回歸模型更受青睞，因?yàn)椴恍枰獦?biāo)記數(shù)據(jù)。另一方面，雖然異常方法更容易出現(xiàn)檢測不準(zhǔn)確的情況，如假陽性，但它們不依賴已知的攻擊特征，使它們對汽車CAN攻擊檢測具有吸引力。常見的檢測方法包括密度技術(shù)，如K-近鄰，支持向量數(shù)學(xué)，局部離群因子模型，統(tǒng)計(jì)方法，更復(fù)雜的深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)方法，如變異自動(dòng)編碼器，等等。這些方法中許多都有一個(gè)共同的特點(diǎn)，即試圖在沒有異常的情況下學(xué)習(xí)數(shù)據(jù)的統(tǒng)計(jì)屬性，或?qū)W習(xí)所述數(shù)據(jù)的一些維度映射，并針對可能包含異常的傳入實(shí)時(shí)數(shù)據(jù)測量這些屬性。然而，這些方法往往仍然假定可以訪問CAN字典（以便可以設(shè)計(jì)一個(gè)特定的統(tǒng)計(jì)模型），或者依賴有代表性的攻擊樣本來訓(xùn)練和制定模型。

除了CAN總線漏洞，作為目前汽車安全的主要關(guān)注點(diǎn)，網(wǎng)絡(luò)攻擊還可以直接或間接地針對汽車SoCs，如ADAS。汽車SoC與一些非安全硬件和至少一種類型的網(wǎng)絡(luò)或服務(wù)相連。它們存儲和交換大量的用戶數(shù)據(jù)，包括敏感信息，如手機(jī)銀行的詳細(xì)信息或私人信息。隨著世界的數(shù)字化，這種數(shù)據(jù)云，包括與安全有關(guān)的數(shù)據(jù)和私人信息使物聯(lián)（IoT）成為對攻擊者有吸引力的領(lǐng)域，這提高了對安全的需求。如今，用于物聯(lián)網(wǎng)的汽車片上系統(tǒng)（SoC）的安全問題并不是一個(gè)簡單的話題。事實(shí)上，SoCs正變得越來越復(fù)雜，它們包括許多復(fù)雜的應(yīng)用，如硬件加速，使這些應(yīng)用和整個(gè)SoC安全是對半導(dǎo)體行業(yè)的巨大挑戰(zhàn)，特別是如果他們的設(shè)計(jì)者想減少面積成本和功耗；因此，審查和了解SoC的AXI互連漏洞開發(fā)是至關(guān)重要的。

B.一個(gè)基于汽車硬件的解決方案

現(xiàn)代汽車系統(tǒng)正在變得越來越復(fù)雜。這些由通常連接到一個(gè)或多個(gè)車內(nèi)網(wǎng)絡(luò)的ECU集群組成。許多單個(gè)ECU在本質(zhì)上是簡單的，但其他ECU則不是。片上系統(tǒng)（SoC）發(fā)展最迅速的領(lǐng)域之一是用于自適應(yīng)巡航控制、駕駛員監(jiān)控、車道偏離警告和避免碰撞的ADAS子系統(tǒng)。這些設(shè)備采用了一系列的攝像頭、LiDAR、雷達(dá)和超聲波傳感器。此外，它們本身包含復(fù)雜的系統(tǒng)，可以處理來自傳感器的數(shù)據(jù)，以及控制車輛的機(jī)電執(zhí)行器來執(zhí)行自動(dòng)轉(zhuǎn)向和制動(dòng)的系統(tǒng)。

圖1.SoC FPGA框圖

隨著ECU在自動(dòng)駕駛汽車領(lǐng)域的不斷發(fā)展，人們迫切需要確保ECU的性能得到控制。ECU中部署的硅芯片將具有特殊的、非侵入式的監(jiān)測基礎(chǔ)設(shè)施，不僅可以用于了解ECU的工作情況，還可以用于了解整個(gè)車輛的工作情況。

例如，ADAS系統(tǒng)有許多功能同時(shí)發(fā)生，其中許多可能是相互依賴的。需要滿足嚴(yán)格的時(shí)間期限，否則整個(gè)系統(tǒng)可能會(huì)崩潰。在實(shí)驗(yàn)室里識別和診斷這些問題是非常困難的，在某些情況下是不可能的。這種情況更加復(fù)雜，因?yàn)橄襁@樣的系統(tǒng)經(jīng)常無線更新：行業(yè)標(biāo)準(zhǔn)正在迅速發(fā)展，固件也必須如此。

西門子的嵌入式分析IP自省監(jiān)測器（顯示為淺綠色）被用來評估ADAS SoC的運(yùn)行情況。這些監(jiān)控器可以在運(yùn)行時(shí)配置，并提供豐富的數(shù)據(jù)，分析工具可以使用這些數(shù)據(jù)來深入了解可能觀察到的問題。例如，AXI總線監(jiān)控器是協(xié)議感知和事務(wù)感知的。它們可以在運(yùn)行時(shí)進(jìn)行配置，以提供許多項(xiàng)目信息--例如，事務(wù)的延遲；事務(wù)的最小/最大/平均延遲；帶寬；事務(wù)的持續(xù)時(shí)間；計(jì)數(shù)和計(jì)時(shí)。這些數(shù)據(jù)被在專用CPU上執(zhí)行的分析軟件使用，以確定性能、安全和保障方面的問題。

III.基于硬件的Soc實(shí)時(shí)監(jiān)測解決方案

本節(jié)提供了一個(gè)可演示的基于硬件的SoC FPGA監(jiān)控平臺，它能夠模擬一系列ECU。圖1給出了這個(gè)FPGA的框圖，它包含了幾個(gè)西門子監(jiān)測IP，也被稱為嵌入式分析IP，以及一些硬件的和軟件的CPU。分析IP以藍(lán)綠色顯示。這些IP模塊與分析軟件一起用于檢測和緩解一些安全威脅，這些威脅被聯(lián)盟成員和汽車制造商認(rèn)定為是重要的。

簡而言之，以下IP塊被部署在FPGA中：

?一個(gè)分析型CPU：可用于配置和分析監(jiān)測基礎(chǔ)設(shè)施的數(shù)據(jù)。

?系統(tǒng)CPU（兩個(gè)RISC-V，四個(gè)ARM A53，兩個(gè)ARM R5）：可用于執(zhí)行系統(tǒng)功能，如信息娛樂系統(tǒng)、中央門鎖和其他ECU等。

?CAN總線：一個(gè)CAN收發(fā)器可用于集成其他CAN節(jié)點(diǎn)。與分析型CPU一起，它可以作為CAN總線哨兵的原型。此外，還有兩個(gè)增強(qiáng)的CAN-HGTM、總線控制器。CAN-HGTM處理了高速和受保護(hù)的總線。這被用來在CAN幀中攜帶額外的信息，以克服限制和漏洞。它們也與標(biāo)準(zhǔn)CAN完全兼容。

?JPAM（x3）：提供在RISC-V內(nèi)核上輕松停止/恢復(fù)/重新啟動(dòng)代碼的能力。

?靜態(tài)儀表：用于實(shí)現(xiàn)基于軟件的監(jiān)測。

?虛擬控制臺：用于實(shí)現(xiàn)在CPU上運(yùn)行的代碼與調(diào)試主機(jī)之間的通信。

?直接內(nèi)存訪問（DMA）：用于提供對整個(gè)空間的訪問。

?總線監(jiān)控器（x8）：用于提供對所有感興趣的AXI接口的觀察。在相關(guān)的網(wǎng)絡(luò)安全背景下，它們還可以監(jiān)控、檢測和刪除錯(cuò)誤的互連事務(wù)。

最重要的是，這些模塊與西門子的信息傳遞結(jié)構(gòu)相連--被注釋為信息引擎。這使得監(jiān)測IP收集和產(chǎn)生的數(shù)據(jù)可以在整個(gè)SoC（在這種情況下是FPGA）上傳輸。數(shù)據(jù)可以從芯片外獲取，例如，通過USB 2.0通信器；提供沒有片上軟件開銷的通信-- 也就是說，USB通信完全是在硬件中完成的。

然而，在本文中，來自監(jiān)視器的數(shù)據(jù)被分析的CPU消耗和處理，這意味著沒有數(shù)據(jù)離開芯片。分析IP通過AXI通信器訪問監(jiān)測基礎(chǔ)設(shè)施的數(shù)據(jù)。AXI互連是ARM在2003年推出的第三代AMBA總線協(xié)議，在SoC的子系統(tǒng)之間提供良好的電源效率以及高效可靠的數(shù)據(jù)傳輸。它被廣泛用于智能手機(jī)、筆記本電腦和各種嵌入式系統(tǒng)。它針對的是高性能和高時(shí)鐘頻率的系統(tǒng)設(shè)計(jì)。它廣泛用于ARM Cortex A處理器，如Cortex A9， Cortex A53處理器。由AXI總線監(jiān)視器觀察和產(chǎn)生的數(shù)據(jù)被分析IP用來確定在FPGA的系統(tǒng)上CPU上模擬的ECU的正確行為。這些數(shù)據(jù)可用于基于規(guī)則的分析或基于ML的分析。

IV.汽車網(wǎng)絡(luò)安全侵權(quán)案件

在本節(jié)中，介紹了三個(gè)汽車網(wǎng)絡(luò)安全侵權(quán)案例，以及在第三節(jié)中描述的SoC FPGA中實(shí)施的檢測和緩解。第一個(gè)侵權(quán)案例是里程篡改，與監(jiān)控CAN總線通信有關(guān)。第二個(gè)和第三個(gè)侵權(quán)案例是未經(jīng)授權(quán)對信息娛樂系統(tǒng)和汽車門鎖裝置的內(nèi)存訪問。這兩個(gè)案例都與監(jiān)控AXI通信有關(guān)。

A.CAN-BUS監(jiān)控 - 篡改里程數(shù)

在對針對CAN總線的多種汽車潛在系統(tǒng)攻擊威脅進(jìn)行審查后，創(chuàng)建了一份可以調(diào)查的短名單。在與汽車行業(yè)成員的討論中，里程篡改被選為要調(diào)查的最初威脅。

篡改里程的攻擊試圖破壞車輛的里程表值，使其不再與車輛的真實(shí)行駛距離直接相關(guān)。這樣做的結(jié)果是，里程表增加的速度可能被改變，或者里程表根本就不再增加。這種攻擊是利用CAN過濾器實(shí)現(xiàn)的。它對一些CAN幀進(jìn)行修改，以減少里程表的增量。本研究中使用的商用濾波器具有兩個(gè)CAN接口，一個(gè)與CAN總線連接，另一個(gè)與FPGA連接。它有四種操作模式。

?在模型2中，遞增率降低了10%，即每行駛10英里，里程表只增加1英里。

?在模型3中，增量率降低了20%，即每行駛10英里，里程表只增加2英里。

?在模型4中，增量率降低了30%，即每行駛10英里，里程表只增加3英里。

隨著機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用，可以學(xué)習(xí)這兩個(gè)變量之間的映射關(guān)系，從而進(jìn)行預(yù)測。這樣一來，與這一預(yù)測的偏差可以作為系統(tǒng)內(nèi)發(fā)生里程篡改攻擊的證據(jù)提出來。

CAN總線實(shí)時(shí)監(jiān)測與車輛速度和里程表有關(guān)的CAN幀。車輛的速度是從與速度有關(guān)的CAN幀的有效載荷中提取的。這些CAN幀的時(shí)間戳也被記錄下來。

計(jì)算里程表數(shù)值之間的時(shí)間差，?T，在這兩個(gè)距離CAN幀之間取速度CAN幀收集的數(shù)值，vi的平均值，以找到車輛在時(shí)間間隔?T內(nèi)的平均速度。

將平均速度值 v輸入一個(gè)線性轉(zhuǎn)換模型，該模型預(yù)測距離CAN幀的時(shí)間差，?T，對于未改變里程數(shù)據(jù)的CAN數(shù)據(jù)，應(yīng)該在該速度下觀察到。

線性模型將速度值乘以一個(gè)學(xué)習(xí)到的常數(shù)α，并與另外一個(gè)學(xué)習(xí)到的常數(shù)β相加，這個(gè)常數(shù)將速度映射到時(shí)間差值Δt，該值應(yīng)在給定速度下觀察到。這個(gè)模型由下面的方程表示：

?t = αv + β（1）

然后可以將報(bào)告的時(shí)間差值ΔT和預(yù)測的時(shí)間差值Δt進(jìn)行比較，如果差值在不確定的水平之外，就可以提出對異常情況的檢測，表明里程數(shù)被以某種方式篡改了。分析IP通過修復(fù)被操縱的信息來減輕威脅。

B.AXI監(jiān)測

在汽車方面的威脅檢測和緩解并不僅僅是監(jiān)測CAN總線流量。雖然監(jiān)控CAN是汽車安全的一個(gè)重要部分，但除了CAN之外，還可以通過監(jiān)控其他接口來檢測更多的威脅。

這種接口的一個(gè)例子是AXI，一個(gè)用于訪問多個(gè)系統(tǒng)的SoC互連的接口。目前的FPGA系統(tǒng)也支持使用西門子嵌入式分析IP監(jiān)測AXI。為了驗(yàn)證解決方案的有效性，選擇了信息娛樂系統(tǒng)和門鎖單元篡改作為侵權(quán)案例。這兩種情況是通過監(jiān)測AXI讀/寫來實(shí)現(xiàn)的，如IV-B1和IV-B2節(jié)所述。

為了實(shí)現(xiàn)攻擊場景，并與FPGA和模擬ECU進(jìn)行通信，我們開發(fā)了一個(gè)python主機(jī)會(huì)話，首先初始化FPGA CPU和IP，其次將與侵權(quán)情況有關(guān)的惡意攻擊注入FPGA，在現(xiàn)場測試期間觸發(fā)檢測和緩解。

這意味著，它們復(fù)制了網(wǎng)絡(luò)攻擊的場景。這些功能也是高度可定制的，可以根據(jù)攻擊的性質(zhì)來修改。

1）損壞的信息娛樂系統(tǒng)：在這種情況下，攻擊者破壞了汽車信息娛樂系統(tǒng)，惡意軟件在信息娛樂系統(tǒng)的CPU上運(yùn)行。它試圖訪問系統(tǒng)模塊（外圍設(shè)備/存儲器），這些系統(tǒng)模塊存在于SoC互連上，并且從架構(gòu)上可以被CPU訪問，但CPU通常不應(yīng)該訪問它們。這方面的例子包括：

?通常不被信息娛樂系統(tǒng)軟件使用的內(nèi)存區(qū)域

?閃存控制器

?內(nèi)存控制器

?CAN總線控制器

事實(shí)上，它可以是任何攻擊者用來惡意觸發(fā)行動(dòng)或從中獲取信息的外圍設(shè)備。不可能從結(jié)構(gòu)上永久地阻止對所有潛在敏感外設(shè)的訪問，因?yàn)樾畔蕵废到y(tǒng)將需要在適當(dāng)授權(quán)的情況下訪問這些外設(shè)。當(dāng)然，對未經(jīng)授權(quán)使用這些資源會(huì)有多層保護(hù)（例如適當(dāng)?shù)卦O(shè)置MMU或MPU），但使用西門子嵌入式分析IP提供了獨(dú)立于信息娛樂系統(tǒng)軟件的硬件監(jiān)控，即使攻擊者設(shè)法對MMU表進(jìn)行重新編程，仍然可以正常工作。

在FPGA中，信息娛樂系統(tǒng)由一個(gè)ARM53 CPU模擬，它運(yùn)行一個(gè)代表信息娛樂軟件的應(yīng)用程序。請注意，這個(gè)應(yīng)用程序?qū)嶋H上并不會(huì)模擬實(shí)際信息娛樂系統(tǒng)的全部功能，它只是能夠在AXI總線上進(jìn)行意外訪問。它根據(jù)控制FPGA的主機(jī)Python會(huì)話的請求執(zhí)行這些訪問。這個(gè)請求代表攻擊者試圖惡意訪問被禁止的AXI地址。

分析IP（APCU，系統(tǒng)中的RISC-V CPU之一）負(fù)責(zé)：

?在啟動(dòng)時(shí)，配置AXI總線監(jiān)視器，當(dāng)信息娛樂CPU的訪問以禁止的AXI地址范圍為目標(biāo)時(shí)，通知APCU。

?在正常運(yùn)行期間，當(dāng)它看到禁止訪問時(shí)，接收從總線監(jiān)控器發(fā)出的通知。

2）未經(jīng)授權(quán)的汽車門鎖裝置篡改：在這種情況下，攻擊者獲得了對AXI總線啟動(dòng)器的訪問，以執(zhí)行未經(jīng)授權(quán)的汽車解鎖。

在FPGA上，一個(gè)AXI總線哨兵尋找對汽車門鎖控制器的地址范圍的訪問，這些訪問來自一個(gè)指定的AXI總線啟動(dòng)器（一個(gè)DMA），模擬一個(gè)受損的啟動(dòng)器。

與之前的情況類似，在啟動(dòng)時(shí)，APCU配置西門子嵌入式分析IP來監(jiān)控從DMA到汽車門鎖控制器的禁止訪問。這一次，使用的IP塊不是總線監(jiān)視器，而是總線哨兵。

總線哨兵與總線監(jiān)控器不同，除了監(jiān)控AXI訪問外，還能夠阻斷AXI訪問。

圖2.用于驗(yàn)證的試驗(yàn)臺配置

V.驗(yàn)證

在本節(jié)描述了一組步驟，以驗(yàn)證西門子在SoC FPGA上實(shí)現(xiàn)的基于硬件的解決方案，以應(yīng)對第四節(jié)中介紹的三個(gè)侵權(quán)案例。為了測試和驗(yàn)證這些侵權(quán)情況，F(xiàn)PGA已經(jīng)通過其CAN收發(fā)器連接到［31］中描述的汽車網(wǎng)絡(luò)安全測試平臺（如圖2所示）。它代表了一個(gè)車載網(wǎng)絡(luò)，并將被用來建立和驗(yàn)證基于硬件的解決方案的安全措施。它包括一個(gè)汽車模擬器，一個(gè)車載網(wǎng)絡(luò)模擬器，一個(gè)物理網(wǎng)絡(luò)，一個(gè)欺騙硬件和擬議的SoC FPGA。

A.篡改里程數(shù)

為了驗(yàn)證由分析軟件和硬件執(zhí)行的檢測和緩解模型，演示器在每種模式下都要運(yùn)行10分鐘。在每次運(yùn)行中，模擬的儀表盤將實(shí)際的和修正的里程表值都記錄下來。將它們的比率與CAN過濾器手冊中給出的額定過濾百分比進(jìn)行比較。表一報(bào)告了在測試平臺上對每個(gè)CAN過濾模式和分析IP實(shí)時(shí)監(jiān)測的結(jié)果。

從報(bào)告的過濾模式百分比和第四節(jié)中定義的過濾模式的比較中可以看出這一點(diǎn)。因此，分析IP及其外圍設(shè)備成功地檢測到并緩解了里程篡改的威脅。

B.未經(jīng)授權(quán)對信息娛樂系統(tǒng)和汽車門鎖的內(nèi)存訪問

為了驗(yàn)證每個(gè)模擬的侵權(quán)案例，通過Python主機(jī)會(huì)話向FPGA注入一個(gè)函數(shù)。

這個(gè)函數(shù)觸發(fā)了一個(gè)模擬惡意攻擊的動(dòng)作，使用上面提到的DMA作為AXI啟動(dòng)器。AXI總線監(jiān)控器/哨兵（分別用于信息娛樂系統(tǒng)和門鎖侵權(quán)情況）發(fā)現(xiàn)該訪問并阻止它（阻止只在使用總線哨兵的情況下），這樣它就不會(huì)到達(dá)目的地，也就是模擬的ECU。除此以外，ACCPU會(huì)被通知惡意訪問，并向模擬儀表盤發(fā)送命令，出現(xiàn)閃爍警告標(biāo)志并向用戶報(bào)告。在演示中沒有做進(jìn)一步的緩解行動(dòng)，但是在真實(shí)的系統(tǒng)中，ACPU可以觸發(fā)其他的行動(dòng)，如重置信息娛樂系統(tǒng)，從已知的良好來源刷新其軟件和/或通知外部各個(gè)模塊。

VI.結(jié)論

本文提出了一種新穎的片上硅片IP （SIP）包括總線濾波器、總線監(jiān)護(hù)器、鎖步監(jiān)視器和專門為汽車安全和安全應(yīng)用定制的專用分析IP已被引入并在SoC FPGA上實(shí)現(xiàn)。它還由ML提供支持，授權(quán)檢測并實(shí)時(shí)報(bào)告SoC的異常情況，使汽車SoC高度安全并能抵御網(wǎng)絡(luò)攻擊。解決方案的評估是通過將SoC FPGA集成到［31］中介紹的多組件汽車測試平臺中進(jìn)行的。三個(gè)選定的與CAN和AXI總線監(jiān)控有關(guān)的侵權(quán)案例，已經(jīng)在實(shí)時(shí)條件下實(shí)施測試。侵權(quán)案例的驗(yàn)證證明了西門子硬件解決方案實(shí)時(shí)檢測、阻止和緩解網(wǎng)絡(luò)攻擊的能力。這也顯示了在汽車網(wǎng)絡(luò)安全中應(yīng)用基于硬件的監(jiān)控的前景。我們計(jì)劃針對更多的汽車網(wǎng)絡(luò)攻擊來測試這項(xiàng)技術(shù)。

審核編輯 ：李倩