汽车“新四化”路上，需要一片安全山海

“电影《速度与激情》中控制无人驾驶车辆轰炸建筑的事情，现实中会出现吗？”近日，在安谋科技“山海”S20F SPU新品发布会上，这个问题被提了出来。而这个问题的背后，实则是对汽车信息安全的思考。汽车“新四化”（电动化、网联化、智能化、共享化）正在推动汽车变得越来越智慧——更高的端侧算力、更强的互联性、更丰富的座舱功能，汽车也逐渐变成移动的办公室、K歌房、游戏厅……朝着“超级移动智能终端”的方向加速狂飙。

但汽车越来越智慧的同时，其安全性是否能保障，又该如何保障？

从信息安全到功能安全

当谈及汽车安全，通常会涉及两个方面的问题：一个是信息安全（Security），一个是功能安全（Safety）。从简单分类来看，信息安全是为了应对外来攻击威胁，其目的是保护敏感数据；功能安全是为了应对车辆行驶过程中可能遇到的事故碰撞，其目的是避免电子电气系统失灵而导致的不合理风险，从而起到保护人身、设备和车机的安全的作用。

汽车“新四化”趋势正使信息交互需求上升到新的水平，也使汽车的安全需求提升到更高的层次。具体到场景来看：当车与云进行通信的时候需要建立安全的链接通道，汽车的数字身份证需要安全机制来保证，车机数据需要加密存储与传输，汽车软件、应用的OTA更新以及车联万物等功能的实现都需要安全能力的保障。

如此多的链接场景将带来更高的信息安全风险，而这些多种多样的安全需求将由谁来提供？

当前，市面上常见的安全芯片方案，是通过内部集成了密码算法并具备物理防攻击设计的集成电路实现。此类安全芯片内部拥有独立的处理器和存储单元，具有丰富的对外通信接口，可执行程序。其内部集成对称、非对称、摘要等多种密码算法，可以在内部生成密钥，生成真随机数，从而具备数据的加解密、身份认证鉴权、安全存储密钥的功能。

根据安全芯片用处不同，其产品形态各异。例如有的以DIP、SOP等封装形式安装在终端设备内，主要用于终端设备的数据加密、终端与平台之间的安全认证等；有的呈现为安全卡片的形式，可支持身份辨识、数据存储、消费支付等功能，有接触、非接触和双界面等封装形式，常见于企业员工一卡通、员工统一权限认证和云办公系统等人员安全管理场景；有的将密码技术和SD卡技术相结合，在支持用户大量数据存储要求的同时，具备身份认证、数据加密等安全功能。

而如果将安全机制的技术内核像剥洋葱一样层层“剥”开，将发现所有安全性要求都将最终落实到一个关键词：安全可信根（Root of Trust）。

也正是因此，安谋科技最新发布的面向智能汽车SoC的信息安全解决方案——“山海”S20F SPU，选择了和此前安全解决方案采用的模式截然不同的方案：不再采用离散的方式，而是采用硬件安全模块（HSM），以支持安全可信根这一核心要素。

从通用性到定制化

什么是HSM？

从源头来看，HSM是EVITA大项目的组成部分。

那EVITA又是什么呢？

EVITA（电子安全车辆入侵防护应用）是欧盟于2008年发起的一个针对网联汽车安全的项目，其目标是设计一个车载网络的体系结构原型，使其中与网络安全相关的组件受到保护。该项目的参与者主要包括欧洲多个Tier1、OEM厂商。由于欧洲在汽车行业的重要地位，该项目受到业界的普遍关注。而HSM，就是EVITA项目中的硬件安全模块，用以保护车机的敏感数据。

此次安谋科技全新推出的“山海”S20F，就是将HSM对汽车安全的赋能以产品的形式呈现出来，以便于汽车芯片设计商以更先进的方式，更快速地为汽车芯片提供安全护卫。

据安谋科技安全产品架构师、高级技术总监吕达夫介绍，“山海”S20F作为一款完整的HSM整体解决方案，实质上是一套包含硬件、软件和云端服务三位一体的子系统，在默认符合EVITA HSM Full信息安全等级的同时，兼具灵活配置能力，轻松应对不同车载计算场景对于信息安全强度的多样化需求，为汽车带来更完善的功能安全能力。

“山海”S20F硬件架构

在安谋科技看来，更高的功能安全等级，是该产品的最大优势。

作为芯片企业进入汽车领域的准入门槛，ASIL（汽车安全完整性等级）是由ISO26262标准定义的风险分类系统。该标准将汽车功能安全等级分成A、B、C、D四类，其中ASIL A代表最低级别，尾灯之类的组件只需要ASIL A级即可。相应地，越重要的组件对安全级别的要求越高，前大灯和刹车灯需要达到ASIL B等级，巡航系统通常需要达到ASIL C级别，而安全气囊、防抱死制动和动力转向等系统则需要最高的ASIL D级别。

当前，“山海”S20F从硬件到软件均进行了功能安全设计，其核心硬件密码算法引擎TrustEngine-800（代号“追风”）符合ISO26262:2018功能安全产品认证ASIL D等级的系统能力，以及ASIL B等级的随机硬件完整性要求，软件测试库（STL）也达到了ASIL D最高等级要求，能够有效避免由设计实现错误或电子电气系统失灵造成的不合理风险。该HSM子系统中的其它模块，包括Mailbox、Sub-System Control、BootROM、SRAM这些存储单元都以相应的硬件安全机制存在，共同保证HSM能够安全、稳定地运行，最终为汽车芯片提供一个可靠的安全可信根。

汽车是一款长周期产品，汽车从IP设计到芯片设计、芯片上车和汽车出厂将经历长达10年到15年的生命周期。在如此长的产品生命周期中，很有可能会出现上层软件对安全需求增强的情况。因此，作为汽车芯片设计最上游的IP设计环节，安谋科技在很大程度上为芯片安全提供了“顶级”配置，例如其非对称算法做到了RSA8192。安谋科技安全产品总监耿建华表示：“这个密钥强度在市面上很少有厂商做到，但我们给大家留了这样一个选择，为日后的长周期运作预埋高级别安全保障。”

而根据车用场景安全需求的强弱不同，“山海”S20F也提供了更灵活的选择。

据了解，HSM的安全性能分成三种等级：Full、Medium和Light。其中，最高级别的Full，可提供对称算法、非对称算法和Hash算法。Medium只要求对称算法是硬件化的，非对称和Hash可以通过软件实现，同时要求是一个子系统。Light的要求更加简单，仅要求对称算法由硬件实现，同时不要求是一个子系统。基于此，“山海”S20F默认支持Full等级，以覆盖智驾智舱等对安全要求较高的车载计算场景，还能通过可配置能力，支持Medium和Light级别需求，适用于不同应用的车身域控制类MCU芯片。

“相较于传统信息安全解决方案，‘山海’S20F这一HSM解决方案的优势在于以下两个方面：一是性能，因为HSM是直接植入到芯片内部的，不需要与外部设备产生协同，可直接在内部完成数据的访问以及加解密等相关的工作，其表现远远高于外部的离散器件；二是安全性方面，HSM是在整个芯片的边界之内的，没有向外暴露接口，因此黑客很难找到离散芯片的接口来获取信息，可构建适合智能汽车的独立可信计算环境。”吕达夫补充道。

安全保障也需生态建设

选择“山海”、与安谋科技合作，究竟能带来什么？

“快速通过认证。”耿建华作出了简洁的解答。

这可能是所有汽车芯片企业，尤其是新晋汽车芯片设计企业的最大期待。通过认证，解决的是“从0到1”“从无到有”的问题。而帮助合作伙伴快速获得已通过严苛认证的IP产品，恰恰是安谋科技的优势所在。

据耿建华介绍，在做车规级功能安全产品时，安谋科技安全团队需要在立项之初就把进行功能安全认证的实验引进来，且第三方实验室的工作会伴随整个项目开发周期，同时公司内部也会专门组建功能安全团队，内外双重把关之下，最终确保产品符合功能安全认证要求。以“山海”S20F为例，该产品的核心硬件算法引擎和软件测试库已获得业内要求极为严格的exida实验室所授予的功能安全认证，包括系统性错误测试和随机硬件失效测试。

除了帮助客户实现“从0到1”的蜕变，安谋科技也为客户提供了“从1到100”的有效助力。

基于安谋科技与Arm的渊源，安谋科技很大程度上承接了Arm的生态，因此产品与Arm生态有很高的适配度。安谋科技包括“山海”S20F在内的安全产品均是基于Arm体系，因此“山海”S20F可以支持Arm基础的安全能力，包括TrustZone、虚拟化等底层安全架构等。此外，针对车端功能虚拟化这一市场趋向，安谋科技也会持续跟进Arm底层架构的演进，包括虚拟化CCA及其他安全能力，逐步实现产品优化和提升。

耿建华表示：“我们的产品研发体系和交付体系都与Arm保持一致，所以我们对产品的质量还是非常有自信的。”

具体来看，“山海”S20F子系统中的CPU能够快速集成Arm IP或安谋科技自研业务产品，默认支持Arm Cortex-M55、Cortex-R52以及安谋科技自研的“星辰”STAR-MC2处理器；如果想换别的CPU，只需要在软件层面做一些简单的设置就能实现。

在软件设置能力方面，安谋科技提供了软件测试库，以帮助用户实现功能安全。此外，安谋科技还提供了几款软件工具——TRNG真随机数调校、Secure boot、Provisioning 帮助芯片厂商进行开发。在功能安全能力方面，除支持HSM三种等级之外，安谋科技还会提供完整的符合Arm功能安全交付标准的功能安全包，以帮助合作伙伴更好地理解如何实现功能安全。

“山海”S20F软件架构

面向智能汽车芯片市场，安谋科技近两年已相继推出了多款自研业务产品。

“星辰”STAR-MC2嵌入式处理器，获得了ASIL D（ISO26262）与SIL 3（IEC61508）级别的功能安全认证，基于Arm v8.1-M架构设计，在数字信号处理、信息安全、功能安全等方面实现全面升级。“玲珑”V6/V8 VPU作为面向多场景应用的高效视频处理器，能够为汽车智能座舱等应用场景提供4K/8K高清视频编解码能力。“周易”NPU针对ADAS、智能座舱等应用场景做了性能优化，大幅提升车载中常用的Transformer等应用的性能，目前已有芯驰科技、芯擎科技等本土汽车芯片厂商发布基于“周易”NPU的芯片产品，其中芯擎科技推出的7纳米智能座舱芯片“龍鷹一号”已实现量产出货，并率先上车领克08。

目前“山海”信息安全解决方案也已授权70余家合作伙伴，其中多家公司均在开展芯片集成设计，已有合作伙伴实现了量产，并大规模供应市场。

依托“山海”SPU、“周易”NPU、“星辰”CPU、“玲珑”VPU等多条自研业务产品线，安谋科技正积极回应对汽车行业“新四化”带来的市场需求，推动汽车芯片迈向智能与高端。最新推出的“山海”S20F SPU，可以被视为安谋科技回应汽车行业“新四化”需求的最新力作，将业界创新的汽车芯片安全理念传导给产业伙伴。

就像安谋科技产品研发副总裁刘浩在新品发布会上所说的那样：“我们发挥的是‘桥梁’和‘引擎’两大作用：一方面做好‘桥梁’，把Arm全球领先的技术引进国内；另一方面也充当‘引擎’，推动国内汽车半导体创新演进。”