文章总结: 文章系统梳理汽车ECU安全启动机制:以HSM为信任根,利用AES128-CMAC对Bootloader与App逐段校验,形成信任链;介绍顺序、并行、混合三种启动模式权衡安全与启动时间;校验失败即锁密钥并记录,从源头阻断篡改软件运行,为整车提供可信基础。 综合评分: 82 文章分类: 车联网安全,安全建设,技术标准,解决方案,安全工具
汽车信息安全–安全启动
谈思实验室
2026年1月6日 17:54 上海
点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
01
什么是安全启动
安全启动(Secure Boot)是一种安全技术,用来保护计算机和嵌入式系统在启动过程中免受恶意软件或未授权代码的侵害。
ECU控制器的系统运行合法的软件(由零部件供应商开发的软件),当软件被篡改时,整个系统将不会工作,这样就可以避免黑客操纵车辆。
这一过程通常涉及使用加密密钥和签名验证,以建立从硬件到软件的信任链。
目前安全启动的主流技术方向有以HSM安全硬件支撑的安全启动方案。
02
安全启动保护哪些内容
它确保系统仅执行来自可信来源的软件,从而保护系统的完整性和安全性。
在我们的整个软件系统中存在多个软件组件,当系统启动时这些组件的运行是有一个确定的先后顺序的(bootloader->App),启动过程中需要按照启动顺序依次对每个软件组件进行校验,校验通过后再启动该组件。
校验通过的组件被称为受信任的组件,当所有的软件组件校验通过,它们就组成了一个受信任的软件链条,即信任链(Trust chain)。这条链条中最初被校验的组件,就是信任根(Trust root)。
03
安全启动的技术实现方式有什么
顺序启动:
在校验完某个模块并且校验无误之后,才会启动该模块。该模式的优点在于安全性高,不会出现被篡改的软件运行的可能性;缺点在于会影响系统的启动时间。
并行启动:
模块的校验过程与模块的启动过程同步运行。该模式的优点是不会增加系统的启动时间;缺点是安全性较低,存在被篡改的软件运行的可能性。
混合启动:
结合了顺序启动和并行启动这两种模式,即对某些模块采用顺序启动的方式,对另一些模块则采用并行启动的方式。一般主流的做法是对Bootloader使用顺序启动,对Application使用并行启动。
安全启动流程基础
完整性校验使用的是HSM硬件加速的AES128-CMAC算法。
Reference CMAC:
在Trust Boot Table建立的时候,针对当前PFlash上的Software Part计算出的CMAC值,用于在安全启动的时候检测软件的真实性和完整性。Trust Boot Table是只需要建立一次,在安全升级的表格更新。
CMAC存储于HSM Data Flash中的,是经过加密的,对于用户是不可见的。
HSM模块每次启动的时候,就会计算出这个派生的AES128-CMAC算法密钥。
安全启动的流程
以Bootloader为例,在启动的时候,HSM Core会先启动,而Host Core会一直处于Reset状态,HSM Core会自动根据Trust Boot Table中配置的Secure Boot Mode的Bootloader的起始地址和长度去计算当前PFlash上的Bootloader的CMAC值并与Trust Boot Table中该entry的Reference CMAC值进行比较。
若校验通过,则说明该Bootloader是有效的,HSM Core会释放Host Core,Host Core的Bootloder程序可以正常运行。
若校验失败,则Host Core会一直处于reset 状态,也就起不来了。
04
Application为例
Bootloader这边也可以不用等待校验结果,直接跳转至Application,在Application中进行校验结果的查询。
这样就实现了Application的运行以及HSM Core针对Application的校验并行处理,就不会影响MCU的启动时间。
当运行Application时,用户需要手动去获取Application的校验结果。
若校验通过,则Application继续正常运行;
若校验失败,HSM Core会自动进行锁密钥(密钥的属性需要成校验失败则失效),以及记录校验失败信息等操作,此时Application还是处于运行状态,HSM Core不会进行触发Reset操作。
用户也可以根据需求,在获取到Application校验失败的结果后,进行Reset或其他操作。
来源:AutomotiveSoftwareEngineer
谈思-汽车出海安全合规(欧洲)
交流群
谈思 AutoSec Europe 峰会旨在搭建一个能融汇全球视野与中国实践、连接技术前沿与落地应用的国际性专业平台,以助力中国汽车应对在出海过程中面临的网络与数据安全合规痛点。从前沿技术研讨、合规要点解析到经验交流,都将通过本平台为您提供持续支持。社群已超过200人,需邀请加入,如需入群,欢迎添加社群小助手微信taaslabs01。
谈思-SDV&AIDV技术出海
交流群
诚邀行业同仁加入谈思SDV&AIDV出海技术交流群,聚焦软件定义汽车、AI定义汽车、下一代EEA、智能座舱、智能驾驶、软件架构、域控制器开发、芯片技术、软件工具等核心议题,欢迎大家加群交流探讨~~社群已超过200人,需邀请加入,如需入群,欢迎添加社群小助手微信taaslabs01。
end
谈思汽车媒体门户
精品活动推荐
AutoSec系列沙龙
专业社群
部分入群专家来自:
新势力车企:
特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……
外资传统主流车企代表:
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……
内资传统主流车企:
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……
全球领先一级供应商:
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、……
二级供应商(500+以上):
Upstream、ETAS、BlackDuck、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……
人员占比
公司类型占比
文章
不要错过哦,这可能是汽车网络安全产业最大的专属社区!
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:谈思实验室 《汽车信息安全–安全启动》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论