芝能智芯出品
随着汽车技术的快速进步,智能驾驶技术不断普及,摄像头和其他图像传感器成了关键组件。它们的安全性关系到行车安全和乘客隐私的保护,因此越来越重要。
MIPI联盟推出的MIPI相机安全框架,提供了一个针对汽车成像系统的综合安全解决方案,我们深入分析MIPI相机安全框架的结构、功能和优势,帮助汽车行业的工程师和研究人员更好地了解和应用这一安全框架。
Part 1
汽车摄像头安全的背景与需求
汽车行业正在快速迈向自动驾驶时代,ADAS和AD系统已经成为现代汽车的重要组成部分。这些系统依赖于摄像头、激光雷达和雷达等图像传感器来感知车辆周围的环境,实现诸如自适应巡航控制、车道保持辅助和自动紧急制动等功能。
随着技术的进步,汽车对图像传感器的需求也在不断增加,以支持更高级别的自动驾驶功能。
成像系统在汽车安全中扮演着至关重要的角色,因此必须防范各种网络安全风险。
◎ 非法或不合格的图像传感器组件可能被安装到车辆中,导致系统性能下降或故障,甚至危及行车安全。
◎ 恶意操纵传感器数据可能导致ADAS/AD系统做出错误决策,引发严重事故。
◎ 未经授权访问图像和相关元数据还会侵犯乘客隐私,造成个人信息泄露。
● 安全要求:为了应对这些风险,汽车成像系统需要满足以下几项安全要求:
◎ 端到端数据保护:确保图像数据从传感器到处理单元(SoC/ECU)的安全传输。
◎ 组件认证:验证成像系统内组件的真实性,防止未经授权的组件安装。
◎ 数据完整性:确保图像数据在传输过程中未被篡改。
◎ 数据加密:在存在数据泄露风险的情况下,保护图像数据。
◎ 命令控制接口安全:防止因传感器配置错误引发的风险。
◎ 标准化安全框架:采用基于行业标准的安全框架,提高系统的可靠性和互操作性。
实现这些安全要求时,成像系统面临许多设计挑战。例如,严格的功率和散热限制要求安全功能在不增加过多成本和系统复杂性的前提下运行。图像传感器产生的大量数据需要通过高速串行解串器(SerDes)通信链路传输,因此安全实施必须尽量减少数据开销,以避免超出SerDes带宽。同时,安全功能需要与底层网络技术和拓扑无关,以确保端到端安全。
Part 2
MIPI相机安全框架概述
框架的组成与功能,MIPI相机安全框架由四个规范组成,为汽车成像系统提供了标准化的安全解决方案:
● MIPI相机服务扩展(MIPI CSE)v2.0:定义了安全服务,用于实现CSI - 2数据的数据完整性保护和可选加密。
● MIPI相机安全v1.0:利用DMTF SPDM架构实现成像系统组件之间的身份验证和安全会话建立。
● MIPI相机安全配置文件v1.0:定义了一组通用安全配置文件,确保框架的互操作性。
● MIPI命令和控制接口服务扩展(MIPI CCISE)v1.0:为基于I2C的MIPI命令和控制接口提供安全服务。
MIPI相机安全框架是对广泛应用于汽车成像系统的MIPI CSI - 2协议的补充。CSI - 2负责图像数据的传输,而安全框架则专注于数据的安全保护。通过在CSI - 2协议基础上添加安全扩展,框架能够确保数据在传输过程中的安全性,从数据源到数据汇实现端到端的保护。
● 安全目标与威胁缓解,框架的安全目标包括:
◎ 设备身份验证:通过DMTF SPDM安全握手实现,防止未经授权的组件安装。
◎ 消息完整性保护:利用消息认证码(MAC)防范中间人攻击,确保数据未被篡改。
◎ 消息机密性保护:通过数据加密保护图像传感器数据和控制消息免受未经授权的访问。
MIPI相机安全框架的参考拓扑模型为1 - 5模型,包括控制器(SoC/ECU)、目标(CSI - 2图像传感器)、中间可选桥接和/或聚合器组件以及可选转发元件。这些组件在数据传输中各自承担特定功能,支持多种复杂拓扑结构,确保数据在各种网络配置下的安全传输。
MIPI相机安全框架实现了从图像传感器数据源到SoC/ECU像素数据汇的端到端安全。
数据通过中间SerDes桥接组件透明传输,安全机制在应用层启动和终止,确保敏感数据在整个传输路径中的安全。应用层安全基于“像素级别”,能够为视频帧的不同部分提供高度细粒度的安全控制。
这意味着可以根据数据的重要性和敏感性,为不同的帧分区应用不同的安全变体。例如,对于包含关键图像信息的分区,可以应用高完整性和加密保护;而对于一些辅助性数据分区,可以降低安全级别以优化系统性能。
与基于IEEE 802.3/Ethernet(使用MACsec 802.1AE)的链路层安全机制相比,MIPI框架的应用层安全类似于互联网通信中使用的传输层安全(TLS)。
链路层安全为进入链路层的所有数据流量提供统一保护,而应用层安全可以选择性地保护特定应用或数据流。在汽车成像系统中,应用层安全能够更好地适应不同数据分区的安全需求,提供更精准的保护策略。
● 安全处理级别
◎ 级别C(安全供应):提供安全供应功能,通过证书和/或预共享密钥为系统组件配置安全认证凭据。
◎ 级别B(安全会话建立):通过系统安全管理(SSM)软件实现安全会话建立,包括基于SPDM的安全握手和后续的安全配置/管理。
◎ 级别A(认证/加密):在硬件中实现认证和可选加密功能,根据级别B配置的安全参数对CSI - 2数据进行操作。
● 安全操作步骤
◎ 系统安全供应(SSP - 级别C):系统集成商将认证凭据配置到每个系统组件中,为系统的安全通信奠定基础。
◎ 统安全管理(SSM - 级别B):SoC/ECU控制器与每个成像系统组件执行安全握手,建立安全会话,生成会话密钥(SK),实现组件之间的身份验证。
◎ 数据服务协议(DSP - 级别A):使用会话密钥同步各组件的配置,并执行数据的完整性保护和加密操作。
安全上下文由一系列安全参数组成,包括流量密钥(TK)及其元数据、标签模式和安全变体(SV)设置等,确保数据的完整性和顺序性。可扩展安全与安全向量
◎ 数据服务协议:框架提供两种数据服务协议选项,即基于帧的服务扩展数据(FSED)和服务扩展数据包(SEP),系统可根据具体需求选择使用。
◎ 标签模式:标签模式决定了传感器计算和传输完整性MAC的粒度和频率,系统可根据数据的重要性和实时性要求选择合适的验证方式。
◎ 安全变体:框架支持五种安全变体(SV - 1至SV - 5),代表不同的完整性和加密组合,系统可根据实际需求灵活调整安全级别。
◎ 密码套件:框架提供两种密码套件,分别为“性能”传感器和“效率”传感器设计,系统可在安全性和性能之间进行权衡。
Part 3
安全框架的其他重要特性
在汽车成像系统中,安全服务和功能安全(FuSa)服务起着不同但互补的作用。
● 安全服务通过MAC验证数据的加密完整性,检测未经授权的修改;
● 而FuSa服务使用循环冗余校验(CRC)检测数据传输中的意外错误。
两者共同保障系统的稳定运行。MIPI相机安全框架通过定义一系列安全消息,在SoC/ECU控制器和成像系统组件之间建立安全会话。此过程基于DMTF SPDM规范,并针对MIPI CSI - 2安全需求进行了定制。
除了基于SPDM的SSM套件,MIPI框架允许在不同需求的系统中探索使用备选的SSM套件,如TLS安全握手,以适应多样化的汽车成像系统需求。
MIPI相机安全框架在汽车应用中具有独特的优势和重要意义。它通过提供灵活的安全协议、密码套件、数据完整性标签模式和安全控制选项,满足了汽车成像系统对安全性、处理效率、实施复杂性、热管理和功耗等多方面的严格要求。
与传统的链路层安全方法相比,其端到端的应用层安全机制提供了更全面和细粒度的保护,确保了图像数据在传输过程中的安全性。
该框架的可扩展安全特性,包括源选择性安全和部分完整性保护,允许系统根据实际需求在不同的安全级别之间灵活调整,有效降低了系统成本、功耗和散热。
安全与功能安全的共存机制进一步增强了系统的可靠性和稳定性,确保在各种复杂环境下成像系统的正常运行。
小结
随着汽车行业朝着更高自动化和智能化方向发展,MIPI相机安全框架将继续发挥重要作用,为汽车成像系统的安全可靠运行提供坚实保障,助力汽车制造商满足日益增长的安全法规要求和消费者对行车安全的期望。