本文轉(zhuǎn)自：半導(dǎo)體產(chǎn)業(yè)縱橫

安全必須被視為首要架構(gòu)約束條件，從芯片設(shè)計(jì)之初就融入其中。

芯片領(lǐng)域最緊迫的安全挑戰(zhàn)，已不再是抽象的抗量子算法選型，或是后期追加安全功能。這些挑戰(zhàn)本質(zhì)是必須在設(shè)計(jì)早期就做出的架構(gòu)決策，且要在面積、功耗、性能、成本的現(xiàn)實(shí)約束下，兼顧產(chǎn)品超長(zhǎng)使用壽命。

若干安全問(wèn)題已直接影響芯片架構(gòu)，包括將后量子密碼算法集成到實(shí)際硬件、數(shù)學(xué)安全算法與物理安全實(shí)現(xiàn)之間的差距不斷擴(kuò)大，以及復(fù)雜的多廠商供應(yīng)鏈帶來(lái)的暴露面持續(xù)增加。隨著系統(tǒng)向小芯片、異構(gòu)計(jì)算和軟件定義平臺(tái)擴(kuò)展，尤其是在汽車領(lǐng)域，架構(gòu)師需要越來(lái)越多地負(fù)責(zé)定義信任邊界、密鑰生命周期、升級(jí)機(jī)制，以及抵御側(cè)信道攻擊、故障注入攻擊和 AI 加速攻擊的能力。安全必須被視為首要架構(gòu)約束條件，從芯片設(shè)計(jì)之初就融入其中，因?yàn)檠谀ぐ嬉坏┝髌?，便沒有修正的機(jī)會(huì)。

Cadence旗下Secure-IC 聯(lián)合創(chuàng)始人兼首席技術(shù)官 Sylvain Guilley 指出：“部分最緊迫的安全問(wèn)題源于供應(yīng)鏈，因?yàn)樗协h(huán)節(jié)都參與其中，且存在既定標(biāo)準(zhǔn)與認(rèn)證。難點(diǎn)在于，整個(gè)系統(tǒng)由多個(gè)互聯(lián)子系統(tǒng)構(gòu)成。如果存在漏洞，重點(diǎn)就必須放在系統(tǒng)集成時(shí)的接口上。這極具挑戰(zhàn)性，也引出了責(zé)任歸屬問(wèn)題：這究竟是誰(shuí)的事？各方單獨(dú)可能都符合規(guī)范，但集成時(shí)仍會(huì)出現(xiàn)意料之外的問(wèn)題。提升供應(yīng)鏈全流程透明度，完善組件裝配的可審計(jì)性與可追溯性，將大有裨益。”

相關(guān)工作已從小芯片層面啟動(dòng)。Guilley 表示：“我們正與 UCIe 等標(biāo)準(zhǔn)組織合作，并參考相關(guān)法規(guī)，在芯片內(nèi)部直接建立可追溯性與透明度。思路是從芯片底層構(gòu)建供應(yīng)鏈安全信任，我們認(rèn)為這種方法未來(lái)應(yīng)得到更廣泛應(yīng)用，甚至在全供應(yīng)鏈實(shí)現(xiàn)標(biāo)準(zhǔn)化?！?/span>

后量子密碼（PQC）

安全專家表示，后量子密碼是最緊迫的問(wèn)題，需要立即著手應(yīng)對(duì)。在后量子密碼領(lǐng)域，最緊迫卻討論不足的安全問(wèn)題是 TNFL機(jī)制。新思科技安全 IP 解決方案產(chǎn)品管理高級(jí)總監(jiān) Dana Neustadter 表示：“我認(rèn)為這一威脅并未得到足夠重視。人們常從保密性角度談?wù)揌NDL，但 TNFL 卻少有關(guān)注，它會(huì)動(dòng)搖我們生活中所有安全體系的根基，因?yàn)樗芑厮萦绊戇^(guò)往事物。其一，攻擊者可偽造一份文件，使其看似在過(guò)去簽署；其二，過(guò)往真實(shí)且可驗(yàn)證的內(nèi)容將不再可證。如今受期限與壓力驅(qū)動(dòng)，抗量子方案和后量子密碼遷移愈發(fā)普遍，但 TNFL 的風(fēng)險(xiǎn)規(guī)模仍不明確?！?/span>

其他業(yè)內(nèi)人士也認(rèn)同量子威脅的嚴(yán)重性。Synaptics副總裁 David Garrett 稱：“后量子安全已被公認(rèn)為重要議題。盡管后量子技術(shù)尚未完全成熟可落地部署，但眾多機(jī)構(gòu)正積極籌備集成。業(yè)界高度重視應(yīng)對(duì)后量子技術(shù)發(fā)展帶來(lái)的挑戰(zhàn)，做好充分準(zhǔn)備。深入研究量子計(jì)算會(huì)發(fā)現(xiàn)，該技術(shù)走向?qū)嵱萌杂泻荛L(zhǎng)的路要走，但安全領(lǐng)域已面臨巨大挑戰(zhàn)，因?yàn)樗o應(yīng)用開發(fā)與調(diào)試設(shè)置了障礙。”

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正大力推進(jìn)相關(guān)工作。Neustadter 表示：“數(shù)字簽名、CNSA 標(biāo)準(zhǔn)及相關(guān)期限備受關(guān)注，正因 TNFL 問(wèn)題需要后量子密碼與抗量子數(shù)字簽名來(lái)解決。此外還有其他加密機(jī)制，相關(guān)推動(dòng)工作也在進(jìn)行，但必須全面落地?！?/span>

NIST 正積極標(biāo)準(zhǔn)化并推廣可抵御未來(lái)量子計(jì)算機(jī)攻擊的 PQC 算法，于 2024 年發(fā)布首批三項(xiàng)最終 PQC 標(biāo)準(zhǔn)，目前正致力于敲定更多標(biāo)準(zhǔn)、制定遷移指南，并通過(guò)國(guó)家網(wǎng)絡(luò)安全卓越中心（NCCoE）推動(dòng)互操作性測(cè)試。

汽車場(chǎng)景下的 PQC 面臨特殊挑戰(zhàn)。車企往往難以管理眾多子部件，導(dǎo)致 PQC 問(wèn)題監(jiān)控格外復(fù)雜。Cadence安全產(chǎn)品營(yíng)銷集團(tuán)總監(jiān) Yan-Taro Clochard 指出：“在典型 IT 環(huán)境中，用戶通常不清楚加密技術(shù)在系統(tǒng)內(nèi)的應(yīng)用位置，因此要耗費(fèi)大量成本梳理加密使用情況。這些細(xì)節(jié)對(duì) PQC 至關(guān)重要，因?yàn)橐坏┦タ梢曅?，僅靠軟件幾乎無(wú)法追蹤完整子系統(tǒng)。解決這一難題對(duì)提升整體安全管理至關(guān)重要?！?/span>

現(xiàn)代汽車搭載多達(dá) 150 個(gè)ECU，均來(lái)自不同一級(jí)供應(yīng)商，形成極為復(fù)雜的供應(yīng)鏈。Rambus 硅 IP 產(chǎn)品管理高級(jí)技術(shù)總監(jiān) Scott Best 表示：“其中約半數(shù) ECU 與網(wǎng)絡(luò)安全相關(guān)，這也是現(xiàn)代汽車常被稱作‘車輪上的數(shù)據(jù)中心’的原因，堪稱網(wǎng)絡(luò)威脅的密集攻擊目標(biāo)。當(dāng)下汽車網(wǎng)絡(luò)安全格局以 ISO/SAE 21434 為工程基石，聯(lián)合國(guó) WP.29 R155 與 R156 法規(guī)將網(wǎng)絡(luò)安全和安全升級(jí)定為強(qiáng)制要求，而非最佳實(shí)踐或產(chǎn)品競(jìng)爭(zhēng)優(yōu)勢(shì)。對(duì)于為一級(jí)供應(yīng)商供貨的芯片廠商而言，這些標(biāo)準(zhǔn)意味著要將信任根直接嵌入芯片，安全啟動(dòng)、受保護(hù)密鑰存儲(chǔ)、硬件隔離加密技術(shù)以及供應(yīng)鏈權(quán)屬鏈安全機(jī)制，已成為交付芯片的必備條件。”

安全算法 vs 安全實(shí)現(xiàn)

是德科技 EDA 創(chuàng)新總監(jiān) Durga Ramachandran 認(rèn)為，PQC 最亟待解決的問(wèn)題，是彌合 “安全算法” 與 “安全實(shí)現(xiàn)” 之間的差距，尤其是在真實(shí)硬件約束條件下。

Ramachandran 列舉了四大核心量子安全問(wèn)題。

第一，設(shè)計(jì)人員誤以為采用 NIST 認(rèn)證的 PQC 算法，實(shí)現(xiàn)就必然安全。但安全的算法不等于安全的實(shí)現(xiàn)。PQC 方案在數(shù)學(xué)上可抵御量子攻擊，可一旦映射到真實(shí)芯片、FPGA 和物聯(lián)網(wǎng)設(shè)備，就會(huì)面臨側(cè)信道泄露、故障注入、時(shí)序特性、內(nèi)存與功耗限制等所有傳統(tǒng)問(wèn)題。

第二，PQC 同樣無(wú)法避免 AES/RSA/ECC 面臨的攻擊，包括故障注入（電壓、電磁、激光、溫度等）和側(cè)信道泄露（功耗、電磁、時(shí)序，甚至聲學(xué)或其他輻射）。

第三，PQC 實(shí)現(xiàn)的面積和時(shí)延可能是傳統(tǒng)加密技術(shù)的 10 至 1000 倍。增加抗故障注入 / 側(cè)信道攻擊防護(hù)會(huì)進(jìn)一步大幅增加面積、功耗與時(shí)延（可達(dá) 4 至 8 倍甚至更高），導(dǎo)致架構(gòu)師極易為滿足功耗、性能、面積（PPA）和時(shí)序要求而在安全上妥協(xié)，而這正是可被利用的漏洞所在。最終結(jié)果是，硬件上實(shí)現(xiàn)安全 PQC 的復(fù)雜度與成本急劇攀升。

第四，安全未被盡早納入架構(gòu)設(shè)計(jì)階段。芯片流片后便無(wú)法回退，因此迫切需要將 PQC 和硬件攻擊思路融入早期架構(gòu)與規(guī)格定義階段。這意味著要識(shí)別關(guān)鍵資產(chǎn)（密鑰、長(zhǎng)效機(jī)密、密鑰使用模式），確定其存儲(chǔ)位置、留存時(shí)長(zhǎng)、使用頻率，并在 RTL 凍結(jié)或掩膜版制作前規(guī)劃防護(hù)措施與權(quán)衡方案。

AI 攻擊

量子攻擊并非讓安全專家擔(dān)憂的唯一潛在威脅，AI 又帶來(lái)了新的緊迫問(wèn)題。

新思科技Neustadter 表示：“AI 系統(tǒng)具備學(xué)習(xí)能力，且運(yùn)算速度極快。它能從特定威脅或攻擊中學(xué)習(xí)，實(shí)時(shí)調(diào)整，能力強(qiáng)大到現(xiàn)有系統(tǒng)難以應(yīng)對(duì)。談及 AI 對(duì)對(duì)抗性攻擊的影響，既要打造安全的 AI 系統(tǒng)，也要理解 AI 用于攻擊時(shí)的后果。我指的是 AI 加速勒索軟件，這并非個(gè)別現(xiàn)象，AI 會(huì)不斷學(xué)習(xí)進(jìn)化，攻擊能力持續(xù)提升?，F(xiàn)有技術(shù)能否跟上節(jié)奏？我看到了 AI 的諸多正面價(jià)值，以及全球?qū)υ摷夹g(shù)的巨額投入，它本質(zhì)上是萬(wàn)物與生活的進(jìn)化。我對(duì)此充滿信心，但仍需更多監(jiān)管，包括 AI 系統(tǒng)治理，相關(guān)清單已十分冗長(zhǎng)?！?/span>

芯片架構(gòu)師與設(shè)計(jì)人員為此投入大量精力，并由此延伸考慮系統(tǒng)其他部分。Synaptics Garrett 指出：“開發(fā)設(shè)備固件時(shí)，我希望擁有完全控制權(quán)，能監(jiān)控所有運(yùn)行狀態(tài)、核查細(xì)節(jié)、定位問(wèn)題。調(diào)試本身并不復(fù)雜，可一旦涉及安全，就會(huì)失去訪問(wèn)權(quán)限與可視性，所有內(nèi)容都受保護(hù)，帶來(lái)巨大挑戰(zhàn)。設(shè)備鎖定會(huì)大幅拖慢調(diào)試進(jìn)度。不過(guò)業(yè)內(nèi)已有相關(guān)解決方案，例如 Arm 劃分安全與非安全域，保障應(yīng)用安全，我們也采用內(nèi)存保護(hù)與加密模型?！?/span>

由行業(yè)發(fā)起成立的 CHERI 聯(lián)盟也在持續(xù)開展研究，該聯(lián)盟研發(fā)了能力硬件增強(qiáng) RISC 指令集（CHERI）安全技術(shù)。

Garrett 表示：“數(shù)據(jù)在系統(tǒng)中傳輸時(shí)，如何保護(hù)單個(gè)指針至關(guān)重要。核心挑戰(zhàn)在于讓工程師高效開發(fā)調(diào)試的同時(shí)保障安全，例如避免為調(diào)試方便而共享機(jī)密密碼。在不犧牲防護(hù)的前提下提升開發(fā)便捷性，是個(gè)需要審慎應(yīng)對(duì)的復(fù)雜問(wèn)題?！?/span>

隨著這些挑戰(zhàn)不斷演變，解決互聯(lián)系統(tǒng)安全的技術(shù)與監(jiān)管問(wèn)題愈發(fā)關(guān)鍵，這也為深入探討隱私與數(shù)據(jù)保護(hù)如何與先進(jìn)汽車技術(shù)融合奠定了基礎(chǔ)。以特斯拉用戶為例，用戶依賴云端互聯(lián)服務(wù)，特斯拉手機(jī)應(yīng)用與車主門戶均通過(guò)加密通道與后端系統(tǒng)通信。哨兵模式實(shí)時(shí)畫面等敏感直播流采用端到端加密，僅車主可查看。用戶可通過(guò)綁定賬戶的安全下載鏈接申請(qǐng)導(dǎo)出數(shù)據(jù)。

汽車領(lǐng)域安全隱患

汽車領(lǐng)域充斥著潛在安全問(wèn)題。隨著高級(jí)駕駛輔助系統(tǒng)（ADAS）愈發(fā)復(fù)雜，電子與軟件組件不斷增加，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)持續(xù)上升。如今，就連車載內(nèi)存也成為潛在攻擊途徑。

是德科技 EDA 內(nèi)存解決方案項(xiàng)目經(jīng)理 Randy White 表示：“為保護(hù) DRAM 免受行錘攻擊、降低數(shù)據(jù)損壞風(fēng)險(xiǎn)，JEDEC 數(shù)據(jù)完整性工作組制定了一系列功能，包括行激活計(jì)數(shù)器，以保障數(shù)據(jù)安全。相關(guān)考量與討論還需契合 AEC-Q100、ISO 26262 等外部標(biāo)準(zhǔn)及其他可靠性與安全規(guī)范?！?/span>

相關(guān)標(biāo)準(zhǔn)主要針對(duì)三大場(chǎng)景提供防護(hù)：車輛內(nèi)部、車與云端傳輸過(guò)程、后端系統(tǒng)。以特斯拉為例，操作系統(tǒng)數(shù)據(jù)、日志與部分設(shè)置存儲(chǔ)在車內(nèi)內(nèi)置閃存中，車輛內(nèi)部設(shè)有保護(hù)機(jī)制，守護(hù)軟件中的個(gè)人數(shù)據(jù)，同時(shí)具備恢復(fù)出廠設(shè)置功能，可在車主出售或轉(zhuǎn)讓車輛前徹底清除個(gè)人數(shù)據(jù)。

“車輛、應(yīng)用與云端之間的傳輸環(huán)節(jié)” 涵蓋特斯拉為保護(hù)傳輸中個(gè)人數(shù)據(jù)采取的安全措施，包括車輛、服務(wù)器與手機(jī)應(yīng)用之間的加密連接。特斯拉后端系統(tǒng)僅對(duì)特定崗位員工開放，數(shù)據(jù)存儲(chǔ)于安全數(shù)據(jù)中心?？傮w而言，消費(fèi)者對(duì)自身數(shù)據(jù)與使用記錄擁有部分控制權(quán)，但非全部。

White 表示：“總而言之，內(nèi)存只是其中一個(gè)組件。從整體來(lái)看，特斯拉和所有整車廠商都必須實(shí)施零信任安全策略。該模式遵循‘永不信任，始終驗(yàn)證’原則，確保嚴(yán)格的訪問(wèn)控制與對(duì)用戶、設(shè)備的持續(xù)驗(yàn)證。特斯拉通過(guò)加密、訪問(wèn)控制與車內(nèi)安全功能組合保護(hù)所收集的全部數(shù)據(jù)，但其具體加密實(shí)現(xiàn)與內(nèi)部管控僅做了概括性說(shuō)明，未披露完整技術(shù)細(xì)節(jié)。”

要實(shí)現(xiàn)車輛數(shù)據(jù)多級(jí)安全防護(hù)，需采用分層方案，從芯片層面延伸至車內(nèi)網(wǎng)絡(luò)與云端服務(wù)。Cadence Clochard 表示：“硬件層面通過(guò)內(nèi)置信任根與加密機(jī)制保護(hù)數(shù)據(jù)，從生成伊始就保障其完整性與機(jī)密性。ECU 之間的通信采用 MACsec、安全 CAN/J1939 等標(biāo)準(zhǔn)，保障數(shù)據(jù)真實(shí)性，支撐 ADAS 與自動(dòng)駕駛系統(tǒng)關(guān)鍵的功能安全需求。除數(shù)據(jù)保護(hù)外，還需按照汽車相關(guān)標(biāo)準(zhǔn)（如 ISO 21434）要求管理入侵檢測(cè)、漏洞與安全生命周期。長(zhǎng)期防護(hù)還依賴安全啟動(dòng)、固件升級(jí)以及專為抵御未來(lái)威脅設(shè)計(jì)的加密技術(shù)，包括后量子密碼。通過(guò)結(jié)合硬件安全、安全通信與生命周期管理，可在滿足現(xiàn)代汽車系統(tǒng)高安全可靠性標(biāo)準(zhǔn)的同時(shí)，守護(hù)車輛數(shù)據(jù)?！?/span>

英飛凌產(chǎn)品營(yíng)銷經(jīng)理 Robert Bach 表示，部分車企已著手部署硬件安全方案，尤其是因產(chǎn)品壽命長(zhǎng)而提前布局的整車廠商?！安糠制髽I(yè)正應(yīng)對(duì)量子計(jì)算威脅，也有企業(yè)希望利用量子計(jì)算機(jī)開展各類有益應(yīng)用。英飛凌設(shè)有小型團(tuán)隊(duì)研發(fā)量子計(jì)算算法，以優(yōu)化供應(yīng)鏈。半導(dǎo)體供應(yīng)商擁有數(shù)十萬(wàn)客戶、數(shù)十億件產(chǎn)品，供應(yīng)鏈協(xié)同是重大挑戰(zhàn)，而量子計(jì)算機(jī)具備強(qiáng)大的優(yōu)化能力。即便只有 250 個(gè)量子比特，其計(jì)算能力也可媲美宇宙級(jí)運(yùn)算。盡管我們身處行業(yè)，存在安全顧慮，但量子計(jì)算的潛在機(jī)遇無(wú)比巨大?！?/span>

隨著行業(yè)持續(xù)發(fā)展，這些安全策略必須適配愈發(fā)復(fù)雜的車輛系統(tǒng)與日益增長(zhǎng)的互聯(lián)技術(shù)依賴度。這凸顯了采用綜合方案應(yīng)對(duì)汽車網(wǎng)絡(luò)安全技術(shù)與運(yùn)營(yíng)挑戰(zhàn)的必要性，也將推動(dòng)新標(biāo)準(zhǔn)與規(guī)范落地，保障數(shù)據(jù)完整性與駕乘人員安全。

汽車行業(yè)對(duì)現(xiàn)代車輛的認(rèn)知正在轉(zhuǎn)變，車輛愈發(fā)被視作 “車輪上的計(jì)算機(jī)”，尤其是隨著自動(dòng)駕駛技術(shù)發(fā)展。Imagination Technologies 產(chǎn)品網(wǎng)絡(luò)安全經(jīng)理 Jaroslaw Szostak 指出：“以運(yùn)行于倫敦希思羅機(jī)場(chǎng)與維多利亞汽車站之間的自動(dòng)駕駛接駁車為例，乘客依賴車輛安全送達(dá)，這體現(xiàn)了功能安全的重要性。除保障運(yùn)行可靠性外，還必須解決安全問(wèn)題，防止攻擊者危及乘客安全。傳統(tǒng)模式下，駕駛員可應(yīng)對(duì)突發(fā)狀況或監(jiān)控行程，但邁向完全自動(dòng)駕駛后，新挑戰(zhàn)隨之而來(lái)。我們的應(yīng)對(duì)思路是，全面梳理各應(yīng)用場(chǎng)景，開展詳盡威脅分析與風(fēng)險(xiǎn)評(píng)估，識(shí)別潛在威脅與攻擊路徑，進(jìn)而制定風(fēng)險(xiǎn)緩解方案。”

這是一項(xiàng)重大挑戰(zhàn)，硬件安全模塊（HSM）組件尤為突出。Szostak 表示：“目前已有 FIPS、通用評(píng)估準(zhǔn)則、PCIe 等成熟標(biāo)準(zhǔn)，尤其適用于智能卡與銀行業(yè)。但 GPU 尚無(wú)相關(guān)標(biāo)準(zhǔn)，且 GPU 通常不被視為安全或與安全相關(guān)的組件。原因在于 GPU 不直接連接車輛總線（如底盤總線），而是通過(guò) CPU 接口。相比之下，CPU 通常支持安全啟動(dòng)、安全數(shù)據(jù)存儲(chǔ)與硬件信任根等功能，因此我們高度依賴 CPU 保障安全?！?/span>

另一項(xiàng)挑戰(zhàn)是讓 GPU 被認(rèn)定為網(wǎng)絡(luò)安全相關(guān)組件?！拔覀兇_保固件認(rèn)證，僅使用合法虛擬機(jī)軟件，并梳理潛在攻擊向量。區(qū)域架構(gòu)涉及虛擬化與多租戶場(chǎng)景，引發(fā)諸多重要的假設(shè)性問(wèn)題。例如，若系統(tǒng)融合模塊與信息娛樂(lè)或遠(yuǎn)程信息處理模塊共享，會(huì)發(fā)生什么？媒體報(bào)道常曝出信息娛樂(lè)系統(tǒng)存在漏洞，甚至有句玩笑話：若問(wèn)題原因不明，就歸咎于信息娛樂(lè)系統(tǒng)。GPU 主要用于信息娛樂(lè)與融合模塊，這一背景至關(guān)重要?！?/span>

相關(guān)工作已取得進(jìn)展。2016 年，SAE 發(fā)布網(wǎng)絡(luò)安全指南 SAE J3061《信息物理車輛系統(tǒng)網(wǎng)絡(luò)安全指南》。Szostak 表示：“彼時(shí) J3061 僅為指南，部分企業(yè)僅將其作為參考，而非強(qiáng)制要求。但聯(lián)合國(guó) WP.29 出臺(tái)法規(guī)后，監(jiān)管格局發(fā)生重大變化，合規(guī)從建議變?yōu)檐囕v型式認(rèn)證與銷售的必要條件。隨著 R155 與 R156 標(biāo)準(zhǔn)落地，廠商必須實(shí)施網(wǎng)絡(luò)安全管理體系（CSMS）與軟件升級(jí)管理體系（SUMS）。對(duì)我們而言，這意味著固件開發(fā)需遵循安全設(shè)計(jì)原則，首先搭建完善的 CSMS。SUMS 則確保所有固件升級(jí)在無(wú)充分文檔說(shuō)明與合理解釋的情況下，不得新增功能或禁用現(xiàn)有功能。準(zhǔn)確記錄所有變更至關(guān)重要，因?yàn)檎噺S商申請(qǐng)型式認(rèn)證時(shí)需接受相關(guān)審核。”

例如，搭載高級(jí)安全功能的車輛依賴特定傳感器校準(zhǔn)參數(shù)，如激光雷達(dá)或雷達(dá)固定測(cè)距范圍。這些參數(shù)必須保持不變，以保障車輛完整性與安全性，擅自修改會(huì)改變性能表現(xiàn)，帶來(lái)未經(jīng)測(cè)試的風(fēng)險(xiǎn)。Szostak 補(bǔ)充道：“此外，責(zé)任問(wèn)題也要求校準(zhǔn)參數(shù)等內(nèi)容禁止用戶擅自修改，未經(jīng)授權(quán)的變更會(huì)損害品牌形象，引發(fā)重大安全隱患。為應(yīng)對(duì)這些挑戰(zhàn)，行業(yè)采用加密技術(shù)與硬件解決方案（如利用 GPU）保護(hù)配置并驗(yàn)證其完整性，即便有人通過(guò)硬件接口試圖篡改，廠商也能證明配置未被改動(dòng)。最終，這些措施將在車輛全生命周期內(nèi)保障合規(guī)性與終端用戶安全。”

事實(shí)上，部分業(yè)內(nèi)人士認(rèn)為，汽車網(wǎng)絡(luò)安全的最大威脅來(lái)自傳感器。西門子 EDA 汽車與軍工航空領(lǐng)域混合物理及虛擬系統(tǒng)副總裁 David Fritz 表示：“當(dāng)傳感器直接接入汽車以太網(wǎng)時(shí)，我認(rèn)為傳感器廠商并未充分考慮防范偽造攻擊的問(wèn)題。常見案例是，向攝像頭注入虛假數(shù)據(jù)，傳輸至中央計(jì)算與感知系統(tǒng)，讓車輛誤以為前方存在不存在的障礙物，進(jìn)而采取規(guī)避操作引發(fā)事故。這是最大的隱患之一。”

總結(jié)

下一代芯片安全必須被視為首要架構(gòu)約束條件，而非后期追加功能，需從設(shè)計(jì)第一天就融入后量子密碼、安全實(shí)現(xiàn)方案與產(chǎn)品長(zhǎng)壽命考量。

選擇合適的算法至關(guān)重要，同時(shí)要彌合數(shù)學(xué)安全設(shè)計(jì)與物理安全硬件之間的差距，管理復(fù)雜供應(yīng)鏈、AI 加速攻擊以及日益軟件定義的汽車。歸根結(jié)底，構(gòu)建互聯(lián)系統(tǒng)的信任需要覆蓋芯片、軟件、傳感器與云端基礎(chǔ)設(shè)施的全分層綜合方案。