浅谈e.MMC的数据安全

智能座舱的信息安全也变得越来越重要，保障用户在使用过程中信息的完整性，可靠性，在数据安全方面，变的至关重要，智能座舱的存储器主要是e.MMC。

智能座舱中需要使用到的存储芯片器件有HUD抬头显示、数据仪表盘、网关、v2x、行车记录仪、影音娱乐系统和智能座舱。

这些产品的数据存储大部分使用的都是EMMC， 而eMMC相当于Nand Flash+主控IC ，它的一个明显优势是在封装中集成了一个控制器，提供标准接口并管理闪存，大数据的容量使得产品可以经常OTA升级迭代。

传统的电子电器除了开发诊断手段外，只有触摸屏人机控制会通过射频系统比如短信，电话等与外界相连。仅仅通过短信也是外界黑客侵入的途径，总体风险窗口比较小。当汽车进入新能源时代，国家强制要求整车基本数据上传监控运营状态进行补贴等目的，T-Box成为了新的入侵点。黑客可以通过射频系统，3G/4G, 蓝牙，WiFi等入侵串改数据，破坏安全。而域控制器，超级计算机，OTA，自动驾驶等汽车行业颠覆性技术的兴起，大量数据交互成为整车新的生态。汽车和人，终端的交互不再以简单人机交互为主了，多了新的方式：

• 自动驾驶TB级别的数据采集上传，云端/终端数据计算下载到自动驾驶端

• 云端，客户端通过手机蓝牙，NFC，4G/5G等方式交互 （比如蓝牙解锁，手机钥匙遥控车运动等）

• 智能座舱以及app软件，自动驾驶，动力总成，底盘控制等软件通过OTA在线升级

新的交互方式为外部暴露了更多潜在的攻击窗口。同时，汽车网络安全攻击也不再只是可能性，而据统计现代汽车有90%以上的控制都是通过软件来实现的，因此，控制不断上升的安全风险，降低可能带来的潜在损失，是当前汽车行业开始投入信息安全的主要原因。

e.MMC 作为汽车导航中主要存储部件之一，其包含多种保护数据的安全功能，这些功能已经过多年的发展并随着eMMC规范版本的变化而不断改进，这里要着重为大家介绍重放保护内存块( Replay Protected Memory Block,RPMB）在保障数据安全中的重要作用。

这里我们先了解一下什么是【重放攻击】和【重放攻击保护】

重放攻击是指当程序从两个实体的合法交互中复制数据，然后在稍后阶段重新传输相同的数据并不停地重复此操作，以这样的方式进行重放攻击，而应对重放攻击的基本思路方法是确保每条信息都是唯一的，如可通过为传输的信息加哈希值、加随机数、加时间戳、加流水号、加一次性口令等方式为信息加上唯一性标记。

RPMB（重放保护内存块）功能首次在eMMC4.4中引入，此功能使设备能够将数据存储在经过身份验证和防止重放攻击的小型特定区域。RPMB是一种包含的安全协议（具有自己的命令操作码和数据结构）。该协议的机制包括一个共享密钥和一个HMAC（哈希消息认证码），用于对访问安全区域的所有读/写操作进行签名。

e.MMC的RPMB功能的工作原理

首先RPMB使用对称秘钥身份认证来生成唯一的信息传输密码，其次访问RPMB的命令需要通过SHA-256加密算法计算，并用得出的结果进行验证，在进行写操作时需要输入密钥和消息的具体内容，写计数器才会对这些密匙参数进行计算，在读操作时使用随机数作为计算参数来玍成密匙，e.MMC的多种数据保护机制和安全功能，可带来更可靠的数据存储

RPMB身份验证：RPMB使用对称密钥身份验证，其中主机和设备都使用相同的身份验证密钥（此密钥也称为“共享密钥”），操作如下：

1、RPMB身份验证密钥信息先由主机传输到eMMC设备（这必须在安全环境中进行，通常在生产线上安装rpmb key）。

2、主机和设备都使用身份验证密钥对涉及RPMB区域的读写消息进行签名和身份验证。

3、对消息进行签名涉及到一个消息认证码（MAC），它是使用HMAC SHA-256算法计算的。

RPMB重放攻击保护：重放保护的基本思想是确保每条消息都是唯一的。在RPMB中，设备管理一个只读计数器，该计数器在每次写入消息后递增，其新值将包括在下一个要发送的验证码的计算中。

RPMB命令通过计算进行验证，该计算将作为输入：

1、共享/密钥。

2、包含写入命令或读取结果的消息。

3、写入计数器，统计写入RPMB的总次数。

4、一个nonce，它是每个读命令随机生成的数字。

西部数据有专门车规级和工业级eMMC嵌人式闪存产品线，专门针对汽车工业物联网、安防监控等对数据安全有极高要求的板载存储类应用，是板载存储和边缘设备的理想存储解决方案，有效解决了传统安全信息的问题。

审核编辑：汤梓红