账号:
密码:
CTIMES / 文章 /   
汽车安全性唾手可得
 

【作者: Nicolas Schieli】2018年02月26日 星期一

浏览人次:【7794】
  

汽车行业正面临着巨大挑战。汽车制造商正在将越来越多的电子设备融入汽车中,同时又将越来越多的汽车连接到互联网。倘若汽车架构中不引入安全措施,就会对汽车造成安全威胁。


尽管这是长期的变革,但开发人员对安全解决方案的需求刻不容缓,因为在这若干年的转型期中,如果汽车和司机只是等待新标准出现而不采取任何措施,无疑会面临很大的风险。安全微控制器、信任锚设备(TAD)和边界安全设备可提供一种过渡解决方案。它们可以直接实现和显着增强汽车拒绝入侵和任何未经授权的活动的能力。


不安全问题由来已久

汽车逐渐电子化的历程已持续多年。由於一旦发生故障便会危及生命,因此出於安全考虑,汽车的设计与其他交通工具有所不同。每个电子功能都拥有自己的独立计算资源,这些资源捆绑到一个电子控制单元(即ECU)中。这些ECU通过专为这一特定用途开发的CAN汇流排互连。


最初,只有面向传动系统的功能才会构建并连接到汇流排。但新型电子汽车元件(尤其是高级驾驶辅助系统(ADAS)和所谓的资讯娱乐「中控台」)的要求远不止於确保汽车高效运行。尽管有些元件比其他元件的安全性要求更严格,但它们都连接到同一条CAN汇流排。


特别是资讯娱乐部分需要互联网连接,通过这种连接,其他人可以尝试浏览汇流排,从而浏览汽车中的所有电子模组(关键型和非关键型),这使得安全性成为重要的考虑因素。


虽然这种问题看似归咎於非任务关键型模组,但是蜂窝互联网连接并不是惟一可能的入囗点。汽车还会提供Wi-Fi和Bluetooth连接作为获得入囗的替代方式,甚至是无钥门禁系统和车载诊断系统都能提供进入汽车核心的可能入囗。


同时,ADAS软体会在汽车的各种感测器与其他执行器之间建立复杂的关系。如果汽车检测到可能与前方汽车发生碰撞,则会自动应用?车功能,以快於驾驶员的反应速度进行减速,从而避免发生车祸。因此,ADAS系统必须能够浏览传动和安全系统的关键部件。由於互联网连接暴露了所有这些系统,因此我们将再次面临安全挑战。


问题是,CAN汇流排架构自身并不具备安全特性,而且其性能也过低,以至无法支持基於ad-hoc增添安全性。因此,就这一点而言,对於如何在不自行发明大型系统或无需在发现安全性漏洞时逐个封堵的情况下,实现系统级安全性能,汽车制造商及其供应商没有统一的指导原则。


虽然基本ECU软体的数量可能以正常速度增长,但ADAS和资讯娱乐代码的数量正在激增。这对开发人员来说是一个持续的挑战:他们如何确保不为某些人提供入侵以及恶意操作汽车关键元件的机会?


这不仅仅是车内的问题。汽车间通讯对於ADAS系统了解路况以及明确如何回应紧急情况至关重要,这在技术上意味着,处於彼此监听范围内的所有汽车都位於同一网路,从而使彼此面临风险。


曙光终於出现了

对於从全新理念的构思到推出经销产品需要五年时间的行业而言,变革面临重重困难。即便是对实施安全性的迫切需求也被推迟,因为这表示需要大量工作来调整操作,以便融合安全理念。戏剧性的是,发生了吉普汽车遭到骇客攻击的案例,这有力证明了汽车安全性至关重要。


幸运的是,新一代CAN汇流排标准CAN FD可提供支援安全性所需的性能。它比CAN 2.0快四倍,并且提供64位元组的有效负载,而CAN 2.0只能提供8位元组的有效负载。该标准尚未正式批准,但已存在完整的草案,预计不久将获得通过。


新架构将支援从当前各部分高度分散的情况向更集中的可控结构转移。ECU可融合到域中,相应的网域控制站可作为防火墙来保护域。最终,可对这些网域控制站本身进行融合,从而为身份验证和浏览授权提供了中心点。仔细挑选的安全微处理器可用於管理安全启动过程以及强化隔离和受信区域,以防止恶意软体访问关键资源。


(图1)


图1 :  CAN 2.0不具备安全特性,任务关键型ECU共用同一条具有资讯娱乐功能和其他功能的无保护汇流排,可通过多种方式浏览汇流排。CAN FD将允许域和网域控制站充当防火墙来限制浏览。上图显示了一种将不同功能分组到域中的方法。
图1 : CAN 2.0不具备安全特性,任务关键型ECU共用同一条具有资讯娱乐功能和其他功能的无保护汇流排,可通过多种方式浏览汇流排。CAN FD将允许域和网域控制站充当防火墙来限制浏览。上图显示了一种将不同功能分组到域中的方法。

由於CAN FD对当前CAN架构进行了重大改变,因此需要五到八年的时间来进行检查和评估(以及应对阻力),之後才会最终采用。从长远来看,这对於实现安全性是一个利好消息。同时,在CAN FD成为新标准之前,必须采取相应措施来保护要推出的汽车。


保障安全

即使CAN FD正在等待正式批准,目前已可使用CAN FD收发器。这可在正式通过之前提高安全性,以及可通过多种方法提高安全性。尽管存在安全的微控制器,但它们通常是高端处理器,因此可能超出了ECU成本目标的范围。


而使用提供加密功能的TAD或组合TAD与CAN FD收发器的边界安全设备则可确保每个ECU都受到保护。这些设备处於带有CAN 2.0收发器的处理器与CAN FD汇流排之间,可提供额外的安全性能,同时几??无需对ECU进行设计更改。


加密功能支持增强式验证,可对尝试浏览ECU的任何人员进行身份验证。它还将加密通讯,支援较新晶片的椭圆曲线加密;与旧RSA加密相比,能提供更强大的保护和/或允许更短的金钥。然而,现有模组可能将RSA加密作为ad-hoc安全方案的一部分,因此设备也将提供RSA功能。(图2)



图2 :  用TAD或边界安全设备替换CAN收发器晶片会增强现有电子模组的安全性,即使未对模组进行其他更改也如此。
图2 : 用TAD或边界安全设备替换CAN收发器晶片会增强现有电子模组的安全性,即使未对模组进行其他更改也如此。

关键之处在於,所有加密功能均在硬体中执行,这样便无法在运行时检查加密代码。这还提高了性能,可减少安全性所需的额外开销。此外,边界安全设备不允许任何人(无论是否获得授权)查看任何金钥,可实现对所有金钥的保护。其防篡改功能可防止确定的窃听程式尝试通过暴力攻击或旁路攻击获取机密,从而侵入边界安全设备。


安全性唾手可得

TAD和边界安全设备现在可以从Microchip等公司获得,从而可立即着手解决当今汽车行业面临的严重问题。在等待CAN FD在未来五年或更长时间内带来起色的同时,实现各种新功能的代码在不断涌现,我们根本等不及CAN FD获得批准。


今天使用TAD或边界安全设备设计的汽车模组可有力地排除道路上的严重安全隐患。


(本文作者Nicolas Schieli为Microchip公司安全产品部行销和应用高级总监)


相关文章
加速实现网路终端低功耗人工智慧应用
为什麽802.11ax是互联网汽车的「必备技术」?
汽车网路需要深度数据包检测技术
自动化工业中的乙太网路(三) Modbus TCP以及PROFINET
驾驶注意力与生理状态侦测系统
comments powered by Disqus
相关讨论
  相关新品
Platform Manager Devices
原厂/品牌:Lattice
供应商:Lattice
產品類別:Power
Power Manager II Hercules Development Kit
原厂/品牌:Lattice
供应商:Lattice
產品類別:Power
Processor PM Development Kit
原厂/品牌:Lattice
供应商:Lattice
產品類別:Power
  相关新闻
» Audi匈牙利电动马达生产基地正式启用
» NEC台湾叁与消防署防灾士培训 并支援资讯系统整合
» 智慧城市系统建置 软硬整合与资安是两大重点
» [搬迁启示]台湾雄克股份有限公司迁址
» 智慧农业成趋势 全控制型架构ROI更隹
  相关产品
» 盛齐推出SolarEdge 100KW协同技术三相逆变器
» igus新机器人设备配置器 找出专属安全供能系统
» 安富利扩展与微芯科技的合作关系
» Microchip首款汽车安全开发套件 保护汽车网路免受骇客攻击
» 美高森美推出低延迟、低功耗、高可靠Gen 4 PCIe交换机
  相关资源
» Power Management Solutions for Altera FPGAs

AD