帳號:
密碼:
 
CTIMES / 文章 /   
汽車安全性輕而易舉
 

【作者: Nicolas Schieli】   2018年02月26日 星期一

瀏覽人次:【4451】
  

汽車行業正面臨著巨大挑戰。汽車製造商正在將越來越多的電子設備加到汽車裏,同時也將眾多的汽車連接到互聯網。如此,倘若在汽車架構中未導入安全措施,那就會對汽車的安全造成嚴重的威脅。


儘管這是長期的變革,但開發人員對安全解決方案的需求已是刻不容緩,因為在這若干年的轉型期間,如果開發者只是等待新標準出現而不採取任何措施,那麼汽車和司機無疑將會面臨很大風險。這時安全型微控制器、信任錨設備(TAD)和邊界安全設備可提供一種過渡解決方案。它們可以直接實現並大幅強化汽車防範入侵和任何未經授權的活動的能力。


不安全問題由來已久

汽車逐漸電子化的歷程已持續多年。由於一旦發生故障便會危及生命,因此出於安全考慮,汽車的設計與其他交通工具有所不同。每個電子功能都擁有自己的獨立計算資源,這些資源捆綁到一個電子控制單元(ECU)中。這些ECU透過專為這一特定用途開發的CAN匯流排互連。


最初,只有面向傳動系統的功能才會規畫連接到匯流排。但新型電子汽車元件(尤其是高級駕駛輔助系統(ADAS)和所謂的資訊娛樂“中控台”)的要求遠不止於確保汽車順利運行。儘管有些元件比其他元件的安全性要求更嚴格,但它們都連接到同一條CAN匯流排。


特別是,資訊娛樂部分需要互聯網連接,透過這種連接,其他人可以嘗試駭入匯流排,進而存取汽車中的所有電子模組(關鍵型和非關鍵型),這使得安全性成為重要的考慮因素。


雖然這種問題看似歸咎於非任務關鍵型模組,但是蜂巢式互聯網連接並不是唯一可能的入口點。汽車還會提供Wi-Fi和Bluetooth連接作為獲得入口的替代方式,甚至是無鑰門禁系統和車載診斷系統都是進入汽車核心的可能入口。


同時,ADAS軟體會在汽車的各種感測器與其他執行器之間建立複雜的關係。如果汽車檢測到可能與前方汽車發生碰撞,則會自動啟用?車功能,以快於駕駛的反應速度進行減速,進而避免發生車禍。因此,ADAS系統必須能夠連結傳動和安全系統的關鍵元件。但由於互聯網連接也就暴露了這些系統的控制,因此我們將再次面臨安全挑戰。


問題是,CAN匯流排架構自身並不具備安全特性,且其傳輸效能的限制也無法在此架構上增添安全功能。因此,現階段而言,對於如何建立系統級的安全解決方案,汽車製造商並沒有一個清楚的方向,既不自行開發龐大系統,也並沒有針對安全漏洞被動一一防堵。


雖然基本ECU軟體的數量可能以正常速度增長,但ADAS和資訊娛樂程式的數量正在激增。這對開發人員來說是一個持續的挑戰:他們如何確保不為某些人提供入侵以及惡意操作汽車關鍵元件的機會?


這不僅僅是車內的問題。汽車之間通信對於ADAS系統瞭解路況以及明確如何回應緊急情況至關重要,這在技術上意味著,處於彼此監聽範圍內的所有汽車都位於同一網路,進而使彼此面臨風險。


曙光終於出現了

對於從全新理念的構思到推出產品需要長達五年時間的行業而言,變革面臨重重困難。即便是對實施安全性的迫切需求也被推遲,因為這表示需要大量工作來調整操作,以便融合安全理念。戲劇性的是,發生了吉普汽車遭到駭客攻擊的事件,強力提醒了汽車安全的重要性。


幸運的是,新一代CAN匯流排標準CAN FD可提供支援安全性所需的傳輸效能。它比CAN 2.0快四倍,並且提供64位元組的有效負載,而CAN 2.0只能提供8位元組的有效負載。該標準尚未正式批准,但已存在完整的草案,預計不久將獲得通過。


新架構將支援從當前各部分高度分散的情況向更集中的可控結構轉移。ECU可融合到網域中,相應的網域控制站可作為防火牆來保護網域。最終,可對這些網域控制站本身進行融合,進而為身份驗證和存取授權提供了中央控管機制(central locus)。仔細挑選的安全微處理器可用於管理安全啟動過程以及強化隔離和可信區域(trusted zone),以防止惡意軟體存取關鍵資源。


圖1 :  CAN 2.0不具備安全特性,任務關鍵型ECU共用同一條具有資訊娛樂功能和其他功能的無保護匯流排,可通過多種方式瀏覽匯流排。CAN FD將允許域和網域控制站充當防火牆來限制瀏覽。上圖顯示了一種將不同功能分組到域中的方法。
圖1 : CAN 2.0不具備安全特性,任務關鍵型ECU共用同一條具有資訊娛樂功能和其他功能的無保護匯流排,可通過多種方式瀏覽匯流排。CAN FD將允許域和網域控制站充當防火牆來限制瀏覽。上圖顯示了一種將不同功能分組到域中的方法。

由於CAN FD對當前CAN架構進行了重大改變,因此需要五到八年的時間來進行檢查和評估(以及應對阻力),之後才會最終採用。從長遠來看,這對於實現安全性是一個利多消息。同時,在CAN FD成為新標準之前,必須採取相應措施來保護已經上市的汽車。


保障安全

即使CAN FD正在等待正式批准,目前已可使用CAN FD收發器。這可在正式透過之前提高安全性。可透過多種方法提高安全性。儘管存在安全的微控制器,但它們通常是高端處理器,因此可能超出了ECU成本目標的範圍。


而使用提供加密功能的TAD或組合TAD與CAN FD收發器的邊界安全設備則可確保每個ECU都受到保護。這些設備處於帶有CAN 2.0收發器的處理器與CAN FD匯流排之間,可提供額外的安全功能,同時幾乎無需對ECU進行設計更改。


加密功能支持增強式驗證,可對嘗試訪問ECU的任何人員進行身份驗證。它還將加密通信,支援較新晶片的橢圓曲線加密;與舊RSA加密相比,能提供更強大的保護或允許更短的金鑰。然而,現有模組可能將RSA加密作為備用安全方案的一部分,因此設備也提供RSA功能。



圖2 :  用TAD或邊界安全設備替換CAN收發器晶片會增強現有電子模組的安全性,即使未對模組進行其他更改也如此。
圖2 : 用TAD或邊界安全設備替換CAN收發器晶片會增強現有電子模組的安全性,即使未對模組進行其他更改也如此。

關鍵之處在於,所有加密功能均在硬體中執行,這樣便無法在運行時檢查加密程式。這還提高了效能,可減少安全性所需的額外開銷。此外,邊界安全設備不允許任何人(無論是否獲得授權)查看任何金鑰,可實現對所有金鑰的保護。其防篡改功能可防止確定的竊聽程式嘗試透過暴力攻擊或旁路攻擊(side-channel)獲取機密,進而侵入邊界安全設備。


安全性唾手可得

TAD和邊界安全設備現在可以從Microchip等公司獲得,進而可立即著手解決當今汽車行業面臨的嚴重問題。在等待CAN FD在未來五年或更長時間內帶來起色的同時,實現各種新功能的程式在不斷湧現,我們根本等不及CAN FD獲得批准。


使用TAD或邊界安全設備設計的汽車模組可有力地排除道路上的嚴重安全隱患。


(本文作者Nicolas Schieli為Microchip公司安全產品部門行銷和應用資深總監)


相關文章
汽車網路需要深度數據包檢測技術
自動化工業中的乙太網路(三) Modbus TCP以及PROFINET
駕駛注意力與生理狀態偵測系統
車輛智慧化現況與自動駕駛進展
連網汽車發展之先進無線技術需求
comments powered by Disqus
相關討論
  相關新品
Platform Manager Devices
原廠/品牌:Lattice
供應商:Lattice
產品類別:Power
Power Manager II Hercules Development Kit
原廠/品牌:Lattice
供應商:Lattice
產品類別:Power
Processor PM Development Kit
原廠/品牌:Lattice
供應商:Lattice
產品類別:Power
  相關新聞
» MEMS感測器助攻 Bosch去年在台營收創新高
» 從製造業大國走向製造業強國 大陸運動控制技術發展不容小覷
» 智慧感測促進多重辨識 AIoT開啟應用商機
» 效能、擴充性、體積和維修 新世代UPS四大設計趨勢
» 伊頓內湖辦公室喬遷 整合跨部門資源推動服務升級
  相關產品
» 凌華發表MXE-1500強固型無風扇嵌入式電腦
» Microchip全新介面手勢軟體函式庫輕鬆配置低功率觸控板
» igus實現 3D列印魚眼軸承使用壽命的線上計算
» Amazon與NXP合作遠場語音開發套件器協助OEM新品設計
» 諾基亞展示採用浩亭RFID讀取器和LOCFIELD天線的盒裝工廠
  相關資源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2018 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw