账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
汽车安全性轻而易举
 

【作者: Nicolas Schieli】2018年02月26日 星期一

浏览人次:【22203】

汽车行业正面临着巨大挑战。汽车制造商正在将越来越多的电子设备加到汽车里,同时也将众多的汽车连接到互联网。如此,倘若在汽车架构中未导入安全措施,那就会对汽车的安全造成严重的威胁。


尽管这是长期的变革,但开发人员对安全解决方案的需求已是刻不容缓,因为在这若干年的转型期间,如果开发者只是等待新标准出现而不采取任何措施,那么汽车和司机无疑将会面临很大风险。这时安全型微控制器、信任锚设备(TAD)和边界安全设备可提供一种过渡解决方案。它们可以直接实现并大幅强化汽车防范入侵和任何未经授权的活动的能力。


不安全问题由来已久

汽车逐渐电子化的历程已持续多年。由于一旦发生故障便会危及生命,因此出于安全考虑,汽车的设计与其他交通工具有所不同。每个电子功能都拥有自己的独立计算资源,这些资源捆绑到一个电子控制单元(ECU)中。这些ECU透过专为这一特定用途开发的CAN汇流排互连。


最初,只有面向传动系统的功能才会规画连接到汇流排。但新型电子汽车元件(尤其是高级驾驶辅助系统(ADAS)和所谓的资讯娱乐“中控台”)的要求远不止于确保汽车顺利运行。尽管有些元件比其他元件的安全性要求更严格,但它们都连接到同一条CAN汇流排。


特别是,资讯娱乐部分需要互联网连接,透过这种连接,其他人可以尝试骇入汇流排,进而存取汽车中的所有电子模组(关键型和非关键型),这使得安全性成为重要的考虑因素。


虽然这种问题看似归咎于非任务关键型模组,但是蜂巢式互联网连接并不是唯一可能的入口点。汽车还会提供Wi-Fi和Bluetooth连接作为获得入口的替代方式,甚至是无钥门禁系统和车载诊断系统都是进入汽车核心的可能入口。


同时,ADAS软体会在汽车的各种感测器与其他执行器之间建立复杂的关系。如果汽车检测到可能与前方汽车发生碰撞,则会自动启用?车功能,以快于驾驶的反应速度进行减速,进而避免发生车祸。因此,ADAS系统必须能够连结传动和安全系统的关键元件。但由于互联网连接也就暴露了这些系统的控制,因此我们将再次面临安全挑战。


问题是,CAN汇流排架构自身并不具备安全特性,且其传输效能的限制也无法在此架构上增添安全功能。因此,现阶段而言,对于如何建立系统级的安全解决方案,汽车制造商并没有一个清楚的方向,既不自行开发庞大系统,也并没有针对安全漏洞被动一一防堵。


虽然基本ECU软体的数量可能以正常速度增长,但ADAS和资讯娱乐程式的数量正在激增。这对开发人员来说是一个持续的挑战:他们如何确保不为某些人提供入侵以及恶意操作汽车关键元件的机会?


这不仅仅是车内的问题。汽车之间通信对于ADAS系统了解路况以及明确如何回应紧急情况至关重要,这在技术上意味着,处于彼此监听范围内的所有汽车都位于同一网路,进而使彼此面临风险。


曙光终于出现了

对于从全新理念的构思到推出产品需要长达五年时间的行业而言,变革面临重重困难。即便是对实施安全性的迫切需求也被推迟,因为这表示需要大量工作来调整操作,以便融合安全理念。戏剧性的是,发生了吉普汽车遭到骇客攻击的事件,强力提醒了汽车安全的重要性。


幸运的是,新一代CAN汇流排标准CAN FD可提供支援安全性所需的传输效能。它比CAN 2.0快四倍,并且提供64位元组的有效负载,而CAN 2.0只能提供8位元组的有效负载。该标准尚未正式批准,但已存在完整的草案,预计不久将获得通过。


新架构将支援从当前各部分高度分散的情况向更集中的可控结构转移。 ECU可融合到网域中,相应的网域控制站可作为防火墙来保护网域。最终,可对这些网域控制站本身进行融合,进而为身份验证和存取授权提供了中央控管机制(central locus)。仔细挑选的安全微处理器可用于管理安全启动过程以及强化隔离和可信区域(trusted zone),以防止恶意软体存取关键资源。


图1 :  CAN 2.0不具备安全特性,任务关键型ECU共用同一条具有资讯娱乐功能和其他功能的无保护汇流排,可通过多种方式浏览汇流排。CAN FD将允许域和网域控制站充当防火墙来限制浏览。上图显示了一种将不同功能分组到域中的方法。
图1 : CAN 2.0不具备安全特性,任务关键型ECU共用同一条具有资讯娱乐功能和其他功能的无保护汇流排,可通过多种方式浏览汇流排。CAN FD将允许域和网域控制站充当防火墙来限制浏览。上图显示了一种将不同功能分组到域中的方法。

由于CAN FD对当前CAN架构进行了重大改变,因此需要五到八年的时间来进行检查和评估(以及应对阻力),之后才会最终采用。从长远来看,这对于实现安全性是一个利多消息。同时,在CAN FD成为新标准之前,必须采取相应措施来保护已经上市的汽车。


保障安全

即使CAN FD正在等待正式批准,目前已可使用CAN FD收发器。这可在正式透过之前提高安全性。可透过多种方法提高安全性。尽管存在安全的微控制器,但它们通常是高端处理器,因此可能超出了ECU成本目标的范围。


而使用提供加密功能的TAD或组合TAD与CAN FD收发器的边界安全设备则可确保每个ECU都受到保护。这些设备处于带有CAN 2.0收发器的处理器与CAN FD汇流排之间,可提供额外的安全功能,同时几乎无需对ECU进行设计更改。


加密功能支持增强式验证,可对尝试访问ECU的任何人员进行身份验证。它还将加密通信,支援较新晶片的椭圆曲线加密;与旧RSA加密相比,能提供更强大的保护或允许更短的金钥。然而,现有模组可能将RSA加密作为备用安全方案的一部分,因此设备也提供RSA功能。



图2 :  用TAD或边界安全设备替换CAN收发器晶片会增强现有电子模组的安全性,即使未对模组进行其他更改也如此。
图2 : 用TAD或边界安全设备替换CAN收发器晶片会增强现有电子模组的安全性,即使未对模组进行其他更改也如此。

关键之处在于,所有加密功能均在硬体中执行,这样便无法在运行时检查加密程式。这还提高了效能,可减少安全性所需的额外开销。此外,边界安全设备不允许任何人(无论是否获得授权)查看任何金钥,可实现对所有金钥的保护。其防篡改功能可防止确定的窃听程式尝试透过暴力攻击或旁路攻击(side-channel)获取机密,进而侵入边界安全设备。


安全性唾手可得

TAD和边界安全设备现在可以从Microchip等公司获得,进而可立即着手解决当今汽车行业面临的严重问题。在等待CAN FD在未来五年或更长时间内带来起色的同时,实现各种新功能的程式在不断涌现,我们根本等不及CAN FD获得批准。


使用TAD或边界安全设备设计的汽车模组可有力地排除道路上的严重安全隐患。


(本文作者Nicolas Schieli为Microchip公司安全产品部门行销和应用资深总监)


相关文章
ADAS 前置摄影机设计的电源供应四大挑战
碳化矽电子保险丝展示板提升电动汽车电路保护效能
软体定义大势明确 汽车乙太网路应用加速前进
落实工业4.0 为移动机器人部署无线充电技术
安全需求持续增加 嵌入式系统设计要有新思维
comments powered by Disqus
相关讨论
  相关新闻
» RIN国际研发高峰会手举行 金属中心展出亮眼成果
» 西门子工具机软硬体解决方案 构建数位制造核心应用
» TPCA展??2024台湾PCB产值 有??复苏达8,182亿新台币
» 洛克威尔自动化携手NVIDIA 扩大AI在制造业的应用规模
» 台达子公司泰达8厂及研发中心开幕 扩大电动车研发及产能布局


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83SDNV1FCSTACUKT
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw