搞定了CAN總線加密的Trillium，能成為汽車安全防護的好把式嗎？

汽車安全領(lǐng)域的技術(shù)產(chǎn)品正在變得炙手可熱。大量創(chuàng)業(yè)公司涌入，潛心技術(shù)開發(fā)的同時，都期待著能成為大公司收購的下一個目標。去年夏天，白帽黑客查理·米勒和老搭檔克里斯·瓦拉塞克入侵了一輛Jeep切諾基。幾乎是同一時間，通用安吉星的RemoteLink系統(tǒng)被爆安全漏洞，黑客利用系統(tǒng)網(wǎng)關(guān)能夠遠程操控車門解鎖，發(fā)動機啟停。下圖是英特爾公布的目前聯(lián)網(wǎng)汽車上暴露出的15個最容易被黑客利用的攻擊面。

因此，照目前的形勢來看，車企和供應(yīng)商在智能互聯(lián)、自動駕駛汽車上投入的精力越多，他們對安全的重視程度就越高，而網(wǎng)絡(luò)安全對汽車產(chǎn)業(yè)朝著智能化、自動化方向發(fā)展更是起到舉足輕重的作用。

車云菌在去年《CES前瞻：2016年，這七家「小公司」才是汽車科技的風向標》這篇文章中曾介紹過日本創(chuàng)業(yè)公司Trillium，對它的汽車安全防護工具「SecureCAN」進行了簡單說明。而如今車聯(lián)網(wǎng)、自動駕駛發(fā)展正盛，作為專注于汽車安全領(lǐng)域的創(chuàng)業(yè)公司，Trillium是如何看待智能互聯(lián)汽車的安全問題的？它的產(chǎn)品有何競爭力？未來又會采取怎樣的技術(shù)發(fā)展路線？別著急，我們和Trillium的首席執(zhí)行官David M. Uze聊了聊，下面一定有你想要的答案。

嗨，這就是Trillium

Trillium由前飛思卡爾日本分公司總裁David Uze創(chuàng)辦，總部位于日本名古屋市。去年秋天，Trillium帶著「SecureCAN」技術(shù)“闖入”汽車安全領(lǐng)域。這款叫做「SecureCAN」的汽車安全防護工具，它既能為CAN總線加密同時也可進行密鑰管理，保護系統(tǒng)的有效載荷不超過8個字節(jié)。這項技術(shù)的關(guān)鍵在于，SecureCAN能夠在“8字節(jié)”的范圍內(nèi)對數(shù)據(jù)進行處理，并沒有使用AES加密算法Rijndael需要的128bit加密位。

Uze認為由于缺少面向ECU網(wǎng)絡(luò)的安全解決方案，而CAN又是汽車系統(tǒng)中原生未加密的總線，并不經(jīng)過任何安全處理。因此，黑客完全可以通過CAN總線獲取控制汽車轉(zhuǎn)向、剎車等功能的權(quán)限。正因如此，CAN總線也變成了很多黑客肆意作亂的「樂土」。此外，局域互聯(lián)網(wǎng)絡(luò)LIN中的保護間隙，通常用來控制后視鏡、車窗或天窗，很有可能成為黑客入侵CAN總線的“后門”。

長期以來，幾乎整個汽車界都有這樣的共識：CAN總線是沒法保護的。兩方面的原因，其一，ECU的計算處理能力不足；其二，車載網(wǎng)絡(luò)的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit，但AES使用的加密算法只能處理16字節(jié)區(qū)塊的數(shù)據(jù)，這意味著很多時候LIN總線根本就是處在“裸奔”的狀態(tài)。

David Uze在接受記者采訪時介紹，由于使用了超輕重量的塊加密器，SecureCAN能夠?qū)AN和LIN總線信息進行實時加密。而值得一提的是，其中對稱的區(qū)塊加密器和密鑰管理系統(tǒng)又使得SecureCAN能夠在1毫秒的閥值內(nèi)完成「加密、傳輸和解密」過程。這對汽車CAN總線能否實時加解密，至關(guān)重要。

自去年秋季推出SecureCAN樣品之后，Trillium這一年都在不斷地完善這款安全防護工具。盡管最初的SecureCAN樣品使用了ARM Cortex M4處理器，但由于芯片供應(yīng)出了問題，Trillium之后不得不選擇ARM Cortex M0/M01，但失去了浮點運算卻還想要實現(xiàn)SecureCAN預設(shè)的功能，對Trillium而言實在是個不小的挑戰(zhàn)。

據(jù)車云菌了解，最新的SecureCAN測試版本增加了公共密鑰技術(shù)，使用Diffie-Hellman密鑰交換算法來生成密鑰。下圖為SecureCAN的信任鏈root。

SecureCAN只是第一步

顯然Trillium的「SecureCAN」技術(shù)方案已經(jīng)解決了之前認為是“不可能”的問題。不過David Uze同時也預見到了OEM主機廠和一級供應(yīng)商提出的更高要求。他們希望得到一整套的安全防護技術(shù)解決方案，不僅僅是車載網(wǎng)絡(luò)，像V2V/V2I通訊、OTA升級系統(tǒng)、智能防火墻等都能得到嚴密的保護。

2016年6月30日，Trillium拿到了500萬美金A輪融資，自然它的產(chǎn)品目標也“水漲船高”。除CAN總線外，Trillium也在努力將FlexRay和LIN總線的保護納入整個車載網(wǎng)絡(luò)防護體系中。此外，Uze表示Trillium利用這筆投資對現(xiàn)有的工程資源進行了整合，為保證所有的項目均能并行運營，這其中包括入侵探測和防護系統(tǒng)（IDS/IPS）、OTA軟件升級解決方案的研發(fā)。

按照Uze為Trillium設(shè)定的目標，Trillium未來將提供一系列基于“同一平臺、統(tǒng)一API端口”開發(fā)的汽車安全技術(shù)。SecureCAN將于本月展開實車測試。一輛日系車（Uze拒絕透露品牌及車型）將搭載Trillium的SecureCAN/以太網(wǎng)技術(shù)。明年一月份，Trillium將在車內(nèi)展開SecureFlexRay/LIN技術(shù)的測試工作。（FlexRay總線通常用來傳輸和ADAS傳感器相關(guān)的數(shù)據(jù)）。此外，根據(jù)Trillium的規(guī)劃，最晚將于2017年底開始進行入侵探測和防護系統(tǒng)（IDS/IPS）、OTA空中升級技術(shù)的測試。

汽車網(wǎng)絡(luò)安全涉及的三大領(lǐng)域

汽車信息安全的多重攻防戰(zhàn)

不過Uze也表示“保護CAN總線并非汽車產(chǎn)業(yè)應(yīng)對網(wǎng)絡(luò)安全問題的唯一良策”。他認為對未來的互聯(lián)汽車而言，應(yīng)采取多種不同的安全防護措施。

此前，在問及對“CAN總線加密”的看法時，恩智浦汽車事業(yè)部安全架構(gòu)師Timo van Roermund表示，“密鑰管理是其中最重要的一部分，特別是在用來保護ECU之間互傳信息時，十分關(guān)鍵”。不過Roermund也指出，不同的主機廠可能會選擇不同的車內(nèi)網(wǎng)絡(luò)架構(gòu)管理方案，而密鑰管理也并無所謂的“標準方法”可言。

下面是車云菌整理的一些，目前主機廠和供應(yīng)商采取的，較為主流的網(wǎng)絡(luò)安全防護措施。

• 1.使用防火墻將車內(nèi)電子系統(tǒng)和外部交互界面隔離；

• 2. 使用較為嚴格的訪問控制機制，只對已知或已授信的來源開放或半開放車內(nèi)系統(tǒng)的訪問權(quán)限；

• 3. 進一步對車內(nèi)網(wǎng)絡(luò)進行改造，將其中具有相同臨界值的系統(tǒng)放置于獨立的網(wǎng)絡(luò)中，最好將一些涉及安全的關(guān)鍵系統(tǒng)隔離開來；

• 4. 使用密碼系統(tǒng)（驗證或編碼加密）保護車內(nèi)系統(tǒng)流通的數(shù)據(jù)；

• 5. 使用入侵探測/防護系統(tǒng)（IPS/IDS）對潛在黑客攻擊進行探測預警；

• 6. 使用安全啟動、升級及其他措施保護ECU（微型控制器和其他軟件）。