汽車安全性唾手可得　

作者/ Nicolas Schieli Microchip Technology Inc.安全產(chǎn)品部營(yíng)銷和應(yīng)用高級(jí)總監(jiān)

摘要：面對(duì)備受關(guān)注的汽車安全問題，不具備安全特性的CAN 2.0已經(jīng)無法滿足要求，本文介紹了新一代CAN總線標(biāo)準(zhǔn)——CAN FD，它比CAN 2.0快四倍，并且提供64字節(jié)的有效負(fù)載，可提供支持安全性所需的性能，能夠更好地解決汽車互聯(lián)的安全問題。

不安全問題由來已久

　　汽車逐漸電子化的歷程已持續(xù)多年。由于一旦發(fā)生故障便會(huì)危及生命，因此，出于安全考慮，汽車的設(shè)計(jì)與其他交通工具有所不同。每個(gè)電子功能都擁有自己的獨(dú)立計(jì)算資源，這些資源捆綁到一個(gè)電子控制單元(即ECU)中。這些ECU通過專為這一特定用途開發(fā)的CAN總線互連。

　　最初，只有面向傳動(dòng)系統(tǒng)的功能才會(huì)構(gòu)建并連接到總線。但新型電子汽車組件(尤其是高級(jí)駕駛輔助系統(tǒng)(ADAS)和信息娛樂“中控臺(tái)”)的要求遠(yuǎn)不止確保汽車高效運(yùn)行。盡管有些組件比其他組件的安全性要求更嚴(yán)格，但它們都連接到同一條CAN總線。

　　特別是信息娛樂部分需要連接互聯(lián)網(wǎng)，通過這種連接，其他人可以嘗試訪問總線，從而訪問汽車中的所有電子模塊(關(guān)鍵型和非關(guān)鍵型)，這使得安全性成為重要的考慮因素。

　　雖然這種問題看似歸咎于非任務(wù)關(guān)鍵型模塊，但是蜂窩互聯(lián)網(wǎng)連接并不是唯一可能的入口點(diǎn)。汽車還會(huì)提供Wi-Fi?和Bluetooth?連接作為獲得入口的替代方式，甚至是無鑰門禁系統(tǒng)和車載診斷系統(tǒng)都能提供進(jìn)入汽車核心的可能入口。

　　同時(shí)，ADAS軟件會(huì)在汽車的各種傳感器與其他執(zhí)行器之間建立復(fù)雜的關(guān)系。如果汽車檢測(cè)到可能與前方汽車發(fā)生碰撞，則會(huì)自動(dòng)應(yīng)用剎車功能，以快于駕駛員的反應(yīng)速度進(jìn)行減速，從而避免發(fā)生車禍。因此，ADAS系統(tǒng)必須能夠訪問傳動(dòng)和安全系統(tǒng)的關(guān)鍵部件。由于互聯(lián)網(wǎng)連接暴露了所有這些系統(tǒng)，因此，我們將再次面臨安全挑戰(zhàn)。

　　然而，CAN總線架構(gòu)自身并不具備安全特性，而且其性能也過低，以至于無法支持基于ad-hoc增添安全性。因此，就這一點(diǎn)而言，對(duì)于如何在不自行發(fā)明大型系統(tǒng)或無需在發(fā)現(xiàn)安全漏洞時(shí)逐個(gè)封堵的情況下，實(shí)現(xiàn)系統(tǒng)級(jí)安全性能，汽車制造商及其供應(yīng)商沒有統(tǒng)一的指導(dǎo)原則。

　　雖然基本ECU軟件的數(shù)量可能以正常速度增長(zhǎng)，但ADAS和信息娛樂代碼的數(shù)量正在激增。這對(duì)開發(fā)人員來說是一個(gè)持續(xù)的挑戰(zhàn)：他們?nèi)绾未_保不為某些人提供入侵以及惡意操作汽車關(guān)鍵組件的機(jī)會(huì)?

　　這不僅僅是車內(nèi)的問題。汽車間通信對(duì)于ADAS系統(tǒng)了解路況和明確如何響應(yīng)緊急情況至關(guān)重要，這在技術(shù)上意味著處于彼此監(jiān)聽范圍內(nèi)的所有汽車都位于同一網(wǎng)絡(luò)，從而使彼此面臨風(fēng)險(xiǎn)。

CAN FD新標(biāo)準(zhǔn)提供更高的安全性

　　對(duì)于從全新理念的構(gòu)思到推出經(jīng)銷產(chǎn)品需要五年時(shí)間的行業(yè)而言，變革面臨重重困難。即便是對(duì)實(shí)施安全性的迫切需求也被推遲，因?yàn)檫@表示需要大量工作來調(diào)整操作，以便融合安全理念。戲劇性的是，發(fā)生了吉普汽車遭到黑客攻擊的案例，這有力證明了汽車安全性至關(guān)重要。

　　新一代CAN總線標(biāo)準(zhǔn)——CAN FD可提供支持安全性所需的性能。它比CAN 2.0快四倍，并且提供64字節(jié)的有效負(fù)載，而CAN 2.0只能提供8字節(jié)的有效負(fù)載。該標(biāo)準(zhǔn)尚未正式批準(zhǔn)，但已存在完整的草案，預(yù)計(jì)不久將獲得通過。

　　CAN 2.0不具備安全特性，任務(wù)關(guān)鍵型ECU共用同一條具有信息娛樂功能和其他功能的無保護(hù)總線，可通過多種方式訪問總線。CAN FD將允許域和域控制器充當(dāng)防火墻來限制訪問。圖1顯示了一種將不同功能分組到域中的方法。

　　新架構(gòu)將支持從當(dāng)前各部分高度分散的情況向更集中的可控結(jié)構(gòu)轉(zhuǎn)移。ECU可融合到域中，相應(yīng)的域控制器可作為防火墻來保護(hù)域。最終，可對(duì)這些域控制器本身進(jìn)行融合，從而為身份驗(yàn)證和訪問授權(quán)提供了中心點(diǎn)。仔細(xì)挑選的安全微處理器可用于管理安全啟動(dòng)過程及強(qiáng)化隔離和受信區(qū)域，以防止惡意軟件訪問關(guān)鍵資源。

　　由于CAN FD對(duì)當(dāng)前CAN架構(gòu)進(jìn)行了重大改變，因此，需要五到八年的時(shí)間來進(jìn)行檢查和評(píng)估(以及應(yīng)對(duì)阻力)，之后才會(huì)最終采用。從長(zhǎng)遠(yuǎn)來看，這對(duì)于實(shí)現(xiàn)安全性是一個(gè)好消息。同時(shí)，在CAN FD成為新標(biāo)準(zhǔn)之前，必須采取相應(yīng)措施來保護(hù)要推出的汽車。

保障安全

　　即使CAN FD正在等待正式批準(zhǔn)，目前已可使用CAN FD收發(fā)器。這可在正式通過之前提高安全性?？赏ㄟ^多種方法提高安全性。盡管存在安全的單片機(jī)，但它們通常是高端處理器，因此，可能超出了ECU成本目標(biāo)的范圍。

　　而使用提供加密功能的TAD或組合TAD與CAN FD收發(fā)器的邊界安全設(shè)備則可確保每個(gè)ECU都受到保護(hù)。這些設(shè)備處于帶有CAN 2.0收發(fā)器的處理器與CAN FD總線之間，可提供額外的安全性能，同時(shí)幾乎無需對(duì)ECU進(jìn)行設(shè)計(jì)更改，如圖2所示。

　　加密功能支持強(qiáng)身份驗(yàn)證，可對(duì)嘗試訪問ECU的任何人員進(jìn)行身份驗(yàn)證。它還將加密通信，支持較新芯片的橢圓曲線加密;與舊RSA加密相比，能提供更強(qiáng)大的保護(hù)，允許更短的密鑰。然而，現(xiàn)有模塊可能將RSA加密作為ad-hoc安全方案的一部分，因此，設(shè)備也將提供RSA功能。

　　關(guān)鍵之處在于，所有加密功能均在硬件中執(zhí)行，這樣便無法在運(yùn)行時(shí)檢查加密代碼。這還提高了性能，可減少安全性所需的額外開銷。此外，邊界安全設(shè)備不允許任何人(無論是否獲得授權(quán))查看任何密鑰，可實(shí)現(xiàn)對(duì)所有密鑰的保護(hù)。其防篡改功能可防止確定的竊聽程序嘗試通過暴力攻擊或旁路攻擊獲取機(jī)密，從而侵入邊界安全設(shè)備。

結(jié)論

　　TAD和邊界安全設(shè)備現(xiàn)在可以從Microchip等公司獲得，從而可立即著手解決當(dāng)今汽車行業(yè)面臨的嚴(yán)重問題。今天使用TAD或邊界安全設(shè)備設(shè)計(jì)的汽車模塊可有力地排除道路上的嚴(yán)重安全隱患。

　　本文來源于《電子產(chǎn)品世界》2017年第5期第25頁，歡迎您寫論文時(shí)引用，并注明出處。