警惕傳感器漏洞-汽車圖像傳感器決勝網(wǎng)絡(luò)安全賽道

向自動(dòng)駕駛過渡的趨勢(shì)，加上公眾對(duì)無人駕駛汽車安全性的擔(dān)憂，使網(wǎng)絡(luò)安全成為汽車原始設(shè)備制造商(OEM)的首要關(guān)注點(diǎn)。必須保障汽車系統(tǒng)的完整性和對(duì)車輛的控制，從而確保駕駛員、乘客和行人的安全。網(wǎng)絡(luò)安全對(duì)于通過網(wǎng)絡(luò)連接的汽車子系統(tǒng)等必不可少，對(duì)用于先進(jìn)駕駛輔助系統(tǒng) (ADAS) 和駕駛員監(jiān)控的圖像傳感器也同樣至關(guān)重要。

圖像傳感器相當(dāng)于汽車的眼睛，支持 ADAS 功能，例如車道偏離警告、行人檢測(cè)和緊急制動(dòng)。它們幫助汽車系統(tǒng)評(píng)估周圍環(huán)境并監(jiān)控駕駛員的行為。未來，它們還將協(xié)助識(shí)別和驗(yàn)證汽車用戶的身份并監(jiān)控他們的生命體征，以便在駕駛員喪失行為能力時(shí)通過車載計(jì)算機(jī)來控制汽車。因此，圖像傳感器必須保持正常使用，尤其是在汽車可能遇到的極端情況下。

網(wǎng)絡(luò)安全威脅

汽車圖像傳感器主要受到四種網(wǎng)絡(luò)安全威脅的影響：偽造、篡改、繞過和竊聽（特別是對(duì)于車內(nèi)應(yīng)用）。

由于汽車半導(dǎo)體行業(yè)當(dāng)前的供應(yīng)短缺問題，假冒產(chǎn)品呈上升趨勢(shì)。雖然安裝非正版部件可能并非出于惡意，但它會(huì)影響系統(tǒng)性能。由于非正版部件使用的是不同的啟動(dòng)過程、協(xié)議、固件和軟件，最輕微的后果是 ADAS 系統(tǒng)根本無法運(yùn)行。最糟糕的情況是，系統(tǒng)使用性能嚴(yán)重退化的不合格部件，導(dǎo)致系統(tǒng)的安全功能受到損害。

自動(dòng)緊急制動(dòng) (AEB) 系統(tǒng)運(yùn)行的前提是其圖像傳感器具有明確的特性（如高動(dòng)態(tài)范圍和低光性能）并按照這些規(guī)格（如曝光控制和每秒幀數(shù)）進(jìn)行校準(zhǔn)。假冒的傳感器可能看起來與正品相同，但其性能和特性卻大相徑庭。例如，假冒偽劣的攝像頭可能使用的是相同的傳感器，但沒有經(jīng)過測(cè)試以保證最終的組件滿足性能要求，這可能表現(xiàn)為會(huì)在高強(qiáng)度工作下出現(xiàn)故障。也就是說，它在正常條件下可以工作，但在其它條件（例如炎熱、陽光充足的白天或寒冷的冬夜）下會(huì)出現(xiàn)性能降級(jí)或干脆失效。一些復(fù)雜的仿冒品可能會(huì)模仿真實(shí)的傳感器支持初始化操作或簡(jiǎn)單的設(shè)備健康檢查，但其在動(dòng)態(tài)范圍或幀速率方面的性能會(huì)大打折扣。由于 AEB 系統(tǒng)是使用正品部件進(jìn)行的優(yōu)化，因此假冒替代品的性能下降同樣會(huì)影響系統(tǒng)的性能，可能還會(huì)帶來災(zāi)難性的后果。比如，本來可以在車前較遠(yuǎn)的距離就檢測(cè)到物體或行人，留下幾秒鐘的反應(yīng)時(shí)間，現(xiàn)在可能只能在幾米內(nèi)檢測(cè)到，沒有足夠的時(shí)間避免碰撞（圖 1）。

圖1 用假冒產(chǎn)品代替正版圖像傳感器的后果

篡改圖像傳感器配置也會(huì)損害其性能。汽車系統(tǒng)通過編程來配置圖像傳感器，以優(yōu)化機(jī)器視覺算法的圖像質(zhì)量，這些算法已針對(duì)特定實(shí)現(xiàn)方案進(jìn)行了認(rèn)證和測(cè)試。但是，如果有人（或某程序）修改了配置，則性能可能會(huì)受到影響。可能無法再保證汽車系統(tǒng)能正確感知汽車面臨的場(chǎng)景（圖 2）。

圖2 篡改圖像傳感器設(shè)置的后果

圖像傳感器不正常工作會(huì)讓汽車“失明”，無法檢測(cè)到潛在威脅。圖像傳感器向圖像處理器提供原始視頻數(shù)據(jù)，這些數(shù)據(jù)可用于提取有關(guān)前方障礙物的關(guān)鍵信息，以便汽車能夠做出適當(dāng)?shù)捻憫?yīng)。例如，從傳感器接收原始視頻數(shù)據(jù)的系統(tǒng)可以發(fā)現(xiàn)正在靠近的車輛，并按照最安全的操作來選擇是踩剎車還是駕駛汽車遠(yuǎn)離危險(xiǎn)。如果圖像傳感器不正常工作，系統(tǒng)將不再接收到原始視頻數(shù)據(jù)，并且可能根本無法檢測(cè)到正在靠近的車輛（圖 3）。

圖3 圖像傳感器不正常工作的后果

確保符合規(guī)范

2021 年，聯(lián)合國歐洲經(jīng)濟(jì)委員會(huì) (UNECE) 工作組發(fā)布了 UN-R155 網(wǎng)絡(luò)安全法規(guī)，要求 OEM 建立網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS)。該法規(guī)自 2022 年 7 月起生效，以應(yīng)對(duì)上述日益增長(zhǎng)的威脅。汽車供應(yīng)商必須確保所有相關(guān)組件符合 ISO 21434 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。雖然僅使用符合 ISO 21434 標(biāo)準(zhǔn)的部件還不足以滿足 UNECE 的要求，但這是符合規(guī)范的關(guān)鍵要素。

安森美 (onsemi) 自 2018 年開始在部分 ADAS 圖像傳感器中部署網(wǎng)絡(luò)安全功能，使其符合網(wǎng)絡(luò)安全規(guī)范。這些傳感器有望在 2024 年之前達(dá)到網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。身份驗(yàn)證功能使安森美的圖像傳感器能夠向主機(jī)證明它是正品。這一過程通過使用證書鏈或預(yù)共享密鑰來實(shí)現(xiàn)。為確保視頻數(shù)據(jù)的完整性，必須使用消息身份驗(yàn)證碼（或 MAC）來證明傳感器和主機(jī)之間的視頻數(shù)據(jù)流未被篡改。最后是保護(hù)傳感器控制和配置數(shù)據(jù)，防止使用 MAC 篡改特定密鑰寄存器。由于防篡改協(xié)議因系統(tǒng)而異，因此系統(tǒng)處理器在檢測(cè)篡改情況時(shí)將擁有最終決定權(quán)。

總之，網(wǎng)絡(luò)安全規(guī)范對(duì)于防止汽車圖像傳感器成為汽車復(fù)雜電子系統(tǒng)中的特洛伊木馬至關(guān)重要。對(duì) OEM 而言，要想符合規(guī)范，需要的不僅僅是圖像傳感器中的網(wǎng)絡(luò)安全控制電路。而含網(wǎng)絡(luò)安全的圖像傳感器是使 ADAS 和車內(nèi)監(jiān)控系統(tǒng)完全符合網(wǎng)絡(luò)安全規(guī)范的基本要求。