汽車(chē)安全性唾手可得　

作者/ Nicolas Schieli Microchip Technology Inc.安全產(chǎn)品部營(yíng)銷(xiāo)和應用高級總監

摘要：面對備受關(guān)注的汽車(chē)安全問(wèn)題，不具備安全特性的CAN 2.0已經(jīng)無(wú)法滿(mǎn)足要求，本文介紹了新一代CAN總線(xiàn)標準——CAN FD，它比CAN 2.0快四倍，并且提供64字節的有效負載，可提供支持安全性所需的性能，能夠更好地解決汽車(chē)互聯(lián)的安全問(wèn)題。

不安全問(wèn)題由來(lái)已久

　　汽車(chē)逐漸電子化的歷程已持續多年。由于一旦發(fā)生故障便會(huì )危及生命，因此，出于安全考慮，汽車(chē)的設計與其他交通工具有所不同。每個(gè)電子功能都擁有自己的獨立計算資源，這些資源捆綁到一個(gè)電子控制單元(即ECU)中。這些ECU通過(guò)專(zhuān)為這一特定用途開(kāi)發(fā)的CAN總線(xiàn)互連。

　　最初，只有面向傳動(dòng)系統的功能才會(huì )構建并連接到總線(xiàn)。但新型電子汽車(chē)組件(尤其是高級駕駛輔助系統(ADAS)和信息娛樂(lè )“中控臺”)的要求遠不止確保汽車(chē)高效運行。盡管有些組件比其他組件的安全性要求更嚴格，但它們都連接到同一條CAN總線(xiàn)。

　　特別是信息娛樂(lè )部分需要連接互聯(lián)網(wǎng)，通過(guò)這種連接，其他人可以嘗試訪(fǎng)問(wèn)總線(xiàn)，從而訪(fǎng)問(wèn)汽車(chē)中的所有電子模塊(關(guān)鍵型和非關(guān)鍵型)，這使得安全性成為重要的考慮因素。

　　雖然這種問(wèn)題看似歸咎于非任務(wù)關(guān)鍵型模塊，但是蜂窩互聯(lián)網(wǎng)連接并不是唯一可能的入口點(diǎn)。汽車(chē)還會(huì )提供Wi-Fi?和Bluetooth?連接作為獲得入口的替代方式，甚至是無(wú)鑰門(mén)禁系統和車(chē)載診斷系統都能提供進(jìn)入汽車(chē)核心的可能入口。

　　同時(shí)，ADAS軟件會(huì )在汽車(chē)的各種傳感器與其他執行器之間建立復雜的關(guān)系。如果汽車(chē)檢測到可能與前方汽車(chē)發(fā)生碰撞，則會(huì )自動(dòng)應用剎車(chē)功能，以快于駕駛員的反應速度進(jìn)行減速，從而避免發(fā)生車(chē)禍。因此，ADAS系統必須能夠訪(fǎng)問(wèn)傳動(dòng)和安全系統的關(guān)鍵部件。由于互聯(lián)網(wǎng)連接暴露了所有這些系統，因此，我們將再次面臨安全挑戰。

　　然而，CAN總線(xiàn)架構自身并不具備安全特性，而且其性能也過(guò)低，以至于無(wú)法支持基于ad-hoc增添安全性。因此，就這一點(diǎn)而言，對于如何在不自行發(fā)明大型系統或無(wú)需在發(fā)現安全漏洞時(shí)逐個(gè)封堵的情況下，實(shí)現系統級安全性能，汽車(chē)制造商及其供應商沒(méi)有統一的指導原則。

　　雖然基本ECU軟件的數量可能以正常速度增長(cháng)，但ADAS和信息娛樂(lè )代碼的數量正在激增。這對開(kāi)發(fā)人員來(lái)說(shuō)是一個(gè)持續的挑戰：他們如何確保不為某些人提供入侵以及惡意操作汽車(chē)關(guān)鍵組件的機會(huì )?

　　這不僅僅是車(chē)內的問(wèn)題。汽車(chē)間通信對于A(yíng)DAS系統了解路況和明確如何響應緊急情況至關(guān)重要，這在技術(shù)上意味著(zhù)處于彼此監聽(tīng)范圍內的所有汽車(chē)都位于同一網(wǎng)絡(luò )，從而使彼此面臨風(fēng)險。

CAN FD新標準提供更高的安全性

　　對于從全新理念的構思到推出經(jīng)銷(xiāo)產(chǎn)品需要五年時(shí)間的行業(yè)而言，變革面臨重重困難。即便是對實(shí)施安全性的迫切需求也被推遲，因為這表示需要大量工作來(lái)調整操作，以便融合安全理念。戲劇性的是，發(fā)生了吉普汽車(chē)遭到黑客攻擊的案例，這有力證明了汽車(chē)安全性至關(guān)重要。

　　新一代CAN總線(xiàn)標準——CAN FD可提供支持安全性所需的性能。它比CAN 2.0快四倍，并且提供64字節的有效負載，而CAN 2.0只能提供8字節的有效負載。該標準尚未正式批準，但已存在完整的草案，預計不久將獲得通過(guò)。

　　CAN 2.0不具備安全特性，任務(wù)關(guān)鍵型ECU共用同一條具有信息娛樂(lè )功能和其他功能的無(wú)保護總線(xiàn)，可通過(guò)多種方式訪(fǎng)問(wèn)總線(xiàn)。CAN FD將允許域和域控制器充當防火墻來(lái)限制訪(fǎng)問(wèn)。圖1顯示了一種將不同功能分組到域中的方法。

　　新架構將支持從當前各部分高度分散的情況向更集中的可控結構轉移。ECU可融合到域中，相應的域控制器可作為防火墻來(lái)保護域。最終，可對這些域控制器本身進(jìn)行融合，從而為身份驗證和訪(fǎng)問(wèn)授權提供了中心點(diǎn)。仔細挑選的安全微處理器可用于管理安全啟動(dòng)過(guò)程及強化隔離和受信區域，以防止惡意軟件訪(fǎng)問(wèn)關(guān)鍵資源。

　　由于CAN FD對當前CAN架構進(jìn)行了重大改變，因此，需要五到八年的時(shí)間來(lái)進(jìn)行檢查和評估(以及應對阻力)，之后才會(huì )最終采用。從長(cháng)遠來(lái)看，這對于實(shí)現安全性是一個(gè)好消息。同時(shí)，在CAN FD成為新標準之前，必須采取相應措施來(lái)保護要推出的汽車(chē)。

保障安全

　　即使CAN FD正在等待正式批準，目前已可使用CAN FD收發(fā)器。這可在正式通過(guò)之前提高安全性?？赏ㄟ^(guò)多種方法提高安全性。盡管存在安全的單片機，但它們通常是高端處理器，因此，可能超出了ECU成本目標的范圍。

　　而使用提供加密功能的TAD或組合TAD與CAN FD收發(fā)器的邊界安全設備則可確保每個(gè)ECU都受到保護。這些設備處于帶有CAN 2.0收發(fā)器的處理器與CAN FD總線(xiàn)之間，可提供額外的安全性能，同時(shí)幾乎無(wú)需對ECU進(jìn)行設計更改，如圖2所示。

　　加密功能支持強身份驗證，可對嘗試訪(fǎng)問(wèn)ECU的任何人員進(jìn)行身份驗證。它還將加密通信，支持較新芯片的橢圓曲線(xiàn)加密;與舊RSA加密相比，能提供更強大的保護，允許更短的密鑰。然而，現有模塊可能將RSA加密作為ad-hoc安全方案的一部分，因此，設備也將提供RSA功能。

　　關(guān)鍵之處在于，所有加密功能均在硬件中執行，這樣便無(wú)法在運行時(shí)檢查加密代碼。這還提高了性能，可減少安全性所需的額外開(kāi)銷(xiāo)。此外，邊界安全設備不允許任何人(無(wú)論是否獲得授權)查看任何密鑰，可實(shí)現對所有密鑰的保護。其防篡改功能可防止確定的竊聽(tīng)程序嘗試通過(guò)暴力攻擊或旁路攻擊獲取機密，從而侵入邊界安全設備。

結論

　　TAD和邊界安全設備現在可以從Microchip等公司獲得，從而可立即著(zhù)手解決當今汽車(chē)行業(yè)面臨的嚴重問(wèn)題。今天使用TAD或邊界安全設備設計的汽車(chē)模塊可有力地排除道路上的嚴重安全隱患。

　　本文來(lái)源于《電子產(chǎn)品世界》2017年第5期第25頁(yè)，歡迎您寫(xiě)論文時(shí)引用，并注明出處。