CAN總線(xiàn)加密的Trillium將可能成為汽車(chē)安全防護的好把式

一直以來(lái)，大家都認為CAN總線(xiàn)幾乎是沒(méi)法保護的。但Trillium的SecureCAN顯然打破了這個(gè)“迷信”。

汽車(chē)安全領(lǐng)域的技術(shù)產(chǎn)品正在變得炙手可熱。大量創(chuàng )業(yè)公司涌入，潛心技術(shù)開(kāi)發(fā)的同時(shí)，都期待著(zhù)能成為大公司收購的下一個(gè)目標。去年夏天，白帽黑客查理·米勒和老搭檔克里斯·瓦拉塞克入侵了一輛Jeep切諾基。幾乎是同一時(shí)間，通用安吉星的RemoteLink系統被爆安全漏洞，黑客利用系統網(wǎng)關(guān)能夠遠程操控車(chē)門(mén)解鎖，發(fā)動(dòng)機啟停。下圖是英特爾公布的目前聯(lián)網(wǎng)汽車(chē)上暴露出的15個(gè)最容易被黑客利用的攻擊面。

因此，照目前的形勢來(lái)看，車(chē)企和供應商在智能互聯(lián)、自動(dòng)駕駛汽車(chē)上投入的精力越多，他們對安全的重視程度就越高，而網(wǎng)絡(luò )安全對汽車(chē)產(chǎn)業(yè)朝著(zhù)智能化、自動(dòng)化方向發(fā)展更是起到舉足輕重的作用。

車(chē)云菌在去年《CES前瞻：2016年，這七家「小公司」才是汽車(chē)科技的風(fēng)向標》這篇文章中曾介紹過(guò)日本創(chuàng )業(yè)公司Trillium，對它的汽車(chē)安全防護工具「SecureCAN」進(jìn)行了簡(jiǎn)單說(shuō)明。而如今車(chē)聯(lián)網(wǎng)、自動(dòng)駕駛發(fā)展正盛，作為專(zhuān)注于汽車(chē)安全領(lǐng)域的創(chuàng )業(yè)公司，Trillium是如何看待智能互聯(lián)汽車(chē)的安全問(wèn)題的?它的產(chǎn)品有何競爭力?未來(lái)又會(huì )采取怎樣的技術(shù)發(fā)展路線(xiàn)?別著(zhù)急，我們和Trillium的首席執行官David M. Uze聊了聊，下面一定有你想要的答案。

嗨，這就是Trillium

Trillium由前飛思卡爾日本分公司總裁David Uze創(chuàng )辦，總部位于日本名古屋市。去年秋天，Trillium帶著(zhù)「SecureCAN」技術(shù)“闖入”汽車(chē)安全領(lǐng)域。這款叫做「SecureCAN」的汽車(chē)安全防護工具，它既能為CAN總線(xiàn)加密同時(shí)也可進(jìn)行密鑰管理，保護系統的有效載荷不超過(guò)8個(gè)字節。這項技術(shù)的關(guān)鍵在于，SecureCAN能夠在“8 字節”的范圍內對數據進(jìn)行處理，并沒(méi)有使用AES加密算法Rijndael需要的128bit加密位。

Uze認為由于缺少面向ECU網(wǎng)絡(luò )的安全解決方案，而CAN又是汽車(chē)系統中原生未加密的總線(xiàn)，并不經(jīng)過(guò)任何安全處理。因此，黑客完全可以通過(guò)CAN總線(xiàn)獲取控制汽車(chē)轉向、剎車(chē)等功能的權限。正因如此，CAN總線(xiàn)也變成了很多黑客肆意作亂的「樂(lè )土」。此外，局域互聯(lián)網(wǎng)絡(luò )LIN中的保護間隙，通常用來(lái)控制后視鏡、車(chē)窗或天窗，很有可能成為黑客入侵CAN總線(xiàn)的“后門(mén)”。

長(cháng)期以來(lái)，幾乎整個(gè)汽車(chē)界都有這樣的共識：CAN總線(xiàn)是沒(méi)法保護的。兩方面的原因，其一，ECU的計算處理能力不足;其二，車(chē)載網(wǎng)絡(luò )的帶寬有限。有些LIN總線(xiàn)使用的MCU甚至是16bit或8bit，但AES使用的加密算法只能處理16字節區塊的數據，這意味著(zhù)很多時(shí)候LIN總線(xiàn)根本就是處在“裸奔”的狀態(tài)。

David Uze在接受記者采訪(fǎng)時(shí)介紹，由于使用了超輕重量的塊加密器，SecureCAN能夠對CAN和LIN總線(xiàn)信息進(jìn)行實(shí)時(shí)加密。而值得一提的是，其中對稱(chēng)的區塊加密器和密鑰管理系統又使得SecureCAN能夠在1毫秒的閥值內完成「加密、傳輸和解密」過(guò)程。這對汽車(chē)CAN總線(xiàn)能否實(shí)時(shí)加解密，至關(guān)重要。

自去年秋季推出SecureCAN樣品之后，Trillium這一年都在不斷地完善這款安全防護工具。盡管最初的SecureCAN樣品使用了ARM Cortex M4處理器，但由于芯片供應出了問(wèn)題，Trillium之后不得不選擇ARM Cortex M0/M01，但失去了浮點(diǎn)運算卻還想要實(shí)現SecureCAN預設的功能，對Trillium而言實(shí)在是個(gè)不小的挑戰。

據車(chē)云菌了解，最新的SecureCAN測試版本增加了公共密鑰技術(shù)，使用Diffie-Hellman密鑰交換算法來(lái)生成密鑰。下圖為SecureCAN的信任鏈root。

SecureCAN只是第一步

顯然Trillium的「SecureCAN」技術(shù)方案已經(jīng)解決了之前認為是“不可能”的問(wèn)題。不過(guò)David Uze同時(shí)也預見(jiàn)到了OEM主機廠(chǎng)和一級供應商提出的更高要求。他們希望得到一整套的安全防護技術(shù)解決方案，不僅僅是車(chē)載網(wǎng)絡(luò )，像V2V/V2I通訊、 OTA升級系統、智能防火墻等都能得到嚴密的保護。

2016年6月30日，Trillium拿到了500萬(wàn)美金A輪融資，自然它的產(chǎn)品目標也“水漲船高”。除CAN總線(xiàn)外，Trillium也在努力將 FlexRay和LIN總線(xiàn)的保護納入整個(gè)車(chē)載網(wǎng)絡(luò )防護體系中。此外，Uze表示Trillium利用這筆投資對現有的工程資源進(jìn)行了整合，為保證所有的項目均能并行運營(yíng)，這其中包括入侵探測和防護系統(IDS/IPS)、OTA軟件升級解決方案的研發(fā)。

按照Uze為T(mén)rillium設定的目標，Trillium未來(lái)將提供一系列基于“同一平臺、統一API端口”開(kāi)發(fā)的汽車(chē)安全技術(shù)。SecureCAN將于本月展開(kāi)實(shí)車(chē)測試。一輛日系車(chē)(Uze拒絕透露品牌及車(chē)型)將搭載Trillium的SecureCAN/以太網(wǎng)技術(shù)。明年一月份，Trillium將在車(chē)內展開(kāi)SecureFlexRay/LIN技術(shù)的測試工作。(FlexRay總線(xiàn)通常用來(lái)傳輸和ADAS傳感器相關(guān)的數據)。此外，根據Trillium的規劃，最晚將于2017年底開(kāi)始進(jìn)行入侵探測和防護系統(IDS/IPS)、OTA空中升級技術(shù)的測試。

汽車(chē)網(wǎng)絡(luò )安全涉及的三大領(lǐng)域

汽車(chē)信息安全的多重攻防戰

不過(guò)Uze也表示“保護CAN總線(xiàn)并非汽車(chē)產(chǎn)業(yè)應對網(wǎng)絡(luò )安全問(wèn)題的唯一良策”。他認為對未來(lái)的互聯(lián)汽車(chē)而言，應采取多種不同的安全防護措施。

此前，在問(wèn)及對“CAN總線(xiàn)加密”的看法時(shí)，恩智浦汽車(chē)事業(yè)部安全架構師Timo van Roermund表示，“密鑰管理是其中最重要的一部分，特別是在用來(lái)保護ECU之間互傳信息時(shí)，十分關(guān)鍵”。不過(guò)Roermund也指出，不同的主機廠(chǎng)可能會(huì )選擇不同的車(chē)內網(wǎng)絡(luò )架構管理方案，而密鑰管理也并無(wú)所謂的“標準方法”可言。

下面是車(chē)云菌整理的一些，目前主機廠(chǎng)和供應商采取的，較為主流的網(wǎng)絡(luò )安全防護措施。

1. 使用防火墻將車(chē)內電子系統和外部交互界面隔離;