車(chē)聯(lián)網(wǎng)面臨的諸多安全挑戰

車(chē)輛與環(huán)境的連接日趨增加；這會(huì )為駕駛員帶來(lái)眾多方面的改進(jìn)，像半自動(dòng)或全自動(dòng)駕駛，有助于防止許多嚴重的交通事故。其他環(huán)境信息有助于改善駕駛行為，并降低油耗。此外，基于對車(chē)輛的永久無(wú)線(xiàn)接入，全新的商業(yè)模式正在興起。譬如，遠程軟件升級，從而可以避免代價(jià)高昂的召回活動(dòng)，而與此同時(shí)，支持在線(xiàn)服務(wù)和道路收費控制。不過(guò)，另一方面，外部接入車(chē)輛會(huì )加劇設備操縱和網(wǎng)絡(luò )犯罪的風(fēng)險?，F代微控制器解決方案使安全系統成為可能，能保護個(gè)人數據，并確保路上人員的生命安全。

將來(lái)，車(chē)對車(chē)（C2C）和車(chē)對基礎設施通信（C2I）將能改善道路交通的安全和效率。譬如，可以提醒駕駛員在其行駛路線(xiàn)上發(fā)生的道路損壞或意外事故?？衫猛ㄟ^(guò)射頻接口進(jìn)行的遠程診斷，及時(shí)通知已有的必要服務(wù)措施。不過(guò)，這個(gè)過(guò)程中會(huì )交換像位置和速度這樣的敏感數據。必須保護這種數據的完整性。迄今為止，尚未解決誰(shuí)實(shí)際擁有這些數據的問(wèn)題，并且與此同時(shí)，如果這是個(gè)人數據，會(huì )根據適用的數據保護法受到明顯更嚴格的限制。

專(zhuān)門(mén)的安全措施

現今，汽車(chē)已經(jīng)是名副其實(shí)的計算機網(wǎng)絡(luò )。聯(lián)網(wǎng)車(chē)輛的系統能在不同方向和不同層面上支持通信。一方面，支持車(chē)載通信，能實(shí)現車(chē)輛內部各種控制單元之間的信息交換，像儀表盤(pán)和發(fā)動(dòng)機控制裝置或有關(guān)安全的單元，如轉向和制動(dòng)。通過(guò)利用對外通信，駕駛員可受益于交通擁堵識別和事故預防功能。反過(guò)來(lái)，與云的連接會(huì )挖掘出新的可能性，如，現場(chǎng)軟件升級、遠程診斷、緊急呼叫（eCall）、支付系統、互聯(lián)網(wǎng)服務(wù)，但也涉及信息娛樂(lè )、交通信息和應用等。

因此，未來(lái)的聯(lián)網(wǎng)車(chē)輛處于有著(zhù)不同可能性的一個(gè)“通信外殼”內，而它也有導致潛在操縱的諸多接口和網(wǎng)關(guān)。因此，需要在車(chē)輛內部和與外界的接口中布設全面的安全架構。汽車(chē)行業(yè)尚不存在兼顧功能安全和信息安全兩方面的整體方法。除根據ISO 26262標準確保必要功能安全的已有措施外，需要實(shí)施專(zhuān)門(mén)的軟硬件措施來(lái)保護相關(guān)數據。

安全通信

由于汽車(chē)的連接性日趨增加，所以可能發(fā)生無(wú)需實(shí)際接觸到汽車(chē)的遠程攻擊。借助于可信平臺模塊（TPM），與外界的通信可確保安全。

譬如，TPM可集成到往往與信息娛樂(lè )系統連接的通信控制單元。通過(guò)與制造商的服務(wù)器建立安全連接，并驗證系統的完整性，TPM能增強通信單元的信心。相應地，TPM可以在道路上使用，譬如，以保護軟件升級。由于密鑰保密在該流程中至關(guān)重要，所以，TPM可通過(guò)安全認證的密鑰存儲予以保護。此外，TPM還有一個(gè)優(yōu)勢就是實(shí)施了安全標準，如在借記卡支付領(lǐng)域使用多年的安全標準。

安全的車(chē)載通信

對車(chē)載通信的安全解決方案的要求多種多樣。它們必須十分可靠，滿(mǎn)足對實(shí)時(shí)性能的高要求，同時(shí)經(jīng)濟實(shí)惠，并兼容現有的總線(xiàn)標準。

支持安全車(chē)載通信的系統通常旨在防止兩種威脅。
首先，系統必須受到保護，防止未經(jīng)授權的硬件被帶入網(wǎng)絡(luò )，譬如，其目的是為提升性能。
其次，必須防止有針對性的操縱現有控制單元，其中黑客會(huì )成功訪(fǎng)問(wèn)電子控制單元（ECU），譬如，能由此通過(guò)總線(xiàn)發(fā)送或篡改消息。進(jìn)行這種攻擊的動(dòng)機從常見(jiàn)的盜竊犯罪（防盜）到針對乘客生命和身體的針對性攻擊等，不一而足。

AURIXTM系列微控制器，包含硬件安全模塊，譬如，能借助于高性能的隨機數發(fā)生器在硬件中產(chǎn)生認證碼。

通過(guò)緊急呼叫（eCall）實(shí)現移動(dòng)連接

如果發(fā)生事故，eCall系統會(huì )自動(dòng)將位置及其他重要數據傳輸給救援服務(wù)機構。在歐盟，到2017年將強制配備eCall。在實(shí)施eCall時(shí)，SIM卡（用戶(hù)身份識別模塊）是汽車(chē)與電信網(wǎng)絡(luò )二者之間的互連要素。為此，SIM卡必須符合汽車(chē)行業(yè)的高質(zhì)量標準與移動(dòng)網(wǎng)絡(luò )運營(yíng)商的高安全要求。

為增強靈活性和改進(jìn)客戶(hù)服務(wù)，譬如在出國時(shí)，汽車(chē)制造商在未來(lái)將能改換移動(dòng)通信運營(yíng)商。對于SIM卡的安全要求也在隨著(zhù)這項技術(shù)的引入而增加，因為移動(dòng)通信運營(yíng)商必須將秘密訪(fǎng)問(wèn)數據傳輸到他們沒(méi)有購買(mǎi)并因此在其控制之外的SIM卡上。另外，移動(dòng)通信運營(yíng)商必須對汽車(chē)制造商使用的SIM卡的安全性有信心。這就是為什么他們會(huì )要求由獨立的第三方根據“通用準則”標準針對這些產(chǎn)品進(jìn)行安全評估。因此，對于SIM卡規范，需要使用安全控制器，這是GSMA（GSM協(xié)會(huì )，www.gsma.com）和ETSI（歐洲電信標準協(xié)會(huì )，www.etsi.org）所規定的。

盡管eCall將改進(jìn)事故發(fā)生后的快速處理，但Car2Car通信可以確保安全、高效的道路交通。保護駕駛員的隱私和網(wǎng)絡(luò )的完整性是這方面的主要安全要求。安全認證的安全控制器，如SLI 97系列安全控制器，能借助于加密程序和編碼材料在該應用中實(shí)現有效保護。

可靠的身份認證

可靠的身份認證是汽車(chē)安全系統的一個(gè)重要方面。最知名的應用是電子防盜系統用作防盜保護的核心組件。其中，身份認證發(fā)生在車(chē)輛的點(diǎn)火鑰匙和一個(gè)或多個(gè)電子控制單元之間。不過(guò)，車(chē)輛內也使用身份認證。示例就是ECU組件保護，以識別并非制造商設計的ECU更換。

由于德國在20世紀90年代末廣泛引入電子防盜系統，盜車(chē)的統計數據顯著(zhù)下降，盡管如此，這種趨勢卻在過(guò)去幾年陷入停滯或發(fā)生逆轉。除不適合的、部分專(zhuān)有的和過(guò)時(shí)的加密方法外，缺乏安全密鑰存儲是主要原因之一。在汽車(chē)電子設備中更深程度地集成安全系統可作為一個(gè)解決方案。

32位微控制器及集成式硬件安全模塊（HSM），正如英飛凌的AURIX產(chǎn)品系列所提供的，有助于其本身達到這個(gè)目的。除高性能CPU具備用于存儲加密密鑰和唯一用戶(hù)標識符的訪(fǎng)問(wèn)受限特殊內存以外，這就需要AES-128這樣的高效加密程序和指定硬件來(lái)產(chǎn)生隨機數。

結語(yǔ)

電子設備在增強安全性方面起著(zhù)決定性作用。像制動(dòng)或轉向單元這類(lèi)重要安全部件的潛在或實(shí)際故障，必須自行識別并予以解決，其目的是保護車(chē)輛和乘客免受損壞及傷害。與此同時(shí)，比以往更大的作用可歸于信息安全。車(chē)輛與外界的連接越來(lái)越多，隨之而來(lái)的是黑客攻擊電子控制設備的風(fēng)險更高，如用于發(fā)動(dòng)機或制動(dòng)的電子控制設備。因此，必須保護與安全相關(guān)的所有功能的數據完整性。為此，如今已推出高性能微控制器和獨立的安全部件。

半導體為車(chē)聯(lián)網(wǎng)提供更多安全保障

各種現代的半導體解決方案可用于在聯(lián)網(wǎng)車(chē)輛中實(shí)施必要的安全功能：帶特殊安全模塊的高性能微控制器，專(zhuān)用的安全控制器，以及TPM安全元件。譬如，通過(guò)這種方式，AURIX產(chǎn)品系列的32位微控制器可以提供功能塊，如“安全硬件擴展”（SHE）或“硬件安全模塊”（HSM）。通過(guò)消息的電子簽名或完整加密，HSM 可以接手與其他微控制器的安全通信。此外，HSM可用于安全啟動(dòng)微控制器。

像安全控制器或配備TPM功能的控制器這樣的獨立式硬件解決方案，提供了從智能卡行業(yè)到汽車(chē)行業(yè)的成熟專(zhuān)業(yè)知識。關(guān)鍵數據、組件和IP可以通過(guò)這種方式予以保護。借助可擴展的產(chǎn)品，用戶(hù)能在安全級別與成本之間做出最佳權衡。通過(guò)利用標準化的功能塊和組件，而不是專(zhuān)有解決方案，可以最大限度降低風(fēng)險。

聯(lián)網(wǎng)的車(chē)輛支持在不同方向和在不同層面上進(jìn)行通信。反過(guò)來(lái)，這也會(huì )帶來(lái)很多的黑客攻擊的可能性。一個(gè)始終如一的安全理念幾乎是不可行的。因此，需要特定、有效且基于標準的安全解決方案作為應對措施。