汽車安全性唾手可得　

作者/ Nicolas Schieli Microchip Technology Inc.安全產品部營銷和應用高級總監

摘要：面對備受關注的汽車安全問題，不具備安全特性的CAN 2.0已經無法滿足要求，本文介紹了新一代CAN總線標準——CAN FD，它比CAN 2.0快四倍，并且提供64字節的有效負載，可提供支持安全性所需的性能，能夠更好地解決汽車互聯的安全問題。

不安全問題由來已久

　　汽車逐漸電子化的歷程已持續多年。由于一旦發生故障便會危及生命，因此，出于安全考慮，汽車的設計與其他交通工具有所不同。每個電子功能都擁有自己的獨立計算資源，這些資源捆綁到一個電子控制單元(即ECU)中。這些ECU通過專為這一特定用途開發的CAN總線互連。

　　最初，只有面向傳動系統的功能才會構建并連接到總線。但新型電子汽車組件(尤其是高級駕駛輔助系統(ADAS)和信息娛樂“中控臺”)的要求遠不止確保汽車高效運行。盡管有些組件比其他組件的安全性要求更嚴格，但它們都連接到同一條CAN總線。

　　特別是信息娛樂部分需要連接互聯網，通過這種連接，其他人可以嘗試訪問總線，從而訪問汽車中的所有電子模塊(關鍵型和非關鍵型)，這使得安全性成為重要的考慮因素。

　　雖然這種問題看似歸咎于非任務關鍵型模塊，但是蜂窩互聯網連接并不是唯一可能的入口點。汽車還會提供Wi-Fi?和Bluetooth?連接作為獲得入口的替代方式，甚至是無鑰門禁系統和車載診斷系統都能提供進入汽車核心的可能入口。

　　同時，ADAS軟件會在汽車的各種傳感器與其他執行器之間建立復雜的關系。如果汽車檢測到可能與前方汽車發生碰撞，則會自動應用剎車功能，以快于駕駛員的反應速度進行減速，從而避免發生車禍。因此，ADAS系統必須能夠訪問傳動和安全系統的關鍵部件。由于互聯網連接暴露了所有這些系統，因此，我們將再次面臨安全挑戰。

　　然而，CAN總線架構自身并不具備安全特性，而且其性能也過低，以至于無法支持基于ad-hoc增添安全性。因此，就這一點而言，對于如何在不自行發明大型系統或無需在發現安全漏洞時逐個封堵的情況下，實現系統級安全性能，汽車制造商及其供應商沒有統一的指導原則。

　　雖然基本ECU軟件的數量可能以正常速度增長，但ADAS和信息娛樂代碼的數量正在激增。這對開發人員來說是一個持續的挑戰：他們如何確保不為某些人提供入侵以及惡意操作汽車關鍵組件的機會?

　　這不僅僅是車內的問題。汽車間通信對于ADAS系統了解路況和明確如何響應緊急情況至關重要，這在技術上意味著處于彼此監聽范圍內的所有汽車都位于同一網絡，從而使彼此面臨風險。

CAN FD新標準提供更高的安全性

　　對于從全新理念的構思到推出經銷產品需要五年時間的行業而言，變革面臨重重困難。即便是對實施安全性的迫切需求也被推遲，因為這表示需要大量工作來調整操作，以便融合安全理念。戲劇性的是，發生了吉普汽車遭到黑客攻擊的案例，這有力證明了汽車安全性至關重要。

　　新一代CAN總線標準——CAN FD可提供支持安全性所需的性能。它比CAN 2.0快四倍，并且提供64字節的有效負載，而CAN 2.0只能提供8字節的有效負載。該標準尚未正式批準，但已存在完整的草案，預計不久將獲得通過。

　　CAN 2.0不具備安全特性，任務關鍵型ECU共用同一條具有信息娛樂功能和其他功能的無保護總線，可通過多種方式訪問總線。CAN FD將允許域和域控制器充當防火墻來限制訪問。圖1顯示了一種將不同功能分組到域中的方法。

　　新架構將支持從當前各部分高度分散的情況向更集中的可控結構轉移。ECU可融合到域中，相應的域控制器可作為防火墻來保護域。最終，可對這些域控制器本身進行融合，從而為身份驗證和訪問授權提供了中心點。仔細挑選的安全微處理器可用于管理安全啟動過程及強化隔離和受信區域，以防止惡意軟件訪問關鍵資源。

　　由于CAN FD對當前CAN架構進行了重大改變，因此，需要五到八年的時間來進行檢查和評估(以及應對阻力)，之后才會最終采用。從長遠來看，這對于實現安全性是一個好消息。同時，在CAN FD成為新標準之前，必須采取相應措施來保護要推出的汽車。

保障安全

　　即使CAN FD正在等待正式批準，目前已可使用CAN FD收發器。這可在正式通過之前提高安全性。可通過多種方法提高安全性。盡管存在安全的單片機，但它們通常是高端處理器，因此，可能超出了ECU成本目標的范圍。

　　而使用提供加密功能的TAD或組合TAD與CAN FD收發器的邊界安全設備則可確保每個ECU都受到保護。這些設備處于帶有CAN 2.0收發器的處理器與CAN FD總線之間，可提供額外的安全性能，同時幾乎無需對ECU進行設計更改，如圖2所示。

　　加密功能支持強身份驗證，可對嘗試訪問ECU的任何人員進行身份驗證。它還將加密通信，支持較新芯片的橢圓曲線加密;與舊RSA加密相比，能提供更強大的保護，允許更短的密鑰。然而，現有模塊可能將RSA加密作為ad-hoc安全方案的一部分，因此，設備也將提供RSA功能。

　　關鍵之處在于，所有加密功能均在硬件中執行，這樣便無法在運行時檢查加密代碼。這還提高了性能，可減少安全性所需的額外開銷。此外，邊界安全設備不允許任何人(無論是否獲得授權)查看任何密鑰，可實現對所有密鑰的保護。其防篡改功能可防止確定的竊聽程序嘗試通過暴力攻擊或旁路攻擊獲取機密，從而侵入邊界安全設備。

結論

　　TAD和邊界安全設備現在可以從Microchip等公司獲得，從而可立即著手解決當今汽車行業面臨的嚴重問題。今天使用TAD或邊界安全設備設計的汽車模塊可有力地排除道路上的嚴重安全隱患。

　　本文來源于《電子產品世界》2017年第5期第25頁，歡迎您寫論文時引用，并注明出處。