广告

降低系统级风险,确保连网汽车安全

时间:2017-06-30 作者:Prem Kumar Arora,美高森美SoC产品营销总监 阅读:
随着业界朝向智能车辆控制的方向迈进,人类的生命正交由传感器、MCU和算法来掌控。因此,转向先进驾驶辅助系统的下一步,必须谨慎考虑隐藏的系统级风险以及由此导致的安全隐患…

过去一百多年来,汽车产业一直是经济成长的推动力。汽车产业持续带领着技术的变革,让汽车成为安全、舒适和高效率的运输方法。但是,到目前为止,这些都只是一点一点地在增加和演变,而不是革命性的重大变革。随着自动驾驶车(self-driving car)的出现,我们也踏上了革命性变化的起点。为了带领这种变革且不至于减损安全的性能,我们需要仔细地研究从设计时间到IC层面的系统级风险及其减缓措施。8SUEETC-电子工程专辑

自动驾驶汽车确实酷炫。毕竟,谁不想以150MPH的速度在高速公路上飞驰,同时观赏《哈利波特》(Harry Potter),而不需要担心驾驶呢?但是,它们并不只是酷这么简单。它们可为某些棘手的重要问题提供解决方案──有助于减少车祸,节省在交通拥挤中所浪费的数百万小时以及停车场所浪费的城市空间,而这些还只是其中一小部份的例子而已。8SUEETC-电子工程专辑

为了使自动驾驶汽车的美梦成真,需要将几种技术结合起来,相互搭配运作。先进驾驶辅助系统(ADAS)能够实现更好的情境感知和控制,使驾驶变得更简单、更安全。ADAS技术可以采用车辆内建的系统──也就是车辆常驻系统,如视觉和摄影机系统,以及传感器技术,或是在车对车(V2V)或车对基础设施(V2I)系统(合称为V2X)情况下,采用以智能、互连为基础的网络。8SUEETC-电子工程专辑

V2X通讯利用电路板上的专用短距离无线通信组件,将有关车辆速度和车身大小、前进方向、煞车状态等安全相关信息传送给其他车辆,并从这些信息中接收关于其他车辆的相同信息。V2X网络采用多点跳跃(multi-hop) 技术,透过其他节点传送这些信息,从而实现远距离的通讯。更远的检测距离以及观察角落或其他车辆的能力,有助于让配备V2X的车辆比传感器、摄影机或雷达更早发现威胁,并据此对驾驶者发出警示。
20170622_Microsemi_TA31P1
图1:自动驾驶架构图8SUEETC-电子工程专辑

随着这些技术的成熟,要能够成功部署的最重要因素是可靠性和现场性能。车用电子系统的历史记录一直都是问题重重,特别是最近的记录。我们已经了解了电子访问控制系统的脆弱,也听闻过自动加速车辆(self-accelerating car)造成伤亡的事件。两名“道德”黑客因展现远程访问的脆弱性,进而成功控制了Jeep Grand Cherokee并使其失控而登上了媒体头条。这些和其他事件,都暴露出我们需要克服的潜在挑战。8SUEETC-电子工程专辑

三种最常见的威胁领域是:8SUEETC-电子工程专辑

• V2V和V2I通讯8SUEETC-电子工程专辑

• 使用移动设备、U盘或MP3设备8SUEETC-电子工程专辑

• 售后市场和维修/诊断8SUEETC-电子工程专辑

安全挑战随着与外部世界连接的每一节点而升高。连网汽车中存在几个这样的节点,若不是与因特网连接,就是与作为V2V网络一部份的另一辆车辆通讯。在这些车辆中,必须确保与外界的通讯取自经过验证的来源,而且在传输过程中未被篡改过。8SUEETC-电子工程专辑

为了确保安全,设计人员必须从底层硬件着手,通常需要解决的问题如下:8SUEETC-电子工程专辑

• 硬件完整性——以硬件预防/检测篡改8SUEETC-电子工程专辑

• 车用软件和数据的完整性和真实性——不容许未经授权更改任何车用软件,或者必须是可查明修改的8SUEETC-电子工程专辑

• 车载通讯的完整性和真实性——接收器必须能检测出未经授权的数据更改8SUEETC-电子工程专辑

• 车载通讯和数据的保密性——不容许传输或储存的机密数据未经授权揭露8SUEETC-电子工程专辑

• 向其他(远程)实体证明平台的完整性和真实性——有能力证明该平台配置的完整性和真实性8SUEETC-电子工程专辑

• 车用数据和资源的访问控制——实现可用性和定义良好的存取方式8SUEETC-电子工程专辑

挑战可归纳成以下三个主要领域:8SUEETC-电子工程专辑

• 安全硬件——底层硬件非常安全,必须无法被篡改,并且能够形成信任根源;8SUEETC-电子工程专辑

• 设计安全——硬件上所建置的设计十分安全,且无法被篡改;8SUEETC-电子工程专辑

• 数据安全——所有数据通讯类型都是安全的和可靠的。
20170622_Microsemi_TA31P2
图2:多个分层的途径对于确保硬件,强化设计安全性和锁定数据安全性至关重要8SUEETC-电子工程专辑

确保系统安全可从确保硬件安全开始。安全且受信任的硬件构成了安全系统的基础。它提供了必要的建构模块,可用来验证、授权通讯与行动等。对任何系统都是如此,而对于V2X系统来说尤其重要。8SUEETC-电子工程专辑

确保V2X安全8SUEETC-电子工程专辑

为了实现可靠的V2V/V2I通讯,必须确保通讯来自于已知的来源,而且不至于在传输过程中被更改。8SUEETC-电子工程专辑

为了证明真实性,信息发送者必须向接收者提供能够验证的某些辨识形式,以确认信息来自正确的来源。这可以利用对称或非对称的加密技术实现。8SUEETC-电子工程专辑

对V2X网络来说,由于网络的复杂性和规模,通常不能使用对称加密,而是采用不对称加密,并提供一种可扩展的方法来连接网络可能需要的节点数量。为了实现这一点,每个节点都会采用一种私钥,对每一笔传输的信息签署数字签名。接收端则以传输给所有接收节点的相关公钥(public key)来验证这种数字签名。这种方法不仅扩展性比对称加密方案好,也比较容易更换出错的节点。8SUEETC-电子工程专辑

但是这种方法也带来了另一个问题:如何确保每个节点所使用的密钥和公共密钥是真实且未被篡改?8SUEETC-电子工程专辑

问题第一部份的最佳可能解决方案是采用硅IC的生物签名,这种签名方式的基础是每个组件生产工艺中的微小实体变化。这些工艺变化永远不可能相同、无法被复制,也没有两个IC具有相同的工艺变化,从而为每一组件提供了独一无二的签名。这种签名被称为实体不可复制功能(PUF)。除了不可复制之外,采用PUF的密钥通常是在原子的层级上实现的,因而很难被黑客撷取。IC可以将PUF的基础建立在几种实体因素上,如内存组件、逻辑延迟和电阻。基于SRAM的IC利用SRAM单元唯一的随机启动状态产生密钥,由于该单元的状态会在断电时被擦除,因此更加安全。8SUEETC-电子工程专辑

问题的第二部份可透过公钥基础架构(PKI)解决。PKI是一种创建、储存和分配数字证书的系统,用于验证属于某一实体的特定公钥。PKI可创建出一种将公钥映像到实体的数字证书,并将这些凭证安全地储存在中央储存库,必要时还可加以撤除。8SUEETC-电子工程专辑

在PKI系统中,认证机构(CA)利用自己的密钥对其公钥签署数字签名,从而为所有的节点进行认证。最常见的公钥认证格式是X.509。当一个设备利用其密钥传送信息并以数字方式签署时,该信息可采用设备的公钥验证。该设备也可以将其X.509凭证发送给接收其信息的所有节点,让它们都可拥有其公钥。X.509凭证,包括设备的公钥,也能以CA的公钥在接收端进行验证;CA的公钥会事先放在所有的节点之处,而且是本质受信任的。采用这种方案,由于发射器采用的签名可以由接收器验证,因而能够建立经过验证、以凭证为基础的分级信任链。这种方案还能确保易于检测出造的设备。8SUEETC-电子工程专辑

当今车辆中的电气与/或电子内容增加的规模,已经将业界的注意力转移到确保这些内容不会对系统或接口设备造成任何威胁,以及如果造成威胁的话,可以采取预防或纠正的措施。8SUEETC-电子工程专辑

特别是随着业界朝向智能车辆控制的方向迈进,正将人类的生命交由传感器、微控制器(MCU)和算法来掌控;同时,随着电动车的出现,电气与/或电子内容的规模增加还更胜以往。因此,转向先进驾驶辅助系统的下一步,必须认真考虑隐藏的系统级风险以及由此导致的安全隐患。从设计时间开始一直延伸到IC层面,整个系统都必须采取安全的措施。8SUEETC-电子工程专辑

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。
8SUEETC-电子工程专辑

8SUEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
您可能感兴趣的文章
  • 亟待零突破:中国汽车半导体芯片的征程才刚刚开始 慕尼黑工业大学信息学教授Manfred Broy说过,如果你现在买辆高端汽车的话,“它很可能包含了1亿行软件代码”。这些软件代码又运行在70-100个ECU(电子控制单元)上,这些ECU就在车内形成连接网络。实际上,汽车中的软件在规模和复杂度上还在迅速成长,商业研究公司Frost&Sullivan预计,很快汽车内的软件代码就要达到2-3亿行的程度了。
  • NIWEEK 2019大看点:虚拟工厂/小型卫星发射/认知雷达/超 传感已经无处不在,世界上部署的传感器正在接近1万亿个,连接设备也在接近300亿台。机器学习也已经不再只是个流行词,而是已应用到许多领域。这些所有加在一起,使我们面临从未有过的巨大挑战。那么这对大家意味着什么?也就是我们每个人都在参与5G、自动驾驶汽车、工业4.0或商业太空旅行的竞赛。
  • SoC芯片设计中主攻安全IP的“隐形冠军” 2015年Jeep因为安全漏洞而召回140万辆;2016年 Mirai僵尸网络攻击攻陷了成千上万的物联网(IoT)设备,破坏大量主流站点;2018年肆虐了一年的幽灵系列漏洞针对的并不是某个具体的硬件缺陷,而是将矛头对准了分支预测和乱序执行这两个现代 CPU 处理器架构普遍采用的优化策略,并通过缓存侧信道攻击对机密数据的任意读取。2019年5月,RISC-V中国巡演深圳研讨会期间,UltraSoC公司CEO Rupert Baines分享了其针对芯片安全和性能检测的技术方案,并发布了专门针对RISC-V处理器内核的周期精准(Cycle-Accurate)跟踪技术。
  • 国内晶圆厂建设究竟有多热?盘点国内十家晶圆厂的最新进 全球都在关闭晶圆厂,而我国大陆却在疯狂建设。然而宣布建设的晶圆厂有多少能真正建成?芯谋创始人顾文军曾发微博评论:“现在大陆多少12吋Foundry了!这下真热闹!两年后会有多少人哭成一片!”我们来盘点一下国内十家晶圆厂最新进展,究竟是“几家欢喜,几家忧”呢?
  • Marvell以4.52亿美元收购Aquantia,加强汽车网络业务 Marvell 宣布达成了以 4.52 亿美元收购 Aquantia 的计划。本次收购将显著提升 Marvell 当前的网络业务,因为该公司打算在未来的 PC、企业、以及车载领域,使用来自 Aquantia 的技术。
  • “复联”英雄,最像哪款自动驾驶芯片? 这几天《复仇者联盟4:终局之战》的话题刷屏朋友圈,观影之余,小编发现不久前,有“硅谷钢铁侠”之称的特斯拉创始人埃隆·马斯克发布了自家的自动驾驶芯片。放眼当前几家巨头级的自动驾驶芯片厂商,各有各的绝活,也有各自的阵营(联盟)。如果复联中的钢铁侠对应特斯拉,那业界其他几家厂商,分别对应哪位超级英雄呢?
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告