|
多年以來,汽車安全事件已經(jīng)成為公眾矚目的焦點,大多與車輛被盜或發(fā)動機控制功能的“崩潰”有關(guān)。 對于那些在工程技術(shù)上安全可靠的汽車系統(tǒng),這些故事向我們展示了它們差強人意第一面,而且隨著新的威脅不斷涌現(xiàn),風險還在增加。 2015-2020 期間,車內(nèi)的計算能力有望提高 100 倍,黑客也找到了更加復雜的方法去侵入汽車內(nèi)部并控制諸多功能,從廣播到制動。 讓我們看一看設(shè)計一輛安全的汽車所面臨的部分挑戰(zhàn),以及如何去應(yīng)對這些挑戰(zhàn)。 在安全領(lǐng)域,人們會說到系統(tǒng)的攻擊面。 攻擊面小意味著沒什么機會侵入,攻擊面大則意味著機會多多。 過去侵入汽車只能靠攻擊車內(nèi)的線路,讓自己混入電子線路 (電子控制單元) 之間交換的消息當中,并創(chuàng)建自己的消息,進而攻擊汽車。 一個很好的例子就是——如果犯罪分子知道有一根線路通過車身底板,就在那里鉆一個孔。 他們將一根探針連到線路上,并用這個打開車門,并破壞其防盜系統(tǒng)。 這個方法行得通,但不具備可擴展性。 不過,有很多價格不菲的汽車就是這樣被偷走的,現(xiàn)在仍是如此! 更多技術(shù)意味著攻擊面增大 你看看現(xiàn)代的汽車,還有正在設(shè)計的那些,它們就是由幾英里長的線路組成的分布式系統(tǒng),如果你能接觸到它們,就有很多方法入侵車輛。 這就說明了為什么這個問題很刺手。直到最近,唯一使用的嵌入式無線電臺就是為了提供無鑰匙進入功能,但汽車行業(yè)在這一方面的開局并不順利,因為有很多例子告訴人們?nèi)绾问褂眯盘栐鰪娖骰蜻M行模仿。 甚至還有人在教如何通過FM 無線數(shù)字系統(tǒng) (RDS) 來擾亂車載信息娛樂系統(tǒng) (IVI)。 如果汽車旁邊有一個假冒的無線信號源,它發(fā)出一個軟件不應(yīng)該接收的 RDS 擾亂消息,就能讓嵌入式的無線電臺崩潰。 當然,這不是什么嚴重的問題,只是讓我們知道做到安全并非易事,而且并非只有汽車如此。 總而言之,我們不難看出無線接口和軟件的大幅增加對汽車行業(yè)來說算得上是一個重大的變化。 面對這些嚴峻的挑戰(zhàn),行業(yè)內(nèi)開展了大量工作來解決它,而且它將繼續(xù)成為行業(yè)人士關(guān)注的主要內(nèi)容。 安全的符咒就是“不要相信任何人”。 考慮到這一點,設(shè)計師必須確保堵上所有的漏洞。 黑客可以選擇從任何一點進行攻擊,一個漏洞足矣。 查理•米勒 (Charlie Miller) 在最近召開的 ARM TechCon 大會上發(fā)表了主旨演講,更是讓我們知道現(xiàn)在有多少車輛在有足夠技術(shù)知識和動機的黑客面前都不堪一擊。 
查理•米勒 ARM TechCon 演講的主旨 OTA (over-the-air) 安全 一方面,制造出具有強大安全基礎(chǔ)的汽車非常重要,但當務(wù)之急是出現(xiàn)問題的時候有能力解決它們,畢竟問題總是會出現(xiàn)的。 一輛汽車的使用壽命通常在十年以上,那個時候它需要和現(xiàn)在一樣安全。 關(guān)鍵在于接受這樣的事實——黑客總能找到入侵的方法,因此我們要打造一個可以而且將會修復的系統(tǒng)。 目前,所有汽車軟件實際上都是在經(jīng)銷商或其他授權(quán)的服務(wù)代理商那里通過一根電纜線完成的,需要預約和人工成本。 所有人都能看出這并非一個具有擴展性的解決方案。 這意味著固件 OTA 更新 (FOTA) 是個非常重要的努力方向,它可以在發(fā)現(xiàn)問題之后的幾天甚至是幾個小時之內(nèi),發(fā)布安全補丁以供汽車自動下載。 即使汽車的問題十分嚴重也不愿意接受召回的車主數(shù)量多到嚇人。
為了實現(xiàn)擴展性,汽車軟件有必要以 OTA 的方式進行修復 OTA 維護軟件成功的關(guān)鍵在于它能夠以可靠的方式建立汽車網(wǎng)絡(luò)的可信度。 如果有了可靠的安全基礎(chǔ),升級程序?qū)嶋H上不必與受損系統(tǒng)發(fā)生交互。 如果系統(tǒng)可靠,那么其軟件系統(tǒng)的身份信息、可信度和清單文件都可以得到驗證。 在授權(quán)進行升級之前,汽車 OTA 系統(tǒng)通常驗證系統(tǒng)的這些屬性。 基于硬件的信任根可以成為 FOTA 的堅實基礎(chǔ),因為它可以權(quán)衡一個平臺,并與遠程的 OTA 系統(tǒng) (由汽車制造商或其代理商運行管理) 以安全的方式進行交互。 軟件供應(yīng)商有真正的機會開發(fā)這種 OTA 連接和配置框架。 預防攻擊的另外一種方式是通過報告實現(xiàn)的。 聲音響亮的汽車防盜器可以阻止一個企圖進入車內(nèi)的盜賊,有些公司——比如 TowerSec (現(xiàn)在是哈曼的一部分)——就在研制可以檢測到潛在入侵并且發(fā)現(xiàn)安全隱憂的系統(tǒng)。 汽車安全需要各方努力 隨著行業(yè)內(nèi)的供應(yīng)鏈不斷延伸,打造一臺安全的汽車需要各方的協(xié)作。 其目的就是盡可能減少可以被黑客利用的攻擊面,智能手機行業(yè)目前花了相當長的時間來攻克這個問題。 利用在這一領(lǐng)域已被證明有效的實踐方法,這將是個不錯的起點,有利于整個生態(tài)體系在未來汽車安全的問題上開展合作。 汽車制造商可以通過指定和使用一些軟件和硬件技術(shù)來提供支持,這些技術(shù)包括: • 基于硬件的可信執(zhí)行環(huán)境 (TEE),比如應(yīng)用處理器中基于ARM TrustZone的 GlobalPlatform TEE • 微控制器中基于 TrustZone 的 uVisor • 在硬件安全模塊 (HSM) 中運轉(zhuǎn)的安全子系統(tǒng),比如 ARM TrustZone CryptoCell 針對 TEE 管理的新標準也在制定過程當中,比如最近宣布的開放信任協(xié)議 (Open Trust Protocol)。 它利用 PKI/CA 以及簡化的 TEE 管理來管理和確保所有設(shè)備和服務(wù)供應(yīng)商之間的信任。 移動的安全架構(gòu)正在走向低成本的 MCU (針對 ARMv8-M 的 TrustZone 以及 ARM 最近發(fā)布的 TrustZone CryptoCell-312 安全 IP),為汽車行業(yè)提供了真正的機遇,首次嘗試建立基于硬件的安全的新層次。 汽車在未來面臨著諸多挑戰(zhàn),安全就排在第一位,但整個行業(yè)還有時間做出正確的應(yīng)對。 汽車制造商非常重視這個問題,通過企業(yè)機構(gòu)重組將安全技術(shù)集中到卓越中心,而不是將它們四處傳播,或是作為權(quán)益之計。 ARM 與整個供應(yīng)鏈上的合作伙伴展開協(xié)作,為安全知識與安全實施建立標準,旨在讓下一代汽車變得更安全。 |
