隐私保护是驱动程序监控的必要条件

驾驶员监控系统与车辆架构紧密相连，很快驾驶员将无法选择退出，因为车辆只有在检测到驾驶员并对其进行监控的情况下才会运行。这引起了人们对隐私的担忧，即是否有足够的安全措施来保护数据的隐私。

至少，除了安全功能和技术之外，汽车运营所在地区的法律法规也是必要的。解决车辆安全挑战的公认方法是应用深度防御，这意味着在系统中实施不同的安全层，从芯片上的系统监控，到通过网络安全访问设备信任的根源(RoT)，一直到托管OTA软件的服务器的安全性，以及介于两者之间的许多层，包括车辆到基础设施。

包括宝马、福特、通用汽车、斯巴鲁和特斯拉在内的许多汽车原始设备制造商已经在某些车辆上安装了某种形式的驾驶员监控系统(DMS)，该系统使用近红外传感器和车内摄像头。一些制造商声称，这些数据是在一个闭环系统中运行的，但特斯拉公开表示，它不会对从其车辆上收集的视频进行评论。

随着车辆越来越多地包括先进的驾驶辅助系统例如分心缓解系统，从车内收集的驾驶员数据的隐私以及如何保护这些数据正在受到新的审查。许多人认为隐私已经进入哲学和伦理学的领域，但越来越多的证据支持将隐私纳入汽车安全系统的一部分。

“我们将看到越来越多的驾驶员监控系统被部署，因为它们是提供更多保护的必要条件，”达纳·诺伊施塔特(Dana Neustadter)说Synopsys对此．“驾驶员监控系统背后的意图是好的，但它们也带来了隐私方面的问题，因为它们为检查驾驶员是否被方向盘上的特殊摄像头或传感器分心提供了价值。随着这些技术以安全的名义激增，它们也可能被用来或被滥用来侵犯隐私。”

Neustadter说，今天，这些dmse的隐私问题并没有得到真正的解决。“还有更多需要解决的问题，比如法律法规。如今，一些汽车制造商基本上都在使用和共享来自汽车、司机和车内摄像头的视频片段或数据。他们正在使用这些数据，他们可以声称他们只是为了研究目的而使用这些数据。但是，是什么阻止他们将这些数据用于其他目的，比如证明事故发生是司机的错，而不是汽车的错?”

平衡
这需要与隐私相平衡。她说:“对于联网汽车，我们谈论的是需要更多中央处理的复杂系统。”“他们需要处理来自更多摄像头的数据，这意味着需要对不同的东西进行大量处理。最重要的是，无论DMS如何，汽车系统的安全性至关重要。dmse只是增加了这项技术。没有安全，就没有安全性和可靠性，所以汽车制造商真的需要一个整体的安全和保障方法。隐私可以从技术的角度来解决，但它也需要从更高的层面来解决，比如法律和法规，因为有关于你可以做什么和不可以做什么的问题。就隐私问题而言，让制造商或用户做决定是不对的。”

事实上，随着我们将生活连接扩展到我们所操作的车辆，我们将越来越多的个人数据暴露到车辆本身的处理系统中，信任和安全产品经理John Hallman说OneSpin解决方案．“我们连接手机、平板电脑和其他包含这些个人信息的设备，并希望保持这些信息的机密性和隐私性。在方便获取和访问数据与保护这些信息不被不应该被允许访问的人获取之间取得平衡，是我们一直在努力应对的安全挑战。”

解决这一挑战的一种普遍接受的方法是提供安全层。这种方法的目标是在不同的抽象层次上处理系统的不同组件，比如在接口上，或者在硬件或软件上。最近的攻击，如SolarWinds漏洞，或对水厂设施的入侵，表明需要防止控制系统，也需要防止提取信息。防火墙、接口和数据加密等保护措施是非常重要和必要的，我们还必须进一步深入地解决集成电路中的基础硬件问题，许多处理系统都是建立在这些基础硬件之上的。

安德鲁·多曼，工程副总裁龟岛的逻辑他说，隐私和安全必须从整体的角度来解决。“驾驶员监控是汽车系统安全隐私问题的一个方面。几年前，智能手机可以连接到汽车系统，下载联系人和存储电话。然后突然间，汽车的系统掌握了大量关于你的信息，以及你去过的地方。在许多方面，驱动程序监控是它的扩展。其中一个问题是，“这些信息是如何以有意和无意的方式使用的?”“有意的方式可能是好的——帮助司机保持清醒，帮助司机集中注意力。”另一方面，它可以被用于邪恶的方式，比如你的行为被监视。问题是，每当系统安全受到威胁时，这些信息就可能被不当使用。”

他说，这说明了整个汽车的安全性。“我们过去在汽车上安装了非常离散的系统。没有任何东西连接在一起。现在所有的东西都有点积分了，如果不是完全积分的话。正因为如此，我们必须真正开始考虑整体架构，并在安全方面对汽车进行验证，作为一个大的集成系统。”

几年前，刹车系统只是一个液压和机械系统。“迈向一体化的第一步是防抱死刹车，然后汽车突然有了一个电子元件，”道曼说。“快进到今天。在同一个菜单上，我还有一个控制装置，可以影响我的汽车刹车系统，叫做自动刹车，它可以在我忘记刹车的时候保持刹车。与ADAS相关的其他功能都在同一菜单上，因此该系统也将处理驾驶员监控。现在都集中在软件层和硬件层。我们不能再把它们分开了。如果我们不能把它们分开，我们该怎么办呢?”

安森美半导体(ON Semiconductor)汽车解决方案架构总监史蒂夫•哈里斯(Steve Harris)指出，当安森美半导体将网络安全植入其传感器时，第一个目标不仅仅是保护驾驶人员的隐私;这是关于安全的。

“如果有人能够进入并观看你的视频流，更可怕的是，他们不仅能够观看，而且还可以修改它。当我们第一次看到网络安全时，它是从安全的角度来看的，如果有人可以侵入我们的传感器，改变来自我们传感器的数据，并将其驱动到一个认为它实际上与我们的传感器通信的SoC，但你得到了错误的数据，那么你就会导致事故。与此相关的是，驾驶员监控是一个有趣的情况，因为现在很多驾驶员监控系统都是基于欧洲NCAP法规的，所以它更像是一个复选框:你有吗?你没有吗?虽然我们可能需要几年的时间才能实现，但它们并没有真正与其他机器视觉系统捆绑在一起，所以我不知道至少现在是否有任何车辆，基于驾驶员的头部姿势或目光检测，实际上除了发出警告之外还能做些什么。我不知道有任何汽车会自动刹车或驶入不同的车道。我们正处于一个有趣的时期，驾驶员监控的安全因素并不那么重要。话虽如此，我们的图像传感器中的一些功能可以用于实际的安全功能，也可以用于车内空间的隐私功能。随着这些项目——驾驶员监控和乘员监控——不可避免地开始与ADAS系统捆绑在一起，从安全角度来看，网络安全模块将被内置。在那之前还有一段时间，比如两到三年后，司机监控摄像头现在有更多的隐私问题，但我们正在做网络安全方面的工作来解决这个问题，”他解释说。

另一种方法可能是一个安全岛概念，用于监控从传感器传递到计算系统的数据的质量、完整性和速度。

沃尔沃汽车与物联网业务部门汽车合作主管Robert Day表示:“这些性能数据可以通过车内的远程信息处理单元传输到云端，进行伪实时监控或分析，或者存储在车辆上，然后在车辆返回母国时下载并进行分析。手臂．“任何性能的下降都可以分析，看看它是否仍在可接受的行为范围内。如果没有，就应该采取一些措施，包括暂时关闭ADAS功能，然后由经销商更换故障部件，或者对于自动驾驶来说，进入故障运行模式，可能需要使用另一个传感器，或者有可能让远程驾驶员引导车辆进入安全状态。”

然而，尽管许多安保和安全系统捆绑在一起，还是有区别的。汽车测试解决方案经理Lee Harrison表示:“安全与安全不同，后者是静态的西门子EDA．“除了极端环境或交通状况等特殊情况外，驾驶员和车辆面临的风险都可以被识别、建模并防范。有了安全保障，这片土地就充满了活力。今天的网络攻击看起来与过去有很大的不同，我们认为它们将在车辆的整个生命周期中继续发展。攻击者会找到不同的、更高级的方法来攻击车辆系统，无论是控制还是仅仅窃取数据。一个很好的例子是，在车辆联网之前，任何形式的攻击都必须是对车辆的物理攻击，在这种情况下，防范这些攻击的主要是物理攻击。然而，现在随着大多数车辆联网，攻击者可以完全远程连接并攻击车辆。因此，需要的不仅仅是人身安全。”

ISO 21434标准是一个新兴的标准，它试图以与安全相同的方式解决安全问题，分析威胁并确保机制到位以防止它们。哈里森说:“这一标准是一个很好的开始，但是设计中的安全机制通常在运行中是固定的，我们看到设计中的安全监视器设备在车辆的生命周期内是动态和可更新的。”就像电脑上的杀毒软件更新一样。我们需要能够在车辆的整个生命周期内做到这一点，以确保安全保护是最新的，并随着威胁的发展而发展。”

Harrison表示，这意味着开发人员需要意识到，汽车生态系统存在大量不同的标准，包括供应链。“重要的是要了解哪些标准会影响您的产品，哪些认证需要获得到哪些级别才能使您的产品适合用途。此外，这些标准中的许多将规定典型商业级SoC不需要的技术解决方案。这些可能包括增强的测试需求、功能安全和安全性。了解设备应用程序的威胁情况及其将被使用的上下文非常重要。与安全性类似，那些引入较大风险的功能将需要更严格的解决方案来减轻此类安全性问题。开发者需要了解哪些技术可以帮助他们解决这些复杂的问题。”

芯片级的隐私
在IC层面，设备本身包含大量需要保护的个人数据。

OneSpin的Hallman表示，我们必须进一步分析和理解ic，然后验证各个层面都有适当的保护措施。“我们还必须验证没有意外的私人信息通道，例如通过隐藏的后门，未检查的测试端口打开，或其他可被未经授权的攻击者利用的侧通道。可能需要考虑物理访问，但通常接口保护的缺陷足以泄漏所需的数据。现在有许多检查可以扩展功能验证，以包含更多的安全性验证。只有通过消费者意识到这一点，以及他们对产品供应商的要求，我们才能在保护消费者个人数据隐私方面做得更多。”

观察车辆内部的集成电路是一回事。当车辆开始在智能城市基础设施中与彼此以及周围环境进行交互时，将会对这个问题进行更广泛的研究。

威拉德屠，汽车主管赛灵思公司他预计，隐私和安全要求将更类似于军队中的要求。“根据我们与军方的合作，以及我们的航空航天和国防业务，我们几乎在谈论电子战和对抗措施，”他说。“我们一直在与顶级军事公司合作，所以我们的技术和设备适合这些应用。你要确保人们不会欺骗你的激光雷达数据或雷达数据，向你发送错误信息。这就是在真正的战场上发生的事情，我们都不想去想它，但这就是电子对抗措施试图做的事情——混淆你的传感器阵列，并在可能的情况下接管它。”

公司技术产品经理Thierry Kouthon表示，到目前为止，在汽车领域，重点一直是安全性和安全性，但隐私正在到来，主要是在V2X(车辆到一切)方面Rambus安全。“我们的想法是，如果所有的车辆都开始相互交换信息，那么间谍就可以识别车辆，他们就会知道X参议员在这个时间点总是从A点开到B点，或者他的车辆有这种行为。还有一个车辆用来宣布自己的识别系统，它应该没有特定的数字来确定车主或车辆本身。然而，它确实不是一个完美的系统。黑客使用人工智能或模式来追踪它是谁。”

Rambus和其他技术可用于更改特定于车辆的id，或创建随时间变化的会话，因此标识随时间变化。这通常在PKI(公钥接口)级别进行处理，因此可以想象，精确定位信息是匿名的，并且由于与制造商相关的信息而呈现为可信的。在未来，制造商可能能够建立协议和数据，允许他们的车辆在不识别车辆本身的情况下安全通信。库森说:“也许你可以知道这是一辆雪佛兰或奔驰，但仅此而已。”

同样，这意味着需要在车辆的各个层面实现安全和隐私。

库顿说:“如果你真的想避免黑客，你必须从整体系统的角度来考虑，因为我们使用的范例是深度防御。”“我们在车辆的每一层都设置了屏障。如果有人想扭曲这个体系，他们必须跨越很多障碍，而不仅仅是一个。”

从哪里开始呢?
他解释说:“首先要做的是用一个网关隔离车辆网络。”“有高速网络。传动发动机与控制制动控制之间存在着关键的网络。有远程信息处理网络与外部通信有关。有用于自动驾驶的网络，也有由于来自摄像头、激光雷达和高数据量传感器的大量数据而产生的特定网络。所有这些都可以隔离，这样它们就不会相互干扰。例如，发动机控制系统只需要很少的信息就能知道该做什么。决定是由其他人做出的，但在一天结束的时候，引擎控制需要的驱动并不是那么重要——重要的是所有的处理过程，以确保告诉他什么。这可以是完全孤立的。所有这些都是通过网关完成的，车辆通常都有网关来保持隔离，并收集内部所有这些不同网络之间的信息。”

facebook营销副总裁库尔特•舒勒(Kurt Shuler)表示，隐私和安全问题必须在各个层面得到各方的关注Arteris IP．“我们经常收到客户的问题，‘你有这个互连，这是一个网络，你有这些防火墙，我如何将它集成到我的芯片的整体安全系统中?“他们还想知道如何将其集成到车辆子系统的整体安全系统中，以及如何将其集成到汽车的整体安全系统中，然后是汽车网络。”如果我是通用汽车，我有一个通用汽车的网络。在有安吉星的地方，我也必须保护那些数据，这些数据都在服务器上。OEM意识到了这一点，因为他们从市场力量中知道，如果他们搞砸了，那么人们就不会信任他们了。尽管有IEEE、ISO和SAE标准，但销售安全就像销售保险一样。在事件发生之前，没人认为他们需要它。如果你做得不好，风险是巨大的，所以你应该做所有最先进的事情。然而，目前没有法律强制这样做。”

由于这些原因，该行业需要合作，舒勒说，与竞争对手一起制定标准。“我们的想法是，与政府机构(可能对技术和业务了解较少)的参与相比，行业合作将产生更合理的需求。这和我们为什么ISO 26262以及功能安全。这是同一种概念。”

信任是基础
与当今许多其他应用领域一样，最大的问题是谁拥有这些数据。“数据会被黑客入侵吗?”然后，你可以用这些数据做什么呢?信任是一个大问题，汽车与现实世界中的其他元素没有什么不同。节奏．“就汽车而言，由于对流动性的影响，这是一个更难管理的缺口。在车对车基础设施方面，有一些试点项目，公司正在根据车对车(V2V)和车对基础设施(V2X)通信跟踪汽车。这是一项先进的研究，研究交通堵塞是如何产生的，以及速度如何影响这一切。与此相关的是驱动程序数据，以及它的隐私程度。你能否以一种无法识别个人身份的方式收集数据，比如无法识别汽车?如果是这样的话，你可能不得不以50个为一批来分析数据，或者不管这个数字是多少，因为出于隐私原因，它不允许与司机联系起来?你不能挑出那个人给他打电话。你只知道那排车里有人参与了车对车的通信。”

不过，Schirrmeister认为，汽车生态系统正在不断增强汽车的功能，以保持这种水平的安全和隐私。他说:“硬件安全模块和类似的东西，其中有密钥存储，正在发生。”

在隐私保护到位之前，他预计消费者将面临风险与回报的问题。

“人类是有趣的动物。这可以归结为风险/回报，一切都与便利有关。人们似乎更愿意为可能产生后果的事情放弃数据，”他说。“例如，与政府分享你的数据，你会遇到很多阻力。与品牌分享你的数据，这可以优化体验，也许对一些人来说是可怕的，对另一些人来说不是。例如，我的汽车修理店打电话给我说我的车出了问题，这很方便。如果他们能远程修理呢?是的，上传一些东西，远程修复。我甚至不需要去商店。”

新思科技汽车集团高级经理克里斯•克拉克(Chris Clark)指出，安全性是决定汽车成本以及消费者愿意支付多少钱的因素。“当我们考虑隐私时，我们就会开始处理车内的设施。当我们开始研究车辆中的ADAS组件为驾驶员做了什么时，信息娱乐系统的额外功能是什么?你如何在车内分发媒体或在车内连接互联网?当这些东西开始触及消费者的需求时，这将成为整个隐私讨论的推动力。结果如何还有待观察，但请记住，消费者将推动这一趋势。”

相关的
未来的汽车将如何与人类互动?
让技术适应驾驶员与训练驾驶员使用技术可能会产生截然不同的结果。
弥合智能城市和自动驾驶汽车之间的差距
通信、安全和电力问题仍然需要解决，但已经取得了进展。
在汽车中使用5nm芯片和先进封装
与会专家:ADAS和自动驾驶汽车电子领域面临的挑战和一些潜在解决方案。
汽车中的传感器融合挑战
随着越来越多的自动驾驶汽车拼图浮出水面，挑战也变得越来越艰巨。