连通性和复杂性引发了人们对安全性和可靠性的担忧。
汽车行业正在发生一种转变,即将汽车与其他汽车以及各种通信基础设施连接起来,增加了消费者目前在移动设备上所期望的许多功能,以及一些最终将导致自动驾驶汽车的新功能。但伴随这些变化的是一些令人困扰的问题,即这项技术对消费者及其周围的人有多安全,以及整个系统是否安全。
自从车载信息娱乐系统引入以来,这些问题就一直被提出,但随着越来越多的关键系统连接到车载网络,以及越来越多的无线功能被添加到车辆中,这些问题的数量正在增加。实际上,每一辆新车现在都是物联网设备,就像每个连接的设备一样,有好处也有风险。但在一个两吨重的物体在拥挤的高速公路上高速行驶的情况下,风险要严重得多。
“每一个物联网设备都相当于在银行的厨房里放了一扇窗户。Synopsys对此.“每个物联网设备都是潜在目标。”
这种连接有很大的好处。软件可以下载和更新,车辆可以在盲道附近相互通信,或者提醒其他车辆轮胎刚刚爆胎或转向出现故障。但目前还不清楚它是否能得到充分保护。
De Geus指出,一级和二级汽车制造商现在正在讨论使用finFETs.这增加了芯片的复杂性,反过来又增加了安全风险,以及由于初始设计和实现而出现问题的可能性。当然,EDA公司也有好处。这是一个潜在的富矿,因为所有的IP和芯片都必须根据更严格的汽车标准进行验证和调试。
“汽车应用领域有更多的需求。安第斯山脉的技术.“你要么达到严格的标准并获得认证,要么限制自己的能力。但你也必须确定你是根据哪些标准获得认证的。当设计发生变化,添加更多功能时,你需要确保它更可靠。”
林说,可靠性越来越意味着安全。“当一切都连接起来时,低功耗是首要问题。其次是安全。”
自动驾驶汽车的情况更加有趣,它依赖于功能齐全、极其可靠和安全的传感器、计算机和通信。
“如果你考虑一下计算机视觉,你在相机中有20个传感器,它们都以8k x 8k分辨率每秒60帧的速度工作。GlobalFoundries.“这些汽车必须以每小时30到70英里的速度做出实时决策。”
Jha表示,将需要为汽车提供GHz频谱,而不是目前存在的MHz频谱,速度高达每秒10千兆比特,延迟不到1毫秒。这种通信需要是安全的,这样路上的每辆车都是安全的。在一个拥有自动驾驶汽车的互联世界里,安全不仅仅涉及一辆汽车。
考虑到这些挑战,我们需要一种全面的安全方法,但在整个车辆的背景下考虑解决方案是否合理?
西蒙·布莱克-威尔逊,公司产品和营销副总裁Rambus的密码学研究部门表示:“我们既挣扎于整车安全概念,又产生了共鸣。我们的挣扎在于,如果你考虑到你应用于手机的安全性,它不像是有一个神奇的解决方案来保证手机安全。同样,从汽车的角度来看,一切都必须考虑到许多不同的安全方面。”
然而,这在很大程度上是未知领域。例如,为了保护无线固件更新,与伪造或其他类型的安全任务相比,有一组不同的安全原语。这些必须与车内的连接系统一起考虑,例如确保车内总线的安全,以防止售后市场类型的改进,因此必须确保车内不同设备之间的通信安全。此外,必须从保护车对车通信的角度考虑。
布莱克-威尔逊说:“因此,我们在整车安全的概念上很挣扎,因为人们经常期望有一颗神奇的子弹来解决问题。”“我们认为汽车就像其他联网的物体一样,只是差得多。”
Adam Sherer,公司系统验证组汽车安全产品管理组主任节奏他也不相信有可能有一个单一的整车安全解决方案,因为安全所需的思维广度远远超出了这一点。
“如果我们考虑自动驾驶汽车,安全问题在哪里?当然,人们对自动驾驶半导体的单个传感器存在担忧。”“然后你可以去看与它们相关的软件,看看信息娱乐系统和更安全的系统之间的交叉。这个障碍必须保持。现在有了车对车的通信,所以这可能开始在多家原始设备制造商之间架起桥梁,因为这些汽车可能不是来自同一家公司。然后是基础设施的安全问题。因为汽车必须识别灯光控制,它们将识别标志,所以存在与广泛的基础设施相关的安全,市政基础设施存在于车辆本身之外。一个供应商就能搞定这些吗?我就是看不出来。”
车辆更健康?
Synopsys软件完整性集团关键系统安全全球总监Mike Ahmadi表示,事实上,整车安全可能就像试图为计算机系统找到单一的健康解决方案或单一的解决方案。“从本质上讲,计算机系统是一种电子生物,它的运作方式很像人体或生物系统。你必须考虑到这一点,因为它就是这样设计的。它和生物系统一样容易受到疾病和不适的影响,只是在数字层面上。话虽如此,就像你不能为你的健康找到一个解决方案一样,你唯一能做的就是找到更好地管理你的健康的方法——这和你必须考虑安全问题的方法是一样的。你如何管理一个系统的网络安全状况?”
这是看待网络安全的一种完全不同的方式。“我们拥有有效管理网络安全所需的所有技术,”艾哈迈迪说,但黑客入侵的频率仍在增加。“在一些系统中,它实际上管理得非常好,我们将继续学习如何做到这一点。我们实际上是在处理一个政策问题——试图让每个人都站在同一战线上。(汽车原始设备制造商)面临的难题是,如何在整个庞大而延伸的供应链中推动这一趋势。”
为此,Synopsys正在与美国保险商实验室(Underwriters Laboratories)合作网络安全保障计划(UL CAP)是一个国际认证计划,为网络连接设备提供独立的第三方安全评估。该计划根据UL 2900运行,这是一系列网络安全标准,由包括美国国土安全部、Synopsys和安全行业其他成员在内的大量利益相关者制定。
Cadence的Sherer也认为,需要进行一定程度的测试和验证,以确定整个汽车基础设施的某个特定组件是安全的。“它将是分层的,所以我们需要知道,不仅基础设施的各个元素是安全的,而且安全的概念无处不在。例如,维护安全密钥有一个方面——你可以使用公钥加密,但我们需要确保也考虑到人的方面。如果有人有更高级别的访问权限,就可以破坏所有的电子软件硬件安全,如果有人可以绕过安全系统的话。”显然,需要制定基础设施、整体解决方案以及单独的技术元素。
安德鲁帕特森,汽车业务发展总监导师图形他说,许多汽车制造商都非常关注整车安全问题,因为他们意识到,他们的解决方案的强度只有供应链中最薄弱的一环那么大。此外,供应链很长,而且寿命很长。
帕特森说:“很明显,当你卖一辆车时,它被期望使用很多年,所以无论实施什么,都必须存活很长一段时间。”“这不仅仅是技术特点。有权限访问安全记录的不满员工可以离开,这可能会导致车辆安全的妥协。在过去,汽车(完全)是机械的,人们唯一能做的就是闯入你的车,启动引擎,然后拿走它。ODB2(车载诊断)连接器现在在所有汽车上都可以使用,但仍然需要物理访问,因此您必须插入一个诊断端口。通常情况下,无线接入点是在汽车的一个锁定部分——要么在引擎盖下,要么在乘客脚垫下——但在过去的12到18个月里,人们对无线接入点产生了新的担忧。”
在未来十年左右的时间里,所有车辆都将配备至少五到六个无线接入点,这些接入点必须是安全的,包括WiFi;专用短程通信,使汽车可以相互通信和与基础设施通信;以及其他无线技术,如用于碰撞预警的激光雷达、无线电、卫星、胎压监视器的蓝牙链接和蓝牙音频。他说,所有这些都是潜在的接入点,汽车制造商希望确保,即使黑客能够通过这些无线或有线接入点之一连接到汽车,也不会对汽车造成损害。门拓已参与软件和软件架构方面的工作,以确保汽车中的电子控制单元(ecu)受到保护。
帕特森说,如今,汽车制造商正在为汽车设计架构,将这些ECU分离出来,这样一些ECU就可以组合在一起,形成一个非常安全的组/安全域(可能有自己的网关或主ECU),只有主ECU才能与安全ECU对话,只有主ECU自己拥有适当的命令和身份验证,才有权更新它们。
人为因素
有趣的是,这不仅影响了技术,也影响了人的因素,因为现在所有汽车制造商都承认,汽车中的软件必须随着汽车的寿命而改变。他说:“人们会期待功能升级和安全补丁,所以需要一种非常安全的方式来做到这一点,你甚至不能把所有的认证权限都交给自己的经销商。”“汽车制造商希望用自己的安全基础设施把这一点保留在内部。”
这将通过使用软件的公钥和私钥匹配来实现。“我们的想法是,每个ECU都有一个加密密钥,在任何软件被允许传递到ECU之前,加密必须与汽车制造商持有的私钥相匹配。因此,在任何软件交换发生之前,车辆中的电子设备和实际的汽车制造商之间通过电子链路进行了有效的安全握手。这使得汽车制造商可以控制下载的软件,他们还可以控制软件是否实际进入了它想要使用的电子设备,因为只有那个电子设备才会有正确的公钥匹配。例如,你可以有一百万辆带有门锁的ECU的汽车,它们都有相同的加密公钥。但他们会知道安装了该软件的车辆,只有当车辆制造商的正确私钥与之对话时,软件更新才会被允许,”帕特森解释道。
这给了汽车制造商一些信心,只有他们有能力更新软件。更新机制可能由服务区触发,但服务区无法看到软件或影响它,因为它是由匹配的密钥加密的。他说,这是一种被广泛接受的软件层机制。
在硅层,硅晶圆代工厂正在把加密算法放入硅中。他们使用ARM的TrustZone或Rambus的Crypto Manager等技术,将软件下载到芯片上的一个安全区域,软件的其他部分无法看到。
Rambus的Blake-Wilson解释说,信任的根源是任何此类安全技术的目标。该公司的CryptoManager技术作为一个基础组件,可以为许多不同的安全解决方案提供动力。“例如,当你提供无线更新时,通常你使用一种称为数字签名方案的加密机制来签署这些更新,其中有一个私钥和一个公钥。你用私钥签名,检查签名的人必须有正确的公钥来验证它。对于这种信任的硬件根,你要做的事情是管理你需要的密钥,确保它们安全地放在正确的地方,为不同类型的安全解决方案提供动力。一旦将密钥放在正确的位置,就可以进入下一步,实际使用密钥来检查签名。同样地,如果考虑保护车辆中的总线,则需要为该链路提供密钥并有效地应用安全性。无论是我们的解决方案,还是从半导体的角度来看,让汽车芯片获得信任将是我们前进的关键。”
从目前的汽车安全领域来看,他认为汽车行业似乎正在尽其所能在短期内解决问题。但考虑到问题的规模和范围仍在逐渐清晰,整车安全将在下一波浪潮中通过这样的概念得到更彻底的解决。“芯片制造商将有许多不同的应用程序或服务需要安全保障。其中一个关键是将正确的基本功能放入可用于各种不同应用程序的芯片中。”
更多的选择
其他技术也将成为汽车未来的一部分,为汽车制造商提供了另一种方式,让他们在汽车上打上独特的印记。徐振泰,工程副总裁Kilopass,指出汽车内部一直有很多关于一次性可编程存储器与flash。“市场采用OTP的原因之一是它将支持155度的温度限制。OTP能够承受比嵌入式闪光灯更高的温度。第二个因素是它必须是安全的,而OTP更安全。”
与flash不同的是,OTP使用氧化物来分解1和0,这使得黑客很难入侵。但事实上,这种决定现在是在汽车内部,这让很多人感到担忧。好消息是,汽车制造商正在非常认真地对待安全问题。Mentor公司的Patterson表示,设计和实施安全系统需要大量的精力、时间和金钱。
“虽然从想法到实施到大规模生产在市场上有一个时间常数,但其中许多技术已经到位,就在我们说话的时候,还有更多的技术正在投入生产。当然,在未来12到18个月内,我敢说所有的原始设备制造商都将拥有安全的数据库,并通过u盘、无线网络或现有的ODB2诊断端口来更新他们的车辆。”
时间会证明这一切是否足够。
|
|
|
|
|
|
|
|
留下回复