基于FPGA设计安全的汽车通信网络

汽车工业正在经历一场无线技术革命，但安全威胁不解决，则可能削弱这块新兴的市场。由于高速网络连接正设法进入汽车领域，设计师面临新通信标准实施的挑战。许多已经习惯于漫长开发周期的设计师, 现在则在为迅速给新型车辆配备用户需求的电子设备而进行竞争。为调整上市时间并驾驭出现的多个标准，设计师正转向采用fpga(现场可编程门阵列)。遗憾的是，由于汽车工业匆忙采用下一代基于fpga的汽车远程信息系统，几乎没有设计师能够充分明白他们选择的fpga在安全上意味着什么。构建安全的网络首先要设计安全的系统，而且选择适当的元件可能对大型网络和相关预订收入有重要影响。

从发动机控制模块，到涉及乘客舒适与安全的驾驶室内部系统，已经出现了汽车远程信息系统，对于汽车业它是一个亮点，对于消费者它是一个重要的区分点，而最终对于oem，它是大幅重现预订收入的一个来源。为了实现所需的连接以支持移动汽车远程信息系统用户群，多种无线传输线路正应用于汽车，包括：802.11、蓝牙(bluetooth)、地面数字及卫星技术。然而，相同的技术在实现汽车远程信息系统网络的同时也可能是其衰落的起点。

令人吃惊的是安全可能是抑制这些无线技术在车辆上推广应用的头等因素。厂商无法提供可互操作的高度安全的网络，以及对付费使用的设备进行验证也存在失败的可能，则是祸因。oem、基础架构开发商及内容提供商已经在汽车远程信息系统上投资了数十亿美元，即使如此，前景仍然难料。向大规模的市场过渡还有路要走，并且研究人士预测到2004年将有1080万美国司机使用远程信息系统，到2010年这一数字将增加到4400万。如图1所示，为刺激推广应用，汽车制造商正将重点放在利用无线网络集成移动设备上。典型应用包括通过蓝牙和接口将蜂窝电话集成到能够无线通讯的pda(个人数字助理)或笔记本电脑上。消费者对免提电话和计算的需求不只受到便捷因素的影响，而且受到安全问题和严格立法的驱动。

图 1  一种基于fpga的汽车远程信息系统可让设计师将单防篡改硬件平台标准化。该平台可以定制，在制造周期的末期可以大范围确定产品版本，更为重要的是其经销商售出后可以现场升级。[page]

图2 随着蓝牙技术快步进入汽车应用，安全要求变得日益重要。 fpga提供了一种成本效益较高的方法，为当前的数据信道协议实现了可硬件加密的解决方案。


除了基本的舒适和安全应用之外，一个预示永久改变无线运算前景的新选择领域正在推广应用。无线点对点电子付费系统将广泛用于停车和通行费服务乃至免下车餐厅和加油站。卫星广播及流媒体内容将迅速地受到欢迎，超过任何人的预期。无线网络如蓝牙可以用于链接汽车内的若干系统，如动力传动(powertrain)、制动系统、减震系统及后座娱乐系统，为使智能汽车概念超越电传线控的范畴，采用了诊断技术和其它数据传输技术。

高级快车的应用、具有竞争力的产品版本以及更短的上市时间已将采用fpga的益处和远程信息系统开发者的需要结合起来。现在设计师可以基于迥然不同的三种技术：静态随机存储器(sram)、闪存(flash)及抗熔存储(antifuse), 来使用fpga。

基于sram的fpga代表着最大的市场份额，但也是当前使用的最不安全的fpga架构。由于基于一种易失性存储技术，这类器件必须在加电时初始化或者设置。尽管这些特性使得基于sram的fpga容易更改编程，但同时它也具有重大的安全风险，如服务遭拒绝、克隆或逆向设计。基于候选的非易失性技术的fpga，如antifuse 或flash则提供了一种更安全的解决方案。与基于sram的fpga不同，这类非易失性器件在加电时不需要比特流。取而代之的是，它们在以最终产品形式装运之前可以进行安全设置。为防止系统受到未经授权的入侵、修改和篡改，了解所有可编程架构的益处和潜在风险至关重要。例如，一个黑客可以使基于sram-fpga的卫星广播控制台接收机内的用户认证机构失灵，从而使一些未登记的用户接入服务而不付费。这给公司基于预订的收入模式的影响将是很严重的。

用于汽车远程信息系统的fpga内越来越多地执行无线通讯协议，则给老练的黑客提供了新机会。一般认为蓝牙对于小型自组织网络足够安全，但蓝牙对于较大型的移动网络或汇款以及其它敏感信息的传输足够安全吗？蓝牙的加密方案似乎有些弱点。这种128位密钥长度的一串密码在某些情况下采用常规的“强力”进攻便可破解。在两个蓝牙器件初始化过程中采用pin码也是一个潜在的安全问题。

弥补这些漏洞的解决方案在于安全的fpga技术。安全的fpga可以用作实现硬件加密的工具以保护所有重要的点对点处理，如图2所示。然而，只有当该解决方案具有更清晰而不会造成误解的说明后，才能真正实施。设计师需要意识到采用可配置的fpga系统极易受到击破加密手段的攻击。例如，入侵者通过截取基于sram的fpga内的比特流可以攻破加密机构，然后克隆器件和系统来制成拷贝，从而允许无限制的接入付费服务。系统采用可改编程的基于flash的fpga, 则提供了一种安全得多的解决方案。

此外，wi-fi标准组织已经推荐了新的标准以弥合原先协议中的安全漏洞。新的ieee 802.11i是一个安全标准，它进一步提高了ieee联合wi-fi联盟(wi-fi alliance)制定的wi-fi保护接入安全规范(wi-fi protected access security specification)所实现的认证和加密效果。最为显著的是，新的ieee 802.11i增添了一种被称为高级加密标准(aes)的底层加密(ground-up encryption)标准，并且它可以在非易失性fpga技术如flash或antifuse中安全地执行而不必担忧直接的物理泄密。基于sram的fpga不适于这种类型的应用，因为可以通过拒绝各种服务入侵来攻破反措施。有一种情况，可以通过将已受影响的比特流引入到设备，采用电池耗尽型dos方案使基于sram的便携设备离线。

可能最让人担心的情况是日益增加的设计被偷窃以及因特网安全的威胁。特别是，一旦系统安全被击破，大肆采用恶意或犯罪技术来进行大量消费是不难的。对于专利设计最有效的保护措施是采用基于antifuse 或flash 的fpga来保护无线网络和汽车付费服务网关。只有在元件这一级提出基本的设计安全问题，才能在更高级别的系统和网络上实施更先进的安全措施。