降低系统级风险 确保连网汽车安全

随着业界朝向智慧车辆控制的方向迈进，人类的生命正交由感测器、MCU和演算法来掌控。因此，转向先进驾驶辅助系统的下一步，必须谨慎考虑隐藏的系统级风险以及由此导致的安全隐患…

过去一百多年来，汽车产业一直是经济成长的推动力。汽车产业持续带领着技术的变革，让汽车成为安全、舒适和高效率的运输方法。但是，到目前为止，这些都只是一点一点地在增加和演变，而不是革命性的重大变革。随着自动驾驶车(self-driving car)的出现，我们也踏上了革命性变化的起点。为了带领这种变革且不至于减损安全的性能，我们需要仔细地研究从设计阶段到IC层面的系统级风险及其减缓措施。

自动驾驶汽车确实酷炫。毕竟，谁不想以150MPH的速度在高速公路上飞驰，同时观赏《哈利波特》(Harry Potter)，而不需要担心驾驶呢？但是，它们并不只是酷这么简单。它们可为某些棘手的重要问题提供解决方案──有助于减少车祸，节省在交通拥挤中所浪费的数百万小时以及停车场所浪费的城市空间，而这些还只是其中一小部份的例子而已。

为了使自动驾驶汽车的美梦成真，需要将几种技术结合起来，相互搭配运作。先进驾驶辅助系统(ADAS)能够实现更好的情境感知和控制，使驾驶变得更简单、更安全。ADAS技术可以采用车辆内建的系统──也就是车辆常驻系统，如视觉和摄影机系统，以及感测器技术，或是在车对车(V2V)或车对基础设施(V2I)系统(合称为V2X)情况下，采用以智慧、互连为基础的网路。

V2X通讯利用电路板上的专用短距离无线通讯元件，将有关车辆速度和车身大小、前进方向、煞车状态等安全相关资讯传送给其他车辆，并从这些讯息中接收关于其他车辆的相同资讯。V2X网路采用多点跳跃(multi-hop) 技术，透过其他节点传送这些资讯，从而实现远距离的通讯。更远的检测距离以及观察角落或其他车辆的能力，有助于让配备V2X的车辆比感测器、摄影机或雷达更早发现威胁，并据此对驾驶者发出警示。

随着这些技术的成熟，要能够成功部署的最重要因素是可靠性和现场性能。车用电子系统的历史记录一直都是问题重重，特别是最近的记录。我们已经了解了电子存取控制系统的脆弱，也听闻过自动加速车辆(self-accelerating car)造成伤亡的事件。两名“道德”骇客因展现远端存取的脆弱性，进而成功控制了Jeep Grand Cherokee并使其失控而登上了媒体头条。这些和其他事件，都暴露出我们需要克服的潜在挑战。

三种最常见的威胁领域是：

V2V和V2I通讯

使用行动装置、USB随身碟或MP3装置

售后市场和维修/诊断

安全挑战随着与外部世界连接的每一节点而升高。连网汽车中存在几个这样的节点，若不是与网际网路连接，就是与作为V2V网路一部份的另一辆车辆通讯。在这些车辆中，必须确保与外界的通讯取自经过验证的来源，而且在传输过程中未被篡改过。

为了确保安全，设计人员必须从底层硬体着手，通常需要解决的问题如下：

硬体完整性——以硬体预防/检测篡改

车用软体和资料的完整性和真实性——不容许未经授权更改任何车用软体，或者必须是可查明修改的

车载通讯的完整性和真实性——接收器必须能检测出未经授权的资料更改

车载通讯和资料的保密性——不容许传输或储存的机密资料未经授权揭露

向其他(远端)实体证明平台的完整性和真实性——有能力证明该平台配置的完整性和真实性车用资料和资源的存取控制——实现可用性和定义良好的存取方式

挑战可归纳成以下三个主要领域：

安全硬体——底层硬体非常安全，必须无法被篡改，并且能够形成信任根源；

设计安全——硬体上所建置的设计十分安全，且无法被篡改；

资料安全——所有资料通讯类型都是安全的和可靠的。

确保系统安全可从确保硬体安全开始。安全且受信任的硬体构成了安全系统的基础。它提供了必要的建构模组，可用来验证、授权通讯与行动等。对任何系统都是如此，而对于V2X系统来说尤其重要。

确保V2X安全

为了实现可靠的V2V/V2I通讯，必须确保通讯来自于已知的来源，而且不至于在传输过程中被更改。

为了证明真实性，讯息发送者必须向接收者提供能够验证的某些辨识形式，以确认讯息来自正确的来源。这可以利用对称或非对称的加密技术实现。

对V2X网路来说，由于网路的复杂性和规模，通常不能使用对称加密，而是采用不对称加密，并提供一种可扩展的方法来连接网路可能需要的节点数量。为了实现这一点，每个节点都会采用一种私密金钥，对每一笔传输的讯息签署数位签章。接收端则以传输给所有接收节点的相关公开金钥(public key)来验证这种数位签章。这种方法不仅扩展性比对称加密方案好，也比较容易更换出错的节点。

但是这种方法也带来了另一个问题：如何确保每个节点所使用的密钥和公共金钥是真实且未被篡改？

问题第一部份的最佳可能解决方案是采用矽IC的生物签名，这种签名方式的基础是每个元件生产制程中的微小实体变化。这些制程变化永远不可能相同、无法被复制，也没有两个IC具有相同的制程变化，从而为每一元件提供了独一无二的签名。这种签名被称为实体不可复制功能(PUF)。除了不可复制之外，采用PUF的金钥通常是在原子的层级上实现的，因而很难被骇客撷取。IC可以将PUF的基础建立在几种实体因素上，如记忆体元件、逻辑延迟和电阻。基于SRAM的IC利用SRAM单元唯一的随机启动状态产生密钥，由于该单元的状态会在断电时被擦除，因此更加安全。

问题的第二部份可透过公开金钥基础架构(PKI)解决。PKI是一种创建、储存和分配数位凭证的系统，用于验证属于某一实体的特定公开金钥。PKI可创建出一种将公开金钥映射到实体的数位凭证，并将这些凭证安全地储存在中央储存库，必要时还可加以撤除。

在PKI系统中，认证机构(CA)利用自己的密钥对其公开金钥签署数位签章，从而为所有的节点进行认证。最常见的公开金钥认证格式是X.509。当一个装置利用其密钥传送讯息并以数位方式签署时，该讯息可采用装置的公开金钥验证。该装置也可以将其X.509凭证发送给接收其讯息的所有节点，让它们都可拥有其公开金钥。X.509凭证，包括装置的公开金钥，也能以CA的公开金钥在接收端进行验证；CA的公开金钥会事先放在所有的节点之处，而且是本质受信任的。采用这种方案，由于发射器采用的签名可以由接收器验证，因而能够建立经过验证、以凭证为基础的分级信任链。这种方案还能确保易于检测出造的设备。

当今车辆中的电气与/或电子内容增加的规模，已经将业界的注意力转移到确保这些内容不会对系统或周边设备造成任何威胁，以及如果造成威胁的话，可以采取预防或纠正的措施。

特别是随着业界朝向智慧车辆控制的方向迈进，正将人类的生命交由感测器、微控制器(MCU)和演算法来掌控；同时，随着电动车的出现，电气与/或电子内容的规模增加还更胜以往。因此，转向先进驾驶辅助系统的下一步，必须认真考虑隐藏的系统级风险以及由此导致的安全隐患。从设计阶段开始一直延伸到IC层面，整个系统都必须采取安全的措施。