保護汽車不被「駭」的彈性化方案

探究汽車內電子元件的弱點是件風險很大的任務，一方面，汽車產業到目前為止並沒有真正經歷過因為駭客攻擊而導致的悲劇，談起這個似乎有「製造恐慌」之嫌；另一方面，汽車安全對這個產業界的大多數人──包括晶片供應商、模組開發商，以及當然，汽車廠商──來說，是相對仍新的議題。

汽車的可靠性在供應商們心目中一直都很高，因此其安全性也不被注意了好一段時間；而幾十年來，汽車與外界的連結性並沒有像現在如此之高。但在過去幾年，汽車產業的心態開始出現變化；如恩智浦半導體(NXP)汽車系統與應用部門工程主管Dirk Besenbruch所言，一篇在2011年出爐的《汽車攻擊面的綜合實驗性分析》報告成了轉捩點。(參考：你的汽車有可能被駭客攻擊嗎？

需要澄清的是，產業界並沒有忽略連網汽車可能面臨的面臨風險，他們也沒有停滯不前。在飛思卡爾半導體(Freescale)負責32位元車用SoC開發的Richard Soja表示，包括BMW與Audi在內的數家汽車廠商，合作開發了一個名為 SHE (Secure Hardware Extension，安全硬體擴充)的規格，旨在為汽車內不同模組間的安全通訊提供協議。

此外Soja指出，也有些廠商正在合作一項由歐盟贊助的計畫「EVITA (E-Safety Vehicle Intrusion Protected Applications)」，目標是擬定一套準則，讓製造商能因應各項安全功能；該計畫已經在2011年底結案。不過，有鑑於汽車產業較長的產品開發時程(約五年)，要看到配備全新安全功能的車輛上路，可能還需要等上一段時間。

無論如何，汽車安全對半導體廠商來說是一個新商機，讓他們得以展現安全技術方面的長才，為汽車添加安全元素，甚至說服汽車製造商以全新開發的安全SoC取代現有的車用微控制器(MCU)。

如恩智浦很早就意識到，汽車安全能獲益於該公司開發「安全元素」──已經成功佈署於上百萬張智慧卡中──的經驗與專長；Besenbruch表示，恩智浦的汽車安全解決方案，利用了經過「現場實證」的智慧卡技術，並提供獨立的安全性元素。

恩智浦的方案與部分競爭對手，例如英飛凌(Infineon)的策略顯然不同，英飛凌正在重新設計整個MCU架構，以打造嵌入式安全模組；雖然嵌入式安全模組對高階車款來說會是不錯的方案，不過Besenbruch認為，改變整個微控制器架構意味著被某種特定的MCU鎖定。

而恩智浦則是標榜其獨立安全性元素解決方案的彈性；考量到汽車產業的產品週期以及對可靠性的需求，恩智浦認為其彈性解決方案能為汽車廠商帶來更多選擇，在更短的時間內針對特定駭客攻擊模式著手推出保護方法。

但現實狀況是，當汽車可能擁有許多弱點，可能必須針對每個部位提供不同等級的安全性技術等級。Besenbruch表示，提升安全性以防止人為操控車內網路是很重要的，可是：「你必須謹慎觀察你所需要保護的東西。」他解釋，強化安全性並不該影響到汽車性能，你不會希望為了汽車系統需要經過驗證，而使得煞車時間延遲。

Besenbruch指出，正確的解決方案應該要與現有的架構和系統相容：「目前的硬體平台與軟體元素需要的修改應該盡可能最少。」在此前提下，恩智浦的提案是藉由「整合一個僅允許經授權寫入/讀取的安全記憶體區域」來保護「現有與未來的系統」。

恩智浦相信，將一個稱為「信任錨(trust anchor)」的可信賴元素整合至安全性相關電子控制單元(ECU)，能實現資料的保護。所謂的「信任錨」，也就是安全微控制器，並非是新的概念，已經應用在信用卡與手機的SIM卡中，恩智浦正是該領域的技術供應商之一。

ECU架構內的安全元素 (NXP提供)

今日的安全性處理器包含了安全記憶體區塊、加密協同處理器，能管理認證、私人金鑰(private keys)，並產生公共金鑰(public keys)。透過將該種安全性處理器(例如以恩智浦A700x產品系列為基礎──已經出現在其他需求安全性的工業應用中)添加至ECU，結合現有的車用微控制器，恩智浦可提供的安全性相關功能包括：

˙安全閘道器防火牆，相關通訊必須經過授權才能通過相關的子匯流排；

˙安全性儲存，以避免錯誤的日誌或是里程數；需要通過授權才能寫入；

˙安全開機(boot)，這可以確保個別ECU的軟體未被攻擊；

˙更換電子零件時的認證，只有通過授權的ECU能被導入車用網路；

˙經由受保護連結註冊外部服務，此安全性元素能提供VPN與HTTPS資料連結。

當然，為了決定是那一個ECU需要配備「信任錨」，得先定義有哪些汽車功能與應用程式需要確保不受駭客攻擊。根據Besenbruch表示，汽車可能遭遇的駭客攻擊，包括里程數被竄改、未經授權的定位，或是因為MP3檔案內的惡意程式導致車用電話透過藍牙被竊聽，以及透過操控ECU軟體使得晶片設定被更動。

根據那些容易受到攻擊之功能在車內網路上的位置，Besenbruch表示，安全元素應該在本地提供保護功能：「透過儲存、呼叫或是授權ECU主微控制器所使用的資料，或是保護與其他ECU的連結。」此外：「能避免軟體受到人為操控的安全開機演算法，應該所有案例都需要。」

Besenbruch特別指出，還有另一個與汽車安全有關的角度是不應該被忽略的，那就是供應鏈可能產生的弱點。在模組製造過程中保護所安裝ECU金鑰與機密至關重要，汽車製造商必須指定那些夥伴負責安裝安全元素、誰負責安裝ECU內的金鑰，以及在供應鏈中的每個階段任務分配是如何被管理。

在這方面，恩智浦表示，該公司在金融應用領域與銀行、信用卡供應鏈的工作程序經驗，也能應用於汽車製造領域。

編譯：Judith Cheng

(參考原文： Car Hacking: NXP Pushes Flexible Security，by Junko Yoshida)