保護汽車不被「駭」的彈性化方案
汽車的可靠性在供應商們心目中一直都很高,因此其安全性也不被注意了好一段時間;而幾十年來,汽車與外界的連結性並沒有像現在如此之高。但在過去幾年,汽車產業的心態開始出現變化;如恩智浦半導體(NXP)汽車系統與應用部門工程主管Dirk Besenbruch所言,一篇在2011年出爐的《汽車攻擊面的綜合實驗性分析》報告成了轉捩點。(參考:你的汽車有可能被駭客攻擊嗎?
需要澄清的是,產業界並沒有忽略連網汽車可能面臨的面臨風險,他們也沒有停滯不前。在飛思卡爾半導體(Freescale)負責32位元車用SoC開發的Richard Soja表示,包括BMW與Audi在內的數家汽車廠商,合作開發了一個名為 SHE (Secure Hardware Extension,安全硬體擴充)的規格,旨在為汽車內不同模組間的安全通訊提供協議。
此外Soja指出,也有些廠商正在合作一項由歐盟贊助的計畫「EVITA (E-Safety Vehicle Intrusion Protected Applications)」,目標是擬定一套準則,讓製造商能因應各項安全功能;該計畫已經在2011年底結案。不過,有鑑於汽車產業較長的產品開發時程(約五年),要看到配備全新安全功能的車輛上路,可能還需要等上一段時間。
無論如何,汽車安全對半導體廠商來說是一個新商機,讓他們得以展現安全技術方面的長才,為汽車添加安全元素,甚至說服汽車製造商以全新開發的安全SoC取代現有的車用微控制器(MCU)。
如恩智浦很早就意識到,汽車安全能獲益於該公司開發「安全元素」──已經成功佈署於上百萬張智慧卡中──的經驗與專長;Besenbruch表示,恩智浦的汽車安全解決方案,利用了經過「現場實證」的智慧卡技術,並提供獨立的安全性元素。
恩智浦的方案與部分競爭對手,例如英飛凌(Infineon)的策略顯然不同,英飛凌正在重新設計整個MCU架構,以打造嵌入式安全模組;雖然嵌入式安全模組對高階車款來說會是不錯的方案,不過Besenbruch認為,改變整個微控制器架構意味著被某種特定的MCU鎖定。
而恩智浦則是標榜其獨立安全性元素解決方案的彈性;考量到汽車產業的產品週期以及對可靠性的需求,恩智浦認為其彈性解決方案能為汽車廠商帶來更多選擇,在更短的時間內針對特定駭客攻擊模式著手推出保護方法。
但現實狀況是,當汽車可能擁有許多弱點,可能必須針對每個部位提供不同等級的安全性技術等級。Besenbruch表示,提升安全性以防止人為操控車內網路是很重要的,可是:「你必須謹慎觀察你所需要保護的東西。」他解釋,強化安全性並不該影響到汽車性能,你不會希望為了汽車系統需要經過驗證,而使得煞車時間延遲。
Besenbruch指出,正確的解決方案應該要與現有的架構和系統相容:「目前的硬體平台與軟體元素需要的修改應該盡可能最少。」在此前提下,恩智浦的提案是藉由「整合一個僅允許經授權寫入/讀取的安全記憶體區域」來保護「現有與未來的系統」。
恩智浦相信,將一個稱為「信任錨(trust anchor)」的可信賴元素整合至安全性相關電子控制單元(ECU),能實現資料的保護。所謂的「信任錨」,也就是安全微控制器,並非是新的概念,已經應用在信用卡與手機的SIM卡中,恩智浦正是該領域的技術供應商之一。
ECU架構內的安全元素 (NXP提供)
今日的安全性處理器包含了安全記憶體區塊、加密協同處理器,能管理認證、私人金鑰(private keys),並產生公共金鑰(public keys)。透過將該種安全性處理器(例如以恩智浦A700x產品系列為基礎──已經出現在其他需求安全性的工業應用中)添加至ECU,結合現有的車用微控制器,恩智浦可提供的安全性相關功能包括:
˙安全閘道器防火牆,相關通訊必須經過授權才能通過相關的子匯流排;
˙安全性儲存,以避免錯誤的日誌或是里程數;需要通過授權才能寫入;
˙安全開機(boot),這可以確保個別ECU的軟體未被攻擊;
˙更換電子零件時的認證,只有通過授權的ECU能被導入車用網路;
˙經由受保護連結註冊外部服務,此安全性元素能提供VPN與HTTPS資料連結。
當然,為了決定是那一個ECU需要配備「信任錨」,得先定義有哪些汽車功能與應用程式需要確保不受駭客攻擊。根據Besenbruch表示,汽車可能遭遇的駭客攻擊,包括里程數被竄改、未經授權的定位,或是因為MP3檔案內的惡意程式導致車用電話透過藍牙被竊聽,以及透過操控ECU軟體使得晶片設定被更動。
根據那些容易受到攻擊之功能在車內網路上的位置,Besenbruch表示,安全元素應該在本地提供保護功能:「透過儲存、呼叫或是授權ECU主微控制器所使用的資料,或是保護與其他ECU的連結。」此外:「能避免軟體受到人為操控的安全開機演算法,應該所有案例都需要。」
Besenbruch特別指出,還有另一個與汽車安全有關的角度是不應該被忽略的,那就是供應鏈可能產生的弱點。在模組製造過程中保護所安裝ECU金鑰與機密至關重要,汽車製造商必須指定那些夥伴負責安裝安全元素、誰負責安裝ECU內的金鑰,以及在供應鏈中的每個階段任務分配是如何被管理。
在這方面,恩智浦表示,該公司在金融應用領域與銀行、信用卡供應鏈的工作程序經驗,也能應用於汽車製造領域。
編譯:Judith Cheng
(參考原文: Car Hacking: NXP Pushes Flexible Security,by Junko Yoshida)
社區今日頭條 |
---|