CAN總線加密的Trillium將可能成為汽車安全防護(hù)的好把式

一直以來，大家都認(rèn)為CAN總線幾乎是沒法保護(hù)的。但Trillium的SecureCAN顯然打破了這個“迷信”。

汽車安全領(lǐng)域的技術(shù)產(chǎn)品正在變得炙手可熱。大量創(chuàng)業(yè)公司涌入，潛心技術(shù)開發(fā)的同時，都期待著能成為大公司收購的下一個目標(biāo)。去年夏天，白帽黑客查理·米勒和老搭檔克里斯·瓦拉塞克入侵了一輛Jeep切諾基。幾乎是同一時間，通用安吉星的RemoteLink系統(tǒng)被爆安全漏洞，黑客利用系統(tǒng)網(wǎng)關(guān)能夠遠(yuǎn)程操控車門解鎖，發(fā)動機(jī)啟停。下圖是英特爾公布的目前聯(lián)網(wǎng)汽車上暴露出的15個最容易被黑客利用的攻擊面。

因此，照目前的形勢來看，車企和供應(yīng)商在智能互聯(lián)、自動駕駛汽車上投入的精力越多，他們對安全的重視程度就越高，而網(wǎng)絡(luò)安全對汽車產(chǎn)業(yè)朝著智能化、自動化方向發(fā)展更是起到舉足輕重的作用。

車云菌在去年《CES前瞻：2016年，這七家「小公司」才是汽車科技的風(fēng)向標(biāo)》這篇文章中曾介紹過日本創(chuàng)業(yè)公司Trillium，對它的汽車安全防護(hù)工具「SecureCAN」進(jìn)行了簡單說明。而如今車聯(lián)網(wǎng)、自動駕駛發(fā)展正盛，作為專注于汽車安全領(lǐng)域的創(chuàng)業(yè)公司，Trillium是如何看待智能互聯(lián)汽車的安全問題的?它的產(chǎn)品有何競爭力?未來又會采取怎樣的技術(shù)發(fā)展路線?別著急，我們和Trillium的首席執(zhí)行官David M. Uze聊了聊，下面一定有你想要的答案。

嗨，這就是Trillium

Trillium由前飛思卡爾日本分公司總裁David Uze創(chuàng)辦，總部位于日本名古屋市。去年秋天，Trillium帶著「SecureCAN」技術(shù)“闖入”汽車安全領(lǐng)域。這款叫做「SecureCAN」的汽車安全防護(hù)工具，它既能為CAN總線加密同時也可進(jìn)行密鑰管理，保護(hù)系統(tǒng)的有效載荷不超過8個字節(jié)。這項技術(shù)的關(guān)鍵在于，SecureCAN能夠在“8 字節(jié)”的范圍內(nèi)對數(shù)據(jù)進(jìn)行處理，并沒有使用AES加密算法Rijndael需要的128bit加密位。

Uze認(rèn)為由于缺少面向ECU網(wǎng)絡(luò)的安全解決方案，而CAN又是汽車系統(tǒng)中原生未加密的總線，并不經(jīng)過任何安全處理。因此，黑客完全可以通過CAN總線獲取控制汽車轉(zhuǎn)向、剎車等功能的權(quán)限。正因如此，CAN總線也變成了很多黑客肆意作亂的「樂土」。此外，局域互聯(lián)網(wǎng)絡(luò)LIN中的保護(hù)間隙，通常用來控制后視鏡、車窗或天窗，很有可能成為黑客入侵CAN總線的“后門”。

長期以來，幾乎整個汽車界都有這樣的共識：CAN總線是沒法保護(hù)的。兩方面的原因，其一，ECU的計算處理能力不足;其二，車載網(wǎng)絡(luò)的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit，但AES使用的加密算法只能處理16字節(jié)區(qū)塊的數(shù)據(jù)，這意味著很多時候LIN總線根本就是處在“裸奔”的狀態(tài)。

David Uze在接受記者采訪時介紹，由于使用了超輕重量的塊加密器，SecureCAN能夠?qū)AN和LIN總線信息進(jìn)行實時加密。而值得一提的是，其中對稱的區(qū)塊加密器和密鑰管理系統(tǒng)又使得SecureCAN能夠在1毫秒的閥值內(nèi)完成「加密、傳輸和解密」過程。這對汽車CAN總線能否實時加解密，至關(guān)重要。

自去年秋季推出SecureCAN樣品之后，Trillium這一年都在不斷地完善這款安全防護(hù)工具。盡管最初的SecureCAN樣品使用了ARM Cortex M4處理器，但由于芯片供應(yīng)出了問題，Trillium之后不得不選擇ARM Cortex M0/M01，但失去了浮點運算卻還想要實現(xiàn)SecureCAN預(yù)設(shè)的功能，對Trillium而言實在是個不小的挑戰(zhàn)。

據(jù)車云菌了解，最新的SecureCAN測試版本增加了公共密鑰技術(shù)，使用Diffie-Hellman密鑰交換算法來生成密鑰。下圖為SecureCAN的信任鏈root。

SecureCAN只是第一步

顯然Trillium的「SecureCAN」技術(shù)方案已經(jīng)解決了之前認(rèn)為是“不可能”的問題。不過David Uze同時也預(yù)見到了OEM主機(jī)廠和一級供應(yīng)商提出的更高要求。他們希望得到一整套的安全防護(hù)技術(shù)解決方案，不僅僅是車載網(wǎng)絡(luò)，像V2V/V2I通訊、 OTA升級系統(tǒng)、智能防火墻等都能得到嚴(yán)密的保護(hù)。

2016年6月30日，Trillium拿到了500萬美金A輪融資，自然它的產(chǎn)品目標(biāo)也“水漲船高”。除CAN總線外，Trillium也在努力將 FlexRay和LIN總線的保護(hù)納入整個車載網(wǎng)絡(luò)防護(hù)體系中。此外，Uze表示Trillium利用這筆投資對現(xiàn)有的工程資源進(jìn)行了整合，為保證所有的項目均能并行運營，這其中包括入侵探測和防護(hù)系統(tǒng)(IDS/IPS)、OTA軟件升級解決方案的研發(fā)。

按照Uze為Trillium設(shè)定的目標(biāo)，Trillium未來將提供一系列基于“同一平臺、統(tǒng)一API端口”開發(fā)的汽車安全技術(shù)。SecureCAN將于本月展開實車測試。一輛日系車(Uze拒絕透露品牌及車型)將搭載Trillium的SecureCAN/以太網(wǎng)技術(shù)。明年一月份，Trillium將在車內(nèi)展開SecureFlexRay/LIN技術(shù)的測試工作。(FlexRay總線通常用來傳輸和ADAS傳感器相關(guān)的數(shù)據(jù))。此外，根據(jù)Trillium的規(guī)劃，最晚將于2017年底開始進(jìn)行入侵探測和防護(hù)系統(tǒng)(IDS/IPS)、OTA空中升級技術(shù)的測試。

汽車網(wǎng)絡(luò)安全涉及的三大領(lǐng)域

汽車信息安全的多重攻防戰(zhàn)

不過Uze也表示“保護(hù)CAN總線并非汽車產(chǎn)業(yè)應(yīng)對網(wǎng)絡(luò)安全問題的唯一良策”。他認(rèn)為對未來的互聯(lián)汽車而言，應(yīng)采取多種不同的安全防護(hù)措施。

此前，在問及對“CAN總線加密”的看法時，恩智浦汽車事業(yè)部安全架構(gòu)師Timo van Roermund表示，“密鑰管理是其中最重要的一部分，特別是在用來保護(hù)ECU之間互傳信息時，十分關(guān)鍵”。不過Roermund也指出，不同的主機(jī)廠可能會選擇不同的車內(nèi)網(wǎng)絡(luò)架構(gòu)管理方案，而密鑰管理也并無所謂的“標(biāo)準(zhǔn)方法”可言。

下面是車云菌整理的一些，目前主機(jī)廠和供應(yīng)商采取的，較為主流的網(wǎng)絡(luò)安全防護(hù)措施。

1. 使用防火墻將車內(nèi)電子系統(tǒng)和外部交互界面隔離;