車聯(lián)網(wǎng)面臨的諸多安全挑戰(zhàn)

車輛與環(huán)境的連接日趨增加；這會為駕駛員帶來眾多方面的改進，像半自動或全自動駕駛，有助于防止許多嚴(yán)重的交通事故。其他環(huán)境信息有助于改善駕駛行為，并降低油耗。此外，基于對車輛的永久無線接入，全新的商業(yè)模式正在興起。譬如，遠(yuǎn)程軟件升級，從而可以避免代價高昂的召回活動，而與此同時，支持在線服務(wù)和道路收費控制。不過，另一方面，外部接入車輛會加劇設(shè)備操縱和網(wǎng)絡(luò)犯罪的風(fēng)險?，F(xiàn)代微控制器解決方案使安全系統(tǒng)成為可能，能保護個人數(shù)據(jù)，并確保路上人員的生命安全。

將來，車對車（C2C）和車對基礎(chǔ)設(shè)施通信（C2I）將能改善道路交通的安全和效率。譬如，可以提醒駕駛員在其行駛路線上發(fā)生的道路損壞或意外事故?？衫猛ㄟ^射頻接口進行的遠(yuǎn)程診斷，及時通知已有的必要服務(wù)措施。不過，這個過程中會交換像位置和速度這樣的敏感數(shù)據(jù)。必須保護這種數(shù)據(jù)的完整性。迄今為止，尚未解決誰實際擁有這些數(shù)據(jù)的問題，并且與此同時，如果這是個人數(shù)據(jù)，會根據(jù)適用的數(shù)據(jù)保護法受到明顯更嚴(yán)格的限制。

專門的安全措施

現(xiàn)今，汽車已經(jīng)是名副其實的計算機網(wǎng)絡(luò)。聯(lián)網(wǎng)車輛的系統(tǒng)能在不同方向和不同層面上支持通信。一方面，支持車載通信，能實現(xiàn)車輛內(nèi)部各種控制單元之間的信息交換，像儀表盤和發(fā)動機控制裝置或有關(guān)安全的單元，如轉(zhuǎn)向和制動。通過利用對外通信，駕駛員可受益于交通擁堵識別和事故預(yù)防功能。反過來，與云的連接會挖掘出新的可能性，如，現(xiàn)場軟件升級、遠(yuǎn)程診斷、緊急呼叫（eCall）、支付系統(tǒng)、互聯(lián)網(wǎng)服務(wù)，但也涉及信息娛樂、交通信息和應(yīng)用等。

因此，未來的聯(lián)網(wǎng)車輛處于有著不同可能性的一個“通信外殼”內(nèi)，而它也有導(dǎo)致潛在操縱的諸多接口和網(wǎng)關(guān)。因此，需要在車輛內(nèi)部和與外界的接口中布設(shè)全面的安全架構(gòu)。汽車行業(yè)尚不存在兼顧功能安全和信息安全兩方面的整體方法。除根據(jù)ISO 26262標(biāo)準(zhǔn)確保必要功能安全的已有措施外，需要實施專門的軟硬件措施來保護相關(guān)數(shù)據(jù)。

安全通信

由于汽車的連接性日趨增加，所以可能發(fā)生無需實際接觸到汽車的遠(yuǎn)程攻擊。借助于可信平臺模塊（TPM），與外界的通信可確保安全。

譬如，TPM可集成到往往與信息娛樂系統(tǒng)連接的通信控制單元。通過與制造商的服務(wù)器建立安全連接，并驗證系統(tǒng)的完整性，TPM能增強通信單元的信心。相應(yīng)地，TPM可以在道路上使用，譬如，以保護軟件升級。由于密鑰保密在該流程中至關(guān)重要，所以，TPM可通過安全認(rèn)證的密鑰存儲予以保護。此外，TPM還有一個優(yōu)勢就是實施了安全標(biāo)準(zhǔn)，如在借記卡支付領(lǐng)域使用多年的安全標(biāo)準(zhǔn)。

安全的車載通信

對車載通信的安全解決方案的要求多種多樣。它們必須十分可靠，滿足對實時性能的高要求，同時經(jīng)濟實惠，并兼容現(xiàn)有的總線標(biāo)準(zhǔn)。

支持安全車載通信的系統(tǒng)通常旨在防止兩種威脅。
首先，系統(tǒng)必須受到保護，防止未經(jīng)授權(quán)的硬件被帶入網(wǎng)絡(luò)，譬如，其目的是為提升性能。
其次，必須防止有針對性的操縱現(xiàn)有控制單元，其中黑客會成功訪問電子控制單元（ECU），譬如，能由此通過總線發(fā)送或篡改消息。進行這種攻擊的動機從常見的盜竊犯罪（防盜）到針對乘客生命和身體的針對性攻擊等，不一而足。

AURIXTM系列微控制器，包含硬件安全模塊，譬如，能借助于高性能的隨機數(shù)發(fā)生器在硬件中產(chǎn)生認(rèn)證碼。

通過緊急呼叫（eCall）實現(xiàn)移動連接

如果發(fā)生事故，eCall系統(tǒng)會自動將位置及其他重要數(shù)據(jù)傳輸給救援服務(wù)機構(gòu)。在歐盟，到2017年將強制配備eCall。在實施eCall時，SIM卡（用戶身份識別模塊）是汽車與電信網(wǎng)絡(luò)二者之間的互連要素。為此，SIM卡必須符合汽車行業(yè)的高質(zhì)量標(biāo)準(zhǔn)與移動網(wǎng)絡(luò)運營商的高安全要求。

為增強靈活性和改進客戶服務(wù)，譬如在出國時，汽車制造商在未來將能改換移動通信運營商。對于SIM卡的安全要求也在隨著這項技術(shù)的引入而增加，因為移動通信運營商必須將秘密訪問數(shù)據(jù)傳輸?shù)剿麄儧]有購買并因此在其控制之外的SIM卡上。另外，移動通信運營商必須對汽車制造商使用的SIM卡的安全性有信心。這就是為什么他們會要求由獨立的第三方根據(jù)“通用準(zhǔn)則”標(biāo)準(zhǔn)針對這些產(chǎn)品進行安全評估。因此，對于SIM卡規(guī)范，需要使用安全控制器，這是GSMA（GSM協(xié)會，www.gsma.com）和ETSI（歐洲電信標(biāo)準(zhǔn)協(xié)會，www.etsi.org）所規(guī)定的。

盡管eCall將改進事故發(fā)生后的快速處理，但Car2Car通信可以確保安全、高效的道路交通。保護駕駛員的隱私和網(wǎng)絡(luò)的完整性是這方面的主要安全要求。安全認(rèn)證的安全控制器，如SLI 97系列安全控制器，能借助于加密程序和編碼材料在該應(yīng)用中實現(xiàn)有效保護。

可靠的身份認(rèn)證

可靠的身份認(rèn)證是汽車安全系統(tǒng)的一個重要方面。最知名的應(yīng)用是電子防盜系統(tǒng)用作防盜保護的核心組件。其中，身份認(rèn)證發(fā)生在車輛的點火鑰匙和一個或多個電子控制單元之間。不過，車輛內(nèi)也使用身份認(rèn)證。示例就是ECU組件保護，以識別并非制造商設(shè)計的ECU更換。

由于德國在20世紀(jì)90年代末廣泛引入電子防盜系統(tǒng)，盜車的統(tǒng)計數(shù)據(jù)顯著下降，盡管如此，這種趨勢卻在過去幾年陷入停滯或發(fā)生逆轉(zhuǎn)。除不適合的、部分專有的和過時的加密方法外，缺乏安全密鑰存儲是主要原因之一。在汽車電子設(shè)備中更深程度地集成安全系統(tǒng)可作為一個解決方案。

32位微控制器及集成式硬件安全模塊（HSM），正如英飛凌的AURIX產(chǎn)品系列所提供的，有助于其本身達(dá)到這個目的。除高性能CPU具備用于存儲加密密鑰和唯一用戶標(biāo)識符的訪問受限特殊內(nèi)存以外，這就需要AES-128這樣的高效加密程序和指定硬件來產(chǎn)生隨機數(shù)。

結(jié)語

電子設(shè)備在增強安全性方面起著決定性作用。像制動或轉(zhuǎn)向單元這類重要安全部件的潛在或?qū)嶋H故障，必須自行識別并予以解決，其目的是保護車輛和乘客免受損壞及傷害。與此同時，比以往更大的作用可歸于信息安全。車輛與外界的連接越來越多，隨之而來的是黑客攻擊電子控制設(shè)備的風(fēng)險更高，如用于發(fā)動機或制動的電子控制設(shè)備。因此，必須保護與安全相關(guān)的所有功能的數(shù)據(jù)完整性。為此，如今已推出高性能微控制器和獨立的安全部件。

半導(dǎo)體為車聯(lián)網(wǎng)提供更多安全保障

各種現(xiàn)代的半導(dǎo)體解決方案可用于在聯(lián)網(wǎng)車輛中實施必要的安全功能：帶特殊安全模塊的高性能微控制器，專用的安全控制器，以及TPM安全元件。譬如，通過這種方式，AURIX產(chǎn)品系列的32位微控制器可以提供功能塊，如“安全硬件擴展”（SHE）或“硬件安全模塊”（HSM）。通過消息的電子簽名或完整加密，HSM 可以接手與其他微控制器的安全通信。此外，HSM可用于安全啟動微控制器。

像安全控制器或配備TPM功能的控制器這樣的獨立式硬件解決方案，提供了從智能卡行業(yè)到汽車行業(yè)的成熟專業(yè)知識。關(guān)鍵數(shù)據(jù)、組件和IP可以通過這種方式予以保護。借助可擴展的產(chǎn)品，用戶能在安全級別與成本之間做出最佳權(quán)衡。通過利用標(biāo)準(zhǔn)化的功能塊和組件，而不是專有解決方案，可以最大限度降低風(fēng)險。

聯(lián)網(wǎng)的車輛支持在不同方向和在不同層面上進行通信。反過來，這也會帶來很多的黑客攻擊的可能性。一個始終如一的安全理念幾乎是不可行的。因此，需要特定、有效且基于標(biāo)準(zhǔn)的安全解決方案作為應(yīng)對措施。