优化自动驾驶汽车设计中的网络安全

到 2021 年，汽车行业的高级驾驶辅助系统 (ADAS) 的六个级别将达到完全自动驾驶的一半。当今车型的驾驶员可以选择使用一些不干涉和一些不注意驾驶功能。流行的例子包括：

• Waymo™（谷歌）

• 超级巡航™ (GM)

• AutoPilot（特斯拉）

• ProPILOT Assist®（日产）

• DISTRONIC PLUS®（梅赛德斯-奔驰）

• 交通拥堵辅助（奥迪）

• Pilot Assist（沃尔沃）

图 1： AV 自动化的五个级别。

随着自动化程度的提高带来的便利，保护汽车免受网络安全攻击的挑战也随之而来。每周我们都会阅读有关企业通过其计算机网络遭到黑客攻击和遭受数据泄露的新闻报道。将我们的现代汽车称为“车轮上的数据中心”意味着它们也受到计算机安全问题的影响。

下一代互联汽车

想想我们的汽车现在有多少种连接方式：我们的智能手机使用蓝牙® 使用汽车扬声器系统接听电话、用于路边援助的蜂窝连接、用于无线 (OTA) 更新的 Wi-Fi®、使用遥控钥匙控制门锁、USB 连接器，甚至将电动汽车插入商用充电器。这些连接中的每一个都增加了入侵者可利用的攻击面。

汽车设计师必须在他们的新设计中积极主动地考虑减轻每个连接的安全攻击的方法。每辆车内部都有数十个电子控制单元 (ECU)，它们在不同区域运行以收集传感器数据并做出决策。将网络安全添加到每个 ECU 的功能安全中需要成为设计目标。使用系统级方法为车辆提供安全和网络安全是最好的策略。如果黑客可以利用安全漏洞，那么驾驶员的安全就会受到威胁，这是我们必须避免的非常危险的结果。

汽车安全市场驱动因素

如今，一辆豪华汽车在所有使用的 ECU 和 CPU 中可能包含多达 1 亿行代码。这意味着车辆非常依赖软件来感知、控制和做出决策。大多数汽车网络攻击都针对无线接口，例如蓝牙、Wi-Fi 和蜂窝网络。对于 OTA 更新，重要的是在允许安装更新之前对更新进行安全验证。

多年来，无处不在的控制器局域网 (CAN 总线) 已在车辆中使用，以实现 ECU 之间的通信，但是安全性从来不是经典 CAN 定义的一部分。具有额外有效载荷字节的 CAN FD（灵活数据速率）的出现允许添加 CAN MAC（消息验证代码）。较新的趋势是汽车领域的以太网连接，硬件供应商知道如何保护该网络。使硬件系统安全通常从安全启动开始，然后是消息身份验证，这两者都依赖于真正安全的密钥存储。

理想的汽车安全解决方案不需要对所有电子设备进行完全重新设计，而是使用一种分层新安全功能的方法。

汽车设计师必须保护更多的攻击面

汽车可能被认为是消费者每周使用的最复杂的物联网 (IoT) 设备。使用我们的智能手机和计算机，我们知道应用程序和操作系统更新以修复安全漏洞的频率。我们的联网汽车具有与智能手机和计算机类似的攻击面，因此必须持续防御每个攻击面。

汽车 OEM 可以通过确保仅加载和运行授权软件（安全启动操作）来遵循最佳实践来提供网络安全。由于数十个 ECU 使用电子消息进行通信，因此只允许经过授权的 ECU，并且使用基于 AES 块密码的消息验证代码 (CMAC) 算法对消息进行验证。固件更新签名在被允许更改任何内容之前经过加密验证。甚至每个电子网络内的流量也应该在每个端口上进行检查，以确保只允许有效数据包。

保护整车的方法：从启动到连接系统

Microchip 活跃于汽车应用和安全启动的网络安全领域，该领域只允许运行经过身份验证的内容。这由 CryptoAutomotive™ 安全 IC TrustAnchor100 (TA100) 提供。设计人员无需重新设计整个系统，因为这个外部硬件安全模块 (HSM) 提供了多种安全功能：

• 安全启动

• CAN 消息的认证

• 电动汽车 (EV) 电池管理系统和模块认证

• 使用传输层安全 (TLS) 进行消息加密

• 支持无线充电联盟 Qi® 1.3 身份验证

• 模块制造商来源的密码验证

图 2： TA100 14 针 SOIC 插座板。

与重新设计新 MCU 以添加安全功能相比，这种 Microchip 方法将节省成本和设计时间。MCU 代码更改对主机 MCU 功能安全等级几乎没有影响。TA100 已经编程了安全功能，让您无需安全专家即可快速学习。由于 MCU 代码更改非常小，因此降低了项目风险。

像这样的创新使汽车设计中的网络安全更容易，有助于安全地加速自动驾驶汽车的发展。