资深人士解读：如何保护汽车不被“黑”？

　　探究汽车内电子元件的弱点是件风险很大的任务，一方面，汽车产业到目前为止并没有真正经历过因为骇客攻击而导致的悲剧，谈起这个似乎有“制造恐慌”之嫌；另一方面，汽车安全对这个产业界的大多数人──包括芯片供应商、模组开发商，以及当然，汽车厂商──来说，是相对仍新的议题。

　　汽车的可靠性在供应商们心目中一直都很高，因此其安全性也不被注意了好一段时间；而几十年来，汽车与外界的连结性并没有像现在如此之高。但在过去几年，汽车产业的心态开始出现变化；如恩智浦半导体（NXP）汽车系统与应用部门工程主管Dirk Besenbruch所言，一篇在2011年出炉的《汽车攻击面的综合实验性分析》报告成了转捩点。【参考：你的汽车有可能被骇客攻击吗？】

　　需要澄清的是，产业界并没有忽略连网汽车可能面临的面临风险，他们也没有停滞不前。在飞思卡尔半导体（Freescale）负责32位车用SoC开发的 Richard Soja表示，包括BMW与Audi在内的数家汽车厂商，合作开发了一个名为 SHE （Secure Hardware Extension，安全硬件扩充）的规格，旨在为汽车内不同模组间的安全通讯提供协议。

　　此外Soja指出，也有些厂商正在合作一项由欧盟赞助的计画“EVITA （E-Safety Vehicle Intrusion Protected ApplicaTIons）”，目标是拟定一套準则，让制造商能因应各项安全功能；该计画已经在2011年底结案。不过，有鑑于汽车产业较长的产品开发时程（约五年），要看到配备全新安全功能的车辆上路，可能还需要等上一段时间。

　　无论如何，汽车安全对半导体厂商来说是一个新商机，让他们得以展现安全技术方面的长才，为汽车添加安全元素，甚至说服汽车制造商以全新开发的安全SoC取代现有的车用微控制器（MCU）。

　　如恩智浦很早就意识到，汽车安全能获益于该公司开发“安全元素”──已经成功佈署于上百万张智慧卡中──的经验与专长；Besenbruch表示，恩智浦的汽车安全解决方案，利用了经过“现场实证”的智慧卡技术，并提供独立的安全性元素。

　　恩智浦的方案与部分竞争对手，例如英飞凌（Infineon）的策略显然不同，英飞凌正在重新设计整个MCU架构，以打造嵌入式安全模组；虽然嵌入式安全模组对高阶车款来说会是不错的方案，不过Besenbruch认为，改变整个微控制器架构意味着被某种特定的MCU锁定。

　　而恩智浦则是标榜其独立安全性元素解决方案的d性；考量到汽车产业的产品週期以及对可靠性的需求，恩智浦认为其d性解决方案能为汽车厂商带来更多选择，在更短的时间内针对特定骇客攻击模式着手推出保护方法。

　　但现实状况是，当汽车可能拥有许多弱点，可能必须针对每个部位提供不同等级的安全性技术等级。Besenbruch表示，提升安全性以防止人为 *** 控车内网路是很重要的，可是：“你必须谨慎观察你所需要保护的东西。”他解释，强化安全性并不该影响到汽车性能，你不会希望为了汽车系统需要经过验证，而使得煞车时间延迟。

　　Besenbruch指出，正确的解决方案应该要与现有的架构和系统相容：“目前的硬件平台与软件元素需要的修改应该尽可能最少。”在此前提下，恩智浦的提案是藉由“整合一个仅允许经授权写入/读取的安全存储器区域”来保护“现有与未来的系统”。

　　恩智浦相信，将一个称为“信任锚（trust anchor）”的可信赖元素整合至安全性相关电子控制单元（ECU），能实现资料的保护。所谓的“信任锚”，也就是安全微控制器，并非是新的概念，已经应用在xyk与手机的SIM卡中，恩智浦正是该领域的技术供应商之一。

　　

　　ECU架构内的安全元素 （NXP提供）

　　今日的安全性处理器包含了安全存储器区块、加密协同处理器，能管理认证、私人金钥（private keys），并产生公共金钥（public keys）。透过将该种安全性处理器（例如以恩智浦A700x产品系列为基础──已经出现在其他需求安全性的工业应用中）添加至ECU，结合现有的车用微控制器，恩智浦可提供的安全性相关功能包括：

　　˙安全闸道器防火墙，相关通讯必须经过授权才能通过相关的子汇流排；

　　˙安全性储存，以避免错误的日志或是里程数；需要通过授权才能写入；

　　˙安全开机（boot），这可以确保个别ECU的软件未被攻击；

　　˙更换电子零件时的认证，只有通过授权的ECU能被导入车用网路；

　　˙经由受保护连结注册外部服务，此安全性元素能提供VPN与HTTPS资料连结。

　　当然，为了决定是那一个ECU需要配备“信任锚”，得先定义有哪些汽车功能与应用程式需要确保不受骇客攻击。根据Besenbruch表示，汽车可能遭遇的骇客攻击，包括里程数被窜改、未经授权的定位，或是因为MP3档案内的恶意程式导致车用电话透过蓝牙被窃听，以及透过 *** 控ECU软件使得芯片设定被更动。

　　根据那些容易受到攻击之功能在车内网路上的位置，Besenbruch表示，安全元素应该在本地提供保护功能：“透过储存、呼叫或是授权ECU主微控制器所使用的资料，或是保护与其他ECU的连结。”此外：“能避免软件受到人为 *** 控的安全开机演算法，应该所有案例都需要。”

　　Besenbruch 特别指出，还有另一个与汽车安全有关的角度是不应该被忽略的，那就是供应链可能产生的弱点。在模组制造过程中保护所安装ECU金钥与机密至关重要，汽车制造商必须指定那些伙伴负责安装安全元素、谁负责安装ECU内的金钥，以及在供应链中的每个阶段任务分配是如何被管理。

　　在这方面，恩智浦表示，该公司在金融应用领域与银行、xyk供应链的工作程序经验，也能应用于汽车制造领域。

编译：Judith Cheng

作者：Junko Yoshida