汽車與環境的連結日益增加;這也為駕駛帶來了諸多改善,像是提供支援半自動或全自動駕駛,以避免許多嚴重的交通意外。額外的環境資訊有助於改善駕駛行為,並降低油耗。此外,還有一些應運長期性汽車無線存取而生的全新商業模式,例如遠端軟體更新,以避免成本高昂的召回,還可啟用線上服務及道路救援控制。但另一方面,來自外部的存取,卻也使得汽車遭到駭客操縱或促成網路犯罪的風險大增。現代化的半導體解決方案所建立的安全系統,除了保護個人資料,也能保護民眾在道路上的生命安全。
未來的車對車(C2C)與車對基礎設施(C2I)通訊,可望改善道路交通的安全性及效率,例如一旦前方發生道路損壞或車禍,駕駛就會接獲警示。還可透過射頻介面進行遠端診斷,及早提出必要的維修措施建議。但是,在這過程中,卻可能交換位置和速度等敏感性資料,因此,這些資料的完整無誤,必須加以保護。這些資料究竟歸誰所有,目前尚無定論,而假使是個人資料的話,則應依照適用的資料保護法規,受到更為嚴格的限制。
現在的汽車可謂名符其實的電腦網路,聯網車的系統可讓不同的方向,甚至不同的階層進行通訊。
專屬安全措施
一方面,車載通訊可讓車內各種控制單元交換資訊,像是在儀表板和引擎控制,或方向盤和剎車等安全相關單元之間。透過傳出的通訊,為駕駛帶來的好處則包括了得以及早發現塞車和預防事故。雲端連線更帶來全新的可能,像是現場更新軟體、遠端診斷、緊急通話(eCall)、付款系統、網際網路服務,還有資訊娛樂、交通資訊和應用程式。
未來的聯網車更像是一個「通訊殼層」,存在著各種可能性,同時卻又因為採用多種介面和閘道,而可能橫遭操縱。因此,需要一個全面性的安全架構,以應用在汽車內,還有與外部世界的介面。汽車業尚無同時考量功能安全性與資訊安全性的完整方法。除了既有可確保符合ISO 26262功能安全性的措施,還需要專屬的硬體及軟體措施來保護相關資料。
由於汽車連線增加,不需實際接觸到汽車車體,也可能發動遠端攻擊。
所幸只要透過可信賴平台模組(TPM),就能針對外部通訊實施加密。
加密通訊
例如,TPM可整合於經常連接資訊娛樂系統的通訊控制單元。只要設定安全的加密連線連往製造商的伺服器,並確認系統的完整性,TPM就能提高通訊單元的可信度。舉例來說,TPM可用於保護軟體更新的安全。金鑰在這過程中必須加密,而TPM可經由安全認證的金鑰儲存空間來保護這些金鑰。此外,TPM的優點還包括,其安全標準的實作方式,近似於簽帳卡付款領域行之有年的實務措施。
加密車載通訊
車載通訊對安全解決方案的要求不勝枚舉,解決方案除了必須可靠、符合即時效能的高要求、具成本效益,還要相容於現有的匯流排標準。
安全的車載通訊系統通常設計用於抵抗兩類的威脅:
像是AURIX系列等現代化微控制器內含硬體加密模組,支援透過高效能的亂碼產生器在硬體內部產生驗證碼。
eCall系統可在發生事故時自動將位置和其他重要資料傳送給救援服務。歐盟將於2017年起開始強制要求加裝eCall。
eCall行動連線
實作eCall時,必須利用用戶識別模組(SIM)卡,作為汽車與電信兩個領域中間的互連要素。因此SIM卡必須同時符合汽車業的高品質標準,還有行動網路電信業者的高安全需求。
為了提高彈性並改善客戶服務,例如車主的出國旅行需求,汽車製造商必須能在日後更換行動通訊供應商。這項技術的出現,使得SIM卡的安全需求不斷提高,因為行動通訊供應商要能將機密存取資料傳送到非其所購置,也就是自身控制範圍以外的SIM卡。此外,行動通訊供應商必須能信賴汽車製造商所用的SIM卡,因此大多會要求由獨立的第三方,對這些產品進行Common Criteria標準的安全評估。按照SIM的規定,必須具備經由GSM協會(GSMA)與歐洲電信標準協會(ETSI)定義的安全控制器。
eCall可於發生事故後立即提供協助,Car2Car通訊則是確保道路交通的安全與效率。保護駕駛的隱私及網路的完整性,是這方面最核心的安全要求。加密認證的安全控制器,例如SLI 97系列,能經由加密程序並將資料進行編碼,順應相關應用而提供有效的防護。
可靠驗證
對汽車安全系統來說,驗證的可靠度極為重要。大家最熟知的應用,就是利用電子防盜器作為防竊的主要元件,其驗證程序發生在點火鑰匙及車內的其中之一或多個電子控制單元之間。此外,驗證也同樣應用於車內。其中一例,便是使用ECU元件保護來辨識更換的ECU是否非製造商所指定。
統計資料顯示,德國自1990年代末期出現電子防盜器後,汽車竊案大幅減少,但這股趨勢在近幾年卻趨緩或甚至惡化。除了不適用、專利不完整且過時的加密法,缺少加密金鑰的儲存空間也是主要原因之一。為了更進一步地將安全系統整合到汽車電子,可透過單一解決方案實現。另一方面,除了利用高效能CPU及特殊的存取保護記憶體來儲存金鑰和唯一的用戶識別碼,更需要像AES-128這類有效率的加密程序,還有指定的硬體來產生亂數。
電子元件在安全需求不斷提升的環境下,扮演了決定性的角色,像是剎車或轉向單元等重要安全元件若可能或確實會中斷,則必須自動找出問題並加以解決,才能保護汽車及乘客免於損壞或傷害。另一個更為重要的角色,則是資訊安全性。汽車與外部世界的連線持續增加,使電子控制裝置受到網路攻擊的風險不斷升高,包括引擎或剎車所用的控制裝置等。因此,所有安全相關功能的資料完整性,必須得到保護。是以目前推出了高效能的微控制器和獨立的安全元件。
現在有各種現代化的半導體解決方案,可在聯網車內實作必要的安全功能:具備特殊安全模組、專用的安全控制器及TPM安全元素的高效能微控制器。舉例來說,AURIX系列的32位元微控制器提供功能區塊,例如「安全硬體延伸」(SHE)或「硬體安全模組」(HSM)。HSM負責透過訊息簽章或完整加密,與其他微控制器進行安全通訊。此外,HSM可用於安全開機微控制器,安全控制器或具備TPM功能的控制器之類的獨立硬體解決方案,則將晶片卡產業的專業知識引進到汽車業之中。
如此一來,關鍵資料、元件及IP都能獲得保護。產品的可延伸性,使安全等級和成本之間得到了最佳的權重平衡。透過使用標準化的功能區塊及元件,而非專用的解決方案,將風險降到最低。