汽车安全性唾手可得　

作者：Nicolas Schieli时间：2017-04-27来源：电子产品世界收藏

编者按：面对备受关注的汽车安全问题，不具备安全特性的CAN 2.0已经无法满足要求，本文介绍了新一代CAN总线标准——CAN FD，它比CAN 2.0快四倍，并且提供64字节的有效负载，可提供支持安全性所需的性能，能够更好地解决汽车互联的安全问题。

作者/ Nicolas Schieli Microchip Technology Inc.安全产品部营销和应用高级总监

本文引用地址：http://www.eepw.com.cn/article/201704/358515.htm

摘要：面对备受关注的汽车安全问题，不具备安全特性的CAN 2.0已经无法满足要求，本文介绍了新一代CAN总线标准——CAN FD，它比CAN 2.0快四倍，并且提供64字节的有效负载，可提供支持安全性所需的性能，能够更好地解决汽车互联的安全问题。

不安全问题由来已久

　　汽车逐渐电子化的历程已持续多年。由于一旦发生故障便会危及生命，因此，出于安全考虑，汽车的设计与其他交通工具有所不同。每个电子功能都拥有自己的独立计算资源，这些资源捆绑到一个电子控制单元(即ECU)中。这些ECU通过专为这一特定用途开发的CAN总线互连。

　　最初，只有面向传动系统的功能才会构建并连接到总线。但新型电子汽车组件(尤其是高级驾驶辅助系统(ADAS)和信息娱乐“中控台”)的要求远不止确保汽车高效运行。尽管有些组件比其他组件的安全性要求更严格，但它们都连接到同一条CAN总线。

　　特别是信息娱乐部分需要连接互联网，通过这种连接，其他人可以尝试访问总线，从而访问汽车中的所有电子模块(关键型和非关键型)，这使得安全性成为重要的考虑因素。

汽车安全1.jpg

　　虽然这种问题看似归咎于非任务关键型模块，但是蜂窝互联网连接并不是唯一可能的入口点。汽车还会提供Wi-Fi®和Bluetooth®连接作为获得入口的替代方式，甚至是无钥门禁系统和车载诊断系统都能提供进入汽车核心的可能入口。

　　同时，ADAS软件会在汽车的各种传感器与其他执行器之间建立复杂的关系。如果汽车检测到可能与前方汽车发生碰撞，则会自动应用刹车功能，以快于驾驶员的反应速度进行减速，从而避免发生车祸。因此，ADAS系统必须能够访问传动和安全系统的关键部件。由于互联网连接暴露了所有这些系统，因此，我们将再次面临安全挑战。

　　然而，CAN总线架构自身并不具备安全特性，而且其性能也过低，以至于无法支持基于ad-hoc增添安全性。因此，就这一点而言，对于如何在不自行发明大型系统或无需在发现安全漏洞时逐个封堵的情况下，实现系统级安全性能，汽车制造商及其供应商没有统一的指导原则。

　　虽然基本ECU软件的数量可能以正常速度增长，但ADAS和信息娱乐代码的数量正在激增。这对开发人员来说是一个持续的挑战：他们如何确保不为某些人提供入侵以及恶意操作汽车关键组件的机会?

　　这不仅仅是车内的问题。汽车间通信对于ADAS系统了解路况和明确如何响应紧急情况至关重要，这在技术上意味着处于彼此监听范围内的所有汽车都位于同一网络，从而使彼此面临风险。

CAN FD新标准提供更高的安全性

　　对于从全新理念的构思到推出经销产品需要五年时间的行业而言，变革面临重重困难。即便是对实施安全性的迫切需求也被推迟，因为这表示需要大量工作来调整操作，以便融合安全理念。戏剧性的是，发生了吉普汽车遭到黑客攻击的案例，这有力证明了汽车安全性至关重要。

　　新一代CAN总线标准——CAN FD可提供支持安全性所需的性能。它比CAN 2.0快四倍，并且提供64字节的有效负载，而CAN 2.0只能提供8字节的有效负载。该标准尚未正式批准，但已存在完整的草案，预计不久将获得通过。

　　CAN 2.0不具备安全特性，任务关键型ECU共用同一条具有信息娱乐功能和其他功能的无保护总线，可通过多种方式访问总线。CAN FD将允许域和域控制器充当防火墙来限制访问。图1显示了一种将不同功能分组到域中的方法。

　　新架构将支持从当前各部分高度分散的情况向更集中的可控结构转移。ECU可融合到域中，相应的域控制器可作为防火墙来保护域。最终，可对这些域控制器本身进行融合，从而为身份验证和访问授权提供了中心点。仔细挑选的安全微处理器可用于管理安全启动过程及强化隔离和受信区域，以防止恶意软件访问关键资源。

　　由于CAN FD对当前CAN架构进行了重大改变，因此，需要五到八年的时间来进行检查和评估(以及应对阻力)，之后才会最终采用。从长远来看，这对于实现安全性是一个好消息。同时，在CAN FD成为新标准之前，必须采取相应措施来保护要推出的汽车。

保障安全

　　即使CAN FD正在等待正式批准，目前已可使用CAN FD收发器。这可在正式通过之前提高安全性。可通过多种方法提高安全性。尽管存在安全的单片机，但它们通常是高端处理器，因此，可能超出了ECU成本目标的范围。

　　而使用提供加密功能的TAD或组合TAD与CAN FD收发器的边界安全设备则可确保每个ECU都受到保护。这些设备处于带有CAN 2.0收发器的处理器与CAN FD总线之间，可提供额外的安全性能，同时几乎无需对ECU进行设计更改，如图2所示。

　　加密功能支持强身份验证，可对尝试访问ECU的任何人员进行身份验证。它还将加密通信，支持较新芯片的椭圆曲线加密;与旧RSA加密相比，能提供更强大的保护，允许更短的密钥。然而，现有模块可能将RSA加密作为ad-hoc安全方案的一部分，因此，设备也将提供RSA功能。

　　关键之处在于，所有加密功能均在硬件中执行，这样便无法在运行时检查加密代码。这还提高了性能，可减少安全性所需的额外开销。此外，边界安全设备不允许任何人(无论是否获得授权)查看任何密钥，可实现对所有密钥的保护。其防篡改功能可防止确定的窃听程序尝试通过暴力攻击或旁路攻击获取机密，从而侵入边界安全设备。

结论

　　TAD和边界安全设备现在可以从Microchip等公司获得，从而可立即着手解决当今汽车行业面临的严重问题。今天使用TAD或边界安全设备设计的汽车模块可有力地排除道路上的严重安全隐患。

　　本文来源于《电子产品世界》2017年第5期第25页，欢迎您写论文时引用，并注明出处。