优化自动驾驶汽车设计中的网络安全

　　汽车行业在高级驾驶辅助系统（ADAS）的六个级别中实现了完全自动驾驶。当今车型的驾驶员可以选择使用一些不提和一些不注意的驾驶功能。常见的例子包括：

　　• Waymo™ （谷歌）

　　• 超级巡航™（GM）

　　• 自动驾驶仪（特斯拉）

　　• ProPILOT Assist®（日产）

　　• DISTRONIC PLUS® （梅赛德斯-奔驰）

　　• 交通拥堵辅助系统（奥迪）

　　• 飞行员辅助系统（沃尔沃）

　　随着自动化程度的提高带来的便利，保护汽车免受网络安全攻击的挑战也随之而来。每周我们都会阅读有关企业被黑客入侵并通过其计算机网络遭受数据泄露的新闻报道。将我们的现代汽车称为“车轮上的数据中心”意味着它们也受到计算机安全问题的影响。

　　下一代互联汽车

　　想想我们的汽车现在有多少种连接方式：我们的智能手机使用蓝牙®使用汽车扬声器系统接听电话，用于路边援助的蜂窝连接，用于空中下载 （OTA） 更新的 Wi-Fi®，使用遥控钥匙控制门锁、USB 连接器，甚至将电动汽车插入商用充电器。这些连接中的每一个都增加了入侵者可以利用的攻击面。

　　汽车设计人员必须在新设计中积极主动，以考虑减轻每个连接的安全攻击的方法。每辆车内部都有数十个电子控制单元（ECU），它们在不同的区域运行，以收集传感器数据并做出决策。将网络安全添加到每个ECU的功能安全中需要成为设计目标。使用系统级方法来提供车辆的安全性和网络安全是最好的策略。如果黑客可以利用安全漏洞，那么驾驶员的安全就会受到威胁，这是我们必须避免的非常危险的结果。

　　汽车安全市场驱动因素

　　如今，一辆豪华汽车可以在所有正在使用的ECU和CPU中包含多达100亿行代码。这意味着车辆非常依赖软件来感知、控制和做出决策。大多数汽车网络攻击都针对无线接口，如蓝牙、Wi-Fi 和蜂窝网络。对于 OTA 更新，在允许安装更新之前，必须安全地验证更新。

　　无处不在的控制器局域网（CAN总线）已经在车辆中使用多年，以实现ECU之间的通信，但是安全性从未成为经典CAN定义的一部分。CAN FD（可控数据速率）的出现具有额外的有效载荷字节，允许添加CAN MAC（消息身份验证代码）。汽车领域的以太网连接是新的趋势，硬件供应商知道如何保护该网络。使硬件系统安全通常从安全启动开始，然后是消息身份验证，这两者都依赖于真正安全的密钥存储。

　　理想的汽车安全解决方案不需要完全重新设计所有电子设备，而是使用新安全功能分层的方法。

　　汽车设计师必须保护更多的攻击面

　　汽车可能被认为是消费者每周使用的最复杂的物联网（IoT）设备。通过我们的智能手机和计算机，我们知道应用程序和操作系统更新以修复安全漏洞的频率。我们的联网汽车具有与智能手机和计算机类似的攻击面，因此必须持续防御每个攻击面。

　　汽车 OEM 可以遵循最佳实践，通过确保仅加载和运行授权软件（安全启动操作）来提供网络安全。由于数十个ECU与电子消息通信，因此只允许授权的ECU，并且使用基于AES分组密码的消息身份验证代码（CMAC）算法对消息进行身份验证。固件更新签名在允许更改任何内容之前经过加密验证。甚至每个电子网络中的流量也应该在每个端口上检查，以确保只允许有效的数据包。

　　保护整车的方法：从行李箱到连接的系统

　　Microchip活跃于汽车应用和安全启动的网络安全领域，安全启动只允许运行经过身份验证的内容。这由CryptoAutomotive™安全IC，TrustAnchor100（TA100）提供。设计人员不必重新设计整个系统，因为此外部硬件安全模块 （HSM） 提供多种安全功能：

　　• 安全启动

　　• CAN报文的认证

　　• 电动汽车（EV）电池管理系统和模块认证

　　• 使用传输层安全性 （TLS） 进行消息加密

　　• 支持无线充电联盟 Qi® 1.3 认证

　　• 模块制造商来源的加密验证

　　与重新设计新的MCU以增加安全功能相比，这种Microchip方法将节省成本和设计时间。MCU 代码更改对主机 MCU 功能安全等级影响不大。TA100 已编程安全功能，无需安全专家即可快速学习。项目风险降低，因为MCU代码更改非常小。

　　像这样的创新使汽车设计中的网络安全变得更加容易，有助于安全地加速自动驾驶汽车的驱动。

　　审核编辑：郭婷