過去一百多年來,汽車產業一直是經濟成長的推動力。汽車產業持續帶領著技術的變革,讓汽車成為安全、舒適和高效率的運輸方法。但是,到目前為止,這些都只是一點一點地在增加和演變,而不是革命性的重大變革。隨著自動駕駛車(self-driving car)的出現,我們也踏上了革命性變化的起點。為了帶領這種變革且不至於減損安全的性能,我們需要仔細地研究從設計階段到IC層面的系統級風險及其減緩措施。

自動駕駛汽車確實酷炫。畢竟,誰不想以150MPH的速度在高速公路上飛馳,同時觀賞《哈利波特》(Harry Potter),而不需要擔心駕駛呢?但是,它們並不只是酷這麼簡單。它們可為某些棘手的重要問題提供解決方案──有助於減少車禍,節省在交通擁擠中所浪費的數百萬小時以及停車場所浪費的城市空間,而這些還只是其中一小部份的例子而已。

為了使自動駕駛汽車的美夢成真,需要將幾種技術結合起來,相互搭配運作。先進駕駛輔助系統(ADAS)能夠實現更好的情境感知和控制,使駕駛變得更簡單、更安全。ADAS技術可以採用車輛內建的系統──也就是車輛常駐系統,如視覺和攝影機系統,以及感測器技術,或是在車對車(V2V)或車對基礎設施(V2I)系統(合稱為V2X)情況下,採用以智慧、互連為基礎的網路。

V2X通訊利用電路板上的專用短距離無線通訊元件,將有關車輛速度和車身大小、前進方向、煞車狀態等安全相關資訊傳送給其他車輛,並從這些訊息中接收關於其他車輛的相同資訊。V2X網路採用多點跳躍(multi-hop) 技術,透過其他節點傳送這些資訊,從而實現遠距離的通訊。更遠的檢測距離以及觀察角落或其他車輛的能力,有助於讓配備V2X的車輛比感測器、攝影機或雷達更早發現威脅,並據此對駕駛者發出警示。

20170622_Microsemi_TA31P1 圖1:自動駕駛架構圖

隨著這些技術的成熟,要能夠成功部署的最重要因素是可靠性和現場性能。車用電子系統的歷史記錄一直都是問題重重,特別是最近的記錄。我們已經瞭解了電子存取控制系統的脆弱,也聽聞過自動加速車輛(self-accelerating car)造成傷亡的事件。兩名「道德」駭客因展現遠端存取的脆弱性,進而成功控制了Jeep Grand Cherokee並使其失控而登上了媒體頭條。這些和其他事件,都暴露出我們需要克服的潛在挑戰。

三種最常見的威脅領域是:

  • V2V和V2I通訊
  • 使用行動裝置、USB隨身碟或MP3裝置
  • 售後市場和維修/診斷

安全挑戰隨著與外部世界連接的每一節點而升高。連網汽車中存在幾個這樣的節點,若不是與網際網路連接,就是與作為V2V網路一部份的另一輛車輛通訊。在這些車輛中,必須確保與外界的通訊取自經過驗證的來源,而且在傳輸過程中未被篡改過。

為了確保安全,設計人員必須從底層硬體著手,通常需要解決的問題如下:

  • 硬體完整性——以硬體預防/檢測篡改
  • 車用軟體和資料的完整性和真實性——不容許未經授權更改任何車用軟體,或者必須是可查明修改的
  • 車載通訊的完整性和真實性——接收器必須能檢測出未經授權的資料更改
  • 車載通訊和資料的保密性——不容許傳輸或儲存的機密資料未經授權揭露
  • 向其他(遠端)實體證明平台的完整性和真實性——有能力證明該平台配置的完整性和真實性
  • 車用資料和資源的存取控制——實現可用性和定義良好的存取方式

挑戰可歸納成以下三個主要領域:

  • 安全硬體——底層硬體非常安全,必須無法被篡改,並且能夠形成信任根源;
  • 設計安全——硬體上所建置的設計十分安全,且無法被篡改;
  • 資料安全——所有資料通訊類型都是安全的和可靠的。

20170622_Microsemi_TA31P2 圖2:多個分層的途徑對於確保硬體,強化設計安全性和鎖定資料安全性至關重要

確保系統安全可從確保硬體安全開始。安全且受信任的硬體構成了安全系統的基礎。它提供了必要的建構模組,可用來驗證、授權通訊與行動等。對任何系統都是如此,而對於V2X系統來說尤其重要。

確保V2X安全

為了實現可靠的V2V/V2I通訊,必須確保通訊來自於已知的來源,而且不至於在傳輸過程中被更改。

為了證明真實性,訊息發送者必須向接收者提供能夠驗證的某些辨識形式,以確認訊息來自正確的來源。這可以利用對稱或非對稱的加密技術實現。

對V2X網路來說,由於網路的複雜性和規模,通常不能使用對稱加密,而是採用不對稱加密,並提供一種可擴展的方法來連接網路可能需要的節點數量。為了實現這一點,每個節點都會採用一種私密金鑰,對每一筆傳輸的訊息簽署數位簽章。接收端則以傳輸給所有接收節點的相關公開金鑰(public key)來驗證這種數位簽章。這種方法不僅擴展性比對稱加密方案好,也比較容易更換出錯的節點。

但是這種方法也帶來了另一個問題:如何確保每個節點所使用的密鑰和公共金鑰是真實且未被篡改?

問題第一部份的最佳可能解決方案是採用矽IC的生物簽名,這種簽名方式的基礎是每個元件生產製程中的微小實體變化。這些製程變化永遠不可能相同、無法被複製,也沒有兩個IC具有相同的製程變化,從而為每一元件提供了獨一無二的簽名。這種簽名被稱為實體不可複製功能(PUF)。除了不可複製之外,採用PUF的金鑰通常是在原子的層級上實現的,因而很難被駭客擷取。IC可以將PUF的基礎建立在幾種實體因素上,如記憶體元件、邏輯延遲和電阻。基於SRAM的IC利用SRAM單元唯一的隨機啟動狀態產生密鑰,由於該單元的狀態會在斷電時被擦除,因此更加安全。

問題的第二部份可透過公開金鑰基礎架構(PKI)解決。PKI是一種創建、儲存和分配數位憑證的系統,用於驗證屬於某一實體的特定公開金鑰。PKI可創建出一種將公開金鑰映射到實體的數位憑證,並將這些憑證安全地儲存在中央儲存庫,必要時還可加以撤除。

在PKI系統中,認證機構(CA)利用自己的密鑰對其公開金鑰簽署數位簽章,從而為所有的節點進行認證。最常見的公開金鑰認證格式是X.509。當一個裝置利用其密鑰傳送訊息並以數位方式簽署時,該訊息可採用裝置的公開金鑰驗證。該裝置也可以將其X.509憑證發送給接收其訊息的所有節點,讓它們都可擁有其公開金鑰。X.509憑證,包括裝置的公開金鑰,也能以CA的公開金鑰在接收端進行驗證;CA的公開金鑰會事先放在所有的節點之處,而且是本質受信任的。採用這種方案,由於發射器採用的簽名可以由接收器驗證,因而能夠建立經過驗證、以憑證為基礎的分級信任鏈。這種方案還能確保易於檢測出造的設備。

當今車輛中的電氣與/或電子內容增加的規模,已經將業界的注意力轉移到確保這些內容不會對系統或周邊設備造成任何威脅,以及如果造成威脅的話,可以採取預防或糾正的措施。

特別是隨著業界朝向智慧車輛控制的方向邁進,正將人類的生命交由感測器、微控制器(MCU)和演算法來掌控;同時,隨著電動車的出現,電氣與/或電子內容的規模增加還更勝以往。因此,轉向先進駕駛輔助系統的下一步,必須認真考慮隱藏的系統級風險以及由此導致的安全隱患。從設計階段開始一直延伸到IC層面,整個系統都必須採取安全的措施。