探討NXP的自動(dòng)駕駛安全觀念

NXP在全球有30個(gè)以上的汽車業(yè)務(wù)辦公地點(diǎn)，有超過2400位汽車工程師，40%的收入來(lái)自汽車業(yè)務(wù)，在汽車領(lǐng)域有60年以上的經(jīng)驗(yàn)。

在汽車電子領(lǐng)域，1980年出現(xiàn)了ECU，1995年出現(xiàn)了CAN BUS，2000年開始，有了WIFI、V2X、Bluetooth、Telematics。而下一個(gè)發(fā)生變化的，將會(huì)是汽車自動(dòng)駕駛。

自動(dòng)駕駛有很多好處，因?yàn)槊磕犟{駛員花在汽車上的時(shí)間在300h左右，95%用來(lái)停車的時(shí)間都是無(wú)意義的，超過90%的道路交通事故都是由人為錯(cuò)誤引起的，等等。

對(duì)于絕大部分駕駛員而言，駕駛行為將會(huì)變得越來(lái)越枯燥，同時(shí)也會(huì)引發(fā)不必要的事故，自動(dòng)駕駛的出現(xiàn)不僅可以解放人類的身心，同時(shí)也能有效避免人類駕駛的事故。

NXP自動(dòng)駕駛安全負(fù)責(zé)人 Timo van Roermund表示：雖然根據(jù)NTHSA的標(biāo)準(zhǔn)，自動(dòng)駕駛被分為L(zhǎng)0-L5等級(jí)，但對(duì)于NXP而言，自動(dòng)駕駛更多的意味著兩個(gè)分級(jí)：L2以下的有人駕駛主導(dǎo)和L3以上的自動(dòng)駕駛系統(tǒng)主導(dǎo)。

一.

網(wǎng)絡(luò)安全是基礎(chǔ)

汽車的網(wǎng)絡(luò)架構(gòu)發(fā)展趨勢(shì)，將會(huì)向能夠囊括所有增加的電子元器件的方向前進(jìn)。目前車內(nèi)的連接方式是，所有的ECU之間都是直接連接，這種方式無(wú)論從效率上還是功耗上都不占優(yōu)；

下一步，車內(nèi)電子元器件之間連接的方式，將會(huì)朝著基于域的方式，這種方式具有可擴(kuò)展性和可升級(jí)，同時(shí)各個(gè)域之間的連接又有獨(dú)立性。

未來(lái)的車內(nèi)連接網(wǎng)絡(luò)會(huì)是什么呢？可能會(huì)是中心化的，用少量ECU即可實(shí)現(xiàn)更多功能，同時(shí)還可以靈活匹配計(jì)算資源。

基于域控制器的連接，安全是首位的，安全網(wǎng)關(guān)上會(huì)分為硬件、邏輯控制、執(zhí)行三個(gè)層面。

網(wǎng)絡(luò)安全，是系統(tǒng)可用和值得信賴的先決條件，其次當(dāng)系統(tǒng)有效后才能保證信息的傳輸和接收是可信的，之后才可以客觀上保證核心ECU中不出現(xiàn)功能損壞的問題。

因此，沒有網(wǎng)絡(luò)安全，功能安全就無(wú)從談起。

二.

越智能，越脆弱

自2015年以來(lái)，有超過50次的發(fā)生在汽車上的黑客攻擊被報(bào)道，那么為什么車輛會(huì)遭受黑客攻擊呢？

Timo van Roermund透露：到2030年，汽車產(chǎn)生的數(shù)據(jù)市場(chǎng)規(guī)模將會(huì)達(dá)到7500億美金，因此對(duì)于黑客而言，汽車上將會(huì)有越來(lái)越多的數(shù)據(jù)，對(duì)其中有價(jià)值的數(shù)據(jù)進(jìn)行攻擊獲取，將成為新常態(tài)。

另外一點(diǎn)，汽車之所以會(huì)成為被攻擊的對(duì)象，是因?yàn)槠囅到y(tǒng)越來(lái)越復(fù)雜，導(dǎo)致其弱點(diǎn)也越來(lái)越突出。目前的高級(jí)別車型，甚至有超過150個(gè)ECU被使用，軟件代碼量也超過2億行。

越來(lái)越多的無(wú)線接口將出現(xiàn)在智能汽車上，預(yù)計(jì)到2020年將會(huì)有2.5億輛聯(lián)網(wǎng)的車輛行駛在道路上。從這一點(diǎn)上來(lái)看，逐漸豐富的車聯(lián)網(wǎng)也漸變成了孕育黑客的沃土。

未來(lái)遠(yuǎn)程攻擊的典型模型，將會(huì)是從網(wǎng)絡(luò)端開始，進(jìn)入車載通訊模塊，然后黑掉TCU、OBD，進(jìn)入到ADAS、IVI、Tbox的功能，最后影響剎車、車身相關(guān)控制等。

三.

防御守則

對(duì)于汽車安全而言，核心的安全策略是——深度防御，從外部接口、獨(dú)立域、內(nèi)部鏈接到軟件執(zhí)行。

解決核心安全隱患的原則是，從阻止登錄、探測(cè)攻擊、減少影響到最后解決安全隱患，這是解決一個(gè)網(wǎng)絡(luò)攻擊的基本步驟。從實(shí)際應(yīng)用端，則會(huì)涉及接口的安全、網(wǎng)關(guān)安全、網(wǎng)絡(luò)安全、安全處理。

比如在阻止登錄的時(shí)候，在具體安全處理執(zhí)行層面，會(huì)對(duì)應(yīng)代碼數(shù)據(jù)的鑒權(quán)、認(rèn)證、加密；如此一來(lái)，在網(wǎng)絡(luò)方面層會(huì)保證傳輸?shù)男畔⑹前踩模痪W(wǎng)關(guān)方面會(huì)有防火墻根據(jù)上下文過濾無(wú)用信息；接口安全方面會(huì)有防火墻和M2M協(xié)議認(rèn)證。

檢測(cè)攻擊是在代碼、數(shù)據(jù)層進(jìn)行實(shí)時(shí)的校驗(yàn)，在網(wǎng)關(guān)層會(huì)有入侵檢測(cè)系統(tǒng)。減少攻擊帶來(lái)的影響，則是通過在虛擬化技術(shù)中對(duì)資源進(jìn)行控制的方案，網(wǎng)絡(luò)層對(duì)信息的過濾以及速率的限制，網(wǎng)關(guān)層對(duì)各個(gè)域功能的分離。最后解決bug則是通過OTA。

以上是面對(duì)網(wǎng)絡(luò)攻擊時(shí)的應(yīng)對(duì)策略，而在硬件層面，也是可以做一些工作來(lái)輔助軟件安全。這也就牽涉到了黑客攻擊不止存在于軟件層面，還會(huì)有物理層面的攻擊。

NXP的自動(dòng)駕駛網(wǎng)絡(luò)安全策略是，安全的解決方案，安全產(chǎn)品，內(nèi)外的安全模擬演練，安全應(yīng)急響應(yīng)團(tuán)隊(duì)，感知安全的組織，用網(wǎng)絡(luò)安全隱患不斷進(jìn)行攻擊測(cè)試。