多年以來,，汽車安全事件已經成為公眾矚目的焦點,，大多與車輛被盜或發(fā)動機控制功能的“崩潰”有關。 對于那些在工程技術上安全可靠的汽車系統(tǒng)，這些故事向我們展示了它們差強人意第一面,，而且隨著新的威脅不斷涌現，風險還在增加,。 2015-2020 期間,，車內的計算能力有望提高 100 倍，黑客也找到了更加復雜的方法去侵入汽車內部并控制諸多功能,，從廣播到制動,。 讓我們看一看設計一輛安全的汽車所面臨的部分挑戰(zhàn)，以及如何去應對這些挑戰(zhàn),。

　　在安全領域,，人們會說到系統(tǒng)的攻擊面。 攻擊面小意味著沒什么機會侵入,，攻擊面大則意味著機會多多,。 過去侵入汽車只能靠攻擊車內的線路，讓自己混入電子線路 (電子控制單元) 之間交換的消息當中,，并創(chuàng)建自己的消息,，進而攻擊汽車。

　　一個很好的例子就是——如果犯罪分子知道有一根線路通過車身底板,，就在那里鉆一個孔,。 他們將一根探針連到線路上，并用這個打開車門,，并破壞其防盜系統(tǒng),。 這個方法行得通，但不具備可擴展性,。 不過,，有很多價格不菲的汽車就是這樣被偷走的,，現在仍是如此！

　　更多技術意味著攻擊面增大

　　你看看現代的汽車,，還有正在設計的那些,，它們就是由幾英里長的線路組成的分布式系統(tǒng)，如果你能接觸到它們,，就有很多方法入侵車輛,。 這就說明了為什么這個問題很刺手。直到最近,，唯一使用的嵌入式無線電臺就是為了提供無鑰匙進入功能,，但汽車行業(yè)在這一方面的開局并不順利，因為有很多例子告訴人們如何使用信號增強器或進行模仿,。

　　甚至還有人在教如何通過FM 無線數字系統(tǒng)  (RDS) 來擾亂車載信息娛樂系統(tǒng) (IVI),。  如果汽車旁邊有一個假冒的無線信號源，它發(fā)出一個軟件不應該接收的 RDS 擾亂消息,，就能讓嵌入式的無線電臺崩潰,。 當然，這不是什么嚴重的問題,，只是讓我們知道做到安全并非易事,，而且并非只有汽車如此。

　　總而言之,，我們不難看出無線接口和軟件的大幅增加對汽車行業(yè)來說算得上是一個重大的變化,。 面對這些嚴峻的挑戰(zhàn)，行業(yè)內開展了大量工作來解決它,，而且它將繼續(xù)成為行業(yè)人士關注的主要內容。

　　安全的符咒就是“不要相信任何人”,。 考慮到這一點,，設計師必須確保堵上所有的漏洞。 黑客可以選擇從任何一點進行攻擊,，一個漏洞足矣,。 查理·米勒 (Charlie Miller) 在最近召開的 ARM TechCon 大會上發(fā)表了主旨演講，更是讓我們知道現在有多少車輛在有足夠技術知識和動機的黑客面前都不堪一擊,。

　　查理·米勒 ARM TechCon 演講的主旨

　　OTA (over-the-air) 安全

　　一方面,，制造出具有強大安全基礎的汽車非常重要，但當務之急是出現問題的時候有能力解決它們,，畢竟問題總是會出現的,。 一輛汽車的使用壽命通常在十年以上，那個時候它需要和現在一樣安全,。 關鍵在于接受這樣的事實——黑客總能找到入侵的方法,，因此我們要打造一個可以而且將會修復的系統(tǒng),。 目前，所有汽車軟件實際上都是在經銷商或其他授權的服務代理商那里通過一根電纜線完成的,，需要預約和人工成本,。 所有人都能看出這并非一個具有擴展性的解決方案。

　　這意味著固件 OTA 更新 (FOTA) 是個非常重要的努力方向,，它可以在發(fā)現問題之后的幾天甚至是幾個小時之內,，發(fā)布安全補丁以供汽車自動下載。 即使汽車的問題十分嚴重也不愿意接受召回的車主數量多到嚇人,。

　　為了實現擴展性,，汽車軟件有必要以 OTA 的方式進行修復

　　OTA 維護軟件成功的關鍵在于它能夠以可靠的方式建立汽車網絡的可信度。 如果有了可靠的安全基礎,，升級程序實際上不必與受損系統(tǒng)發(fā)生交互,。 如果系統(tǒng)可靠，那么其軟件系統(tǒng)的身份信息,、可信度和清單文件都可以得到驗證,。 在授權進行升級之前，汽車 OTA 系統(tǒng)通常驗證系統(tǒng)的這些屬性,。

　　基于硬件的信任根可以成為 FOTA 的堅實基礎,，因為它可以權衡一個平臺，并與遠程的 OTA 系統(tǒng) (由汽車制造商或其代理商運行管理) 以安全的方式進行交互,。 軟件供應商有真正的機會開發(fā)這種 OTA 連接和配置框架,。

　　預防攻擊的另外一種方式是通過報告實現的。 聲音響亮的汽車防盜器可以阻止一個企圖進入車內的盜賊,，有些公司——比如 TowerSec (現在是哈曼的一部分)——就在研制可以檢測到潛在入侵并且發(fā)現安全隱憂的系統(tǒng),。

　　汽車安全需要各方努力

　　隨著行業(yè)內的供應鏈不斷延伸，打造一臺安全的汽車需要各方的協(xié)作,。 其目的就是盡可能減少可以被黑客利用的攻擊面,，智能手機行業(yè)目前花了相當長的時間來攻克這個問題。 利用在這一領域已被證明有效的實踐方法,，這將是個不錯的起點,，有利于整個生態(tài)體系在未來汽車安全的問題上開展合作。 汽車制造商可以通過指定和使用一些軟件和硬件技術來提供支持,，這些技術包括：

　　·基于硬件的可信執(zhí)行環(huán)境 (TEE),，比如應用處理器中基于ARM? TrustZone?的 GlobalPlatform TEE

　　·微控制器中基于 TrustZone 的 uVisor

　　·在硬件安全模塊 (HSM) 中運轉的安全子系統(tǒng)，比如 ARM TrustZone CryptoCell

　　針對 TEE 管理的新標準也在制定過程當中,，比如最近宣布的開放信任協(xié)議 (Open Trust Protocol),。 它利用 PKI/CA 以及簡化的 TEE 管理來管理和確保所有設備和服務供應商之間的信任。

　　移動的安全架構正在走向低成本的 MCU (針對 ARMv8-M 的 TrustZone 以及 ARM 最近發(fā)布的 TrustZone CryptoCell-312 安全 IP)，為汽車行業(yè)提供了真正的機遇,，首次嘗試建立基于硬件的安全的新層次,。

　　汽車在未來面臨著諸多挑戰(zhàn)，安全就排在第一位,，但整個行業(yè)還有時間做出正確的應對,。 汽車制造商非常重視這個問題，通過企業(yè)機構重組將安全技術集中到卓越中心,，而不是將它們四處傳播,，或是作為權益之計。 ARM 與整個供應鏈上的合作伙伴展開協(xié)作,，為安全知識與安全實施建立標準,，旨在讓下一代汽車變得更安全。