构建安全的车辆连接网络

我们讨论的互联网车辆相关的话题，实际上可以开的很大，但是也可以缩的很小，涉及到的内容有多个方面，比如是车载娱乐或者是通讯信息，我想从半导体供应商的角度探讨一下，怎么样建立更安全的车载互联网。我是来自飞思卡尔半导体 的市场经理，我主要是负责汽车微控制器市场的工作。

简单的介绍一下飞思卡尔半导体，飞思卡尔在汽车领域有超过了50年的历史，有超过6000万的员工，覆盖汽车电子领域，网络领域和工业领域，包括了传统的工业 微控制器，数据网络的控制器，以及模拟器件等等，因为相关工作的原因，我会主要集中在汽车电子微控制器如何与车联网的环境合作上来说。

大家在讨论车联网或者是互联网车辆的时候，可能会从很多方面探讨，有三点是主要的趋势，首先是绕不开的娱乐系统，或者是交互式系统，以及车载信息系统，这可能都是一个内容，对应到的是车载上的一个中控设备。这是第一部分。

第二个就是通讯方面，这里面涉及到了大量的数据交互，这个也是车载领域非常重要的话题，要实现更多的数据跟踪以及车与车之间数据的交互，第三个是安全性，应该说在汽车电子产品领域中最重要的因素。安全的话，更多的是和人身的安全和设备本身功能上的安全相关，一旦出现了问题，直接导致的就是生命和财产会出现不安全的因素，比如是安全气囊，EBS和防侧翻系统。

另外一个如果是系统不安全的话，也会导致人身不安全。今天主要讨论，系统上的安全为什么这么的重要，可以从什么方面去考虑和防备它。

今天我们知道车联网之所以会被提出和应用，主要是因为当前的交通环境的原因，随着汽车工业的发展，老百姓的生活水平也提高，很多的交通事故的解决，比如是和交通服务相关的问题，比如是找停车位，租车，寻找更好的路线，都和我们的环境有关。

为什么需要考虑安全性呢？这里主要是从几个方面来说。首先是系统级的安全性，最终会影响人身安全，如果是驾驶的车辆和车子上的设备，能够被外部控制的话，最终导致的是汽车变得不再安全。汽车不安全的话，人身就会不安全，这种情况最好是不会发生，和人身安全一旦挂上关系的时候，话题会变得非常的严肃。

第二个是和系统的可靠性以及完整性相关的。在汽车行业里面，所有的零部件最终到消费者的手上是经过了大量的测试，经过了一系列的环境的测试，最终面向我们的市场，到消费者的手上，在这个过程中，汽车会出现故障，这个就是系统的可靠性。

在这些问题达到一定的安全等级的情况下，如果是某一个零部件没有问题情况，可以随意的修改和更换，比如是一些保护的程序和防火墙被随意的更改，那以前的测 试就被作废了。如果是发动机控制器被别人更换了，你无法发现，对消费者来说，也确实是无法发现的。我们不会知道车子上的某一个电控单元被更换了，如果是想 发现的话除非是有一些远程诊断自动的测试系统，否则对消费者来说很难发现，这些也会最终的影响我们的安全。最终会影响整个系统的安全。某一个设备不再可靠 的时候，整个系统的安全级别也会降低。

第三个和财务或者是经济性有相关性，比如说某一个控制器或某一个零部件，在车联的环境下被其他的部分更改，或者是有一些损失的话，那这个损失，会由谁来承担呢，一个是车厂本身会被索赔，第二是向保险公司索赔，你的保费会增加，最终就是消费者的消费成本会增加。

因为零部件，或者是模块保护的不够安全，导致的经济的损失，最终是用户和车厂来承担的。

最后一个是和车载互联环境更相关的，就是隐私和私密性。这个的话，我们相信大家暂时有一些体会了。可能是一个不经意的语言，一些言论，可能就被传到 了网上，引起了一系列的振动，这种情况是对比较高位的人来说的。但是对于普通的老百姓而言你可能也会有体会，比如是经常浏览的网站，经常做的某些搜索，会 在别的网站上出现，会记录你的习惯，你的消费习惯和轨迹，只是做一个推送广告的作用的话，大家只是稍微的有一点不舒服，但是不会特别的抵触，但是对个人行 为的记录，最终会影响相应的生活的话，那我们就不一定想它去公布。比如是有一些人因为工作的需要，经常要出入各种各样的场合，并不一定希望被其他的人知 道。

如 果是这种情况被人随意的记录和获取的话，就不会让大家开心了。所以这里面会涉及相关的安全性的，在获取信息的过程中，可能是从你意想不到的角度，不一定是 从Wifi或者是3G，4G，而是从一些安全相关的零部件，比如是胎压监控。胎压监控是非常重要的一个零部件，已经逐渐的在发达国家作为一个强制的零部 件，因为在高速的行驶过程中，发生了爆胎会非常的危险，所以加上胎压监控，可以大大的提高爆胎的预警性和防范的能力更强，所以胎压预警是很重要的事情，外 部也可以通过这个，把轮胎的信号通过Wifi，发送到主机的过程中，就会被人侵入。

这是一个大学的实际的案例，可以通过相应的程序侵入，导致汽车环境被控制。本身的安全性最终会和我们的人身安全和系统的安全，以及经济性，最终和我们的私密性都会相关。

那 么对于一个系统来说的话，我们要防范它的安全，或者是安全被侵入的入口点，在现在的这个环境下已经是很多了，未来的话，我们车载互联的进一步的应用的话， 会比现在更多，这里举了几个主要的例子，比如是因为汽车和基站或者是外部的基础设备的通讯，这个过程中可能会被侵入，和轮胎信号的通讯，可能会被侵入，车 和车之间，车载有一个V2V和V2X在这个过程中，一定是会被外部侵入的，比如是动力总承系统，其他的一些零部件的设备等等，这些环境最终都会导致潜在安 全性的问题所在。

从 我们的角度引入了为什么安全性如此重要，可以从哪一些方面导致系统不再安全，下面的话，可能会用飞思卡尔的一款产品给大家做一个相应的串接，用什么方法提 高安全性。飞思卡尔有一个产品是飞思卡尔发明的产品，当时是苹果公司，IBM公司和摩托罗拉共同创立的架构。另外的二家公司已经不做半导体了，真正的做半 导体的只有飞思卡尔半导体公司，我们的产品从90年代一直到现在，不断的提升安全性，在安全加密上的技术，也经过了四五代的发展，到现在为止，有专门的硬 件安全模块。到这一代安全性会比以前大大的提高。

业 界也有一些相关的技术联盟和规范，这里举了一些规范，飞思卡尔半导体在安全规范上的设计，比如是SHE的规范和EVITA的规范，前面一种是宝马通用大量 的采用，后面一种也有一些欧洲的公司在参与。飞思卡尔半导体在这一块，对于第一个规范SHE的规范，我们采用了一项专门的CSE模块来实现，在2011年 的产品中，就实现了相应的内容，2012年以后的新产品，我们的模块进一步的升级。这些模块最终的目的就是符合相应行业的安全规范，并且能够进一步的提升 我们的安全效果。

我 们整个的安全架构的话，可以看成是多层次的金字塔的架构，可以从各个层面上提高我们的安全性，但是有一点，毕竟我们提供的是一个芯片，可以体现的安全性更 多的是体现在底层，如果是物理层的安全，大家还需要用其他的手段来做到，或者是这么一个安全性的问题，很可能是多个不同的行业和产业之间共同的致力实现 的。

从芯片的这个领域来说，我们可以提供更高级更安全的监测的模块，或者是所有的储存的单元，比如是Flash，会有一些模块的监控机制，会设置一些相应的安全的入口和调试入口，在应用程序提供相应的加密机制。从程序化的角度提供相应的安全性。

我 们的仪表上，有一个信息就是我们的里程信息，可以被认为是记录这个车使用年限的标志，如果是里程信息是0，说明是一辆信息，里程信息是我们写程序的时候， 如果是不做加密的话，一个专业的工程师就可以对这些信息进行修改，导致的就是你手上拿到的这个车的里程信息是假的，可能是跑了五万，十公里的车，作为一个 新车来处理。要改变它非常的简单，所以需要进行一系列的安全措施，所以各个行业对这个安全度关注的这么高的原因。

我们在这一块安全性的模块上，我们虽然是有不同的模块，这里也有一些产品的名称，我不去念了，如果是大家从事这个行业的话，可能不用我说大家就会知道，有兴趣做一些相应的产品的话，你们可以在后面和我们公司的相关的人进行联系。

我 们的产品对应的是有不同的安全性的模块，有CSE，HSM，TDM 和HAB，恢复和不同的规范。对应的加密的机制也会有所区别，在我们的产品线上也会有所区别。新一代的产品上，未来开发的产品中，我们会全部的符合相应的 安全规范，安全这个安全性在国际和国内，也是被大家越来越重视的。

整个相应的安全性和保护性上，可以在我们各个开发的生命周期中起到相应的保护的作用，从芯片的应用开发到汽车量产和现场的调试和维护，都可以在安全性上发挥它的相应的作用，保护我们的软件IP。

飞 思卡尔在汽车电子领域应该说也是我们一直致力于汽车电子领域的工作，汽车电子的市场，飞思卡尔目前是排全球第二，北美是全球第一，所以我们也算是 在行业里面比较领先的地位，在新技术的采用上，我们也是愿意更多的参与，尤其是安全性这一个角度而言，我们已经是走在非常的前列，在很早阶段的时候，我们 已经参与进去，对于国内来说的话，这种意义上的安全，首先来说，没有被强制，没有任何一个法规，要求你设计出来的产品符合某一个安全级别。

没 有强制的话，自然而然受到的重视就不会太多，但是另外一方面我们也看到，谈论互联网车和谈论车联网的话，消费者最关注的是安全，娱乐性都是排在第二位的， 因为中国的安全系数是相对来说比较低的。更不希望因为有一些不可控的安全更降低这个安全系数，我们也相信一旦车联网不断的往前发展的时候，安全性的要素会 提的很高。

后 面的话我们花一点时间来举一个产品的例子，这个是产品是MPC574XC的一个面向网关系统的核心芯片，还有几个和汽车相关的，比如是低功能和安全性，同 时是兼顾到了二个安全性。一个是更多的和功能安全相关，比如是产品出现故障的概率要被控制在一定的数值，故障一旦发生危害的范围要控制在一定的范围，现在 的ISO26262的规范，这个我就不准备再展开了，我们的产品也会兼顾这么一个安全性。

象 5748G系统产品，从E200的双核到专门的监控备份核，最高是有3个内核，如果是某一个核工作不正常了，或者是不工作的话，需要有一个其他的核能够检 测到这个状态，还需要有核恢复到这个状态，这样子才可以让安全性达到一定的标准。另外的话，所有的存储的资源上，我们都会在写代码的过程，随时可以对代码 进行校对和修正。比如是有传统的以太网的接口，USB的接口，我们现在谈论相应的车载互联，谈论各种接口的目的，对消费者来说就是为了提供相应的一系列的 服务，象USB是为了接入外部的设备，体现在芯片的级别上，就一些通讯协议层的接口，所以为了应对下一代的需求，在外设上会大大的丰富，完成一系列的工作 场景。

这 个芯片是可以实现SLB的。通常是会应用在车身的应用中，安全级别对于一个汽车来说，安全级别最高的一定是动力总成，如果是这些系统出了问题的话，汽车就 直接损坏了，如果是开车的过程中，变速箱不起作用，那是很可怕的事。对于车身系统的话，比如说你的仪表，你的空调，车窗，车灯等等，如果是发生了故障的话 对人身的安全的影响，不如那些设备这么的大，比如是仪表坏了，可以赶紧停车，就不会有什么问题。或者是空调坏了，好像也不是特别的危险，所以安全的级别会 相应的级别到SILB的这个界别，这个也是国际上的一个级别。

在 实践上用到的模块主要是HSM的模块，可以实现符合HSE的安全规范，在芯片上可以看到一个基本的架构，所有的加密的过程和校验和一系列的检验的过程，是 在一个封闭的环境中完成的，这个环境是在整个内存空间中开辟出的一个独特的Flash的空间，如果是没有这个入口的话，进入不到相应的环境中，更不要谈修 改相应的代码，在正常的加密的基础上，首先是要打开保险箱，然后破译里面相应的内容，这个是在安全性上进一步的提高安全的措施。

这 是展示我们的芯片如何实现检验和校对。比如说你的车子上的某一个电控的单元被更换了，如果是没有特别的措施的话，我们的消费者都是看不到的，从主设备中可 以产生相应的随机数发送给从设备，从设备产生一系列的密钥进行加密传送给主设备，如果是对比数据是一致的话，认为这个数据是正确的，如果不一致就是有问 题，作为判断更换的机制。这个就是涉及到我们的加密和随机数。这个产品可以应用到我们的多个环境。

最后简单的说一下安全性，从更高的角度符合我们的更高的规范，能够提供更好的连接性，我今天介绍的内容就到这里，谢谢大家。

（文章来源：盖世汽车网）