【導(dǎo)讀】要讓人們認(rèn)識(shí)到汽車網(wǎng)絡(luò)安全的重要性并不容易。隨著汽車向半自動(dòng)駕駛過渡,汽車主機(jī)廠 (OEM) 越來越關(guān)注汽車網(wǎng)絡(luò)安全問題。對(duì)汽車網(wǎng)絡(luò)實(shí)施控制的理由很明顯,目的是確保除了駕駛員(或在特定和約束條件下替代駕駛員的駕駛系統(tǒng))之外沒有人可以控制車輛。
要讓人們認(rèn)識(shí)到汽車網(wǎng)絡(luò)安全的重要性并不容易。隨著汽車向半自動(dòng)駕駛過渡,汽車主機(jī)廠 (OEM) 越來越關(guān)注汽車網(wǎng)絡(luò)安全問題。對(duì)汽車網(wǎng)絡(luò)實(shí)施控制的理由很明顯,目的是確保除了駕駛員(或在特定和約束條件下替代駕駛員的駕駛系統(tǒng))之外沒有人可以控制車輛。
2021 年,聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì) (UNECE) 工作組發(fā)布了 UN-R155,這是一項(xiàng)針對(duì) OEM 的網(wǎng)絡(luò)安全法規(guī),旨在應(yīng)對(duì)日益嚴(yán)重的網(wǎng)絡(luò)威脅。自 2022 年 7 月起,該法規(guī)對(duì) UNECE 成員國(guó)生產(chǎn)的新車型的審批具有約束力。這意味著汽車供應(yīng)商必須遵守 ISO 21434,以確保其所有網(wǎng)絡(luò)安全相關(guān)組件均符合該標(biāo)準(zhǔn)。當(dāng)然,采購(gòu)符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的零件并不能保證 OEM 符合 UNECE 標(biāo)準(zhǔn)。不過,這是朝著這個(gè)方向邁出的重要一步,使 OEM 在實(shí)現(xiàn)這一目標(biāo)的過程中處于更有利的地位。本文從先進(jìn)駕駛輔助系統(tǒng) (ADAS) 和車艙監(jiān)控應(yīng)用中使用的圖像傳感器的角度來探討網(wǎng)絡(luò)安全問題。
為何需要確保圖像傳感器的安全
在汽車中,有些位置很顯然應(yīng)實(shí)施網(wǎng)絡(luò)安全,包括網(wǎng)關(guān)、互連、信息娛樂系統(tǒng)或通過網(wǎng)絡(luò)連接的任何其他汽車子系統(tǒng)。然而,大家可能疑惑的是為什么圖像傳感器也需要網(wǎng)絡(luò)安全。隨著當(dāng)今對(duì)安全和駕駛輔助的重視,圖像傳感器就是車輛的“眼睛”。它們用于多種 ADAS 功能,例如車道偏離警告、行人檢測(cè)和自動(dòng)緊急制動(dòng) (AEB)。它們會(huì)評(píng)估汽車周圍的環(huán)境,并為融合系統(tǒng)提供信息輸入以做出決策。未來,它們將協(xié)助識(shí)別和驗(yàn)證汽車用戶的身份,并監(jiān)控用戶的生命體征。如果駕駛員喪失行為能力,車載計(jì)算機(jī)將能夠接管控制權(quán)。在這些情況下,汽車圖像傳感器必須具有出色的性能(高動(dòng)態(tài)范圍、低照度能力、色調(diào)辨別力等)并保持正常工作,特別是在車輛可能遇到的最極端情況下。由于汽車的安全將越來越依賴圖像傳感器,因此汽車的中央計(jì)算機(jī)需要經(jīng)過授權(quán)的正品零件才能與之交互。而且,還必須確保傳輸?shù)娜魏螆D像幀都沒有被篡改,并且所有幀都是由正品圖像傳感器生成的。此外,圖像傳感器應(yīng)當(dāng)只接受汽車系統(tǒng)而不是任何其他方的配置更改。以下用例說明了為什么汽車行業(yè)不能忽視因使用易受第三方篡改的冒牌圖像傳感器所帶來的威脅。
威脅 1:圖像傳感器被冒牌部件替換
AEB 系統(tǒng)依靠擋風(fēng)玻璃后面的圖像傳感器來檢測(cè)汽車前方的物體或行人。如果駕駛員沒有及時(shí)做出反應(yīng),該系統(tǒng)可以決定施加制動(dòng),以防止發(fā)生碰撞。AEB 系統(tǒng)的運(yùn)行前提是其圖像傳感器具有特定的特性(如高動(dòng)態(tài)范圍、低照度性能等),并且系統(tǒng)已根據(jù)這些規(guī)格進(jìn)行了校準(zhǔn)。如果用非正品或冒牌部件替換了原裝圖像傳感器,可能會(huì)損害系統(tǒng)性能。雖然替換件可能看起來與原裝件完全相同,但其性能和特性可能會(huì)大相徑庭。由于 AEB 系統(tǒng)針對(duì)原裝圖像傳感器進(jìn)行了優(yōu)化,因此替換件的不同特性將改變系統(tǒng)的性能。這意味著系統(tǒng)可能在距離幾米遠(yuǎn)時(shí)才能檢測(cè)到汽車前方的物體或行人,使系統(tǒng)沒有時(shí)間做出適當(dāng)反應(yīng),從而可能釀成悲劇性的后果。用仿冒品代替正品圖像傳感器,就好比讓視力不好的司機(jī)不戴眼鏡開車。
圖 1:用冒牌產(chǎn)品代替正品圖像傳感器的后果
威脅 2:圖像傳感器設(shè)置被修改
車輛系統(tǒng)經(jīng)過校準(zhǔn)和編程,可對(duì)圖像傳感器進(jìn)行最佳配置,以始終盡可能真實(shí)地呈現(xiàn)車前的場(chǎng)景。但是,如果有人(或物)修改了圖像傳感器的配置,其性能就會(huì)受到影響,以致于可能不再能保證汽車系統(tǒng)能夠正確、完全或最佳地感知汽車所面對(duì)的場(chǎng)景,這就相當(dāng)于向人類駕駛員的眼睛里投擲灰塵。
圖 2:篡改圖像傳感器設(shè)置的后果
威脅 3:圖像傳感器被繞過
圖像傳感器向圖像處理器提供原始視頻數(shù)據(jù),然后圖像處理器使用這些數(shù)據(jù)提取有關(guān)前方障礙物的關(guān)鍵信息,以便汽車能夠做出適當(dāng)?shù)捻憫?yīng)。例如,圖像處理器可以檢測(cè)到正在接近的車輛,然后從安全第一的角度來選擇是剎車還是駕駛汽車遠(yuǎn)離危險(xiǎn)。但是,如果有未經(jīng)授權(quán)方試圖通過修改或繞過圖像傳感器來篡改系統(tǒng),圖像處理器就無法再獲得反映真實(shí)場(chǎng)景的原始視頻數(shù)據(jù)。在這種情況下,系統(tǒng)可能無法再檢測(cè)到正在接近的物體。相反,圖像處理元件可能只能接收到?jīng)]有障礙物的暢通道路的循環(huán)圖像,其后果可能與人類駕駛員將視線完全從路面上移開一樣難以承受。
安森美 (onsemi) 的圖像傳感器符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
圖 3:圖像傳感器被繞過的后果
安森美于 2018 年開始在其圖像傳感器中加入網(wǎng)絡(luò)安全功能,時(shí)間甚至比 ISO 21434 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)發(fā)布還要早。最初,這樣做是為了滿足早期客戶的需求,但后來經(jīng)過逐步發(fā)展,匯聚成了寶貴的網(wǎng)絡(luò)安全專業(yè)知識(shí)。因此,安森美的圖像傳感器已經(jīng)為網(wǎng)絡(luò)安全做好了準(zhǔn)備。其中一個(gè)關(guān)鍵功能是身份驗(yàn)證,這使它們能夠向主機(jī)證明它們是正品,過程中需要使用證書鏈和預(yù)共享密鑰。另一個(gè)重要功能是,它們可以確保視頻數(shù)據(jù)的完整性,證明傳感器和系統(tǒng)之間的視頻數(shù)據(jù)流沒有被篡改。這種完整性是通過消息驗(yàn)證碼 (MAC) 提供的。此外,通過特定密鑰寄存器在嵌入式數(shù)據(jù)視頻線路上使用 MAC,可防止傳感器控制和配置數(shù)據(jù)被篡改。
網(wǎng)絡(luò)安全組件是實(shí)現(xiàn)汽車網(wǎng)絡(luò)安全的第一步
網(wǎng)絡(luò)安全合規(guī)性是汽車圖像傳感器的必備條件,以防止圖像傳感器成為外界入侵復(fù)雜汽車電子系統(tǒng)的特洛伊木馬。對(duì)于 OEM 而言,為了確保網(wǎng)絡(luò)安全合規(guī)性,需要的不僅僅是在圖像傳感器中添加網(wǎng)絡(luò)安全控制電路,但它們對(duì)于 ADAS 和車艙監(jiān)控系統(tǒng)實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全合規(guī)性至關(guān)重要。
(作者:Ludovic Rota,安森美產(chǎn)品營(yíng)銷經(jīng)理)
免責(zé)聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問題,請(qǐng)聯(lián)系小編進(jìn)行處理。
推薦閱讀:
什么樣的電源設(shè)計(jì),能讓無人機(jī)載荷更大、飛得更遠(yuǎn)?
從4個(gè)到256個(gè)通道,GaN技術(shù)如何創(chuàng)新5G基站系統(tǒng)的緊湊設(shè)計(jì)
羅姆:先進(jìn)的半導(dǎo)體功率元器件和模擬IC助力工業(yè)用能源設(shè)備節(jié)能
ST推出汽車級(jí)慣性模塊,助力汽車廠商打造經(jīng)濟(jì)高效的ASIL B級(jí)功能性安全應(yīng)用