“要让人们认识到汽车网络安全的重要性并不容易。随着汽车向半自动驾驶过渡,汽车主机厂 (OEM) 越来越关注汽车网络安全问题。对汽车网络实施控制的理由很明显,目的是确保除了驾驶员(或在特定和约束条件下替代驾驶员的驾驶系统)之外没有人可以控制车辆。
”作者:Ludovic Rota,安森美产品营销经理
要让人们认识到汽车网络安全的重要性并不容易。随着汽车向半自动驾驶过渡,汽车主机厂 (OEM) 越来越关注汽车网络安全问题。对汽车网络实施控制的理由很明显,目的是确保除了驾驶员(或在特定和约束条件下替代驾驶员的驾驶系统)之外没有人可以控制车辆。
2021 年,联合国欧洲经济委员会 (UNECE) 工作组发布了 UN-R155,这是一项针对 OEM 的网络安全法规,旨在应对日益严重的网络威胁。自 2022 年 7 月起,该法规对 UNECE 成员国生产的新车型的审批具有约束力。这意味着汽车供应商必须遵守 ISO 21434,以确保其所有网络安全相关组件均符合该标准。当然,采购符合网络安全标准的零件并不能保证 OEM 符合 UNECE 标准。不过,这是朝着这个方向迈出的重要一步,使 OEM 在实现这一目标的过程中处于更有利的地位。本文从先进驾驶辅助系统 (ADAS) 和车舱监控应用中使用的图像传感器的角度来探讨网络安全问题。
为何需要确保图像传感器的安全
在汽车中,有些位置很显然应实施网络安全,包括网关、互连、信息娱乐系统或通过网络连接的任何其他汽车子系统。然而,大家可能疑惑的是为什么图像传感器也需要网络安全。随着当今对安全和驾驶辅助的重视,图像传感器就是车辆的“眼睛”。它们用于多种 ADAS 功能,例如车道偏离警告、行人检测和自动紧急制动 (AEB)。它们会评估汽车周围的环境,并为融合系统提供信息输入以做出决策。未来,它们将协助识别和验证汽车用户的身份,并监控用户的生命体征。如果驾驶员丧失行为能力,车载计算机将能够接管控制权。在这些情况下,汽车图像传感器必须具有出色的性能(高动态范围、低照度能力、色调辨别力等)并保持正常工作,特别是在车辆可能遇到的最极端情况下。由于汽车的安全将越来越依赖图像传感器,因此汽车的中央计算机需要经过授权的正品零件才能与之交互。而且,还必须确保传输的任何图像帧都没有被篡改,并且所有帧都是由正品图像传感器生成的。此外,图像传感器应当只接受汽车系统而不是任何其他方的配置更改。以下用例说明了为什么汽车行业不能忽视因使用易受第三方篡改的冒牌图像传感器所带来的威胁。
威胁 1:图像传感器被冒牌部件替换
AEB 系统依靠挡风玻璃后面的图像传感器来检测汽车前方的物体或行人。如果驾驶员没有及时做出反应,该系统可以决定施加制动,以防止发生碰撞。AEB 系统的运行前提是其图像传感器具有特定的特性(如高动态范围、低照度性能等),并且系统已根据这些规格进行了校准。如果用非正品或冒牌部件替换了原装图像传感器,可能会损害系统性能。虽然替换件可能看起来与原装件完全相同,但其性能和特性可能会大相径庭。由于 AEB 系统针对原装图像传感器进行了优化,因此替换件的不同特性将改变系统的性能。这意味着系统可能在距离几米远时才能检测到汽车前方的物体或行人,使系统没有时间做出适当反应,从而可能酿成悲剧性的后果。用仿冒品代替正品图像传感器,就好比让视力不好的司机不戴眼镜开车。
图 1:用冒牌产品代替正品图像传感器的后果
威胁 2:图像传感器设置被修改
车辆系统经过校准和编程,可对图像传感器进行最佳配置,以始终尽可能真实地呈现车前的场景。但是,如果有人(或物)修改了图像传感器的配置,其性能就会受到影响,以致于可能不再能保证汽车系统能够正确、完全或最佳地感知汽车所面对的场景,这就相当于向人类驾驶员的眼睛里投掷灰尘。
图 2:篡改图像传感器设置的后果
威胁 3:图像传感器被绕过
图像传感器向图像处理器提供原始视频数据,然后图像处理器使用这些数据提取有关前方障碍物的关键信息,以便汽车能够做出适当的响应。例如,图像处理器可以检测到正在接近的车辆,然后从安全第一的角度来选择是刹车还是驾驶汽车远离危险。但是,如果有未经授权方试图通过修改或绕过图像传感器来篡改系统,图像处理器就无法再获得反映真实场景的原始视频数据。在这种情况下,系统可能无法再检测到正在接近的物体。相反,图像处理元件可能只能接收到没有障碍物的畅通道路的循环图像,其后果可能与人类
驾驶员将视线完全从路面上移开一样难以承受。
安森美 (onsemi) 的图像传感器符合网络安全标准
图 3:图像传感器被绕过的后果
安森美于 2018 年开始在其图像传感器中加入网络安全功能,时间甚至比 ISO 21434 网络安全标准发布还要早。最初,这样做是为了满足早期客户的需求,但后来经过逐步发展,汇聚成了宝贵的网络安全专业知识。因此,安森美的图像传感器已经为网络安全做好了准备。其中一个关键功能是身份验证,这使它们能够向主机证明它们是正品,过程中需要使用证书链和预共享密钥。另一个重要功能是,它们可以确保视频数据的完整性,证明传感器和系统之间的视频数据流没有被篡改。这种完整性是通过消息验证码 (MAC) 提供的。此外,通过特定密钥寄存器在嵌入式数据视频线路上使用 MAC,可防止传感器控制和配置数据被篡改。
网络安全组件是实现汽车网络安全的第一步
网络安全合规性是汽车图像传感器的必备条件,以防止图像传感器成为外界入侵复杂汽车电子系统的特洛伊木马。对于 OEM 而言,为了确保网络安全合规性,需要的不仅仅是在图像传感器中添加网络安全控制电路,但它们对于 ADAS 和车舱监控系统实现全面的网络安全合规性至关重要。
分享到:
猜你喜欢