汽车厂商三大问，如何解决车用电子系统安全隐患？

物联网快速发展，不断带来新的可能，人们的生活、工作以及娱乐方式也随之改变，而在物联网更紧密串联起世界的同时，黑客和其他安全漏洞带来的风险也不断激增。如今人们虽已充分认识到保护日常联网设备安全的重要性，并高度重视自己手机和电脑的信息安全。但车联网的安全性却仍然常被忽略。事实上，近些年来智能网联汽车的安全漏洞已经成为了急需解决的问题。

即使作为市面上最领先的智能汽车之一，特斯拉Model 3也无法避免因联网而产生的安全威胁。早在2019年3月，黑客就瞄准了特斯拉的车载信息娱乐系统，利用渲染器中的JIT漏洞控制该系统。尽管这次攻击属于事先授权的演习，最后并没有给车主带来风险，但却暴露了汽车电子系统的安全漏洞。如果汽车想要向更智能的方向发展，并与世界上日益增长的物联网基础设施相连接，就必须解决这一弱点。

新时代汽车应用推动更高标准的信息安全与人车安全需求

随着智能汽车的蓬勃发展，现今的汽车搭载了越来越多的先进电子功能，包括先进驾驶辅助系统 （ADAS）、网关、动力传动系统、信息娱乐系统、V2V和V2X等。这些新功能对联网信息安全（security）及人车安全（safety）都有极高的要求，而闪存作为这些系统的关键组件，其安全性更是成为了焦点。

经历了数十年的应用发展，闪存目前已被广泛应用在车用电子市场。然而当前应用最广的嵌入式闪存解决方案主要基于传统的技术和体系架构，并没有适当的认证来确保它的安全与防护功能，因此其潜在的巨大安全风险不容忽视。

而在汽车系统中，人车安全是ISO 26262标准规定在可容忍风险水平下系统必须具备的最基础要求。在过去，这些风险主要由汽车制造商和子系统供应商负责，但随着汽车电子产品的日渐复杂， IC制造商在功能安全的保障中也扮演了重要的角色提出了要求，其中就包括保障关键代码和数据的闪存安全。

汽车电子系统的信息安全从本质上来说就是隐藏信息并对所有数据进行加密处理，以防止黑客通过侧通道（side channel）等复杂的机制窃取车辆与车主信息。因此，存储在闪存阵列中的数据必须混合加密，且通信通道也必须进行高度加密。汽车电子系统的人车安全则体现在完全的可观测性，错误检测和最大限度信息透明化建立原则。而除了存储在闪存中的数据需经过验证，闪存本身也应有不良率趋近于0 DPPM的高品质。此外，还要能通过缺陷分析提升品质及检测故障根本原因。

汽车厂商无法回避的问题

汽车和汽车电子系统制造商必须提前考虑到棘手的问题有哪些，而不是在发生安全漏洞之后才进行检讨。汽车制造商可以自行选择他们想要采用的闪存技术类型，而这一选择将在消费者开车上路后起到关键作用——是保护汽车安全或是将其暴露在危险当中。因此，在您决定信任并使用某个闪存产品来保证您的产品安全之前，请思考以下几点：

闪存技术是否通过CC EAL5＋认证？属于什么级别？

没有通过国际认证的安全解决方案并不是真正安全和可信的。通过CC EAL5＋ 认证意味着闪存能满足包括 V2V 和 V2X 在内的任何汽车应用的最高安全要求。在这一最高等级的防护下，体系架构甚至可以检测到数据中最微小的非授权更改，同时立即向主机报告，并且此报告机制是无法被阻挡的。无论是出于恶意攻击还是系统故障，其存储的数据均被保护，不接受任何未经授权的修改。此外，闪存阵列还应受到CRC检测码的额外防护，而闪存逻辑中也应含有能检测出任何异常状态的复杂逻辑。同时，SPI接口协议还增加了一层加密和错误检测功能，在保证安全性的同时也避免出错。

您采用的闪存解决方案的制造商是否通过了ISO 26262安全认证？

2011年发布的ISO 26262《道路车辆功能安全》国际标准是验证汽车电子供应商是否满足ASIL（automotive Safety Integrity Level）要求的重要认证指标。ISO 26262汽车安全认证包括对整个汽车产品生命周期的功能安全，从概念阶段到完整系统、硬件和软件的设计与验证、制造、使用、维护和退役服务的管理。ISO 26262 ASIL－D认证代表了最高级别的风险管理，使用这个等级产品的电子组件或系统也符合了目前国际上最严格的安全要求。而用来存储车用关键功能代码的汽车闪存设备亦应满足这样高等级的安全要求，并通过提供高度可靠的代码存储方式来降低汽车的安全风险。

您的安全方案是否可以进行升级和可编程设计？信任根是如何执行的？您的安全解决方案是否支持平台固件保护及恢复（Platform Resiliency）？

安全解决方案是否支持平台固件保护及恢复功能是相当重要的，这样才能够随着时间的推移不断发展并进行调整，保护系统不受破坏。使用传统ROM（Read－only Memory）或嵌入式闪存（Embedded Flash）的MCU和SoC，其安全与防护性需通过软件实现，而信任根代码存储在ROM中，使得这些系统既无法针对未来的安全攻击做防护升级，也不具备系统恢复力。相比之下，现在更新的可编程设计安全闪存解决方案，其安全性通过软件与硬件同时实现，使信任根可以不断更新与升级，以应对不断扩张的威胁范围，并且提供平台固件的保护及恢复功能。

综合上述所有原因，新一代的闪存解决方案显然更能保障汽车系统的安全，它能使代码和数据在安全区域和SoC或MCU之间通过加密的SPI标准接口做传输。在不久的将来，网络攻击将变得普通且复杂，相关法规也会随之更加严谨，而为了符合各项的汽车安全准则和标准，安全性更高的闪存解决方案将变得不可或缺。

未来汽车的发展趋势

从车身到动力系统，再到信息娱乐系统，电子设备在当今汽车的每一个部分都扮演着至关重要的角色。随着消费者对汽车的安全性、信息安全防护、信息娱乐功能、舒适型和便利性等要求不断增高，加上燃油价格也不断提高的同时，未来的汽车必将配备更多的电子元件，而闪存等汽车领域核心技术的安全需求是否可达到最高级别的安全防护水平，也将成为大家关注的重点。况且随着科技的快速发展，黑客带来的安全威胁也越发复杂，半导体制造商们更是加快脚步开发更先进有效的解决方案来抵御攻击。在未来，汽车的安全防护绝对不会是人们想在自己车上节省开支的部分。