CAN總線加密的Trillium將可能成為汽車安全防護的好把式

一直以來，大家都認為CAN總線幾乎是沒法保護的。但Trillium的SecureCAN顯然打破了這個“迷信”。

汽車安全領域的技術產品正在變得炙手可熱。大量創(chuàng)業(yè)公司涌入，潛心技術開發(fā)的同時，都期待著能成為大公司收購的下一個目標。去年夏天，白帽黑客查理·米勒和老搭檔克里斯·瓦拉塞克入侵了一輛Jeep切諾基。幾乎是同一時間，通用安吉星的RemoteLink系統被爆安全漏洞，黑客利用系統網關能夠遠程操控車門解鎖，發(fā)動機啟停。下圖是英特爾公布的目前聯網汽車上暴露出的15個最容易被黑客利用的攻擊面。

因此，照目前的形勢來看，車企和供應商在智能互聯、自動駕駛汽車上投入的精力越多，他們對安全的重視程度就越高，而網絡安全對汽車產業(yè)朝著智能化、自動化方向發(fā)展更是起到舉足輕重的作用。

車云菌在去年《CES前瞻：2016年，這七家「小公司」才是汽車科技的風向標》這篇文章中曾介紹過日本創(chuàng)業(yè)公司Trillium，對它的汽車安全防護工具「SecureCAN」進行了簡單說明。而如今車聯網、自動駕駛發(fā)展正盛，作為專注于汽車安全領域的創(chuàng)業(yè)公司，Trillium是如何看待智能互聯汽車的安全問題的?它的產品有何競爭力?未來又會采取怎樣的技術發(fā)展路線?別著急，我們和Trillium的首席執(zhí)行官David M. Uze聊了聊，下面一定有你想要的答案。

嗨，這就是Trillium

Trillium由前飛思卡爾日本分公司總裁David Uze創(chuàng)辦，總部位于日本名古屋市。去年秋天，Trillium帶著「SecureCAN」技術“闖入”汽車安全領域。這款叫做「SecureCAN」的汽車安全防護工具，它既能為CAN總線加密同時也可進行密鑰管理，保護系統的有效載荷不超過8個字節(jié)。這項技術的關鍵在于，SecureCAN能夠在“8 字節(jié)”的范圍內對數據進行處理，并沒有使用AES加密算法Rijndael需要的128bit加密位。

Uze認為由于缺少面向ECU網絡的安全解決方案，而CAN又是汽車系統中原生未加密的總線，并不經過任何安全處理。因此，黑客完全可以通過CAN總線獲取控制汽車轉向、剎車等功能的權限。正因如此，CAN總線也變成了很多黑客肆意作亂的「樂土」。此外，局域互聯網絡LIN中的保護間隙，通常用來控制后視鏡、車窗或天窗，很有可能成為黑客入侵CAN總線的“后門”。

長期以來，幾乎整個汽車界都有這樣的共識：CAN總線是沒法保護的。兩方面的原因，其一，ECU的計算處理能力不足;其二，車載網絡的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit，但AES使用的加密算法只能處理16字節(jié)區(qū)塊的數據，這意味著很多時候LIN總線根本就是處在“裸奔”的狀態(tài)。

David Uze在接受記者采訪時介紹，由于使用了超輕重量的塊加密器，SecureCAN能夠對CAN和LIN總線信息進行實時加密。而值得一提的是，其中對稱的區(qū)塊加密器和密鑰管理系統又使得SecureCAN能夠在1毫秒的閥值內完成「加密、傳輸和解密」過程。這對汽車CAN總線能否實時加解密，至關重要。

自去年秋季推出SecureCAN樣品之后，Trillium這一年都在不斷地完善這款安全防護工具。盡管最初的SecureCAN樣品使用了ARM Cortex M4處理器，但由于芯片供應出了問題，Trillium之后不得不選擇ARM Cortex M0/M01，但失去了浮點運算卻還想要實現SecureCAN預設的功能，對Trillium而言實在是個不小的挑戰(zhàn)。

據車云菌了解，最新的SecureCAN測試版本增加了公共密鑰技術，使用Diffie-Hellman密鑰交換算法來生成密鑰。下圖為SecureCAN的信任鏈root。

SecureCAN只是第一步

顯然Trillium的「SecureCAN」技術方案已經解決了之前認為是“不可能”的問題。不過David Uze同時也預見到了OEM主機廠和一級供應商提出的更高要求。他們希望得到一整套的安全防護技術解決方案，不僅僅是車載網絡，像V2V/V2I通訊、 OTA升級系統、智能防火墻等都能得到嚴密的保護。

2016年6月30日，Trillium拿到了500萬美金A輪融資，自然它的產品目標也“水漲船高”。除CAN總線外，Trillium也在努力將 FlexRay和LIN總線的保護納入整個車載網絡防護體系中。此外，Uze表示Trillium利用這筆投資對現有的工程資源進行了整合，為保證所有的項目均能并行運營，這其中包括入侵探測和防護系統(IDS/IPS)、OTA軟件升級解決方案的研發(fā)。

按照Uze為Trillium設定的目標，Trillium未來將提供一系列基于“同一平臺、統一API端口”開發(fā)的汽車安全技術。SecureCAN將于本月展開實車測試。一輛日系車(Uze拒絕透露品牌及車型)將搭載Trillium的SecureCAN/以太網技術。明年一月份，Trillium將在車內展開SecureFlexRay/LIN技術的測試工作。(FlexRay總線通常用來傳輸和ADAS傳感器相關的數據)。此外，根據Trillium的規(guī)劃，最晚將于2017年底開始進行入侵探測和防護系統(IDS/IPS)、OTA空中升級技術的測試。

汽車網絡安全涉及的三大領域

汽車信息安全的多重攻防戰(zhàn)

不過Uze也表示“保護CAN總線并非汽車產業(yè)應對網絡安全問題的唯一良策”。他認為對未來的互聯汽車而言，應采取多種不同的安全防護措施。

此前，在問及對“CAN總線加密”的看法時，恩智浦汽車事業(yè)部安全架構師Timo van Roermund表示，“密鑰管理是其中最重要的一部分，特別是在用來保護ECU之間互傳信息時，十分關鍵”。不過Roermund也指出，不同的主機廠可能會選擇不同的車內網絡架構管理方案，而密鑰管理也并無所謂的“標準方法”可言。

下面是車云菌整理的一些，目前主機廠和供應商采取的，較為主流的網絡安全防護措施。

1. 使用防火墻將車內電子系統和外部交互界面隔離;[!--empirenews.page--]

2. 使用較為嚴格的訪問控制機制，只對已知或已授信的來源開放或半開放車內系統的訪問權限;

3. 進一步對車內網絡進行改造，將其中具有相同臨界值的系統放置于獨立的網絡中，最好將一些涉及安全的關鍵系統隔離開來;

4. 使用密碼系統(驗證或編碼加密)保護車內系統流通的數據;

5. 使用入侵探測/防護系統(IPS/IDS)對潛在黑客攻擊進行探測預警;

6. 使用安全啟動、升級及其他措施保護ECU(微型控制器和其他軟件)。