安全成自動駕駛設(shè)計首要基礎(chǔ)。因應(yīng)此一趨勢，半導(dǎo)體業(yè)者紛紛推出各種感測元件，以確保行駛安全性。與此同時，半導(dǎo)體廠商及車廠也持續(xù)強化處理器及聯(lián)網(wǎng)系統(tǒng)的安全防護性能，以便打造內(nèi)外都安全可靠的自駕車。

　　自動駕駛安全性越來越受重視，為提升自駕車整體安全性，半導(dǎo)體廠商致力發(fā)展各式感測元件，車廠與系統(tǒng)廠則致力于感測器融合之技術(shù)發(fā)展，以確保行車安全。另一 方面，強化自駕車內(nèi)元件效能，以打造更安全的自駕車，也是目前極力發(fā)展的方向之一。隨著車上配備的感測器元件越來越多，如何使汽車處理器針對車用感測器傳 來的資訊，即時做出正確的分析，并防止駭客入侵、竊取資料將是未來自動駕駛發(fā)展重點。

　　車聯(lián)網(wǎng)時代到來　保密防駭少不了

　　圖1　高通產(chǎn)品市場高級總監(jiān)葉志平表示，因應(yīng)車聯(lián)網(wǎng)需求，高通推出Snapdragon 820A車聯(lián)網(wǎng)參考平臺，具備高可擴充性。

　　因應(yīng)車聯(lián)網(wǎng)時代，不少半導(dǎo)體業(yè)者已經(jīng)紛紛推出相關(guān)聯(lián)網(wǎng)解決方案以搶攻市場商機，例如高通（Qualcomm）便利用旗下Snapdragon 820A設(shè)計一個車聯(lián)網(wǎng)參考平臺。

　　高通產(chǎn)品市場高級總監(jiān)葉志平（圖1）表示，此一平臺的設(shè)計概念包括以下幾點：第一，該公司想使用一個具有可擴充性的方式，讓不同的特性可以被應(yīng)用在同一個平臺上，讓它有所延伸，如果須要換射頻、藍牙、Wi-Fi、GPS或4G到5G的時候變得非常簡單。

　　第二，在有多種無線技術(shù)共存的情況下，OEM（原始設(shè)備制造商）設(shè)計最難的部分就是解決非常復(fù)雜的相互干擾。該公司做的參考設(shè)計能解決干擾的問題，從而讓多 個無線技術(shù)同時存在?；旧弦恍﹤鹘y(tǒng)的連接功能可能都放在電子控制單元（ECU）上面，或者資訊娛樂上。高通現(xiàn)在做的車聯(lián)網(wǎng)參考平臺可以把所有天線、 Wi-Fi及射頻都集中在車里放置天線的部位，讓這些汽車OEM在設(shè)計中控的時候，可以將所有的射頻無線電放在一起。如果須更新這些連接技術(shù)，只須更換這 個車聯(lián)網(wǎng)參考平臺就可以，而中控系統(tǒng)、螢?zāi)患败嚴锩娴钠渌麞|西不用再更新。

　　然而，車聯(lián)網(wǎng)就跟智能手機，或是IoT市場一樣，都須要 確保資料傳輸過程中不受駭客入侵影響。針對此一需求，高通也備有相關(guān)技術(shù)，如SmartProtect技術(shù)，提供在裝置上的即時惡意軟體偵測、分類與來源 分析，以彌補傳統(tǒng)惡意軟體解決方案的不足，更能分析與辨識更新特征前的新威脅。其余還有Sense ID指紋技術(shù)、SafeSwitch防盜技術(shù)，以及StudioAccess內(nèi)容保護技術(shù)等。

　　圖2　英飛凌汽車安全市場經(jīng)理王龍飛指出，為防止駭客攻擊，MCU搭配硬體安全模組（HSM），可增強資訊防護效用。

　　除高通之外，針對車類聯(lián)網(wǎng)防護，英飛凌（Infineon）也備有相關(guān)安全防護措施。英飛凌汽車安全市場經(jīng)理王龍飛（圖2）指出，為防止駭客攻擊，目前車內(nèi)的微控制器（MCU），都須具備安防效能。

　　例如，英飛凌旗下AURIX系列微控制器，皆整合了一個硬體安全模組（HSM），以滿足未來車聯(lián)網(wǎng)的各種安全和保護需求。此一HSM采用英飛凌自行開發(fā)的加密技術(shù)，可確實防止駭客入侵行為，避免資料遭竊取。

　　與此同時，隨著車聯(lián)網(wǎng)的興起，加上這幾年發(fā)生不少起汽車遭駭客入侵事件；由歐洲主要車廠組成的EVITA聯(lián)盟，也因駭客事件加速了安全硬體擴展 （Security Hardware Extension， SHE）與硬體安全模組（Hardware Security Module， HSM）等相關(guān)規(guī)定的制定進程。目前已有許多車廠投入車身網(wǎng)路的安全機制設(shè)計，SHE將率先于2018∼2019年后的車種全面普及。

　　圖3　瑞薩行銷事業(yè)部汽車應(yīng)用行銷部主任黃源旗透露，針對EVITA聯(lián)盟的規(guī)定，該公司已推出ICUS硬體，以呼應(yīng)HSM的需求。

　　臺灣瑞薩電子（Renesas Electronics）行銷事業(yè)部汽車應(yīng)用行銷部主任黃源旗（圖3）分析，車廠所設(shè)計的汽車，如果層層防護沒有做好，就很容易被駭客入侵。理論上，車身網(wǎng)路會有一個實體的系統(tǒng)架構(gòu)，由SoC通往MCU，再通往車身網(wǎng)路。

　　由于SoC所需的安全等級比較低，會用一個簡單的機制和MCU進行溝通，如傳輸影像、資料等，但若系統(tǒng)設(shè)計得過于簡單，便能讓駭客得以恣意去更新韌體，更新完畢后，將可以直通車身網(wǎng)路，而車身網(wǎng)路若又沒有經(jīng)過加密，就可以送一個假的命令（Command）去控制汽車。

　　所以駭客破解三個地方，第一個是SoC安全性，第二個是系統(tǒng)架構(gòu)沒有設(shè)計好，第三個是沒有加密的車身網(wǎng)路。MCU像是一個防火墻，如果設(shè)計良好，將有能力把許多惡意攻擊擋在外面。

　　因此，黃源旗表示，車廠現(xiàn)已開始要求芯片廠，要在芯片加上這樣的加密機制，針對EVITA聯(lián)盟的規(guī)定，瑞薩所推出ICUS硬體便是呼應(yīng)SHE的需求，之后2018∼2019年后的車種，將全面采用此種安全機制，而開發(fā)中的ICUM硬體，則是呼應(yīng)HSM的需求。

　　ICUS 是一個比較簡單的機制，里面會有車廠所放的密鑰，采對稱式加密。當收到封包時，會先丟到里面來，跟加密/解密的單元告知，要用哪一支鑰匙去解密；解完之 后，MCU再處理；處理完之后，再放進來，加密完之后再丟出去，確保車身安全通訊的安全性。因為現(xiàn)在車身通訊都是透過明碼傳輸，只要去量測，就可以知道每 個位元代表什么意思。

　　汽車來講的話，一般使用ICUS便十分足夠，例如檔位訊號、測速訊號，使用此一組較低安全性的密碼，即可做到安全防護。而ICUM則是應(yīng)用在車身閘道器、車身控制器、引擎控制器、EPS這類需求較高的元件，進一步將MCU跟車身網(wǎng)路之間的資料作連結(jié)。

　　ICUM 里面有一個獨立芯片，電源啟動時，會先去確認MCU里的韌體、資料是不是都是正確的，并會有一個簽章的動作，檢查程式是否有被竄改過，確認無誤后才會去執(zhí) 行程式，安全等級就會再高一層。另外，因為它是另一顆MCU，因此還可以做其他比較復(fù)雜的運算，像是密碼如果一直都是同一組，且一直使用的話，可能被逆向 工程破解，其可在中間產(chǎn)生不同的密鑰，像是一次性的密碼，來有效防止這樣狀況發(fā)生。