警惕傳感器漏洞- 汽車圖像傳感器決勝網(wǎng)絡(luò)安全賽道
向自動駕駛過渡的趨勢,加上公眾對無人駕駛汽車安全性的擔憂,使網(wǎng)絡(luò)安全成為汽車原始設(shè)備制造商(OEM)的首要關(guān)注點。必須保障汽車系統(tǒng)的完整性和對車輛的控制,從而確保駕駛員、乘客和行人的安全。網(wǎng)絡(luò)安全對于通過網(wǎng)絡(luò)連接的汽車子系統(tǒng)等必不可少,對用于先進駕駛輔助系統(tǒng) (ADAS)和駕駛員監(jiān)控的圖像傳感器也同樣至關(guān)重要。
圖像傳感器相當于汽車的眼睛,支持 ADAS 功能,例如車道偏離警告、行人檢測和緊急制動。它們幫助汽車系統(tǒng)評估周圍環(huán)境并監(jiān)控駕駛員的行為。未來,它們還將協(xié)助識別和驗證汽車用戶的身份并監(jiān)控他們的生命體征,以便在駕駛員喪失行為能力時通過車載計算機來控制汽車。因此,圖像傳感器必須保持正常使用,尤其是在汽車可能遇到的極端情況下。
網(wǎng)絡(luò)安全威脅
汽車圖像傳感器主要受到四種網(wǎng)絡(luò)安全威脅的影響:偽造、篡改、繞過和竊聽(特別是對于車內(nèi)應(yīng)用)。
由于汽車半導(dǎo)體行業(yè)當前的供應(yīng)短缺問題,假冒產(chǎn)品呈上升趨勢。雖然安裝非正版部件可能并非出于惡意,但它會影響系統(tǒng)性能。由于非正版部件使用的是不同的啟動過程、協(xié)議、固件和軟件,最輕微的后果是 ADAS 系統(tǒng)根本無法運行。最糟糕的情況是,系統(tǒng)使用性能嚴重退化的不合格部件,導(dǎo)致系統(tǒng)的安全功能受到損害。
自動緊急制動 (AEB) 系統(tǒng)運行的前提是其圖像傳感器具有明確的特性(如高動態(tài)范圍和低光性能)并按照這些規(guī)格(如曝光控制和每秒幀數(shù))進行校準。假冒的傳感器可能看起來與正品相同,但其性能和特性卻大相徑庭。例如,假冒偽劣的攝像頭可能使用的是相同的傳感器,但沒有經(jīng)過測試以保證最終的組件滿足性能要求,這可能表現(xiàn)為會在高強度工作下出現(xiàn)故障。也就是說,它在正常條件下可以工作,但在其它條件(例如炎熱、陽光充足的白天或寒冷的冬夜)下會出現(xiàn)性能降級或干脆失效。一些復(fù)雜的仿冒品可能會模仿真實的傳感器支持初始化操作或簡單的設(shè)備健康檢查,但其在動態(tài)范圍或幀速率方面的性能會大打折扣。由于 AEB 系統(tǒng)是使用正品部件進行的優(yōu)化,因此假冒替代品的性能下降同樣會影響系統(tǒng)的性能,可能還會帶來災(zāi)難性的后果。比如,本來可以在車前較遠的距離就檢測到物體或行人,留下幾秒鐘的反應(yīng)時間,現(xiàn)在可能只能在幾米內(nèi)檢測到,沒有足夠的時間避免碰撞(圖 1)。
圖 1:用假冒產(chǎn)品代替正版圖像傳感器的后果
篡改圖像傳感器配置也會損害其性能。汽車系統(tǒng)通過編程來配置圖像傳感器,以優(yōu)化機器視覺算法的圖像質(zhì)量,這些算法已針對特定實現(xiàn)方案進行了認證和測試。但是,如果有人(或某程序)修改了配置,則性能可能會受到影響??赡軣o法再保證汽車系統(tǒng)能正確感知汽車面臨的場景(圖 2)。
圖 2:篡改圖像傳感器設(shè)置的后果
圖像傳感器不正常工作會讓汽車“失明”,無法檢測到潛在威脅。圖像傳感器向圖像處理器提供原始視頻數(shù)據(jù),這些數(shù)據(jù)可用于提取有關(guān)前方障礙物的關(guān)鍵信息,以便汽車能夠做出適當?shù)捻憫?yīng)。例如,從傳感器接收原始視頻數(shù)據(jù)的系統(tǒng)可以發(fā)現(xiàn)正在靠近的車輛,并按照最安全的操作來選擇是踩剎車還是駕駛汽車遠離危險。如果圖像傳感器不正常工作,系統(tǒng)將不再接收到原始視頻數(shù)據(jù),并且可能根本無法檢測到正在靠近的車輛(圖 3)。
圖 3:圖像傳感器不正常工作的后果
確保符合規(guī)范
2021 年,聯(lián)合國歐洲經(jīng)濟委員會 (UNECE) 工作組發(fā)布了 UN-R155 網(wǎng)絡(luò)安全法規(guī),要求 OEM 建立網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS)。該法規(guī)自 2022 年 7 月起生效,以應(yīng)對上述日益增長的威脅。汽車供應(yīng)商必須確保所有相關(guān)組件符合 ISO 21434 網(wǎng)絡(luò)安全標準。雖然僅使用符合 ISO 21434 標準的部件還不足以滿足 UNECE 的要求,但這是符合規(guī)范的關(guān)鍵要素。
安森美 (onsemi) 自 2018 年開始在部分 ADAS 圖像傳感器中部署網(wǎng)絡(luò)安全功能,使其符合網(wǎng)絡(luò)安全規(guī)范。這些傳感器有望在 2024 年之前達到網(wǎng)絡(luò)安全標準。身份驗證功能使安森美的圖像傳感器能夠向主機證明它是正品。這一過程通過使用證書鏈或預(yù)共享密鑰來實現(xiàn)。為確保視頻數(shù)據(jù)的完整性,必須使用消息身份驗證碼(或 MAC)來證明傳感器和主機之間的視頻數(shù)據(jù)流未被篡改。最后是保護傳感器控制和配置數(shù)據(jù),防止使用 MAC 篡改特定密鑰寄存器。由于防篡改協(xié)議因系統(tǒng)而異,因此系統(tǒng)處理器在檢測篡改情況時將擁有最終決定權(quán)。
總之,網(wǎng)絡(luò)安全規(guī)范對于防止汽車圖像傳感器成為汽車復(fù)雜電子系統(tǒng)中的特洛伊木馬至關(guān)重要。對 OEM 而言,要想符合規(guī)范,需要的不僅僅是圖像傳感器中的網(wǎng)絡(luò)安全控制電路。而含網(wǎng)絡(luò)安全的圖像傳感器是使 ADAS 和車內(nèi)監(jiān)控系統(tǒng)完全符合網(wǎng)絡(luò)安全規(guī)范的基本要求。