Actel公司中国区经理/夏明威 随着高速网络进入汽车领域，汽车设计人员正面对实施新通信标准的挑战。为了缓解产品面市时间压力及应对众多的新兴标准，汽车行业的许多设计人员正转向使用FPGA。不幸的是，当汽车行业迅速采用新一代以FPGA为基础的远程信息处理系统时，鲜有工程师充分了解所选FPGA的安全意义。 汽车行业正经历一场无线技术与电子系统集成的变革，但是安全威胁可能会使这个萌芽中的市场在起步之前遭受挫折。 随着高速网络进入汽车领域，汽车设计人员正面对实施新通信标准的挑战。过去习惯于漫长的产品和研发周期的许多设计人员，都正努力不懈地装备新的汽车电子，以配合电子消费者所期望合理的交货期要求。为了缓解产品面市时间压力及应对众多的新兴标准，汽车行业的许多设计人员正转向使用FPGA。不幸的是，当汽车行业迅速采用新一代以FPGA为基础的远程信息处理系统时，鲜有工程师充分了解所选FPGA的安全意义。构建安全网络的基础在于设计安全的系统并选择正确的元件，这样才能在较大型的特定网络及相关的订购收益方面取得回报。 从发动机应用如发动机控制模块到驾驶室内乘客舒适和安全系统，电子产品的普及使用可谓无处不在。当中，尤以远程信息处理功能的发展最盛，不仅成为市场亮点和消费者的主要区分指标，而且是OEM厂商订用服务的重要收入来源。第一个汽车通信网络如控制器区域网（CAN）的出现，主要用于减少车载线缆的数量，以减轻车重、提高效率和总体可靠性。现在，设计人员正试图将线缆全部省去。为了实现支持移动远程信息处理用户群所需的网络连通性，许多无线电路正迅速配置于汽车内，包括802.11、蓝牙、地面数字和人造卫星。但不幸的是，那些用于实现未来远程信息处理网络的技术同样存在漏洞。 令人感到意外的是，安全性可能是阻碍这些无线技术在汽车领域广泛应用的首要因素。供应商无法提供能够共同操作兼具高度安全的网络，加之付费使用硬件的身份鉴定机制可能存在缺陷，正是发生问题的原因。OEM厂商、基础架构开发商及内容供应商已在汽车远程信息处理方面作出以亿美元计的庞大投资，但长远的成功还未在望。好消息是专家都认同汽车远程信息处理正转向大众市场。研究分析员估计到2004年，美国将有1,080万驾驶人士使用远程信息处理系统，到2010年更会增至4,400万。为了促进远程信息处理的普及应用，并在汽车消费电子领域找到商机，制造商正集中于利用无线网络，将移动装置集成到汽车内。 最初，制造商的目标是在移动设备或消费电子设备和汽车电子系统之间建立一个交互作用的层面，典型的应用包括通过蓝牙技术进行蜂窝电话集成，以及与内置无线收发功能的PDA或膝上型电脑进行接口。消费者对于无需手动操作的电话及计算功能的需求推动着无线技术的发展，因为这些需求不仅涉及便利性因素，还牵涉安全性考虑和严格的法规要求。除了基本的乘客舒适和安全应用外，制造商正开拓崭新的选件领域，可针对无线计算实现永久的改变。无线点对点电子付费系统将广泛应用于多种服务，从停泊车辆和收费到免下车餐馆和加油站。聚合趋势将产生集成的汽车/住宅自动控制模块，允许驾驶员在办公室驾车返家途中控制加热设置、照明及娱乐系统。 娱乐系统如卫星电台及未来的串流媒体内容等正以超出人们想象的速度流行起来，最终，多数人设想未来的应用将会是通过无线网络来集成汽车自身的功能及远程信息处理。无线网络如蓝牙等可用来将汽车内的不同系统，例如传动系统、刹车系统、减震系统和后座娱乐系统等，与诊断和其它数据通信技术装置相连接，使得智能汽车的概念超出线控驾驶的范围。在这个范筹里，强大的安全性对未来无线汽车的重要性是非常容易理解的。 有限的配置、丰富的产品版本及更短的上市时间，FPGA的优势正好与远程信息处理开发商的需求相吻合，但鲜有设计人员了解其所选FPGA的安全性。今日，设计人员可以选择基于三种完全不同技术的FPGA器件。以SRAM为基础的FPGA拥有最大的市场占有率，然而，它们是目前所有FPGA架构中最不安全的一种。这类器件以挥发性存储技术为基础，必须在上电时进行初始化或配置。虽然这种特性使得SRAM架构FPGA易于重新编程，但却存在严重的安全风险，例如拒绝服务、复制和反向工程等攻击。以非挥发性技术为基础的FPGA如反熔丝或Flash，便是较为安全的解决方案。与以SRAM为基础的FPGA不同，这些非挥发性器件在系统上电时无需配置位流。相反地，它们可在成品付运之前安全地进行配置。 我们必须先要了解所有可编程 FPGA 架构在防御未经授权攻击、变更和窜改方面的优势和潜在风险。举例说，如果黑客能够损害以 SRAM FPGA 为基础的卫星通信控制台接收器，并使用户身份鉴别机制失效，那幺，不道德的用户就可免费获取服务。这类攻击对于以订用业务为基础的公司的营收影响最为严重。大家只需登陆一些网站，就可选购各种破解收费服务的控制台。在本文撰写之时，市面就有200多种有线电视破密器。如果技术负责人着眼于为其底层系统选择安全的硬件平台，那么大部分使用硬件加密引擎的付费服务终端就可保持安全。安全问题只会于底层系统一旦受到攻击时才会出现。 FPGA 应用无线通信协议日益增多，以便进行远程信息处理，这为现今头脑精密的黑客提供了新的机会。通常，蓝牙网络的安全性足以应付小型的特定网络，如会议参加者网络，或者甚至是PDA与移动电话之间的连接；但是对于大型的移动特定网络，如货币兑换及传送其它敏感信息，蓝牙的安全性则存疑。蓝牙的加密机制似乎有着某些弱点，在某些情况下，普通的“强力”攻击能够破坏具有128比特关键长度的流密码。在两个蓝牙设备的初始化过程中使用PIN代码也有潜在的安全问题。这些漏洞的弥补方案也许是使用安全的FPGA技术。安全性FPGA可配置为硬件加密引擎，以保护所有重要的点对点交易，事实上，推动这些标准的行业委员会已朝着这个方向努力。虽然这类解决方案并非绝对没有问题，设计人员必须清楚可重配置FPGA系统很容易遭受破解密码攻击。例如，通过截取SRAM架构FPGA的比特流，黑客可以破坏加密机制。最糟糕的情况是那些信息今后可用来破坏未来的加密方案。使用可重编程Flash架构FPGA的系统则会安全得多。 Wi-Fi标准组织也提出了新的标准，在最初的协议中采用硬件加密法以消除安全漏洞。预计新的IEEE 802.11安全标准将进一步增强WPA (Wi-Fi保护接入) 实施的安全规范身份鉴别和加密效果，该安全规范是由电子电气工程师协会 (IEEE) 和Wi-Fi联盟共同制定。值得注意的是，该协议将增添一项称作高级加密标准 (AES) 的基本加密标准，可在非挥发性的FPGA技术如Flash 或反熔丝架构中安全实施，而没有任何直接物理影响。以SRAM为基础FPGA并不足以应付这类应用，因为黑客可利用各种拒绝服务攻击来破坏这些防范措施。在某种情况下，电池泄漏DOS机制可使以SRAM为基础构架FPGA的便携设备离线，通过对该设备引入有毒的位流来进行。 也许最令人恐惧的情形是日益增多的设计盗窃和因特网攻击威胁。特别地，系统安全一旦被破坏，恶意或非法的技术很容易大量散布。举例来说，要在数分钟内 (虽然不是数秒) 得到攻击Wi-Fi网络的详细资料并不困难。那么，怎样才能确保专有设计不会受到损害呢？最有效的安全措施就是使用安全的反熔丝或Flash架构FPGA，保证敏感的无线网络和汽车收费服务网关得到保护。除非在器件级别解决基本的设计安全性问题，否则，更精密的安全办法也无法在较高级别的系统和网络中有效地发挥作用。 作者: 夏明威于2002年6月加入Actel公司出任中国区经理，全权负责该公司在中国及香港的营销业务。 加入Actel前，夏明威原任PMC Sierra公司中国区域营销经理。此外，他曾于中国及香港的德州仪器公司 (Texas Instruments) 服务逾五年，任职至营销经理，负责协助德州仪器在深圳建立办事处。