安全成自动驾驶设计首要基础。因应此一趋势，半导体业者纷纷推出各种感测元件，以确保行驶安全性。与此同时，半导体厂商及车厂也持续强化处理器及联网系统的安全防护性能，以便打造内外都安全可靠的自驾车。

　　自动驾驶安全性越来越受重视，为提升自驾车整体安全性，半导体厂商致力发展各式感测元件，车厂与系统厂则致力于感测器融合之技术发展，以确保行车安全。另一 方面，强化自驾车内元件效能，以打造更安全的自驾车，也是目前极力发展的方向之一。随着车上配备的感测器元件越来越多，如何使汽车处理器针对车用感测器传 来的资讯，即时做出正确的分析，并防止骇客入侵、窃取资料将是未来自动驾驶发展重点。

　　车联网时代到来　保密防骇少不了

　　

　　图1　高通产品市场高级总监叶志平表示，因应车联网需求，高通推出Snapdragon 820A车联网参考平台，具备高可扩充性。

　　因应车联网时代，不少半导体业者已经纷纷推出相关联网解决方案以抢攻市场商机，例如高通（Qualcomm）便利用旗下Snapdragon 820A设计一个车联网参考平台。

　　高通产品市场高级总监叶志平（图1）表示，此一平台的设计概念包括以下几点：第一，该公司想使用一个具有可扩充性的方式，让不同的特性可以被应用在同一个平台上，让它有所延伸，如果须要换射频、蓝牙、Wi-Fi、GPS或4G到5G的时候变得非常简单。

　　第二，在有多种无线技术共存的情况下，OEM（原始设备制造商）设计最难的部分就是解决非常复杂的相互干扰。该公司做的参考设计能解决干扰的问题，从而让多 个无线技术同时存在。基本上一些传统的连接功能可能都放在电子控制单元（ECU）上面，或者资讯娱乐上。高通现在做的车联网参考平台可以把所有天线、 Wi-Fi及射频都集中在车里放置天线的部位，让这些汽车OEM在设计中控的时候，可以将所有的射频无线电放在一起。如果须更新这些连接技术，只须更换这 个车联网参考平台就可以，而中控系统、萤幕及车里面的其他东西不用再更新。

　　然而，车联网就跟智能手机，或是IoT市场一样，都须要 确保资料传输过程中不受骇客入侵影响。针对此一需求，高通也备有相关技术，如SmartProtect技术，提供在装置上的即时恶意软体侦测、分类与来源 分析，以弥补传统恶意软体解决方案的不足，更能分析与辨识更新特征前的新威胁。其余还有Sense ID指纹技术、SafeSwitch防盗技术，以及StudioAccess内容保护技术等。

　　

　　图2　英飞凌汽车安全市场经理王龙飞指出，为防止骇客攻击，MCU搭配硬体安全模组（HSM），可增强资讯防护效用。

　　除高通之外，针对车类联网防护，英飞凌（Infineon）也备有相关安全防护措施。英飞凌汽车安全市场经理王龙飞（图2）指出，为防止骇客攻击，目前车内的微控制器（MCU），都须具备安防效能。

　　例如，英飞凌旗下AURIX系列微控制器，皆整合了一个硬体安全模组（HSM），以满足未来车联网的各种安全和保护需求。此一HSM采用英飞凌自行开发的加密技术，可确实防止骇客入侵行为，避免资料遭窃取。

　　与此同时，随着车联网的兴起，加上这几年发生不少起汽车遭骇客入侵事件；由欧洲主要车厂组成的EVITA联盟，也因骇客事件加速了安全硬体扩展 （Security Hardware Extension， SHE）与硬体安全模组（Hardware Security Module， HSM）等相关规定的制定进程。目前已有许多车厂投入车身网路的安全机制设计，SHE将率先于2018∼2019年后的车种全面普及。

　　

　　图3　瑞萨行销事业部汽车应用行销部主任黄源旗透露，针对EVITA联盟的规定，该公司已推出ICUS硬体，以呼应HSM的需求。

　　台湾瑞萨电子（Renesas Electronics）行销事业部汽车应用行销部主任黄源旗（图3）分析，车厂所设计的汽车，如果层层防护没有做好，就很容易被骇客入侵。理论上，车身网路会有一个实体的系统架构，由SoC通往MCU，再通往车身网路。

　　由于SoC所需的安全等级比较低，会用一个简单的机制和MCU进行沟通，如传输影像、资料等，但若系统设计得过于简单，便能让骇客得以恣意去更新韧体，更新完毕后，将可以直通车身网路，而车身网路若又没有经过加密，就可以送一个假的命令（Command）去控制汽车。

　　所以骇客破解三个地方，第一个是SoC安全性，第二个是系统架构没有设计好，第三个是没有加密的车身网路。MCU像是一个防火墙，如果设计良好，将有能力把许多恶意攻击挡在外面。

　　因此，黄源旗表示，车厂现已开始要求芯片厂，要在芯片加上这样的加密机制，针对EVITA联盟的规定，瑞萨所推出ICUS硬体便是呼应SHE的需求，之后2018∼2019年后的车种，将全面采用此种安全机制，而开发中的ICUM硬体，则是呼应HSM的需求。

　　ICUS 是一个比较简单的机制，里面会有车厂所放的密钥，采对称式加密。当收到封包时，会先丢到里面来，跟加密/解密的单元告知，要用哪一支钥匙去解密；解完之 后，MCU再处理；处理完之后，再放进来，加密完之后再丢出去，确保车身安全通讯的安全性。因为现在车身通讯都是透过明码传输，只要去量测，就可以知道每 个位元代表什么意思。

　　汽车来讲的话，一般使用ICUS便十分足够，例如档位讯号、测速讯号，使用此一组较低安全性的密码，即可做到安全防护。而ICUM则是应用在车身闸道器、车身控制器、引擎控制器、EPS这类需求较高的元件，进一步将MCU跟车身网路之间的资料作连结。

　　ICUM 里面有一个独立芯片，电源启动时，会先去确认MCU里的韧体、资料是不是都是正确的，并会有一个签章的动作，检查程式是否有被窜改过，确认无误后才会去执 行程式，安全等级就会再高一层。另外，因为它是另一颗MCU，因此还可以做其他比较复杂的运算，像是密码如果一直都是同一组，且一直使用的话，可能被逆向 工程破解，其可在中间产生不同的密钥，像是一次性的密码，来有效防止这样状况发生。