软件定义汽车，如何确保E/E架构的安全？

自动驾驶、电动汽车、无线更新和车队管理——世界各地的汽车制造商们正在为全球客户开发大量的新功能和新产品。一方面，汽车生产厂也开辟了全新的商业经营模式；另一方面，它们也被迫在车辆研发设计中采用不断变化的车载网络技术。不久的将来，缩写为SDV的软件定义车辆需要更加高效的宽带和动态数据传输方案，而首选的解决方案就是以区域为导向的E/E架构。

不久的将来，软件定义汽车将为汽车制造商带来全新的商业模式。而E/E架构铺平了通往全新商业模式的道路。然而，软件复杂性和数据传输量的增加则要求有全新的网络攻击安全防护方案。

以区域为导向的软件定义汽车的Zonal E/E架构

传统的汽车电气系统的架构比较单一，其功能都是由控制系统决定的：它们的主要特点都是通过物理上相互分离的汽车电气系统、按照静态信号的通讯行使不同的功能。以区域为导向的E/E架构则相反，它是通过诸如基于软件技术、具有逻辑运算功能的中间件，构成一个跨多个控制单元的Overlay叠加虚拟技术来工作的，这也方便了跨越多种功能的数据交换和通讯。一个或者多个车辆控制处理器以及区域控制器负责区域导向管理架构中主要功能的控制和管理。同时，汽车内部的以太网或者CAN XL等新的总线系统之间的实时通讯也都有了很大的带宽（参见图1）。

图1.区域导向的E/E架构将软件与硬件相互分隔开，给汽车制造商带来许多好处©ETAS|Bosch

凭借能够独立于总线系统和硬件实现新功能的区域导向性SDV架构，它给汽车市场带来了新的助益：除了汽车制造商之外，经典的软件公司和移动应用程序开发商也可以为汽车制造商提供新的客户应用功能。

网络安全面临的挑战

这样的技术变革也为网络安全带来了新的挑战：因为从网络安全的角度，汽车内部涉及到网络技术的硬件在理想情况下应该是相互分开、相互隔离的，但E/E区域导向架构却打破了不同“功能区域”的界限。例如，它不是根据“功能”来连接各个车载终端设备的，而是按照它们在车辆中的“位置”来相互连接，不同安全功能控制和管理单元之间的数据通信是利用同一数据总线系统进行的。

因此，未来的模块分离方案不应是按照硬件进行分开，而必须映射到软件系统中进行分离。而此时的分离也必须把整个通信过程也包含在内：从发射器的应用到软件系统的架构，从网络协议到接收器的专用总线系统，直至接收系统的软件架构和通讯协议。

除此之外，还有许多像自动驾驶、云服务、充电技术和远程维护等新功能只有在软件定义的基础上才能实现，例如必须在基于谷歌和苹果等软件供应商提供的服务软件集成上才能使用。将来，由第三方供应商提供的、基于云技术或者其与他外部系统永久性通讯连接的Web应用程序也将在汽车的控制单元中运行。这就为车辆免受网络攻击带来了许多新问题：

◆Web应用程序本身所使用的底层操作系统和底层操作系统的通信技术协议，远比以前使用的汽车软件要复杂的多、更具有多样性。这就使得应用程序中可能的漏洞更加难以防范。

◆攻击者只需稍加调整他们非常熟悉的IT系统和移动通讯系统，攻击技术就可以移植到汽车网络的攻击中了。

◆另外，由于嵌入式控制设备连接性能的提高，也给网络攻击者提供了更多的远程攻击机会。

◆由于车载网络系统不同功能和跨软件架构的相互混合，网络攻击者也可以直接从外部攻击涉及到车辆安全的有关功能。

新的危险

以上这些增加了攻击者利用以前未知的漏洞攻击汽车内部电气系统的风险，例如被发现后立即被恶意利用的安全漏洞实施“零时差攻击”——在最坏的情况下甚至可以入侵到与汽车安全有关的系统之中。事实上，最近一段时间已经有成功利用Web应用程序中的漏洞攻击车辆安全系统的案例了：攻击者成功地利用旧版操作系统中的一个已知漏洞获得了汽车控制单元的控制权，并能够监视通讯总线上的通讯数据流，通过特殊手段绕过车载电器系统的访问控制权，接管了汽车的制动和转向控制，并最终通过外部接口实现了车辆的远程遥控。（如图2所示）

图2. 对知名汽车制造商自动驾驶仪的真实攻击实验是从Web 应用
程序中的零时差漏洞开始的© ETAS |Tencent Keen Security Lab

同时，车辆电气系统收集的数据量也在不断增加，这也对数据的安全性提出了更高的要求。因为车辆收集的位置信息、运动数据或者传感器数据，尤其是驾驶员的私人数据、资料会引起攻击者攻击的欲望。车载电气系统不仅仅要有效地防备网络攻击者的非法攻击，而且也应杜绝车辆第三方应用软件供应商获取机密数据。利用新的E/E区域导向构架不仅仅增加了攻击点的数量，而且也提高了非法攻击的吸引力——例如通过远程遥控激活车主未经授权的功能。

E/E软件定义汽车架构的七大安全原则

未来基于区域导向架构的E/E软件定义汽车需要一个全新的整体性安全保护方案，也就是用逻辑控制层面的安全隔离来取代车辆系统中传统的物理隔离。除了已经在车辆中采取的软件系统安全保护措施之外，还要利用图3所示的在传统IT系统中已经建立起来的，并在E/E 软件定义汽车结构中也行之有效的安全保护原则来保护车载电气系统和数据：

◆ 零信任策略

零信任原则将车辆以外的汽车零部件、元器件都视为不可相信的。新的或者外部的系统只有经过严格的检查并通过了内部攻击和外部攻击的可能性评估之后，才能将其视为整体可信的零部件、元器件或者系统。在没有得到事前检查验证的情况下，不能将它们连接到汽车系统之中。例如，在基于以太网总线技术的E/E架构中，它们利用符合IEEE 802.1X标准、简称为PANC的“基于端口的网络接入控制”的密钥才能接入到车载系统。 

◆ 最小许可权

按照最小许可权的规定，一个车载电气系统的组件只能授予执行其功能所需绝对必要的访问权限。在基于区域导向技术的E/E软件定义汽车架构中，只有在利用相同的总线系统，在具有不同功能的应用程序间传递数据信息时才必须明确地将这些系统相互隔离开来——例如通过以太网在车辆控制计算机与区域控制器之间交换数据时。利用这种隔离方法就可以确保诸如信息娱乐系统的元器件、组件无法或者只能有限地访问安全功能元器件发送的数据了。具体而言，这可以通过使用虚拟局域网VLAN或者互联网IP通讯协议的子网的网络逻辑分段来实现。

图3.区域导向车辆架构安全保护的基本原则概述© ETAS

重要的是，即便是在一个控制器中也必须保持这种隔离。例如在虚拟机管理器的管理下，将各个虚拟机相互隔离起来，并防止系统之间未经授权的访问。即使是在一个虚拟系统中也必须根据功能的不同以及与安全相关的规定，明确访问授权并具体落实。带有身份验证和访问权管理模块的AUTOSAR Adaptive就可以很好地控制车载电气系统的访问权。

◆ 受攻击面最小

未来，汽车将通过大量的数据接口与外部环境联网以实现自动驾驶或者电力驱动。同时，未来的E/E架构也不能“随意”地提供外部接口，给网络攻击者留下可乘之机。因此，最重要的是尽可能在一个元器件中提供所需的WiFi接口和移动网络等外部接口。这一元器件也必须得到很好的保护，并且不能再有任何与安全相关的其他功能。传统的IT技术领域中将这外部与内部网络之间的隔离缓冲称之为“登陆点”或者“非军事化区”。

◆ 安全通讯

现在的汽车电气系统解决方案已经落实了“安全通讯”，例如AUTOSAR汽车开放系统架构中基于信号通讯的SecOC车载网络安全通讯模块或者E/E架构中面向服务的车载通讯用TLS传输层安全模块。但在以区域为导向的系统架构中，尽管TLS传输层安全保护的硬件性能足够强大，但是由于需要保护的服务和数据量太大而很快就会达到其应用极限了。此时，在物理层次运行的安全监控和实时保护就能很好地弥补这些不足。无论是通过CAN现场总线的信号通讯还是基于以太网以服务为主的通讯，这样的安全保护都有了良好的开端——AUTOSAR汽车开放系统架构中，适用于最低级别以太网通讯的MACsec媒体访问安全控制方案和CANSec的CAN XL标准可能会在2022年年底问世。

现在，人们已经可以利用防火墙和过滤机制来防止缩写为DoS的拒绝服务型攻击造成的网络过载。在基于区域导向的E/E架构体系中，重要的不仅是要防止总线系统的过载，而且还要防止因为DoS攻击导致某些信息类型的过载，以确保每个电气设备始终都是可以正常工作的。

◆ 深度防御

为了防止多个层的非法攻击，就需要在各个层都采用适当的安全防护措施。然而，在基于区域导向的E/E架构的软件定义车辆中，多层次大纵深防御方法首先必须考虑软件架构的不同层次，例如符合以太网通讯技术协议的各个通讯层次。只有考虑了各个应用之间数据传输链的总体情况之后，才能形成各个层安全保护措施的有效集成。这里，最重要的是用干净利落的整体方案将访问控制系统和授权管理系统结合起来。这种相互结合不仅包含了汽车电气系统的元器件和用户的认证与授权，而且也包括了通讯的保护和隔离。

利用IEEE 802.1X标准的访问控制和通过TLS技术在逻辑层，对某些数据提供以太网通讯的额外保护、并在应用程序层面再进行授权控制，就是深度防御的最好实例。

◆ 安全设计

整体性的网络安全需要在E/E区域导向架构的设计时就将所有的安全保护因素都考虑进去。尤为重要的是下列两点：

-默认的安全保护：必须贯彻落实基本的安全保护措施，只有在有合适理由和得到批准的情况下允许有例外。安全保护措施要具体体现在对通讯渠道和通讯元器件的要求中，并在选择硬件时加以考虑。例如，通过将安全保护硬件模块集成到车辆计算机中或者集成到区域控制器中；在外部以太网接口的前后两端都进行TLS传输层安全的身份验证；或者通过MACsec、CANsec在物理层级别进行的通讯安全保护。

-加密敏捷性：网络风险和非法攻击技术都在不断发展，因此在设计E/E区域导向架构系统时就必须考虑升级改进的空间。例如所使用的加密算法应能升级、更新，密钥的长度可以不断增加甚至可以集成新的加密技术——例如后量子公钥密码。其他的安全保护措施也应能灵活的扩展、扩充，以便能够根据新的非法攻击进行升级。

◆ 连续不间断的保护

通过未知的漏洞或者新的非法攻击媒介进行前述的零时差攻击，是对区域导向E/E架构的最大威胁。虽然零信任安全保护原则、最小许可权或者深度防御等安全措施可以最大限度地减少类似非法攻击的影响，但是识别现有漏洞并及时弥补漏洞也在全面保护区域导向架构系统方面有着重要作用和意义。通过符合联合国欧洲经济委员会第155号法规UN 155要求的综合性网络安全管理系统CSMS，满足识别和弥补漏洞的要求。其中，IDS入侵检测系统就是非常重要的关键组成部分，它可以监控车辆的安全状态并能检查E/E架构受到的攻击——无论是网络层面还是通讯层面或者是元器件层面受到的非法攻击。

小结：软件定义车辆的安全性

区域导向的E/E架构为未来的软件定义车辆提供了必要的灵活性和优良性能。但从网络安全的角度来讲，基于区域导向架构的车辆架构也面临着新的挑战，同时也提供了一系列全新的机遇。例如，可以通过安全保护系统的升级及时修复已经识别的漏洞，可以按照适合车辆的方式建立传统IT安全保护措施的映射。

本文介绍的安全保护七大原则恰恰抓住了软件定义车辆架构中的要害，并为整体性的、基于E/E区域导向架构的设计设定了指导方针。从E/E架构的设计开始就始终如一地贯彻落实这些原则，对于有效地保护软件定义汽车的系统架构免受未经授权的访问，保护车辆中的敏感数据，比以往任何时候都更加重要。

本文译自HANSER automotive杂志
作者：Ramona Jung，ETAS公司Escrypt项目高级经理&车载网络安全专家

来源：荣格-《国际汽车设计及制造》

原创声明：
本站所有原创内容未经允许，禁止任何网站、微信公众号等平台等机构转载、摘抄，否则荣格工业传媒保留追责权利。任何此前未经允许，已经转载本站原创文章的平台，请立即删除相关文章。