汽車安全的核心組件：電子控制單元(ECU)

　　要談?wù)摪踩?，首先需要談?wù)撾娮涌刂茊卧?ECU)，過去，車輛安全策略常常依賴多個(gè)ECU。ECU 就像是汽車的 “小管家”，負(fù)責(zé)控制汽車各個(gè)不同的功能。但如今，汽車制造商越來越傾向于使用單個(gè)功能更強(qiáng)大的 ECU。這是因?yàn)閱蝹€(gè)增強(qiáng)型 ECU 能夠提升汽車的性能和電源效率。

　　不過，這樣一來，冗余性就降低了。為了彌補(bǔ)這一不足，汽車制造商采取了多種措施。一方面增加數(shù)據(jù)加密功能，讓黑客難以窺探和篡改;另一方面引入強(qiáng)大的安全I(xiàn)P，筑牢安全防線。同時(shí)，還要求更多類型的工程師接受一定程度的安全培訓(xùn)，讓整個(gè)汽車制造團(tuán)隊(duì)都具備更強(qiáng)的安全意識(shí)。

　　英飛凌汽車美洲市場副總裁Bill Stewart提到，汽車的轉(zhuǎn)向系統(tǒng)、制動(dòng)系統(tǒng)、動(dòng)力系統(tǒng)，無論是內(nèi)燃機(jī)汽車還是電動(dòng)汽車中的這些系統(tǒng)，都屬于關(guān)鍵任務(wù)系統(tǒng)。就連許多先進(jìn)駕駛輔助系統(tǒng)(ADAS)也不例外，ADAS 會(huì)采集傳感器數(shù)據(jù)，然后將其轉(zhuǎn)換為車輛行駛方向的指令，進(jìn)而轉(zhuǎn)化為制動(dòng)或油門指令。這些關(guān)鍵系統(tǒng)的正常運(yùn)行關(guān)乎行車安全，所以需要高質(zhì)量且具備安全防護(hù)功能的設(shè)備，而且隨著技術(shù)發(fā)展，安全標(biāo)準(zhǔn)也在不斷變化和提高。

　　識(shí)別攻擊向量：找出汽車安全的薄弱點(diǎn)

　　一支優(yōu)秀的運(yùn)動(dòng)隊(duì)要想防守出色，就得清楚了解對(duì)手的進(jìn)攻計(jì)劃一樣，保障汽車信息安全的關(guān)鍵也在于找出系統(tǒng)的薄弱環(huán)節(jié)，也就是識(shí)別攻擊向量。

　　Cadence計(jì)算解決方案集團(tuán)副總裁David Glasco指出，從嚴(yán)格意義上講，汽車有一個(gè)直接攻擊向量，那就是用于上傳所有軟件更新的 WiFi。一旦惡意行為者突破了這個(gè) WiFi 防線，就如同打開了汽車系統(tǒng)的 “大門”，他們便能找到無數(shù)方法對(duì)汽車系統(tǒng)造成破壞。比如，黑客進(jìn)入汽車系統(tǒng)后，就能接觸到芯片，通過監(jiān)測芯片的電磁輻射來推斷密鑰，這就是一種可怕的側(cè)信道攻擊。如果安全系統(tǒng)沒有側(cè)信道防護(hù)，這種攻擊實(shí)施起來相當(dāng)容易。所以，汽車不僅要有信任根來建立安全基礎(chǔ)，信任根還必須具備所有必要的側(cè)信道防御能力，才能有效抵御這類攻擊。

　　西門子數(shù)字化工業(yè)軟件混合與虛擬系統(tǒng)副總裁David Fritz也表示，威脅可能來自計(jì)算系統(tǒng)本身之外的任何外部事物。汽車中的眾多傳感器就可能成為一種非常規(guī)的攻擊途徑，黑客可以利用這些傳感器將不良數(shù)據(jù)輸入中央計(jì)算系統(tǒng)。不過，在如今的汽車架構(gòu)中有一個(gè)安全島，它是 ISO/SAE 21434 標(biāo)準(zhǔn)所要求的，通常以 ECU 的形式存在。安全島就像是一個(gè)嚴(yán)格的 “審查官”，所有外部輸入的數(shù)據(jù)都必須經(jīng)過它驗(yàn)證為合法后，才能傳遞到中央計(jì)算系統(tǒng)。

　　過去汽車設(shè)計(jì)中常部署多個(gè) ECU，而現(xiàn)在的趨勢是采用一個(gè)計(jì)算能力更強(qiáng)的 ECU 來運(yùn)行管理程序，進(jìn)而運(yùn)行多個(gè)操作系統(tǒng)。比如，可能有一個(gè)安全操作系統(tǒng)專門處理關(guān)鍵任務(wù)，像控制制動(dòng)、轉(zhuǎn)向等，而在同一個(gè) ECU 上還有另一個(gè)操作系統(tǒng)，可為后座播放視頻等非關(guān)鍵任務(wù)服務(wù)。這種情況被稱為混合關(guān)鍵性，將不同關(guān)鍵性的任務(wù)整合在一起，帶來了諸多好處，如減輕了汽車重量、降低了功耗，從而增加了電動(dòng)汽車的續(xù)航里程，成本也大幅降低。但同時(shí)，由于非關(guān)鍵任務(wù)與關(guān)鍵任務(wù)在同一環(huán)境中運(yùn)行，所以確保進(jìn)入這個(gè)整合后的 ECU 的數(shù)據(jù)沒有被損壞，不會(huì)攜帶破壞關(guān)鍵任務(wù)的數(shù)據(jù)或程序就變得非常重要。

　　加密：汽車信息安全的核心防線

　　ECU 可以看作是一個(gè)強(qiáng)化的網(wǎng)關(guān)，在這里會(huì)進(jìn)行加密操作。加密就像是給數(shù)據(jù)加上了一把特殊的鎖，只有擁有正確鑰匙(密鑰)的人才能打開讀取數(shù)據(jù)。同時(shí)，ECU 還需要不斷增強(qiáng)功能，以防止任何潛在故障，不管是人為攻擊還是其他原因?qū)е碌摹?/p>

　　Fritz提到，汽車系統(tǒng)會(huì)進(jìn)行各種糾錯(cuò)、加密 / 解密、公私鑰管理等常規(guī)安全操作。但要是硬件本身存在能繞過這些安全機(jī)制的途徑，那所有的安全措施都白搭。所以，需要專門設(shè)計(jì)的安全芯片，確保即使遇到電池電量低等情況，安全防護(hù)也不會(huì)停止工作。

　　所有安全措施的核心是正確且強(qiáng)大的加密技術(shù)。加密算法和軟件會(huì)不斷變化，這就更加凸顯了對(duì)可靠硬件的需求。在 ECU 中，加密尤為重要，同時(shí)車輛內(nèi)部的數(shù)據(jù)也可以加密作為一種故障安全措施。例如，英飛凌使用一個(gè)獨(dú)立于同一芯片上其他組件運(yùn)行的專用安全處理器，它通過對(duì)車內(nèi)數(shù)據(jù)流進(jìn)行加密來提供一層冗余保護(hù)。

　　英飛凌的Stewart說，要從外部到內(nèi)部全面保障車輛系統(tǒng)的安全，車輛內(nèi)部的網(wǎng)絡(luò)流量也需要加密，這主要在內(nèi)置硬件安全模塊的微控制器上進(jìn)行。由于汽車中有大量數(shù)據(jù)在流動(dòng)，像以太網(wǎng)消息、雷達(dá)數(shù)據(jù)、攝像頭數(shù)據(jù)等，如果對(duì)每個(gè)數(shù)據(jù)都進(jìn)行加密和解密，就需要大量密集的處理。而軟件定義汽車(SDV)最大的特點(diǎn)就是硬件和軟件功能的解耦方式，這使得需要來回傳輸更多數(shù)據(jù)，也就意味著對(duì)安全的要求更高，需要同時(shí)對(duì)這些數(shù)據(jù)進(jìn)行加密。擁有高效處理器就顯得很有優(yōu)勢，這些處理器有隔離區(qū)域，可以在不中斷主處理器的情況下處理所有這些加密任務(wù)。

　　如今，汽車向整體安全轉(zhuǎn)變的一個(gè)重要體現(xiàn)是在汽車系統(tǒng)的各個(gè)集成電路中安裝信任根。信任根就像是汽車安全網(wǎng)絡(luò)的 “基石”，用于在車輛內(nèi)建立安全網(wǎng)絡(luò)。通過它可以確定車輛的安全性，還能將車輛身份與制造商的網(wǎng)絡(luò)關(guān)聯(lián)起來，為軟件認(rèn)證和安全更新提供方法，而且這一切都源于芯片中的硬件信任根。即便向軟件定義汽車轉(zhuǎn)型，這種安裝信任根保障安全的方式也會(huì)持續(xù)下去。

　　安全 IP 在軟件定義汽車安全中的關(guān)鍵作用

　　在軟件定義汽車的安全保障中，安全 IP 發(fā)揮著關(guān)鍵作用。有些安全關(guān)鍵問題可以在軟件層面解決，但相比基于硬件的解決方案，軟件層面可能會(huì)帶來更多漏洞。Imagination產(chǎn)品管理高級(jí)總監(jiān)Rob Fisher表示，在 GPU 中創(chuàng)建虛擬環(huán)境能帶來更好的安全效果。他們公司最先在手機(jī)中采用這種方法，現(xiàn)在將其應(yīng)用到了汽車領(lǐng)域。

　　在 GPU 中，他們允許非安全關(guān)鍵任務(wù)與安全關(guān)鍵任務(wù)并行運(yùn)行且互不干擾。簡單來說，就是在 GPU 中創(chuàng)建多個(gè)相互之間無法通信的環(huán)境，實(shí)現(xiàn)了隔離，這完全是出于安全考慮。在片上系統(tǒng)(SoC)上創(chuàng)建安全環(huán)境的策略之一，是對(duì)這些環(huán)境進(jìn)行分區(qū)，并設(shè)置權(quán)限級(jí)別。這樣一來，特殊應(yīng)用程序可以訪問架構(gòu)的不同部分，而正在運(yùn)行的第三方應(yīng)用程序則沒有相同的訪問級(jí)別。

　　在汽車領(lǐng)域?qū)嵤┻@種安全I(xiàn)P，能使 SoC 通過執(zhí)行周期拆分任務(wù)，執(zhí)行一系列不同的任務(wù)，比如信息娛樂任務(wù)或者與 ADAS 相關(guān)的任務(wù)。這兩個(gè)任務(wù)會(huì)分布在物理上分離的硬件寄存器中。這種方式不僅在功能安全方面有明顯貢獻(xiàn)，對(duì)車輛的網(wǎng)絡(luò)安全也有積極影響。

　　Fisher舉例說，擁有多個(gè)環(huán)境就如同在 CPU 結(jié)構(gòu)中設(shè)置不同的特權(quán)級(jí)別，這樣可以把非常低的特權(quán)級(jí)別分配給第三方應(yīng)用程序。比如在自己的車?yán)锵螺d一個(gè)尋找停車場的新應(yīng)用程序，我們并不清楚是誰編寫的這個(gè)程序，也不確定編寫者是否以合理、安全的方式編寫。這個(gè)程序甚至可能是一個(gè)試圖入侵汽車的應(yīng)用程序。所以，我們可以在 SoC 中一個(gè)高度隔離的區(qū)域運(yùn)行它，給它分配一個(gè)非常低的特權(quán)級(jí)別，使其不允許訪問 GPU，也不允許訪問車輛總線、傳感器總線等關(guān)鍵部分，從而保障汽車系統(tǒng)的安全。

　　軟件定義汽車設(shè)計(jì)師的安全使命

　　從強(qiáng)大的 ECU、多層冗余到安全 IP，實(shí)施這些安全功能雖然需要成本，但卻是十分必要的。在軟件定義汽車的背景下，安全應(yīng)被放在首位，優(yōu)先于對(duì)性能、功耗和面積(PPA)等其他因素的考慮。

　　Cadence的Glasco強(qiáng)調(diào)，安全對(duì)于汽車就如同汽車本身的安全性能一樣至關(guān)重要，是首要任務(wù)。如果有人能夠侵入汽車系統(tǒng)，那后果不堪設(shè)想，可能會(huì)導(dǎo)致嚴(yán)重的交通事故。所以，必須擁有優(yōu)秀的安全架構(gòu)師，深入思考各種威脅向量。如今，互聯(lián)網(wǎng)連接汽車、WiFi 連接汽車和 OTA 更新的普及，使得攻擊向量大幅增加，攻擊者可能會(huì)想盡辦法尋找新的攻擊途徑。

　　Rambus汽車行業(yè)業(yè)務(wù)開發(fā)總監(jiān)Adiel Bahrouch認(rèn)為，汽車是一個(gè)非常復(fù)雜的系統(tǒng)，而復(fù)雜性恰恰是功能安全和信息安全的大敵?，F(xiàn)在的汽車與外界 24 小時(shí)不間斷連接，并且為了 ADAS 和自動(dòng)駕駛，會(huì)從傳感器收集大量數(shù)據(jù)并進(jìn)行處理。因此，這兩類安全變得極其重要。在汽車設(shè)計(jì)中加入安全功能，會(huì)影響到特定的系統(tǒng)選擇和系統(tǒng)架構(gòu)選擇。

　　Glasco也認(rèn)同這一點(diǎn)，雖然攻擊者試圖遠(yuǎn)程訪問車輛時(shí)大概率要通過 ECU，但汽車仍需要多層冗余來保障安全。這些冗余可以硬件安全模塊(HSM)的形式存在于整個(gè)汽車系統(tǒng)中。雖然考慮到所有傳入數(shù)據(jù)最終都要通過 ECU，設(shè)置這么多 HSM 可能看起來有些過度，但這對(duì)于保障汽車信息安全卻是必不可少的。英飛凌的Stewart說，安全是一個(gè)系統(tǒng)級(jí)的決策，不能說某個(gè)部分安全，而其周圍的部分卻不安全。在區(qū)域控制器、制動(dòng)模塊、轉(zhuǎn)向模塊等各個(gè)部分都設(shè)置 HSM，就是為了確保所有網(wǎng)絡(luò)流量都是安全的。

　　另外，汽車的使用壽命通常遠(yuǎn)遠(yuǎn)超過十年，所以加強(qiáng)安全防護(hù)尤為重要。新思科技的Borza指出，在汽車制造時(shí)實(shí)施的安全措施必須足夠靈活，以便能夠執(zhí)行可能在遙遠(yuǎn)未來才上傳的更新。至少要有一個(gè)計(jì)劃，在車輛的前十年使用壽命內(nèi)持續(xù)進(jìn)行更新，確保在安全問題出現(xiàn)、被發(fā)現(xiàn)以及威脅出現(xiàn)時(shí)能夠及時(shí)解決。這涉及硬件信任根與軟件的相互作用，以此來驗(yàn)證所有下載內(nèi)容，以及車輛內(nèi)部、車輛與網(wǎng)絡(luò)之間的所有通信。

　　結(jié)語

　　網(wǎng)絡(luò)安全對(duì)于軟件定義汽車來說至關(guān)重要。我們不能把汽車看作是孤立組件的集合，而要將其視為一個(gè)整體系統(tǒng)。過去，汽車通過多個(gè) ECU 實(shí)現(xiàn)安全防護(hù)，如今趨勢轉(zhuǎn)變?yōu)樵谄囎畲蟮谋∪觞c(diǎn)采用單個(gè)強(qiáng)大的 ECU，并在車輛的整個(gè)生命周期中輔以不同的冗余和新的更新。汽車制造商面臨的挑戰(zhàn)是深入了解這些系統(tǒng)如何單獨(dú)和協(xié)同工作，這或許需要將安全培訓(xùn)作為汽車設(shè)計(jì)各個(gè)方面的先決條件。未來，汽車只會(huì)變得更加復(fù)雜，所以安全也日益成為汽車行業(yè)每個(gè)人的責(zé)任，關(guān)乎每一位駕駛者和乘客的安全與權(quán)益。