谁在争夺下一代E/E架构的安全制高点

【编者按】如何在智能网联的竞争格局中，更胜一筹，成了企业在市场中一个深刻思索。为上阵杀敌争夺市场的同时，加固堡垒，保证阵地安全亦是一场激烈的狙击战。

文章转载自高工视角，作者高工智能汽车；由亿欧整理，供行业人士参考。

汽车内外部网络安全风险，可能会让汽车制造商倒在前进的道路上。

越来越多的新车里充斥着大量的信息通信技术，作为“轮子上的数据中心”，它们运行数百万条车载软件通信线路。此外，联网汽车还将负责处理大量的车内外数据的交互。

然而，复杂的通信链路背后，也将车辆的安全漏洞更多暴露在可能的黑客攻击风险下，因为额外的功能扩展了网络威胁目标的“攻击面”。与此同时，汽车智能手机与车机映射，以及在线软件更新服务引入了后端漏洞，意图远程操纵汽车的黑客可以利用这些漏洞制造潜在的麻烦。

更多的连接和互联网服务打开了更多的攻击载体。联网系统与车辆控制的集成已经从根本上改变了车辆网络安全概念。

一、安全风险，未来最大的召回黑洞

根据一家安全方案公司发布的《全球汽车网络安全报告2020》数据显示，2018年至2019年间，已知的汽车网络安全事故数量几乎翻了一番。

研究团队分析了2010年以来367起公开报道的汽车网络攻击事件，其中155起发生在2019年。

大多数汽车黑客破解漏洞的关键是获得对汽车内部的电子控制单元(ECUs)的控制，这比起简单的攻击信息娱乐系统带来的危害更大。

所有车辆的数据都通过它传输。同时，在网络安全方面，它们也是一个单一的弱点。

典型的CAN总线是不安全的，因为它们没有分段/边界防御，没有设备认证功能，也没有加密。CAN总线与其他网络总线拓扑的不同之处在于，不管它是否被功能请求，数据都会不断地通过CAN总线。

通过获得对CAN总线的访问权，攻击者可以通过总线发送伪造的消息。

最经典的案例，就是几年前克莱斯勒召回140万辆汽车事件，研究人员侵入该车联网的信息娱乐系统，并通过CAN总线在车辆的各个电子控制单元(ECUs)之间传递信息，处理自适应巡航控制、电子刹车和转向控制。

这起迄今为止最大的安全漏洞召回事件，给汽车行业敲响了警钟。

不过，到目前为止，汽车行业仍然一直不愿在安全方面投资。网络安全公司IntSights的研究发现，目前市面上有很多人在出售汽车黑客工具和代码抓取器，以及断开汽车制动装置的服务，并为黑客入侵ECUs提供固件。

此外，在ECU/CAN配置方面，基于虚拟机监控程序的解决方案的使用正在增加，即使用一个强大的集中处理单元在虚拟机中运行多个车辆功能。

例如，使用这种虚拟化技术将关键任务系统与信息娱乐元素分离，这是一个明显的举措。这还有一个额外的好处，因为虚拟机监控程序解决方案经常允许多个操作系统在同一中央硬件上运行。

SAE的J3061（也被称为“网络物理车辆系统的网络安全指南”）是汽车行业的现有安全标准之一，它提供了有关车辆网络安全的指导。

ISO/SAE 21434则是ISO与SAE共同开发的汽车网络安全标准，将于2020年5月发布，覆盖汽车生命周期的所有阶段。这套标准将适用于汽车的电子系统、组件和软件，以及任何外部连接，为开发人员提供一种实施安全保障措施的方法，并适用于整个供应链。

而未来车辆越来越依赖于电子控制单元(ECU)，尤其是各个中央域控制器来管理提高驾驶体验的功能。

其中，网关控制器作为这些不同应用程序提供网络通信发挥着重要作用，通过包括CAN(低、高速)、LIN、ISO-9141、FlexRay和以太网协议在内的外部接口管理数据的交换。这意味着，大量与汽车内外数据连接交织在一起的新安全威胁更加敏感，不可避免地需要多管齐下的安全措施来保护车内和车外的多个网络。

二、黑莓“杀入”数据通信安全领域

那么，标准、指南有了，具体的落地方案怎么办？

比如，最基本的大数据内部通讯，可能隐藏的巨大安全风险。黑莓公司今天宣布，推出QNX黑道（Black Channel ）通信技术，这是一种新的软件解决方案，帮助汽车制造商和嵌入式软件开发人员确保在安全关键系统内进行安全的数据通信交换。

该技术目前已经通过了ISO 26262 ASIL D认证，基于IEC 61508中确定的安全数据通信要求和AUTOSAR端到端通信保护配置文件中定义的保护措施。

随着车辆内部网络出现越来越多的嵌入式系统数据通信节点，如何保证功能安全和数据安全至关重要。

Black Channel技术通过安全封装交换的数据并通过必要的安全检查进行验证，保护数据通信不受系统软件故障、随机硬件故障和瞬态故障的影响，同时将故障对系统性能的影响最小化。

“随着汽车电子结构向更少、更强大的电子控制单元(ECUs)的转变，我们看到汽车系统功能安全要求的增加。”

黑莓公司相关负责人表示，新技术提供了一个安全层来保护数据在不知道底层通信软件和硬件的情况下从一个点传递到另一个点。

随着功能性安全标准的开发和认证工作的完成，该解决方案将使汽车制造商和其他嵌入式软件开发人员能够加快他们的开发进度，并降低项目从POC阶段转移到SOP量产的成本。

黑莓公司表示，该解决方案计划在2020年4月全面投入使用。部分汽车制造商和一级供应商目前正在基于该项技术开发下一代汽车电子架构。

三、ECU安全，决定下一代E/E的成败

今天，一辆高端汽车包含超过1亿行代码，超过了航天飞机、波音787梦幻客机和微软办公软件的总代码量。

随着汽车行业向自动驾驶汽车的发展，软件的复杂性将急剧上升。

OTA软件补丁和更新数量的增加是第一个主要挑战。然后，还有嵌入式操作系统(OS)解决方案，涉及到关键安全功能（如ADAS）和非安全功能服务（娱乐）。

同时，虚拟机监控程序创建的虚拟软件容器充当中间角色，例如，确保信息娱乐和仪表集群系统互不干扰。除了确保敏感代码执行的域分离之外，互联汽车安全还是一个包含硬件和软件组件的多层安全体系。

最典型的量产案例就是奥迪的ZFas。

2010年，Vector和TTTech两家汽车软件开发商达成战略合作关系，与奥迪签订了服务合同。该合同涉及到用于CAN、LIN和FlexRay通信的模块，以及用于安全相关ECU的RTE和端到端保护。

Vector的重点是AUTOSAR基本软件模块，而TTTech Auto则根据ISO 26262标准重点关注与安全相关的软件模块，双方合力解决最高的ISO 26262安全级别ASIL D。

在Vector公司看来，未来汽车制造商越来越需要与安全相关的ECU解决方案。

除了端到端保护之外，该公司还有一个名为“Safe Execution”的与安全相关的软件组件的环境，核心要素是程序流监控和内存保护。

就在几个月前，Vector还与汽车网络安全公司C2A Security达成合作，将AUTOSAR经典基础软件与终端网络安全保护技术进行集成。

这种集成将使AUTOSAR开发人员能够向汽车ECU项目添加额外的安全控制，而不会影响上市时间或损害安全性遵从，并且对运行时性能的影响可以忽略不计。

这种市场需求的背景是，汽车制造商越来越多地在AUTOSAR嵌入式软件项目中应用网络安全控制。

比如，在下一代E/E架构中部署安全控制，包括安全启动、安全OTA、HSMs、诊断身份验证、车辆密钥管理和安全车载通信等等模块。

此外，在芯片层面，来自英飞凌的下一代AURIX™微控制器去年宣布将集成一种名为并行处理单元(PPU)的新型高性能人工智能加速器，基于Synopsys的DesignWare®ARC®EV处理器IP。

考虑到人工智能和神经网络是未来自动驾驶应用的基础构件，英飞凌相关负责人表示，PPU就是为了需要大量数据的汽车应用，如未来的网关、域和区域控制器、引擎管理、电动汽车和高级驾驶员辅助系统等做好准备。

此外，通过支持卷积神经网络，PPU还将支持分层安全概念，支持深度包检查或系统熵监视等入侵检测和预防技术。

另一家汽车芯片巨头NXP也在今年初宣布与Green Hills Software合作，后者是全球嵌入式安全和安全的头部企业之一。新的Green Hills安全网关平台，将搭载来自NXP的全新S32G车辆网络处理器，并与INTEGRITY®实时操作系统、安全虚拟化和integrated MULTI®开发套件进行整合。

该平台使汽车制造商能够在混合不同ASIL认证级别（包括Linux等开源OS）的应用程序的同时，为下一代车辆中央网关和域控制器提供更高级别的安全性能。如今，不管是QNX、还是Vector、TTTech，亦或是英飞凌、NXP等芯片制造商都在盯住这块市场大蛋糕。

而汽车制造商正在寻找降低开发成本，并在汽车网络、域控制器和OTA领域转向软件定义模式下降低开发进度的延迟风险。这意味着，整个链条上的参与者需要进行软硬件的深度整合，将以前完全不同的硬件和软件组件安全可靠地整合到一个SoC平台上。

同时，提高网络通信性能、保证实时性和缩短开发时间，对于争夺下一代汽车电子架构领先优势的汽车制造商来说，至关重要。

谁在争夺下一代E/E架构的安全制高点