01  電子電氣架構(gòu)的演進(jìn)



近年來，汽車電子電氣架構(gòu)隨著新四化的推進(jìn)在加速演進(jìn)。多家機構(gòu)及頭部零部件供應(yīng)商對此均做過總結(jié)。圖中是其中一種對于電子電氣架構(gòu)演進(jìn)路線的總結(jié)。一共分為六個階段。

第一階段是模塊化的架構(gòu)，每個功能對應(yīng)一個控制器，我們可以稱之為模塊化階段。

第二階段是多個功能集成至一個控制器，但是本質(zhì)上只是多合一的功能集成形式，這個階段叫做集成化階段。

第三階段是將功能按照域進(jìn)行劃分，例如底盤域、動力域與智駕域，此時部分域中的功能由一個在中心的域控制器實現(xiàn)大部分控制功能，例如域控制器，這個階段叫做中心化。

第四階段會有部分功能跨域進(jìn)行融合，此時某個功能很可能是跨域來實現(xiàn)的，從功能本身來舉例，全車OTA功能就是明顯的例子，這個階段叫做域融合階段。

第五階段是當(dāng)域融合到一定程度后，大部分控制器的功能都集成到了一個中央行車電腦里面，并且全車大部分算力也都集中在這個控制器里，外圍只剩下傳感器及執(zhí)行器，這個階段我們可以稱之為中央行車電腦的階段。

第六階段是當(dāng)中央行車電腦的功能與運算任務(wù)，部分由云端實現(xiàn)的架構(gòu)，這個階段是云計算的階段。

從市場上很多公開的信息來看，大部分車型都處在第三、第四階段，有少數(shù)在研新車型已經(jīng)行進(jìn)到了第五階段，也有處于兩個階段之間的在研車型，因此并不能簡單的將某款車型的電子電氣架構(gòu)認(rèn)為完全是處在某個階段。并且單從功能層面來講，甚至部分功能已經(jīng)是主要由云計算來實現(xiàn)了，而電子電氣架構(gòu)卻還在第三階段。


02  電子電氣架構(gòu)演進(jìn)的特點



那么電子電氣架構(gòu)的演進(jìn)有什么樣的特點，我們通過這張圖來展示。最近軟件定義汽車的話題很火，并且也已經(jīng)有部分OEM在研新車型已經(jīng)使用了SOA架構(gòu)及開發(fā)模式。一方面是新技術(shù)的誕生與需求的變化導(dǎo)致電子電氣架構(gòu)加速演進(jìn)，另一方面電子電氣架構(gòu)的演進(jìn)反過來給SOA的部署帶來了很大的便利。因此我們可以認(rèn)為電子電氣架構(gòu)帶來的第一個新事物就是SOA。

同時，高級別自動駕駛，智能座艙等熱門功能對總算力的需求進(jìn)一步增加，在電子電氣架構(gòu)上也可以明顯的看到為了滿足高算力的需求，分布在E/E架構(gòu)中的各個控制器的集成程度進(jìn)一步提升，這個也帶來了集成化的趨勢。除此之外，在原先IT/ICT領(lǐng)域的成熟技術(shù)也在大量移植到汽車工業(yè)中。例如以太網(wǎng)和安卓，以及在這之上的各種協(xié)議和應(yīng)用，其中以太網(wǎng)的應(yīng)用對電子電氣架構(gòu)及網(wǎng)絡(luò)拓?fù)鋷砹朔浅Ｉ钸h(yuǎn)的影響，技術(shù)移植過來就用，也是一個比較大的特點。

集中化帶來了算力集中，而算力集中了之后，需要能夠有效利用算力去實現(xiàn)不同場景的業(yè)務(wù)需求，在這個背景之下，虛擬化技術(shù)也得到了應(yīng)用，使得多個類型的操作系統(tǒng)運行在同一芯片上。除此之外，雖然算力分布是在繼續(xù)集中，但是業(yè)務(wù)場景與計算能力的多樣化卻在繼續(xù)，在同一個控制器里面集成CPU/GPU/NPU/MCU等異構(gòu)處理器處理復(fù)雜任務(wù)和場景的情況卻越來越普遍。最后一個我們識別到的特點，就是現(xiàn)在幾乎所有的新車型都是聯(lián)網(wǎng)的，而且還有近場端通信，加上全車OTA刷新也在推廣，這樣我們可以看到的是，幾乎所有控制器都可直接或者間接遠(yuǎn)程訪問并可以刷新。

以上是我們在E/E架構(gòu)演進(jìn)中觀察到的，那么這些特點和變化對信息安全有會有什么樣的影響，會帶來什么樣的挑戰(zhàn)呢？

03  電子電氣架構(gòu)演進(jìn)帶來的相關(guān)的信息安全挑戰(zhàn)



我這里挑了幾個點來做分析，這個分析本身只是示例，我希望這里能夠起到一個拋磚引玉的作用。我們首先看一下SOA帶來哪些挑戰(zhàn)。SOA的功能與服務(wù)解耦。功能實現(xiàn)是抽象的。而且為了定制和迭代功能，SOA平臺中的服務(wù)往往選擇開放，功能也可定制化。這樣在通信層面可利用這些已有的服務(wù)，通過偽造身份實施攻擊，例如DoS攻擊。

同時，由于SOME/IP的C/S連接是在需求方有需要時建立連接，屬于動態(tài)連接，用傳統(tǒng)數(shù)據(jù)流的方法分析安全風(fēng)險非常復(fù)雜。這個是SOA帶來的一些挑戰(zhàn)。

那么虛擬化又會帶來什么呢？由于多操作系統(tǒng)運行在一個芯片上，不僅脆弱性增加了，漏洞的管理，修復(fù)也會更加復(fù)雜，有點牽一發(fā)而動全身的感覺。同時，虛擬機本身也可能帶來額外的脆弱性。

那么異構(gòu)計算又會帶來什么呢？由于使用多種異構(gòu)芯片，芯片之間也會交換大量片間數(shù)據(jù)，這可能導(dǎo)致成功實施側(cè)信道攻擊或故障注入攻擊的可能性增加。



最明顯的集成化趨勢又會帶來什么樣的挑戰(zhàn)呢？由于控制器不斷集成，數(shù)量不斷減少，網(wǎng)絡(luò)層級層數(shù)也在不斷減少，這樣的結(jié)果就是，原先需要合并多個脆弱性構(gòu)建的攻擊路徑會變短，在先進(jìn)架構(gòu)上面可能只需要合并利用少量脆弱性，跨越2個控制器，可能T-Box與中央行車電腦，大約4顆芯片就可以接觸到執(zhí)行器從而實現(xiàn)遠(yuǎn)程操控了。

下一個特點是現(xiàn)有技術(shù)的移植。現(xiàn)在的控制器經(jīng)常大量使用開源組件，而開源組件本身就有一定風(fēng)險，零日漏洞被發(fā)掘出來的可能性也大很多。并且大多數(shù)先進(jìn)架構(gòu)中都會使用以太網(wǎng)及移動OS，原先很多分析攻擊的思路，攻擊用的工具也可以在車上使用。最后一個特點到不是完全由E/E架構(gòu)演進(jìn)帶來的。就是網(wǎng)聯(lián)化與全車OTA。這個變化帶來的是，幾乎車上的所有控制器，隨時，隨地都可能遭受攻擊。

這里只列舉了很少一部分新挑戰(zhàn)，實際上挑戰(zhàn)比這里列的肯定要多得多。那么我們應(yīng)該怎樣去應(yīng)對這些挑戰(zhàn)呢？

04  如何應(yīng)對新的挑戰(zhàn)



關(guān)于應(yīng)該如何應(yīng)對這些挑戰(zhàn)，我這里提出兩個觀點：

第一個觀點，我們要具備全網(wǎng)絡(luò)空間視角。這里指的是，在評估風(fēng)險的時候，將云管端核，以及所有已售出在運行的同類型車輛當(dāng)作一個整體來考慮。而要做到這樣，其實對人的能力要求非常之高。

第二個觀點，就是我們可以將網(wǎng)絡(luò)空間粗略分成云管端核四個層級，我們在導(dǎo)出信息安全需求的時候會發(fā)現(xiàn)，有很多需求跨了多個層級，要實現(xiàn)相應(yīng)的設(shè)計工作，需要有一個頂層視角開展頂層設(shè)計，最后將需求層層落實。

我將如何應(yīng)對E/E架構(gòu)演進(jìn)帶來的挑戰(zhàn)歸納為以下5個步驟：

第一步，將全網(wǎng)絡(luò)空間當(dāng)作整體進(jìn)行分析評估，這里的方法論使用ISO21434。

第二步，在該網(wǎng)絡(luò)空間中構(gòu)建安全架構(gòu)覆蓋可能產(chǎn)生風(fēng)險的方方面面。

第三步，將導(dǎo)出的安全需求分層布置，跨層跨終端的需求從頂層設(shè)計，部分部署在云端，路端的需求在這個層級就已經(jīng)可以落地了。

第四步，將拆解到整車的信息安全需求分解到整車，此時整車會被視為一個終端。

第五步，將需求進(jìn)一步分解到控制器層級，最后在控制器層級實施落地。以上是在應(yīng)對新挑戰(zhàn)時，應(yīng)該關(guān)注的2個要點以及5個步驟。

05  可選解決方案示例



說了這么多，我們到底有沒有什么切實可落地的方案呢。當(dāng)然有，而且還很多。如果要設(shè)計一個可以在全網(wǎng)絡(luò)空間中應(yīng)對信息安全挑戰(zhàn)的方案，可能最終出來一個非常龐雜的需求。如果按照ASPICE流程要求做條目化，可能所有層級的需求加起來會有幾萬條甚至更多。那我們來看一下這幾個例子。

對于SOA架構(gòu)帶來的問題，其中一條需求是將服務(wù)區(qū)分成安全相關(guān)服務(wù)與非安全相關(guān)服務(wù)，在安全相關(guān)服務(wù)中執(zhí)行雙向身份認(rèn)證。對于虛擬化帶來的問題，其中一條是使用覆蓋多平臺的自動化漏洞管理系統(tǒng)。對于異構(gòu)計算帶來的問題，其中一條是，盡可能選擇能夠抵抗側(cè)信道攻擊與故障注入攻擊的芯片。條件允許的情況下也可以進(jìn)行相關(guān)的測試。



對于集成化趨勢誕生的中央行車電腦，具有遠(yuǎn)程連接功能的控制網(wǎng)或者通信單元或者是域控制器，由于其在整車架構(gòu)中的重要作用，可以直接把目標(biāo)設(shè)定到最高，也就是參考ISO21434的CAL等級，可以直接設(shè)定到CAL4。所有能做到的需求都上，測試也全上。對于技術(shù)移植帶來的問題，可以這樣考慮。既然ICT領(lǐng)域有這么多現(xiàn)成的工具，為什么不移植過來做測試呢。設(shè)計人員也可以學(xué)習(xí)滲透工具的嘛。比如Kali Linux上面的各種工具，可能已經(jīng)有很多人這樣做了。當(dāng)然，僅限于測試用途。

06  解決方案在整車層級的部署



當(dāng)我們生成了大量的需求，整合層一個大的綜合方案之后。在整車級怎么部署呢？首先還是將需求分層，我們從頂層視角看的時候，會發(fā)現(xiàn)有大量的需求是部署在云端和管端的，而且在云端部署的這些需求，大多都是跨層級跨終端的需求。例如PKI, 漏洞管理系統(tǒng)，IDPS在云端的安全日志分析器等等。然后下一步就是將遠(yuǎn)程通信，近場端通信，車內(nèi)通信的通信協(xié)議及安全措施定下來。比如TLS和SecOC。而制定通信協(xié)議類的需求，也是需要從整體考慮的。你會發(fā)現(xiàn)信任鏈和TEE的建立，會一直從芯片內(nèi)核的HSM一直延伸到云端。

07  解決方案在控制器層級的實施



在控制器層級的需求實施，決定了需求最終的落地，這里需要將控制器當(dāng)成一個終端，整車當(dāng)成一個網(wǎng)絡(luò)。之后在系統(tǒng)架構(gòu)中，將需求進(jìn)一步定位到芯片。這里可以ISO21434的開發(fā)流程做指導(dǎo)。

08  電子電氣架構(gòu)演進(jìn)的特點



我們在應(yīng)對E/E架構(gòu)的變革帶來的挑戰(zhàn)時，需要具備全網(wǎng)絡(luò)空間的視角，因為E/E架構(gòu)演進(jìn)帶來的影響并不僅僅只體現(xiàn)在車上，實際上體現(xiàn)在了網(wǎng)絡(luò)空間里，因此我們不能只考慮車，而應(yīng)該從網(wǎng)絡(luò)空間整體考慮，覆蓋E/E架構(gòu)演進(jìn)造成的方方面面的風(fēng)險。

在如何解決問題上，我們需要有頂層設(shè)計，這樣才能夠使得跨終端的解決方案更容易實現(xiàn)。而正是由于解決方案很多都是跨終端的，在實際車型開發(fā)過程中，跨終端方案帶來大量協(xié)調(diào)與溝通的工作，因此時間成本與開發(fā)成本也都非常巨大，如果能夠有一個整體打包的綜合解決方案，不論對于具體的零部件供應(yīng)商，集成商還是OEM，都將會節(jié)省大量的成本，我們相信，這樣的All-in-one解決方案是市場趨勢。雖然網(wǎng)絡(luò)安全問題很復(fù)雜，甚至還在變得更復(fù)雜，但是能提供這樣All-in-one解決方案的供應(yīng)商是可以讓這個問題變得很簡單的。而中汽創(chuàng)智正在朝著這個方向前進(jìn)。