汽車安全的核心組件：電子控制單元(ECU)

　　要談論安全，首先需要談論電子控制單元(ECU)，過去，車輛安全策略常常依賴多個ECU。ECU 就像是汽車的 “小管家”，負責控制汽車各個不同的功能。但如今，汽車制造商越來越傾向于使用單個功能更強大的 ECU。這是因為單個增強型 ECU 能夠提升汽車的性能和電源效率。

　　不過，這樣一來，冗余性就降低了。為了彌補這一不足，汽車制造商采取了多種措施。一方面增加數據加密功能，讓黑客難以窺探和篡改;另一方面引入強大的安全IP，筑牢安全防線。同時，還要求更多類型的工程師接受一定程度的安全培訓，讓整個汽車制造團隊都具備更強的安全意識。

　　英飛凌汽車美洲市場副總裁Bill Stewart提到，汽車的轉向系統、制動系統、動力系統，無論是內燃機汽車還是電動汽車中的這些系統，都屬于關鍵任務系統。就連許多先進駕駛輔助系統(ADAS)也不例外，ADAS 會采集傳感器數據，然后將其轉換為車輛行駛方向的指令，進而轉化為制動或油門指令。這些關鍵系統的正常運行關乎行車安全，所以需要高質量且具備安全防護功能的設備，而且隨著技術發展，安全標準也在不斷變化和提高。

　　識別攻擊向量：找出汽車安全的薄弱點

　　一支優秀的運動隊要想防守出色，就得清楚了解對手的進攻計劃一樣，保障汽車信息安全的關鍵也在于找出系統的薄弱環節，也就是識別攻擊向量。

　　Cadence計算解決方案集團副總裁David Glasco指出，從嚴格意義上講，汽車有一個直接攻擊向量，那就是用于上傳所有軟件更新的 WiFi。一旦惡意行為者突破了這個 WiFi 防線，就如同打開了汽車系統的 “大門”，他們便能找到無數方法對汽車系統造成破壞。比如，黑客進入汽車系統后，就能接觸到芯片，通過監測芯片的電磁輻射來推斷密鑰，這就是一種可怕的側信道攻擊。如果安全系統沒有側信道防護，這種攻擊實施起來相當容易。所以，汽車不僅要有信任根來建立安全基礎，信任根還必須具備所有必要的側信道防御能力，才能有效抵御這類攻擊。

　　西門子數字化工業軟件混合與虛擬系統副總裁David Fritz也表示，威脅可能來自計算系統本身之外的任何外部事物。汽車中的眾多傳感器就可能成為一種非常規的攻擊途徑，黑客可以利用這些傳感器將不良數據輸入中央計算系統。不過，在如今的汽車架構中有一個安全島，它是 ISO/SAE 21434 標準所要求的，通常以 ECU 的形式存在。安全島就像是一個嚴格的 “審查官”，所有外部輸入的數據都必須經過它驗證為合法后，才能傳遞到中央計算系統。

　　過去汽車設計中常部署多個 ECU，而現在的趨勢是采用一個計算能力更強的 ECU 來運行管理程序，進而運行多個操作系統。比如，可能有一個安全操作系統專門處理關鍵任務，像控制制動、轉向等，而在同一個 ECU 上還有另一個操作系統，可為后座播放視頻等非關鍵任務服務。這種情況被稱為混合關鍵性，將不同關鍵性的任務整合在一起，帶來了諸多好處，如減輕了汽車重量、降低了功耗，從而增加了電動汽車的續航里程，成本也大幅降低。但同時，由于非關鍵任務與關鍵任務在同一環境中運行，所以確保進入這個整合后的 ECU 的數據沒有被損壞，不會攜帶破壞關鍵任務的數據或程序就變得非常重要。

　　加密：汽車信息安全的核心防線

　　ECU 可以看作是一個強化的網關，在這里會進行加密操作。加密就像是給數據加上了一把特殊的鎖，只有擁有正確鑰匙(密鑰)的人才能打開讀取數據。同時，ECU 還需要不斷增強功能，以防止任何潛在故障，不管是人為攻擊還是其他原因導致的。

　　Fritz提到，汽車系統會進行各種糾錯、加密 / 解密、公私鑰管理等常規安全操作。但要是硬件本身存在能繞過這些安全機制的途徑，那所有的安全措施都白搭。所以，需要專門設計的安全芯片，確保即使遇到電池電量低等情況，安全防護也不會停止工作。

　　所有安全措施的核心是正確且強大的加密技術。加密算法和軟件會不斷變化，這就更加凸顯了對可靠硬件的需求。在 ECU 中，加密尤為重要，同時車輛內部的數據也可以加密作為一種故障安全措施。例如，英飛凌使用一個獨立于同一芯片上其他組件運行的專用安全處理器，它通過對車內數據流進行加密來提供一層冗余保護。

　　英飛凌的Stewart說，要從外部到內部全面保障車輛系統的安全，車輛內部的網絡流量也需要加密，這主要在內置硬件安全模塊的微控制器上進行。由于汽車中有大量數據在流動，像以太網消息、雷達數據、攝像頭數據等，如果對每個數據都進行加密和解密，就需要大量密集的處理。而軟件定義汽車(SDV)最大的特點就是硬件和軟件功能的解耦方式，這使得需要來回傳輸更多數據，也就意味著對安全的要求更高，需要同時對這些數據進行加密。擁有高效處理器就顯得很有優勢，這些處理器有隔離區域，可以在不中斷主處理器的情況下處理所有這些加密任務。

　　如今，汽車向整體安全轉變的一個重要體現是在汽車系統的各個集成電路中安裝信任根。信任根就像是汽車安全網絡的 “基石”，用于在車輛內建立安全網絡。通過它可以確定車輛的安全性，還能將車輛身份與制造商的網絡關聯起來，為軟件認證和安全更新提供方法，而且這一切都源于芯片中的硬件信任根。即便向軟件定義汽車轉型，這種安裝信任根保障安全的方式也會持續下去。

　　安全 IP 在軟件定義汽車安全中的關鍵作用

　　在軟件定義汽車的安全保障中，安全 IP 發揮著關鍵作用。有些安全關鍵問題可以在軟件層面解決，但相比基于硬件的解決方案，軟件層面可能會帶來更多漏洞。Imagination產品管理高級總監Rob Fisher表示，在 GPU 中創建虛擬環境能帶來更好的安全效果。他們公司最先在手機中采用這種方法，現在將其應用到了汽車領域。

　　在 GPU 中，他們允許非安全關鍵任務與安全關鍵任務并行運行且互不干擾。簡單來說，就是在 GPU 中創建多個相互之間無法通信的環境，實現了隔離，這完全是出于安全考慮。在片上系統(SoC)上創建安全環境的策略之一，是對這些環境進行分區，并設置權限級別。這樣一來，特殊應用程序可以訪問架構的不同部分，而正在運行的第三方應用程序則沒有相同的訪問級別。

　　在汽車領域實施這種安全IP，能使 SoC 通過執行周期拆分任務，執行一系列不同的任務，比如信息娛樂任務或者與 ADAS 相關的任務。這兩個任務會分布在物理上分離的硬件寄存器中。這種方式不僅在功能安全方面有明顯貢獻，對車輛的網絡安全也有積極影響。

　　Fisher舉例說，擁有多個環境就如同在 CPU 結構中設置不同的特權級別，這樣可以把非常低的特權級別分配給第三方應用程序。比如在自己的車里下載一個尋找停車場的新應用程序，我們并不清楚是誰編寫的這個程序，也不確定編寫者是否以合理、安全的方式編寫。這個程序甚至可能是一個試圖入侵汽車的應用程序。所以，我們可以在 SoC 中一個高度隔離的區域運行它，給它分配一個非常低的特權級別，使其不允許訪問 GPU，也不允許訪問車輛總線、傳感器總線等關鍵部分，從而保障汽車系統的安全。

　　軟件定義汽車設計師的安全使命

　　從強大的 ECU、多層冗余到安全 IP，實施這些安全功能雖然需要成本，但卻是十分必要的。在軟件定義汽車的背景下，安全應被放在首位，優先于對性能、功耗和面積(PPA)等其他因素的考慮。

　　Cadence的Glasco強調，安全對于汽車就如同汽車本身的安全性能一樣至關重要，是首要任務。如果有人能夠侵入汽車系統，那后果不堪設想，可能會導致嚴重的交通事故。所以，必須擁有優秀的安全架構師，深入思考各種威脅向量。如今，互聯網連接汽車、WiFi 連接汽車和 OTA 更新的普及，使得攻擊向量大幅增加，攻擊者可能會想盡辦法尋找新的攻擊途徑。

　　Rambus汽車行業業務開發總監Adiel Bahrouch認為，汽車是一個非常復雜的系統，而復雜性恰恰是功能安全和信息安全的大敵。現在的汽車與外界 24 小時不間斷連接，并且為了 ADAS 和自動駕駛，會從傳感器收集大量數據并進行處理。因此，這兩類安全變得極其重要。在汽車設計中加入安全功能，會影響到特定的系統選擇和系統架構選擇。

　　Glasco也認同這一點，雖然攻擊者試圖遠程訪問車輛時大概率要通過 ECU，但汽車仍需要多層冗余來保障安全。這些冗余可以硬件安全模塊(HSM)的形式存在于整個汽車系統中。雖然考慮到所有傳入數據最終都要通過 ECU，設置這么多 HSM 可能看起來有些過度，但這對于保障汽車信息安全卻是必不可少的。英飛凌的Stewart說，安全是一個系統級的決策，不能說某個部分安全，而其周圍的部分卻不安全。在區域控制器、制動模塊、轉向模塊等各個部分都設置 HSM，就是為了確保所有網絡流量都是安全的。

　　另外，汽車的使用壽命通常遠遠超過十年，所以加強安全防護尤為重要。新思科技的Borza指出，在汽車制造時實施的安全措施必須足夠靈活，以便能夠執行可能在遙遠未來才上傳的更新。至少要有一個計劃，在車輛的前十年使用壽命內持續進行更新，確保在安全問題出現、被發現以及威脅出現時能夠及時解決。這涉及硬件信任根與軟件的相互作用，以此來驗證所有下載內容，以及車輛內部、車輛與網絡之間的所有通信。

　　結語

　　網絡安全對于軟件定義汽車來說至關重要。我們不能把汽車看作是孤立組件的集合，而要將其視為一個整體系統。過去，汽車通過多個 ECU 實現安全防護，如今趨勢轉變為在汽車最大的薄弱點采用單個強大的 ECU，并在車輛的整個生命周期中輔以不同的冗余和新的更新。汽車制造商面臨的挑戰是深入了解這些系統如何單獨和協同工作，這或許需要將安全培訓作為汽車設計各個方面的先決條件。未來，汽車只會變得更加復雜，所以安全也日益成為汽車行業每個人的責任，關乎每一位駕駛者和乘客的安全與權益。