摘要：自動駕駛技術(shù)的量產(chǎn)化需要面對的一大挑戰(zhàn)為互聯(lián)通訊中的網(wǎng)絡(luò)信息安全。本文詳細(xì)介紹了車身網(wǎng)絡(luò)的不同信息安全需求和對應(yīng)解決方案。針對具備采用無線更新軟件SOTA功能的車載網(wǎng)絡(luò)通訊，需要一種基于具有硬件信息安全模塊的微處理器解決方案。它在現(xiàn)有的車身網(wǎng)絡(luò)中以很小的數(shù)據(jù)開銷保護(hù)信號的完整性、安全認(rèn)證和時(shí)效性。同時(shí)描述了使用功能安全和信息安全相結(jié)合的方法進(jìn)行系統(tǒng)開發(fā)和方案制定。進(jìn)而介紹了功能安全和信息安全相關(guān)保護(hù)機(jī)制的驗(yàn)證方法。

介紹：為了讓自動駕駛汽車能夠更好的感知周圍環(huán)境，目前的主流方案包括了兩個(gè)方向。一個(gè)方向是加強(qiáng)車內(nèi)自身傳感器的性能，進(jìn)行多傳感器信號融合。另一個(gè)方向是當(dāng)前汽車行業(yè)高度關(guān)注的互聯(lián)網(wǎng)智能汽車概念，也稱為車車通訊技術(shù)。那么傳感器信號融合勢必涉及車內(nèi)網(wǎng)絡(luò)通訊，如果這些網(wǎng)絡(luò)遭到黑客入侵，車輛被遠(yuǎn)程的黑客控制，后果將不堪設(shè)想。

圖1.動機(jī) – 汽車將連接至不受控的開放網(wǎng)絡(luò)

與此同時(shí)，SOTA (Software update Over The Air) 無線更新軟件功能正日漸成為整車廠追求自動駕駛和車聯(lián)網(wǎng)所必需的趨勢?；赟OTA技術(shù)，軟件相關(guān)的成本將大幅降低。同時(shí)，用戶可以更便捷的得到更新的服務(wù)和功能。然而， SOTA同時(shí)涉及功能安全和信息安全相關(guān)的功能。因?yàn)樗赡軕?yīng)用于各種電子控制器的軟件升級。

圖2.SOTA無線更新軟件功能的優(yōu)勢

1.應(yīng)用挑戰(zhàn)

1.1.網(wǎng)絡(luò)架構(gòu)變革

自動駕駛或是車車互聯(lián)技術(shù)正推動汽車網(wǎng)絡(luò)架構(gòu)發(fā)生變革。如下圖所示，越來越多的車輛將網(wǎng)絡(luò)架構(gòu)按照不同的域進(jìn)行分割。并在域之間基于網(wǎng)關(guān)和域控制器進(jìn)行信息安全的防火墻隔離和數(shù)據(jù)加密。常用的網(wǎng)絡(luò)域包括動力總成Powertrain、底盤Chassis、車身Body和信息娛樂Infotaiment。不同域的子模塊則涉及不同的車內(nèi)網(wǎng)絡(luò)（藍(lán)色）及V2X車車互聯(lián)（紅色）的不同數(shù)據(jù)加密需求。

圖3.域控制器架構(gòu)

在車輛中，不同的電子控制器具有不同的信息安全需求：

1)車聯(lián)網(wǎng)單元：作為車輛連接至云端、外部世界的單元，它要求最高級別的信息安全等級。以此保證車載網(wǎng)絡(luò)不受來自V2X車輛網(wǎng)通訊的信息安全干擾。因此非對稱加密引擎是必需的。

2)中央網(wǎng)關(guān): 由于它直接連接OBD車載診斷接口，因此對于它的車載網(wǎng)絡(luò)通訊加密保護(hù)是必需的。所有的內(nèi)部通訊保護(hù)應(yīng)該基于對稱加密算法。非對稱的加密算法可由軟件實(shí)現(xiàn)。

3)域電子控制器 : 它們是獨(dú)立的ECU電子控制器。在這里主要目的是加密保護(hù)已經(jīng)加密的ECU電子控制器與傳感器及執(zhí)行器之間的交互通訊。其中需要對稱加密引擎的支持。

圖4.車輛信息安全系統(tǒng)

1.2.信息安全方案的功能安全需求

自動駕駛相關(guān)的電子控制器多為功能安全相關(guān)的模塊。如下圖所示，功能安全需求等級高的模塊一般都要求高等級的信息安全需求。而某些信息安全相關(guān)的模塊則不是功能安全相關(guān)的模塊。比如車輛娛樂系統(tǒng)。

圖5.功能安全系統(tǒng)與信息安全系統(tǒng)關(guān)系圖

同時(shí)，功能安全開發(fā)和信息安全開發(fā)存在著很多交疊區(qū)域。在開發(fā)的初期，需要進(jìn)行功能安全和信息安全的并行開發(fā)。使得相互影響的分析因素在開發(fā)初期被識別并被作為功能安全目標(biāo)和信息安全目標(biāo)。同時(shí)兼容功能安全和信息安全的解決方案，將大幅降低系統(tǒng)成本和開發(fā)資源。

圖6.功能安全系統(tǒng)與信息安全系統(tǒng)開發(fā)、流程、元素關(guān)系

2.解決方案

2.1.車內(nèi)通訊信息安全解決方案

車內(nèi)通訊信息安全解決方案需要既安全又能夠符合現(xiàn)有車身網(wǎng)絡(luò)嚴(yán)格且高實(shí)時(shí)性要求的總線標(biāo)準(zhǔn)。這就需要最小化數(shù)據(jù)的額外開銷和成本增長。

一種基于具有硬件信息安全模塊的微處理器，比如英飛凌AURIX微處理器的HSM硬件信息安全模塊，可被用于在現(xiàn)有的車身網(wǎng)絡(luò)中以很小的數(shù)據(jù)開銷保護(hù)信號的完整性、安全認(rèn)證和時(shí)效性。硬件信息安全模塊(HSM)提供了一個(gè)信息安全計(jì)算平臺，由一個(gè)32位CPU、為了存儲加密密鑰和唯一的用戶標(biāo)識符準(zhǔn)備的特殊訪問保護(hù)存儲器和一個(gè)為了高級加密標(biāo)準(zhǔn)AES128加密算法準(zhǔn)備的硬件加速器。其中AES128硬件加速器是一個(gè)可工作于不同模式用于產(chǎn)生隨機(jī)數(shù)的特殊硬件。目前市場上大部分家用無線路由器所采用的數(shù)據(jù)加密標(biāo)準(zhǔn)就是AES128。其加密強(qiáng)度和通訊速率已經(jīng)為市場所接收。

圖7.微處理器的HSM硬件信息安全模塊

2.2.車內(nèi)通訊功能安全解決方案

使用一種緊湊且高性能的多核微處理器，比如英飛凌的AURIX微處理器，可以在兼顧功能安全和信息安全的同時(shí)大大節(jié)省PCB的布板面積。在AURIX微處理器中加入了多個(gè)具有校驗(yàn)內(nèi)核Checker Core的處理核心。處理內(nèi)核間可以對外圍信號進(jìn)行交互校驗(yàn)，從而達(dá)到嚴(yán)苛的功能安全要求。并且又可以滿足自動駕駛實(shí)時(shí)性以及自主外圍設(shè)備操作等等的性能要求。

下圖為車內(nèi)通訊兼容功能安全和信息安全解決方案示例圖。由英飛凌AURIX微處理器中的多個(gè)具有校驗(yàn)內(nèi)核Checker Core的處理核心對外圍信號進(jìn)行交互校驗(yàn)，從而達(dá)到嚴(yán)苛的功能安全要求。由英飛凌AURIX微處理器的HSM硬件信息安全模塊確保ECU1雷達(dá)距離控制電子控制器和ECU2剎車電子控制器間的車內(nèi)通訊信息安全。將來自黑客的數(shù)據(jù)篡改虛假信息阻隔于車內(nèi)通訊網(wǎng)絡(luò)之外。如標(biāo)注1所示系統(tǒng)挑戰(zhàn)為對于消息響應(yīng)的安全認(rèn)證。如標(biāo)注2所示發(fā)送方和數(shù)據(jù)鑒定使用了基于高級加密標(biāo)準(zhǔn)AES的媒體訪問控制器MAC。從而支持系統(tǒng)應(yīng)對關(guān)于消息響應(yīng)安全認(rèn)證的挑戰(zhàn)。

圖 8. 車載網(wǎng)絡(luò)信息安全方案

功能安全相關(guān)的信息安全解決方案

大部分自動駕駛系統(tǒng)中使用的電子控制器是功能安全相關(guān)的。如之前提到的，基于雷達(dá)的距離控制電子控制器ECU1和剎車電子控制器ECU2具有很高的功能安全級別。同時(shí)它們之間的車載通訊網(wǎng)絡(luò)又需要非常高的信息安全級別。因此需要在開發(fā)的早期階段同時(shí)考慮和實(shí)施功能安全和信息安全的需求和方案。

如下為功能安全國際標(biāo)準(zhǔn)ISO26262第二版第二章中附錄F提到的指導(dǎo)方針

在開發(fā)的概念階段

可以基于功能安全的危害來針對信息安全威脅進(jìn)行分析，從而提高危害分析、風(fēng)險(xiǎn)評估以及安全目標(biāo)制定的完整性。

功能安全能夠?yàn)樾畔踩{的識別提供諸如危害和關(guān)聯(lián)風(fēng)險(xiǎn)等信息。

功能安全的安全目標(biāo)和安全概念受到信息安全針對電子電氣系統(tǒng)的攻擊檢測策略和對策的影響。

基于廣泛使用的功能安全開發(fā)方法，對應(yīng)的信息安全開發(fā)方法可以參考標(biāo)準(zhǔn)SAE J3061。

類似于危害分析和風(fēng)險(xiǎn)評估(HARA)方法在功能安全目標(biāo)定義中的使用，信息安全目標(biāo)定義可以基于威脅分析和風(fēng)險(xiǎn)評估(TARA)方法。

圖 9. 信息安全需求決定因素

類似于功能安全危害分析中使用的故障樹分析(FTA)方法，下圖所示為攻擊樹分析(ATA)在信息安全威脅分析中的使用。

關(guān)于信息安全目標(biāo)的定義，信息安全級別是關(guān)鍵的因子。類似于如圖所示功能安全中的ASIL汽車安全完整性等級分析方法，信息安全級別按照嚴(yán)重度severity、可能性probability和可控度controllability進(jìn)行分析和分類。

針對嚴(yán)重度的分析，它不僅包括對于安全的考慮，還包括隱私、財(cái)產(chǎn)和運(yùn)作等因素。

圖10. 基于威脅級別和影響級別的嚴(yán)重級別分析

基于相關(guān)標(biāo)準(zhǔn)SAE J3061信息安全指導(dǎo)書，威脅分析基于嚴(yán)重度severity、可能性probability和可控度controllability的評價(jià)分析?；谌缟系谋砀?，威脅級別和影響級別由相關(guān)參數(shù)評價(jià)總和進(jìn)行估計(jì)。

針對信息安全的驗(yàn)證方法不同于功能安全驗(yàn)證使用的故障注入方法。信息安全驗(yàn)證方法主要包含攻擊和滲透兩種。基于如上提到的車載網(wǎng)絡(luò)信息安全方案，使用了重演攻擊測試和未授權(quán)操作測試進(jìn)行相關(guān)驗(yàn)證。

微處理器MCU在信息安全和功能安全相關(guān)功能中都扮演了重要角色。微處理器MCU是電子控制器ECU安全概念的核心。

經(jīng)驗(yàn)教訓(xùn)：黑客攻擊

參考Charlie Miller 博士和 Chris Valasek的遠(yuǎn)程黑客攻擊汽車報(bào)告“Remote Exploitation of an Unaltered Passenger Vehicle”中提到的信息安全對于具有互聯(lián)功能的汽車至關(guān)重要。在報(bào)告中提到了針對Uconnect系統(tǒng)進(jìn)行黑客攻擊汽車的過程。他們通過SOTA全程軟件升級功能遠(yuǎn)程刷新了修改的固件，然后讓汽車被未經(jīng)保護(hù)的CAN網(wǎng)絡(luò)信號所遠(yuǎn)程操控。如下為具體的黑客攻擊流程：

1.識別目標(biāo)->

2.修改中控車機(jī)當(dāng)中的OMAP芯片->

3.遠(yuǎn)程控制Uconnect系統(tǒng)->

4.對v850芯片刷新修改的固件->

5.執(zhí)行通訊物理層的操控。

案例研究：EPS電動助力轉(zhuǎn)向系統(tǒng)

在這一章中我們將介紹轉(zhuǎn)向柱類型的電子轉(zhuǎn)向助力系統(tǒng)EPS。由于EPS是一種功能安全高度相關(guān)的系統(tǒng)，在這一章中，我們將考慮信息安全和功能安全結(jié)合的分析、開發(fā)、驗(yàn)證方法。

圖11. 功能安全和信息安全結(jié)合的HARA和RATA分析表

EPS控制器使用轉(zhuǎn)向傳感器和車速傳感器輸入信號來計(jì)算所需要的電機(jī)扭矩。為了產(chǎn)生所需電機(jī)扭矩，控制器控制電機(jī)執(zhí)行相應(yīng)的操作。電機(jī)的扭矩由齒輪總成放大并產(chǎn)生所需要的助力扭矩。助力扭矩和駕駛扭矩由齒輪總成進(jìn)行耦合。它的扭矩總和通過上部的轉(zhuǎn)向柱由機(jī)械結(jié)構(gòu)向齒輪和齒條傳輸，最終相應(yīng)的驅(qū)動車輪轉(zhuǎn)向。

圖12. EPS功能框圖

在EPS當(dāng)中，直流無刷電機(jī)BLDC用來產(chǎn)生需要的扭矩。而BLDC電機(jī)產(chǎn)生的扭矩又直接與留過的電流相關(guān)。因此如果能夠控制留過BLDC的電流，就能控制所需的扭矩。對應(yīng)的在電機(jī)驅(qū)動中，通常使用三相橋驅(qū)動和電路來通過調(diào)整PWM的占空比完成對電流的控制。EPS控制器通過調(diào)整占空比來產(chǎn)生所需的扭矩。此時(shí)微處理器MCU針對轉(zhuǎn)向扭矩傳感器和電機(jī)轉(zhuǎn)子位置傳感器的反饋信號來計(jì)算控制信號。進(jìn)而微處理器由具有功能安全監(jiān)控功能的供電單元供電。同時(shí)對于功能安全高度相關(guān)的EPS控制器需要一個(gè)信息安全加密保護(hù)的CAN總線車載網(wǎng)絡(luò)。

圖13. EPS電子電氣架構(gòu)和框圖

危害分析和風(fēng)險(xiǎn)評估:

我們在這個(gè)案例分析中以反向轉(zhuǎn)向助力作為EPS危害的例子分析。當(dāng)這個(gè)危害發(fā)生時(shí)，駕駛者將不能控制正確的轉(zhuǎn)向方向。電機(jī)提供的轉(zhuǎn)向助力將施加在駕駛者給出扭矩的相反方向。（說明危害發(fā)生的場景，才能定義S、E、C）

風(fēng)險(xiǎn)評估：危害將基于嚴(yán)重度severity、暴露程度exposure和可控度controllability等風(fēng)險(xiǎn)進(jìn)行分類。

嚴(yán)重度：車輛將偏離預(yù)期的行駛方向從而可能導(dǎo)致災(zāi)難性的事故。因而這個(gè)危害的嚴(yán)重度應(yīng)該使用最高的級別S3。

暴露程度：這個(gè)危害出現(xiàn)在每個(gè)駕駛情況下且駕駛者總是需要進(jìn)行轉(zhuǎn)向動作。因此暴露的可能性級別為最高級E4。

可控度：如果危害發(fā)生，最惡劣的情況車輛可能無法由駕駛者控制并出現(xiàn)碰撞等事故。因此可控度為C3。

因此針對這個(gè)危害的ASIL等級定義為ASIL D最高級。

針對已識別的安全目標(biāo)（SG），相應(yīng)匯總可能使系統(tǒng)違背安全目標(biāo)的信息安全攻擊匯總與表1和表2。

比如，如果黑客攻擊發(fā)生在EPS模塊系統(tǒng)升級時(shí)，EPS控制的微處理器MCU可能遭受由SOTA軟件遠(yuǎn)程更新刷新更改的固件引發(fā)的黑客攻擊。更改的固件可能在車速大于20公里/小時(shí)時(shí)發(fā)送非預(yù)期的轉(zhuǎn)向信號。這將導(dǎo)致功能安全目標(biāo)1“避免自轉(zhuǎn)向”被違背。因此功能安全和信息安全需要在相關(guān)功能開發(fā)中加以關(guān)注。

表1. EPS功能安全目標(biāo)識別

表2. 基于EPS功能安全目標(biāo)SG1的信息安全分析

這種功能安全和信息安全結(jié)合的分析方法一方面量化了信息安全的威脅，另一方面將功能安全和信息安全各自領(lǐng)域的成熟方法交叉應(yīng)用。結(jié)合HARA和TARA的分析方法能夠?qū)崿F(xiàn)具有功能安全導(dǎo)向的信息安全設(shè)計(jì)。

圖14. 功能安全和信息安全結(jié)合方法工作流程圖

基于功能安全和信息安全的需求開發(fā)：

基于一種緊湊而高性能的多核微處理器方案，比如英飛凌AURIX，能夠同時(shí)滿足功能安全和信息安全的需求。同時(shí)它大幅減少了PCB布板所需的尺寸。在AURIX微處理器的內(nèi)部具有多個(gè)帶校驗(yàn)核的處理器核。傳感器信號能夠在多個(gè)處理器核中進(jìn)行交叉校驗(yàn)。這幫助系統(tǒng)符合更高的功能安全等級。進(jìn)而它還能夠滿足自動駕駛對于實(shí)時(shí)性的要求。

在自動泊車電子控制器和EPS電子控制器之前的CAN FD總線車載網(wǎng)絡(luò)當(dāng)中，為了保護(hù)消息的時(shí)效性，通訊的兩側(cè)需要維護(hù)時(shí)效性數(shù)值。例如每個(gè)獨(dú)特的消息將具有自己的時(shí)效性計(jì)數(shù)器。發(fā)送方將消息按照安全認(rèn)證授權(quán)進(jìn)行加密。安全認(rèn)證信息包含消息認(rèn)證碼MAC和時(shí)效性數(shù)值。接受方則根據(jù)安全認(rèn)證授權(quán)信息進(jìn)行完整性、安全認(rèn)證和時(shí)效性校驗(yàn)。

圖15. 自動泊車ECU和EPS ECU之間車載網(wǎng)絡(luò)通訊加密方案

失效樹分析FTA：

我們將SG1 避免自轉(zhuǎn)向作為案例分析中FTA分析的實(shí)例。

“轉(zhuǎn)向鎖止”第1級故障樹

圖16. EPS FTA故障樹分析第1級

在案例分析中，我們以“錯(cuò)誤的MCU輸出”為例

“錯(cuò)誤的MCU輸出”作為第2級故障樹

圖17. EPS FTA故障樹分析第2級

功能安全和信息安全的驗(yàn)證：

在功能安全的驗(yàn)證中，我們采用故障注入的方法。例如在案例分析中，我們注入一個(gè)故障來模擬“MCU不再正常工作”。我們將MCU的ERR信號從正常的25kHz改成較低的6kHz。安全供電單元的SS1相應(yīng)的按照路徑成功的在1mS進(jìn)行了切斷操作。這種故障注入可以驗(yàn)證“MCU不再正常工作”故障能夠被成功檢測并避免EPS自轉(zhuǎn)向。

為了驗(yàn)證信息安全，我們采用攻擊方法。例如在案例分析中，我們采用了重演攻擊。對于重演攻擊，攻擊方電子控制器ECU不改變之前捕獲到的消息，而僅僅按照相同的消息ID再次發(fā)送捕獲到的消息。

當(dāng)在新的認(rèn)證授權(quán)消息發(fā)送到CAN總線之前，攻擊方重演發(fā)送的消息被接收方認(rèn)為是有效信息。但當(dāng)?shù)诙沃匮莅l(fā)送時(shí)，接受方能夠檢測到重演攻擊，第二個(gè)重演發(fā)送消息被忽略。當(dāng)正常認(rèn)證授權(quán)消息出現(xiàn)在總線上時(shí)，相應(yīng)的攻擊計(jì)數(shù)器自動清零。

圖18. EPS 車載網(wǎng)絡(luò)信息安全重演攻擊測試實(shí)例

綜上所述，本文介紹了一種兼容功能安全和信息安全的車載網(wǎng)絡(luò)解決方案。為了應(yīng)對網(wǎng)絡(luò)信息安全Cyber Security的挑戰(zhàn)，在車內(nèi)通訊網(wǎng)絡(luò)中，一種基于具有硬件信息安全模塊的微處理器，比如具有HSM模塊的英飛凌AURIX微處理器被用于基于AES128高級加密標(biāo)準(zhǔn)保護(hù)車內(nèi)電子控制器間的通訊不被外界黑客攻擊。功能安全的相關(guān)標(biāo)準(zhǔn)和方法的引入，幫助功能安全相關(guān)的電子控制器模塊在開發(fā)初期同時(shí)考慮功能安全和信息安全的相關(guān)需求和目標(biāo)制定。一種同時(shí)滿足功能安全和信息安全相關(guān)需求的MCU，比如AURIX可大幅降低系統(tǒng)成本和開發(fā)資源。解決了上述挑戰(zhàn)，自動駕駛技術(shù)將有望一步步從概念走向量產(chǎn)化，并逐漸在汽車電子主動安全系統(tǒng)得以應(yīng)用。