（本文編譯自Semiconductor Engineering）

汽車正變得越來越智能、復雜，也更容易遭受到網絡攻擊。隨著汽車中半導體和軟件數量的不斷增加，空中更新（OTA）以及與邊緣服務器和服務的連接數量也在不斷增加，這為攻擊增加了多種新的途徑。

要確保車輛的安全，工程師首先需要識別所有可能的連接點。過去，車輛的安全策略中會采用多個ECU，如今汽車制造商越來越依賴單個增強型ECU，因為它可以提高性能和能效。為了彌補冗余度的降低，汽車制造商正在添加數據加密和強大的安全IP，并且開始要求更多類型的工程師進行一定程度的安全培訓。

英飛凌美洲區汽車市場營銷副總裁Bill Stewart表示：“看看我們產品的應用場景。它們用于轉向系統、制動系統、動力系統，無論是燃油車（ICE）還是電動車（EV），這些都已經是關鍵任務系統。即使對于許多ADAS系統，您要采集傳感器數據，將其轉換為車輛行駛方向的指令，轉換為制動或油門信息，這需要真正高質量的器件。器件必須具備安全功能，而且安全標準始終在不斷變化。”

識別攻擊路徑

任何優秀的運動隊都知道，制定防御計劃的最佳方法是了解對手的進攻計劃。雖然惡意攻擊者不斷推陳出新，但對抗他們的最佳方法是找出系統的薄弱之處。

Cadence計算解決方案部門副總裁David Glasco表示，從嚴格意義上來說，汽車只有一個直接攻擊路徑——所有軟件更新都通過Wi-Fi上傳。一旦惡意攻擊者突破了這一防線，他們就能找到無數種方法來破壞系統。

“一旦我能夠進入汽車系統，就可以接觸到芯片，”Glasco表示，“黑客可以通過觀察芯片的電磁輻射來嘗試推斷密鑰。如果你還沒有看過對無防護安全措施的側信道攻擊演示，那么你就會發現，如果沒有側信道保護，攻擊是多么容易。你不僅要確保擁有信任根，而且這個信任根必須具有所有必要的側信道防御措施。”

其他人也同意這一觀點。西門子數字工業軟件公司混合和虛擬系統副總裁David Fritz表示：“（威脅可能來自）外部的任何事物，這里的外部指的是計算系統本身之外的事物。”他表示，汽車中一種非常規攻擊途徑是通過大量傳感器，黑客可以利用這些傳感器“將不良數據輸入到中央計算系統”。“但在當今的架構中，存在一個安全島，所有這些外部輸入都必須經過安全島，并在被傳遞到中央計算系統之前，驗證其合法性。”

這個安全島是ISO/SAE 21434標準所要求的，通常以ECU的形式存在，用于路由數據，然后檢測并拒絕不安全的輸入。過去，汽車設計中通常會部署多個ECU，但最近的趨勢是采用一個計算能力更強的ECU來運行管理程序，而這個管理程序又可以運行多個操作系統。

“你可能有一個安全操作系統來處理關鍵任務，然后同一個ECU上還有另一個操作系統，可以將視頻流傳輸給后座的孩子們播放視頻，”Fritz表示，“我們稱之為混合關鍵性。其中一些任務可能是關鍵任務，有些則不是，但你需要把這些整合在一起。當你整合這些功能時，會帶來一些顯著的優勢。它減輕了重量，降低了功耗，從而延長了電動汽車的續航里程。這大大降低了成本。但與此同時，我們會在同一個環境中運行非關鍵任務和關鍵任務，因此確保進入這個整合后的ECU的數據沒有被破壞，或者以某種方式攜帶可能對必須執行的關鍵任務有害的東西，這一點非常重要。”

ECU可以被視為一個強化網關，在這個網關上進行加密操作，并且需要進一步加強防護，以防止任何潛在故障，無論是來自人為攻擊還是其他來源。

“我們正在進行各種糾錯和加密/解密、公鑰和私鑰等所有常規的安全措施，但如果硬件本身有辦法繞過該機制，那一切都無濟于事，”Fritz表示，“要做到這一點，就需要專門設計具有容錯能力的芯片，因為你不希望僅僅因為電池電量低或其他類似原因而導致安全功能失效。”

所有安全防護的核心歸根結底在于恰當且強大的加密技術。加密算法和軟件會不斷變化，這進一步凸顯了對萬無一失的硬件的需求。雖然這在ECU中尤為重要，但車輛內的數據也可以加密作為一種故障安全措施。例如，英飛凌使用專用的安全處理器，該處理器獨立于同一芯片上的其他組件運行，可以通過加密汽車內部的數據流充當冗余層。

“你必須確保車輛系統從外部和內部的安全，我們也在對車內的網絡流量進行加密，”Stewart說道，“這主要在我們內置硬件安全模塊的微控制器上實現。顯然，這需要大量的密集處理工作。如果你要對每條以太網消息進行加密和解密，并且還有雷達數據和攝像頭數據，那么這些車輛中就會有大量數據在流動。軟件定義汽車（SDV）的最大不同在于硬件和軟件功能的解耦方式。你需要來回傳輸更多數據。這對于安全性而言，意味著你需要同時對這些數據進行加密。在這種情況下，擁有高效的處理器（這些處理器內部有隔離區域，可以在不干擾主處理器的情況下處理所有這些數據）就會大有裨益。”

如今，向整體安全防護的轉變還包括在汽車各系統的IC中安裝信任根。“它們用于在車輛內建立安全網絡，”新思科技科學家Mike Borza表示，“這樣一來，車輛的安全性就能得到保障，車輛的身份也能與制造商的網絡建立關聯，這就為你提供了一種對軟件進行認證和安全更新的方法，但這一切都源于芯片中的硬件信任根。即使我們過渡到所謂的SDV，這種情況也會持續存在。”

IP是SDV安全性的關鍵要素

一些安全關鍵問題可以在軟件層面解決，但這可能導致比基于硬件的解決方案更多的漏洞。Imagination Technologies產品管理高級總監Rob Fisher表示，在GPU中創建虛擬環境可以帶來更理想的結果，Imagination最初在手機中使用這種方法，如今已將其拓展至汽車領域。

Fisher表示：“我們在GPU中所做的，是讓非安全關鍵任務與安全關鍵任務并行運行且互不干擾。本質上，我們在GPU中創建了多個相互隔離、無法通信的環境，我們這樣做是出于安全考量。但在SoC上創建安全環境的這一策略，還包括對這些環境進行分區，并設置權限等級，以便特權應用程序可以訪問架構的不同部分，而運行中的第三方應用程序則不具備相同的訪問權限。”

在汽車領域，實施此類IP可讓SoC通過執行周期分配任務，從而執行一系列操作。例如，這可能是信息娛樂任務，也可能是與ADAS相關的任務。這兩項任務都將分布在物理上分離的硬件寄存器中。雖然這顯然有助于功能安全，但Fisher指出，它還可以對車輛的網絡安全產生積極影響。

“擁有多個環境，這與在CPU結構中設置不同的權限等級非常相似，例如，這能讓你為第三方應用程序分配非常低的權限，”他表示，“在我的車里，我可能會下載一個尋找停車場的新應用程序，但我不知道是誰編寫的。我不知道那個編寫者是否以合理、安全的方式開發了該應用。又或者，它可能是一個試圖入侵我汽車的應用程序。我希望在SoC中一個高度隔離的區域內運行它，所以我給它分配一個極低的權限等級，這個權限等級將不允許它訪問GPU，或者不允許它訪問車輛總線、傳感器總線之類的組件。”

SDV設計者需具備安全專業知識

從功能強大的ECU，到多層冗余設計，再到安全IP，實現這些安全功能雖會增加成本，但卻是必要的。通常在討論實施安全措施時，會涉及對PPA影響的權衡，但Cadence的Glasco表示，在SDV的背景下，安全性優先于任何其他考量因素。

“Security和Safety同樣重要，”他表示，“Security是終極目標，也是首要任務。如果有人能侵入車輛，他們就能讓你撞向墻壁。所以必須確保安全。你必須擁有非常優秀的安全架構師，而且必須認真考慮威脅路徑。問題在于，有些人整天都在積極尋找新的攻擊路徑。”

Rambus汽車行業業務開發總監Adiel Bahrouch認為，對于任何想要涉足汽車領域的設計師來說，至少具備一定程度的安全專業知識是必不可少的。

“我們面對的是一個非常復雜的系統，而復雜性是SecuritySafety的敵人，”Bahrouch說道，“我們面對的是一輛全天候與外界相連的汽車，它還會從傳感器收集大量用于ADAS和自動駕駛的數據。大量數據需要處理，因此Security和Safety變得至關重要。在設計中加入Security和Safety功能可能會導致某些系統選擇和系統架構選擇。”

Glasco對此表示贊同。雖然試圖遠程訪問車輛的攻擊者幾乎肯定要通過ECU，但仍需要多層冗余設計。

“你必須把它看作一個大系統，”他表示，“你必須把它看作是攻擊者有可能侵入的系統。這遠不止是安全啟動這么簡單。你必須考慮所有的攻擊途徑，尤其是現在的聯網汽車、Wi-Fi聯網汽車和OTA更新。攻擊途徑比以往更多了。”

這些冗余可以采用硬件安全模塊(HSM)的形式，他們遍布整個汽車系統。考慮到所有傳入的數據最終都要經過ECU，這可能看似有些過度，但卻是必要的。

“安全性是一個系統級的決策，”英飛凌的Stewart說道，“你不能說，‘這個部件是安全的，但它周圍的其他部件卻都不安全。’區域控制器中有一個HSM，制動模塊中有一個，轉向模塊中有一個，因為所有這些網絡流量都必須是安全的。”

由于汽車的使用壽命可能達十年以上，因此加強安全性尤為重要。新思科技的Borza指出，在制造時實施的措施必須具備足夠的靈活性，以便執行可能在很久之后才會進行的更新。

他說：“至少在車輛使用的前十年，需要有持續更新的計劃。我們必須確保在安全問題出現、被發現和威脅出現時，能夠及時解決。這涉及到硬件中的信任根與軟件之間的相互配合，以驗證所有的下載內容、車輛內部各端點之間的所有通信，以及車輛與網絡本身之間的通信。”

結語

網絡安全對于SDV至關重要，它要求將汽車視為一個系統，而非孤立組件的集合。過去，汽車通過多個ECU來實現安全防護，但如今的趨勢是，在汽車最薄弱的環節設置一個強大的ECU，并在汽車的整個生命周期內，通過不同的冗余設計和新的更新來加以補充。

汽車制造商面臨的挑戰在于，要了解這些系統的各個部分在單獨運行以及協同運行時的表現，這可能意味著，對于汽車設計的任何一個方面，安全培訓都將成為先決條件。未來，汽車只會變得更加復雜，網絡安全也正日益被視為每個人的責任。