來源 | 黃惠斌

知圈 | 進“電子電氣架構社群”請加微信13636581676，備注架構

01

電子電氣架構的演進

近年來，汽車電子電氣架構隨著新四化的推進在加速演進。 多家機構及頭部零部件供應商對此均做過總結。 圖中是其中一種對于電子電氣架構演進路線的總結。 一共分為六個階段。

第一階段是模塊化的架構，每個功能對應一個控制器，我們可以稱之為模塊化階段。

第二階段是多個功能集成至一個控制器，但是本質(zhì)上只是多合一的功能集成形式，這個階段叫做集成化階段。

第三階段是將功能按照域進行劃分，例如底盤域、動力域與智駕域，此時部分域中的功能由一個在中心的域控制器實現(xiàn)大部分控制功能，例如域控制器，這個階段叫做中心化。

第四階段會有部分功能跨域進行融合，此時某個功能很可能是跨域來實現(xiàn)的，從功能本身來舉例，全車OTA功能就是明顯的例子，這個階段叫做域融合階段。

第五階段是當域融合到一定程度后，大部分控制器的功能都集成到了一個中央行車電腦里面，并且全車大部分算力也都集中在這個控制器里，外圍只剩下傳感器及執(zhí)行器，這個階段我們可以稱之為中央行車電腦的階段。

第六階段是當中央行車電腦的功能與運算任務，部分由云端實現(xiàn)的架構，這個階段是云計算的階段。

從市場上很多公開的信息來看， 大部分車型都處在第三、第四階段，有少數(shù)在研新車型已經(jīng)行進到了第五階段，也有處于兩個階段之間的在研車型，因此并不能簡單的將某款車型的電子電氣架構認為完全是處在某個階段。 并且單從功能層面來講，甚至部分功能已經(jīng)是主要由云計算來實現(xiàn)了，而電子電氣架構卻還在第三階段。

02

電子電氣架構演進的特點

那么電子電氣架構的演進有什么樣的特點，我們通過這張圖來展示。 最近軟件定義汽車的話題很火，并且也已經(jīng)有部分OEM在研新車型已經(jīng)使用了SOA架構及開發(fā)模式。 一方面是新技術的誕生與需求的變化導致電子電氣架構加速演進，另一方面電子電氣架構的演進反過來給SOA的部署帶來了很大的便利。 因此我們可以認為電子電氣架構帶來的第一個新事物就是SOA。

同時，高級別自動駕駛，智能座艙等熱門功能對總算力的需求進一步增加，在電子電氣架構上也可以明顯的看到為了滿足高算力的需求，分布在E/E架構中的各個控制器的集成程度進一步提升，這個也帶來了集成化的趨勢。 除此之外，在原先IT/ICT領域的成熟技術也在大量移植到汽車工業(yè)中。 例如以太網(wǎng)和安卓，以及在這之上的各種協(xié)議和應用，其中以太網(wǎng)的應用對電子電氣架構及網(wǎng)絡拓撲帶來了非常深遠的影響，技術移植過來就用，也是一個比較大的特點。

集中化帶來了算力集中，而算力集中了之后，需要能夠有效利用算力去實現(xiàn)不同場景的業(yè)務需求，在這個背景之下，虛擬化技術也得到了應用，使得多個類型的操作系統(tǒng)運行在同一芯片上。 除此之外，雖然算力分布是在繼續(xù)集中，但是業(yè)務場景與計算能力的多樣化卻在繼續(xù)，在同一個控制器里面集成CPU/GPU/NPU/MCU等異構處理器處理復雜任務和場景的情況卻越來越普遍。 最后一個我們識別到的特點，就是現(xiàn)在幾乎所有的新車型都是聯(lián)網(wǎng)的，而且還有近場端通信，加上全車OTA刷新也在推廣，這樣我們可以看到的是，幾乎所有控制器都可直接或者間接遠程訪問并可以刷新。

以上是我們在E/E架構演進中觀察到的，那么這些特點和變化對信息安全有會有什么樣的影響，會帶來什么樣的挑戰(zhàn)呢？

03

電子電氣架構演進帶來的相關的信息安全挑戰(zhàn)

我這里挑了幾個點來做分析，這個分析本身只是示例，我希望這里能夠起到一個拋磚引玉的作用。我們首先看一下SOA帶來哪些挑戰(zhàn)。SOA的功能與服務解耦。功能實現(xiàn)是抽象的。而且為了定制和迭代功能，SOA平臺中的服務往往選擇開放，功能也可定制化。這樣在通信層面可利用這些已有的服務，通過偽造身份實施攻擊，例如DoS攻擊。

同時，由于SOME/IP的C/S連接是在需求方有需要時建立連接，屬于動態(tài)連接，用傳統(tǒng)數(shù)據(jù)流的方法分析安全風險非常復雜。這個是SOA帶來的一些挑戰(zhàn)。

那么虛擬化又會帶來什么呢？由于多操作系統(tǒng)運行在一個芯片上，不僅脆弱性增加了，漏洞的管理，修復也會更加復雜，有點牽一發(fā)而動全身的感覺。同時，虛擬機本身也可能帶來額外的脆弱性。

那么異構計算又會帶來什么呢？由于使用多種異構芯片，芯片之間也會交換大量片間數(shù)據(jù)，這可能導致成功實施側信道攻擊或故障注入攻擊的可能性增加。

最明顯的集成化趨勢又會帶來什么樣的挑戰(zhàn)呢？由于控制器不斷集成，數(shù)量不斷減少，網(wǎng)絡層級層數(shù)也在不斷減少，這樣的結果就是，原先需要合并多個脆弱性構建的攻擊路徑會變短，在先進架構上面可能只需要合并利用少量脆弱性，跨越2個控制器，可能T-Box與中央行車電腦，大約4顆芯片就可以接觸到執(zhí)行器從而實現(xiàn)遠程操控了。

下一個特點是現(xiàn)有技術的移植。現(xiàn)在的控制器經(jīng)常大量使用開源組件，而開源組件本身就有一定風險，零日漏洞被發(fā)掘出來的可能性也大很多。并且大多數(shù)先進架構中都會使用以太網(wǎng)及移動OS，原先很多分析攻擊的思路，攻擊用的工具也可以在車上使用。最后一個特點到不是完全由E/E架構演進帶來的。就是網(wǎng)聯(lián)化與全車OTA。這個變化帶來的是，幾乎車上的所有控制器，隨時，隨地都可能遭受攻擊。

這里只列舉了很少一部分新挑戰(zhàn)，實際上挑戰(zhàn)比這里列的肯定要多得多。那么我們應該怎樣去應對這些挑戰(zhàn)呢？

04

如何應對新的挑戰(zhàn)

關于應該如何應對這些挑戰(zhàn)，我這里提出兩個觀點：

第一個觀點，我們要具備全網(wǎng)絡空間視角。這里指的是，在評估風險的時候，將云管端核，以及所有已售出在運行的同類型車輛當作一個整體來考慮。而要做到這樣，其實對人的能力要求非常之高。

第二個觀點，就是我們可以將網(wǎng)絡空間粗略分成云管端核四個層級，我們在導出信息安全需求的時候會發(fā)現(xiàn)，有很多需求跨了多個層級，要實現(xiàn)相應的設計工作，需要有一個頂層視角開展頂層設計，最后將需求層層落實。

我將如何應對E/E架構演進帶來的挑戰(zhàn)歸納為以下5個步驟：

第一步，將全網(wǎng)絡空間當作整體進行分析評估，這里的方法論使用ISO21434。

第二步，在該網(wǎng)絡空間中構建安全架構覆蓋可能產(chǎn)生風險的方方面面。

第三步，將導出的安全需求分層布置，跨層跨終端的需求從頂層設計，部分部署在云端，路端的需求在這個層級就已經(jīng)可以落地了。

第四步，將拆解到整車的信息安全需求分解到整車，此時整車會被視為一個終端。

第五步，將需求進一步分解到控制器層級，最后在控制器層級實施落地。以上是在應對新挑戰(zhàn)時，應該關注的2個要點以及5個步驟。

05

可選解決方案示例

說了這么多，我們到底有沒有什么切實可落地的方案呢。當然有，而且還很多。如果要設計一個可以在全網(wǎng)絡空間中應對信息安全挑戰(zhàn)的方案，可能最終出來一個非常龐雜的需求。如果按照ASPICE流程要求做條目化，可能所有層級的需求加起來會有幾萬條甚至更多。那我們來看一下這幾個例子。

對于SOA架構帶來的問題，其中一條需求是將服務區(qū)分成安全相關服務與非安全相關服務，在安全相關服務中執(zhí)行雙向身份認證。對于虛擬化帶來的問題，其中一條是使用覆蓋多平臺的自動化漏洞管理系統(tǒng)。對于異構計算帶來的問題，其中一條是，盡可能選擇能夠抵抗側信道攻擊與故障注入攻擊的芯片。條件允許的情況下也可以進行相關的測試。

對于集成化趨勢誕生的中央行車電腦，具有遠程連接功能的控制網(wǎng)或者通信單元或者是域控制器，由于其在整車架構中的重要作用，可以直接把目標設定到最高，也就是參考ISO21434的CAL等級，可以直接設定到CAL4。所有能做到的需求都上，測試也全上。對于技術移植帶來的問題，可以這樣考慮。既然ICT領域有這么多現(xiàn)成的工具，為什么不移植過來做測試呢。設計人員也可以學習滲透工具的嘛。比如Kali Linux上面的各種工具，可能已經(jīng)有很多人這樣做了。當然，僅限于測試用途。

06

解決方案在整車層級的部署

當我們生成了大量的需求，整合層一個大的綜合方案之后。在整車級怎么部署呢？首先還是將需求分層，我們從頂層視角看的時候，會發(fā)現(xiàn)有大量的需求是部署在云端和管端的，而且在云端部署的這些需求，大多都是跨層級跨終端的需求。例如PKI, 漏洞管理系統(tǒng)，IDPS在云端的安全日志分析器等等。然后下一步就是將遠程通信，近場端通信，車內(nèi)通信的通信協(xié)議及安全措施定下來。比如TLS和SecOC。而制定通信協(xié)議類的需求，也是需要從整體考慮的。你會發(fā)現(xiàn)信任鏈和TEE的建立，會一直從芯片內(nèi)核的HSM一直延伸到云端。

07

解決方案在控制器層級的實施

在控制器層級的需求實施，決定了需求最終的落地，這里需要將控制器當成一個終端，整車當成一個網(wǎng)絡。之后在系統(tǒng)架構中，將需求進一步定位到芯片。這里可以ISO21434的開發(fā)流程做指導。

08

電子電氣架構演進的特點

我們在應對E/E架構的變革帶來的挑戰(zhàn)時，需要具備全網(wǎng)絡空間的視角，因為E/E架構演進帶來的影響并不僅僅只體現(xiàn)在車上，實際上體現(xiàn)在了網(wǎng)絡空間里，因此我們不能只考慮車，而應該從網(wǎng)絡空間整體考慮，覆蓋E/E架構演進造成的方方面面的風險。

在如何解決問題上，我們需要有頂層設計，這樣才能夠使得跨終端的解決方案更容易實現(xiàn)。 而正是由于解決方案很多都是跨終端的，在實際車型開發(fā)過程中，跨終端方案帶來大量協(xié)調(diào)與溝通的工作，因此時間成本與開發(fā)成本也都非常巨大，如果能夠有一個整體打包的綜合解決方案，不論對于具體的零部件供應商，集成商還是OEM，都將會節(jié)省大量的成本，我們相信，這樣的All-in-one解決方案是市場趨勢。 雖然網(wǎng)絡安全問題很復雜，甚至還在變得更復雜，但是能提供這樣All-in-one解決方案的供應商是可以讓這個問題變得很簡單的。 而中汽創(chuàng)智正在朝著這個方向前進。

作者：

黃惠斌

中汽創(chuàng)智科技有限公司，安全架構經(jīng)理

后臺回復"架構"，獲取高清版PDF資料。