摘要：自動駕駛技術的量產化需要面對的一大挑戰為互聯通訊中的網絡信息安全。本文詳細介紹了車身網絡的不同信息安全需求和對應解決方案。針對具備采用無線更新軟件SOTA功能的車載網絡通訊，需要一種基于具有硬件信息安全模塊的微處理器解決方案。它在現有的車身網絡中以很小的數據開銷保護信號的完整性、安全認證和時效性。同時描述了使用功能安全和信息安全相結合的方法進行系統開發和方案制定。進而介紹了功能安全和信息安全相關保護機制的驗證方法。

介紹：為了讓自動駕駛汽車能夠更好的感知周圍環境，目前的主流方案包括了兩個方向。一個方向是加強車內自身傳感器的性能，進行多傳感器信號融合。另一個方向是當前汽車行業高度關注的互聯網智能汽車概念，也稱為車車通訊技術。那么傳感器信號融合勢必涉及車內網絡通訊，如果這些網絡遭到黑客入侵，車輛被遠程的黑客控制，后果將不堪設想。

圖1.動機 – 汽車將連接至不受控的開放網絡

與此同時，SOTA (Software update Over The Air) 無線更新軟件功能正日漸成為整車廠追求自動駕駛和車聯網所必需的趨勢。基于SOTA技術，軟件相關的成本將大幅降低。同時，用戶可以更便捷的得到更新的服務和功能。然而， SOTA同時涉及功能安全和信息安全相關的功能。因為它可能應用于各種電子控制器的軟件升級。

圖2.SOTA無線更新軟件功能的優勢

1.應用挑戰

1.1.網絡架構變革

自動駕駛或是車車互聯技術正推動汽車網絡架構發生變革。如下圖所示，越來越多的車輛將網絡架構按照不同的域進行分割。并在域之間基于網關和域控制器進行信息安全的防火墻隔離和數據加密。常用的網絡域包括動力總成Powertrain、底盤Chassis、車身Body和信息娛樂Infotaiment。不同域的子模塊則涉及不同的車內網絡（藍色）及V2X車車互聯（紅色）的不同數據加密需求。

圖3.域控制器架構

在車輛中，不同的電子控制器具有不同的信息安全需求：

1)車聯網單元：作為車輛連接至云端、外部世界的單元，它要求最高級別的信息安全等級。以此保證車載網絡不受來自V2X車輛網通訊的信息安全干擾。因此非對稱加密引擎是必需的。

2)中央網關: 由于它直接連接OBD車載診斷接口，因此對于它的車載網絡通訊加密保護是必需的。所有的內部通訊保護應該基于對稱加密算法。非對稱的加密算法可由軟件實現。

3)域電子控制器 : 它們是獨立的ECU電子控制器。在這里主要目的是加密保護已經加密的ECU電子控制器與傳感器及執行器之間的交互通訊。其中需要對稱加密引擎的支持。

圖4.車輛信息安全系統

1.2.信息安全方案的功能安全需求

自動駕駛相關的電子控制器多為功能安全相關的模塊。如下圖所示，功能安全需求等級高的模塊一般都要求高等級的信息安全需求。而某些信息安全相關的模塊則不是功能安全相關的模塊。比如車輛娛樂系統。

圖5.功能安全系統與信息安全系統關系圖

同時，功能安全開發和信息安全開發存在著很多交疊區域。在開發的初期，需要進行功能安全和信息安全的并行開發。使得相互影響的分析因素在開發初期被識別并被作為功能安全目標和信息安全目標。同時兼容功能安全和信息安全的解決方案，將大幅降低系統成本和開發資源。

圖6.功能安全系統與信息安全系統開發、流程、元素關系

2.解決方案

2.1.車內通訊信息安全解決方案

車內通訊信息安全解決方案需要既安全又能夠符合現有車身網絡嚴格且高實時性要求的總線標準。這就需要最小化數據的額外開銷和成本增長。

一種基于具有硬件信息安全模塊的微處理器，比如英飛凌AURIX微處理器的HSM硬件信息安全模塊，可被用于在現有的車身網絡中以很小的數據開銷保護信號的完整性、安全認證和時效性。硬件信息安全模塊(HSM)提供了一個信息安全計算平臺，由一個32位CPU、為了存儲加密密鑰和唯一的用戶標識符準備的特殊訪問保護存儲器和一個為了高級加密標準AES128加密算法準備的硬件加速器。其中AES128硬件加速器是一個可工作于不同模式用于產生隨機數的特殊硬件。目前市場上大部分家用無線路由器所采用的數據加密標準就是AES128。其加密強度和通訊速率已經為市場所接收。

圖7.微處理器的HSM硬件信息安全模塊

2.2.車內通訊功能安全解決方案

使用一種緊湊且高性能的多核微處理器，比如英飛凌的AURIX微處理器，可以在兼顧功能安全和信息安全的同時大大節省PCB的布板面積。在AURIX微處理器中加入了多個具有校驗內核Checker Core的處理核心。處理內核間可以對外圍信號進行交互校驗，從而達到嚴苛的功能安全要求。并且又可以滿足自動駕駛實時性以及自主外圍設備操作等等的性能要求。

下圖為車內通訊兼容功能安全和信息安全解決方案示例圖。由英飛凌AURIX微處理器中的多個具有校驗內核Checker Core的處理核心對外圍信號進行交互校驗，從而達到嚴苛的功能安全要求。由英飛凌AURIX微處理器的HSM硬件信息安全模塊確保ECU1雷達距離控制電子控制器和ECU2剎車電子控制器間的車內通訊信息安全。將來自黑客的數據篡改虛假信息阻隔于車內通訊網絡之外。如標注1所示系統挑戰為對于消息響應的安全認證。如標注2所示發送方和數據鑒定使用了基于高級加密標準AES的媒體訪問控制器MAC。從而支持系統應對關于消息響應安全認證的挑戰。

圖 8. 車載網絡信息安全方案

功能安全相關的信息安全解決方案

大部分自動駕駛系統中使用的電子控制器是功能安全相關的。如之前提到的，基于雷達的距離控制電子控制器ECU1和剎車電子控制器ECU2具有很高的功能安全級別。同時它們之間的車載通訊網絡又需要非常高的信息安全級別。因此需要在開發的早期階段同時考慮和實施功能安全和信息安全的需求和方案。

如下為功能安全國際標準ISO26262第二版第二章中附錄F提到的指導方針

在開發的概念階段

可以基于功能安全的危害來針對信息安全威脅進行分析，從而提高危害分析、風險評估以及安全目標制定的完整性。

功能安全能夠為信息安全威脅的識別提供諸如危害和關聯風險等信息。

功能安全的安全目標和安全概念受到信息安全針對電子電氣系統的攻擊檢測策略和對策的影響。

基于廣泛使用的功能安全開發方法，對應的信息安全開發方法可以參考標準SAE J3061。

類似于危害分析和風險評估(HARA)方法在功能安全目標定義中的使用，信息安全目標定義可以基于威脅分析和風險評估(TARA)方法。

圖 9. 信息安全需求決定因素

類似于功能安全危害分析中使用的故障樹分析(FTA)方法，下圖所示為攻擊樹分析(ATA)在信息安全威脅分析中的使用。

關于信息安全目標的定義，信息安全級別是關鍵的因子。類似于如圖所示功能安全中的ASIL汽車安全完整性等級分析方法，信息安全級別按照嚴重度severity、可能性probability和可控度controllability進行分析和分類。

針對嚴重度的分析，它不僅包括對于安全的考慮，還包括隱私、財產和運作等因素。

圖10. 基于威脅級別和影響級別的嚴重級別分析

基于相關標準SAE J3061信息安全指導書，威脅分析基于嚴重度severity、可能性probability和可控度controllability的評價分析。基于如上的表格，威脅級別和影響級別由相關參數評價總和進行估計。

針對信息安全的驗證方法不同于功能安全驗證使用的故障注入方法。信息安全驗證方法主要包含攻擊和滲透兩種。基于如上提到的車載網絡信息安全方案，使用了重演攻擊測試和未授權操作測試進行相關驗證。

微處理器MCU在信息安全和功能安全相關功能中都扮演了重要角色。微處理器MCU是電子控制器ECU安全概念的核心。

經驗教訓：黑客攻擊

參考Charlie Miller 博士和 Chris Valasek的遠程黑客攻擊汽車報告“Remote Exploitation of an Unaltered Passenger Vehicle”中提到的信息安全對于具有互聯功能的汽車至關重要。在報告中提到了針對Uconnect系統進行黑客攻擊汽車的過程。他們通過SOTA全程軟件升級功能遠程刷新了修改的固件，然后讓汽車被未經保護的CAN網絡信號所遠程操控。如下為具體的黑客攻擊流程：

1.識別目標->

2.修改中控車機當中的OMAP芯片->

3.遠程控制Uconnect系統->

4.對v850芯片刷新修改的固件->

5.執行通訊物理層的操控。

案例研究：EPS電動助力轉向系統

在這一章中我們將介紹轉向柱類型的電子轉向助力系統EPS。由于EPS是一種功能安全高度相關的系統，在這一章中，我們將考慮信息安全和功能安全結合的分析、開發、驗證方法。

圖11. 功能安全和信息安全結合的HARA和RATA分析表

EPS控制器使用轉向傳感器和車速傳感器輸入信號來計算所需要的電機扭矩。為了產生所需電機扭矩，控制器控制電機執行相應的操作。電機的扭矩由齒輪總成放大并產生所需要的助力扭矩。助力扭矩和駕駛扭矩由齒輪總成進行耦合。它的扭矩總和通過上部的轉向柱由機械結構向齒輪和齒條傳輸，最終相應的驅動車輪轉向。

圖12. EPS功能框圖

在EPS當中，直流無刷電機BLDC用來產生需要的扭矩。而BLDC電機產生的扭矩又直接與留過的電流相關。因此如果能夠控制留過BLDC的電流，就能控制所需的扭矩。對應的在電機驅動中，通常使用三相橋驅動和電路來通過調整PWM的占空比完成對電流的控制。EPS控制器通過調整占空比來產生所需的扭矩。此時微處理器MCU針對轉向扭矩傳感器和電機轉子位置傳感器的反饋信號來計算控制信號。進而微處理器由具有功能安全監控功能的供電單元供電。同時對于功能安全高度相關的EPS控制器需要一個信息安全加密保護的CAN總線車載網絡。

圖13. EPS電子電氣架構和框圖

危害分析和風險評估:

我們在這個案例分析中以反向轉向助力作為EPS危害的例子分析。當這個危害發生時，駕駛者將不能控制正確的轉向方向。電機提供的轉向助力將施加在駕駛者給出扭矩的相反方向。（說明危害發生的場景，才能定義S、E、C）

風險評估：危害將基于嚴重度severity、暴露程度exposure和可控度controllability等風險進行分類。

嚴重度：車輛將偏離預期的行駛方向從而可能導致災難性的事故。因而這個危害的嚴重度應該使用最高的級別S3。

暴露程度：這個危害出現在每個駕駛情況下且駕駛者總是需要進行轉向動作。因此暴露的可能性級別為最高級E4。

可控度：如果危害發生，最惡劣的情況車輛可能無法由駕駛者控制并出現碰撞等事故。因此可控度為C3。

因此針對這個危害的ASIL等級定義為ASIL D最高級。

針對已識別的安全目標（SG），相應匯總可能使系統違背安全目標的信息安全攻擊匯總與表1和表2。

比如，如果黑客攻擊發生在EPS模塊系統升級時，EPS控制的微處理器MCU可能遭受由SOTA軟件遠程更新刷新更改的固件引發的黑客攻擊。更改的固件可能在車速大于20公里/小時時發送非預期的轉向信號。這將導致功能安全目標1“避免自轉向”被違背。因此功能安全和信息安全需要在相關功能開發中加以關注。

表1. EPS功能安全目標識別

表2. 基于EPS功能安全目標SG1的信息安全分析

這種功能安全和信息安全結合的分析方法一方面量化了信息安全的威脅，另一方面將功能安全和信息安全各自領域的成熟方法交叉應用。結合HARA和TARA的分析方法能夠實現具有功能安全導向的信息安全設計。

圖14. 功能安全和信息安全結合方法工作流程圖

基于功能安全和信息安全的需求開發：

基于一種緊湊而高性能的多核微處理器方案，比如英飛凌AURIX，能夠同時滿足功能安全和信息安全的需求。同時它大幅減少了PCB布板所需的尺寸。在AURIX微處理器的內部具有多個帶校驗核的處理器核。傳感器信號能夠在多個處理器核中進行交叉校驗。這幫助系統符合更高的功能安全等級。進而它還能夠滿足自動駕駛對于實時性的要求。

在自動泊車電子控制器和EPS電子控制器之前的CAN FD總線車載網絡當中，為了保護消息的時效性，通訊的兩側需要維護時效性數值。例如每個獨特的消息將具有自己的時效性計數器。發送方將消息按照安全認證授權進行加密。安全認證信息包含消息認證碼MAC和時效性數值。接受方則根據安全認證授權信息進行完整性、安全認證和時效性校驗。

圖15. 自動泊車ECU和EPS ECU之間車載網絡通訊加密方案

失效樹分析FTA：

我們將SG1 避免自轉向作為案例分析中FTA分析的實例。

“轉向鎖止”第1級故障樹

圖16. EPS FTA故障樹分析第1級

在案例分析中，我們以“錯誤的MCU輸出”為例

“錯誤的MCU輸出”作為第2級故障樹

圖17. EPS FTA故障樹分析第2級

功能安全和信息安全的驗證：

在功能安全的驗證中，我們采用故障注入的方法。例如在案例分析中，我們注入一個故障來模擬“MCU不再正常工作”。我們將MCU的ERR信號從正常的25kHz改成較低的6kHz。安全供電單元的SS1相應的按照路徑成功的在1mS進行了切斷操作。這種故障注入可以驗證“MCU不再正常工作”故障能夠被成功檢測并避免EPS自轉向。

為了驗證信息安全，我們采用攻擊方法。例如在案例分析中，我們采用了重演攻擊。對于重演攻擊，攻擊方電子控制器ECU不改變之前捕獲到的消息，而僅僅按照相同的消息ID再次發送捕獲到的消息。

當在新的認證授權消息發送到CAN總線之前，攻擊方重演發送的消息被接收方認為是有效信息。但當第二次重演發送時，接受方能夠檢測到重演攻擊，第二個重演發送消息被忽略。當正常認證授權消息出現在總線上時，相應的攻擊計數器自動清零。

圖18. EPS 車載網絡信息安全重演攻擊測試實例

綜上所述，本文介紹了一種兼容功能安全和信息安全的車載網絡解決方案。為了應對網絡信息安全Cyber Security的挑戰，在車內通訊網絡中，一種基于具有硬件信息安全模塊的微處理器，比如具有HSM模塊的英飛凌AURIX微處理器被用于基于AES128高級加密標準保護車內電子控制器間的通訊不被外界黑客攻擊。功能安全的相關標準和方法的引入，幫助功能安全相關的電子控制器模塊在開發初期同時考慮功能安全和信息安全的相關需求和目標制定。一種同時滿足功能安全和信息安全相關需求的MCU，比如AURIX可大幅降低系統成本和開發資源。解決了上述挑戰，自動駕駛技術將有望一步步從概念走向量產化，并逐漸在汽車電子主動安全系統得以應用。