對于電子電氣架構(gòu)而言，安全考慮是必不可少的，通常來說包含功能安全、預(yù)期功能安全、信息安全。下面來分別聊聊每個包含的內(nèi)容。

1.功能安全

與電子電氣架構(gòu)相關(guān)的功能安全， 指不存在由電子電氣系統(tǒng)功能異常行為引起的危害而造成的不合理風險， 適用于道路車輛上由電子、 電氣和軟件組件組成的安全相關(guān)系統(tǒng)的所有活動。功能安全旨在消除由電子電氣系統(tǒng)失效造成的不合理風險， 電子電氣要滿足的功能目標及要達到的功能安全的等級， 決定了電子電器的架構(gòu)設(shè)計或選型。

隨著電子電氣架構(gòu)技術(shù)的不斷升級， 整車越來越多的系統(tǒng)和組件對功能安全產(chǎn)生影響，為此， 功能安全也從部分關(guān)鍵系統(tǒng)開發(fā)， 向整車各系統(tǒng)全面開發(fā)拓展。同時， 由于域集中式、中央集中式等新架構(gòu)形態(tài)的出現(xiàn)， 對功能安全提出了新的技術(shù)挑戰(zhàn)， 功能安全必須建立針對這些復(fù)雜系統(tǒng)及軟件的開發(fā)和測評手段。與此同時， 功能安全技術(shù)也影響著電子電氣架構(gòu)技術(shù)的發(fā)展， 從傳統(tǒng)的失效安全（fail-safe） 向失效運行（fail-operational） 衍變， 電子電氣架構(gòu)設(shè)計中引入了更多的冗余（如通信冗余、 冗余控制器等） 及安全保障措施（如 E2E 保護） 。未來， 車輛智能化生態(tài)的形成， 將促進功能安全技術(shù)走出單車， 向全鏈路延伸， 實現(xiàn)整體智能生態(tài)的整體安全。

1. 功能安全活動

（1） 功能安全文化與流程建設(shè)：功能安全規(guī)章制度；組織架構(gòu)；功能安全相關(guān)崗位與職責；

（2） 概念階段功能安全需求分析：系統(tǒng)需求（法規(guī)標準、 利益相關(guān)方） ；系統(tǒng)運行域（包括文化、 市場、 自然環(huán)節(jié)） ；系統(tǒng)功能安全需求（SG， FSR， TSR） 等；

（3） 系統(tǒng)設(shè)計與集成階段功能安全活動：系統(tǒng)級功能安全要求；功能安全功能分配與功能要求分解；功能安全接口定義；系統(tǒng)集成與功能安全測試；系統(tǒng)集成功能安全評估；

（4） 硬件單元設(shè)計與測試：硬件功能安全要求；硬件功能安全分析；硬件技術(shù)安全分析；硬件功能安全措施；硬件功能安全測試與驗證；硬件功能安全評估；

（5） 軟件單元設(shè)計與測試：軟件功能安全要求；軟件功能安全分析；軟件技術(shù)安全分析；軟件功能安全措施（冗余方案、 監(jiān)測防護） ；軟件功能安全測試與驗證；軟件功能安全評估；

（6） 產(chǎn)品生產(chǎn)與交付：功能安全生產(chǎn)要求；生產(chǎn)過程功能安全評估；產(chǎn)品功能安全評估；產(chǎn)品交付；

（7） 運行階段概念安全功能安全實時監(jiān)測與防護：功能安全相關(guān)故障診斷；功能安全風險實時防護/風險實時最小化策略；

（8） 功能安全管理：配置管理；變更管理；文檔管理；知識管理。

2. 功能安全技術(shù)體系：

（1） 研究整車和各關(guān)鍵系統(tǒng)的危害行為并進行風險分析， 將危害風險聚類為 n 類， 定義出量化功能安全指標若干， 作為系統(tǒng)和車輛安全目標；

（2） 根據(jù)整車量化安全指標要求， 開展關(guān)鍵功能/系統(tǒng)安全架構(gòu)技術(shù)研究， 制定功能安全產(chǎn)品策略和方案， 制定量化安全技術(shù)需求， 形成功能/系統(tǒng)量化安全需求庫；

（3） 開展安全分析， 將量化安全需求進一步落實到軟硬件安全設(shè)計， 建立軟硬件功能安全需求庫；

（4） 針對軟硬件和系統(tǒng)， 分析不同 ASIL 等級的故障模式及測試要求， 建立功能安全測試系統(tǒng)和測試規(guī)范， 開展功能安全測試；

（5） 基于軟/硬件在環(huán)測試平臺， 實現(xiàn)功能安全驗證和測試， 優(yōu)化安全門限， 檢驗安全響應(yīng)， 評估集成效果；

（6） 進行整車安全測試和評估發(fā)布， 確保整車實現(xiàn)功能安全。

3. 功能安全關(guān)鍵技術(shù)：

（1） 整車量化安全開發(fā)技術(shù)：針對整車危害風險及安全目標， 定義量化指標， 定量衡量整車危害風險行為。

（2） 安全架構(gòu)設(shè)計及量化安全需求開發(fā)技術(shù)：根據(jù)安全指標和產(chǎn)品方案， 設(shè)計整車及系統(tǒng)安全架構(gòu)方案， 分配安全指標， 并開發(fā)量化安全需求， 實現(xiàn)對整車指標的具體化和客觀化實現(xiàn)。

（3） 安全分析和軟硬件基礎(chǔ)安全需求開發(fā)技術(shù)：開展 FMEA、 FTA、 FMEDA 等安全分析， 識別軟硬件故障及風險， 制定應(yīng)對機制和措施， 完成軟硬件基礎(chǔ)安全需求開發(fā)及詳細設(shè)計實現(xiàn)。

（4） 故障注入測試技術(shù)：通過故障模擬手段， 準確模擬電子電氣系統(tǒng)、 組件及軟件安全相關(guān)故障， 開展各層級測試， 檢驗相關(guān)安全機制的有效性。

（5） 功能安全臺架測試技術(shù)：基于軟硬件在環(huán)測試臺架， 開展功能安全仿真和集成測試，檢驗相關(guān)安全機制、 安全響應(yīng)及集成效果。

（6） 功能安全整車測試和評估技術(shù)：開展不同場景下的整車驗證及確認測試， 基于相關(guān)測試及開發(fā)成果， 評估功能安全的整體實現(xiàn)， 完成量產(chǎn)發(fā)布。

2.預(yù)期功能安全

電子電氣架構(gòu)相關(guān)的預(yù)期功能安全（SOTIF） ， 指不存在由預(yù)期功能或其功能實現(xiàn)的不足引起的危害而導(dǎo)致不合理的風險。根據(jù)自動駕駛功能及其運行設(shè)計域， 分析滿足預(yù)期功能安全要求的系統(tǒng)配置方案， 基于系統(tǒng)配置方案確定或選擇合適的電子電氣架構(gòu)方案。

1. 預(yù)期功能安全活動

（1） 預(yù)期功能安全文化與流程建設(shè)；

（2） 預(yù)期功能安全需求分析：系統(tǒng)需求分析（標準法規(guī)要求、 目標市場需求、利益相關(guān)者分析） ；系統(tǒng)功能定義（功能、 環(huán)境、 交互） ；系統(tǒng)預(yù)期功能安全分析（SOTIF 場景、 功能不足與人員誤用、 SOTIF-HARA， SOTIF-Criteria， SOTIF-SG） ；

（3） 預(yù)期功能安全系統(tǒng)設(shè)計、 集成與測試：預(yù)期功能安全功能分配與安全要求分解；系統(tǒng)級預(yù)期功能安全分析與系統(tǒng)方案細化；

（4） 預(yù)期功能安全部件和算法級設(shè)計、 測試：部件功能不足與算法缺陷分析；部件與算法預(yù)期功能安全測試；

（5） 預(yù)期功能安全相關(guān)產(chǎn)品生產(chǎn)與交付；

（6） 運行階段概念預(yù)期功能安全實時監(jiān)測與防護：預(yù)期功能安全實時監(jiān)測；預(yù)期功能安全實時防護/風險最小化策略；

（7） 系統(tǒng)預(yù)期功能安全優(yōu)化與升級；

（8） 預(yù)期功能安全管理：配置管理、 知識管理等。

2. 預(yù)期功能安全技術(shù)體系

（1） 通過定義自動駕駛安全接受準則， 作為自動駕駛產(chǎn)品開發(fā)的首要安全目標， 指導(dǎo)相關(guān)安全需求的制定；

（2） 基于自動駕駛功能方案及場景， 分析潛在的功能不足、 性能局限、 環(huán)境干擾、 人員誤用等安全相關(guān)因素， 制定應(yīng)對措施和需求， 改進產(chǎn)品設(shè)計；

（3） 針對開發(fā)的產(chǎn)品， 開展仿真測試、 定場景測試和道路測試， 全面檢驗產(chǎn)品安全表現(xiàn)；

4） 基于相關(guān)安全準則、 產(chǎn)品設(shè)計、 安全分析和測試結(jié)果， 制定預(yù)期功能安全檔案， 開展 GSN 論證， 評價自動駕駛產(chǎn)品的安全風險， 完成預(yù)期功能安全發(fā)布；

（5） 針對量產(chǎn)后的自動駕駛產(chǎn)品， 開展運行過程的安全風險監(jiān)測， 對于識別出的不合理風險， 啟動風險控制措施， 確保自動駕駛的運行安全。

3. 預(yù)期功能安全關(guān)鍵技術(shù)：

（1） 自動駕駛安全準則制定技術(shù)：針對自動駕駛已知場景和未知場景下的安全表現(xiàn)， 制定客觀量化準則， 科學(xué)判定自動駕駛的安全水平。

（2） 安全分析技術(shù)：通過 STPA（系統(tǒng)理論過程分析） 等安全分析手段， 識別自動駕駛安全相關(guān)功能不足、 性能局限及危害觸發(fā)條件， 制定針對性措施， 開展功能更新。

（3） 多支柱法測試技術(shù)：由仿真測試、 定場景測試和真實道路測試組成的自動駕駛預(yù)期功能安全測試體系。

（4） 安全論證技術(shù)：基于安全開發(fā)、 分析、 測試等結(jié)果， 制定預(yù)期功能安全檔案策略，通過 GSN 等論證手段， 評估自動駕駛安全風險， 完成預(yù)期功能安全發(fā)布;

（5） 安全監(jiān)控技術(shù)：通過車載和遠程手段， 監(jiān)測自動駕駛運行過程中的安全表現(xiàn)， 識別安全風險并開展必要的風險控制措施， 以確保自動駕駛運行安全。

3.信息安全

智能聯(lián)網(wǎng)生態(tài)系統(tǒng)是車內(nèi)網(wǎng)、 車際網(wǎng)和車載移動互聯(lián)網(wǎng)三大部分組成， 只有全面理解智能網(wǎng)聯(lián)汽車的生態(tài)系統(tǒng)， 才能真正理解汽車行業(yè)面臨的安全挑戰(zhàn)和風險。

到 2025 年， 智能聯(lián)網(wǎng)汽車將占全球汽車市場的近 86%， 從而為黑客帶來許多易受攻擊的威脅點。網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件將對汽車行業(yè)構(gòu)成嚴重風險， 因為它們直接影響駕駛員安全、 數(shù)據(jù)隱私和服務(wù)連續(xù)性。

隨著世界首部歐洲 WP29 R155 的汽車強制實施準入法規(guī)于 2021 年 1 月 22 日生效， 新車型于 2022 年 7 月 6 日起強制實施， 在產(chǎn)車型于 2024 年 7 月 6 日起實施。銷往歐洲/日本/韓國市場的車型需要獲取 CSMS（Cybersecurity Management System）認證和 VTA（Vehicle Type Approval） 認證后方可在當?shù)刈院弯N售。另外， 中央網(wǎng)信辦牽頭的“汽車安全管理若干規(guī)定（試行） ”（“規(guī)定”） 于 2021 年 10 月 1 日正式施行， 新上市的汽車須符合“規(guī)定”中的數(shù)據(jù)安全要求。各大整車企業(yè)都根據(jù)各個強制標準的要求， 紛紛積極地應(yīng)對及整改合規(guī)。與此同時，國家信息安全強制性標準、 推薦標準以及各種團體標準都在積極制定當中。國內(nèi)整車企業(yè)也在積極地逐步部署全面的數(shù)據(jù)安全防護體系。

數(shù)據(jù)安全防護體系包括了威脅分析與風險評估以及數(shù)據(jù)安全管理體系和技術(shù)體系建設(shè)，如下圖。

1. 威脅分析與風險評估技術(shù)

面對快速演進的汽車電子電氣架構(gòu)和不斷豐富的智能化功能及場景， 將信息安全納入整車全生命周期， 從概念設(shè)計、 開發(fā)驗證到售后維保直至最終報廢的各階段， 予以全面充分考慮， 已在行業(yè)內(nèi)達成普遍共識。其中， 威脅分析與風險評估（TARA） 作為智能網(wǎng)聯(lián)汽車信息安全功能設(shè)計、 開發(fā)與測試的前提基礎(chǔ)， 在 ISO/SAE 21434 等國際標準和最佳實踐中被視為必不可少的關(guān)鍵關(guān)節(jié)。通過對整車電子電氣架構(gòu)、 系統(tǒng)功能和零部件級中需要保護的資產(chǎn)、資產(chǎn)面臨的威脅和風險的識別評估， 形成整車或零部件的信息安全需求和目標。

綜合國內(nèi)外主流信息安全威脅分析與風險評估方法， 目前面向汽車領(lǐng)域的 TARA 一般過程主要包括資產(chǎn)識別、 影響場景識別及影響評級、 威脅場景識別及攻擊可行性分析、 風險值計算及處置決議。

（1） 資產(chǎn)識別

識別汽車系統(tǒng)中需要保護的資產(chǎn)是開展 TARA 分析的基礎(chǔ)。首先進行相關(guān)項定義（ItemDefinition） ， 其目的是了解分析對象， 清晰地描述與網(wǎng)絡(luò)安全相關(guān)的業(yè)務(wù)或功能， 包括相關(guān)項的組件、 具體物理位置、 詳細功能及應(yīng)用場景、 操作環(huán)境及限制、 關(guān)聯(lián)項、 需滿足的法規(guī)標準等。然后明確數(shù)據(jù)流向， 把相關(guān)項中每個功能用到的數(shù)據(jù)及實體流向進行標識， 形成數(shù)據(jù)流圖（Data Flow Diagram） 。基于上述工作， 識別數(shù)據(jù)流圖中需保護的安全資產(chǎn)并進行標識。

汽車系統(tǒng)的網(wǎng)絡(luò)安全相關(guān)業(yè)務(wù)或功能主要包括：運動控制模塊和具有汽車安全完整性等級（ASIL）的模塊、 與駕駛員或乘客或潛在敏感信息（如位置數(shù)據(jù)）相關(guān)數(shù)據(jù)、 內(nèi)部連接（CAN、以太網(wǎng)、 MOST、 TCP/IP 等） 、 外部連接（后端服務(wù)器的功能接口、 蜂窩通信網(wǎng)絡(luò)、 車載診斷 OBD-II 接口等） 、 無線連接傳感器或執(zhí)行器（如遙控門鎖 RKE、 近場通信 NFC、 輪胎壓力監(jiān)測系統(tǒng) TPMS 等） 。

汽車需要保護的資產(chǎn)由內(nèi)而外主要包括：車載電子組件， 如 ECU、 傳感器、 執(zhí)行器等，以及它們之間的連接；車載網(wǎng)關(guān)；車輛與外部環(huán)境連接的接口設(shè)備、 外部感知部件等。從資產(chǎn)的表現(xiàn)形式， 可以分為數(shù)據(jù)、 軟件、 硬件、 服務(wù)等， 而從需要保護的業(yè)務(wù)過程和活動、 所關(guān)注信息的角度， 資產(chǎn)類型可包括基于 ECU 的控制功能、 與特定車輛相關(guān)的信息、 車輛狀態(tài)信息、 用戶信息、 配置信息、 特定的軟件、 內(nèi)容等。

（2） 影響場景識別及影響評級

基于對資產(chǎn)識別的結(jié)果， 首先明確與已識別資產(chǎn)相關(guān)的安全威脅， 以及威脅與安全屬性的映射關(guān)系， 即確定資產(chǎn)上下文中的特定威脅會影響哪些安全屬性。

威脅與安全屬性之間的映射關(guān)系的確認目前主要采用的是 STRIDE 規(guī)則， 一種最初由微軟提出的結(jié)構(gòu)化、 定性的安全方法， 用于在軟件系統(tǒng)中發(fā)現(xiàn)和枚舉威脅， 目前已擴展適用到汽車電子電氣領(lǐng)域。STRIDE 規(guī)則將威脅的類型分為 6 大類， 即仿冒、 篡改、 抵賴、 信息泄露、 拒絕服務(wù)、 特權(quán)提升， 并將它們與影響的安全屬性：即真實性、 完整性、 機密性、 可用性、 時效性、 防抵賴等進行對應(yīng)， 具體對應(yīng)關(guān)系如下表。

基于威脅將會影響的安全屬性映射關(guān)系， 分析安全屬性破壞會造成的危害， 即危害場景分析， 從 S（人身安全） F（財產(chǎn)） O（功能） P（隱私） 四個方面進行判斷， 企業(yè)也可以定義新的類別， 要有合理的判斷依據(jù)及理由， 并同步到整個供應(yīng)鏈， 達成共識。對利益相關(guān)方的潛在不利影響進行評級， 計算影響等級。

（3） 威脅場景識別及攻擊可行性分析

依據(jù)資產(chǎn)識別和影響場景的分析， 具體分析通過采取什么行為破壞某資產(chǎn)對應(yīng)的哪個安全屬性， 最終導(dǎo)致什么樣的后果。在描述威脅場景時， 應(yīng)具體描述資產(chǎn)、 影響場景、 攻擊方法、 攻擊面之間的關(guān)聯(lián)關(guān)系， 羅列所有相關(guān)項已識別資產(chǎn)涉及到的威脅場景。

結(jié)合攻擊者的動機與識別出的系統(tǒng)用例， 分析對汽車電子系統(tǒng)可能的攻擊。可結(jié)合攻擊樹方法對攻擊場景進行分析， 描繪出攻擊路徑， 可以識別出針對具體資產(chǎn)的具體攻擊手段。

針對每一條攻擊路徑， 完成攻擊耗時、 攻擊者需要具備的專業(yè)知識、 獲取知識的難易程度、 攻擊成功的可能性、 是否需要依賴特殊設(shè)備器材等維度， 計算出攻擊潛力值， 評估得出攻擊可行性等級。

（4） 風險值計算及處置決議

綜合威脅產(chǎn)生的危害影響程度和攻擊成功的可行性程度， 計算確定被評估資產(chǎn)對象在不同威脅場景下的安全風險水平。一般可通過已經(jīng)分析得出的攻擊可行性等級和影響等級對照風險值計算矩陣表， 對應(yīng)相應(yīng)的安全等級。或者通過風險計算公式， 計算得到該威脅場景的風險值， 對應(yīng)計算出安全等級。

基于各項資產(chǎn)的安全風險等級評估結(jié)果， 項目開發(fā)周期和資源的投入， 制定相應(yīng)的風險處置策略， 包括規(guī)避風險、 減輕風險、 轉(zhuǎn)移風險、 接受風險等。通過移除風險源實現(xiàn)規(guī)避風險， 通過定義相關(guān)功能、 組件及產(chǎn)品的網(wǎng)絡(luò)安全目標和需求實現(xiàn)減輕風險。對于風險處置策略不是規(guī)避或降低風險， 而是選擇接受或轉(zhuǎn)移的情況， 進行安全聲明， 表明轉(zhuǎn)移風險或保留風險的前提條件及約束條件。

2. 基于新型電子電氣架構(gòu)的安全技術(shù)

智能網(wǎng)聯(lián)汽車的車輛端、 通信管道、 云平臺以及移動應(yīng)用均面臨一系列的信息安全威脅。從汽車網(wǎng)絡(luò)空間維度出發(fā)， 通過多重技術(shù)協(xié)同、 不同手段互補、 從外到內(nèi)多層次部署安全防線， 滿足車輛信息安全防護的縱深性、 均衡性、 完整性的要求。同時應(yīng)對新一代車輛電子電氣架構(gòu)的需求， 從網(wǎng)聯(lián)安全、 內(nèi)網(wǎng)安全、 ECU 安全角度實施部署相應(yīng)防護措施。

（1） 網(wǎng)聯(lián)安全

網(wǎng)聯(lián)接入層主要抵御針對以太網(wǎng)的 DOS、 PING 類型、 畸形報文、 掃描爆破、 欺騙、 木馬等網(wǎng)絡(luò)攻擊。需要具備車云聯(lián)動機制的主動安全防護能力， 可通過云端系統(tǒng)實時配置防護策略， 主要包括接入認證機制、 通信保護機制、 以太網(wǎng)防火墻機制和入侵檢測與防御（IDPS）機制。

1） 接入認證機制

對 TSP 遠程管理、 OTA 升級、 藍牙鑰匙等關(guān)鍵服務(wù)， 對請求獲取汽車數(shù)據(jù)訪問、 操作權(quán)限的用戶、 設(shè)備、 系統(tǒng)等主體進行身份認證， 防范數(shù)據(jù)非法獲取風險。主要技術(shù)手段包括SSL/TLS、 身份證書、 RADIUS 認證協(xié)議、 公鑰認證機制等。

2） 通信保護機制

對關(guān)鍵業(yè)務(wù)或傳輸?shù)年P(guān)鍵數(shù)據(jù)進行加密、 數(shù)據(jù)校驗等保護。技術(shù)手段包括數(shù)據(jù)加密、 數(shù)據(jù)簽名等。

3） 以太網(wǎng)防火墻機制

基于規(guī)則， 對以太網(wǎng)傳輸內(nèi)容進行過濾控制， 如源/目的 IP、 端口訪問控制、 黑白名單策略、 MACIPURL 地址過濾。主要技術(shù)手段包括 iptables， netfilter 等。

4） 入侵檢測與防御（IDPS） 機制

針對對外的網(wǎng)聯(lián)網(wǎng)絡(luò)（以太網(wǎng)） ， 車端部署檢測網(wǎng)絡(luò)傳輸層攻擊威脅、 檢測會話表示應(yīng)用層異常流量、 與防火墻聯(lián)動防御、 安全事件采集上傳、 防御策略動態(tài)更新等技術(shù)能力。云端方面， 建設(shè)安全實時監(jiān)控、 威脅態(tài)勢呈現(xiàn)、 數(shù)據(jù)統(tǒng)計與分析、 防護策略編排等技術(shù)能力。

（2） 內(nèi)網(wǎng)安全

車輛內(nèi)網(wǎng)安全主要抵御針對車載 CANCANFD、 車載以太網(wǎng)的攻擊入侵， 包括報文監(jiān)聽、錯誤注入、 報文重放等攻擊。通過部署總線入侵檢測機制、 內(nèi)網(wǎng)防火墻機制、 功能域隔離機制、 總線通信保護機制和診斷安全保護機制加以防護。

1） 總線入侵檢測機制

基于 DBC 導(dǎo)出和自定義規(guī)則， 對總線數(shù)據(jù)的 ID 錯誤、 DLC 錯誤、 報文序列、 周期異常、總線負載異常等進行檢測。針對 CAN 總線的入侵檢測技術(shù)包括輕量級的時間間隔分析、 基于信息熵的閾值計算與檢測、 基于 CART 決策樹模型的閾值判斷與檢測等。針對車載以太網(wǎng)的入侵檢測一般通過內(nèi)置在以太網(wǎng)交換機中的汽車防火墻/IDS 解決方案跟蹤所有以太網(wǎng)通信， 檢查狀態(tài)數(shù)據(jù)包和深度數(shù)據(jù)包， 可以涵蓋 SOME/IP， DoIP 等常用車載以太網(wǎng)協(xié)議。

2） 以太網(wǎng)防火墻機制

針對車內(nèi)以太網(wǎng)交換的數(shù)據(jù)進行傳輸控制， 車載通信架構(gòu)中引入防火墻， 在整車架構(gòu)外圍及各安全域?qū)又g進行監(jiān)控隔離， 根據(jù)既定的安全策略（如黑/白名單） 對通信通路進行可靠性管理， 僅允許合法可靠的節(jié)點及用戶進行數(shù)據(jù)傳輸交互， 實現(xiàn)防御拒絕服務(wù)攻擊（DoS）、訪問控制和阻隔非法通信。技術(shù)手段包括源/目的 IP、 端口訪問控制、 黑白名單策略、 MACIP地址過濾或限制、 跨域通信數(shù)據(jù)檢查、 基于 TSN 協(xié)議的內(nèi)網(wǎng)流量控制。

3） 功能域隔離機制

以太網(wǎng)總線架構(gòu)下， 按不同域的功能劃分不同的網(wǎng)絡(luò)域， 網(wǎng)絡(luò)隔離可使用 VLAN 技術(shù)，將物理連接在邏輯上以虛擬化的方式劃分為多個廣播域， VLAN 間不能直接通信， 將廣播報文限制在一個 VLAN 內(nèi)， 避免一個域內(nèi)發(fā)生危害擴散到其他域中。

4） 總線通信保護機制

基于 CANCANFD 總線信息安全防護目前主流采用的是 AUTOSAR 組織制定并實現(xiàn)的SecOC（Secure Onboard Communication， 車載安全通信） 。SecOC 增加加解密運算、 密鑰管理、 新鮮度值管理和分發(fā)等功能， 主要采用基于帶有消息認證碼（MAC） 的數(shù)據(jù)身份驗證和基于 Freshness（新鮮性） 的防重放攻擊等手段實現(xiàn)數(shù)據(jù)的真實性和完整性的校驗。車載以太網(wǎng)通信中， 通過 TLS、 IPSec、 MACSec、 DDS 等協(xié)議分別在傳輸層、 網(wǎng)絡(luò)層、 數(shù)據(jù)鏈路層進行認證、 簽名、 加密、 解密等。此外， 通過部署總線輕量化 SDK， 將普通應(yīng)用幀的數(shù)據(jù)場進行安全處理， 實現(xiàn)總線數(shù)據(jù)輕量化加密。

5） 診斷安全保護機制

針對車輛診斷場景， 對物理 OBD 和遠程診斷提供接入身份的合法性驗證， 對核心的診斷數(shù)據(jù)傳輸進行加密處理， 和診斷防火墻配合對診斷場景、 數(shù)據(jù)進行合規(guī)檢查。與傳統(tǒng)車輛診斷方式比較， 保證診斷服務(wù)由域控代理， 以防止數(shù)據(jù)透傳。

3.關(guān)鍵 ECU 安全

為確保車輛系統(tǒng)或關(guān)鍵數(shù)據(jù)不被破壞， 業(yè)務(wù)應(yīng)用可管可控。在車輛關(guān)鍵 ECU 層面需具備安全啟動、 關(guān)鍵數(shù)據(jù)安全存儲、 系統(tǒng)安全運行的安全能力， 并可為應(yīng)用運行提供權(quán)限管理能力。

1） 安全啟動機制

車內(nèi)自身嵌入無法被修改的信任根作為整車的信任源， 并由此通過安全啟動， 前一個部件驗證后一個部件的數(shù)字簽名， 驗證通過后運行后一個部件。通過對系統(tǒng)和應(yīng)用軟件的逐級驗證， 構(gòu)建整車的信任鏈。基于 SHE、 HSM 等安全模塊， 實現(xiàn)系統(tǒng)的安全啟動功能， 保證FLASH 的程序引導(dǎo)區(qū)、 程序區(qū)域不被破壞、 刷寫、 盜取。

2） 安全運行機制

基于 TEE 可信計算環(huán)境， 即 CPU 內(nèi)與主操作系統(tǒng)并行且獨立運行的安全區(qū)域， 通過軟硬件結(jié)合機制隔離安全區(qū)域中的可信操作系統(tǒng)和可信應(yīng)用， 不受主操作系統(tǒng)中的用戶態(tài)進程影響， 實現(xiàn)系統(tǒng)的關(guān)鍵程序運行環(huán)境安全， 保證需要保護的運行對象的可鑒別性、 完整性和私密性。

3） 安全存儲機制

針對有安全防護需求的車輛數(shù)據(jù)進行加密存儲。數(shù)據(jù)加密中需考慮加密算法選擇（對稱加密和非對稱加密算法） 、 加密范圍、 加密強度設(shè)置、 密鑰粒度選擇、 分層密鑰管理以及基于 PKI 體系的密鑰分發(fā)方式等。面向新一代 EEA 的安全需求， 基于芯片提供的 OTP， 或SHEHSM 的安全存儲能力， 實現(xiàn)系統(tǒng)關(guān)鍵數(shù)據(jù)（身份、 密鑰等關(guān)鍵信息） 的安全存儲， 保證系統(tǒng)的關(guān)鍵數(shù)據(jù)不被盜取、 破壞、 改寫。

4） 應(yīng)用權(quán)限管控機制

對系統(tǒng)運行的上層或第三方業(yè)務(wù)進行統(tǒng)一身份認證（IAM） ， 對其可訪問的資源進行權(quán)限管理， 避免未知應(yīng)用異常啟動、 應(yīng)用越權(quán)操作系統(tǒng)資源等問題發(fā)生。重點考慮訪問控制策略和授權(quán)策略， 設(shè)置不同級別的權(quán)限規(guī)則， 規(guī)則應(yīng)能夠根據(jù)安全需求進行動態(tài)調(diào)整。設(shè)置相應(yīng)的授權(quán)策略保證合法訪問端獲得數(shù)據(jù)資源的訪問權(quán)限。