汽車正經歷著一場智能化變革。然而，這也使得汽車更容易遭受網絡攻擊。隨著半導體和軟件在汽車中的占比不斷增加，無線（OTA）更新的普及以及與邊緣服務器和各類服務連接數量的增多，各種新的攻擊途徑也隨之而來。那么，該如何保障汽車的信息安全呢？

要談論安全，首先需要談論電子控制單元（ECU），過去，車輛安全策略常常依賴多個ECU。ECU 就像是汽車的 “小管家”，負責控制汽車各個不同的功能。但如今，汽車制造商越來越傾向于使用單個功能更強大的 ECU。這是因為單個增強型 ECU 能夠提升汽車的性能和電源效率。

不過，這樣一來，冗余性就降低了。為了彌補這一不足，汽車制造商采取了多種措施。一方面增加數據加密功能，讓黑客難以窺探和篡改；另一方面引入強大的安全IP，筑牢安全防線。同時，還要求更多類型的工程師接受一定程度的安全培訓，讓整個汽車制造團隊都具備更強的安全意識。

英飛凌汽車美洲市場副總裁Bill Stewart提到，汽車的轉向系統(tǒng)、制動系統(tǒng)、動力系統(tǒng)，無論是內燃機汽車還是電動汽車中的這些系統(tǒng)，都屬于關鍵任務系統(tǒng)。就連許多先進駕駛輔助系統(tǒng)（ADAS）也不例外，ADAS 會采集傳感器數據，然后將其轉換為車輛行駛方向的指令，進而轉化為制動或油門指令。這些關鍵系統(tǒng)的正常運行關乎行車安全，所以需要高質量且具備安全防護功能的設備，而且隨著技術發(fā)展，安全標準也在不斷變化和提高。

一支優(yōu)秀的運動隊要想防守出色，就得清楚了解對手的進攻計劃一樣，保障汽車信息安全的關鍵也在于找出系統(tǒng)的薄弱環(huán)節(jié)，也就是識別攻擊向量。

Cadence計算解決方案集團副總裁David Glasco指出，從嚴格意義上講，汽車有一個直接攻擊向量，那就是用于上傳所有軟件更新的 WiFi。一旦惡意行為者突破了這個 WiFi 防線，就如同打開了汽車系統(tǒng)的 “大門”，他們便能找到無數方法對汽車系統(tǒng)造成破壞。比如，黑客進入汽車系統(tǒng)后，就能接觸到芯片，通過監(jiān)測芯片的電磁輻射來推斷密鑰，這就是一種可怕的側信道攻擊。如果安全系統(tǒng)沒有側信道防護，這種攻擊實施起來相當容易。所以，汽車不僅要有信任根來建立安全基礎，信任根還必須具備所有必要的側信道防御能力，才能有效抵御這類攻擊。

西門子數字化工業(yè)軟件混合與虛擬系統(tǒng)副總裁David Fritz也表示，威脅可能來自計算系統(tǒng)本身之外的任何外部事物。汽車中的眾多傳感器就可能成為一種非常規(guī)的攻擊途徑，黑客可以利用這些傳感器將不良數據輸入中央計算系統(tǒng)。不過，在如今的汽車架構中有一個安全島，它是 ISO/SAE 21434 標準所要求的，通常以 ECU 的形式存在。安全島就像是一個嚴格的 “審查官”，所有外部輸入的數據都必須經過它驗證為合法后，才能傳遞到中央計算系統(tǒng)。

過去汽車設計中常部署多個 ECU，而現在的趨勢是采用一個計算能力更強的 ECU 來運行管理程序，進而運行多個操作系統(tǒng)。比如，可能有一個安全操作系統(tǒng)專門處理關鍵任務，像控制制動、轉向等，而在同一個 ECU 上還有另一個操作系統(tǒng)，可為后座播放視頻等非關鍵任務服務。這種情況被稱為混合關鍵性，將不同關鍵性的任務整合在一起，帶來了諸多好處，如減輕了汽車重量、降低了功耗，從而增加了電動汽車的續(xù)航里程，成本也大幅降低。但同時，由于非關鍵任務與關鍵任務在同一環(huán)境中運行，所以確保進入這個整合后的 ECU 的數據沒有被損壞，不會攜帶破壞關鍵任務的數據或程序就變得非常重要。

ECU 可以看作是一個強化的網關，在這里會進行加密操作。加密就像是給數據加上了一把特殊的鎖，只有擁有正確鑰匙（密鑰）的人才能打開讀取數據。同時，ECU 還需要不斷增強功能，以防止任何潛在故障，不管是人為攻擊還是其他原因導致的。

Fritz提到，汽車系統(tǒng)會進行各種糾錯、加密 / 解密、公私鑰管理等常規(guī)安全操作。但要是硬件本身存在能繞過這些安全機制的途徑，那所有的安全措施都白搭。所以，需要專門設計的安全芯片，確保即使遇到電池電量低等情況，安全防護也不會停止工作。

所有安全措施的核心是正確且強大的加密技術。加密算法和軟件會不斷變化，這就更加凸顯了對可靠硬件的需求。在 ECU 中，加密尤為重要，同時車輛內部的數據也可以加密作為一種故障安全措施。例如，英飛凌使用一個獨立于同一芯片上其他組件運行的專用安全處理器，它通過對車內數據流進行加密來提供一層冗余保護。

英飛凌的Stewart說，要從外部到內部全面保障車輛系統(tǒng)的安全，車輛內部的網絡流量也需要加密，這主要在內置硬件安全模塊的微控制器上進行。由于汽車中有大量數據在流動，像以太網消息、雷達數據、攝像頭數據等，如果對每個數據都進行加密和解密，就需要大量密集的處理。而軟件定義汽車（SDV）最大的特點就是硬件和軟件功能的解耦方式，這使得需要來回傳輸更多數據，也就意味著對安全的要求更高，需要同時對這些數據進行加密。擁有高效處理器就顯得很有優(yōu)勢，這些處理器有隔離區(qū)域，可以在不中斷主處理器的情況下處理所有這些加密任務。

如今，汽車向整體安全轉變的一個重要體現是在汽車系統(tǒng)的各個集成電路中安裝信任根。信任根就像是汽車安全網絡的 “基石”，用于在車輛內建立安全網絡。通過它可以確定車輛的安全性，還能將車輛身份與制造商的網絡關聯起來，為軟件認證和安全更新提供方法，而且這一切都源于芯片中的硬件信任根。即便向軟件定義汽車轉型，這種安裝信任根保障安全的方式也會持續(xù)下去。

在軟件定義汽車的安全保障中，安全 IP 發(fā)揮著關鍵作用。有些安全關鍵問題可以在軟件層面解決，但相比基于硬件的解決方案，軟件層面可能會帶來更多漏洞。Imagination產品管理高級總監(jiān)Rob Fisher表示，在 GPU 中創(chuàng)建虛擬環(huán)境能帶來更好的安全效果。他們公司最先在手機中采用這種方法，現在將其應用到了汽車領域。

在 GPU 中，他們允許非安全關鍵任務與安全關鍵任務并行運行且互不干擾。簡單來說，就是在 GPU 中創(chuàng)建多個相互之間無法通信的環(huán)境，實現了隔離，這完全是出于安全考慮。在片上系統(tǒng)（SoC）上創(chuàng)建安全環(huán)境的策略之一，是對這些環(huán)境進行分區(qū)，并設置權限級別。這樣一來，特殊應用程序可以訪問架構的不同部分，而正在運行的第三方應用程序則沒有相同的訪問級別。

在汽車領域實施這種安全IP，能使 SoC 通過執(zhí)行周期拆分任務，執(zhí)行一系列不同的任務，比如信息娛樂任務或者與 ADAS 相關的任務。這兩個任務會分布在物理上分離的硬件寄存器中。這種方式不僅在功能安全方面有明顯貢獻，對車輛的網絡安全也有積極影響。

Fisher舉例說，擁有多個環(huán)境就如同在 CPU 結構中設置不同的特權級別，這樣可以把非常低的特權級別分配給第三方應用程序。比如在自己的車里下載一個尋找停車場的新應用程序，我們并不清楚是誰編寫的這個程序，也不確定編寫者是否以合理、安全的方式編寫。這個程序甚至可能是一個試圖入侵汽車的應用程序。所以，我們可以在 SoC 中一個高度隔離的區(qū)域運行它，給它分配一個非常低的特權級別，使其不允許訪問 GPU，也不允許訪問車輛總線、傳感器總線等關鍵部分，從而保障汽車系統(tǒng)的安全。

從強大的 ECU、多層冗余到安全 IP，實施這些安全功能雖然需要成本，但卻是十分必要的。在軟件定義汽車的背景下，安全應被放在首位，優(yōu)先于對性能、功耗和面積（PPA）等其他因素的考慮。

Cadence的Glasco強調，安全對于汽車就如同汽車本身的安全性能一樣至關重要，是首要任務。如果有人能夠侵入汽車系統(tǒng)，那后果不堪設想，可能會導致嚴重的交通事故。所以，必須擁有優(yōu)秀的安全架構師，深入思考各種威脅向量。如今，互聯網連接汽車、WiFi 連接汽車和 OTA 更新的普及，使得攻擊向量大幅增加，攻擊者可能會想盡辦法尋找新的攻擊途徑。

Rambus汽車行業(yè)業(yè)務開發(fā)總監(jiān)Adiel Bahrouch認為，汽車是一個非常復雜的系統(tǒng)，而復雜性恰恰是功能安全和信息安全的大敵。現在的汽車與外界 24 小時不間斷連接，并且為了 ADAS 和自動駕駛，會從傳感器收集大量數據并進行處理。因此，這兩類安全變得極其重要。在汽車設計中加入安全功能，會影響到特定的系統(tǒng)選擇和系統(tǒng)架構選擇。

Glasco也認同這一點，雖然攻擊者試圖遠程訪問車輛時大概率要通過 ECU，但汽車仍需要多層冗余來保障安全。這些冗余可以硬件安全模塊（HSM）的形式存在于整個汽車系統(tǒng)中。雖然考慮到所有傳入數據最終都要通過 ECU，設置這么多 HSM 可能看起來有些過度，但這對于保障汽車信息安全卻是必不可少的。英飛凌的Stewart說，安全是一個系統(tǒng)級的決策，不能說某個部分安全，而其周圍的部分卻不安全。在區(qū)域控制器、制動模塊、轉向模塊等各個部分都設置 HSM，就是為了確保所有網絡流量都是安全的。

另外，汽車的使用壽命通常遠遠超過十年，所以加強安全防護尤為重要。新思科技的Borza指出，在汽車制造時實施的安全措施必須足夠靈活，以便能夠執(zhí)行可能在遙遠未來才上傳的更新。至少要有一個計劃，在車輛的前十年使用壽命內持續(xù)進行更新，確保在安全問題出現、被發(fā)現以及威脅出現時能夠及時解決。這涉及硬件信任根與軟件的相互作用，以此來驗證所有下載內容，以及車輛內部、車輛與網絡之間的所有通信。

網絡安全對于軟件定義汽車來說至關重要。我們不能把汽車看作是孤立組件的集合，而要將其視為一個整體系統(tǒng)。過去，汽車通過多個 ECU 實現安全防護，如今趨勢轉變?yōu)樵谄囎畲蟮谋∪觞c采用單個強大的 ECU，并在車輛的整個生命周期中輔以不同的冗余和新的更新。汽車制造商面臨的挑戰(zhàn)是深入了解這些系統(tǒng)如何單獨和協同工作，這或許需要將安全培訓作為汽車設計各個方面的先決條件。未來，汽車只會變得更加復雜，所以安全也日益成為汽車行業(yè)每個人的責任，關乎每一位駕駛者和乘客的安全與權益。