作者：Arm 架構(gòu)與技術(shù)部系統(tǒng)架構(gòu)師 Andrew Jones

汽車行業(yè)正經(jīng)歷著自汽車商業(yè)化生產(chǎn)以來(lái)最大的變革。在未來(lái)的幾十年中，人們與汽車的關(guān)系將發(fā)生徹底的改變，并顛覆以往的認(rèn)知。軟件定義汽車 (SDV)[1] 的出現(xiàn)將推動(dòng)全新功能、商業(yè)模式和駕乘體驗(yàn)的不斷演進(jìn)。

對(duì)于汽車用戶而言，軟件定義汽車能夠帶來(lái)的最大好處是車輛的新功能將在整個(gè)車輛的使用周期內(nèi)持續(xù)不斷地進(jìn)行更新和升級(jí)。隨著越來(lái)越多的汽車功能由軟件來(lái)實(shí)現(xiàn)，汽車的電氣架構(gòu)也將發(fā)生改變，并有機(jī)會(huì)帶來(lái)更高的安全性、便利性和舒適性，而這些也正是車廠競(jìng)相角逐和尋求商業(yè)差異化的關(guān)鍵領(lǐng)域。軟件定義汽車將讓車廠在成本、時(shí)間和營(yíng)收方面獲得好處，并讓相關(guān)的軟件開發(fā)者們受益。例如，如自適應(yīng)前大燈等功能的訂閱模式，延長(zhǎng)汽車電池續(xù)航能力的創(chuàng)新技術(shù)，或可支持并存儲(chǔ)多名駕駛員的個(gè)性化車載配置。

然而，當(dāng)有人提出“我們需要更多的軟件”時(shí)，這句話在安全工程師聽來(lái)，無(wú)異于“有更多的資產(chǎn)需要被保護(hù)”和“將承受更大的受攻擊面”，這就意味著“我們需要更高的安全性”。除了擁抱汽車行業(yè)的新機(jī)遇外，復(fù)雜的安全威脅也需要被關(guān)注和考慮。隨著軟件定義汽車在全球范圍內(nèi)逐步推廣，軟件的性質(zhì)只會(huì)變得更加復(fù)雜，這將對(duì)汽車安全產(chǎn)生深遠(yuǎn)影響。

代碼庫(kù)越大，受攻擊面就越大

軟件定義汽車并非只是軟件的數(shù)量增多，軟件需要保護(hù)的資產(chǎn)也會(huì)增多，而汽車和云端之間的接口也因此隨之增加。與此同時(shí)，軟件將由更多樣化的開發(fā)者生態(tài)來(lái)設(shè)計(jì)提供，并運(yùn)行于更復(fù)雜的架構(gòu)中。所有這些都意味著受攻擊面會(huì)更大，需要更加強(qiáng)大的網(wǎng)絡(luò)安全性。

具有高價(jià)值資產(chǎn)的嵌入式系統(tǒng)往往會(huì)成為物理篡改和側(cè)信道攻擊的目標(biāo)，汽車部件對(duì)此類風(fēng)險(xiǎn)的防御力也由此變得越來(lái)越強(qiáng)。然而，最普遍的攻擊途徑是軟件。軟件定義汽車的出現(xiàn)，使得受攻擊面擴(kuò)展到了云端。因此，我們?cè)?a href="http://www.1cnz.cn/v/tag/11230/" target="_blank">智能手機(jī)、物聯(lián)網(wǎng) (IoT) 和云服務(wù)器等領(lǐng)域遇到的各類攻擊，在汽車領(lǐng)域中同樣要面對(duì)和解決。軟件定義汽車生態(tài)系統(tǒng)需要部署與其他技術(shù)市場(chǎng)類似的防御措施。此外，相較于其它設(shè)備，汽車的使用周期會(huì)更長(zhǎng)，意味著今天的汽車必須能夠防御未來(lái)的威脅，這也增加了另一層安全的復(fù)雜性。

更高的復(fù)雜性帶來(lái)信任問(wèn)題

軟件定義汽車還需要日益復(fù)雜的軟件架構(gòu)予以支持，但軟件架構(gòu)自身也會(huì)存在風(fēng)險(xiǎn)。無(wú)論是部署不同信任等級(jí)的流程，還是使用來(lái)自多個(gè)開發(fā)者的軟件組件，都需要強(qiáng)大的隔離機(jī)制進(jìn)行安全交互。平臺(tái)需要建立和維護(hù)信任邊界，確保軟件的權(quán)限不超過(guò)特定組件運(yùn)行所需的權(quán)限。

可擴(kuò)展的威脅

攻擊者遠(yuǎn)程控制汽車并傷害車內(nèi)外人員，這種潛在風(fēng)險(xiǎn)確實(shí)存在，我們需要設(shè)法消除這種威脅。然而在現(xiàn)實(shí)中，此類威脅不具備規(guī)模化，也遠(yuǎn)非大多數(shù)黑客實(shí)現(xiàn)其非法目標(biāo)的主要途徑。軟件定義汽車最常見(jiàn)的威脅可能來(lái)自勒索軟件和其他出于經(jīng)濟(jì)動(dòng)機(jī)的犯罪，例如車輛盜竊或欺詐性功能的啟用。我們已經(jīng)開始在市面上的車輛中遇到此類攻擊。

隱私權(quán)

人們可能會(huì)越來(lái)越注重軟件定義汽車的隱私問(wèn)題，隨著車輛中更多的個(gè)性化配置和輔助駕駛的廣泛應(yīng)用，視頻攝像頭利用率逐步增高，并大量采集環(huán)境圖像，使隱私成為一大顧慮。汽車軟件將需要更加靈活的訪問(wèn)控制和服務(wù)整個(gè)汽車生命周期的方針，以保護(hù)此類數(shù)據(jù)免受攻擊者的攻擊，同時(shí)還須遵守有關(guān)使用個(gè)人身份數(shù)據(jù)的最新法規(guī)。

法規(guī)

軟件定義汽車的出現(xiàn)，敦促風(fēng)險(xiǎn)管控法規(guī)的出臺(tái)，通過(guò)審計(jì)流程對(duì)交通系統(tǒng)和用戶的風(fēng)險(xiǎn)進(jìn)行適當(dāng)?shù)墓芸亍Ｈ蚋鞯匾矊?duì)車廠施加網(wǎng)絡(luò)安全義務(wù)，比如需要在車內(nèi)采用經(jīng)認(rèn)證的網(wǎng)絡(luò)安全管理系統(tǒng) (CSMS)[2]。要求每家車廠“展示一個(gè)基于風(fēng)險(xiǎn)的管理框架，用于發(fā)現(xiàn)、分析和防范相關(guān)威脅、漏洞和網(wǎng)絡(luò)攻擊”。

目前，根據(jù)聯(lián)合國(guó)世界車輛法規(guī)協(xié)調(diào)論壇 (World Forum for Harmonization of Vehicle Regulations)[3] 所采納的一套聯(lián)合國(guó)車輛法規(guī)顯示，為整個(gè)生態(tài)系統(tǒng)提供適當(dāng)?shù)木W(wǎng)絡(luò)安全是軟件定義汽車獲批銷售的條件之一。這些舉措與 ISO 所做的努力不謀而合，ISO 已經(jīng)為道路車輛建立了網(wǎng)絡(luò)安全工程標(biāo)準(zhǔn)。不過(guò)，法規(guī)內(nèi)容主要涉及的是人員和流程，并不包括技術(shù)實(shí)施。為此，生態(tài)系統(tǒng)還需要架構(gòu)框架和軟件標(biāo)準(zhǔn)來(lái)提高實(shí)現(xiàn)合規(guī)網(wǎng)絡(luò)安全的效率。

架構(gòu)模塊

從硬件的角度來(lái)看，架構(gòu)提供兩種類型的構(gòu)建模塊。首先是對(duì)各種防御性執(zhí)行技術(shù)的支持。這些技術(shù)在程序執(zhí)行過(guò)程中會(huì)屏蔽控制流，以防出現(xiàn)內(nèi)存安全錯(cuò)誤。此類技術(shù)已被 Arm 廣泛部署于移動(dòng)和消費(fèi)類計(jì)算設(shè)備的處理器中，而現(xiàn)在它們也正成為了汽車市場(chǎng)中必不可少的技術(shù)。其中包括 Arm 的指針驗(yàn)證 (PAC)、分支目標(biāo)識(shí)別 (BTI)[4] 和內(nèi)存標(biāo)記擴(kuò)展 (MTE) 技術(shù)[5]。

第二類構(gòu)建模塊通過(guò)提供硬件支持的隔離機(jī)制來(lái)管理軟件復(fù)雜性，以實(shí)現(xiàn)信任邊界的硬件實(shí)施。Arm TrustZone[6] 就是提供此類機(jī)制的技術(shù)，它有助于減少虛擬機(jī)管理程序和內(nèi)核漏洞的風(fēng)險(xiǎn)，并在數(shù)據(jù)使用時(shí)進(jìn)行保護(hù)。TrustZone 會(huì)定期增強(qiáng)和更新，以滿足不斷變化的安全要求。

針對(duì)復(fù)雜汽車軟件的標(biāo)準(zhǔn)框架

平臺(tái)標(biāo)準(zhǔn)的廣泛應(yīng)用對(duì)于實(shí)現(xiàn)汽車網(wǎng)絡(luò)恢復(fù)能力至關(guān)重要。要實(shí)現(xiàn)這一目標(biāo)，其一是通過(guò) PSA Certified[7], 該認(rèn)證是一個(gè)成熟的通用框架，它提供有效的認(rèn)證流程并被整個(gè)物聯(lián)網(wǎng)市場(chǎng)視作網(wǎng)絡(luò)安全質(zhì)量的標(biāo)準(zhǔn)。目前 PSA Certified 已經(jīng)開始在汽車供應(yīng)鏈中被應(yīng)用，用以提高信息安全穩(wěn)健性的影響力和相關(guān)溝通。通過(guò)整個(gè)生態(tài)系統(tǒng)已建立的最佳實(shí)踐和強(qiáng)大的信任根 (RoT) 以提供內(nèi)置的基礎(chǔ)安全性。

Arm 還積極參與發(fā)展 SOAFEE（嵌入式邊緣的可擴(kuò)展開放架構(gòu)）[8]，這是一個(gè)云原生軟件架構(gòu)框架和開源參考軟件棧。SOAFEE 旨在實(shí)現(xiàn)行業(yè)協(xié)作，是基于一個(gè)標(biāo)準(zhǔn)的軟件定義汽車的軟件框架。它有助于滿足汽車的實(shí)時(shí)和安全需求并解決行業(yè)復(fù)雜性。SOAFEE 計(jì)劃以 Arm 的多個(gè)平臺(tái)標(biāo)準(zhǔn)為基礎(chǔ)，其中包括 Arm SystemReady[9]，通過(guò)標(biāo)準(zhǔn)化通用設(shè)備接口和啟動(dòng)固件來(lái)增強(qiáng)可移植性。

未來(lái)趨勢(shì)

未來(lái)，軟件將決定一輛汽車的駕乘體驗(yàn)感和功能性，而在軟件定義汽車的演進(jìn)過(guò)程中，信息安全則是各方實(shí)現(xiàn)這一價(jià)值的基礎(chǔ)。無(wú)法保護(hù)好軟件定義汽車及其資產(chǎn)可能會(huì)對(duì)汽車用戶和汽車行業(yè)的其他利益相關(guān)方帶來(lái)嚴(yán)重影響。強(qiáng)大而高效的網(wǎng)絡(luò)安全將成為未來(lái)所有汽車開發(fā)的基礎(chǔ)。

Arm 在自身架構(gòu)中采用了具有防御執(zhí)行和隔離功能的安全構(gòu)建模塊，并展示了如何基于它們支持汽車平臺(tái)標(biāo)準(zhǔn)。這些構(gòu)建模塊高效地遵守了汽車網(wǎng)絡(luò)安全法規(guī)，促進(jìn)了高效的軟件復(fù)用和互操作性，從而使更廣泛的生態(tài)系統(tǒng)從中受益。無(wú)論軟件定義汽車的興起將帶來(lái)何種用例或全新的交通和商業(yè)模式，基于 Arm 架構(gòu)進(jìn)行計(jì)算系統(tǒng)的部署并采用廣泛認(rèn)可的汽車平臺(tái)標(biāo)準(zhǔn)和指南，對(duì)整個(gè)行業(yè)而言都是一個(gè)良好的開端。

編輯：黃飛