作者：Arm 架構與技術部系統(tǒng)架構師 Andrew Jones

汽車行業(yè)正經歷著自汽車商業(yè)化生產以來最大的變革。在未來的幾十年中，人們與汽車的關系將發(fā)生徹底的改變，并顛覆以往的認知。軟件定義汽車 (SDV)[1] 的出現(xiàn)將推動全新功能、商業(yè)模式和駕乘體驗的不斷演進。

對于汽車用戶而言，軟件定義汽車能夠帶來的最大好處是車輛的新功能將在整個車輛的使用周期內持續(xù)不斷地進行更新和升級。隨著越來越多的汽車功能由軟件來實現(xiàn)，汽車的電氣架構也將發(fā)生改變，并有機會帶來更高的安全性、便利性和舒適性，而這些也正是車廠競相角逐和尋求商業(yè)差異化的關鍵領域。軟件定義汽車將讓車廠在成本、時間和營收方面獲得好處，并讓相關的軟件開發(fā)者們受益。例如，如自適應前大燈等功能的訂閱模式，延長汽車電池續(xù)航能力的創(chuàng)新技術，或可支持并存儲多名駕駛員的個性化車載配置。

然而，當有人提出“我們需要更多的軟件”時，這句話在安全工程師聽來，無異于“有更多的資產需要被保護”和“將承受更大的受攻擊面”，這就意味著“我們需要更高的安全性”。除了擁抱汽車行業(yè)的新機遇外，復雜的安全威脅也需要被關注和考慮。隨著軟件定義汽車在全球范圍內逐步推廣，軟件的性質只會變得更加復雜，這將對汽車安全產生深遠影響。

代碼庫越大，受攻擊面就越大

軟件定義汽車并非只是軟件的數(shù)量增多，軟件需要保護的資產也會增多，而汽車和云端之間的接口也因此隨之增加。與此同時，軟件將由更多樣化的開發(fā)者生態(tài)來設計提供，并運行于更復雜的架構中。所有這些都意味著受攻擊面會更大，需要更加強大的網絡安全性。

具有高價值資產的嵌入式系統(tǒng)往往會成為物理篡改和側信道攻擊的目標，汽車部件對此類風險的防御力也由此變得越來越強。然而，最普遍的攻擊途徑是軟件。軟件定義汽車的出現(xiàn)，使得受攻擊面擴展到了云端。因此，我們在智能手機、物聯(lián)網 (IoT) 和云服務器等領域遇到的各類攻擊，在汽車領域中同樣要面對和解決。軟件定義汽車生態(tài)系統(tǒng)需要部署與其他技術市場類似的防御措施。此外，相較于其它設備，汽車的使用周期會更長，意味著今天的汽車必須能夠防御未來的威脅，這也增加了另一層安全的復雜性。

更高的復雜性帶來信任問題

軟件定義汽車還需要日益復雜的軟件架構予以支持，但軟件架構自身也會存在風險。無論是部署不同信任等級的流程，還是使用來自多個開發(fā)者的軟件組件，都需要強大的隔離機制進行安全交互。平臺需要建立和維護信任邊界，確保軟件的權限不超過特定組件運行所需的權限。

可擴展的威脅

攻擊者遠程控制汽車并傷害車內外人員，這種潛在風險確實存在，我們需要設法消除這種威脅。然而在現(xiàn)實中，此類威脅不具備規(guī)?；?，也遠非大多數(shù)黑客實現(xiàn)其非法目標的主要途徑。軟件定義汽車最常見的威脅可能來自勒索軟件和其他出于經濟動機的犯罪，例如車輛盜竊或欺詐性功能的啟用。我們已經開始在市面上的車輛中遇到此類攻擊。

隱私權

人們可能會越來越注重軟件定義汽車的隱私問題，隨著車輛中更多的個性化配置和輔助駕駛的廣泛應用，視頻攝像頭利用率逐步增高，并大量采集環(huán)境圖像，使隱私成為一大顧慮。汽車軟件將需要更加靈活的訪問控制和服務整個汽車生命周期的方針，以保護此類數(shù)據免受攻擊者的攻擊，同時還須遵守有關使用個人身份數(shù)據的最新法規(guī)。

法規(guī)

軟件定義汽車的出現(xiàn)，敦促風險管控法規(guī)的出臺，通過審計流程對交通系統(tǒng)和用戶的風險進行適當?shù)墓芸?。全球各地也對車廠施加網絡安全義務，比如需要在車內采用經認證的網絡安全管理系統(tǒng) (CSMS)[2]。要求每家車廠“展示一個基于風險的管理框架，用于發(fā)現(xiàn)、分析和防范相關威脅、漏洞和網絡攻擊”。

目前，根據聯(lián)合國世界車輛法規(guī)協(xié)調論壇 (World Forum for Harmonization of Vehicle Regulations)[3] 所采納的一套聯(lián)合國車輛法規(guī)顯示，為整個生態(tài)系統(tǒng)提供適當?shù)木W絡安全是軟件定義汽車獲批銷售的條件之一。這些舉措與 ISO 所做的努力不謀而合，ISO 已經為道路車輛建立了網絡安全工程標準。不過，法規(guī)內容主要涉及的是人員和流程，并不包括技術實施。為此，生態(tài)系統(tǒng)還需要架構框架和軟件標準來提高實現(xiàn)合規(guī)網絡安全的效率。

架構模塊

從硬件的角度來看，架構提供兩種類型的構建模塊。首先是對各種防御性執(zhí)行技術的支持。這些技術在程序執(zhí)行過程中會屏蔽控制流，以防出現(xiàn)內存安全錯誤。此類技術已被 Arm 廣泛部署于移動和消費類計算設備的處理器中，而現(xiàn)在它們也正成為了汽車市場中必不可少的技術。其中包括 Arm 的指針驗證 (PAC)、分支目標識別 (BTI)[4] 和內存標記擴展 (MTE) 技術[5]。

第二類構建模塊通過提供硬件支持的隔離機制來管理軟件復雜性，以實現(xiàn)信任邊界的硬件實施。Arm TrustZone[6] 就是提供此類機制的技術，它有助于減少虛擬機管理程序和內核漏洞的風險，并在數(shù)據使用時進行保護。TrustZone 會定期增強和更新，以滿足不斷變化的安全要求。

針對復雜汽車軟件的標準框架

平臺標準的廣泛應用對于實現(xiàn)汽車網絡恢復能力至關重要。要實現(xiàn)這一目標，其一是通過 PSA Certified[7], 該認證是一個成熟的通用框架，它提供有效的認證流程并被整個物聯(lián)網市場視作網絡安全質量的標準。目前 PSA Certified 已經開始在汽車供應鏈中被應用，用以提高信息安全穩(wěn)健性的影響力和相關溝通。通過整個生態(tài)系統(tǒng)已建立的最佳實踐和強大的信任根 (RoT) 以提供內置的基礎安全性。

Arm 還積極參與發(fā)展 SOAFEE（嵌入式邊緣的可擴展開放架構）[8]，這是一個云原生軟件架構框架和開源參考軟件棧。SOAFEE 旨在實現(xiàn)行業(yè)協(xié)作，是基于一個標準的軟件定義汽車的軟件框架。它有助于滿足汽車的實時和安全需求并解決行業(yè)復雜性。SOAFEE 計劃以 Arm 的多個平臺標準為基礎，其中包括 Arm SystemReady[9]，通過標準化通用設備接口和啟動固件來增強可移植性。

未來趨勢

未來，軟件將決定一輛汽車的駕乘體驗感和功能性，而在軟件定義汽車的演進過程中，信息安全則是各方實現(xiàn)這一價值的基礎。無法保護好軟件定義汽車及其資產可能會對汽車用戶和汽車行業(yè)的其他利益相關方帶來嚴重影響。強大而高效的網絡安全將成為未來所有汽車開發(fā)的基礎。

Arm 在自身架構中采用了具有防御執(zhí)行和隔離功能的安全構建模塊，并展示了如何基于它們支持汽車平臺標準。這些構建模塊高效地遵守了汽車網絡安全法規(guī)，促進了高效的軟件復用和互操作性，從而使更廣泛的生態(tài)系統(tǒng)從中受益。無論軟件定義汽車的興起將帶來何種用例或全新的交通和商業(yè)模式，基于 Arm 架構進行計算系統(tǒng)的部署并采用廣泛認可的汽車平臺標準和指南，對整個行業(yè)而言都是一個良好的開端。

編輯：黃飛