浅谈软件定义汽车的网络安全问题

作者：Arm 架构与技术部系统架构师 Andrew Jones

汽车行业正经历着自汽车商业化生产以来最大的变革。在未来的几十年中，人们与汽车的关系将发生彻底的改变，并颠覆以往的认知。软件定义汽车 (SDV)[1] 的出现将推动全新功能、商业模式和驾乘体验的不断演进。

对于汽车用户而言，软件定义汽车能够带来的最大好处是车辆的新功能将在整个车辆的使用周期内持续不断地进行更新和升级。随着越来越多的汽车功能由软件来实现，汽车的电气架构也将发生改变，并有机会带来更高的安全性、便利性和舒适性，而这些也正是车厂竞相角逐和寻求商业差异化的关键领域。软件定义汽车将让车厂在成本、时间和营收方面获得好处，并让相关的软件开发者们受益。例如，如自适应前大灯等功能的订阅模式，延长汽车电池续航能力的创新技术，或可支持并存储多名驾驶员的个性化车载配置。

然而，当有人提出“我们需要更多的软件”时，这句话在安全工程师听来，无异于“有更多的资产需要被保护”和“将承受更大的受攻击面”，这就意味着“我们需要更高的安全性”。除了拥抱汽车行业的新机遇外，复杂的安全威胁也需要被关注和考虑。随着软件定义汽车在全球范围内逐步推广，软件的性质只会变得更加复杂，这将对汽车安全产生深远影响。  

代码库越大，受攻击面就越大

软件定义汽车并非只是软件的数量增多，软件需要保护的资产也会增多，而汽车和云端之间的接口也因此随之增加。与此同时，软件将由更多样化的开发者生态来设计提供，并运行于更复杂的架构中。所有这些都意味着受攻击面会更大，需要更加强大的网络安全性。 

具有高价值资产的嵌入式系统往往会成为物理篡改和侧信道攻击的目标，汽车部件对此类风险的防御力也由此变得越来越强。然而，最普遍的攻击途径是软件。软件定义汽车的出现，使得受攻击面扩展到了云端。因此，我们在智能手机、物联网 (IoT) 和云服务器等领域遇到的各类攻击，在汽车领域中同样要面对和解决。软件定义汽车生态系统需要部署与其他技术市场类似的防御措施。此外，相较于其它设备，汽车的使用周期会更长，意味着今天的汽车必须能够防御未来的威胁，这也增加了另一层安全的复杂性。 

更高的复杂性带来信任问题

软件定义汽车还需要日益复杂的软件架构予以支持，但软件架构自身也会存在风险。无论是部署不同信任等级的流程，还是使用来自多个开发者的软件组件，都需要强大的隔离机制进行安全交互。平台需要建立和维护信任边界，确保软件的权限不超过特定组件运行所需的权限。

可扩展的威胁

攻击者远程控制汽车并伤害车内外人员，这种潜在风险确实存在，我们需要设法消除这种威胁。然而在现实中，此类威胁不具备规模化，也远非大多数黑客实现其非法目标的主要途径。软件定义汽车最常见的威胁可能来自勒索软件和其他出于经济动机的犯罪，例如车辆盗窃或欺诈性功能的启用。我们已经开始在市面上的车辆中遇到此类攻击。  

隐私权 

人们可能会越来越注重软件定义汽车的隐私问题，随着车辆中更多的个性化配置和辅助驾驶的广泛应用，视频摄像头利用率逐步增高，并大量采集环境图像，使隐私成为一大顾虑。汽车软件将需要更加灵活的访问控制和服务整个汽车生命周期的方针，以保护此类数据免受攻击者的攻击，同时还须遵守有关使用个人身份数据的最新法规。  

法规

软件定义汽车的出现，敦促风险管控法规的出台，通过审计流程对交通系统和用户的风险进行适当的管控。全球各地也对车厂施加网络安全义务，比如需要在车内采用经认证的网络安全管理系统 (CSMS)[2]。要求每家车厂“展示一个基于风险的管理框架，用于发现、分析和防范相关威胁、漏洞和网络攻击”。 

目前，根据联合国世界车辆法规协调论坛 (World Forum for Harmonization of Vehicle Regulations)[3] 所采纳的一套联合国车辆法规显示，为整个生态系统提供适当的网络安全是软件定义汽车获批销售的条件之一。这些举措与 ISO 所做的努力不谋而合，ISO 已经为道路车辆建立了网络安全工程标准。不过，法规内容主要涉及的是人员和流程，并不包括技术实施。为此，生态系统还需要架构框架和软件标准来提高实现合规网络安全的效率。 

架构模块

从硬件的角度来看，架构提供两种类型的构建模块。首先是对各种防御性执行技术的支持。这些技术在程序执行过程中会屏蔽控制流，以防出现内存安全错误。此类技术已被 Arm 广泛部署于移动和消费类计算设备的处理器中，而现在它们也正成为了汽车市场中必不可少的技术。其中包括 Arm 的指针验证 (PAC)、分支目标识别 (BTI)[4] 和内存标记扩展 (MTE) 技术[5]。 

第二类构建模块通过提供硬件支持的隔离机制来管理软件复杂性，以实现信任边界的硬件实施。Arm TrustZone[6] 就是提供此类机制的技术，它有助于减少虚拟机管理程序和内核漏洞的风险，并在数据使用时进行保护。TrustZone 会定期增强和更新，以满足不断变化的安全要求。 

针对复杂汽车软件的标准框架

平台标准的广泛应用对于实现汽车网络恢复能力至关重要。要实现这一目标，其一是通过 PSA Certified[7], 该认证是一个成熟的通用框架，它提供有效的认证流程并被整个物联网市场视作网络安全质量的标准。目前 PSA Certified 已经开始在汽车供应链中被应用，用以提高信息安全稳健性的影响力和相关沟通。通过整个生态系统已建立的最佳实践和强大的信任根 (RoT) 以提供内置的基础安全性。 

Arm 还积极参与发展 SOAFEE（嵌入式边缘的可扩展开放架构）[8]，这是一个云原生软件架构框架和开源参考软件栈。SOAFEE 旨在实现行业协作，是基于一个标准的软件定义汽车的软件框架。它有助于满足汽车的实时和安全需求并解决行业复杂性。SOAFEE 计划以 Arm 的多个平台标准为基础，其中包括 Arm SystemReady[9]，通过标准化通用设备接口和启动固件来增强可移植性。

未来趋势

未来，软件将决定一辆汽车的驾乘体验感和功能性，而在软件定义汽车的演进过程中，信息安全则是各方实现这一价值的基础。无法保护好软件定义汽车及其资产可能会对汽车用户和汽车行业的其他利益相关方带来严重影响。强大而高效的网络安全将成为未来所有汽车开发的基础。 

Arm 在自身架构中采用了具有防御执行和隔离功能的安全构建模块，并展示了如何基于它们支持汽车平台标准。这些构建模块高效地遵守了汽车网络安全法规，促进了高效的软件复用和互操作性，从而使更广泛的生态系统从中受益。无论软件定义汽车的兴起将带来何种用例或全新的交通和商业模式，基于 Arm 架构进行计算系统的部署并采用广泛认可的汽车平台标准和指南，对整个行业而言都是一个良好的开端。 

编辑：黄飞