SDV三大关键应用的安全考虑因素

作者：Arm 架构与技术部系统架构师 Andrew Jones

鉴于未来人工智能 (AI) 赋能的软件定义汽车 (SDV) 将包含高达十亿行代码，加上显著提高的网联特性，汽车受攻击面也将持续扩大并不断演进。在之前的博文里我们曾讨论过，更大的受攻击面将对汽车网络安全构成重大挑战。MITRE 通用漏洞披露 (CVE) 数据库[1]接连披露了新的汽车漏洞，而这一数字还在逐年攀升。为了避免安全漏洞造成严重影响，汽车行业已经开始采取行动，在整个 SDV 中构建深度安全防御措施。

Arm 近期宣布了全新的汽车技术，旨在满足 AI 赋能的 SDV 在性能、功能安全和信息安全方面的更高要求。其中包括一系列基于 Armv9 架构的全新汽车增强 (AE) IP 处理器，这一设计的核心便是最新的 Arm 信息安全特性，能用来应对汽车用例中的常见安全挑战，包括：

日益增长的软件复杂性；

高度多样化的软件供应链；

功能启用黑客攻击；

勒索软件；

高速通信保护；

面向乘客和不同环境的隐私管理；

将车辆功能整合到更少的系统级芯片 (SoC) 中。

常见的汽车信息安全挑战

可扩展软件攻击在其他市场已暴露的诸多严重漏洞，在汽车行业中也同样不能避免。一直以来，大部分汽车软件栈都是专有的，因此代码中的安全漏洞不易被发现。然而，在其他相邻市场（例如，消费电子和物联网）使用的软件也可能会使用在汽车市场中，导致更多漏洞的出现。正因于此，相关部门提出维护软件物料清单 (SBOM) 的要求以强化软件供应链的安全性，以便一旦在某个软件中发现漏洞，就可以锁定采用该软件的所有位置。

消费者行为同样会影响安全性和商业收入。首先，消费者可能会尝试绕过安全控制启用一些功能，以避免支付额外的费用，而这将导致汽车制造商遭受收入损失。其次，如果消费者使用未经官方认证的廉价“非原装”零部件，可能会导致汽车应用中的软件被未知第三方侵入和操控，从而增加勒索软件攻击的风险。如果第三方控制了汽车，则可能会对车辆安全造成直接影响。此外，使用非原装零部件还会导致商业收入受损。

当今汽车上的 SoC 需要同时运行来自多个互不信任实体的软件，而汽车供应链规模庞大且复杂，因此其中也存在着众多安全挑战。要克服这些错综复杂的供应链问题，就需要采用硬件支持的软件管理，以及隔离技术与框架。

最后，SDV 本质就是大型的互联设备，而作为互联设备的基本安全目标，安全通信对于汽车行业来说至关重要。汽车需要从多个来源（如激光雷达、雷达和摄像头）获取感知数据，因此如何实现高速通信的安全性也是目前汽车行业亟待解决的一大挑战。为此，采用高性能的安全机制来保护延迟关键型传感器数据有其必要性。此外，对于通过远程无线 (OTA) 软件更新持续维护和改进 SDV 来说，安全更新也至关重要。

SDV 三大关键应用的安全考虑因素

除了行业普遍面临的安全挑战之外，还有一些特定汽车用例也给 SDV 带来了重大安全影响。其中包括数字座舱/车载信息娱乐系统 (IVI)、先进驾驶辅助系统 (ADAS) 和自动驾驶 (AD)，以及微控制器 (MCU) 和区域架构。

01智能座舱/IVI

在 SDV 中，智能座舱和 IVI 的集成度日益提高，为创建和后续管理这些系统增加了复杂性。随着这些系统中的连接功能和需求不断增加，受攻击面也将随之扩大。

智能座舱的受攻击面较大，因为其涵盖多个方面，包括云连接、与智能手机等个人设备的连接、USB 插件和下载应用程序的能力。黑客入侵智能座舱的动机也不尽相同，其包含的个人数据可能对黑客极具价值，比如支付信息。对于 IVI 来说，主要安全风险在于提供了连接车辆其他部分的网关，可用于盗窃或控制车辆。这让勒索或拒绝服务攻击有了可乘之机。

智能座舱和 IVI 还需满足先进的功能安全要求，即符合 ISO 26262 和 ASIL B 等级的安全用例标准，这也需要采取额外的信息安全措施。这两种系统都集成了安全和非安全的多显示屏，以及将功能安全要求与乘客及驾驶员所需的其他相关信息结合在一起的单一物理显示屏。这就形成了一个混合关键安全环境，需要从信息安全角度进行有效管理。

02ADAS 和 AD

ADAS 的集成增加了车载资产的数据量和价值。其中包括传感器和执行器数据、用于感知和目标分类的 AI 模型和算法、图形密集型计算（如 360 度摄像头）以及各种混合关键考虑因素。软件数量持续增多，潜在受攻击面不断扩大，而 ADAS 和 AD 又会直接影响车辆控制，因此这或将导致安全威胁进一步加剧。

03MCU 和区域架构

以往，汽车 MCU 的漏洞仅限于在汽车内部针对特定汽车电子设备（如车门后视镜）进行攻击。然而，随着汽车行业加速转向集成度和连接性更高的整车架构，黑客可以通过连接性不断增强的组件从车辆外部对整个系统发起远程攻击。这意味着所有 MCU 都需要采取安全措施，如安全启动、安全通信和验证支持，才能更有效地保护车辆安全。即使是 SDV 中不构成重大直接威胁的区域（如汽车 MCU）也需要安全防护，因为这些区域可能构成入侵车内其他高风险计算系统的薄弱环节。

Arm 的作用

近三十年来，Arm 始终专注于提供以信息安全为中心的架构功能，致力于通过 Arm 业内领先的技术生态系统确保企业、个人和设备的安全性。我们与生态系统合作伙伴共同携手，带来最新 Armv9 架构安全功能，同时还全力推动在标准化和开源软件方面的持续合作，为整个汽车行业带来坚实的安全保障。

全新 Arm AE IP 采用了关键的 Armv9 防御性执行技术和架构特性，可预防攻击或恶意软件。指针验证 (PAC)、分支目标识别 (BTI) 和内存标记扩展 (MTE) 等技术通过保护软件控制流的完整性并减少内存安全漏洞的影响，来应对不断增长的代码行数所带来的风险。这对汽车市场至关重要，因为目前仍存在大量使用如 C 语言等的非内存安全语言编写的遗留代码，这些代码可被移植到未来的 SDV 中。

此外，Arm 还遵循先进的产品安全实践和标准，如 ISO/SAE 21434 标准，确保在所有产品的设计、开发和开发后阶段，对安全风险进行严格的管理。Arm 为汽车合作伙伴提供了一系列支持性安全材料，以便更轻松地将 Arm 的现成组件集成到符合 ISO/SAE 21434 标准的设计中。

此外，Arm 架构还内置了可扩展隔离技术，从而在对性能影响最小的情况下，分隔不同的工作负载。而汽车行业正趋向于在同一计算平台上运行来源不同、互不信任的软件组件。隔离技术通过强制执行定义明确的信任边界，以支持这一目标。这类技术的示例包括 Arm TrustZone、S-EL2[2] 和机密领域管理扩展 (RME)[3]。

然而，安全并非仅靠硬件层面就能实现。通过借助框架和 API 解决方案，Arm 正在帮助软件生态系统部署上述架构功能，以实现更优越的功能。

Arm 参与创建标准安全 API，并持续为其贡献力量，例如推出了 PSA Certified 加密 API[4]，在固件开发者和硬件供应商之间建立起合作的桥梁。助力开发者专注于固件设计，而不必了解每一项新的集成所涉及的专有硬件规则。同时，对于硬件供应商来说，标准 API 降低了准入门槛，使他们能够专注于商业差异化创造的价值。

作为车辆安全的最低要求，框架和标准有助于建立强大的信任根 (RoT)。而要实现这一目标，通过 PSA Certified 认证是一个有效方式，PSA Certified 提供了一个有效的认证流程，被广泛视为物联网市场的网络安全质量指标。在汽车供应链[5]中，PSA Certified 正开始被用于提高安全防护的可见性和通信。该认证通过已建立的最佳实践和适用于整个生态系统的强大 RoT 来提供内置的基础安全防护。

保障汽车行业安全

保护全球数据和计算的完整性将成为未来十年计算领域面临的最大的技术挑战之一。对于正经历前所未有的巨大变革的汽车行业来说，这个问题将尤为显著。

在 AI 时代，SDV 搭载的软件日益增多，计算日趋复杂，安全挑战也随之变得愈发严峻。然而，通过结合 Arm 新 AE IP 中的创新架构特性以及软件和标准在我们行业领先的生态系统中的合作，Arm 将安全性和可靠性作为我们汽车技术的最高优先事项。这将为汽车行业的未来和 SDV 上数十亿行代码保驾护航。