SDV三大關(guān)鍵應(yīng)用的安全考慮因素

作者：Arm 架構(gòu)與技術(shù)部系統(tǒng)架構(gòu)師 Andrew Jones

鑒于未來人工智能 (AI) 賦能的軟件定義汽車 (SDV) 將包含高達(dá)十億行代碼，加上顯著提高的網(wǎng)聯(lián)特性，汽車受攻擊面也將持續(xù)擴(kuò)大并不斷演進(jìn)。在之前的博文里我們?cè)懻撨^，更大的受攻擊面將對(duì)汽車網(wǎng)絡(luò)安全構(gòu)成重大挑戰(zhàn)。MITRE 通用漏洞披露 (CVE) 數(shù)據(jù)庫[1]接連披露了新的汽車漏洞，而這一數(shù)字還在逐年攀升。為了避免安全漏洞造成嚴(yán)重影響，汽車行業(yè)已經(jīng)開始采取行動(dòng)，在整個(gè) SDV 中構(gòu)建深度安全防御措施。

Arm 近期宣布了全新的汽車技術(shù)，旨在滿足 AI 賦能的 SDV 在性能、功能安全和信息安全方面的更高要求。其中包括一系列基于 Armv9 架構(gòu)的全新汽車增強(qiáng) (AE) IP 處理器，這一設(shè)計(jì)的核心便是最新的 Arm 信息安全特性，能用來應(yīng)對(duì)汽車用例中的常見安全挑戰(zhàn)，包括：

日益增長的軟件復(fù)雜性；

高度多樣化的軟件供應(yīng)鏈；

功能啟用黑客攻擊；

勒索軟件；

高速通信保護(hù)；

面向乘客和不同環(huán)境的隱私管理；

將車輛功能整合到更少的系統(tǒng)級(jí)芯片 (SoC) 中。

常見的汽車信息安全挑戰(zhàn)

可擴(kuò)展軟件攻擊在其他市場已暴露的諸多嚴(yán)重漏洞，在汽車行業(yè)中也同樣不能避免。一直以來，大部分汽車軟件棧都是專有的，因此代碼中的安全漏洞不易被發(fā)現(xiàn)。然而，在其他相鄰市場（例如，消費(fèi)電子和物聯(lián)網(wǎng)）使用的軟件也可能會(huì)使用在汽車市場中，導(dǎo)致更多漏洞的出現(xiàn)。正因于此，相關(guān)部門提出維護(hù)軟件物料清單 (SBOM) 的要求以強(qiáng)化軟件供應(yīng)鏈的安全性，以便一旦在某個(gè)軟件中發(fā)現(xiàn)漏洞，就可以鎖定采用該軟件的所有位置。

消費(fèi)者行為同樣會(huì)影響安全性和商業(yè)收入。首先，消費(fèi)者可能會(huì)嘗試?yán)@過安全控制啟用一些功能，以避免支付額外的費(fèi)用，而這將導(dǎo)致汽車制造商遭受收入損失。其次，如果消費(fèi)者使用未經(jīng)官方認(rèn)證的廉價(jià)“非原裝”零部件，可能會(huì)導(dǎo)致汽車應(yīng)用中的軟件被未知第三方侵入和操控，從而增加勒索軟件攻擊的風(fēng)險(xiǎn)。如果第三方控制了汽車，則可能會(huì)對(duì)車輛安全造成直接影響。此外，使用非原裝零部件還會(huì)導(dǎo)致商業(yè)收入受損。

當(dāng)今汽車上的 SoC 需要同時(shí)運(yùn)行來自多個(gè)互不信任實(shí)體的軟件，而汽車供應(yīng)鏈規(guī)模龐大且復(fù)雜，因此其中也存在著眾多安全挑戰(zhàn)。要克服這些錯(cuò)綜復(fù)雜的供應(yīng)鏈問題，就需要采用硬件支持的軟件管理，以及隔離技術(shù)與框架。

最后，SDV 本質(zhì)就是大型的互聯(lián)設(shè)備，而作為互聯(lián)設(shè)備的基本安全目標(biāo)，安全通信對(duì)于汽車行業(yè)來說至關(guān)重要。汽車需要從多個(gè)來源（如激光雷達(dá)、雷達(dá)和攝像頭）獲取感知數(shù)據(jù)，因此如何實(shí)現(xiàn)高速通信的安全性也是目前汽車行業(yè)亟待解決的一大挑戰(zhàn)。為此，采用高性能的安全機(jī)制來保護(hù)延遲關(guān)鍵型傳感器數(shù)據(jù)有其必要性。此外，對(duì)于通過遠(yuǎn)程無線 (OTA) 軟件更新持續(xù)維護(hù)和改進(jìn) SDV 來說，安全更新也至關(guān)重要。

SDV 三大關(guān)鍵應(yīng)用的安全考慮因素

除了行業(yè)普遍面臨的安全挑戰(zhàn)之外，還有一些特定汽車用例也給 SDV 帶來了重大安全影響。其中包括數(shù)字座艙/車載信息娛樂系統(tǒng) (IVI)、先進(jìn)駕駛輔助系統(tǒng) (ADAS) 和自動(dòng)駕駛 (AD)，以及微控制器 (MCU) 和區(qū)域架構(gòu)。

01智能座艙/IVI

在 SDV 中，智能座艙和 IVI 的集成度日益提高，為創(chuàng)建和后續(xù)管理這些系統(tǒng)增加了復(fù)雜性。隨著這些系統(tǒng)中的連接功能和需求不斷增加，受攻擊面也將隨之?dāng)U大。

智能座艙的受攻擊面較大，因?yàn)槠浜w多個(gè)方面，包括云連接、與智能手機(jī)等個(gè)人設(shè)備的連接、USB 插件和下載應(yīng)用程序的能力。黑客入侵智能座艙的動(dòng)機(jī)也不盡相同，其包含的個(gè)人數(shù)據(jù)可能對(duì)黑客極具價(jià)值，比如支付信息。對(duì)于 IVI 來說，主要安全風(fēng)險(xiǎn)在于提供了連接車輛其他部分的網(wǎng)關(guān)，可用于盜竊或控制車輛。這讓勒索或拒絕服務(wù)攻擊有了可乘之機(jī)。

智能座艙和 IVI 還需滿足先進(jìn)的功能安全要求，即符合 ISO 26262 和 ASIL B 等級(jí)的安全用例標(biāo)準(zhǔn)，這也需要采取額外的信息安全措施。這兩種系統(tǒng)都集成了安全和非安全的多顯示屏，以及將功能安全要求與乘客及駕駛員所需的其他相關(guān)信息結(jié)合在一起的單一物理顯示屏。這就形成了一個(gè)混合關(guān)鍵安全環(huán)境，需要從信息安全角度進(jìn)行有效管理。

02ADAS 和 AD

ADAS 的集成增加了車載資產(chǎn)的數(shù)據(jù)量和價(jià)值。其中包括傳感器和執(zhí)行器數(shù)據(jù)、用于感知和目標(biāo)分類的 AI 模型和算法、圖形密集型計(jì)算（如 360 度攝像頭）以及各種混合關(guān)鍵考慮因素。軟件數(shù)量持續(xù)增多，潛在受攻擊面不斷擴(kuò)大，而 ADAS 和 AD 又會(huì)直接影響車輛控制，因此這或?qū)?dǎo)致安全威脅進(jìn)一步加劇。

03MCU 和區(qū)域架構(gòu)

以往，汽車 MCU 的漏洞僅限于在汽車內(nèi)部針對(duì)特定汽車電子設(shè)備（如車門后視鏡）進(jìn)行攻擊。然而，隨著汽車行業(yè)加速轉(zhuǎn)向集成度和連接性更高的整車架構(gòu)，黑客可以通過連接性不斷增強(qiáng)的組件從車輛外部對(duì)整個(gè)系統(tǒng)發(fā)起遠(yuǎn)程攻擊。這意味著所有 MCU 都需要采取安全措施，如安全啟動(dòng)、安全通信和驗(yàn)證支持，才能更有效地保護(hù)車輛安全。即使是 SDV 中不構(gòu)成重大直接威脅的區(qū)域（如汽車 MCU）也需要安全防護(hù)，因?yàn)檫@些區(qū)域可能構(gòu)成入侵車內(nèi)其他高風(fēng)險(xiǎn)計(jì)算系統(tǒng)的薄弱環(huán)節(jié)。

Arm 的作用

近三十年來，Arm 始終專注于提供以信息安全為中心的架構(gòu)功能，致力于通過 Arm 業(yè)內(nèi)領(lǐng)先的技術(shù)生態(tài)系統(tǒng)確保企業(yè)、個(gè)人和設(shè)備的安全性。我們與生態(tài)系統(tǒng)合作伙伴共同攜手，帶來最新 Armv9 架構(gòu)安全功能，同時(shí)還全力推動(dòng)在標(biāo)準(zhǔn)化和開源軟件方面的持續(xù)合作，為整個(gè)汽車行業(yè)帶來堅(jiān)實(shí)的安全保障。

全新 Arm AE IP 采用了關(guān)鍵的 Armv9 防御性執(zhí)行技術(shù)和架構(gòu)特性，可預(yù)防攻擊或惡意軟件。指針驗(yàn)證 (PAC)、分支目標(biāo)識(shí)別 (BTI) 和內(nèi)存標(biāo)記擴(kuò)展 (MTE) 等技術(shù)通過保護(hù)軟件控制流的完整性并減少內(nèi)存安全漏洞的影響，來應(yīng)對(duì)不斷增長的代碼行數(shù)所帶來的風(fēng)險(xiǎn)。這對(duì)汽車市場至關(guān)重要，因?yàn)槟壳叭源嬖诖罅渴褂萌?C 語言等的非內(nèi)存安全語言編寫的遺留代碼，這些代碼可被移植到未來的 SDV 中。

此外，Arm 還遵循先進(jìn)的產(chǎn)品安全實(shí)踐和標(biāo)準(zhǔn)，如 ISO/SAE 21434 標(biāo)準(zhǔn)，確保在所有產(chǎn)品的設(shè)計(jì)、開發(fā)和開發(fā)后階段，對(duì)安全風(fēng)險(xiǎn)進(jìn)行嚴(yán)格的管理。Arm 為汽車合作伙伴提供了一系列支持性安全材料，以便更輕松地將 Arm 的現(xiàn)成組件集成到符合 ISO/SAE 21434 標(biāo)準(zhǔn)的設(shè)計(jì)中。

此外，Arm 架構(gòu)還內(nèi)置了可擴(kuò)展隔離技術(shù)，從而在對(duì)性能影響最小的情況下，分隔不同的工作負(fù)載。而汽車行業(yè)正趨向于在同一計(jì)算平臺(tái)上運(yùn)行來源不同、互不信任的軟件組件。隔離技術(shù)通過強(qiáng)制執(zhí)行定義明確的信任邊界，以支持這一目標(biāo)。這類技術(shù)的示例包括 Arm TrustZone、S-EL2[2] 和機(jī)密領(lǐng)域管理擴(kuò)展 (RME)[3]。

然而，安全并非僅靠硬件層面就能實(shí)現(xiàn)。通過借助框架和 API 解決方案，Arm 正在幫助軟件生態(tài)系統(tǒng)部署上述架構(gòu)功能，以實(shí)現(xiàn)更優(yōu)越的功能。

Arm 參與創(chuàng)建標(biāo)準(zhǔn)安全 API，并持續(xù)為其貢獻(xiàn)力量，例如推出了 PSA Certified 加密 API[4]，在固件開發(fā)者和硬件供應(yīng)商之間建立起合作的橋梁。助力開發(fā)者專注于固件設(shè)計(jì)，而不必了解每一項(xiàng)新的集成所涉及的專有硬件規(guī)則。同時(shí)，對(duì)于硬件供應(yīng)商來說，標(biāo)準(zhǔn) API 降低了準(zhǔn)入門檻，使他們能夠?qū)Ｗ⒂谏虡I(yè)差異化創(chuàng)造的價(jià)值。

作為車輛安全的最低要求，框架和標(biāo)準(zhǔn)有助于建立強(qiáng)大的信任根 (RoT)。而要實(shí)現(xiàn)這一目標(biāo)，通過 PSA Certified 認(rèn)證是一個(gè)有效方式，PSA Certified 提供了一個(gè)有效的認(rèn)證流程，被廣泛視為物聯(lián)網(wǎng)市場的網(wǎng)絡(luò)安全質(zhì)量指標(biāo)。在汽車供應(yīng)鏈[5]中，PSA Certified 正開始被用于提高安全防護(hù)的可見性和通信。該認(rèn)證通過已建立的最佳實(shí)踐和適用于整個(gè)生態(tài)系統(tǒng)的強(qiáng)大 RoT 來提供內(nèi)置的基礎(chǔ)安全防護(hù)。

保障汽車行業(yè)安全

保護(hù)全球數(shù)據(jù)和計(jì)算的完整性將成為未來十年計(jì)算領(lǐng)域面臨的最大的技術(shù)挑戰(zhàn)之一。對(duì)于正經(jīng)歷前所未有的巨大變革的汽車行業(yè)來說，這個(gè)問題將尤為顯著。

在 AI 時(shí)代，SDV 搭載的軟件日益增多，計(jì)算日趨復(fù)雜，安全挑戰(zhàn)也隨之變得愈發(fā)嚴(yán)峻。然而，通過結(jié)合 Arm 新 AE IP 中的創(chuàng)新架構(gòu)特性以及軟件和標(biāo)準(zhǔn)在我們行業(yè)領(lǐng)先的生態(tài)系統(tǒng)中的合作，Arm 將安全性和可靠性作為我們汽車技術(shù)的最高優(yōu)先事項(xiàng)。這將為汽車行業(yè)的未來和 SDV 上數(shù)十億行代碼保駕護(hù)航。