汽车基础软件信息安全发展挑战

当前，硬件安全芯片已经成为抵御攻击、保障智能网联汽车安全可控的重要手段，已有相关企业研发出硬件安全模块 HSM，将加密算法、访问控制、完整性检查嵌入到汽车控制系统，以加强 ECU 的安全性， 提升安全级别。但是目前汽车电子行业的痛点主要包括垄断加剧、本土设计缺失、技术支持匮乏和供货没有保障等几大问题。与此同时，虽然汽车信息安全日益重要，但是国外半导体公司的产品并不支持国密 算法，一款支持国密标准的国产汽车硬件安全模块对行业十分重要。国密算法是我国自主研发创新的一套数据加密处理系列算法，随着我国智能汽车信息安全的要求， 需要将国密算法嵌入到硬件加密芯片中结合使用。但是在汽车行业，由于汽车芯片设计门槛高，研发周 期长，资金投入多，很少有支持国密算法的汽车芯片，尤其是像高性能汽车处理器这样的芯片，目前国 内市场缺乏支持国密的汽车处理器芯片。但为了保障车联网安全，越来越多的车厂引入国密算法，保障 车辆通信安全。当前汽车在不同域上运行不同的操作系统，包括：

1. 高可靠功能安全处理器芯片运行 AUTOSAR 操作系统，提供的功能包括车机接口、safety 管理和车身控制功能；

2. 高安全密码处理器芯片运行 RTOS  操作系统，提供资源管理、HSM、密钥管理、生命周期管理、加解密算法的运算服务等功能；

3. 高性能处理器芯片运行 RTOS 或 AUTOSAR 系统，执行大数据量的计算、外设控制及显示相关的操作等功能，其中，各操作系统只可以通过 mailbox 通信，分别运行在物理隔离的硬件环境中。

在芯片设计过程中也需要确保信息安全，芯片在设计时应考虑加密算法的安全性和独立性。其中， 硬件加密模块同步传输加密的数据，可保障数据的安全性，例如可引入芯片监测功能，以防止恶意读取 或者篡改数据，保障整个芯片的安全。高安全密码处理器芯片是芯片安全的核心，其中密码模块负责安全相关功能的处理部分，包括有对 称密码算法、公钥密码算法、哈希算法和随机数发生器模块，具有 OTP（eFuse）存储密钥和芯片敏感信息，采用安全 Mailbox 与外部进行通信。高安全密码处理器芯片的软件部分包括 ROM 固件和系统固件， 支持安全启动、安全算法、密钥管理、芯片自测试、芯片异常处理等功能。高安全密码处理器芯片要求分层次的隔离，首先，安全域外的软件硬件只能通过 Mailbox 与安全域进行通信。第二，高安全密码域内硬件存储，有专门的硬件用于存储最敏感的信息，这部分内容，即便是高安全密码域内的 CPU 也无法访问， 只能够通过硬件专用接口使用，使用过程有鉴权保护。

汽车基础软件信息安全与功能安全

汽车基础软件信息安全和功能安全的分析方法模型

由于汽车基础软件涉及的范围广，承载和服务的功能场景多样，不同 ECU 的功能各不相同，同一ECU 在不同场景下功能不同，相应的信息安全和功能安全分析方法需要进一步优化。针对汽车基础软件， 功能安全和信息安全相互影响，且存在很多交叉重叠区域。在正向开发阶段，需要对基础软件及相关硬 件载体进行功能安全和信息安全的并行设计和分析评估，充分分析并发现功能安全和信息安全的目标和 范围，并为后续开展功能安全设计和信息安全加固方案提供指导。典型的信息安全分析方法包括：

1. STRIDE  威胁分析模型是微软安全工程和通信部门开发的威胁建模的系统方法，是安全开发生命周期（SDL）中一部分，对系统面临的威胁进行分类从而辅助系统设计人员改进系统的安全性设计。

2. 攻击树模型将攻击目标逐级细分成单个攻击手段和相应的攻击路径，用于分析系统所面临的安全威胁。提供了一种思维方式，帮助开发者站在攻击者的角度来思考系统可能存在的漏洞，此方法很大程度上依赖于具备的黑客经验。

3. HEAVENS 模型是较完整的风险评估的方法，在 SAE J3061 中有相应内容的介绍，其在汽车信息安全领域（包括汽车基础软件）具有很强的应用实际。影响等级指对汽车发动攻击后表示产生危害的相关等级，分为人身安全、财产、操作、隐私及法规等四类因子。

现阶段，基于功能安全的危害分析，进一步开展针对信息安全的威胁分析，实现对基础软件的危害分析水平、风险评估能力以及安全目标设计的合理性。未来，汽车基础软件的功能安全设计，为其信息安全威胁场景识别、攻击影响程度分析、安全事件应急处置响应提供关键信息来源。同时，汽车基础软件的功能安全设计，也将受到信息安全对电子电气架构的安全策略部署及对策措施的影响。ISO   26262 标准中定义的整个功能安全工作流程，首先是从相关项定义开始的，继而进入危害事件分析、评估与危害事件相关的风险评估，这个识别和分析过程被称之为危害分析和风险评估 (Hazard Analysis and Risk Assessment，简称为 HARA)。HARA 的目的是：识别可能导致 E/E 系统危害的潜在顶层故障类型，并结合具体行驶工况场景，来评估与其相关的危险程度，然后其结果被用来制定需要达成的安全目标（Safety Goal），从而保证车辆能够在故障条件下，在预期的故障响应时间（FTTI）之内能够进入预期的安全状态（Safe State)。结合汽车基础软件的功能定义和应用场景来定义安全防护措施，区分出汽车基础软件的基本功能和增量功能，来分别定义基线功能集和增量功能集。举例说明：对于网关产品，基础功能是完成车内的数据路由转发功能，部署防火墙功能是基线功能；而在某些场景下，增量功能可能是网关要支持远程程序升级的功能，则针对于增量功能需要部署刷新完整性和机密性校验措施，例如，刷新包的数字签名和刷新包加密存储措施。

汽车基础软件信息安全加固机制与功能安全优化设计

汽车基础软件研发离不开协作，例如，对于密钥等高度敏感数据的管理，包括密钥的生成、传递、存储、使用、更新、注销等环节，要实现完善的管理机制需要跨部门 ( 研发、测试、生产和 IT 等部门 )，跨公司（整车厂 OEM、零部件供应商 Tier1 和后台运营公司等）之间的多方协作，确保在整个环节中做到敏感数据的妥善管理。除此之外，在整个汽车基础软件研发的生命周期内的诸多环节，都需要建立和强化协作机制。有必要提供对资产、威胁、安全属性和安全级别进行评估的列表。研发人员根据列表中的安全级别， 确定开发优先级。有可能存在一个资产会存在多个威胁，因此这个资产也会有多个安全等级，在进行开发的时候，通常的做法是关注安全等级最高的。一方面，针对的是由于安全相关的电子电气系统的一些 故障行为而可能造成的一些危害，其中包括这些系统互相作用而可能造成的危害。ISO 26262 标准在汽车安全上提供了一个生命周期理念 ( 管理，开发，生产，经营，服务，报废 )，并且在这些生命周期的各个阶段提供了必要的支持。标准覆盖了功能安全方面的整体开发过程 ( 包括需求，设计，实施，集成，验证，确认和配置 )。另一方面，针对的是恶意的网络攻击对财产、隐私、车辆操作及安全造成的威胁。所以， 功能安全相关系统可以是信息安全相关系统，然而信息安全相关系统不全是功能安全相关。虽然信息安 全和功能安全属于不同的两个技术领域，但是功能安全的技术开发流程可以应用于信息安全，例如风险 评估、危害分析等流程。围绕汽车基础软件的产品信息安全开发能力，需要涵盖从系统开发、软硬件开发、生产、测试和运维等多方面的能力，然而目前很多公司没有办法打通并落地实施每个环节中的要求。首先，需要建立和加 强信息安全的开发流程体系，其次，加强开发能力的建设，包括技术规范要求建设、开发流程体系建设、工具链建设等，此外，产品研发活动中的信息安全要求需要规范化。汽车基础软件上已经在部署一定的信息安全防护技术措施了。然而，由于不同汽车基础软件的应用场景和功能定义不尽相同，不同厂商的设计开发思路不尽相同，导致当前汽车基础软件的信息安全技术开发路线较难有统一的共识。而且，汽车基础软件因计算能力和系统资源的限制，较难部署复杂的信息安全防护措施。在具体的开发过程中还需要考虑多种技术限制，按需选择适合的技术方案并落地实施。

汽车基础软件信息安全产业化

智能网联汽车基础软件信息安全产业是一个新兴产业，其产业格局和产品形态仍处于初级探索阶段。根据中国汽车软件行业协会发布的《2022 中国汽车软件产业发展白皮书（框架）》显示，中国汽车软件行业从无到迈向标准化用了 30 年时间，目前处于快速发展时期，年增速保持在 11% 以上，预计 2023年市场规模将达到 351 亿元。面对汽车软件产业的庞大规模，软件信息安全问题不容忽视。智能网联汽车对实时性、可靠性的要求比传统互联网要高得多，整车级的信息安全解决方案需要融合信息安全、汽车电子电气架构等多个领域的技术，主机厂与信息安全服务商等相关方之间还没有形成完整的产业链，这使得汽车信息安全产品落地更加困难。下面将从安全芯片、系统安全、数据通讯安全、漏洞挖掘四个方面来介绍汽车信息安全产业化现状。在安全芯片方面，具有数据加解密、身份认证鉴权、安全存储密钥功能和防攻击设计的安全芯片已经广泛应用在汽车行业，通过使用安全芯片来增强智能网联汽车安全防护已成为趋势。如 5.2 中所提到的主流汽车芯片制造商：英飞凌、恩智浦、Renesas   以及意法半导体，已生产出多款搭载硬件安全模块（HSM） 的多核处理器，例如 AURIX TC397、MPC5748、Renesas R-Car、SPC5。HSM 作为安全处理器被广泛应用在汽车安全关键功能的 ECU 中，为 ECU 提供完整性检测、通信的加密保护、安全数据存储以及身份验证等服务。HSM 的引入使得 ECU 的主机核心可以将资源全部用于处理其它计算任务，这给 ECU 的制造厂商提供了方便且强大的即插即用安全解决方案，各制造商可以根据不同程度的安全需求定制方案。根据 360 Market Updates 的数据显示，HSM 市场预计将在 2026 年底达到 27.5 亿美元。OEM 和一级供应商正在提供的 HSM 固件产品主要包括：

• CycurHSM 是 ESCRYPT 的一款灵活的新 HSM 固件，其可以保护 ECU 的安全启动、安全通讯、安全更新以及车内零部件。

• Vector 作为知名的 AUTOSAR 底层软件供应商，基于在基础软件和网络信息安全领域的经验，开发了用以支持 HSM 的固件 vHSM，可以支持目前大部分具有 HSM 的 MCU。

• EB zentur 是面向 HSM 的性能与资源优化解决方案，用于访问加密硬件加速器或为所选算法提供软件实现。同时也支持其他安全关键功能，如安全启动和固件更新，可集成到多种操作系统中， 为车辆提供端到端的安全。

在系统安全方面，由于汽车各个部件对安全需求程度不一样，通常需要使用不同的操作系统（安卓、QNX 等），而汽车上的软硬件资源是十分有限的。为此，汽车行业提出了车载虚拟机技术，能按照产品需求在不同的 GuestOS（VM）中分配硬件和软件资源。车载虚拟机技术对安全等级的要求很高，有能力提供此类安全产品的供应商非常少，大部分的虚拟化系统供应商都来自国外，主流的解决方案有：

• 黑莓旗下的 QNX Hypervisor 是目前成熟的 Hypervisor 操作系统，占据了高达 60% 的市场份额， 可提供通用的开发工具，以满足车辆中安全关键型和非安全型 ECU 的需求，并为安全通信、安全图形、安全系统库和中间件提供解决方案。

• ACRN Hypervisor 具备灵活、轻量级的特点，兼顾实时性和关键安全性，并通过开源平台为精简嵌入式开发进行优化。

• INTEGRITY Multivisor 是业界唯一经过安全认证的架构，可在各种多核 SoC 硬件上同时运行一个或多个 Guest OS 以及关键任务功能，能够在不影响安全或性能的情况下实现快速且成本效益最高的复杂系统设计。

在有限资源的约束下，未来车载系统的安全防护方案将继续往轻量化方向发展。例如，在验证系统的完整性时，可采取仅度量关键对象、设计合适的度量点等轻量化方案。在数据通讯安全方面，安全隐患主要存在于云端、网络传输层、车载通信层、外部接口。因此需要分层构建入侵检测系统，采取主动防护的方案以保证数据通讯安全。在车载通信层，AUTOSAR   提出了基于消息验证码（MAC）和新鲜度值（FV）的安全板载通信模块（SecOC），以保证车载网络通信的完整性和真实性。在整车数据通讯安全方面，各厂商通过部署入侵检测系统（IDS）来识别对车辆的攻击，主要有：

• 天融信推出的车载入侵检测系统搭载了车端安全检测引擎，以 SDK 形式轻量化部署于车端，可实时对车内安全事件进行深度检测，精准识别攻击和异常行为。不仅可以保障车内关键组件（T-BOX、中央网关等）的安全通信，同时能与云端平台进行联动，实现安全事件的预警、感知、评估。

• 中汽创智开发的车辆入侵监测防御系统（IDPS）基于 AUTOSAR 架构设计，具备自适应、高性能的技术特点，支持报文的上下文检测以及信息熵检测，支持自动化规则生成，实现检测引擎和规则代码的解耦，大幅提高适配效率，实现了信息安全与功能安全联动的 MCU 入侵检测。

• 以色列的汽车网络安全头部公司 Argus 长期专注于汽车网络信息安全解决方案的设计，在 2017 年被大陆公司收购。Argus 通过分层的方式为车载网络、ECU 等关键功能提供了安全防护，在具有安全关键特性的 ECU 之间设立了安全通信通道，并制定了过滤规则库来保护 ECU，使用了上下文感知的启发式以及机器学习算法，能高效的检测并实时阻止针对车载网络的网络威胁和网络攻击。

在漏洞挖掘方面，被广泛用于智能汽车和工业制造中的实时操作系统 RTOS 的代码规模不断扩大， 越来越多新特性发布的同时也产生了很多潜在的安全漏洞，其中系统内核方面的漏洞尤其值得关注。根 据统计，在过去的十几年中，CVE 漏洞信息库中新报告的漏洞中，最多的是 Linux 操作系统内核漏洞。当前流行的漏洞挖掘方法主要有：静态分析、符号执行、污点分析、模糊测试等。从在各类操作系统上实际应用效果来看，由于污点分析和符号执行等方法受限于操作系统的代码复杂度，针对操作系统内核漏 洞的挖掘效果并不理想。静态分析和模糊测试是当前操作系统内核测试方面较为主流的漏洞挖掘方法。代码静态分析工具 White Source SAST 提供了软件漏洞检测的解决方案，用于对应用程序源代码执行广泛的安全分析，通过自动化代码分析的方式，有效替代高要求并且耗时的人工代码审查过程，可以快速 并准确地分析大型和复杂项目的源代码，提供准确的结果和低误报率。基于覆盖引导的模糊测试方法设 计的内核模糊器是目前较为先进的内核模糊测试工具，其中以 Google 推出的 Syzkaller 内核模糊测试器使用最为广泛。汽车新四化的浪潮下，汽车基础软件相关产业整体发展较快，产品迭代、技术更新发展势头迅猛。从国产化水平来看，目前已经能在相关产品上看到一些国内厂商的身影。然而，从发展水平来看，仍然存在较大的短板。汽车基础软件介于硬件和软件之间，国内相关行业发展并不平衡，国内仍较多关注于基础软件向上层提供服务，例如入侵检测等应用，对于芯片、操作系统等偏下层的产业化仍与国际先进水平有差距。随着我国近年来对汽车芯片、操作系统、信息安全等方面的持续投入，相信很快会迎来汽车基础软件信息安全的快速发展。