當前，硬件安全芯片已經(jīng)成為抵御攻擊、保障智能網(wǎng)聯(lián)汽車安全可控的重要手段，已有相關企業(yè)研發(fā)出硬件安全模塊 HSM，將加密算法、訪問控制、完整性檢查嵌入到汽車控制系統(tǒng)，以加強 ECU 的安全性， 提升安全級別。但是目前汽車電子行業(yè)的痛點主要包括壟斷加劇、本土設計缺失、技術支持匱乏和供貨沒有保障等幾大問題。與此同時，雖然汽車信息安全日益重要，但是國外半導體公司的產(chǎn)品并不支持國密 算法，一款支持國密標準的國產(chǎn)汽車硬件安全模塊對行業(yè)十分重要。國密算法是我國自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密處理系列算法，隨著我國智能汽車信息安全的要求， 需要將國密算法嵌入到硬件加密芯片中結合使用。但是在汽車行業(yè)，由于汽車芯片設計門檻高，研發(fā)周 期長，資金投入多，很少有支持國密算法的汽車芯片，尤其是像高性能汽車處理器這樣的芯片，目前國 內市場缺乏支持國密的汽車處理器芯片。但為了保障車聯(lián)網(wǎng)安全，越來越多的車廠引入國密算法，保障 車輛通信安全。當前汽車在不同域上運行不同的操作系統(tǒng)，包括：

1. 高可靠功能安全處理器芯片運行 AUTOSAR 操作系統(tǒng)，提供的功能包括車機接口、safety 管理和車身控制功能；

2. 高安全密碼處理器芯片運行 RTOS  操作系統(tǒng)，提供資源管理、HSM、密鑰管理、生命周期管理、加解密算法的運算服務等功能；

3. 高性能處理器芯片運行 RTOS 或 AUTOSAR 系統(tǒng)，執(zhí)行大數(shù)據(jù)量的計算、外設控制及顯示相關的操作等功能，其中，各操作系統(tǒng)只可以通過 mailbox 通信，分別運行在物理隔離的硬件環(huán)境中。

在芯片設計過程中也需要確保信息安全，芯片在設計時應考慮加密算法的安全性和獨立性。其中， 硬件加密模塊同步傳輸加密的數(shù)據(jù)，可保障數(shù)據(jù)的安全性，例如可引入芯片監(jiān)測功能，以防止惡意讀取 或者篡改數(shù)據(jù)，保障整個芯片的安全。高安全密碼處理器芯片是芯片安全的核心，其中密碼模塊負責安全相關功能的處理部分，包括有對 稱密碼算法、公鑰密碼算法、哈希算法和隨機數(shù)發(fā)生器模塊，具有 OTP（eFuse）存儲密鑰和芯片敏感信息，采用安全 Mailbox 與外部進行通信。高安全密碼處理器芯片的軟件部分包括 ROM 固件和系統(tǒng)固件， 支持安全啟動、安全算法、密鑰管理、芯片自測試、芯片異常處理等功能。高安全密碼處理器芯片要求分層次的隔離，首先，安全域外的軟件硬件只能通過 Mailbox 與安全域進行通信。第二，高安全密碼域內硬件存儲，有專門的硬件用于存儲最敏感的信息，這部分內容，即便是高安全密碼域內的 CPU 也無法訪問， 只能夠通過硬件專用接口使用，使用過程有鑒權保護。

汽車基礎軟件信息安全與功能安全

汽車基礎軟件信息安全和功能安全的分析方法模型

由于汽車基礎軟件涉及的范圍廣，承載和服務的功能場景多樣，不同 ECU 的功能各不相同，同一ECU 在不同場景下功能不同，相應的信息安全和功能安全分析方法需要進一步優(yōu)化。針對汽車基礎軟件， 功能安全和信息安全相互影響，且存在很多交叉重疊區(qū)域。在正向開發(fā)階段，需要對基礎軟件及相關硬 件載體進行功能安全和信息安全的并行設計和分析評估，充分分析并發(fā)現(xiàn)功能安全和信息安全的目標和 范圍，并為后續(xù)開展功能安全設計和信息安全加固方案提供指導。典型的信息安全分析方法包括：

1. STRIDE  威脅分析模型是微軟安全工程和通信部門開發(fā)的威脅建模的系統(tǒng)方法，是安全開發(fā)生命周期（SDL）中一部分，對系統(tǒng)面臨的威脅進行分類從而輔助系統(tǒng)設計人員改進系統(tǒng)的安全性設計。

2. 攻擊樹模型將攻擊目標逐級細分成單個攻擊手段和相應的攻擊路徑，用于分析系統(tǒng)所面臨的安全威脅。提供了一種思維方式，幫助開發(fā)者站在攻擊者的角度來思考系統(tǒng)可能存在的漏洞，此方法很大程度上依賴于具備的黑客經(jīng)驗。

3. HEAVENS 模型是較完整的風險評估的方法，在 SAE J3061 中有相應內容的介紹，其在汽車信息安全領域（包括汽車基礎軟件）具有很強的應用實際。影響等級指對汽車發(fā)動攻擊后表示產(chǎn)生危害的相關等級，分為人身安全、財產(chǎn)、操作、隱私及法規(guī)等四類因子。

現(xiàn)階段，基于功能安全的危害分析，進一步開展針對信息安全的威脅分析，實現(xiàn)對基礎軟件的危害分析水平、風險評估能力以及安全目標設計的合理性。未來，汽車基礎軟件的功能安全設計，為其信息安全威脅場景識別、攻擊影響程度分析、安全事件應急處置響應提供關鍵信息來源。同時，汽車基礎軟件的功能安全設計，也將受到信息安全對電子電氣架構的安全策略部署及對策措施的影響。ISO   26262 標準中定義的整個功能安全工作流程，首先是從相關項定義開始的，繼而進入危害事件分析、評估與危害事件相關的風險評估，這個識別和分析過程被稱之為危害分析和風險評估 (Hazard Analysis and Risk Assessment，簡稱為 HARA)。HARA 的目的是：識別可能導致 E/E 系統(tǒng)危害的潛在頂層故障類型，并結合具體行駛工況場景，來評估與其相關的危險程度，然后其結果被用來制定需要達成的安全目標（Safety Goal），從而保證車輛能夠在故障條件下，在預期的故障響應時間（FTTI）之內能夠進入預期的安全狀態(tài)（Safe State)。結合汽車基礎軟件的功能定義和應用場景來定義安全防護措施，區(qū)分出汽車基礎軟件的基本功能和增量功能，來分別定義基線功能集和增量功能集。舉例說明：對于網(wǎng)關產(chǎn)品，基礎功能是完成車內的數(shù)據(jù)路由轉發(fā)功能，部署防火墻功能是基線功能；而在某些場景下，增量功能可能是網(wǎng)關要支持遠程程序升級的功能，則針對于增量功能需要部署刷新完整性和機密性校驗措施，例如，刷新包的數(shù)字簽名和刷新包加密存儲措施。

汽車基礎軟件信息安全加固機制與功能安全優(yōu)化設計

汽車基礎軟件研發(fā)離不開協(xié)作，例如，對于密鑰等高度敏感數(shù)據(jù)的管理，包括密鑰的生成、傳遞、存儲、使用、更新、注銷等環(huán)節(jié)，要實現(xiàn)完善的管理機制需要跨部門 ( 研發(fā)、測試、生產(chǎn)和 IT 等部門 )，跨公司（整車廠 OEM、零部件供應商 Tier1 和后臺運營公司等）之間的多方協(xié)作，確保在整個環(huán)節(jié)中做到敏感數(shù)據(jù)的妥善管理。除此之外，在整個汽車基礎軟件研發(fā)的生命周期內的諸多環(huán)節(jié)，都需要建立和強化協(xié)作機制。有必要提供對資產(chǎn)、威脅、安全屬性和安全級別進行評估的列表。研發(fā)人員根據(jù)列表中的安全級別， 確定開發(fā)優(yōu)先級。有可能存在一個資產(chǎn)會存在多個威脅，因此這個資產(chǎn)也會有多個安全等級，在進行開發(fā)的時候，通常的做法是關注安全等級最高的。一方面，針對的是由于安全相關的電子電氣系統(tǒng)的一些 故障行為而可能造成的一些危害，其中包括這些系統(tǒng)互相作用而可能造成的危害。ISO 26262 標準在汽車安全上提供了一個生命周期理念 ( 管理，開發(fā)，生產(chǎn)，經(jīng)營，服務，報廢 )，并且在這些生命周期的各個階段提供了必要的支持。標準覆蓋了功能安全方面的整體開發(fā)過程 ( 包括需求，設計，實施，集成，驗證，確認和配置 )。另一方面，針對的是惡意的網(wǎng)絡攻擊對財產(chǎn)、隱私、車輛操作及安全造成的威脅。所以， 功能安全相關系統(tǒng)可以是信息安全相關系統(tǒng)，然而信息安全相關系統(tǒng)不全是功能安全相關。雖然信息安 全和功能安全屬于不同的兩個技術領域，但是功能安全的技術開發(fā)流程可以應用于信息安全，例如風險 評估、危害分析等流程。圍繞汽車基礎軟件的產(chǎn)品信息安全開發(fā)能力，需要涵蓋從系統(tǒng)開發(fā)、軟硬件開發(fā)、生產(chǎn)、測試和運維等多方面的能力，然而目前很多公司沒有辦法打通并落地實施每個環(huán)節(jié)中的要求。首先，需要建立和加 強信息安全的開發(fā)流程體系，其次，加強開發(fā)能力的建設，包括技術規(guī)范要求建設、開發(fā)流程體系建設、工具鏈建設等，此外，產(chǎn)品研發(fā)活動中的信息安全要求需要規(guī)范化。汽車基礎軟件上已經(jīng)在部署一定的信息安全防護技術措施了。然而，由于不同汽車基礎軟件的應用場景和功能定義不盡相同，不同廠商的設計開發(fā)思路不盡相同，導致當前汽車基礎軟件的信息安全技術開發(fā)路線較難有統(tǒng)一的共識。而且，汽車基礎軟件因計算能力和系統(tǒng)資源的限制，較難部署復雜的信息安全防護措施。在具體的開發(fā)過程中還需要考慮多種技術限制，按需選擇適合的技術方案并落地實施。

汽車基礎軟件信息安全產(chǎn)業(yè)化

智能網(wǎng)聯(lián)汽車基礎軟件信息安全產(chǎn)業(yè)是一個新興產(chǎn)業(yè)，其產(chǎn)業(yè)格局和產(chǎn)品形態(tài)仍處于初級探索階段。根據(jù)中國汽車軟件行業(yè)協(xié)會發(fā)布的《2022 中國汽車軟件產(chǎn)業(yè)發(fā)展白皮書（框架）》顯示，中國汽車軟件行業(yè)從無到邁向標準化用了 30 年時間，目前處于快速發(fā)展時期，年增速保持在 11% 以上，預計 2023年市場規(guī)模將達到 351 億元。面對汽車軟件產(chǎn)業(yè)的龐大規(guī)模，軟件信息安全問題不容忽視。智能網(wǎng)聯(lián)汽車對實時性、可靠性的要求比傳統(tǒng)互聯(lián)網(wǎng)要高得多，整車級的信息安全解決方案需要融合信息安全、汽車電子電氣架構等多個領域的技術，主機廠與信息安全服務商等相關方之間還沒有形成完整的產(chǎn)業(yè)鏈，這使得汽車信息安全產(chǎn)品落地更加困難。下面將從安全芯片、系統(tǒng)安全、數(shù)據(jù)通訊安全、漏洞挖掘四個方面來介紹汽車信息安全產(chǎn)業(yè)化現(xiàn)狀。在安全芯片方面，具有數(shù)據(jù)加解密、身份認證鑒權、安全存儲密鑰功能和防攻擊設計的安全芯片已經(jīng)廣泛應用在汽車行業(yè)，通過使用安全芯片來增強智能網(wǎng)聯(lián)汽車安全防護已成為趨勢。如 5.2 中所提到的主流汽車芯片制造商：英飛凌、恩智浦、Renesas   以及意法半導體，已生產(chǎn)出多款搭載硬件安全模塊（HSM） 的多核處理器，例如 AURIX TC397、MPC5748、Renesas R-Car、SPC5。HSM 作為安全處理器被廣泛應用在汽車安全關鍵功能的 ECU 中，為 ECU 提供完整性檢測、通信的加密保護、安全數(shù)據(jù)存儲以及身份驗證等服務。HSM 的引入使得 ECU 的主機核心可以將資源全部用于處理其它計算任務，這給 ECU 的制造廠商提供了方便且強大的即插即用安全解決方案，各制造商可以根據(jù)不同程度的安全需求定制方案。根據(jù) 360 Market Updates 的數(shù)據(jù)顯示，HSM 市場預計將在 2026 年底達到 27.5 億美元。OEM 和一級供應商正在提供的 HSM 固件產(chǎn)品主要包括：

• CycurHSM 是 ESCRYPT 的一款靈活的新 HSM 固件，其可以保護 ECU 的安全啟動、安全通訊、安全更新以及車內零部件。

• Vector 作為知名的 AUTOSAR 底層軟件供應商，基于在基礎軟件和網(wǎng)絡信息安全領域的經(jīng)驗，開發(fā)了用以支持 HSM 的固件 vHSM，可以支持目前大部分具有 HSM 的 MCU。

• EB zentur 是面向 HSM 的性能與資源優(yōu)化解決方案，用于訪問加密硬件加速器或為所選算法提供軟件實現(xiàn)。同時也支持其他安全關鍵功能，如安全啟動和固件更新，可集成到多種操作系統(tǒng)中， 為車輛提供端到端的安全。

在系統(tǒng)安全方面，由于汽車各個部件對安全需求程度不一樣，通常需要使用不同的操作系統(tǒng)（安卓、QNX 等），而汽車上的軟硬件資源是十分有限的。為此，汽車行業(yè)提出了車載虛擬機技術，能按照產(chǎn)品需求在不同的 GuestOS（VM）中分配硬件和軟件資源。車載虛擬機技術對安全等級的要求很高，有能力提供此類安全產(chǎn)品的供應商非常少，大部分的虛擬化系統(tǒng)供應商都來自國外，主流的解決方案有：

• 黑莓旗下的 QNX Hypervisor 是目前成熟的 Hypervisor 操作系統(tǒng)，占據(jù)了高達 60% 的市場份額， 可提供通用的開發(fā)工具，以滿足車輛中安全關鍵型和非安全型 ECU 的需求，并為安全通信、安全圖形、安全系統(tǒng)庫和中間件提供解決方案。

• ACRN Hypervisor 具備靈活、輕量級的特點，兼顧實時性和關鍵安全性，并通過開源平臺為精簡嵌入式開發(fā)進行優(yōu)化。

• INTEGRITY Multivisor 是業(yè)界唯一經(jīng)過安全認證的架構，可在各種多核 SoC 硬件上同時運行一個或多個 Guest OS 以及關鍵任務功能，能夠在不影響安全或性能的情況下實現(xiàn)快速且成本效益最高的復雜系統(tǒng)設計。

在有限資源的約束下，未來車載系統(tǒng)的安全防護方案將繼續(xù)往輕量化方向發(fā)展。例如，在驗證系統(tǒng)的完整性時，可采取僅度量關鍵對象、設計合適的度量點等輕量化方案。在數(shù)據(jù)通訊安全方面，安全隱患主要存在于云端、網(wǎng)絡傳輸層、車載通信層、外部接口。因此需要分層構建入侵檢測系統(tǒng)，采取主動防護的方案以保證數(shù)據(jù)通訊安全。在車載通信層，AUTOSAR   提出了基于消息驗證碼（MAC）和新鮮度值（FV）的安全板載通信模塊（SecOC），以保證車載網(wǎng)絡通信的完整性和真實性。在整車數(shù)據(jù)通訊安全方面，各廠商通過部署入侵檢測系統(tǒng)（IDS）來識別對車輛的攻擊，主要有：

• 天融信推出的車載入侵檢測系統(tǒng)搭載了車端安全檢測引擎，以 SDK 形式輕量化部署于車端，可實時對車內安全事件進行深度檢測，精準識別攻擊和異常行為。不僅可以保障車內關鍵組件（T-BOX、中央網(wǎng)關等）的安全通信，同時能與云端平臺進行聯(lián)動，實現(xiàn)安全事件的預警、感知、評估。

• 中汽創(chuàng)智開發(fā)的車輛入侵監(jiān)測防御系統(tǒng)（IDPS）基于 AUTOSAR 架構設計，具備自適應、高性能的技術特點，支持報文的上下文檢測以及信息熵檢測，支持自動化規(guī)則生成，實現(xiàn)檢測引擎和規(guī)則代碼的解耦，大幅提高適配效率，實現(xiàn)了信息安全與功能安全聯(lián)動的 MCU 入侵檢測。

• 以色列的汽車網(wǎng)絡安全頭部公司 Argus 長期專注于汽車網(wǎng)絡信息安全解決方案的設計，在 2017 年被大陸公司收購。Argus 通過分層的方式為車載網(wǎng)絡、ECU 等關鍵功能提供了安全防護，在具有安全關鍵特性的 ECU 之間設立了安全通信通道，并制定了過濾規(guī)則庫來保護 ECU，使用了上下文感知的啟發(fā)式以及機器學習算法，能高效的檢測并實時阻止針對車載網(wǎng)絡的網(wǎng)絡威脅和網(wǎng)絡攻擊。

在漏洞挖掘方面，被廣泛用于智能汽車和工業(yè)制造中的實時操作系統(tǒng) RTOS 的代碼規(guī)模不斷擴大， 越來越多新特性發(fā)布的同時也產(chǎn)生了很多潛在的安全漏洞，其中系統(tǒng)內核方面的漏洞尤其值得關注。根 據(jù)統(tǒng)計，在過去的十幾年中，CVE 漏洞信息庫中新報告的漏洞中，最多的是 Linux 操作系統(tǒng)內核漏洞。當前流行的漏洞挖掘方法主要有：靜態(tài)分析、符號執(zhí)行、污點分析、模糊測試等。從在各類操作系統(tǒng)上實際應用效果來看，由于污點分析和符號執(zhí)行等方法受限于操作系統(tǒng)的代碼復雜度，針對操作系統(tǒng)內核漏 洞的挖掘效果并不理想。靜態(tài)分析和模糊測試是當前操作系統(tǒng)內核測試方面較為主流的漏洞挖掘方法。代碼靜態(tài)分析工具 White Source SAST 提供了軟件漏洞檢測的解決方案，用于對應用程序源代碼執(zhí)行廣泛的安全分析，通過自動化代碼分析的方式，有效替代高要求并且耗時的人工代碼審查過程，可以快速 并準確地分析大型和復雜項目的源代碼，提供準確的結果和低誤報率?；诟采w引導的模糊測試方法設 計的內核模糊器是目前較為先進的內核模糊測試工具，其中以 Google 推出的 Syzkaller 內核模糊測試器使用最為廣泛。汽車新四化的浪潮下，汽車基礎軟件相關產(chǎn)業(yè)整體發(fā)展較快，產(chǎn)品迭代、技術更新發(fā)展勢頭迅猛。從國產(chǎn)化水平來看，目前已經(jīng)能在相關產(chǎn)品上看到一些國內廠商的身影。然而，從發(fā)展水平來看，仍然存在較大的短板。汽車基礎軟件介于硬件和軟件之間，國內相關行業(yè)發(fā)展并不平衡，國內仍較多關注于基礎軟件向上層提供服務，例如入侵檢測等應用，對于芯片、操作系統(tǒng)等偏下層的產(chǎn)業(yè)化仍與國際先進水平有差距。隨著我國近年來對汽車芯片、操作系統(tǒng)、信息安全等方面的持續(xù)投入，相信很快會迎來汽車基礎軟件信息安全的快速發(fā)展。