本系列连载介绍如何通过网络安全分析和设计技术来提高汽车的通信安全,并总结在研发和制造过程中所积累的关于汽车网络安全的经验教训,阐述如何确保汽车网络中的通信安全以及如何评估通信的安全性。此外,本连载还概述了现有通信系统比如FlexRay中所存在的安全问题,并给出了解决这些问题的方法。
随着年轻消费者-Z世代人群-逐渐成为购车主力,既实用又娱乐的车联网已成为了不少年轻人购车时的必备配置之一,汽车上的辅助配置和娱乐功能也越来越丰富。
遍布在汽车上数以百计的电子器件支撑着汽车所有功能,通过运行这些电子器件,汽车的辅助功能和娱乐功能得以实现。比如ABS、ESP、LKA等安全配置已经成为了必不可少辅助电子系统,这些智能驾驶技术在很大程度上都依赖于软件来处理那些分布在汽车四周的传感器所输入的信号,并计算出执行器的动作。在车道保持辅助系统中,传感器的输入信号来自于摄像头,ECU对这些输入的信号进行处理,从而计算出汽车需要执行多大的转向角,然后向方向盘的电机发送适当的指令。
如今,无论是从安全角度,还是从商业角度来讲,这些电子功能都是汽车的核心要素。一方面,这些系统可以避免事故的发生,另一方面,这些系统也是客户买不买该款车的一个重要考量。
为了实现这些功能,在汽车设计时,就需要将多个传感器、执行器和计算单元(ECU)相互连接。一般来讲,传感器和执行器会与ECU相连,用于数据的过滤、预计算和编码。之前,在汽车设计之初,汽车中存在的网络,即电子/电气(E/E)架构,还是相对独立的,非互连的单元。经过多年的发展,这种设计已经发生了巨大的改变。汽车中配置了互联网连接、WiFi、蜂窝网络(3G、4G)和汽车到X(万物)的连接等。
现在,市面上大部分汽车都有一定的互联功能。虽然汽车行业为适应这些新的要求而在逐步发展汽车内部网络,但在设计这些功能时,往往会将安全问题放在第二位。对未连入互联网汽车的攻击,以及对连入了互联网的车队的攻击事件不断发生。汽车网络与互联网互连的不安全性,使人联想到20世纪80年代第一批计算机网络与互联网的互连后,产生的安全问题。然而,不论从哪个角度讲,汽车网络的安全要远远高于个人计算机系统的安全,因为汽车网络和连接的ECU对汽车及其乘客的安全有直接影响。
本篇文章将先为大家介绍汽车通信系统和网络安全的基本知识,以及这两个领域结合起来时所需要解决的问题。在下篇文章中,将阐述具体的技术以及与现有工作的结合情况。
汽车电子/电气(E/E)架构
想要了解汽车安全所面临的问题,首先需要介绍下汽车基本的网络拓扑。在下文中,我们将概述汽车中的E/E架构,重点是介绍当前正在使用的,和代表未来设计趋势的汽车总线系统。
通常,汽车通信系统是按照总线结构(见图1.1(c))来架构的。在大部分情况下,这些总线采用星型结构与中央网关互连(见图1.1(a))。但是,通过域控制器和主干网互连,然后再与中央网关连接等这些功能域概念的引入使得这种星型结构不再能满足需求。(见图1.1(b))。在汽车设计时,汽车的复杂性、带宽和实时性要求决定了汽车的架构。直到最近才开发出具有足够带宽的主干网总线系统。
图1.1
汽车结构中的ECU承担着不同的任务,从通过按钮来感应用户输入的轮胎压力到ABS、ESP的计算,以及电机和制动器的驱动等等都有。ECU的具体情况,将在下文中进行探讨。
01 要求
根据汽车网络功能的要求可以确定对汽车ECU和通信系统的软件和硬件要求。需要注意的是,有些要求取决于应用的类型。下面举一些例子具体说明。
—成本
汽车架构的首要问题是成本。从汽车整车厂(OEM)的商业模式角度来看,如何实现所有部件的成本最小化是控制成本的关键,因为随着生产成本的降低,收益肯定会增加。然而,在汽车网络的设计工作中,成本并不是主要的考虑因素。OEM只要存在成本节约的可能性,就会降低成本,通常的做法就是重复使用现有的元件。但成本非本文的重点,本文的重点是汽车网络的技术方面。
从技术角度来看,汽车架构要求可以通过其带宽要求、实时能力以及设备数量,或者从更高的抽象层次上来讲,通过功能数量表现出来。在下文中,我们将简述这类要求,然后在下一节中更详细地描述如何实现这些要求。
—带宽
有一点需要注意的是,在很大程度上,带宽的要求取决于架构。例如,相比信息娱乐领域,传动系统领域通常所需求的带宽少。总的来说,汽车架构的带宽需求正在急剧上升,并且,由于ADAS和信息娱乐系统增长迅速,其增长速度也在变快。随着摄像头和其他数据密集型传感器(如激光雷达)的数量不断增加,数据传输所需带宽迅速上升。如车道保持助手等辅助系统所要求的传输高清(HD)视频数据时,根据分辨率、编码、帧率等因素,单台摄像机的数据传输速率需要达到1~18MBit/s。传统的总线系统,如图1.1(c)所示,在很多情况下都无法满足这样的带宽要求。因为,传统的总线系统网络是用来传输控制数据的。而且,在大多数情况下,控制数据,在每个应用中的数据大小一般不超过2 Bytes,每个数据流的速率小于1 kBit/s。为满足日益增长的要求,就需要设计新的架构和网络,从而满足单个流量要求,并能满足车载传感器和系统的要求,同时,要能不干扰安全相关控制数据的计算。
—实时性
汽车系统需要实时的数据传输和处理,以保证信号在给定的时间内到达顶层并采取行动。这种要求的目的是为了确保安全相关功能能够按计划执行,不出现延迟。例如,ABS系统要求响应时间在毫秒范围内,以确保汽车保持可转向性。这些要求是考虑到汽车可能会高速运行以及完成规定动作频率所需要达到的要求。随着汽车不断提速,如果出现响应时间长,或信息的重传,则意味着在汽车采取行动之前数据要走较长的距离。这就会导致不可预知的致命后果,例如,为了防止汽车追尾而采取紧急制动停止汽车。其他应用场景比如和用户交互的应用,则可能不需要那么严格的响应时间,因为用户的反应时间间隔较慢。信息娱乐系统是这类应用的例子。
—规模
最后值得一提的是,架构的要求是由功能的数量决定的,与此相对应的是设备的数量。简而言之,架构的大小对其结构有很大影响。对于电子器件数量极少的低端汽车来说,单一的控制器局域网(CAN)总线可能就足够了,而高端汽车对带宽和实时性的要求随着功能的不同而不同,可能需要一个分层的系统,包括一些高带宽的总线。值得注意的是,随着汽车领域引入多核处理器和功能更强大的ECU后,ECU集中的趋势正在加快。先前,由于ECU数量不断增多,汽车的重量的增加,能耗和成本方面的开销已成为不可忽视的问题。ECU集中后,OEM就可不再为每个功能设置单独的ECU,转而开始将多种功能整合到一个ECU上。得益于这种改进,ECU的数量保持稳定甚至在减少,而汽车功能数量却在增加。
在概览了汽车领域,强调了对架构的带宽、实时性和尺寸的要求之后,我们将在接下来的内容中详细地讨论ECU。
02计算
由于传感器、控制器和执行器分布在车身上,且具有高度的并发性,汽车上的网络被认为是一台较复杂的、异构的和分布式的计算机。每个计算组件都在单个ECU上进行运算,每个ECU在汽车中进行空间分布。每个ECU的计算能力会有很大差异。其中,比较高端的是发动机控制单元、信息娱乐系统和ADAS的中央控制器,这些系统中包含最新的多核处理器和大量主存储器。它们的计算能力可与现代电子产品相媲美。基于Unix的操作系统(OS),如QNX操作系统,是车载信息娱乐系统的主要操作系统。
计算能力较低的设备可达到8位处理器。这些设备的核心时钟频率在两位数兆赫兹或以下。存储器低至个位数千字节。这些设备通常用于小型开关任务,如识别或触发简单的开/关、电机控制器的触发等。通常,这类设备用于子系统,子系统可通过网桥与主网络相连。
在今天的汽车上,处于较高和较低计算两种极端系统之间的系统,不论其尺寸和类型,都会多多少少的存在。当对汽车中所有设备上使用的软件(如安全机制)进行尺寸设计时,任何性能估计都必须考虑到这种多样化的网络性质。这一点,使得量化整个汽车网络的计算能力变得困难。
—ECU集中
由于目前汽车的ECU数量保持在两位数以上,汽车整车厂已经开始对ECU进行集中。这种通过将多个任务合并到一个功能更强大的ECU上,从而减少ECU数量的过程称为ECU集中。对于纯控制器ECU来讲,这种整合方式特别实用。那些需要访问硬件设备(比如开关或电机等)的ECU,如果不进行布线连接,就很难一体化。通过去除中等尺寸的ECU,将其与大功率ECU集成在一起,ECU在汽车网络中的分布正在发生变化。在未来,可以预期网络中大功率ECU会更多,中型尺寸ECU会更少,而低功率ECU的数量保持在当前的水平,在高端汽车市场上,低功率ECU的数量可能还会缓慢上升。
—ECU的安全性
并非ECU的所有计算都在中央处理单元(CPU)中进行。附加的计算单元可以有效地计算特定的功能。这方面的一个典型例子就是GPU。加密加速器特别重要。尺寸较大的和部分中型的ECU通常配备有密码协同处理器。硬件加速器可存储加密密钥,并可以使部分加密功能提速。而协同处理器则是一个包括完整的计算环境,能镜像安全存储器在内的主系统以及外部设备连接等的系统。由于现代微控制器内核通常集成了硬件加速器和协同处理器功能,因此,在许多ECU 的CPU价位差不多的情况下,都含有加密硬件支持。
03当前和未来的网络
本节介绍ECU之间的相互联系,主要是汽车中最常见的通信系统。虽然列表未能详尽列出,但基本涵盖了目前正在使用的汽车系统。
—CAN
CAN是汽车总线系统中用得最多的网络。CAN开发于20世纪80年代,国际标准化组织(ISO)在ISO 11898第1-3部分中对其进行了标准化和扩展。CAN的带宽在125 kBit/s和1 MBit/s之间,每个数据包最多可以达到8个字节,可传输少量的汽车状态和控制数据。CAN总线扩展ISO 15765-2明确了信息分段,因此可传输大于8字节的信息。这个扩展对于诊断信息特别有用。CAN之所以能被广泛应用,得益于其成本低,CAN的成本明显低于目前市场上的大多数其他系统。
CAN不使用接收方的直接地址或发送方的身份信息。报文帧不包括发送者或接收者的地址,报文的发送者在总线上不容易被识别。相反,接收者会过滤总线上的流量,以获得接受的CAN报文标识符(ID)。因此,报文标识符被用作间接地址。
CAN采用仲裁机制来保证对总线的访问。仲裁是通过总线的电气特性来实现的,总线上的逻辑0称为主导,并覆盖逻辑1。这样一来,同一时间传输的报文ID会自动仲裁,报文ID最低者通过。
虽然CAN是当前的主流系统,但随着对更多电子功能的要求不断变化,如高级驾驶辅助功能的应用,汽车需要越来越大的带宽,而CAN无法满足这种要求的。因此,需要新的通信系统来满足需求。
—LIN
在成本上,虽然CAN已经处于较低的水平,但内部互联网络(LIN)的出现,依然削弱了其竞争力。LIN是由LIN联盟在20世纪90年代开发出来的,是一种非常廉价的通信系统,用于简单的交换操作或最小诊断信息的传输。LIN目前是ISO正在制定的一个标准,即ISO 17987第1-7部分。其最高传输速度最高可达20 kBit/s,可用带宽明显低于CAN。一个报文帧可以容纳2到8字节的数据。总线访问由单个主节点控制,根据需要请求从节点进行传输。与CAN类似,通过报文ID实现识别。LIN通常用于将一个子网中的单个或一小组节点与CAN设备连接起来。
—FlexRay
FlexRay是一种时间触发和事件触发的混合通信系统。其标准为ISO 17458第1-5部分。带宽为10 MBit/s,传输速率明显高于CAN。FlexRay的时间触发部分,即静态段,可传输与整个网络同步的共同时间保持一致。FlexRay的这个特点可以显著地降低在发生最坏情况下的响应时间。对于需要快速反应来保证汽车的安全的系统而言,FlexRay的这个特点至关重要。由于静态段的时间被划分为不同的时间段,在设计时,总线接入就已经定义好了。FlexRay的动态段采用灵活的时分多址(FTDMA)方式,以时间段来规定对总线的访问,ECU可以根据需要延长时间段,从而实现优先级方案。
通过静态和动态段的时隙,实现了隐式寻址。由于所有的设备都是时间同步的,发射机和接收机可以在设计时分配的时隙中发送和接收。
由于能够保证网络中的快速响应时间,FlexRay得以迅速普及。在汽车的传动系统等领域,如果发生了最坏的情况,响应时间对安全至关重要,在这方面,FlexRay具有显著的优势。然而,由于FlexRay的精确时序要求和复杂性,在成本方面,与CAN相比,价格相对较高。此外,根据静态段和动态段的配置,以及两个段的利用率,净带宽可能会明显低于10 MBit/s。
2013年,FlexRay已被标准化为ISO 17458-1-5,现在由ISO管理。将在第5章中进行更详细的介绍,在第5章中,我们将讨论FlexRay用于扩展到处理大型报文,从而实现本论文中提出的安全措施方面。
—MOST
在信息娱乐领域,有时会使用到多媒体定向系统传输(MOST)总线。MOST的具体方案由MOST协作组织规定,光缆的带宽为25和150MBit/s,铜缆的带宽为50和150MBit/s。由于MOST可提供相对较大的带宽,因此非常适合需要在网络上传输大量的音频和视频流数据的信息娱乐领域。
MOST采用环形结构,对于安全关键型环境,可以配置成双环结构,以实现冗余。每个MOST总线都包含一个定时主控器,为其他节点生成定时同步帧。总线访问也由这个定时主控器控制,在帧中留有空间,以便在通道中传输异步或同步数据。
MOST总线是一个相当复杂的通信系统,因此,其设计和后续运行的工作量和成本都很高。近年来,因受能以较低的价格提供类似带宽的以太网冲击,MOST备受压力。
虽然车载网络已经应用了多年,但其变革的脚步也从未停止。ADAS的兴起,以及需要大量数据的信息娱乐功能的增多,都需要更快的网络配置。同时,随着车载摄像头(其数据在控制系统中往往需要非压缩的图像)的普及,现有的总线系统无法提供足够的带宽来传输高分辨率摄像头数据。
—CAN FD
CAN FD是传统CAN总线的增强版,包含在2015版的CAN标准中。这种网络能与CAN完全兼容,可以在相同的物理连接上使用。
CAN FD定义了一种新的帧格式,在帧的不同部分使用了两种不同的时钟。通过将帧头的时钟保持在与传统CAN相同的速度来实现兼容性。然而,在数据段,时钟增加了8倍,允许每帧传输64字节。与CAN相比,这点大大增加了CAN FD的带宽。
为了使同一网络上的CAN收发器的CAN FD帧无效,在CAN中增加了一些其他的变化,如果不进行变化,则这些收发器将无法适应和处理增加的时钟和数据量。此外,为了实现能对更大的数据量进行纠错,定义了循环冗余检查(CRC)的新多项式。
由于在设计、时序以及成本上和CAN具有相似性,CAN FD未来可能会成为运行慢和老化的CAN 总线的理想替代品,因为CAN FD可用在很多不需要10 MBit/s带宽、实时性约束更宽松的领域(如舒适领域)。
后文,我们将介绍CAN FD用于实现一个认证和授权框架。
— 汽车以太网(Automotive Ethernet)
以太网是有线消费电子产品的现存标准。以太网本身及其衍生产品已经进入航空电子和工业自动化等其他领域。在汽车领域,传统的8线屏蔽以太网电缆会增加成本和汽车的重量。此外,现代以太网有完全不同的网络拓扑结构,在物理层使用点对点连接,而不是采用总线连接方式。因此,之前,以太网只用于非常有限的场景中,比如强制性的车载诊断(OBD)-II端口和诊断连接器中。
在Broadcom公司开发和推出BroadR-Reach PHY后,以太网的命运得以改变。BroadR-Reach PHY是2011年年底推出的,并被单对以太网络(OPEN)联盟许可。电气和电子工程师协会(IEEE)以太网工作组正在对该技术进行进一步的标准化。在下文中,如涉及到汽车以太网和BroadR-Reach这两个术语,指的是这些技术和标准,将按照同义使用。
BroadR-Reach技术可以在不需要额外屏蔽的情况下,通过两根线操作传统的双工100MBit/s连接。这项技术当前已经在交付的汽车中使用了。其主要用于处理来自雷达和摄像头等传感器的大量传感器数据。由于车载传感器的分辨率不断提高,OEM正在寻求能突破1 GBit/s的以太网连接,以便满足传感器网络或满足日益增长的主干网流量的要求。
针对的是物理层,降低了通信介质的重量和成本。在这些标准中,未对介质访问控制(MAC)和更高的层进行定义。然而,当将以太网用于具有实时性要求的安全关键型系统时,以太网上传统的冲突解析方法并不理想。在传统的以太网中,当发生冲突时,总线会被信息流阻塞一小段时间,会用预定义的模式覆盖掉冲突报文。然后,系统会在两个受冲突的发送方上启动随机回退定时器,之后,再次开始传输。由于这些冲突报文和随机回退的延迟,导致无法计算出在出现最坏情况下的合理响应时间。此外,由于以太网上的所有报文都具有相同的优先级,因此无法实现当前汽车网络中现已存在的优先级。汽车工程师们已着手开始解决包括音频视频桥接(AVB)和时间敏感网络(TSN)等的问题了。我们在下文中将对音频视频桥接(AVB)和时间敏感网络(TSN)进行简要说明。
—音频/视频桥接(AVB)
AVB(IEEE 802.1BA)适用于娱乐领域。可实现在不需要每个流的专用电缆情况下,同步录制和回放音频和视频。此外,AVB通过IEEE 802.1Q中定义的以太网帧中的服务质量(QoS)标签,为某些报文提供优先级。这个标准很快得到了需要时间同步的实时流的汽车行业以及其他行业的关注。但是,AVB给出的保证还不能满足汽车行业的要求。在此背景下,TSN诞生了。
— 时间敏感网络(TSN)
TSN是AVB的后续标准,由同一个IEEE工作组制定。该标准目前仍在制定中。与AVB相比,TSN确实对响应时间提出了更为严格的要求。其中,TSN预计将允许优先级较高的报文抢占报文,从而缩短响应时间。此外,未来,TSN会考虑在运行时保留动态信息流。
