对于汽车设计人员来说，在汽车生命周期的每个阶段，如何处理汽车信息安全的复杂性，都是首先要考虑的问题。我们首先从汽车生命周期开始之初的设计来展开。

—分析

在开始设计时，工程师需要先对比不同的汽车架构，最终决定采用什么什么架构。所以汽车工程师必须了解和评估整个汽车架构的信息安全，这点非常重要，这是工程师做出合理决定的基础。

对于汽车的单个设备及其硬件，通过评估框架和专家审查的方式，可以很容易地分析出信息安全情况。而汽车架构则不同，汽车的整个架构是非常庞大和复杂的，想要采用评估框架和专家审查的方式来分析是不现实的。除此之外，像互联网等这种网络，架构更大，更复杂，因此，一般也不会采取整体性分析的策略。在当前汽车领域主流车型采用的架构中，没有车型会采用网关和网络完全分离的形式。为了能清楚的描述这种架构形式对于信息安全的影响，我们就要将汽车架构作为一个整体来分析。

另一个需要考虑的因素就是汽车寿命。一般情况下，汽车的寿命有10年甚至更长的时间。因此需要考虑该汽车在未来10年中的信息安全问题。而另一方面，汽车攻击者的技术能力也会随着技术进步成长。

更让人担心的是，汽车安全信息的漏洞可能会在汽车行驶过程中被识别而遭受攻击。因此，汽车工程师在开始设计汽车的内部架构时，就需要考虑到未来10年的安全性问题。虽然汽车整车厂会不定时升级软件来修补漏洞，但是，汽车的硬件漏洞就没那么容易修复了。比如，更换连接ECU的总线，这种类似的问题，在成本上就非常的高，需要整车厂对汽车召回才能实现。此外，汽车软件和我们的电子产品上的软件一样，厂家也不会无限期地提供软件补丁的。

当前，汽车行业还没有现成的车载网络信息安全的评估框架。因此，车载网络信息安全还没有正式的行业标准，如果有设计需要，可以参考一些行业最佳实践。

—综合

在安全性方面，汽车功能安全已经有了完整的规范和评估，并能够基于建模和验证技术来分析和验证汽车设计的安全性。上述验证方法已经延伸到了综合领域，实现了将子系统的一组需求和模型中的集成整合成新的安全系统。同样，信息安全分析形成了以模型为基础的信息安全综合的基础。这种综合在新安全要求（该要求规定了功能、子系统和整个架构）的基础上，生成架构或子系统。结合上述分析形成的反馈，可以对这方面进行详尽的研究。通过这种方式，就可以根据分析确定的数值，对给定的要求，整合出最安全的架构或子系统。

为了能满足综合过程中所有的功能安全和信息安全要求，将来的系统设计可能需要采取综合方式。在采用综合方式时，设计人员应以功能安全和信息安全的模型和验证方法为基础进行综合，以满足要求。只有采用以模型为基础的功能安全和信息安全综合，才能有效地保证将来复杂的汽车架构的安全可靠。但是，业内还没有现成的分析框架可利用。而另一方面，这种分析框架又是以模型为基础的综合的基础。在这种背景下，综合的方法暂时也无从谈起了。

上文提到设计时的分析有助于决定汽车架构，但汽车设计也要确保汽车运行时的安全。因此，工程师还要考虑报文的信息安全和ECU软件的安全，以及只有合法的通信参与者才能传输合法的报文，并且所有的报文参与者都是经过认证的参与者。想要在汽车网络中满足所有这些信息安全标准，困难重重。我们可以将所这些问题总结归纳为延迟、带宽、计算和存储等几个方面。在下面的讨论中，会简单介绍这几个方面的问题。

—延迟

为了保证汽车的功能安全，汽车通信系统采用的是分布式控制系统，这些控制系统是按照《汽车E/E架构网络安全设计(一)：未来汽车的通信和网络架构》中阐述的实时要求设计的。汽车通信系统需要在1到10毫秒的时间内作出相应的反应，有些系统甚至规定了要在微秒时间内做出反应。因此，想要报文二次传输几乎是不可能的。

但另一方面，想要满足信息安全的要求，系统需要根据设计人员采用的算法和协议，花费一定的时间来反应。在计算能力有限的嵌入式处理器上使用软件可能会将加密和解密所需的时间提高到1至30秒，甚至可以更快。在需要认证和密匙交换协议的非对称加密中，更是如此。在汽车领域采用这种协议的结果就是大多数现有协议使用预共享密钥，但会导致信息安全的安全性降低。

从表面上看，上述的两个要求是相互矛盾的。在接下来的连载文章中，我们将论证在使用汽车的背景下，如何通过认证协议的优化来协调看似矛盾的要求。在掌握了汽车中通信系统和安全协议的详细构造和操作等相关汽车专业知识后，相应延迟的问题就能很好地解决。

—带宽

和延迟类似，信息安全协议的带宽要求和汽车通信系统的带宽能力之间差异极大。未来会采用的在带宽上限可支持的汽车通信系统，和消费者网络（10至100MBit/s）相对比，速度相差无几。即便如此，想要满足信息安全协议中的其他要求，无论是仍在广泛使用的车载通信系统，还是其他为时间关键型控制数据设计的网络，都还不能提供足够的带宽（125kBit/s至1MBit/s）。

公司网络和互联网中使用的协议，其连接速度通常在1 MBit/s到1 GBit/s之间。这点可从每个数据包的数据量看出。由于在汽车领域通常不指定分段，因此每个数据包的数据量往往是总线上可以传输的最大单位。但是，汽车中每个数据包的数据太短，因此无法实现有意义的加密，不能有效防止暴利攻击汽车，更不用说身份认证协议了。一般报文内容长度在8到40字节。而与之形成鲜明对比的是，以太网可提供长达1500字节的数据包。

还是那句话，信息安全要求和汽车的发展貌似是一对矛盾体，但是，通过扩展现有标准，本文力图证明在低带宽网络上，也可以实现安全报文传递。

—计算和储存

汽车中配置的ECU，因各种原因，其计算能力和存储量千差万别。比如，发动机控制单元或信息娱乐单元等设备需要强大的计算能力和存储量，但大多数ECU体积较小，其处理器的速度较慢，内存也很小。目前的车载信息娱乐单元，类似于现代智能手机和平板电脑的处理器，使用的RAM通常是几千MB级别的，使用的CPU通常单核或多核的，是频率在数百兆赫兹甚至千兆赫兹，此外，使用的GPU也是专用的。与此相对应的是，较慢的ECU，比如用于用户输入开关的ECU，一般是8-Bit处理器，其频率在20-40Mhz之间，RAM通常低于8kB。但是，如上图所示的信息安全机制，却需要复杂的计算，特别是在进行了非对称加密的情况下更是如此。这种运行要求，对于汽车领域能否应用有效的信息安全提出了新课题。

如本文所述，通过选择信息安全算法和协议参数，并在优化协议的情况下，我们可以实现在低计算能力的情况下实现车载信息安全。

方案

关于设计和运行时的信息安全问题，本系列连载将介绍三种分析和保护车载E/E架构的方法。具体为：

(1)汽车信息安全的设计分析；

(2)汽车信息安全中用于认证和授权的轻量级认证框架；

(3)通过FlexRay演示一种灵活的报文传输方案，实现了在时间触发通信系统中的信息安全措施。

主要贡献详见下文。

—汽车信息安全分析

不论在何领域，想要作出明智的决定，则相关人员必须要具备相应的专业知识。关于信息安全方面的决策和比对相对较难，这是因为还没有很好的办法来量化信息安全。一般情况下采用的是利用信息安全分析框架，借助专家分析的信息安全评估手段。这些评估手段也有采用于硬件和软件的评估。当前，业界还没有能对完整的汽车架构或架构内部的子系统进行信息安全分析的手段。但是，没有并不表示分析不重要，因为能让汽车功能得以实现的架构，在很大程度上，会影响功能的安全。

我们提出了汽车信息安全分析的概念。汽车信息安全分析是一种对汽车架构中的报文和功能进行信息安全分析的方法。该分析基于网络架构和既定的组件评估方法。在本分析中，架构包含ECU、网关、设备互联、报文传输等所有的设备。部件评估中描述了设备的可开发性和可修补性。在可开发性和可修补性中，描述了发现新的信息安全漏洞（如远程信息处理单元中的缓冲区溢出）以及修补漏洞的速度（如通过软件更新）。虽然可利用性高度依赖设备的设计，但是可修补性却大多依赖软件的更新周期。设备的设计周期比率和软件的更新周期比率，通过两个漏洞/补丁之间的最大时间差，从而更加合理的近似系统行为。

考虑到可利用性和可修补性的比率，即系统的概率和时间依赖性，业内采用了概率模型检查方法。现实中，由于时间可能发生改变，可利用性和修补比率也无法固定，所以在模型检查算法中，这种变化被视为是发生概率的指数分布。为了表示评价的时间基础和概率，我们从汽车架构和部件评价为基点，提出了一种高效的连续时间马尔可夫链（Continuous-Time Markov Chain，CTMC）模型合成方法，该方法可以对系统进行模型检查。

结合模型生成中一般汽车网络的行为和依赖性，本模型的检查实现了状态空间的减少和计算速度的提升。我们将这种典型的汽车网络依赖性确定为每一个部件的规则。比如，CAN总线，就其可获得性而言，总是可利用的，这也就是说，只要有一个连接的ECU是可利用的，那么报文就会存在被覆盖的可能。

除了模型外，我们还需要确定一个属性问题，明确需要分析的架构元素或元素组以及需要分析的时间框架。通过概率模型检查算法对CTMC和属性进行分析。分析结果表明，所分析的元素的可利用性是在给定的时间框架之内的。例如，在一年内，通过给定的总线，可以分析一个ECU可利用的时间。

在不同的架构上对信息安全进行评估，以证明其发现安全缺陷的能力。通过评估汽车信息安全，可以比较不同架构。通过汽车专用模型生成，模型的大小减少了5个数量级，从而使模型检查性能比最先进的模型生成提高了2到3个数量级。

—安全汽车网络的轻量级认证

第二种方法重点在于保障车内网络流量的安全。想要满足汽车网络的实时性要求就需要高效地安全设置。为了保证流量的安全，就需要加密报文，认证通信参与者，并授权报文。一般情况下，这些工作都是通过认证框架来完成的。

然而，像传输层信息安全(TLS)或Kerberos这种传统的认证框架，对计算和数据速率的要求很高，与汽车系统不兼容。传输层信息安全(TLS)或Kerberos这些框架应用在企业网络或互联网中，实时性要求较低，而且报文传输数据率高。在报文流的建立过程中，采用了非对称加密技术。

本连载提出了安全汽车网络的轻量级认证的概念。这是专门针对汽车环境而开发的。该方法用于认证ECU信任中心根，一个安全模块。认证采用异步方式，因此不会对实时要求产生干扰。经过认证的ECU可以请求对报文流进行基于整车厂定义的访问控制列表（ACL）进行授权。授权是完全通过对称加密方式进行，因此可以进一步减少对实时报文传输的影响。成功的授权中还包含对称报文密匙，该密匙可以对称地加密后续的数据报文。

评估表明，和当前最先进的技术相比，轻量级认证所建立的报文流速度要快两到三个数量级。针对汽车领域，轻量级认证已进行了优化处理。这种优化可以使该认证非常容易地与现有的汽车工艺，比如空中更新（OTA）或车间维护和维修等进行整合并提供支持。

—使用FlexRay开展基于策略的调度

想要在传统的通信系统中实现信息安全，基本上来讲，很难。比如认证和授权，它们需要在短时间内传输比较大的数据量，但通常又不需要周期性的传输。想要在时间触发通信系统中实现这种传输方式也非常困难。此外，为了保证通信的安全，如果发送多条相似或相等的消息，每条消息必须有最小量的熵。这就要求信息的长度不能太短，否则就有可能发生对加密信息的暴利攻击。

在报文长度和传输时间的灵活性方面，像FlexRay这种现有的时间触发系统局限性很大，从而限制了报文安全的熵。FlexRay是一种时间触发的通信系统，其数据速率高达10 MBit/s，可以保证报文传输时间。因此，FlexRay非常适用于功能安全相关数据传输。然而，需要在设计时就定义所有报文传输的时间安排，在汽车运行时不得改变这一安排。我们后面提出的使用FlexRay开展基于策略的调度可以使总线上的报文具有更好的灵活性。

通过采用这种策略后，时间段的分配就会更灵活。ECU分配得到时段，反过来，ECU再根据预先确定的政策放置报文。通过这种方式，就建立起了一个虚拟的通信层，从而可利用组合的时隙传输报文。在这个系统中，时隙长度并不限制报文的长度，因此，这个时隙长度可以用来处理由认证框架产生的短的突发报文或报文传输。此外，底层的FlexRay系统不需要改变，可与现有的FlexRay完全兼容。

在对提出的时段分配方式进行评估后发现，与传统的FlexRay调度方式相比，报文传输延迟降低了近一个数量级。此外，报文的大小和周期可以自由选择，不再受通信系统设置的限制。

随着汽车互联的兴起，汽车领域所面临的信息安全问题也随之而来。本文针对三个具体的挑战，分析了信息安全和实时性这两个看似相反的要求。在今后的连载文章中，将会把解决方案写出来与大家分享交流。

虽然本文是针对汽车领域，但是研究结果也适用于具有类似要求的其他领域。因此，本文所研究的信息安全和实时需求的整合不仅适用于汽车领域，对汽车领域以外具有类似要求的领域也有借鉴意义。

在连载接下来的文章中，我们会讨论一些技术方法来解决汽车安全问题，请持续关注牛喀网。

本文为牛喀网独家发布，未经允许，不得转载！如果您有建议或希望发表您的文章，欢迎联系：conni.luo@i-newcar.com。