朋友问起智能网联汽车发展迅猛，数据安全该如何保障？正好小星曾经写过一篇期刊论文。直接来说智能网联汽车越来越需要在现有的车身网络中以很小的数据开销保护信号的完整性、安全认证和时效性。也就需要使用功能安全和信息安全相结合的方法进行系统开发。咱们后面详聊。

为了让自动驾驶汽车能够更好的感知周围环境，目前的主流方案包括了两个方向。一个方向是加强车内自身传感器的性能，进行多传感器信号融合。另一个方向是当前汽车行业高度关注的互联网智能汽车概念，也称为车车通讯技术。那么传感器信号融合势必涉及车内网络通讯，如果这些网络遭到黑客入侵，车辆被远程的黑客控制，后果将不堪设想。

与此同时，SOTA (Software update Over The Air) 无线更新软件功能正日渐成为整车厂追求自动驾驶和车联网所必需的趋势。基于SOTA技术，软件相关的成本将大幅降低。同时，用户可以更便捷的得到更新的服务和功能。然而， SOTA同时涉及功能安全和信息安全相关的功能。因为它可能应用于各种电子控制器的软件升级。

自动驾驶或是车车互联技术正推动汽车网络架构发生变革。越来越多的车辆将网络架构按照不同的域进行分割。并在域之间基于网关和域控制器进行信息安全的防火墙隔离和数据加密。常用的网络域包括动力总成Powertrain、底盘Chassis、车身Body和信息娱乐Infotaiment。不同域的子模块则涉及不同的车内网络（蓝色）及V2X车车互联（红色）的不同数据加密需求。

在车辆中，不同的电子控制器具有不同的信息安全需求：

1) 车联网单元：作为车辆连接至云端、外部世界的单元，它要求最高级别的信息安全等级。以此保证车载网络不受来自V2X车辆网通讯的信息安全干扰。因此非对称加密引擎是必需的。

2) 中央网关: 由于它直接连接OBD车载诊断接口，因此对于它的车载网络通讯加密保护是必需的。所有的内部通讯保护应该基于对称加密算法。非对称的加密算法可由软件实现。

3) 域电子控制器 : 它们是独立的ECU电子控制器。在这里主要目的是加密保护已经加密的ECU电子控制器与传感器及执行器之间的交互通讯。其中需要对称加密引擎的支持。

功能安全相关的信息安全解决方案

基于广泛使用的功能安全开发方法，对应的信息安全开发方法可以参考标准SAE J3061。

类似于危害分析和风险评估(HARA)方法在功能安全目标定义中的使用，信息安全目标定义可以基于威胁分析和风险评估(TARA)方法。

基于相关标准SAE J3061信息安全指导书，威胁分析基于严重度severity、可能性probability和可控度controllability的评价分析。基于如上的表格，威胁级别和影响级别由相关参数评价总和进行估计。

经验教训：黑客攻击

参考Charlie Miller 博士和 Chris Valasek的远程黑客攻击汽车报告“Remote Exploitation of an Unaltered Passenger Vehicle”中提到的信息安全对于具有互联功能的汽车至关重要。在报告中提到了针对Uconnect系统进行黑客攻击汽车的过程。他们通过SOTA全程软件升级功能远程刷新了修改的固件，然后让汽车被未经保护的CAN网络信号所远程操控。如下为具体的黑客攻击流程

1. 识别目标->

2. 修改中控车机当中的OMAP芯片->

3. 远程控制Uconnect系统->

4. 对v850芯片刷新修改的固件->

5. 执行通讯物理层的操控。

案例研究：EPS电动助力转向系统

电子转向助力系统EPS是一种功能安全高度相关的系统，不得不考虑信息安全和功能安全结合的分析、开发、验证方法。

EPS控制器使用转向传感器和车速传感器输入信号来计算所需要的电机扭矩。为了产生所需电机扭矩，控制器控制电机执行相应的操作。电机的扭矩由齿轮总成放大并产生所需要的助力扭矩。助力扭矩和驾驶扭矩由齿轮总成进行耦合。它的扭矩总和通过上部的转向柱由机械结构向齿轮和齿条传输，最终相应的驱动车轮转向。

在EPS当中，直流无刷电机BLDC用来产生需要的扭矩。而BLDC电机产生的扭矩又直接与留过的电流相关。因此如果能够控制留过BLDC的电流，就能控制所需的扭矩。对应的在电机驱动中，通常使用三相桥驱动和电路来通过调整PWM的占空比完成对电流的控制。EPS控制器通过调整占空比来产生所需的扭矩。此时微处理器MCU针对转向扭矩传感器和电机转子位置传感器的反馈信号来计算控制信号。进而微处理器由具有功能安全监控功能的供电单元供电。同时对于功能安全高度相关的EPS控制器需要一个信息安全加密保护的CAN总线车载网络。

功能安全和信息安全结合的分析方法一方面量化了信息安全的威胁，另一方面将功能安全和信息安全各自领域的成熟方法交叉应用。结合HARA和TARA的分析方法能够实现具有功能安全导向的信息安全设计。

在自动泊车电子控制器和EPS电子控制器之前的CAN FD总线车载网络当中，为了保护消息的时效性，通讯的两侧需要维护时效性数值。例如每个独特的消息将具有自己的时效性计数器。发送方将消息按照安全认证授权进行加密。安全认证信息包含消息认证码MAC和时效性数值。接受方则根据安全认证授权信息进行完整性、安全认证和时效性校验。

智能网联汽车的数据安全越来越需要功能安全和信息安全相结合的系统开发方法，来全面保障车辆网络和控制系统的安全性,这对于自动驾驶和车联网技术的发展至关重要。