汽车跨域安全框架白皮书.pptx

汽车跨域安全框架

确保下一代汽车计算机的安全性、灵活

性与可扩展性

EmpoweringTomorrow’sAutomotiveSoftware

摘要

本白皮书提出了一种“汽车跨域安全”框架，该框架通过定义严格分隔的通信通道来

建立不同的域。我们的方法确保各功能模块既能独立运行，又能相互连接，类似于企

业网络中的不同站点，从而为下一代汽车应用提供安全且灵活的架构。我们详细解析

了该方法在向软件定义汽车（SDV）演进过程中的结构，强调了如何降低未经授权访

问带来的风险。此外，我们通过真实车辆计算机的攻击案例，展示了可信执行环境

（TEE）与硬件安全模块（HSM）结合使用的实际优势。本文进一步阐述了如何利用

“汽车跨域安全”框架建立零信任（ZeroTrust）模式，以实现完全安全的未来车载

计算机。

深入探讨汽车网络安全

您想了解更多关于汽车行业的网络安全吗？我们的白皮书 《汽车网络安全全解析》是一本全面指南，应对高度动态变化的汽车网络安全领域，深入探讨车辆制造商面临的主要挑战和机遇。

1.引言

汽车行业的发展愿景已经明确：不久的将来，车队将由软件定义的汽车（SDV）组成，这些汽车能够在整个生命周期内通过应用程序和服务的更新不断演进。对于制造商而言，这意味着在高度竞争的市场环境中，他们需要在极短的创新周期内推出新功能，同时满足所有（网络）安全要求。在SDV的核心部件——车载计算机上，这种安全与创新速度之间的平衡尤为重要。其目标是构建一个系统，使动态适配变得轻松，无需繁琐的集成或编程工作，同时确保安全性。

应对不断增长的外部网络安全威胁不仅是汽车行业面临的独特挑战。在数字化快速推进的任何行业，如何在复杂系统中建立高灵活性和互联性，同时维护功能完整性，都是一个关键议

题。因此，我们可以借鉴其他领域的成熟解决方案。例如，企业IT架构已经建立了跨域解决方案（Cross-DomainSolutions,CDS）的安全原则。通过将这些经验应用到车载计算机，我们提出了“汽车跨域安全”框架。该框架通过严格隔离通信通

道，并对安全相关功能进行隔离，确保汽车安全性。

这要求新的软件架构在简化软件开发、部署和运行的同时，仍然保持高水平的用户安全性和系统可靠性。车载计算机作为各种车辆功能的集中控制点，标志着迈向更加软件定义的未来。然而，这也带来了挑战。汽车制造商必须在确保适当安全措施和高灵活性的同时，应对不断增长的网络安全威胁。许多汽车行业的参与者正在这里开辟新天地。这值得跳出固有思维，采用成功的方法，而不是重新发明轮子。

在传统的汽车软件开发中，工程过程相对独立于应用程序的范围和深度。然而，无论如何都需要进行测试以检查所有车辆功能的完整性，即确保即使是看似无害的应用程序也不会触发可能危及驾驶员安全或成为恶意软件入口的故障。随着外部访问通道和请求的不断增加，车辆面临的风险越来越多，维护车辆整体安全所需的努力呈指数级增长。

2.车载计算机安全的挑战

汽车跨域安全框架3

好消息是，汽车行业并不是第一个面临在复杂且日益互联的系统中平衡灵活性与安全挑战的行业。能源、金融和医疗保健等关键行业也面临着不断扩展的IT环境，并设有不同安全级别的系统。例如，能源公司可能拥有控制电网运营的内部网络（敏感数据）和面向客户服务的外部网络（较不敏感的数据）。他们的跨域方法包括使用虚拟化原则将复杂系统拆分为隔离单元，在控制功能域内部署实时威胁检测和防御机制，如图1所示。

该跨域方法使他们能够管理不同域之间的安全访问和数据传输。

操作数据在保护状态下仍能实现外部通信，例如通过互联网与不同数据源进行双向数据流交互。这些行业参与者已经走上了这条道路，并找到了应对不断增长的网络安全威胁的方法。

单个车辆必须被视为一个复杂的企业网络。它具有许多内部相互连接以及与外部来源连接的域。因此，上述原则可以应用于车辆软件中——同时牢记，尽管数字化程度不断提高，车辆始终是一种旨在运输人员的机械设备。因此，所有道路使用者的安全始终是首要任务。

实时威胁检测与预防：

引入安全域为部署安全解决方案（如入侵检测系统）提供了横向基础，用于（虚拟）网络通信和主机进程，而不会干扰功能域的功能。它

允许实施本地安全响应以遏制攻击。

当谈到车辆中的安全相关功能时，首先想到的是制动功能、发动机管理、安全气囊等。尽管在向SDV发展的过程中，车辆架构发生了变化，但这些高度安全关键的组件通常仍然通过单独的电子控制单元（ECU）进行控制，而不是作为车载