汽车跨域安全框架白皮书.pdf

汽车跨域安全框架

确保下一代汽车计算机的安全性、灵活

性与可扩展性

EmpoweringTomorrow’sAutomotiveSoftware

摘要

本白皮书提出了一种“汽车跨域安全”框架，该框架通过定义严格分隔的通信通道来

建立不同的域。我们的方法确保各功能模块既能独立运行，又能相互连接，类似于企

业网络中的不同站点，从而为下一代汽车应用提供安全且灵活的架构。我们详细解析

了该方法在向软件定义汽车（SDV）演进过程中的结构，强调了如何降低未经授权访

问带来的风险。此外，我们通过真实车辆计算机的攻击案例，展示了可信执行环境

（TEE）与硬件安全模块（HSM）结合使用的实际优势。本文进一步阐述了如何利用

“汽车跨域安全”框架建立零信任（ZeroTrust）模式，以实现完全安全的未来车载

计算机。

1.引言

汽车行业的发展愿景已经明确：不久的将来，车队将由软件应对不断增长的外部网络安全威胁不仅是汽车行业面临的独特

定义的汽车（SDV）组成，这些汽车能够在整个生命周期内挑战。在数字化快速推进的任何行业，如何在复杂系统中建立

通过应用程序和服务的更新不断演进。对于制造商而言，这高灵活性和互联性，同时维护功能完整性，都是一个关键议

意味着在高度竞争的市场环境中，他们需要在极短的创新周题。因此，我们可以借鉴其他领域的成熟解决方案。例如，企

期内推出新功能，同时满足所有（网络）安全要求。在SDV业IT架构已经建立了跨域解决方案（Cross-DomainSolutions,

的核心部件——车载计算机上，这种安全与创新速度之间CDS）的安全原则。通过将这些经验应用到车载计算机，我们

的平衡尤为重要。其目标是构建一个系统，使动态适配变得提出了“汽车跨域安全”框架。该框架通过严格隔离通信通

轻松，无需繁琐的集成或编程工作，同时确保安全性。道，并对安全相关功能进行隔离，确保汽车安全性。

2.车载计算机安全的挑战

在传统的汽车软件开发中，工程过程相对独立于应用程序的范这要求新的软件架构在简化软件开发、部署和运行的同时，仍

围和深度。然而，无论如何都需要进行测试以检查所有车辆功然保持高水平的用户安全性和系统可靠性。车载计算机作为各

能的完整性，即确保即使是看似无害的应用程序也不会触发可种车辆功能的集中控制点，标志着迈向更加软件定义的未来。

能危及驾驶员安全或成为恶意软件入口的故障。随着外部访问然而，这也带来了挑战。汽车制造商必须在确保适当安全措施

通道和请求的不断增加，车辆面临的风险越来越多，维护车辆和高灵活性的同时，应对不断增长的网络安全威胁。许多汽车

整体安全所需的努力呈指数级增长。行业的参与者正在这里开辟新天地。这值得跳出固有思维，采

用成功的方法，而不是重新发明轮子。

您想了解更多关于汽车行业的网络安全吗？我们的白皮书

《汽车网络安全全解析》是一本全面指南，应对高度动态

变化的汽车网络安全领域，深入探讨车辆制造商面临的主

要挑战和机遇。

汽车跨域安全框架3

3.安全相关功能

当谈到车辆中的安全相关功能时，首先想到的是制动功能、不可避免地转移到车载计算机中。这从传感器技术的控制和处

发动机管理、安全气囊等。尽管在向SDV发展的过程中，车理开始，到影响驾驶的复杂功能，如障碍物检测（或ADAS）

辆架构发生了变化，但这些高度安全关键的组件通常仍然通或电子稳定控制（ESC）。在本文中讨论安全相关功能时，我

过单独的电子控制单元（ECU）进行控制，而不是作为车载们指的是这一大类部分新出现的功能，它们与娱乐、舒适性和

计算机域的一部分。然而，一系列直接影响这些安全组件的连接性功能一起托管在车载计算机上。

功能和信号将