丰田 – EE架构网络安全设计

1、 EE架构与网络安全

为了提高车辆的安全性，需要适当的EE架构：
1） 车辆和车载信息娱乐系统之间的隔离
网关中有专门的API来控制来自通信网络中有关车辆行为的信息
2） OTA
需准备针对漏洞更新的安全性框架
3） 系统中每个组件之间的独立性
如果一个组件被黑客攻击，它不会对另一个组件产生太大的影响

图1. 网络信息安全防护

2、 EE架构安全目标

为了降低风险，采用了多层安全防护：
1）第一层：接入点
—— 防火墙
—— 入侵检测
2）第二层：网关
—— 防火墙
—— 隔离区
3）第三层：公共车载网络
—— 消息认证
4） 第四层：专用车载网络
—— 消息认证
5） 第五层：ECU
——防篡改

图2. 多层安全防护机制

3、 网络安全给EE架构带来的挑战

1）由于将域与公开的通讯隔离而导致的架构更改
2）需要与芯片供应商就所需的外围设备达到共识
3）安全的全局时间机制
4）MAC（消息验证码）的有效负载需要高带宽
4、 如何应对这些挑战
1）采用新的网络总线及公共/专用网络解耦
问题1. 传统总线有效负载较小（CAN仅有8个字节）
解决办法：采用更大带宽网络，如CAN-FD（CAN-FD有64个字节）
问题2. 传统总线架构不太可能一次性全部更改为新的网络架构
解决办法：采用专用总线来解决此问题，即只更改部分网络，网络架构分为专用网络和公共网络两部分；

图3. 专用网络和公共网络

新的专用总线网络的采用解决了负载问题：
a、较高安全级别的信息将在专用总线网络中进行信息交换
b、普通安全级别的信息在公共总线网络中进行信息交换
2）压缩安全全局时间方法及其标准化
问题1. 必须使用安全的全局时间来建立安全的环境，但是带宽不足
解决办法：采用压缩FV（Fresh value ID)
问题2 . OEM压缩FV（Fresh value ID)解决方案不统一
解决办法：解决方案标准化

图4. 在JasPar和Autosar中压缩FV解决方案标准化

5、 秘钥管理系统

1）第一步：数据中心 → 产生秘钥
2）第二步：互联数据中心 → 分配秘钥
3）第三步：ECU工厂 → 安装秘钥
4）第四步：OEM/经销商 → 激活秘钥

图5.丰田秘钥管理系统概览

参考资料：
Example of security integration with E/E architecture.

注：文章首发于公众号“筋斗云与自动驾驶”，扫描下方二维码关注公众号并在主页面点击左下角“福利”，有40余篇自动驾驶与EE架构相关国外参考技术文献赠送。

筋斗云与自动驾驶