自動駕駛、V2X、OTA等技術的更迭發展,整車拓撲上勢必會增加大量ECU模塊,同時數據加密等的技術引入,都將導致現有的車輛電子架構將越來越無法滿足功能需求。
針對未來的整車電子架構設計,Domain Controller的引入,使得對現有車輛架構的集成度以及降本上,有了極大的推動。但新架構也使車輛暴露出更多通信端口,也就是新的安全風險,此時全新的車輛防火牆策略刻不容緩。
Domain架構概念
據瞭解,寶馬與奧迪目前正在進行全新End-To-End的電子架構設計,相似的是都在整車架構內採用了單個或多個高性能的中央計算單元節點(如英偉達,高通,mobileye等提供的芯片)對各功能不同的域層進行管理。同時這些節點會與各OEM雲平臺進行數據交互,來實現定位,通信,路徑規劃,以完成自動駕駛、V2X、OTA等功能。
奧迪命名爲中央計算集羣(central computing cluster)
Audi’s End-2-End Architecture
類似的架構寶馬稱之爲中央計算平臺(Central Computing Platform)
BMW’s New Architecture
全新的域層架構設計則如下圖,包括Powertrain,底盤,車身控制,娛樂信息系統,自動駕駛等功能在內的域層以以太網作爲傳輸介質,通過車內網關來實現數據傳輸。
由於此網關具有特殊功能需求,通常情況都會留有兩個外部通信接口,一個用於OBD設備診斷通信使用,另一個爲蜂窩移動模塊,使用LTE或Wifi與雲端服務器通信,用於採集如地圖定位,路徑規劃,加密處理等。
爲嚴格控制車輛架構內各安全域層之間的通信隔離,如最容易受到攻擊的娛樂信息系統不允許與Powertrain等功能安全相關的Domain直接進行通訊;以及對具有安全隱患的外部請求進行身份授權認證等,架構頂層引入了網關/防火牆Firewall來確保僅相同域內的ECU節點及可靠的用戶或Service纔可與目標節點進行合法數據交互。
傳統IT防火牆分類
傳統IT行業的防火牆模塊,會對各安全區域之間所有可能的通信通路進行可靠性管理,即在所有區域邊界上,根據事件event對網絡流量進行監控,並根據既定安全策略(如Whitelist)來允許指令請求的通行,能抵擋住來自不安全網絡的攻擊與入侵,以保障內網安全。
數據包過濾防火牆
包過濾防火牆工作在OSI模型的網絡層,基於目標地址及源地址對數據包進行過濾,但對於傳輸層數據,只能識別出是TCP/UDP類型及所使用的端口信息。
應用代理防火牆
應用代理防火牆則是徹底隔離了內外網直接通信,當內部網絡有對外通訊需求時,必須是由防火牆對外網的訪問,再由防火牆轉發給內網,即通信是基於應用層的代理軟件實現,應用層的協議會話須符合代理的安全策略。
狀態檢測防火牆
與包過濾防火牆不同的是,它更注重傳輸層的控制能力,重點在於建立狀態連接表,來跟蹤每一個進出網絡的會話狀態信息,監控了數據包是否符合會話所處的狀態。針對TCP,防火牆會對TCP頭信息進行解析,用於確認是首次連接或已經建立通信,因此不僅能減少數據包穿過防火牆的時間,同時可以有效檢測出DoS攻擊。
車輛防火牆需求定義
針對汽車防火牆需求定義,首先,由於在車內的分佈式總線系統上,車輛ECU對不同Domain之間通信時的響應時間有着極爲嚴苛的要求,因此防火牆須滿足執行的實時性(real-time),且在運算時必須比消費電子領域防火牆佔用更少的CPU資源。
考慮到車載網絡防火牆位於整車架構最外圍,如OBD口或遠程通信的入口,受到攻擊的頻次勢必最高,因此對於軟件Update問題,Firewall應具備足夠Flexibility,如同傳統防火牆一致,車廠會要求Firewall能及時實現快速升級,完成防火牆策略及軟件協議棧的更新,確保迅速修復安全漏洞以抵禦快速更迭的攻擊方式。軟件運行於Firewall的操作系統OS之上,假如OS受到病毒攻擊或非法篡改,所有安全策略都將不再適用,因此OS也應支持遠程升級。
在此過程中,任何供應商留Backdoor行爲都不應被允許。最後應具備完備的Log記錄功能,以對任何攻擊行爲進行記錄並遠程傳輸給服務器端,用於後期對攻擊數據進行分析。
防火牆硬件方面,首先需滿足傳統IT行業的防火牆策略規範,也就是網絡通信時所應具備的安全篩選隔離功能。其次就是在汽車這個特殊場景下的需求,如作爲嵌入式芯片,應滿足低功耗以及適應各種極端天氣下仍能正常工作的需求。能完成對Closed-loop 閉環系統的整車信息安全路由控制。
在正常通信層面,由於Domain架構設計需求,Firewall後通常會直接連接多路總線,因此Firewall在設計數據包吞吐量時也應適應不同總線的通信速率。
在進行防火牆芯片選擇時,不同於傳統消費類電子防火牆,傳統OEM會對芯片有定製化需求,因此CPU負載能力,RAM大小都直接決定了防火牆的硬件成本,這裏不進行討論。
目前傳統越來越多的整車廠開始在架構設計中加入了防火牆,可見信息安全的理念逐漸開始深入。由於車輛場景太過特殊,車輛防火牆須確保整車的功能安全在駕駛過程中不受到破壞,因此其地位也將會隨着車輛智能化的發展愈加重要,這就需要整車廠OEM,芯片半導體公司,軟件公司的共同努力了。