网络安全基于车载大脑的汽车EE架构网络安全（一）：方法论及使用案例牛喀网

内容提要：本文使用ISO/SAE21434标准、“Microsoft威胁分析工具-STRIDE”、TARA和“REANA”分析了架构的威胁和损害场景。

摘要

“基于车载大脑的汽车EE架构网络安全”专题连载共分为“一、二、三”三个部分。此文为该连载系列的“第一部分”，我们将结合研究的简介及背景对方法论进行概述，同时还将具体通过使用案例来分析传统架构、单脑架构、双脑架构和三脑架构等四种E/E架构之间的差异。

1.简介

由于数字化，汽车的生产技术经历了根本性的改进。因此，毫不奇怪，我们将经历我们今天所知的移动原型的转变。未来，下一代将能够驱动非常复杂和先进的网络物理系统。由于演进的灵活性，每个设计都需要不断的检查、监控和改进，以满足安全和防护标准。尽管典型的安全概念是在车辆制造过程中实现的，但有几种架构可以满足效率和安全目标所需的角色。

除了车辆设计中使用的组件之外，本文还研究了汽车E/E架构的各种功能。结果显示了对用户以及车辆整体制造的一些优点和缺点。Microsoft威胁建模工具2016可用于通过在传统和基于HPC的架构框架内执行STRIDE分析来研究网络安全威胁案例、威胁场景和损害场景。用例描述了设计中不同组件的作用。设计师和制造商进行的威胁分析可以帮助改进车辆系统架构，使安全性更加有效，并定期审查它们以获取更多更新和更改。

1.这项工作探索了汽车行业现有的传统、单脑、双脑和三脑E/E架构；

2.通过提供架构之间的一般比较来解决行业中的差距；

4.使用MS威胁建模工具-STRIDE和REANA分析工具对所研究的架构进行探索和分析TARA方法；

5.分析结果通过标题为“不同E/E架构的比较表示”和“网络安全与威胁数量的比较”的表格呈现。

2.方法论

本研究的目的是探索和分析现有的基于汽车E/E架构的知识，以创建当前基于ECU和HPC的车辆网络安全系统的通用比较图像。为了完成这项任务，我们结合特定架构类型的案例研究构思了一种探索性研究方法。在案例研究部分，使用TARA和STRIDE方法对架构进行了风险和威胁分析。该部分是根据ISO/SAE21434标准使用MS威胁分析工具和REANA分析工具完成的。研究方法是探索性研究与案例研究的结合。

本文研究了车辆中的四种不同架构模式，对于每种架构，使用STRIDE检查了三种不同功能（传感器和执行器的组合）带来的威胁。本文研究了基于轮胎压力监测系统（TPMS）、高级驾驶辅助系统（ADAS）、以及远程无钥匙进入系统（RKE）。选择了三种功能，以便三个大脑中的每个大脑至少具有一种功能，并且每种功能都是传感器和执行器的组合。每个架构的框图都是使用REANA分析工具构建的。该工具提供了各种模块，例如进程、交互器、数据流和数据存储。它还可以根据所使用的块选择各种威胁，例如，控制器是一个具有所有六种STRIDE威胁（欺骗、篡改、否认、信息泄露、拒绝服务和权限提升）的进程。基于此计算，计算了架构的各种威胁。STRIDE的威胁有助于确定损坏场景。该方法符合TARA(ISO/SAE21434)。

对威胁进行平均，可以作为计算车辆中800个功能的威胁的参考。然后，比较了所有四种架构的威胁。“威胁数量”是最重要的参数之一，有助于分析架构。此外，根据结果，制定了一个通用的数学方程来计算任何架构模式的威胁。

此外，还讨论了所有三种架构的网络安全关键功能的优缺点，并生成了定性比较表。该比较表以及上面制定的威胁公式是为汽车行业推荐架构的基准。

3.背景

3.1.ISO/SAE21434

项目定义

汽车环境中与互联网或外部环境交互时可能存在漏洞的独立系统或一组组件在，属于本条款的范围。

网络安全目标

威胁分析和风险评估（TARA）方法

TARA的概念阶段包括识别资产、识别相应的损害场景、计算影响评级、识别威胁场景、攻击路径分析、确定攻击可行性评级、风险值和风险处理决策。TARA的主要优点是该过程中确定的每个步骤都是独立的，并且可以按任何顺序执行。

其中一种TARA方法是由IntelSecurity的安全专家开发的，基于三组收集的数据（表示为库）：

方法和目标库(MOL)——列出了每个威胁代理可能采用的方法以及相应的影响级别；

通用暴露库(CEL)——列出了暴露程度最高和脆弱性最大的领域。

当TARA应用于不同的架构时，将定义各个任务。

3.2.STRIDE

STRIDE方法最初由Microsoft开发。图1表示STRIDE威胁模型。

图1.STRIDE威胁模型

此方法允许从任何软件或硬件的设计阶段开始在每个开发生命周期阶段进行威胁识别（参见图2），从而深入了解潜在的攻击场景。

STRIDE方法有两种变体可以自动派生威胁，即按交互和按元素，这些方法已由REANA实现。

E/E系统的每个组件都可以使用STRIDE方法进行分析，每个组件都有一个威胁类别列表，并面临每个类别的一个或多个威胁。图3展示了模型与可能的威胁类别之间的关联。如图3所示，一个流程暴露于所有六种威胁类别，一个交互者暴露于两种威胁类别，一个方向的数据流暴露于三种威胁类别，并且数据存储面临三种威胁类别。一个组件可以在一个类别中具有一个或多个威胁。

图3.每个组件的威胁类别

4.架构

由于自动驾驶场景新应用的需求，汽车行业正在从传统架构向智能架构迈进。在这项工作中，研究了四种E/E架构。这些架构被命名为传统架构、单脑架构、双脑架构和三脑架构。本文的以下部分分别描述了它们的设计构造可能性。

4.1.传统的E/E架构

传统架构（如图4所示）是一种方法，其中车辆功能（例如信息娱乐和动力总成）通常由单独的ECU处理，并且这些ECU在汽车内以分布式方式组织。

图4.传统E/E架构的表示

如图4所示，传统架构由ECU和交互器（传感器和执行器）组成。在传统架构中，一个ECU通常承载一种功能，但也可以承载多种功能。在本文中，我们假设每个ECU最多承载八个功能。ECU从连接的传感器接收输入传感数据，并根据ECU中实现的逻辑将驱动信号发送到执行器。在传统架构中，ECU与传感器之间的通信是使用双向总线系统（CAN/LIN/FlexRay）实现的，ECU与执行器之间的通信是使用双向以太网电缆或总线系统来实现的。在本文中，我们假设以太网电缆连接在ECU和执行器之间，总线系统连接在ECU和传感器之间。

使用案例：

不同用例的架构以及ECU和交互器之间的连接如图5所示。不同ECU传统架构的威胁建模及其功能和交互器是使用REANA绘制的（点击查看REANA介绍），如图6-8所示。

图5.传统架构的用例表示

图6.REANA中ECU1传统架构的实现

图7.REANA中ECU2传统架构的实现

图8.REANA中ECU3传统架构的实现

胎压监测系统

轮胎压力监测传感器(TPMS)感测轮胎中的压力并将数据发送到ECU，ECU进一步处理这些数据，并将实时数据提供给主机显示器(HUD)。HUD上显示的信息有助于避免在低压或轮胎漏气等情况下发生事故。

高级驾驶辅助系统(ADAS)

360度摄像头系统是自动驾驶(AD)的支柱，从摄像头接收到的图像数据由连接的ECU进行处理，以便了解外部环境，以便在自动驾驶汽车时做出精确的决策。

远程无钥匙进入系统(RKE)

RKE系统由钥匙扣（能够发送/接收低范围信号）和位于汽车门控制模块(DCM)中的信号接收器组成。在主动RKE中，按钮专用于锁定或解锁车门以及打开行李箱或尾门。在被动RKE（所谓的智能钥匙扣）中，不需要主动操作来按下按钮，而是使用信号接近来打开/关闭门。钥匙扣的功能如图9所示。当用户按下按钮时，钥匙扣将发送信号，该信号将由ECU（所谓的门控模块(DCM)）进行处理。如果从钥匙扣传输的信号与DCM编程接受的信号匹配，DCM将向执行器发送命令，从而打开车门。

图9.RKE功能的模型

当用户按下远程按钮时，发射器会向控制模块/接收器发送加密的射频信号，然后触发继电器来打开/关闭门。每辆车都有自己的无线电频率，因此数据总是加密的，没有给定的密钥卡就无法打开车辆。

传统架构中低性能电子控制单元（ECU）的优点：

如果一个ECU受到攻击，则该特定ECU所承载的功能会受到影响（其中功能数量较少）。但如果HPC受到攻击，由于涉及的功能较多，造成的损害更为严重。

ECU性能低、功能少，易于开发和维护。

如果ECU损坏，由于其性能较低，更容易更换。

传统架构中电子控制单元(ECU)的缺点：

与HPC等高性能计算设备相比，其性能非常低（100或1000倍）并且主机功能很少。

当使用低性能ECU时，需要许多ECU来提供汽车所需的所有功能，而这很难维护。

连接如此多的ECU需要电线。因此，高端汽车的线束大约有10公里长，承载沉重的电缆会产生很高的能耗。此外，电缆连接的复杂拓扑使得在连接失效时难以维护和修复。

4.2.单脑（集中式）E/E架构

“单脑架构”是使用高性能计算(HPC)平台处理现代车辆功能（估计约800个）的方法的名称，该平台进一步连接到远程信息处理单元。这种架构的其他名称是集中式架构、HPC架构、单脑架构，简称大脑架构。

在单脑E/E架构中（如图10所示），将有一个单一的集中式HPC，而不是传统架构中的分布式ECU。

图10.单脑E/E架构

在车载汽车架构的传统设计中，有多个低性能ECU来执行单独的任务，然后所有这些ECU都单独连接。除了管理如此多的单独ECU存在困难之外，车辆中还引入了新的功能和基础设施，例如车联网(V2X)、高级驾驶员辅助系统(ADAS)/自动驾驶(AD)和物联网(IoT)需要从旧的分布式控制系统转向像单脑这样的集中式高性能架构。

上述用例的单脑架构威胁建模是使用REANA实现的（点击查看REANA介绍），如图12所示。

图11.单脑架构的用例

图12.REANA中单脑架构的实现

单脑架构的优点：

当Brain-HPC的价格比所有ECU以及这些ECU上托管的功能的成本便宜时，它比多个单独的ECU便宜。

由于功能的集中化，整个车载E/E架构的复杂性得以降低。

它可以处理ADAS、物联网和其他高计算应用所需的高计算能力。

由于这样的Brain-HPC具有多个高性能和低性能核心，因此每个核心都能够托管一个虚拟化层、操作系统(OS)层、中间件和应用程序的垂直堆栈。

能够提供功能解耦。例如，安全核心（能够承载安全功能）与高性能核心（提供信息娱乐功能）分开。

单脑架构的缺点：

需要尽早处理硬件/软件架构。硬件和软件架构应在车辆的概念阶段定义。例如，需要考虑HPC的性能要求（内存容量、核心数、板数等），并考虑到要实现的功能数量。未来是否会托管在HPC上，这有时很难预测。

中央大脑的失效将导致整车无法运行。

4.3.双脑（分区）E/E架构

双脑架构是现代车辆功能（估计约为800个）均匀分布在两个HPC上的方法的名称。这些HPC中的每一个都进一步连接到远程信息处理。双脑架构的典型表示如图13所示。无论何时，具有多个HPC的架构有时被称为区域架构。之所以如此命名，是因为由于车辆的尺寸和重量要求，需要确定部署HPC的车辆的确切位置。部署双脑架构HPC的可能位置是车辆的左前侧和右前侧。一些OEM使用术语“区域架构”来指代ECU的放置（左前、右前、左后、右后和中央/顶部，用于管理本地传感器和执行器），然后连接到HPC。

图13.双脑E/E架构

该架构可以将许多传感器和执行器根据负载能力均匀分布到两个HPC，或者直接连接到HPC，或者通过中间的ECU连接。

双脑架构的用例如图14所示，其中RKE功能由Brain1HPC提供，自动驾驶（AD）功能由Brain2HPC提供。为了提供RKE功能，Brain1HPC需要与Keyfob进行交互。为了提供AD功能，Brain2HPC需要与360度摄像头进行交互。远程信息处理和Brain1HPC/Brain2HPC之间的通信通过以太网链路完成。通常，交互器（Keyfob、RKE、360度摄像头、AD）使用总线系统与Brain1和Brain2HPC进行通信。

图14.双脑架构的用例

双脑架构使用REANA进行建模（点击查看REANA介绍），如图15所示。

图15.REANA中双脑架构的实现

双脑架构的假设是负载均匀分布在两个HPC中。HPC1和HPC2是负载均匀的两个处理器（例如，在总共800个功能的情况下，每个处理器400个）。在此示例中，两项功能（一项用于远程无钥匙进入(RKE)）和一项用于自动驾驶(AD)直接与HPC连接，如图14所示。

根据架构的功能、防护性和安全性要求，两个大脑的性能可以是同质的或异质的。在本文中，假设Brain2HPC具有更高的性能和内存容量，使我们能够承载自动驾驶(AD)功能，例如捕获360°相机图像，然后检测物体。

双脑架构的优点：

它为单脑架构提供冗余。如果两台HPC中都承载相同的功能，那么其中一台HPC发生失效不会导致车辆无法运行。如果两台HPC中承载不同的功能，那么其中一台HPC发生失效可能会导致车辆部分无法运行。

与单脑架构相比，具有更高的性能和效率。

它提供了负载平衡的可能性，从而提供了对安全至关重要的功能的冗余。

当部署两个异构HPC时，一个HPC的漏洞可能在另一个HPC中不存在，从而使架构比单脑架构更安全。

两个HPC允许更多软件运行时环境运行。因此，更容易设计同构和异构功能。

当使用两台较低配置的HPC（而不是在一台HPC中使用较高配置）时，与单脑架构相比，该架构可以更具成本效益。

双脑架构的缺点：

由于大脑的互连，网络的复杂性增加。

由于额外的HPC，因此有更多的通信节点和电缆。

ECU的独立功能可能导致部分功能失效。

为额外的HPC提供额外的电源要求。

额外的HPC将导致额外的初始投资，从而导致车辆总成本增加。这意味着更高的短期投资，导致更高的总体车辆成本。

当部署异构硬件/软件架构时，硬件和软件架构比单脑和传统架构更复杂。

与单脑和传统架构相比，拥有两个大脑为攻击者提供了更多的攻击面。

拥有冗余功能意味着保留和运行冗余代码，这会占用内存和CPU周期。

4.4.三脑E/E架构

三脑架构（见图16）是将现代车辆功能（估计约为800个）分布在三个HPC中的方法。该架构的其他名称是“三个HPC”和“区域架构”。

图16.三脑E/E架构

该架构由三个HPC组成，车辆的功能分布在这些HPC中，以提高性能并减少每个HPC的总体负载。如图17所示，三脑架构具有三个大脑，分别是Brain1HPC、Brain2HPC和Brain3HPC。每个大脑都承载多种功能，其中交互器（传感器/执行器）要么直接连接到这些大脑，要么通过ECU连接（在这种情况下，ECU负责管理交互器），以便能够执行这些功能。与单脑和双脑架构一样，BrainHPC和远程信息处理之间的通信是使用双向以太网通道完成的，而BrainHPC和交互器（传感器/执行器）之间的通信是使用总线系统执行的。

图17.三脑架构的用例

假设整车托管800个功能，则每台HPC托管大约266个功能。三脑架构的用例图如图17所示，其中仅说明了每个HPC（域）的一个功能。这三个HPC被分配给三个域，例如用例图中Brain1HPC分配给信息娱乐域，Brain2HPC分配给车身域，Brain3HPC分配给动力传动系统域。Brain1HPC通过总线系统接收TPMS信号，处理该信号，并将接收到的值发送到主机显示器(HUD)。当按下或靠近KeyFob时，Brain2HPC会接收来自KeyFob的信号并检查KeyFob是否真实，然后打开/关闭车门。Brain3HPC接收360°摄像头拍摄的图像，识别周围的物体并根据Brain3HPC中实现的逻辑自动驾驶汽车。

功能的分布不一定必须是均匀的。这些需要高计算能力的功能可以分配给具有更高处理能力的大脑。在这种情况下，自动驾驶（AD）可以连接到具有最高处理能力的大脑。另一种分配功能的方式可以基于关键功能和安全功能，使得这些功能可以分配给具有更高安全性和冗余特征的大脑。图18显示了REANA软件中三脑架构的实现。

图18.REANA中三脑架构的实现

三脑架构的优点：

由于三个HPC联网，该架构将比单脑和双脑架构性能更好。

通过功能划分，平衡负载变得更加容易。

能够通过冗余系统确保数据完整性（数据库中存储的数据的准确性和一致性）。

易于维护和修改架构中的HPC。

可扩展——每个项目都可以独立扩展，具有更高的内存和处理能力。

三脑架构的缺点：

额外的高性能计算将导致额外的初始投资，从而导致车辆总成本增加。这意味着更高的短期投资，导致更高的总体车辆成本。

当部署异构软硬件架构时，软硬件架构比单脑、双脑和传统架构更加复杂。

与单脑和双脑架构相比，三脑为攻击者提供了更多的攻击面。