内容提要：我们将围绕此专题的相关工作及结果进行具体讨论，从而提出系列限制和未来范围。

“基于车载大脑的汽车EE架构网络安全”专题连载共分为“一、二、三”三个部分。此文为该连载系列的“第三部分”，在第二部分中我们已经使用STRIDE进行安全分析，并通过架构风险分析及安全性比较，推荐了先进的架构安全控制。接下来，在专题的最后部分中，我们将围绕此专题的相关工作及结果进行具体讨论，从而提出系列限制和未来范围。

8.相关工作

自动驾驶汽车是汽车行业发展的下一步。根据J3016_202104委员会道路车辆驾驶自动化系统相关术语的分类和定义，自动驾驶汽车有六个自动化级别。

•0级：无自动化；

•1级：驾驶辅助；

•2级：部分自动化；

•3级：有条件自动化；

•4级：高度自动化；

•5级：完全自动化。

车辆中的先进电气系统需要车载组件和云之间的持续通信，以确保车辆的正常功能和安全性。这种不间断通信的必要性使得车辆系统的安全性容易受到黑客的恶意攻击。在多起事件中，黑客能够部分控制车辆的自主功能。2015年臭名昭著的Jeep黑客事件在此类车辆的控制、安全和防护方面震动了网络安全界。为了在汽车网络安全方面保持全球一致，行业专家合作创建了一个标准，供所有汽车制造商遵循。国际标准化组织(ISO)与SAE International合作，采纳了网络物理车辆系统网络安全指南SAE/J3061中收集的建议，并制定了最新的ISO/SAE 21434道路车辆标准-网络安全工程。

目前，针对网络物理系统的网络攻击并不令人意外。攻击者不断尝试寻找新的方法来破坏网络物理系统的安全协议，以达到“心流状态”。根据研究人员的流理论，黑客攻击背后的动机可以从心理学的角度来描述。多年来，不同的研究人员试图对黑客攻击背后的动机进行分类。研究人员提出了黑客发展和动机的概念模型。在这项工作中，作者提出了一个基于五种不同动机的概念模型：心流、控制、注意力集中、好奇心和内在兴趣。从本文中可以明显看出，黑客攻击并不存在单一原因。黑客的行为背后有不同的动机。原因多种多样，包括报酬、报复、控制、好奇心、对黑客社区的归属感，以及许多其他原因。很难找出一个特定的原因，因为人们受到不同因素的激励。在汽车领域，不道德黑客攻击的动机主要集中在针对投资的报酬或经济利益以及窃取智能汽车行为所涉及的风险。财务前景是这种行为的最大推动因素。

研究人员对汽车E/E架构的安全漏洞检测方法进行了调查。为此，研究人员建议对车载网络流量进行监控，以发现以更高速率传输的已更改消息流。导致定时错误的攻击可能会严重影响安全关键操作。有一些方法可以在所选E/E架构组件的范围内自动检测违规消息。它们适用于ECU的子集，可降低成本并防止单点失效。为了确定识别安全攻击所需的通信特征和属性，他们首先评估了特定的E/E系统架构。然后进行攻击检测作业的分配和适当检测算法的参数化。为了提供E/E系统架构的完整覆盖和及时的攻击检测，作者采用了轻量级消息监控技术并策略性地安排了检测功能。

自动驾驶需要更强大的车辆网络，这扩大了车辆的攻击面。在（参考资料1，关注牛喀网公众号，后台咨询下载）中，作者讨论了一些安全设计模式，旨在瞄准并最小化汽车攻击链中关键步骤的后果。这些模式提供了一种在车辆网络内传输安全相关事件并将其报告给车辆外部单元的方法，能够在启动时检测固件中的异常，检测车辆中通信的异常，阻止未经授权的控制单元成功传输消息，并确保车内通信的安全。研究人员还通过未来高级E/E架构的示例展示了如何利用这些安全设计模式来了解当前的攻击环境。

在不久的将来，规则将概述汽车行业各个层面的网络安全标准。在组织层面，需要一个解决整个车辆生命周期和生态系统的网络安全管理系统(CSMS)。此外，拥有车辆进行型式核准的OEM必须根据ISO/SAE 21434标准执行任务。

在（参考资料2，关注牛喀网公众号，后台咨询下载）中，提出了一种新的安全分析方法。作者描述了系统级别安全分析的概率模型。这项工作突出了需要解决的安全问题。

关于面向服务的体系结构的论文描述了潜在的安全措施并概述了具体的安全功能。随着升级和更新的必要性变得更加明显，面向信号的措施将被面向服务的架构所取代。作者提出了一种混合架构作为安全漏洞的对策。

在（参考资料3，关注牛喀网公众号，后台咨询下载）中，作者提出了架构设计中潜在的软件和硬件威胁，并概述了即将到来的安全挑战。自动驾驶汽车中高度异构的最先进架构和复杂系统更多地依赖于分布式软件和硬件系统。作者分析了基于以太网/IP通信堆栈的汽车设计架构，并使用形式化方法提供了可能的验证。

另有研究人员介绍了汽车领域网络安全的基本方面，例如威胁和攻击场景以及对策。主要关注点是车载网络，包括其要求、协议及其漏洞。

汽车网络安全系统的测试评估缺乏适当的测试方法、内容、标准、工具等。论文对网络安全测试进行了概述，并提出了统一的评估方法。它进行了威胁分析并建议了108项测试。

与网络安全系统的发展速度相比，在车辆制造过程中按照标准完善系统的验证和确认已变得十分必要。研究人员描述了汽车网络安全测试的解决方案。本文概述了用于验证和确认汽车网络安全的结构化测试流程。这里提出的方法试图为网络安全标准创建手动和自动测试方法和实践之间的组合方法。该框架中描述的过程还允许根据需要实施单独的工具集。

另有研究人员强调了身份验证的重要性，并提出了一种使用单点登录对用户更加友好的系统，因此，他们消除了对可信第三方的依赖，以避免数据泄露。

还有研究人员调查了TLS协议是否适用于安全的车载网络以及TLS如何能够满足汽车行业的性能要求。

在（参考资料4，关注牛喀网公众号，后台咨询下载）中，提出了执行TARA的三个用例并讨论了结果。

研究人员提出了多层防御的概念，它代表了进一步开发安全机制的基础。

研究人员考虑了一种具有冗余ECU和专用内存分配的智能架构来应对常见的网络攻击（恶意软件、缓冲区溢出）。

研究人员讨论了集中式架构的配置以及实施时需要考虑的网络安全影响和措施。通过比较不同原始设备制造商的道路车辆架构来考虑实时参考。

研究人员提出了车辆通信中CAN通信协议的网络安全，并考虑了四种不同的方法。

在文章（参考资料5，关注牛喀网公众号，后台咨询下载）中的作者给出了汽车行业的前进方向以及IT在现代汽车中的重要性。

Dominik、Udo、Michael和Matthias等研究人员介绍了从旧架构到新架构的过渡，并提到了基于HPC的架构的一些优点，而我们的文章更详细地描述和比较了新车载E/E体系结构的某些可用选项。

Sergi、Leonidas、Carles和Jaume等研究人员提出了一种使基于HPC的架构更加安全的方法，与我们的工作相比，我们记录了这些架构的各种弱点和优点，而不提出额外的更改。

另有研究人员重点关注使用机器学习（ML）算法、支持向量机（SVM）和逻辑回归对CAN总线架构进行事件/攻击检测。与我们的工作相比，我们还提到了网络安全威胁和整个系统的损害场景，而不仅仅是CAN总线。

有研究人员提到了网络安全评估框架（CSEF）对ECU的安全评估。它具有与TARA相同的分析标准。

从对现有研究的探索性方法来看，很明显，文献不仅仅关注该研究主题的技术方面。研究界主要致力于改进技术。除此之外，识别具有较高漏洞和威胁的区域也受到高度追捧。社区正在努力通过识别、分析和解决现有问题来缓解漏洞。有几个高端软件和工具在帮助它。CSMS流程的验证和确认阶段的测试也在进行中。该领域在结构化开发和标准化方面具有很大的潜力。由于自动驾驶汽车开发是一个多学科领域的工作，仅改进软件、硬件或网络安全并不能确保最佳结果。除了该主题的技术方面之外，一些研究人员还在研究黑客的心理。这有助于了解黑客攻击背后的动机，也有助于开发针对潜在攻击的干预方法。为了在确保安全标准的同时实现系统的最高性能和效率，开发生命周期中的所有组件都必须齐头并进。

从现有文献的观察来看，本文作者发现相关工作缺乏对现有E/E汽车架构的比较研究。这项工作有助于丰富现有文献，以解决现有和未来E/E架构的这一缺点。在本文中，作者提供了四种不同的汽车E/E架构及其优缺点的比较图像。基于这项工作，未来的研究人员将对架构有更好的展望，同时进一步推进他们的工作。

9. 结果

本文评估了汽车领域的不同架构。首先，进行了定性比较，这表明与传统和单脑架构相比，双脑和三脑架构提供了更好的可扩展性和冗余性的可能性。它是下一代汽车网络安全研究的重要参数。显然，随着HPC数量的增加，成本会更高，但性能也会更高。HPC还通过无线更新为内存管理和软件更新提供了灵活性。其次，在对与架构相关的威胁数量进行定量分析时发现，传统架构带来的威胁数量更多，因为它具有更多的进程（每个进程贡献六个威胁）和端口。另一方面，与所有其他讨论的架构相比，单脑架构显示的威胁数量最少。然而，双脑和三脑架构还显示出各种其他优势，例如负载平衡和性能。

下面，对架构进行比较分析，以便更好地概述所进行的研究。

汽车电子电气架构比较

表3展示了四种E/E架构在各种属性方面的比较，下面将详细介绍。

表3.不同E/E架构的比较表示

1.架构：在传统架构中，ECU位于车辆的不同区域，并且这些ECU（全部/部分）能够通过通信网络进行通信以实现特定的目的或目标。因此，该架构是分布式的。在单脑架构中，只有一个大脑可以控制整个网络和与其连接的组件。因此，单脑架构是集中式的。区域架构意味着根据我们拥有的HPC数量及其位置，可以有两个区域（如双脑架构）或三个区域（如三脑架构）。然而，基于区域的架构提供了在特定区域控制车辆功能的优势。为了完成这项任务，有时需要将额外的ECU连接到HPC和传感器/执行器之间的大脑架构。

2.性能：术语“性能”定义为在任何考虑的时间点关键属性的定性水平。因此，在车辆架构中，性能是最重要的参数之一，可以通过缓存大小、内存大小和处理能力来衡量。传统架构的性能较低，因为它拥有低性能的ECU来承载很少的功能。单脑架构的性能高于传统架构，因为它只有一个HPC，并且能够比传统架构承载更多的功能与许多ECU。具有双脑架构的车辆的性能优于具有一个HPC的车辆。三脑架构车辆的性能优于双脑架构车辆的性能。通过添加更多HPC，可以提高车辆的性能。

3.成本：这里考虑的成本是实现一个车辆架构所需的支出。实施传统架构的成本较低，因为与HPC相比，ECU并不昂贵。即使使用一百个ECU，与单个HPC相比，总体成本也会更低。在单脑架构中，成本中等，因为它只有一个HPC。同样，在双脑系统和三脑系统中，成本越来越高，因为这些架构分别有两个HPC和三个HPC。这些功能根据每个HPC进行相应托管，当车辆拥有更多HPC和更多功能时，车辆的成本就会增加。

4.布线复杂度：传统系统没有HPC，布线复杂度非常高。传统系统有许多ECU，每个ECU都需要一组线束来连接不同传感器和执行器。在单脑架构中，布线复杂性较低，因为只有一个大脑并且集中布线需要较少的互连。在双脑架构中，由于有两个大脑（两个区域），因此与单脑架构相比，复杂性增加到中等。类似地，在三脑系统中，与其他架构相比，线束连接的复杂性很高。综上所述，传统架构中复杂度最高。

5.可扩展性：可扩展性被定义为系统功能范围的设置，由其功能决定。在传统架构中，ECU仅限于一组功能，因此可扩展性非常有限。对于单脑架构来说，由于所有功能都已经分配给单个HPC，因此不存在可扩展性。在双脑和三脑架构中，存在扩展的可能性，因为这些架构具有多个HPC，并且每个HPC仍将具有足够的计算能力来补偿增加的功能。

6.冗余：冗余是在特定系统失效的情况下所需的最关键参数之一。在传统架构中，安全关键功能具有冗余的可能性是可能的，但这种可能性非常低。在使用冗余ECU承载相同功能的传统架构中，冗余是可能的。然而，冗余无法使用基于HPC的架构中可能实现的核心固定或虚拟化技术来实现。在单脑架构中，由于只有一个大脑，在该大脑发生失效的情况下，除非引入第二个大脑，否则不可能有冗余。当垂直软件堆栈实现在处理器核心之上时，核心固定，冗余功能可以托管在多个核心之上。实施虚拟化技术，在HPC上也可以实现冗余。由于双脑和三脑架构具有更多的内存和计算资源，因此可以实现冗余机制。人的生命至关重要，附加功能能够确保车辆中的系统更加安全。

7.负载均衡：负载均衡是指系统能够平衡工作负载并在进程之间分担。传统的架构并不是为了负载平衡而设计的。然而，可以实施机制来做到这一点。可以实现单脑（HPC）的SoC中不同内核的负载均衡。但是，通过解耦的硬件设备（例如双脑和三脑架构），负载均衡更容易实现。

8.漏洞：漏洞是一个被广泛讨论的话题，因为它在确定资产/组件的风险级别方面发挥着重要作用。漏洞包括可以被攻击者威胁利用的资产或资产组的弱点。威胁始终存在，但通过管理漏洞级别，可以确保更高级别的安全性，并显著降低遭受攻击的可能性。在这一领域，传统架构大放异彩，就好像即使一个ECU被黑客攻击，该设计也能确保其他ECU的安全。另一方面，这种架构对其他领域施加了严重的限制，因此我们需要达成妥协。在设计中添加HPCs会增加漏洞级别，因为如果大脑被黑客入侵，车辆可能容易发生事故。拥有三个大脑，我们的脆弱性就更高。然而，通过部署适当的安全控制（例如IDS/IPS/防火墙），即使系统/架构中存在漏洞，也可以最大程度地减少攻击。

9.故障排除：车辆是用来驾驶的；系统是为了使用而设计的，最终零件必然会磨损或损坏。此外，有时在复杂的车辆架构中这些损坏并不容易诊断。当谈到车辆故障排除的标准时，我们指的是检测问题所需的努力。传统架构中的故障排除需要花费最多的精力，因为它具有更高的复杂性和更多的ECU。通过在架构中引入HPC，可以大大缩短故障排除过程。尽管每增加一个大脑，工作量就会增加，但总体而言，传统架构在故障排除方面所需的工作量最多。

10.可修复性：可修复性衡量修复架构中的组件或资产所需的工作量。维修车辆的ECU可能是一个繁琐的过程，尤其是在处理传统架构时，因为其布线复杂性和具有数百个ECU的分布式架构。通过引入单脑架构，该过程的难度显著下降，并随着每增加一个额外的HPC而稳步增加。

11.内存管理：是一种协调和控制计算机主存的方法。因此，在传统架构的情况下，内存管理并不是一个重要的话题，因为ECU的功能很少（通常是一两个功能）。然而，在其他三种架构中，内存管理是必须的，因此需要HPC来正确管理空间和文件的分配，以便操作系统、应用程序和其他正在运行的进程有足够的内存来执行操作。

12.重量：在谈论速度、加速度、环境责任或燃料消耗时，车辆的重量是一个关键参数。在目前的情况下，传统建筑所需的电线、电缆和其他部件使得车辆比应有的重量要重。切换到基于HPC的架构可以减轻重量，从而改善其他参数，例如上述参数。然而，每增加一个HPC，车辆的重量就会增加。

13.软件更新：在传统架构中，除极少数例外，软件更新都是手动完成的。这意味着用户必须将车辆带到OEM/经销商处，并通过物理连接车辆来完成更新。在单脑、双脑和三脑架构中，只要有新的软件/更新可用，就可以使用无线 (OTA) 更新来自动更新软件。

等式（1）对于所有架构都是通用的。可以轻松确定任意数量的大脑(HPC)、ECU、传感器和执行器的威胁数量。这有助于本文的读者生成自己的基于系统设计的威胁场景。

10. 限制和未来范围

本文主要致力于提供架构之间的通用功能和安全性比较。根据ISO/SAE 21434标准考虑了四种架构类型的基本架构用例，并分析了与之相关的威胁和损害场景。这项工作的范围主要集中于使用定性标准为读者提供比较前景。局限性在于作者没有为架构之间的比较组件提供详细的参数定量数据。这些组成部分中的每一个都可以进一步详细探索定量观点并进行分析以创建深入的知识。在接下来的部分中，作者提出了一些改进所研究架构的方法。

• 传统架构

方法1：ECU和交互器之间的无线通信（见图21）

图21.无线通信结构的表示

在传统架构中实现无线通信将降低车内布线的复杂性。具有无线或蜂窝网络兼容性的ECU和交互器无需电缆即可相互通信。这也将减少与电缆及其连接端口相关的物理威胁（例如，切断电缆、插入/拔出等）。

方法2：高功率ECU（见图22）

使用高计算能力和内存大小（称为高功率）ECU能够承载许多功能（超过八个）。然而，由于高功率ECU价格昂贵，成本可能会增加，但这会减少汽车所需的ECU数量，进而可能减少整车的威胁数量。

• 单脑架构

方法1：可以通过在远程信息处理单元和HPC之间添加第二个通信通道来改进单脑架构。此冗余通信通道有助于车辆在原始通道发生失效/DoS攻击时运行。

方法2：改进单脑架构的另一种方法是利用具有多核的SoC，使得性能、安全、防护和非安全功能能够在单独的安全区域中运行。如前所述，核心钉扎、裸机虚拟化、托管虚拟化、容器化等机制可以在实现严格的访问控制的同时实现分离。

• 双脑架构

方法1：可以通过在HPC和交互器（执行器和传感器）之间添加负载平衡器来改进双脑架构，在两个HPC之间分配负载。此外，在相同的场景中，两个HPC之间共享RAM内存和/或数据存储将提高效率和性能。共享内存可以帮助处理器更快地加载程序以进行计算。然而，在架构中添加额外的组件将增加网络安全威胁和风险。

方法2：还可以通过以太网线互连两个HPC来改进架构，这样它们就可以直接通信，而无需交换机/路由器的帮助，从而提高通信性能。然而，在这种情况下，当攻击者获得对一台HPC的访问权限时，如果在HPC之间没有设置安全控制，他将能够访问另一台HPC。

图22.高功率ECU架构示意图

•三脑架构

方法1：与双脑架构类似，该架构也可以通过将三个HPC互连为网状网络或在远程信息处理单元和HPC之间添加负载平衡来改进。这一改进将为并行和集群计算打开大门，这也将有助于平衡复杂计算的负载，例如ADAS以及其他基于人工智能和机器学习的功能的使用。此外，这将有助于系统冗余；如果一个HPC发生失效，负载可以重定向到另一个大脑。然而，只有所有传感器和执行器都通过路由器或网关与HPC连接时，这才有可能实现。

方法2：通过优化成本和功耗来改进三脑架构。未来随着技术和芯片制造的进步，HPC将更具成本效益和功耗效率，这将改善三脑架构成本和功率。此外，这将有助于在中高档汽车中实现具有三个或更多大脑的架构。

11.结论

如上所示，在审查设备或汽车的架构时，有多种方法，每种方法都有其优点和缺点。虽然本文记录并指定了四种不同的工程解决方案，但随着时间的推移和技术的进步，工程师可能不得不处理更复杂的选项。在讨论传统架构时，布线长且复杂，或者ECU难以编程都是一些问题。然而，由于严格且安全的编程环境和标准（如AutoSAR Classic），它的漏洞级别也较低，同时降低了成本，使其成为某些组件和汽车的理想方法。

随着基于HPC的架构的引入，人们发现基于大脑的系统可以更有效地管理数据处理、存储和电缆，从而大大减少维修和故障排除工作，同时减轻汽车的整体重量。一旦发生攻击，由于其集中式系统设计，单脑架构没有可用的冗余HPC，也无法提供可扩展性。它通常用于TPMS或远程无钥匙系统（例如，远程无钥匙进入系统-RKE、被动进入被动启动-PEPS）。通过添加另一个HPC，我们在这个新架构中达到了一个折衷立场，实现了良好的平衡，不会陷入任何极端。负载平衡的优势与第二台HPC的冗余相结合，创造了一种和谐。由于重量增加以及修复这种基于区域的架构所需的工作量的负面影响，它最适合属于高端级别的汽车，同时考虑到成本。再上一个层次，我们到达了三脑架构，它也存在其缺点，即比列表中的先前入口更容易受到攻击，成本更高，并且容易受到更多威胁。同样，该架构配备了以高效率为后盾的强大计算能力，这通过三个HPC之间的工作负载分配进一步增强。正如预期的那样，这种架构真正超越了其他架构，因为超级汽车和超级跑车等系列汽车中最先进的系统致力于提供最好的产品。

总之，所研究的四种架构在正确的环境下使用时都提供了出色的结果，但它们也有自己的缺陷。这项科学工作为所有架构生成了一个通用方程，以使用 ISO/SAE 21434标准和Microsoft STRIDE方法来测量威胁数量。此外，它还为读者，特别是汽车原始设备制造商(OEM)和供应商提供了四种架构的一般概述，其中包括每种架构的优点和缺点。OEM正在开发类似的架构，包括雷诺（FACE-未来架构的计算单元）、Stellantis（中央计算架构）、大众（车载应用服务器）、马自达（高性能计算-HPC）、北汽（HPC）、沃尔沃（SPA2）、吉利（HPC）、日产（FACE）和广汽（HPC）等。虽然这是通过使用几种最新的方法和工具来分析漏洞和威胁来实现的，但本文的读者可以因此有一个总体思路，并在必要时进一步深入细节分析。本文成功地弥补了相关文献中的空白，并为该学科的未来发展奠定了基础。

关注牛喀网，学习更多汽车科技。有兴趣的朋友，可以添加牛小喀微信：NewCarRen，加入专家社群参与讨论。

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！