车联网安全：如何梳理新一代整车电子架构防火墙需求

聚合安全资讯，洞察安全本质

1

 

导读

自动驾驶、车对车通讯（V2X）、远程升级（OTA）等技术的更迭发展，整车拓扑上势必会增加大量电子控制单元（ECU），物联网的扩张，汽车智能的升级，都将车辆暴露在更多的风险之间，现有的车辆电子架构将越来越无法满足安全保护的需求，构建全新的车辆防火墙策略刻不容缓。

Source |  末离说          

Tag | 汽车、网络安全

汽车制造商正在将域控制器（Domain Controller）应用于其未来整车电子架构，这一架构的引入将极大的推动现有车辆架构的集成度、降低成本，与此同时，这种新架构也使车辆暴露出更多通信端口，面临更多的威胁，形成新的风险，因此，构建全新的车辆防火墙策略刻不容缓。

如何在新架构新技术应用的场景下保障车载系统的安全性呢，下面我们就一起来看一看。

什么是Domain架构？   

Domain架构，既域层架构，由多个域层组成，下图是一个域层架构的示例图：

这一架构中包括了传动系统域（Powertrain），底盘域（Chassis），车身控制域（Body）以及娱乐系统域（Infotainment)等域层，各域层间使用以太网作为传输介质，通过车内网关来实现数据传输。出于系统的功能性需求，网关通常情况都会留两个外部通信接口，一个用于车载自动诊断系统（OBD）通信，一般采用蓝牙、WIFI、串口等几种方式进行通信；另一个则用于辅助驾驶，如采集地图定位，路径规划，加密处理等，通过LTE或Wifi与云端服务器进行通信。

出于安全性的需要，架构顶层设置了网关/防火墙，以确保仅相同域内的ECU节点、可靠的用户或服务能与目标节点进行合法数据交互，从而实现对各安全域层之间的通信隔离控制，如娱乐信息系统（安全级别较低，易于受到攻击）不能与传动系统等功能安全相关的域直接进行通讯、对具有安全隐患的外部请求进行身份及权限的验证等。

类似的域层架构正被多家厂商应用于其汽车电子架构中。据了解，宝马与奥迪目前正在进行全新End-To-End的电子架构设计，他们都在整车架构内采用了单个或多个高性能的中央计算单元节点对各功能不同的域层进行管理，这些节点会与OEM云平台进行数据交互，实现定位，通信，路径规划，以完成自动驾驶、V2X、OTA等功能。

以下是奥迪的中央计算集群（central computing cluster）架构：

以下是宝马的中央计算平台（Central Computing Platform）架构：

了解了新型的域层架构后我们再来看一下传统的防火墙的功能特点，进而分析新架构下的防火墙安全需求。

 传统IT防火墙分类

传统IT行业的防火墙模块，会对各安全区域之间所有可能的通信通路进行可靠性管理，即在所有区域边界上，根据事件（event）对网络流量进行监控，并根据既定安全策略（如Whitelist）来允许指令请求的通行，以此防范来自不安全网络的攻击与入侵，保障内网安全。

常见的传统防火墙包括：

数据包过滤防火墙：包过滤防火墙工作在OSI模型的网络层，基于目标地址及源地址对数据包进行过滤，但对于传输层数据，只能识别出是TCP/UDP类型及所使用的端口信息。

状态检测防火墙：与包过滤防火墙不同，状态检测防火墙更注重传输层的控制能力，重点在于建立状态连接表，来跟踪每一个进出网络的会话状态信息，监控了数据包是否符合会话所处的状态。针对TCP，防火墙会对TCP头信息进行解析，用于确认是首次连接或已经建立通信，因此不仅能减少数据包穿过防火墙的时间，同时可以有效检测出DoS攻击。

应用代理防火墙：应用代理防火墙则是彻底隔离了内外网直接通信，当内部网络有对外通讯需求时，必须是由防火墙对外网的访问，再由防火墙转发给内网，即通信是基于应用层的代理软件实现，应用层的协议会话须符合代理的安全策略。

 新一代车辆防火墙需求分析

新一代车辆防火墙的需求包括台下几个层次：软件层、硬件层、以及通信层，下面将一一进行分析。

• 软件层面

首先，由于在车内的分布式总线系统上，车辆ECU对不同Domain之间通信时的响应时间有着极为严苛的要求，因此防火墙须满足执行的实时性（real-time），且在运算时必须比消费电子领域防火墙占用更少的CPU资源

其次，考虑到车载网络防火墙位于整车架构最外围，如OBD口或远程通信的入口，受到攻击的频次势必最高，因此对于软件Update问题，Firewall应具备足够Flexibility。同传统防火墙一致，车厂会要求Firewall能及时实现快速升级，完成防火墙策略及软件协议栈的更新，确保迅速修复安全漏洞以抵御快速更迭的攻击方式。由于软件运行于Firewall的操作系统OS之上，假如OS受到病毒攻击或非法篡改，所有安全策略都将不再适用，因此OS也应支持远程升级。在此过程中，任何供应商留后门（Backdoor）的行为都不应被允许。

最后，还应具备完备的Log记录功能，以对任何攻击行为进行记录并远程传输给服务器端，用于后期对攻击数据进行分析。

• 硬件层面

首先需满足传统IT行业的防火墙策略规范，也就是网络通信时所应具备的安全筛选隔离功能。其次就是在汽车这个特殊场景下的需求，如作为嵌入式芯片，应满足低功耗以及适应各种极端天气下仍能正常工作的需求。能完成对Closed-loop 闭环系统的整车信息安全路由控制。

• 通信层面

由于Domain架构设计需求，Firewall后通常会直接连接多路总线，因此Firewall在设计数据包吞吐量时也应适应不同总线的通信速率。

在进行防火墙芯片选择时，不同于传统消费类电子防火墙，传统OEM会对芯片有定制化需求，因此CPU负载能力，RAM大小都直接决定了防火墙的硬件成本，这里不进行讨论。

目前传统越来越多的整车厂开始在架构设计中加入了防火墙，可见信息安全的理念逐渐开始深入。由于车辆场景太过特殊，车辆防火墙须确保整车的功能安全在驾驶过程中不受到破坏，因此其地位也将会随着车辆智能化的发展愈加重要，这就需要整车厂OEM，芯片半导体公司，软件公司的共同努力了。

编者/荐文：赛博汪，10余年信息科技风险/安全管理经验，服务行业涉及银行、保险、互联网、制造企业、零售企业、科技公司等。