3）各个域控制器采用AUTOSAR标准软件架构，负责本域内的各个电控单元的控制、管理功能，同时向网关传输网络信号，是各个域的安全边界，除非其它的“域”显式地赋予它管理权限，它才能访问或者管理其它的“域”；每个“域”有自己的安全策略，以及与其它“域”的安全信任关系，这样才能实现信息安全和功能安全，并且域控制器具有在线刷写功能。像驾驶辅助域、车辆运动域、信息娱乐域中的各个域控制器，可分别基于自身功能划分来实现汽车网关平台功能架构模型中的定位和道路导航业务、监控操作和维修类业务、通信业务、信息和娱乐业务，并把数据传给中央网关；各个“域”内网络连接可以采用不同的总线协议，如LIN、CAN、CAN-FD、FlexRay、MOST、APIX、Ethernet来满足自身域内的通信需求。
    4）电控单元主要负责具体传感器和执行器的直接控制，及“域”内网络信号的传输与管理。
上文中提到了各个“域”的信息安全内容，下文针对设计的网络拓扑结构的信息安全防护策略设计和信息安全防护措施，做着重说明。

    2 信息安全
    汽车的智能化、网络化使汽车内部电子设备数量迅速增加，电控系统日益复杂。这些车载电子设备、电控单元与外界的信息交互越来越多，而这些车载设备、电控单元绝大部分都连接到了汽车内部的总线网络，来自网络的安全威胁会通过汽车与外部的接口渗透到关键的车载总线网络系统，网联汽车面临严峻的信息安全挑战。现有的车载总线网络在设计和应用过程中除考虑功能安全外，还需考虑信息安全问题，增加信息安全防护技术和手段。
    在陶博士提出的汽车网关平台的功能架构模型建立的网络拓扑结构中，像驾驶辅助域、车辆运动域、信息娱乐域因引入V2V（汽车对汽车）、V21（汽车对基础设施）、V2P（汽车对平台）以及车内通信的通信和数据传输环境，更容易被植入病毒和黑客入侵，互联汽车的车载信息遭受安全挑战（图8），故需针对汽车网关平台网络拓扑结构设计信息安全防护措施。

    对汽车网关平台网络拓扑结构设计信息安全防护措施，可以从以下几个方面考虑：①从弥补漏洞的做法到整体考虑的方案；②标准化；③车载信息安全需求；④深度防御（外部接口、车载网络电子控制单元、域控制器、平台网关等）；⑤风险分析；⑥生命周期管理（即密钥管理和加密便捷性、固件管理）。
    安全防护措施考虑因素很多，可从深度防御方面做简单解析，如图9所示。基于安全防护考虑因素，对网络拓扑结构做如下安全防护，如图10所示。



    图9描述的电子电气分层保密架构，主要包括以下4点：①防火墙一一保护外部的接口；②安全网关一一方便车辆内部的不同域控制器的安全管理；③域控制器一一控制域内的内部身份鉴定和安全的交流机制；④硬件安全一一采用安全的硬件模块（HSM）来保证不同ECU之间的执行，并提供安全执行的方法来执行安全的机理。
    目前，汽车的网关平台系统架构硬件设计可借助FPGA的灵活性和重编程能力，采用SOPC的技术在单个平台上通过数据总线将汽车总线控制器IP核与嵌入式处理器软核相连接而构成的可编程通用网关平台的形式圈。网关的硬件主要由电源供给系统、通信控制器、总线驱动器、总线监测器和中央控制单元组成。汽车网关的中央控制单元主要负责计算、信息处理、信号封装转发等；通信控制器负责LIN、CAN和FlexRay等相关协议的物理层实现；域控制器的硬件设计同样可采用网关使用的硬件方案来实现信息安全和功能安全设计；而各个ECU的硬件设计无须改变内部的中央控制单元，采用NXP公司的带可编程模块的收发器，重新设计硬件改变PCB板，就可实现信息安全防护。
    当网关、域控制器、ECU硬件重新设计时，各产品的软件同样需做密钥处理来实现信息安全，同时还要对与外部交流的产品接口做防火墙设计。
    当汽车的网关平台系统架构采用上述安全防护措施后，使汽车网关平台的硬件、软件、接口和交流机制都发生改变，汽车网络系统的可靠性、容错能力、安全性和系统灵活性将大幅度提高，信息安全防护能力得到根本的保障。

    3 结束语
    本文基于陶蒙华博士提出的汽车网关平台的功能架构模型，根据网络拓扑的设计原则，结合汽车总线网络拓扑的技术规划和网络架构的发展变化，设计出适合汽车网关平台的网络拓扑结构，并根据信息安全考虑的因素，对网络拓扑结构做安全防护分析，采用NXP半导体公司最新的信息安全成果，对网络拓扑进行安全防护。
    本文的设计对将来车联网以及智能交通带来的网络变化提前规划，并做信息安全分析，为新技术的应用做了很好的铺垫。
 

上一页  [1] [2] [3]