在汽車(chē)電(diàn)子(zǐ)系統發展ε'≤的(de)早期，汽車(chē)電(diàn)子(zǐ)基礎軟件(jiàn)是(shì)沒有(y‌♣ǒu)統一(yī)标準的(de)，各個(gè) OEM、Tier1、Tie&↔r2 等廠(chǎng)商針對(duì)不(bù)同領域的(de)不(b₹₽ù)同型号 ECU 開(kāi)發不(bù)同的(de)軟件∑₹∏♦(jiàn)，開(kāi)發工(gōng)作(zuò)量大(dà)、成本高(gāo)。一(yαδī)些(xiē)問(wèn)題逐漸顯露出來(lái)，如(rú)由于實時(shí)操作(♣♣™₹zuò)系統的(de)應用(yòng)程序接口不(bφ ù)同而導緻的(de)應用(yòng)程序移植性差等。随著(zhe)汽車(chē)電(>≠₽diàn)子(zǐ)技(jì)術(shù)的(™↕∞↔de)不(bù)斷發展，1993 年(niá​→γn)德國(guó)汽車(chē)工(gōng)業(yè)界提出了​↑✘&(le) OSEK 汽車(chē)電(diàn)子(zǐ)開(kāi)放(fàng)式系₩¥統及其接口的(de)體(tǐ)系，這(zhè)是(shì)汽車(chē)電(diàn)子(zǐ)基✘→×礎軟件(jiàn)最初的(de)行(xíng)業(yè)标準™↓φ，解決了(le)應用(yòng)軟件(jiàn)移植和(hé)重用(yòng)♣÷的(de)問(wèn)題。但(dàn)随著(zhe)汽車₹§©δ(chē)智能(néng)網聯化(huà)的(de)飛(fēi)¥₹♥≈速發展，傳統的(de)汽車(chē)電(diàn)子(zǐ)架構已經不(bù)能(néng)滿¥δ足整車(chē)的(de)業(yè)務需要(yào)，汽車(chē)電(diàn)''®'子(zǐ)架構正朝著(zhe)由封閉到(dào)開(k®‌āi)放(fàng)、由分(fēn)布式到(dào)集中式，軟件(jiàn)→λ"定義汽車(chē)、面向服務的(de)軟件(jiàn)架構뀧↑的(de)出現(xiàn)，都(dōu)對(duì)汽車(chē)電(diàn)↓★子(zǐ)基礎軟件(jiàn)的(de)發展提出了(le)≈↓新的(de)挑戰。同時(shí)，汽車(chē)智能(néng)網聯化(huà)伴随來(lái) ε✘的(de)還(hái)有(yǒu)信息安全問(w&✘£ èn)題，不(bù)論是(shì)驅動、OS 或是(shì)中間(ji>πān)件(jiàn)，一(yī)旦遭受到(dào'∑)信息安全攻擊，将不(bù)能(néng)安全穩定地(dìδ™✔)為(wèi)汽車(chē)服務提供支撐，那(nà)<π麽汽車(chē)會(huì)處于未知(zhī)的(de)風(fēππng)險中，不(bù)但(dàn)影(yǐng)響駕駛體(tǐ)驗，甚至可(kě)能¶φ£(néng)威脅生(shēng)命。因此，一(yī)些(xiē)基礎軟件(j↑‍‌✔iàn)相(xiàng)關信息安全标準應運而生(shēng)。

      2016 年(nián)，美(měi≤✔)國(guó)汽車(chē)工(gōng)程師(sh•♦ €ī)學會(huì)（SAE）發布了(le) SAE J3061ε®♥ （Cybersecurity Guidebook for Cyber-P∑₩ε★hysical Vehicle Systems），其提供了(le)車(chē)輛(liàngε₩¥☆)網絡安全的(de)流程框架和(hé)指導✔αδ，考慮了(le)車(chē)輛(liàng)的(de)整個(gè)生(sh₩≥★‍ēng)命周期，從(cóng)概念到(dào)生(shēng)産、運行(x∑₽íng)、維護和(hé)報(bào)廢。旨在幫助企業(yè)識别和(hé)評估網絡安全威脅，導入網♦"♣絡安全到(dào)車(chē)輛(liàng)的(de)整個(gè)開α§(kāi)發流程內(nèi)。

      2021 年(nián) 8 月(yuè₽δ$γ)，國(guó)際标準化(huà)組織（ISO）和(hé) SAE λ™↓$聯合起草(cǎo)發布了(le) ISO/SAE 21434 《道(dào)♦♥β路(lù)車(chē)輛(liàng)信息安全工(gōng)程》（±♥‌ Road vehicles - Cybersecurity engin×λ¥₩eering），ISO 21434 是(shì)基于 SAE ↑γφ>J3061 制(zhì)定的(de)，針對(duì)車(chē)輛(liàng)整↑ •個(gè)生(shēng)命周期的(de)标準。其主要(yào)從(cóng)風(fēn$±δ↓g)險評估管理(lǐ)、産品開(kāi)發、運行(xíng)維護、流程審核等四個(gè)方面"♦π來(lái)保障汽車(chē)信息安全工(gōng)程工(gōng)作(zuò)的(de)α✘開(kāi)展。目的(de)是(shì)通(tōng)過該标準設★ΩΩ計(jì)、生(shēng)産、測試的(de)産品具備一(yī)定信息安全防護能(néng)力。≠₩從(cóng)組織 / 企業(yè)級、項目級、分(fēn)布∏λ式開(kāi)發、持續網絡安全管理(lǐ)、概念階段、産品開(kāi)發階∏©段、後開(kāi)發階段等明(míng)确了(le)→‍♥關于流程要(yào)求、人(rén)員(yuán)職責分(fēn)配要(yào)求等。​∞₽‍提供了(le)威脅分(fēn)析與風(fēng)險評估（TARA✘→<）統一(yī)的(de)方法論，便于在産品開(kāi)發過程中進行(xíng)漏洞的(de)分(>≠εfēn)析、定級以及安全目标的(de)制(zhì)定。該标準對↕ (duì)汽車(chē)軟件(jiàn)開(kāi)發的(de)信息安全過程提出了(le)要(δ"yào)求，相(xiàng)關要(yào)求ε₽β↑适用(yòng)于汽車(chē)基礎軟件(jiàn)。

      2003 年(nián) 7 月(yuè)，AUT←‌OSAR（AUTomotive Open System ARchite'σ≈₹cture）組織建立，旨在為(wèi)汽車(chē)電(diàn)氣/ 電♣ ©$(diàn)子(zǐ)構架開(kāi)發一(yī)套開(kāi)放(fàng)的(de)行☆"(xíng)業(yè)标準。AUTOSAR& ÷→ 核心成員(yuán)主要(yào)由寶馬、博世、大(dà)陸、戴姆勒Ω ™☆、福特、通(tōng)用(yòng)、标緻、豐田、大(dà)¶€衆這(zhè) 9 家(jiā)世界頂級主機(jīαΩ)廠(chǎng)和(hé)供應商組成，目前在全≥£球範圍內(nèi)已發展成為(wèi)包含 220+ 家(jiā)合φ≤作(zuò)夥伴，覆蓋整車(chē) OEM 廠(chǎnπ ¶g)商、零部件(jiàn)供應商、軟件(jiàn)供應商、芯片和(hé)§¶₩硬件(jiàn)供應商、測評服務等汽車(chē)産業(yè)鏈相(xiàng)關企業(yè€'♥ )和(hé)機(jī)構的(de)國(guó)際化(h≠ε©uà)組織。

     AUT∏'★♥OSAR 平台是(shì)目前國(guó)際上(sα εhàng)廣泛認可(kě)的(de)汽車××☆ε(chē)電(diàn)子(zǐ)系統基礎軟件(jiàn)平台（包括汽車(chē)操作<•λ (zuò)系統），在發布4.2.2 版本後，AUTOSAR 的(de)标準體(tǐ)系'™‌分(fēn)為(wèi)基礎标準（Foundaε"±∑tion）、經典平台（classic platform）→'、自(zì)适應平台（adaptive platform）和(hé)符合性測試♠≤↕（Acceptance Tests）等 4 個(gè)部分(fēn)。在 AU€₩TOSAR 經典平台中，以硬件(jiàn)安全模塊（HSM , Har¥✔↕♦dware Security Module）¥∞λ為(wèi)基礎，提供了(le)密碼服務方面的(de)層次架構，使得(dφ★≥Ωe)AUTOSAR 經典平台的(de)服務分(fēn)為(wèi∑®¶₽)四個(gè)方面：系統、存儲、密碼和(hé)通(tōn§₹'↓g)信。基于密碼服務，AUTOSAR 經典平台↔ ↔提供了(le)安全通(tōng)信組件(jiàn) SecOC（Secureδ♥© Onboard Communication♦♠≠），為(wèi)車(chē)內(nèi)網絡 ECU 之間(jiān)的(de)通(tōσ∑>ng)信提供了(le)真實性、完整性方面的(de)保護能(néng)力。此外(wài)，為(wèi ₽δ‌)了(le)保證對(duì)信息安全持續監控的(de)實現(> ≥xiàn)，AUTOSAR 從(cóng)基礎軟件(jiàn)角度提供了(l☆ ♣®e) IDS(Intrusion Detection Sys ₽tem，入侵檢測系統 )。

      在目前常見(jiàn)的(de) 4.4.0 版本↑ ™中針對(duì)信息安全做(zuò)出了(le)以下÷§€π(xià)改進：

• 安全事(shì)件(jiàn)內(nèi)存（Security Event Me£​mory）
• 密鑰管理(lǐ) / 密鑰分(fēn)發（Key Manag®βement / Key Distribution）
• 認證同步的(de)時(shí)間(jiān)（Authentic Syn£"αchronized Time）
• 針對(duì)診斷訪問(wèn)的(de)動态權限管理(lǐ)（Dynamic R↓€ights Management for Diagnostic Access♠✔）

• 改進的(de)證書(shū)處理(lǐ)（Improved Certi™÷ficate Handling）

     另π♣外(wài)，針對(duì) V2X 的(de)通(t←Ω✘πōng)信安全，AUTOSAR 标準也(yě)提出了(le)一(yī)系列的(de)信息安全要(y"©ào)求，包括消息簽名的(de)加密驗證、端到(dào)端安全、證書(shū)管理(l✔"ǐ)、應用(yòng)程序安全相(xiàng)關機(jī)制(zhì)等δ♣↔。

      嵌入式系統常用(yòng)♠ ™的(de) C 語言是(shì)一(yī)種 “不(bù)安全” 的(de)語δ€言，例如(rú) C 語言的(de)指針很(hěn)容易導緻堆棧溢出、內(nèiπγ☆)存洩漏等各種問(wèn)題。規範代碼的(de)格式是(shì)有(yǒu)效解決辦法之一(Ω¥yī)，即不(bù)要(yào)使用(yòng)比較容易出φ'錯(cuò)的(de)代碼格式。

      1998 年(nián)，汽車(ch∏'ē)産業(yè)軟件(jiàn)可(kě)靠性協會(huì)（MISRA）針對(duì)≥$ C 語言易出錯(cuò)的(de)特性，提出了(le) C 語言的(d→®£♠e)編碼規範 MISRAC；旨在提高(gāo)關鍵應用(yòng)程序中 C↔★¥÷ 代碼的(de)可(kě)靠性，重點是(shì)避免容易出錯(cuò​π÷)的(de)功能(néng)，而不(bù)是(shì)強制(zhì)執行(xíng)特定的(σ™'de)編程風(fēng)格。MISRAC 最初就(jiù)₽✘‍應用(yòng)于汽車(chē)行(xíng∑$↕)業(yè)，後經過兩次修訂。當前版本是(shì) MISRA C：2012，在此版本φ<®的(de) Amendment 1 中，提供了(le)針對(duì)信息安全的(de)代£ ≠碼規範。

      随著(zhe→®•)汽車(chē)為(wèi)了(le)提供更多(duō)更強大(dà)的(de)功能(né←♣₽βng)，車(chē)載嵌入式軟件(jiàn)和(h≠™↕é)物(wù)聯網設備越來(lái)越多(duō)，更多(duō)的≥$®(de)代碼連接到(dào)Internet。研究表明(míng)，汽車(↔§↑chē)上(shàng)已包含超過 1 億行(xíng↓£‌∑)代碼，對(duì)于如(rú)此大(dà)型，複雜(zá)的(de)系統，我"♦λ們必須開(kāi)始認真對(duì)待軟件(jiàn)安全性。嵌入式軟件(jiàn)中 δ的(de)安全漏洞增加了(le)惡意行(xíng)為(wèi)者攻擊的(de)機(jī)會(huì​'¶)，這(zhè)些(xiē)攻擊會(huì)注入惡意軟件(j♥™>iàn)、竊取信息或執行(xíng)其他(tā)未經授權的(de)任務。

      2008 年(nián) 10 月(yu∞↔è)，美(měi)國(guó)軟件(jiàn)工(gōng)程學院（SEI）提出了(le)♥≥→© CERT C 編程語言安全編碼規範，其目的(de)是(shì)通(tōng)過避免對(duì)®¶≥安全性問(wèn)題更敏感的(de)編碼結構§★α來(lái)開(kāi)發符合功能(néng)安全、信息安全的(de)可∑§(kě)靠的(de)系統。它更加關注安全的(de)編∏♥‌碼實踐，而不(bù)僅僅是(shì)症狀（例如(rú)，始終驗證輸入是(shì)≥$←Ω一(yī)種安全的(de)編碼實踐，而 SQL 注入是(shì)一(₩§φλyī)種症狀）。CERT 分(fēn)析了(le)哪些(xiē)準則最為↓<ε(wèi)關鍵，可(kě)以對(duì)其進行(↑​®φxíng)認真分(fēn)析，然後分(fēn)為(w™₹←èi)應遵循的(de) “規則” 和(hé)不(bù)太重要(y÷£&ào)或缺乏聲音(yīn)分(fēn)析能(néng)₩₽‍≤力的(de) “建議(yì)” 。這(zhè)有(yǒu <)助于快(kuài)速将靜(jìng)态★♦分(fēn)析結果調整到(dào)最關鍵的(de)水(shuǐ)平。安全編碼實踐更大®× ↔(dà)程度地(dì)消除了(le)這(zhè)些(xiē)∏✔漏洞，減少(shǎo)了(le) “惡意軟件(jiàn)”÷≠✘× 、“竊取信息” 或 “執行(xíng)其它未經授權的(de)任務” 等攻擊行(xíng)為(w÷ε€↓èi)的(de)攻擊面，減小(xiǎo)了(le)惡意行≈↑→(xíng)為(wèi)者攻擊的(de)機(jī)會(huì)。

      φ¶CERT 提供了(le)較為(wèi)全面的(de)安全措施，如↑↕(rú)敏感信息的(de)保護、注入或劫持的(de)預防 ↕↔ 等等是(shì)值得(de)所有(yǒu)開(kāi)發人(®‌>rén)員(yuán)學習(xí)的(de)。但(dàn) CERT 更專注于安全問(wδ'èn)題，适合與其他(tā)規範配合使用(yòng)。

      A≈♠←utoMat Common Vehicle♥≈>§ Information Model：歐盟于 2018 年(nián) Ω ¶3 月(yuè)發布了(le)其 AutoMat 項目所研究的(de)通(tōng)用(yòng)ε®™車(chē)輛(liàng)信息模型（CVIM：Commo≈ ←σn Vehicle Information Model），即開(k&≈āi)放(fàng)和(hé)品牌獨立的(de)車(chē)輛(liàng÷∞)大(dà)數(shù)據模型。針對(du>→↓♠ì)大(dà)量持續收集的(de)汽車(chē)數(s≠♥δαhù)據，AutoMat 項目的(de)核心意圖是(shì)利用(yòng)目前從(cóng)聯←®✔σ網汽車(chē)收集的(de)未使用(yε✘&òng)信息，為(wèi)汽車(chē)大(dà)數(shù)據創新一(yī)個(g ‍è)開(kāi)放(fàng)的(de)生(shēng)态系統，以跨境汽車(c≥∑ hē)大(dà)數(shù)據市(shì)場(chǎng)的(de)形式實現(xiàn)。與§£市(shì)場(chǎng)的(de)接口來(lái)自(zì)一(yī)個(gè)通(tōn™¶✘×g)用(yòng)車(chē)輛(liàng)信息模型×✘✔ (CVIM)，該模型使跨行(xíng)業(yè)服務提供商可(kě)★↑δ​以訪問(wèn)來(lái)自(zì)各個(gè) OEM 廠(chǎng)商挖掘的(de)匿•λ‌→名車(chē)輛(liàng)數(shù)據。随著(zhe)來(∑₹♣₩lái)自(zì)汽車(chē)的(de)大(dà)量易失性數(shù↑λ •)據，AutoMat 生(shēng)态✔↓€→系統極大(dà)地(dì)建立在當前大(dà)數(shù)據趨勢的(®¥de)基礎上(shàng)。該規範提供了(le)模型的(de)架構、概念和(hé)方∑✘σ♥法、信号層規範、測量層規範、數(shù)據層規範。

       NISTSP800是(α≈shì)美(měi)國(guó)國(guó)家(jiā)标$™準與技(jì)術(shù)研究院NIST（NationalInstituteofStandar γdsandTechnolgy）發布的(de)一(yī)系列關于信息安→'₩​全的(de)指南(nán)，已成為(wèi)美(měi)國(guó$&≈)和(hé)國(guó)際安全界廣泛認可(k→σ"∏ě)的(de)事(shì)實标準和(hé)權威指南(nán)。例如(rú©σ↑∞)，NIST SP 800-131A 定義了(le)有(yǒu)效的(de)密碼算(su₹€​$àn)法，以及需要(yào)的(de)密碼算(suàn)法參'®&數(shù)值以能(néng)夠在特定的(de)時(shí)間(j‍δ∑↕iān)段內(nèi)實現(xiàn)特定的(‍←βde)安全強度。

      2002 年(nián) 12 ​ ∞₹月(yuè)，NIST 發 布 了(le) FI☆φPS Publication 140-2（Fede©<☆•ral Information Processing ↓±♣★Standards 140），該标準是(shì)λφ♥ 針對(duì)密碼模塊的(de)安全需求，為(wèi)密碼模塊評測、驗證和(hé)最終認證提供基礎£♠'，作(zuò)為(wèi)聯邦
信息處理(lǐ)标準在政府機(jī)構廣泛采用(yòng)。

      本文(wén)整理(lǐ)自(zì)"λ中國(guó)汽車(chē)基礎軟件(jiàn)信息安全研究報(bào)告

轉自(zì)汽車(chē)ECU開(kāi)發