2024年11月28日,我们正在迎来一个全新的汽车时代,即软件定义汽车 (SDV) 的时代。根据分析机构 Counterpoint Research 的预测,到 2026 年底,中国的道路上预计将有超过 100 万辆搭载 L3 级别 ADAS(高级驾驶辅助系统)的汽车。可以预见,随着对高性能计算和更多软件需求的增长,汽车中所需的算力也在迅速增加。鉴于未来 AI 所赋能的软件定义汽车将包含高达十亿行代码,加上显著提高的网联特性,安全挑战也随之变得愈发严峻。为了避免安全漏洞造成严重影响,汽车行业已经开始采取行动,在整个 SDV 中构建深度安全防御措施。
与家庭环境不同,车辆具有独特的“混合关键性”需求,既需要保障安全性和实时功能,又要同时支持更个性化的用户体验和更高的自主化水平。这正是汽车与其他场景的不同之处,也使得 Arm 在汽车领域所开展的大量工作非常具有针对性。
在应对安全挑战方面,Arm 今年带来了一系列全新的汽车技术,旨在满足 AI 赋能的 SDV 在性能、功能安全和信息安全方面的更高要求。其中包括一系列基于 Armv9 架构的全新汽车增强 (AE) IP 处理器,这一设计的核心便是最新的 Arm 信息安全特性。
常见的汽车信息安全挑战
可扩展软件攻击在其他市场已暴露的诸多严重漏洞,在汽车行业中也同样不能避免。一直以来,大部分汽车软件栈都是专有的,因此代码中的安全漏洞不易被发现。然而,在诸如消费电子和物联网等其他市场使用的软件也可能会使用在汽车市场中,导致更多漏洞的出现。正因于此,相关部门提出维护软件物料清单 (SBOM) 的要求以强化软件供应链的安全性,以便一旦在某个软件中发现漏洞,就可以锁定采用该软件的所有位置。
消费者行为同样会影响安全性和商业收入。首先,消费者可能会尝试绕过安全控制启用一些功能,以避免支付额外的费用,而这将导致汽车制造商遭受收入损失。其次,如果消费者使用未经官方认证的廉价 “非原装” 零部件,可能会导致汽车应用中的软件被未知第三方侵入和操控,从而增加勒索软件攻击的风险。如果第三方控制了汽车,则可能会对车辆安全造成直接影响。此外,使用非原装零部件还会导致商业收入受损。
当今汽车上的 SoC 需要同时运行来自多个互不信任实体的软件,而汽车供应链规模庞大且复杂,因此其中也存在着众多安全挑战。要克服这些错综复杂的供应链问题,就需要采用硬件支持的软件管理,以及隔离技术与框架。
最后,SDV 本质就是大型的互联设备,而作为互联设备的基本安全目标,安全通信对于汽车行业来说至关重要。汽车需要从多个来源(如激光雷达、雷达和摄像头)获取感知数据,因此如何实现高速通信的安全性也是目前汽车行业亟待解决的一大挑战。为此,采用高性能的安全机制来保护延迟关键型传感器数据有其必要性。此外,对于通过远程无线 (OTA) 软件更新持续维护和改进 SDV 来说,安全更新也至关重要。
SDV 三大关键应用的安全考虑因素
除了行业普遍面临的安全挑战之外,还有一些特定汽车用例也给 SDV 带来了重大安全影响。其中包括数字座舱/车载信息娱乐系统 (IVI)、先进驾驶辅助系统 (ADAS) 和自动驾驶 (AD),以及微控制器 (MCU) 和区域架构。
智能座舱/IVI
在 SDV 中,智能座舱和 IVI 的集成度日益提高,为创建和后续管理这些系统增加了复杂性。随着这些系统中的连接功能和需求不断增加,受攻击面也将随之扩大。
智能座舱的受攻击面较大,因为其涵盖多个方面,包括云连接、与智能手机等个人设备的连接、USB 插件和下载应用程序的能力。黑客入侵智能座舱的动机也不尽相同,其包含的个人数据可能对黑客极具价值,比如支付信息。对于 IVI 来说,主要安全风险在于提供了连接车辆其他部分的网关,可用于盗窃或控制车辆。这让勒索或拒绝服务攻击有了可乘之机。
智能座舱和 IVI 还需满足先进的功能安全要求,即符合 ISO 26262 和 ASIL B 等级的安全用例标准,这也需要采取额外的信息安全措施。这两种系统都集成了安全和非安全的多显示屏,以及将功能安全要求与乘客及驾驶员所需的其他相关信息结合在一起的单一物理显示屏。这就形成了一个混合关键安全环境,需要从信息安全角度进行有效管理。
ADAS 和 AD
ADAS 的集成增加了车载资产的数据量和价值。其中包括传感器和执行器数据、用于感知和目标分类的 AI 模型和算法、图形密集型计算(如 360 度摄像头)以及各种混合关键考虑因素。软件数量持续增多,潜在受攻击面不断扩大,而 ADAS 和 AD 又会直接影响车辆控制,因此这或将导致安全威胁进一步加剧。
MCU 和区域架构
以往,汽车 MCU 的漏洞仅限于在汽车内部针对特定汽车电子设备(如车门后视镜)进行攻击。然而,随着汽车行业加速转向集成度和连接性更高的整车架构,黑客可以通过连接性不断增强的组件从车辆外部对整个系统发起远程攻击。这意味着所有 MCU 都需要采取安全措施,如安全启动、安全通信和验证支持,这样才能更有效地保护车辆安全。即使是 SDV 中不构成重大直接威胁的区域(如汽车 MCU)也需要进行安全防护,因为这些区域可能构成入侵车内其他高风险计算系统的薄弱环节。
Arm 引领汽车产业变革
汽车增强 (AE) IP 系列提高性能与安全性
近三十年来,Arm 始终专注于提供以信息安全为中心的架构功能,致力于通过业内领先的技术生态系统确保企业、个人和设备的安全性。我们与生态系统合作伙伴共同携手,带来最新 Armv9 架构安全功能,同时还全力推动在标准化和开源软件方面的持续合作,为整个汽车行业带来坚实的安全保障。
今年上半年,Arm 发布了专为汽车应用设计的汽车增强 (AE) IP 系列,旨在提供高性能、低功耗、高安全性的计算能力,涵盖了包括 Neoverse V3AE CPU、Cortex-A720AE 处理器、Cortex-A520AE 处理器、Cortex-R82AE 处理器和 Mali-C720AE ISP 在内的多个核心组件,满足汽车计算的全方位需求。
全新 Arm AE IP 采用了关键的 Armv9 防御性执行技术和架构特性,可预防攻击或恶意软件。指针验证 (PAC)、分支目标识别 (BTI) 和内存标记扩展 (MTE) 等技术通过保护软件控制流的完整性并减少内存安全漏洞的影响,来应对不断增长的代码行数所带来的风险。这对汽车市场至关重要,因为目前仍存在大量使用如 C 语言等的非内存安全语言编写的遗留代码,这些代码可被移植到未来的 SDV 中。
此外,Arm 还遵循先进的产品安全实践和标准,如 ISO/SAE 21434 标准,确保在所有产品的设计、开发和开发后阶段,对安全风险进行严格的管理。Arm 为汽车合作伙伴提供了一系列支持性安全材料,以便更轻松地将 Arm 的现成组件集成到符合 ISO/SAE 21434 标准的设计中。
安全并非仅靠硬件层面就能实现。通过借助框架和 API 解决方案,Arm 正在帮助软件生态系统部署上述架构功能,以实现更优越的功能。
Arm 积极参与创建标准安全 API,并持续为其贡献力量,例如推出了 PSA Certified 加密 API,在固件开发者和硬件供应商之间建立起合作的桥梁。如此一来,Arm 可助力开发者专注于固件设计,而不必了解每一项新的集成所涉及的专有硬件规则。同时,对于硬件供应商来说,标准 API 降低了准入门槛,使他们能够专注于商业差异化创造的价值。
系统化设计,加速实现 SDV 的未来
除了安全性外,Arm 正从系统层面思考 SDV 面临的挑战,如标准化、上市进程等方面的挑战,将硬件、软件和生态无缝集成到全面的解决方案,使其具备卓越的可扩展性、性能和能效,并能够加速产品上市,进而加速 SDV 的落地进程。为此,Arm 推出了计算子系统 (CSS),正如 Neoverse CSS 和终端 CSS 一样,Arm 也计划推出汽车 CSS,将其 AE IP 的配置进行预集成与验证,并在先进的代工工艺上,对性能、功耗和面积进行优化,首款 Arm 汽车 CSS 预计于 2025 年交付。
此外,为了助力合作伙伴进一步实现芯片和软件开发与部署,Arm 还同步推出了基于前沿技术的全新虚拟原型平台。借助虚拟原型平台,Arm 的汽车合作伙伴无需等待物理芯片就绪,即可通过虚拟原型的方式对 IP 进行评估。通过重塑合作伙伴的设计流程,虚拟原型平台加快了 SDV 芯片和软件的开发和部署,从而缩短上市进程。
在生态方面,为助力汽车和云计算社区构建起一个共同的平台以促进协作和测试,进而推动 SDV 时代的发展,Arm 在三年前还牵头成立了 SOAFEE(面向嵌入式边缘的可扩展开放架构)。SOAFEE 作为一项全行业倡议,Arm 在其中起主导作用,并通过提升互操作性并加强生态系统协作的统一架构框架,推动软件的标准化进程。SOAFEE 的成员打造了一个全新的软件解决方案生态系统,通过实现软件一致性来为芯片开发和部署进程提供支持,这对于将在 2025 年推出的 Arm 汽车计算子系统 (CSS) 至关重要。
SOAFEE 自成立以来在不断持续壮大,目前成员数量已超过 140 家,包括芯片供应商、软件提供商、系统集成商、云服务提供商、一级供应商、OEM 厂商等,中国社区成员包括吉利、联想、中科创达、知从科技、智达诚远、物联智行、映驰科技等。如今,SOAFEE 正向其下一阶段迈进,即“SOAFEE.next”,也标志着 SOAFEE 进入到了执行阶段。
作为汽车行业迈向未来的基石,Arm 始终立于 SDV 技术革新的前沿。凭借全面的安全功能、开放的标准化平台和强大的生态合作,Arm 将继续推动汽车行业的安全性和可靠性,为未来的 AI 赋能 SDV 提供稳固支持。