作者：Arm 架構與技術部系統架構師 Andrew Jones

鑒于未來人工智能 (AI) 賦能的軟件定義汽車 (SDV) 將包含高達十億行代碼，加上顯著提高的網聯特性，汽車受攻擊面也將持續擴大并不斷演進。在之前的博文里我們曾討論過，更大的受攻擊面將對汽車網絡安全構成重大挑戰。MITRE 通用漏洞披露 (CVE) 數據庫[1]接連披露了新的汽車漏洞，而這一數字還在逐年攀升。為了避免安全漏洞造成嚴重影響，汽車行業已經開始采取行動，在整個 SDV 中構建深度安全防御措施。

Arm 近期宣布了全新的汽車技術，旨在滿足 AI 賦能的 SDV 在性能、功能安全和信息安全方面的更高要求。其中包括一系列基于 Armv9 架構的全新汽車增強 (AE) IP 處理器，這一設計的核心便是最新的 Arm 信息安全特性，能用來應對汽車用例中的常見安全挑戰，包括：

日益增長的軟件復雜性；

高度多樣化的軟件供應鏈；

功能啟用黑客攻擊；

勒索軟件；

高速通信保護；

面向乘客和不同環境的隱私管理；

將車輛功能整合到更少的系統級芯片 (SoC) 中。

常見的汽車信息安全挑戰

可擴展軟件攻擊在其他市場已暴露的諸多嚴重漏洞，在汽車行業中也同樣不能避免。一直以來，大部分汽車軟件棧都是專有的，因此代碼中的安全漏洞不易被發現。然而，在其他相鄰市場（例如，消費電子和物聯網）使用的軟件也可能會使用在汽車市場中，導致更多漏洞的出現。正因于此，相關部門提出維護軟件物料清單 (SBOM) 的要求以強化軟件供應鏈的安全性，以便一旦在某個軟件中發現漏洞，就可以鎖定采用該軟件的所有位置。

消費者行為同樣會影響安全性和商業收入。首先，消費者可能會嘗試繞過安全控制啟用一些功能，以避免支付額外的費用，而這將導致汽車制造商遭受收入損失。其次，如果消費者使用未經官方認證的廉價“非原裝”零部件，可能會導致汽車應用中的軟件被未知第三方侵入和操控，從而增加勒索軟件攻擊的風險。如果第三方控制了汽車，則可能會對車輛安全造成直接影響。此外，使用非原裝零部件還會導致商業收入受損。

當今汽車上的 SoC 需要同時運行來自多個互不信任實體的軟件，而汽車供應鏈規模龐大且復雜，因此其中也存在著眾多安全挑戰。要克服這些錯綜復雜的供應鏈問題，就需要采用硬件支持的軟件管理，以及隔離技術與框架。

最后，SDV 本質就是大型的互聯設備，而作為互聯設備的基本安全目標，安全通信對于汽車行業來說至關重要。汽車需要從多個來源（如激光雷達、雷達和攝像頭）獲取感知數據，因此如何實現高速通信的安全性也是目前汽車行業亟待解決的一大挑戰。為此，采用高性能的安全機制來保護延遲關鍵型傳感器數據有其必要性。此外，對于通過遠程無線 (OTA) 軟件更新持續維護和改進 SDV 來說，安全更新也至關重要。

SDV 三大關鍵應用的安全考慮因素

除了行業普遍面臨的安全挑戰之外，還有一些特定汽車用例也給 SDV 帶來了重大安全影響。其中包括數字座艙/車載信息娛樂系統 (IVI)、先進駕駛輔助系統 (ADAS) 和自動駕駛 (AD)，以及微控制器 (MCU) 和區域架構。

01智能座艙/IVI

在 SDV 中，智能座艙和 IVI 的集成度日益提高，為創建和后續管理這些系統增加了復雜性。隨著這些系統中的連接功能和需求不斷增加，受攻擊面也將隨之擴大。

智能座艙的受攻擊面較大，因為其涵蓋多個方面，包括云連接、與智能手機等個人設備的連接、USB 插件和下載應用程序的能力。黑客入侵智能座艙的動機也不盡相同，其包含的個人數據可能對黑客極具價值，比如支付信息。對于 IVI 來說，主要安全風險在于提供了連接車輛其他部分的網關，可用于盜竊或控制車輛。這讓勒索或拒絕服務攻擊有了可乘之機。

智能座艙和 IVI 還需滿足先進的功能安全要求，即符合 ISO 26262 和 ASIL B 等級的安全用例標準，這也需要采取額外的信息安全措施。這兩種系統都集成了安全和非安全的多顯示屏，以及將功能安全要求與乘客及駕駛員所需的其他相關信息結合在一起的單一物理顯示屏。這就形成了一個混合關鍵安全環境，需要從信息安全角度進行有效管理。

02ADAS 和 AD

ADAS 的集成增加了車載資產的數據量和價值。其中包括傳感器和執行器數據、用于感知和目標分類的 AI 模型和算法、圖形密集型計算（如 360 度攝像頭）以及各種混合關鍵考慮因素。軟件數量持續增多，潛在受攻擊面不斷擴大，而 ADAS 和 AD 又會直接影響車輛控制，因此這或將導致安全威脅進一步加劇。

03MCU 和區域架構

以往，汽車 MCU 的漏洞僅限于在汽車內部針對特定汽車電子設備（如車門后視鏡）進行攻擊。然而，隨著汽車行業加速轉向集成度和連接性更高的整車架構，黑客可以通過連接性不斷增強的組件從車輛外部對整個系統發起遠程攻擊。這意味著所有 MCU 都需要采取安全措施，如安全啟動、安全通信和驗證支持，才能更有效地保護車輛安全。即使是 SDV 中不構成重大直接威脅的區域（如汽車 MCU）也需要安全防護，因為這些區域可能構成入侵車內其他高風險計算系統的薄弱環節。

Arm 的作用

近三十年來，Arm 始終專注于提供以信息安全為中心的架構功能，致力于通過 Arm 業內領先的技術生態系統確保企業、個人和設備的安全性。我們與生態系統合作伙伴共同攜手，帶來最新 Armv9 架構安全功能，同時還全力推動在標準化和開源軟件方面的持續合作，為整個汽車行業帶來堅實的安全保障。

全新 Arm AE IP 采用了關鍵的 Armv9 防御性執行技術和架構特性，可預防攻擊或惡意軟件。指針驗證 (PAC)、分支目標識別 (BTI) 和內存標記擴展 (MTE) 等技術通過保護軟件控制流的完整性并減少內存安全漏洞的影響，來應對不斷增長的代碼行數所帶來的風險。這對汽車市場至關重要，因為目前仍存在大量使用如 C 語言等的非內存安全語言編寫的遺留代碼，這些代碼可被移植到未來的 SDV 中。

此外，Arm 還遵循先進的產品安全實踐和標準，如 ISO/SAE 21434 標準，確保在所有產品的設計、開發和開發后階段，對安全風險進行嚴格的管理。Arm 為汽車合作伙伴提供了一系列支持性安全材料，以便更輕松地將 Arm 的現成組件集成到符合 ISO/SAE 21434 標準的設計中。

此外，Arm 架構還內置了可擴展隔離技術，從而在對性能影響最小的情況下，分隔不同的工作負載。而汽車行業正趨向于在同一計算平臺上運行來源不同、互不信任的軟件組件。隔離技術通過強制執行定義明確的信任邊界，以支持這一目標。這類技術的示例包括 Arm TrustZone、S-EL2[2] 和機密領域管理擴展 (RME)[3]。

然而，安全并非僅靠硬件層面就能實現。通過借助框架和 API 解決方案，Arm 正在幫助軟件生態系統部署上述架構功能，以實現更優越的功能。

Arm 參與創建標準安全 API，并持續為其貢獻力量，例如推出了 PSA Certified 加密 API[4]，在固件開發者和硬件供應商之間建立起合作的橋梁。助力開發者專注于固件設計，而不必了解每一項新的集成所涉及的專有硬件規則。同時，對于硬件供應商來說，標準 API 降低了準入門檻，使他們能夠專注于商業差異化創造的價值。

作為車輛安全的最低要求，框架和標準有助于建立強大的信任根 (RoT)。而要實現這一目標，通過 PSA Certified 認證是一個有效方式，PSA Certified 提供了一個有效的認證流程，被廣泛視為物聯網市場的網絡安全質量指標。在汽車供應鏈[5]中，PSA Certified 正開始被用于提高安全防護的可見性和通信。該認證通過已建立的最佳實踐和適用于整個生態系統的強大 RoT 來提供內置的基礎安全防護。

保障汽車行業安全

保護全球數據和計算的完整性將成為未來十年計算領域面臨的最大的技術挑戰之一。對于正經歷前所未有的巨大變革的汽車行業來說，這個問題將尤為顯著。

在 AI 時代，SDV 搭載的軟件日益增多，計算日趨復雜，安全挑戰也隨之變得愈發嚴峻。然而，通過結合 Arm 新 AE IP 中的創新架構特性以及軟件和標準在我們行業領先的生態系統中的合作，Arm 將安全性和可靠性作為我們汽車技術的最高優先事項。這將為汽車行業的未來和 SDV 上數十億行代碼保駕護航。