張鐵欣

（長(zhǎng)城汽車股份有限公司技術(shù)中心 河北省汽車工程技術(shù)研究中心，河北 保定 071000）

基于汽車網(wǎng)關(guān)平臺(tái)功能的網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)與安全研究

張鐵欣

（長(zhǎng)城汽車股份有限公司技術(shù)中心 河北省汽車工程技術(shù)研究中心，河北 保定 071000）

基于陶蒙華博士的汽車網(wǎng)關(guān)平臺(tái)的功能架構(gòu)模型，設(shè)計(jì)適合汽車網(wǎng)關(guān)平臺(tái)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并結(jié)合最新的信息安全研究成果為網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)信息安全防護(hù)。

汽車網(wǎng)關(guān)平臺(tái)；網(wǎng)絡(luò)拓?fù)?；信息安?/p>

陶蒙華［1］博士提出了汽車網(wǎng)關(guān)平臺(tái)（ Vehicle Gateway Platfor m）概念，分析了汽車網(wǎng)關(guān)平臺(tái)的應(yīng)用場(chǎng)景（圖1）和支持的業(yè)務(wù)類型 （圖2），提出了汽車網(wǎng)關(guān)平臺(tái)的功能架構(gòu)模型（圖3）。汽車網(wǎng)關(guān)平臺(tái)定義了一個(gè)通用總線結(jié)構(gòu)，其通信組件可以選擇組合和插拔2種方式，便于開發(fā)者進(jìn)行開發(fā)、測(cè)試和驗(yàn)證，可以讓實(shí)施者根據(jù)自己的需求和網(wǎng)絡(luò)條件選擇通信模式；同時(shí)也為了研究方便，便于定義全球通用的標(biāo)準(zhǔn)化接口，利于各OEM（Original Equipment Manufacturer）和第三方產(chǎn)品的互通和對(duì)接，解決“車載終端”將業(yè)務(wù)應(yīng)用與接入技術(shù)緊密集成、接口封閉不利互通的弊端。

圖1 VGP的應(yīng)用場(chǎng)景

圖2 業(yè)務(wù)類型分類

圖3 功能架構(gòu)模型

本文基于陶博士提出的汽車網(wǎng)關(guān)平臺(tái)的功能架構(gòu)模型，設(shè)計(jì)出適合汽車網(wǎng)關(guān)平臺(tái)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并結(jié)合最新的信息安全研究成果為網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)信息安全防護(hù)。

1 網(wǎng)絡(luò)拓?fù)?/h2>

隨著現(xiàn)代汽車功能的多元化發(fā)展，尤其是陶蒙華博士提出的通信業(yè)務(wù)、定位和道路導(dǎo)航業(yè)務(wù)、監(jiān)控 操作和維修類業(yè)務(wù)、信息和娛樂業(yè)務(wù)、其他業(yè)務(wù)的增加，導(dǎo)致車內(nèi)電控單元不斷增加，網(wǎng)絡(luò)信息共享需要更高效、更可靠的傳輸速率，傳統(tǒng)的點(diǎn)對(duì)點(diǎn)布線方式、單層總線網(wǎng)絡(luò)、傳統(tǒng)的CAN和LIN網(wǎng)絡(luò)的通信速率、可靠性已經(jīng)無法滿足當(dāng)前應(yīng)用需求。為簡(jiǎn)化電控系統(tǒng)通信線路，減少電控系統(tǒng)組網(wǎng)的成本，實(shí)現(xiàn)各數(shù)據(jù)單元之間數(shù)據(jù)資源共享，多種不同速率、不同協(xié)議的總線混合組網(wǎng)技術(shù)正逐漸在現(xiàn)代汽車中廣泛應(yīng)用。

目前，汽車網(wǎng)絡(luò)中可選擇的總線協(xié)議很多，如LIN、CAN、CAN-FD、FlexRay、MOST、APIX、Ethernet，傳輸速率和成本各不相同（圖4），而在車用網(wǎng)絡(luò)應(yīng)用層次和目的上的差異很大，不同層次或目的對(duì)網(wǎng)絡(luò)性能的要求有很大不同。為了實(shí)現(xiàn)不同總線之間的數(shù)據(jù)交互，需采用網(wǎng)絡(luò)集成技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)并處理來自車載嵌入式網(wǎng)絡(luò)的數(shù)據(jù)。新的網(wǎng)絡(luò)集成技術(shù)有“域”控制器和平臺(tái)網(wǎng)關(guān)等?！坝颉敝傅氖且韵囝愃乒δ艿募?。

圖4 總線傳輸速率與成本

本文結(jié)合不同協(xié)議的總線混合組網(wǎng)技術(shù)的網(wǎng)絡(luò)架構(gòu)的發(fā)展變化（圖5）和汽車網(wǎng)絡(luò)拓?fù)涞募夹g(shù)規(guī)劃（圖6），設(shè)計(jì)一種基于汽車網(wǎng)關(guān)平臺(tái)功能架構(gòu)模型的以“域”劃分功能、域控制器控制的采用多協(xié)議總線的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)不同協(xié)議的總線混合組網(wǎng)，來滿足陶博士提出的汽車網(wǎng)關(guān)平臺(tái)功能。

圖5 網(wǎng)絡(luò)架構(gòu)的發(fā)展變化

圖6 汽車網(wǎng)絡(luò)拓?fù)涞募夹g(shù)規(guī)劃

從汽車總線網(wǎng)絡(luò)拓?fù)涞募夹g(shù)規(guī)劃和網(wǎng)絡(luò)架構(gòu)的發(fā)展變化中，我們可以看出今天分離的電子電氣架構(gòu)，正在向陶博士提出的汽車網(wǎng)關(guān)平臺(tái)的功能架構(gòu)模型（包括控制和管理功能、網(wǎng)絡(luò)和傳輸功能、無線接入功能和車內(nèi)網(wǎng)絡(luò)連接功能）發(fā)展。

根據(jù)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)經(jīng)驗(yàn)歸納出以下設(shè)計(jì)原則：①按“域”控制功能劃分原則；②通信總線類型及速率一致原則；③能滿足時(shí)延要求；④能滿足睡眠喚醒要求；⑤滿足ECU診斷要求；⑥滿足通信規(guī)范要求；⑦滿足功能安全和信息安全需求；⑧綜合評(píng)估成本、周期、擴(kuò)展性、可靠性。

根據(jù)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)原則，可將陶博士提出的汽車網(wǎng)關(guān)平臺(tái)功能和車輛功能劃分為5個(gè)“域”：駕駛輔助域、安全域、車輛運(yùn)動(dòng)域、信息娛樂域、車身電子域。選擇車輛中心化的電子電氣架構(gòu)，以網(wǎng)關(guān)作為汽車的中心大腦，以“域”劃分功能、域控制器控制的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖7所示。

1）車輛中心化電子電氣架構(gòu) 基于汽車中心大腦和神經(jīng)網(wǎng)絡(luò)分離的汽車，其中各個(gè)功能劃分的“域”將完成中央集成化、邏輯中央集成化及物理方面的分離。

圖7 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2）網(wǎng)關(guān) 汽車中心大腦，并不直接負(fù)責(zé)傳感器和執(zhí)行器動(dòng)作處理，它是一個(gè)特殊功能的ECU，主要負(fù)責(zé)汽車網(wǎng)關(guān)平臺(tái)功能架構(gòu)模型中的各個(gè)“域”的控制、管理及“域”間網(wǎng)絡(luò)連接功能，如網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)存儲(chǔ)、網(wǎng)絡(luò)安全監(jiān)控功能、診斷功能以及云端密鑰處理功能，可采用Ethernet總線協(xié)議。

3）各個(gè)域控制器 采用AUTOSAR標(biāo)準(zhǔn)軟件架構(gòu)，負(fù)責(zé)本域內(nèi)的各個(gè)電控單元的控制、管理功能，同時(shí)向網(wǎng)關(guān)傳輸網(wǎng)絡(luò)信號(hào)，是各個(gè)域的安全邊界，除非其它的“域”顯式地賦予它管理權(quán)限，它才能訪問或者管理其它的“域”；每個(gè)“域”有自己的安全策略，以及與其它“域”的安全信任關(guān)系，這樣才能實(shí)現(xiàn)信息安全和功能安全，并且域控制器具有在線刷寫功能。像駕駛輔助域、車輛運(yùn)動(dòng)域、信息娛樂域中的各個(gè)域控制器，可分別基于自身功能劃分來實(shí)現(xiàn)汽車網(wǎng)關(guān)平臺(tái)功能架構(gòu)模型中的定位和道路導(dǎo)航業(yè)務(wù)、監(jiān)控操作和維修類業(yè)務(wù)、通信業(yè)務(wù)、信息和娛樂業(yè)務(wù)，并把數(shù)據(jù)傳給中央網(wǎng)關(guān)；各個(gè)“域”內(nèi)網(wǎng)絡(luò)連接可以采用不同的總線協(xié)議，如LIN、CAN、CAN-FD、FlexRay、MOST、APIX、Ethernet來滿足自身域內(nèi)的通信需求。

4）電控單元 主要負(fù)責(zé)具體傳感器和執(zhí)行器的直接控制，及“域”內(nèi)網(wǎng)絡(luò)信號(hào)的傳輸與管理。

上文中提到了各個(gè)“域”的信息安全內(nèi)容，下文針對(duì)設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的信息安全防護(hù)策略設(shè)計(jì)和信息安全防護(hù)措施，做著重說明。

2 信息安全

汽車的智能化、網(wǎng)絡(luò)化使汽車內(nèi)部電子設(shè)備數(shù)量迅速增加，電控系統(tǒng)日益復(fù)雜。這些車載電子設(shè)備、電控單元與外界的信息交互越來越多，而這些車載設(shè)備、電控單元絕大部分都連接到了汽車內(nèi)部的總線網(wǎng)絡(luò)，來自網(wǎng)絡(luò)的安全威脅會(huì)通過汽車與外部的接口滲透到關(guān)鍵的車載總線網(wǎng)絡(luò)系統(tǒng)，網(wǎng)聯(lián)汽車面臨嚴(yán)峻的信息安全挑戰(zhàn)?，F(xiàn)有的車載總線網(wǎng)絡(luò)在設(shè)計(jì)和應(yīng)用過程中除考慮功能安全外，還需考慮信息安全問題，增加信息安全防護(hù)技術(shù)和手段。

在陶博士提出的汽車網(wǎng)關(guān)平臺(tái)的功能架構(gòu)模型建立的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，像駕駛輔助域、車輛運(yùn)動(dòng)域、信息娛樂域因引入 V2V（汽車對(duì)汽車）、 V2I（汽車對(duì)基礎(chǔ)設(shè)施）、 V2P（汽車對(duì)平臺(tái)）以及車內(nèi)通信的通信和數(shù)據(jù)傳輸環(huán)境，更容易被植入病毒和黑客入侵，互聯(lián)汽車的車載信息遭受安全挑戰(zhàn)（圖8），故需針對(duì)汽車網(wǎng)關(guān)平臺(tái)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)信息安全防護(hù)措施。

圖8 互聯(lián)汽車的車載信息安全挑戰(zhàn)

對(duì)汽車網(wǎng)關(guān)平臺(tái)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)信息安全防護(hù)措施，可以從以下幾個(gè)方面考慮：①?gòu)膹浹a(bǔ)漏洞的做法到整體考慮的方案；②標(biāo)準(zhǔn)化；③車載信息安全需求；④深度防御（外部接口、車載網(wǎng)絡(luò)電子控制單元、域控制器、平臺(tái)網(wǎng)關(guān)等）；⑤風(fēng)險(xiǎn)分析；⑥生命周期管理（即密鑰管理和加密便捷性、固件管理）。

安全防護(hù)措施考慮因素很多，可從深度防御方面做簡(jiǎn)單解析，如圖9所示?；诎踩雷o(hù)考慮因素，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)做如下安全防護(hù)，如圖10所示。

圖9 深度防御

圖10 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全防護(hù)

圖9描述的電子電氣分層保密架構(gòu)，主要包括以下4點(diǎn)：①防火墻——保護(hù)外部的接口；②安全網(wǎng)關(guān)——方便車輛內(nèi)部的不同域控制器的安全管理；③域控制器——控制域內(nèi)的內(nèi)部身份鑒定和安全的交流機(jī)制；④硬件安全——采用安全的硬件模塊（HSM）來保證不同ECU之間的執(zhí)行，并提供安全執(zhí)行的方法來執(zhí)行安全的機(jī)理。

目前，汽車的網(wǎng)關(guān)平臺(tái)系統(tǒng)架構(gòu)硬件設(shè)計(jì)可借助FPGA的靈活性和重編程能力，采用SOPC的技術(shù)在單個(gè)平臺(tái)上通過數(shù)據(jù)總線將汽車總線控制器IP核與嵌入式處理器軟核相連接而構(gòu)成的可編程通用網(wǎng)關(guān)平臺(tái)的形式［2］。網(wǎng)關(guān)的硬件主要由電源供給系統(tǒng)、通信控制器、總線驅(qū)動(dòng)器、總線監(jiān)測(cè)器和中央控制單元組成。汽車網(wǎng)關(guān)的中央控制單元主要負(fù)責(zé)計(jì)算、信息處理、信號(hào)封裝轉(zhuǎn)發(fā)等；通信控制器負(fù)責(zé)LIN、CAN和FlexRay等相關(guān)協(xié)議的物理層實(shí)現(xiàn)；域控制器的硬件設(shè)計(jì)同樣可采用網(wǎng)關(guān)使用的硬件方案來實(shí)現(xiàn)信息安全和功能安全設(shè)計(jì)；而各個(gè)ECU的硬件設(shè)計(jì)無須改變內(nèi)部的中央控制單元，采用NXP公司的帶可編程模塊的收發(fā)器，重新設(shè)計(jì)硬件改變PCB板，就可實(shí)現(xiàn)信息安全防護(hù)。

當(dāng)網(wǎng)關(guān)、域控制器、ECU硬件重新設(shè)計(jì)時(shí)，各產(chǎn)品的軟件同樣需做密鑰處理來實(shí)現(xiàn)信息安全，同時(shí)還要對(duì)與外部交流的產(chǎn)品接口做防火墻設(shè)計(jì)。

當(dāng)汽車的網(wǎng)關(guān)平臺(tái)系統(tǒng)架構(gòu)采用上述安全防護(hù)措施后，使汽車網(wǎng)關(guān)平臺(tái)的硬件、軟件、接口和交流機(jī)制都發(fā)生改變，汽車網(wǎng)絡(luò)系統(tǒng)的可靠性、容錯(cuò)能力、安全性和系統(tǒng)靈活性將大幅度提高，信息安全防護(hù)能力得到根本的保障。

3 結(jié)束語

本文基于陶蒙華博士提出的汽車網(wǎng)關(guān)平臺(tái)的功能架構(gòu)模型，根據(jù)網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)原則，結(jié)合汽車總線網(wǎng)絡(luò)拓?fù)涞募夹g(shù)規(guī)劃和網(wǎng)絡(luò)架構(gòu)的發(fā)展變化，設(shè)計(jì)出適合汽車網(wǎng)關(guān)平臺(tái)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并根據(jù)信息安全考慮的因素，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)做安全防護(hù)分析，采用NXP半導(dǎo)體公司最新的信息安全成果，對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行安全防護(hù)。

本文的設(shè)計(jì)對(duì)將來車聯(lián)網(wǎng)以及智能交通帶來的網(wǎng)絡(luò)變化提前規(guī)劃，并做信息安全分析，為新技術(shù)的應(yīng)用做了很好的鋪墊。

［1］ 陶蒙華.汽車網(wǎng)關(guān)平臺(tái)業(yè)務(wù)應(yīng)用與功能架構(gòu)模型研究［J］.互聯(lián)網(wǎng)天地，2013（3）：24-27.

［2］ 吳武飛.基于FPGA、SOPC汽車網(wǎng)關(guān)平臺(tái)設(shè)計(jì)研究［D］.長(zhǎng)沙：湖南大學(xué)，2013.

（編輯 凌 波）

Research on Network Topology and Information Security of Vehicle Gateway Platform Functional Architecture Model

ZHANG Tie-xin
（R&D Center of Great Wall Motor Co mpany，Automotive Engineering Technical Center of HeBei，Baoding 071000，China）

Based on Doctor TAO Menghua’s functional architecture model，a network topology for vehicle gateway platform is designed.Combined with latest research findings，the relevant information security protection design is also proposed.

vehicle gateway platfor m；network topologic；information security

U464.149

A

1003-8639（2017）09-0022-04

2016-11-10；

2017-05-16

張鐵欣（1985-），男，河北石家莊人，電子電氣架構(gòu)工程師，主要從事汽車電子電氣架構(gòu)設(shè)計(jì)與開發(fā)工作。