基于汽車網關平臺功能的網絡拓撲設計與安全研究

張鐵欣

（長城汽車股份有限公司技術中心 河北省汽車工程技術研究中心，河北 保定 071000）

基于汽車網關平臺功能的網絡拓撲設計與安全研究

張鐵欣

（長城汽車股份有限公司技術中心 河北省汽車工程技術研究中心，河北 保定 071000）

基于陶蒙華博士的汽車網關平臺的功能架構模型，設計適合汽車網關平臺的網絡拓撲結構，并結合最新的信息安全研究成果為網絡拓撲結構設計信息安全防護。

汽車網關平臺；網絡拓撲；信息安全

陶蒙華［1］博士提出了汽車網關平臺（ Vehicle Gateway Platfor m）概念，分析了汽車網關平臺的應用場景（圖1）和支持的業務類型 （圖2），提出了汽車網關平臺的功能架構模型（圖3）。汽車網關平臺定義了一個通用總線結構，其通信組件可以選擇組合和插拔2種方式，便于開發者進行開發、測試和驗證，可以讓實施者根據自己的需求和網絡條件選擇通信模式；同時也為了研究方便，便于定義全球通用的標準化接口，利于各OEM（Original Equipment Manufacturer）和第三方產品的互通和對接，解決“車載終端”將業務應用與接入技術緊密集成、接口封閉不利互通的弊端。

圖1 VGP的應用場景

圖2 業務類型分類

圖3 功能架構模型

本文基于陶博士提出的汽車網關平臺的功能架構模型，設計出適合汽車網關平臺的網絡拓撲結構，并結合最新的信息安全研究成果為網絡拓撲結構設計信息安全防護。

1 網絡拓撲

隨著現代汽車功能的多元化發展，尤其是陶蒙華博士提出的通信業務、定位和道路導航業務、監控 操作和維修類業務、信息和娛樂業務、其他業務的增加，導致車內電控單元不斷增加，網絡信息共享需要更高效、更可靠的傳輸速率，傳統的點對點布線方式、單層總線網絡、傳統的CAN和LIN網絡的通信速率、可靠性已經無法滿足當前應用需求。為簡化電控系統通信線路，減少電控系統組網的成本，實現各數據單元之間數據資源共享，多種不同速率、不同協議的總線混合組網技術正逐漸在現代汽車中廣泛應用。

目前，汽車網絡中可選擇的總線協議很多，如LIN、CAN、CAN-FD、FlexRay、MOST、APIX、Ethernet，傳輸速率和成本各不相同（圖4），而在車用網絡應用層次和目的上的差異很大，不同層次或目的對網絡性能的要求有很大不同。為了實現不同總線之間的數據交互，需采用網絡集成技術來實現網絡的互聯并處理來自車載嵌入式網絡的數據。新的網絡集成技術有“域”控制器和平臺網關等?！坝颉敝傅氖且韵囝愃乒δ艿募?。

圖4 總線傳輸速率與成本

本文結合不同協議的總線混合組網技術的網絡架構的發展變化（圖5）和汽車網絡拓撲的技術規劃（圖6），設計一種基于汽車網關平臺功能架構模型的以“域”劃分功能、域控制器控制的采用多協議總線的網絡拓撲結構，實現不同協議的總線混合組網，來滿足陶博士提出的汽車網關平臺功能。

圖5 網絡架構的發展變化

圖6 汽車網絡拓撲的技術規劃

從汽車總線網絡拓撲的技術規劃和網絡架構的發展變化中，我們可以看出今天分離的電子電氣架構，正在向陶博士提出的汽車網關平臺的功能架構模型（包括控制和管理功能、網絡和傳輸功能、無線接入功能和車內網絡連接功能）發展。

根據網絡拓撲設計經驗歸納出以下設計原則：①按“域”控制功能劃分原則；②通信總線類型及速率一致原則；③能滿足時延要求；④能滿足睡眠喚醒要求；⑤滿足ECU診斷要求；⑥滿足通信規范要求；⑦滿足功能安全和信息安全需求；⑧綜合評估成本、周期、擴展性、可靠性。

根據網絡拓撲設計原則，可將陶博士提出的汽車網關平臺功能和車輛功能劃分為5個“域”：駕駛輔助域、安全域、車輛運動域、信息娛樂域、車身電子域。選擇車輛中心化的電子電氣架構，以網關作為汽車的中心大腦，以“域”劃分功能、域控制器控制的網絡拓撲結構，如圖7所示。

1）車輛中心化電子電氣架構 基于汽車中心大腦和神經網絡分離的汽車，其中各個功能劃分的“域”將完成中央集成化、邏輯中央集成化及物理方面的分離。

圖7 網絡拓撲結構

2）網關 汽車中心大腦，并不直接負責傳感器和執行器動作處理，它是一個特殊功能的ECU，主要負責汽車網關平臺功能架構模型中的各個“域”的控制、管理及“域”間網絡連接功能，如網絡數據轉發存儲、網絡安全監控功能、診斷功能以及云端密鑰處理功能，可采用Ethernet總線協議。

3）各個域控制器 采用AUTOSAR標準軟件架構，負責本域內的各個電控單元的控制、管理功能，同時向網關傳輸網絡信號，是各個域的安全邊界，除非其它的“域”顯式地賦予它管理權限，它才能訪問或者管理其它的“域”；每個“域”有自己的安全策略，以及與其它“域”的安全信任關系，這樣才能實現信息安全和功能安全，并且域控制器具有在線刷寫功能。像駕駛輔助域、車輛運動域、信息娛樂域中的各個域控制器，可分別基于自身功能劃分來實現汽車網關平臺功能架構模型中的定位和道路導航業務、監控操作和維修類業務、通信業務、信息和娛樂業務，并把數據傳給中央網關；各個“域”內網絡連接可以采用不同的總線協議，如LIN、CAN、CAN-FD、FlexRay、MOST、APIX、Ethernet來滿足自身域內的通信需求。

4）電控單元 主要負責具體傳感器和執行器的直接控制，及“域”內網絡信號的傳輸與管理。

上文中提到了各個“域”的信息安全內容，下文針對設計的網絡拓撲結構的信息安全防護策略設計和信息安全防護措施，做著重說明。

2 信息安全

汽車的智能化、網絡化使汽車內部電子設備數量迅速增加，電控系統日益復雜。這些車載電子設備、電控單元與外界的信息交互越來越多，而這些車載設備、電控單元絕大部分都連接到了汽車內部的總線網絡，來自網絡的安全威脅會通過汽車與外部的接口滲透到關鍵的車載總線網絡系統，網聯汽車面臨嚴峻的信息安全挑戰。現有的車載總線網絡在設計和應用過程中除考慮功能安全外，還需考慮信息安全問題，增加信息安全防護技術和手段。

在陶博士提出的汽車網關平臺的功能架構模型建立的網絡拓撲結構中，像駕駛輔助域、車輛運動域、信息娛樂域因引入 V2V（汽車對汽車）、 V2I（汽車對基礎設施）、 V2P（汽車對平臺）以及車內通信的通信和數據傳輸環境，更容易被植入病毒和黑客入侵，互聯汽車的車載信息遭受安全挑戰（圖8），故需針對汽車網關平臺網絡拓撲結構設計信息安全防護措施。

圖8 互聯汽車的車載信息安全挑戰

對汽車網關平臺網絡拓撲結構設計信息安全防護措施，可以從以下幾個方面考慮：①從彌補漏洞的做法到整體考慮的方案；②標準化；③車載信息安全需求；④深度防御（外部接口、車載網絡電子控制單元、域控制器、平臺網關等）；⑤風險分析；⑥生命周期管理（即密鑰管理和加密便捷性、固件管理）。

安全防護措施考慮因素很多，可從深度防御方面做簡單解析，如圖9所示?；诎踩雷o考慮因素，對網絡拓撲結構做如下安全防護，如圖10所示。

圖9 深度防御

圖10 網絡拓撲結構安全防護

圖9描述的電子電氣分層保密架構，主要包括以下4點：①防火墻——保護外部的接口；②安全網關——方便車輛內部的不同域控制器的安全管理；③域控制器——控制域內的內部身份鑒定和安全的交流機制；④硬件安全——采用安全的硬件模塊（HSM）來保證不同ECU之間的執行，并提供安全執行的方法來執行安全的機理。

目前，汽車的網關平臺系統架構硬件設計可借助FPGA的靈活性和重編程能力，采用SOPC的技術在單個平臺上通過數據總線將汽車總線控制器IP核與嵌入式處理器軟核相連接而構成的可編程通用網關平臺的形式［2］。網關的硬件主要由電源供給系統、通信控制器、總線驅動器、總線監測器和中央控制單元組成。汽車網關的中央控制單元主要負責計算、信息處理、信號封裝轉發等；通信控制器負責LIN、CAN和FlexRay等相關協議的物理層實現；域控制器的硬件設計同樣可采用網關使用的硬件方案來實現信息安全和功能安全設計；而各個ECU的硬件設計無須改變內部的中央控制單元，采用NXP公司的帶可編程模塊的收發器，重新設計硬件改變PCB板，就可實現信息安全防護。

當網關、域控制器、ECU硬件重新設計時，各產品的軟件同樣需做密鑰處理來實現信息安全，同時還要對與外部交流的產品接口做防火墻設計。

當汽車的網關平臺系統架構采用上述安全防護措施后，使汽車網關平臺的硬件、軟件、接口和交流機制都發生改變，汽車網絡系統的可靠性、容錯能力、安全性和系統靈活性將大幅度提高，信息安全防護能力得到根本的保障。

3 結束語

本文基于陶蒙華博士提出的汽車網關平臺的功能架構模型，根據網絡拓撲的設計原則，結合汽車總線網絡拓撲的技術規劃和網絡架構的發展變化，設計出適合汽車網關平臺的網絡拓撲結構，并根據信息安全考慮的因素，對網絡拓撲結構做安全防護分析，采用NXP半導體公司最新的信息安全成果，對網絡拓撲進行安全防護。

本文的設計對將來車聯網以及智能交通帶來的網絡變化提前規劃，并做信息安全分析，為新技術的應用做了很好的鋪墊。

［1］ 陶蒙華.汽車網關平臺業務應用與功能架構模型研究［J］.互聯網天地，2013（3）：24-27.

［2］ 吳武飛.基于FPGA、SOPC汽車網關平臺設計研究［D］.長沙：湖南大學，2013.

（編輯 凌 波）

Research on Network Topology and Information Security of Vehicle Gateway Platform Functional Architecture Model

ZHANG Tie-xin
（R&D Center of Great Wall Motor Co mpany，Automotive Engineering Technical Center of HeBei，Baoding 071000，China）

Based on Doctor TAO Menghua’s functional architecture model，a network topology for vehicle gateway platform is designed.Combined with latest research findings，the relevant information security protection design is also proposed.

vehicle gateway platfor m；network topologic；information security

U464.149

A

1003-8639（2017）09-0022-04

2016-11-10；

2017-05-16

張鐵欣（1985-），男，河北石家莊人，電子電氣架構工程師，主要從事汽車電子電氣架構設計與開發工作。