張鐵欣

（長城汽車股份有限公司技術中心 河北省汽車工程技術研究中心，河北 保定 071000）

基于汽車網(wǎng)關平臺功能的網(wǎng)絡拓撲設計與安全研究

張鐵欣

（長城汽車股份有限公司技術中心 河北省汽車工程技術研究中心，河北 保定 071000）

基于陶蒙華博士的汽車網(wǎng)關平臺的功能架構模型，設計適合汽車網(wǎng)關平臺的網(wǎng)絡拓撲結構，并結合最新的信息安全研究成果為網(wǎng)絡拓撲結構設計信息安全防護。

汽車網(wǎng)關平臺；網(wǎng)絡拓撲；信息安全

陶蒙華［1］博士提出了汽車網(wǎng)關平臺（ Vehicle Gateway Platfor m）概念，分析了汽車網(wǎng)關平臺的應用場景（圖1）和支持的業(yè)務類型 （圖2），提出了汽車網(wǎng)關平臺的功能架構模型（圖3）。汽車網(wǎng)關平臺定義了一個通用總線結構，其通信組件可以選擇組合和插拔2種方式，便于開發(fā)者進行開發(fā)、測試和驗證，可以讓實施者根據(jù)自己的需求和網(wǎng)絡條件選擇通信模式；同時也為了研究方便，便于定義全球通用的標準化接口，利于各OEM（Original Equipment Manufacturer）和第三方產(chǎn)品的互通和對接，解決“車載終端”將業(yè)務應用與接入技術緊密集成、接口封閉不利互通的弊端。

圖1 VGP的應用場景

圖2 業(yè)務類型分類

圖3 功能架構模型

本文基于陶博士提出的汽車網(wǎng)關平臺的功能架構模型，設計出適合汽車網(wǎng)關平臺的網(wǎng)絡拓撲結構，并結合最新的信息安全研究成果為網(wǎng)絡拓撲結構設計信息安全防護。

1 網(wǎng)絡拓撲

隨著現(xiàn)代汽車功能的多元化發(fā)展，尤其是陶蒙華博士提出的通信業(yè)務、定位和道路導航業(yè)務、監(jiān)控 操作和維修類業(yè)務、信息和娛樂業(yè)務、其他業(yè)務的增加，導致車內(nèi)電控單元不斷增加，網(wǎng)絡信息共享需要更高效、更可靠的傳輸速率，傳統(tǒng)的點對點布線方式、單層總線網(wǎng)絡、傳統(tǒng)的CAN和LIN網(wǎng)絡的通信速率、可靠性已經(jīng)無法滿足當前應用需求。為簡化電控系統(tǒng)通信線路，減少電控系統(tǒng)組網(wǎng)的成本，實現(xiàn)各數(shù)據(jù)單元之間數(shù)據(jù)資源共享，多種不同速率、不同協(xié)議的總線混合組網(wǎng)技術正逐漸在現(xiàn)代汽車中廣泛應用。

目前，汽車網(wǎng)絡中可選擇的總線協(xié)議很多，如LIN、CAN、CAN-FD、FlexRay、MOST、APIX、Ethernet，傳輸速率和成本各不相同（圖4），而在車用網(wǎng)絡應用層次和目的上的差異很大，不同層次或目的對網(wǎng)絡性能的要求有很大不同。為了實現(xiàn)不同總線之間的數(shù)據(jù)交互，需采用網(wǎng)絡集成技術來實現(xiàn)網(wǎng)絡的互聯(lián)并處理來自車載嵌入式網(wǎng)絡的數(shù)據(jù)。新的網(wǎng)絡集成技術有“域”控制器和平臺網(wǎng)關等?！坝颉敝傅氖且韵囝愃乒δ艿募?。

圖4 總線傳輸速率與成本

本文結合不同協(xié)議的總線混合組網(wǎng)技術的網(wǎng)絡架構的發(fā)展變化（圖5）和汽車網(wǎng)絡拓撲的技術規(guī)劃（圖6），設計一種基于汽車網(wǎng)關平臺功能架構模型的以“域”劃分功能、域控制器控制的采用多協(xié)議總線的網(wǎng)絡拓撲結構，實現(xiàn)不同協(xié)議的總線混合組網(wǎng)，來滿足陶博士提出的汽車網(wǎng)關平臺功能。

圖5 網(wǎng)絡架構的發(fā)展變化

圖6 汽車網(wǎng)絡拓撲的技術規(guī)劃

從汽車總線網(wǎng)絡拓撲的技術規(guī)劃和網(wǎng)絡架構的發(fā)展變化中，我們可以看出今天分離的電子電氣架構，正在向陶博士提出的汽車網(wǎng)關平臺的功能架構模型（包括控制和管理功能、網(wǎng)絡和傳輸功能、無線接入功能和車內(nèi)網(wǎng)絡連接功能）發(fā)展。

根據(jù)網(wǎng)絡拓撲設計經(jīng)驗歸納出以下設計原則：①按“域”控制功能劃分原則；②通信總線類型及速率一致原則；③能滿足時延要求；④能滿足睡眠喚醒要求；⑤滿足ECU診斷要求；⑥滿足通信規(guī)范要求；⑦滿足功能安全和信息安全需求；⑧綜合評估成本、周期、擴展性、可靠性。

根據(jù)網(wǎng)絡拓撲設計原則，可將陶博士提出的汽車網(wǎng)關平臺功能和車輛功能劃分為5個“域”：駕駛輔助域、安全域、車輛運動域、信息娛樂域、車身電子域。選擇車輛中心化的電子電氣架構，以網(wǎng)關作為汽車的中心大腦，以“域”劃分功能、域控制器控制的網(wǎng)絡拓撲結構，如圖7所示。

1）車輛中心化電子電氣架構 基于汽車中心大腦和神經(jīng)網(wǎng)絡分離的汽車，其中各個功能劃分的“域”將完成中央集成化、邏輯中央集成化及物理方面的分離。

圖7 網(wǎng)絡拓撲結構

2）網(wǎng)關 汽車中心大腦，并不直接負責傳感器和執(zhí)行器動作處理，它是一個特殊功能的ECU，主要負責汽車網(wǎng)關平臺功能架構模型中的各個“域”的控制、管理及“域”間網(wǎng)絡連接功能，如網(wǎng)絡數(shù)據(jù)轉發(fā)存儲、網(wǎng)絡安全監(jiān)控功能、診斷功能以及云端密鑰處理功能，可采用Ethernet總線協(xié)議。

3）各個域控制器 采用AUTOSAR標準軟件架構，負責本域內(nèi)的各個電控單元的控制、管理功能，同時向網(wǎng)關傳輸網(wǎng)絡信號，是各個域的安全邊界，除非其它的“域”顯式地賦予它管理權限，它才能訪問或者管理其它的“域”；每個“域”有自己的安全策略，以及與其它“域”的安全信任關系，這樣才能實現(xiàn)信息安全和功能安全，并且域控制器具有在線刷寫功能。像駕駛輔助域、車輛運動域、信息娛樂域中的各個域控制器，可分別基于自身功能劃分來實現(xiàn)汽車網(wǎng)關平臺功能架構模型中的定位和道路導航業(yè)務、監(jiān)控操作和維修類業(yè)務、通信業(yè)務、信息和娛樂業(yè)務，并把數(shù)據(jù)傳給中央網(wǎng)關；各個“域”內(nèi)網(wǎng)絡連接可以采用不同的總線協(xié)議，如LIN、CAN、CAN-FD、FlexRay、MOST、APIX、Ethernet來滿足自身域內(nèi)的通信需求。

4）電控單元 主要負責具體傳感器和執(zhí)行器的直接控制，及“域”內(nèi)網(wǎng)絡信號的傳輸與管理。

上文中提到了各個“域”的信息安全內(nèi)容，下文針對設計的網(wǎng)絡拓撲結構的信息安全防護策略設計和信息安全防護措施，做著重說明。

2 信息安全

汽車的智能化、網(wǎng)絡化使汽車內(nèi)部電子設備數(shù)量迅速增加，電控系統(tǒng)日益復雜。這些車載電子設備、電控單元與外界的信息交互越來越多，而這些車載設備、電控單元絕大部分都連接到了汽車內(nèi)部的總線網(wǎng)絡，來自網(wǎng)絡的安全威脅會通過汽車與外部的接口滲透到關鍵的車載總線網(wǎng)絡系統(tǒng)，網(wǎng)聯(lián)汽車面臨嚴峻的信息安全挑戰(zhàn)?，F(xiàn)有的車載總線網(wǎng)絡在設計和應用過程中除考慮功能安全外，還需考慮信息安全問題，增加信息安全防護技術和手段。

在陶博士提出的汽車網(wǎng)關平臺的功能架構模型建立的網(wǎng)絡拓撲結構中，像駕駛輔助域、車輛運動域、信息娛樂域因引入 V2V（汽車對汽車）、 V2I（汽車對基礎設施）、 V2P（汽車對平臺）以及車內(nèi)通信的通信和數(shù)據(jù)傳輸環(huán)境，更容易被植入病毒和黑客入侵，互聯(lián)汽車的車載信息遭受安全挑戰(zhàn)（圖8），故需針對汽車網(wǎng)關平臺網(wǎng)絡拓撲結構設計信息安全防護措施。

圖8 互聯(lián)汽車的車載信息安全挑戰(zhàn)

對汽車網(wǎng)關平臺網(wǎng)絡拓撲結構設計信息安全防護措施，可以從以下幾個方面考慮：①從彌補漏洞的做法到整體考慮的方案；②標準化；③車載信息安全需求；④深度防御（外部接口、車載網(wǎng)絡電子控制單元、域控制器、平臺網(wǎng)關等）；⑤風險分析；⑥生命周期管理（即密鑰管理和加密便捷性、固件管理）。

安全防護措施考慮因素很多，可從深度防御方面做簡單解析，如圖9所示?；诎踩雷o考慮因素，對網(wǎng)絡拓撲結構做如下安全防護，如圖10所示。

圖9 深度防御

圖10 網(wǎng)絡拓撲結構安全防護

圖9描述的電子電氣分層保密架構，主要包括以下4點：①防火墻——保護外部的接口；②安全網(wǎng)關——方便車輛內(nèi)部的不同域控制器的安全管理；③域控制器——控制域內(nèi)的內(nèi)部身份鑒定和安全的交流機制；④硬件安全——采用安全的硬件模塊（HSM）來保證不同ECU之間的執(zhí)行，并提供安全執(zhí)行的方法來執(zhí)行安全的機理。

目前，汽車的網(wǎng)關平臺系統(tǒng)架構硬件設計可借助FPGA的靈活性和重編程能力，采用SOPC的技術在單個平臺上通過數(shù)據(jù)總線將汽車總線控制器IP核與嵌入式處理器軟核相連接而構成的可編程通用網(wǎng)關平臺的形式［2］。網(wǎng)關的硬件主要由電源供給系統(tǒng)、通信控制器、總線驅動器、總線監(jiān)測器和中央控制單元組成。汽車網(wǎng)關的中央控制單元主要負責計算、信息處理、信號封裝轉發(fā)等；通信控制器負責LIN、CAN和FlexRay等相關協(xié)議的物理層實現(xiàn)；域控制器的硬件設計同樣可采用網(wǎng)關使用的硬件方案來實現(xiàn)信息安全和功能安全設計；而各個ECU的硬件設計無須改變內(nèi)部的中央控制單元，采用NXP公司的帶可編程模塊的收發(fā)器，重新設計硬件改變PCB板，就可實現(xiàn)信息安全防護。

當網(wǎng)關、域控制器、ECU硬件重新設計時，各產(chǎn)品的軟件同樣需做密鑰處理來實現(xiàn)信息安全，同時還要對與外部交流的產(chǎn)品接口做防火墻設計。

當汽車的網(wǎng)關平臺系統(tǒng)架構采用上述安全防護措施后，使汽車網(wǎng)關平臺的硬件、軟件、接口和交流機制都發(fā)生改變，汽車網(wǎng)絡系統(tǒng)的可靠性、容錯能力、安全性和系統(tǒng)靈活性將大幅度提高，信息安全防護能力得到根本的保障。

3 結束語

本文基于陶蒙華博士提出的汽車網(wǎng)關平臺的功能架構模型，根據(jù)網(wǎng)絡拓撲的設計原則，結合汽車總線網(wǎng)絡拓撲的技術規(guī)劃和網(wǎng)絡架構的發(fā)展變化，設計出適合汽車網(wǎng)關平臺的網(wǎng)絡拓撲結構，并根據(jù)信息安全考慮的因素，對網(wǎng)絡拓撲結構做安全防護分析，采用NXP半導體公司最新的信息安全成果，對網(wǎng)絡拓撲進行安全防護。

本文的設計對將來車聯(lián)網(wǎng)以及智能交通帶來的網(wǎng)絡變化提前規(guī)劃，并做信息安全分析，為新技術的應用做了很好的鋪墊。

［1］ 陶蒙華.汽車網(wǎng)關平臺業(yè)務應用與功能架構模型研究［J］.互聯(lián)網(wǎng)天地，2013（3）：24-27.

［2］ 吳武飛.基于FPGA、SOPC汽車網(wǎng)關平臺設計研究［D］.長沙：湖南大學，2013.

（編輯 凌 波）

Research on Network Topology and Information Security of Vehicle Gateway Platform Functional Architecture Model

ZHANG Tie-xin
（R&D Center of Great Wall Motor Co mpany，Automotive Engineering Technical Center of HeBei，Baoding 071000，China）

Based on Doctor TAO Menghua’s functional architecture model，a network topology for vehicle gateway platform is designed.Combined with latest research findings，the relevant information security protection design is also proposed.

vehicle gateway platfor m；network topologic；information security

U464.149

A

1003-8639（2017）09-0022-04

2016-11-10；

2017-05-16

張鐵欣（1985-），男，河北石家莊人，電子電氣架構工程師，主要從事汽車電子電氣架構設計與開發(fā)工作。