CN116800531A - 一种汽车电子电气架构及安全通信方法 - Google Patents

Abstract

本发明公开了一种汽车电子电气架构及安全通信方法，包括车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区，车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区通过软件和/或物理层进行隔离和管理并且通过4层安全保护机制进行分域保护；通过车外安全通信机制控制车载网络出口区与车外进行安全通信；通过安全网关机制控制车载核心交换区与车载网络出口区进行安全通信；通过车内安全通信机制控制传统ECU区和智能化ECU区分别与车载核心交换区进行安全通信；通过安全平台机制保证传统ECU区和智能化ECU区的安全功能。本发明能够保证汽车整车在开发、设计和使用阶段的信息安全和功能安全。

Description

一种汽车电子电气架构及安全通信方法

技术领域

本发明涉及汽车电子电气架构技术领域，尤其涉及一种汽车安全电子电气架构和安全通信方法。

背景技术

在过去，汽车是独立个体，与其他汽车或网络无任何互联。因此，在设计时只需要重点考虑其功能的实用性和安全性就可以了。汽车通过上锁的方式来防止攻击者非法进入车内。同理，汽车通过限制进入系统的方式来确保汽车安全。

随着汽车电动化、网联化的发展趋势，汽车通过蜂窝网络连接到互联网，车到车以及车到设备的网络连接呈现不断上升的趋势。通过WiFi或者蓝牙，汽车可与智能手机交互，实现数据交换。从网络保护措施的角度讲，今天的汽车已不再是独立的个体了，而应作为互联设备来评估和设计。而当前行业还缺乏完整的网络安全概念，仅仅有少量的安全措施，例如在CAN报文中增加8bit的CRC校验、rollingcounter等机制；在关键的诊断功能上使用安全校验机制，但是这些机制通常太弱，甚至是代码实现上存在缺陷，无法满足越来越智能化的汽车的安全要求。

以上背景技术内容的公开仅用于辅助理解本发明的构思及技术方案，其并不必然属于本专利申请的现有技术，也不必然会给出技术教导；在没有明确的证据表明上述内容在本专利申请的申请日之前已经公开的情况下，上述背景技术不应当用于评价本申请的新颖性和创造性。

发明内容

本发明的目的是提供一种汽车安全电子电气架构和安全通信方法，能够保证汽车整车在开发、设计和使用阶段的信息安全和功能安全。

为达到上述目的，本发明采用的技术方案如下：

一种汽车安全电子电气架构，包括车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区，所述车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区通过软件和/或物理层进行隔离和管理并且通过4层安全保护机制进行分域保护；

所述4层保护机制包括车外安全通信机制、安全网关机制、车内安全通信机制和安全平台机制；其中，

所述车外安全通信机制，其被配置为控制所述车载网络出口区与车外进行安全通信；

所述安全网关机制，其被配置为控制所述车载核心交换区与所述车载网络出口区进行安全通信；

所述车内安全通信机制，其被配置为控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信；

所述安全平台机制，其被配置为设置所述传统ECU区和所述智能化ECU区。

进一步地，承前所述的任一技术方案或多个技术方案的组合，基于所述车外安全通信机制，所述车载网络出口区包括T-BOX模块、车辆与OEM后台安全通信模块、OBD接口安全访问模块和V2X安全通信模块。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述T-BOX模块通过部署Https/TLS安全协议以实现车辆与外部安全通信；

所述车辆与OEM后台安全通信模块通过部署Https/TLS安全协议以实现车辆和OEM后台安全通信；

所述OBD接口安全访问模块通过设置双向认证机制以确保访问者身份的真实性；

所述V2X安全通信模块通过设置签名验证以确保消息的真实性和实现加密信息的传输。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述车载核心交换区包括中央网关，基于所述安全网关机制，所述中央网关被配置为采用AES-128加密算法模型和CMAC消息认证模型的安全网关。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述中央网关还被配置为采用OTA管理软件，若外部软件版本信息、汽车自身的状态信息和汽车的零部件状态信息出现不准确或者不完整时，所述OTA管理软件则会组织外部软件进入汽车内网。

进一步地，承前所述的任一技术方案或多个技术方案的组合，基于所述车内安全通信机制，采用CAN/CAN FD协议和Ethernet协议控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述Ethernet协议通过采用TLS协议套件控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信；和/或，

采用CAN/CAN FD协议控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信通过以下方式实现：

采用SecOC安全机制给CAN/CANFD总线上的报文数据提供身份验证机制，包括：

发送节点的SecOC模块基于原始数据和密钥，按照约定的算法得到认证码MAC，将报文头、原始报文、新鲜度和MAC组合得到Secured I-PDU，并通过CAN总线广播；接收节点的SecOC模块通过验证MAC来判断原始报文的来源和完整性，并通过新鲜度值验证该报文是否重复并合法。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述智能化ECU区和所述传统ECU区均包括若干微处理器，每个所述微处理器采用硬件安全模块，所述硬件安全模块包括随机数生成器、算法硬件加速器，以及中断和定时器外接设备。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述硬件安全模块支持的算法包括：

对称加密算法AES-128，其支持硬件实现以及支持ECB和CBC两种模式；

MD5、SHA-1和SHA-2摘要算法；

非对称加密算法RSA、ECC。

根据本发明的另一方面，本发明提供了一种汽车安全通信方法，基于上述任一技术方案或多个技术方案的组合所述的汽车安全电子电气架构进行安全通信，所述方法包括：

基于安全协议、T-BOX模块和双向认证机制，车载网络出口区与车外进行安全通信，实现车载网络出口区安全更新、安全访问、安全启动、安全调试和安全通信；

基于中央网关机制，车载核心交换区与所述车载网络出口区进行安全通信，实现车载核心交换区安全启动、安全访问、安全通信、安全更新和安全存储；

基于车内安全通信机制和安全平台机制，所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信，基于安全平台机制，所述传统ECU区和所述智能化ECU区进行安全通信，所述传统ECU区和所述智能化ECU区实现安全启动、安全访问、安全通信、安全调试、安全更新和安全存储。

本发明提供的技术方案带来的有益效果如下：

a.本发明将整部汽车由外至内划分成车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区四个域，对划分后的四个不同的域通过软件或者物理层进行隔离的操作，最终达到分域隔离、分域管理、分域保护的目标，同时能够保证汽车整车开发和设计阶段的信息安全；

b.本发明针对所提出的汽车电子电气架构的四个区域，由外至内相应设置车外安全通信机制、安全网关机制、车内安全通信机制和安全平台机制四层安全机制，实现安全地、递进地通信方式，并且越是汽车内部的核心区域，其安全等级也越高，能够实现各个区域从安全启动、安全存储、安全通信、安全更新、对外安全访问、安全接口访问认证的整体链路是安全可信的，保证汽车业务在运行过程中保密性、完整性、可用性；

c.本发明提供的汽车安全通信方法使汽车由内之外各个环节的通信方式均为安全地、可靠地通信，能够实现从安全启动、安全存储、安全通信、安全更新、对外安全访问、安全接口访问认证的整体链路是安全可信的，保证汽车业务在运行过程中保密性、完整性、可用性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中的汽车E/E架构的示意图；

图2为现有技术中的汽车分散式E/E架构的示意图；

图3为本发明的一个示例性实施例提供的汽车E/E架构的示意图；

图4为本发明的一个示例性实施例提供的汽车E/E架构的四层安全机制的示意图；

图5为本发明的一个示例性实施例提供的实施例的MAC生成及认证流程示意图；

图6为本发明的一个示例性实施例提供的Secured I-PDU的结构示意图；

图7为本发明的一个示例性实施例提供的硬件安全模块HSM的结构示意图；

图8为本发明的一个示例性实施例提供的汽车安全通信的流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。

汽车是一个软硬件结合的产物，如果把它比作是一个人，四个轮子加一个沙发是身体，电子电气架构就相当于神经系统，负责完成各个部位的连接，统领整个身体的运作，实现特定功能。

汽车电子电气架构(Electrical/Electronic Architecture，EEA)，也称作汽车E/E架构，是集合了汽车的电子电气系统原理设计、中央电器盒设计、连接器设计、电子电气分配系统等设计为一体的整车电子电气解决方案。

随着汽车功能需求的增加，需增加电子控制单元(ECU)、传感器和仪表，一对一的单一通讯和连接导致了各部分的连接系统日益庞大，一辆传统连接的汽车中，导线总长度可以达到2000多米，电气节点可以达到1500多个。导致线束材料成本剧增，可靠性骤减，系统不可持续了。

为简化线路连接，提高可靠性、利于各装置之间的数据共享，以汽车分布式控制系统为基础的车载网络总线技术开始发展，简单理解为高速公路，路上所有的车(信息)都走一段高速，降低道路(线束)成本。

在分散式E/E架构中，嵌入式车辆功能分布在大量相互连接的电子控制单元(ECU)中，每个ECU都能处理自己的数据并与其他ECU进行通信，以实现高级车辆功能。

虽然长期以来分散式架构有一些优势，但它们也存在严重的缺点，最明显缺陷集中在可扩展性和通信性能方面。传统的分散式架构大多在车辆功能和ECU之间是一对一的映射，这导致越来越多的汽车拥有超过100个ECU，用以执行大约1.5亿行代码。当一个功能由多个协同ECU实现时，车载网络的通信负荷会增加。由于存在大量的ECU和笨重的线束，为单个功能添加单独的ECU的做法导致了成本的大幅增加。这种做法进一步增加了汽车ECU的软件复杂性和大量的软件变体。

为了解决分散式E/E架构的局限性，近期，汽车E/E架构开始向集中式替代方案发展，如领域集中式(或称面向领域)、跨域集中式(或称面向跨域)和车辆集中式(或称面向区域)架构。面向领域、面向跨域和面向区域的架构统称为称为集中式架构。集中式架构的基本思想是集中处理车辆中各个域、域组或整车级别上的功能。

现代集中式E/E架构的运行需要多种技术支持。为了支持日益复杂的车辆功能，需要具有增强的处理能力的ECU，同时这些ECU必须满足功能安全和安保的硬件规定。此外，需要改进通信网络，提高带宽、实时和流量分区能力、容错机制、先进的网关(即旨在利用基于硬件的加速技术减少延迟和提高吞吐量的网关)和增强安全措施，以支持日益智能化的运输系统的要求。

参见图1，基于功能划分E/E架构下的域控制器群主要以博世、大陆等一级汽车供应商(Tier1)为代表。博世、大陆等传统Tier1将汽车E/E架构按功能划分为动力域(安全)、底盘域(车辆运动)、信息娱乐域(座舱域)、自动驾驶域(辅助驾驶)和车身域(车身电子)五大区域，每个区域对应推出相应的域控制器，最后再通过CAN/LIN等通讯方式连接至主智能网关，网关在和tbox进行交互，TBOX通过4G/5G与云端进行交互，车端还可以通过WIFI/蓝牙对外进行交互，也可以通过OBD/USB进行接触式交互，从而实现整车信息数据的交互。

过去在汽车设计之初，设计人员无需考虑汽车通信系统安全保护问题。参见图2，随着汽车智能化、网联化的逐步推进，汽车在给人们的交通出行带来舒适便捷的同时，系统复杂化和丰富的对外通信接口更暴露出车载网络的脆落，智能网联汽车的网络架构呈现异构、实时、成本敏感等特点，其主要特征如下：

(1)丰富的对外接口。随着V2X(Vehicle to Everything)的发展，智能网联车不再是一个独立的电子系统，而是一个大型的移动终端，为实现车与其他(例如车、路、人、云等)的信息交换，必须配备丰富的连接接口，例如4G/5G、Wi-Fi、蓝牙、GPS、NFC等。与此同时，通信需求增加和对外接口丰富将导致网络攻击入口和形式的多样化。

(2)大量的实时数据。随着智能座舱和自动驾驶功能的逐步加持，传感器配置也越来越丰富，例如用于DMS的监控摄像头，自动驾驶的前置多目以及车身的环视摄像头、激光雷达、毫米波雷达、超声波雷达等。这些传感器的数据都是通过网络总线架构传输到控制器。例如车载以太网、CANFD、FlexRay等总线。

(3)异构的网络架构。长期以来，处于成本和性能的考虑，车载网络架构中存在多种不同的总线协议，来处理不同的场景，比如底盘线控系统中使用FlexRay总线，车门、车窗控制使用LIN总线，摄像头数据传输使用MOST总线，激光雷达数据传输使用车载以太网，毫米波雷达或者超声波雷达使用CAN FD。

(4)信息安全保护机制缺乏。传统汽车是一个相对独立和封闭的设备，因此车载网络设计之初并未考虑外部网络安全威胁场景，缺乏基本的认证、加密及接入控制等安全机制，随着汽车逐渐变成一个大型终端节点，亟需开展车载网络增强技术研究以提高网络安全性。

网络安全(Cybersecurity)指保护系统不被人所伤害。这里的人一般指的是黑客、网络上恶意的用户等。汽车信息安全(Automotive Cyber Security)范围更小，更加偏向于来自网络的外部攻击、恶意操作等的管理。汽车信息安全关注于汽车整车对外的安全，是近几年越来越受到重视的方向。

汽车信息安全现有法规有UNECE R.155Cyber Security Management，UNECER.156Software Update Processes and Management Systems。法规是地区属性，UNECER15是只在欧洲适用，而且内容一般是高安全等级(high level)，原始设备制造商(Original Equipment Manufacturer，OEM)会注重到法规层面。标准有ISO 21434，ISO27001，标准是全球通用，而且涉及了具体的实施细节，供应商会注重到ISO 21434标准，因为需要涉及到汽车落地。

欧洲在2024年7月后会要求汽车网络安全强标，其他主流国家在会在不久的将来会跟上。国内现在标准正在起草，在不久之后也会强制要求。国内标准也会对标现有的国际标准。

一个安全的汽车电子系统至少要满足系统的保密性、完整性及可用性要求。其中：

保密性，是指数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。通常的安全措施是加密、访问控制。

完整性，是指信息和系统不会被未授权更改或破坏的特性，其中包括数据的完整性和系统的完整性，常用的安全措施包括完整性校验，如消息摘要和MD5(Message-DigestAlgorithm 5)。

可用性，是指被授权实体按要求能访问和使用数据或资源。常用的安全措施包括备份和恢复技术，防火墙技术。

重要的是，汽车内的一个或几个安全装置，例如安全网关或车身控制器，并不能保证整个汽车的安全。只有当完整的链/域，甚至所有的汽车部件以类似的级别受到保护时，一辆汽车才可以称为安全汽车。基于现有技术的不足以及汽车的安全需求，本申请提出了一种汽车安全电子电气架构以及安全通信方法，让汽车整车在开发和设计阶段就保证其信息安全。

在本发明的一个实施例中，提供了一种汽车安全电子电气架构，参见图3，所述汽车安全电子电气架构包括车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区，所述车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区通过软件和/或物理层进行隔离和管理并且通过4层安全保护机制进行分域保护；

所述4层保护机制包括车外安全通信机制、安全网关机制、车内安全通信机制和安全平台机制；其中，

所述车外安全通信机制，其被配置为控制所述车载网络出口区与车外进行安全通信；

所述安全网关机制，其被配置为控制所述车载核心交换区与所述车载网络出口区进行安全通信；

所述车内安全通信机制，其被配置为控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信；

所述安全平台机制，其被配置为设置所述传统ECU区和所述智能化ECU区。

针对现代汽车架构系统复杂化、代码爆发式增长和丰富的对外通信接口，网络架构呈现异构等脆弱性和安全风险面，本发明通过对传统整体汽车架构进行分层保护、区域划分，对汽车架构进行了重新设计。在整车功能增加或者复杂程度增加之后，对汽车自身具备的功能进行合理的定义、分解、归纳以及映射之后，再把这些经过处理后的数据信息进行整合，从而实现在功能上的分类处理。根据其功能进行划分将整部汽车划分成四个域，即所述车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区，对划分后的四个不同的域通过软件或者物理层进行隔离的操作，最终达到分域隔离、分域管理、分域保护的目标。

本发明提供的汽车安全电子电气架构，即汽车安全电子电气架构装置，相比传统的分散式E/E架构中各个环节均可能直接与外部联系，或者在无安全机制的情况下某一环节与其他环节进行通信，本发明提供的E/E架构，由外至内将整体架构分为车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区，并且每层均设置安全机制，使各个环节的通信方式为安全地、递进地通信方式，并且越是汽车内部的核心区域，其安全等级也越高，能够实现从安全启动、安全存储、安全通信、安全更新、对外安全访问、安全接口访问认证的整体链路是安全可信的，保证汽车业务在运行过程中保密性、完整性、可用性。

参见图4，在按区域划分的所述汽车电子电气架构上设计4层安全机制，以弥补传统汽车安全的缺失，所述安全机制从外到内分为4个层级，分别为第一层、第二层、第三层和第四层；其中，第一层是所述车外安全通信机制(Secure External Communication)，第二层是安全网关(Secure Gateway)机制，第三层是所述车内安全通信(Secure OnboardCommunication)机制，第四层是所述安全平台(Secure Platform)机制。四层安全机制逐层加强防护，以保护汽车核心功能免受黑客恶意攻击，第二层安全网关是整个安全架构枢纽，是内网和外网隔离核心，保护汽车安全运行最后一道防线。

在本发明的一个实施例中，基于所述车外安全通信机制，所述车载网络出口区包括T-BOX模块、车辆与OEM后台安全通信模块、OBD接口安全访问模块、V2X安全通信模块和密码模块。基于所述车外安全通信机制，所述车载网络出口区能够实现安全更新、安全访问、安全启动、安全调试和安全通信。

所述T-BOX模块通过部署Https/TLS安全协议以实现车辆与外部安全通信。所述车辆与原始设备制造商(Original Equipment Manufacturer，OEM)后台安全通信模块通过部署Https/TLS安全协议实现。所述OBD接口安全访问模块通过设置双向认证机制以确保访问者身份的真实性。所述V2X安全通信模块通过部署公钥基础设施(Public KeyInfrastructure，PKI)以及设置签名验证以确保消息的真实性，以及实现对于隐私相关的消息进行加密传输。

PKI通过采用非对称密码算法技术，提供信息安全服务，是一种通用并遵循标准的密钥管理平台。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。在车联网应用中，PKI可为各类实体对象提供身份的可信描述，为对象签发统一的数字身份标识—数字证书，从而构建可信的网络虚拟环境。为实现信息的保密性、完整性，不可抵赖性提供基础支撑。

在本发明的一个实施例中，所述车载核心交换区包括中央网关和密码模块，优选为中央集成网关。中央集成网关为一安全网关，配合密码模块，所述车载核心交换区能够实现安全更新、安全通信、安全启动、安全访问和安全存储。

对于智能网联汽车的安全性来说，中央集成网关的安全系数高低决定着汽车安全性的高低，同时也是阻止一些不法分子攻击车联网最有效的屏障之一。保证中央集成网关的安全性就是在保护汽车自身网络的安全性，在本实施例中，中央集成网关通过采用多个模型以保证所述车载核心交换区与所述车载网络出口区进行安全通信。

所述中央网关被配置为采用AES-128加密算法模型和CMAC消息认证模型：

AES-128加密算法模型，作为高级加密标准的对称算法，AES-128加密算法模型具备了简单化的结构、速度很快、安全系数很高等特点，其加密数据块的数据包必须设定为128比特，安全密钥的长度则可以分为128位、192位以及256位三种类型，这种加密型的算法现阶段被广泛应用于智能网联汽车当中，比如在汽车发动机防盗系统中就有这类加密算法的应用，而且从发动机防盗系统诞生到现在，这种算法一直作为其关键性技术手段被沿用至今。

CMAC消息认证模型，同样作为高级密钥型的对称加密技术，该模型能够处理长度为数据包长度的非整数倍的数据信息，并且也是对称类型的密钥密码。

在本发明的一个实施例中，所述中央网关还被配置为采用OTA管理软件，若外部软件版本信息、汽车自身的状态信息和汽车的零部件状态信息出现不准确或者不完整时，所述OTA管理软件则会组织外部软件进入汽车内网。在具体应用中，通过OTA管理软件能够保证智能网联汽车自身内网软件的版本升级功能，确保软件版本信息的最新以及汽车自身的状态信息和其内部组成零部件状态信息，当这些信息出现不准确或者不完整的情况时，OTA软件自身相应的网关就会将其拒之门外，阻止其进入汽车内网，从而确保智能网联汽车的安全性。

在本发明的一个实施例中，基于所述车内安全通信机制，采用CAN/CAN FD协议和Ethernet协议控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信。

针对CAN/CAN FD协议，采用SecOC安全机制给CAN/CANFD总线上的报文数据提供身份验证机制，能够确保通信的完整性以及防止重放攻击。SecOC主要基于两种手段来实现数据的真实性和完整性的校验，分别是基于消息认证码(Message Authentication Code，MAC)的身份验证和基于新鲜度的防重放攻击。首先MAC是保障信息完整性和认证的密码学方法之一，SecOC协议中MAC消息认证码的作用是验证报文数据的真实性，然而保证报文的机密性还需要进行额外的安全措施。

新鲜度值是一个根据一定逻辑不断更新的数值，汽车开放系统架构(AUTomotiveOpen System Architecture，AUTOSAR)推荐计数器或基于时间戳生成新鲜度值。新鲜度值管理和密钥管理是OEM在实施SecOC方案时需要定义和做好两个关键部分。参见图5，基于SecOC的通讯加密和认证过程为：

发送节点的SecOC模块基于原始数据和密钥，按照约定的算法得到认证码MAC，将报文头、原始报文、新鲜度和MAC组合得到Secured I-PDU，如图6所示，并通过CAN总线广播；

接收节点的SecOC模块通过验证MAC来判断原始报文的来源和完整性，并通过新鲜度值验证该报文是否重复并合法。

所述Ethernet协议通过采用TLS协议套件控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信。TLS协议套件是目前全世界最常用的安全协议，正确配置每个选项能够实现强大的安全级别。

在本发明的一个实施例中，所述智能化ECU区和所述传统ECU区均包括若干微处理器，每个所述微处理器采用硬件安全模块(Hardware Security Module，HSM)，所述硬件安全模块包括随机数生成器、算法硬件加速器，以及中断和定时器外接设备。基于所述硬件安全模块和所述车内安全通信机制，所述智能化ECU区和所述传统ECU区均能实现安全启动、安全访问、安全通信、安全调试、安全更新和安全存储。

参见图7，HSM是一个独立的微处理器，通常有其受保护的专用内存(RAM)，放置程序代码和数据的专用闪存区，以及外围设备(例如定时器、用于某些密码算法的硬件加速器或用于真随机数的发生器)。它能够访问主机的所有硬件。用于实现认证启动或主机监测等功能。专用数据闪存可以用来存储秘钥，主机系统无法随意访问。这意味着主机可以请求HSM执行加密操作，而密钥无需离开HSM。

采用HSM作为安全基础，是车端安全方案的基础支撑，信息安全策略TrustZone/TEE执行环境和SecOC协议，也均是基于HSM实现。HSM将算法、密钥、加密方式等信息写入无法篡改的硬件模块中，并处理安全性相关任务包括安全的车载通信、运行时的操作检测以及安全的启动、刷新、日志记录和调试等。以此来阻止攻击者通过绕过与安全性相关的ECU接口，获得对车载网络的访问权限。

所述硬件安全模块HSM支持的算法包括：

对称加密算法：AES-128，其支持硬件实现以及支持ECB和CBC两种模式；

摘要算法：128bit的MD5、160bit的SHA-1，224bit、256bit、384bit、512bit的SHA-2，其中128bit的MD5、160bit的SHA-1、224bit的SHA-2、256bit的SHA-2算法支持硬件实现，384bit、512bit的SHA-2需要用软件实现；

非对称加密算法：RSA、ECC等。

在本发明的一个实施例中，提供了一种汽车安全通信方法，所述方法按照图8所示流程进行执行，包括：

基于安全协议、T-BOX模块和双向认证机制，车载网络出口区与车外进行安全通信，实现车载网络出口区安全更新、安全访问、安全启动、安全调试和安全通信；

基于中央网关机制，车载核心交换区与所述车载网络出口区进行安全通信，实现车载核心交换区安全启动、安全访问、安全通信、安全更新和安全存储；

基于车内安全通信机制和安全平台机制，所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信，基于安全平台机制，所述传统ECU区和所述智能化ECU区进行安全通信，所述传统ECU区和所述智能化ECU区实现安全启动、安全访问、安全通信、安全调试、安全更新和安全存储。

所述汽车安全通信方法使汽车由内之外各个环节的通信方式均为安全通信，并且越是汽车内部的核心环节，安全等级越高，能够实现从安全启动、安全存储、安全通信、安全更新、对外安全访问、安全接口访问认证的整体链路是安全可信的，保证汽车业务在运行过程中保密性、完整性、可用性。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种汽车安全电子电气架构，其特征在于，包括车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区，所述车载网络出口区、车载核心交换区、传统ECU区和智能化ECU区通过软件和/或物理层进行隔离和管理并且通过4层安全保护机制进行分域保护；

所述4层保护机制包括车外安全通信机制、安全网关机制、车内安全通信机制和安全平台机制；其中，

所述车外安全通信机制，其被配置为控制所述车载网络出口区与车外进行安全通信；

所述安全网关机制，其被配置为控制所述车载核心交换区与所述车载网络出口区进行安全通信；

所述车内安全通信机制，其被配置为控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信；

所述安全平台机制，其被配置为设置所述传统ECU区和所述智能化ECU区。

2.根据权利要求1所述的汽车安全电子电气架构，其特征在于，基于所述车外安全通信机制，所述车载网络出口区包括T-BOX模块、车辆与OEM后台安全通信模块、OBD接口安全访问模块和V2X安全通信模块。

3.根据权利要求2所述的汽车安全电子电气架构，其特征在于，所述T-BOX模块通过部署Https/TLS安全协议以实现车辆与外部安全通信；

所述车辆与OEM后台安全通信模块通过部署Https/TLS安全协议以实现车辆和OEM后台安全通信；

所述OBD接口安全访问模块通过设置双向认证机制以确保访问者身份的真实性；

所述V2X安全通信模块通过设置签名验证以确保消息的真实性和实现加密信息的传输。

4.根据权利要求1所述的汽车安全电子电气架构，其特征在于，所述车载核心交换区包括中央网关，基于所述安全网关机制，所述中央网关被配置为采用AES-128加密算法模型和CMAC消息认证模型的安全网关。

5.根据权利要求4所述的汽车安全电子电气架构，其特征在于，所述中央网关还被配置为采用OTA管理软件，若外部软件版本信息、汽车自身的状态信息和汽车的零部件状态信息出现不准确或者不完整时，所述OTA管理软件则会组织外部软件进入汽车内网。

6.根据权利要求1所述的汽车安全电子电气架构，其特征在于，基于所述车内安全通信机制，采用CAN/CAN FD协议和Ethernet协议控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信。

7.根据权利要求6所述的汽车安全电子电气架构，其特征在于，所述Ethernet协议通过采用TLS协议套件控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信；和/或，

采用CAN/CAN FD协议控制所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信通过以下方式实现：

采用SecOC安全机制给CAN/CANFD总线上的报文数据提供身份验证机制，包括：

发送节点的SecOC模块基于原始数据和密钥，按照约定的算法得到认证码MAC，将报文头、原始报文、新鲜度和MAC组合得到Secured I-PDU，并通过CAN总线广播；

接收节点的SecOC模块通过验证MAC来判断原始报文的来源和完整性，并通过新鲜度值验证该报文是否重复并合法。

8.根据权利要求1所述的汽车安全电子电气架构，其特征在于，所述智能化ECU区和所述传统ECU区均包括若干微处理器，每个所述微处理器采用硬件安全模块，所述硬件安全模块包括随机数生成器、算法硬件加速器，以及中断和定时器外接设备。

9.根据权利要求8所述的汽车安全电子电气架构，其特征在于，所述硬件安全模块支持的算法包括：

对称加密算法AES-128，其支持硬件实现以及支持ECB和CBC两种模式；

MD5、SHA-1和SHA-2摘要算法；

非对称加密算法RSA、ECC。

10.一种汽车安全通信方法，其特征在于，基于权利要求1-9任意一项所述的汽车安全电子电气架构进行安全通信，所述方法包括：

基于安全协议、T-BOX模块和双向认证机制，车载网络出口区与车外进行安全通信，实现车载网络出口区安全更新、安全访问、安全启动、安全调试和安全通信；

基于中央网关机制，车载核心交换区与所述车载网络出口区进行安全通信，实现车载核心交换区安全启动、安全访问、安全通信、安全更新和安全存储；

基于车内安全通信机制和安全平台机制，所述传统ECU区和所述智能化ECU区分别与所述车载核心交换区进行安全通信，基于安全平台机制，所述传统ECU区和所述智能化ECU区进行安全通信，所述传统ECU区和所述智能化ECU区实现安全启动、安全访问、安全通信、安全调试、安全更新和安全存储。