No Security No Safety!——基于Hypervisor技术的车联网安全网关基础平台

SACoP（Secure Automotive Connectivity Platform）平台基于PikeOS的Hypervisor（虚拟机管理程序）技术为车联网网关提供了一个安全的基础架构。它通过防火墙和入侵检测系统来保护车载关键系统免受外界的破坏，并为常见的使用场景做了准备（比如OTA机制和软件生命周期管理等）。

平台特性一览

基于组件的即时可用的车联网网关
防火墙-可保护不同安全等级的域
入侵检测系统（IDS）
支持多种网络：4G/5G、Wi-Fi、以太网、CAN
IPv6、VLAN和IP-Multicast
OTA
CFS-达到ASIL-B级别的可认证文件系统
ISO26262功能安全认证
CC EAL3+信息安全认证
可扩展API：PikeOS Native、POSIX、Linux、AGL...
系统管理类API：配置、监视、日志、用户参数
Secure Boot与Fast Boot
基于微内核的硬实时操作系统
嵌入式虚拟化
Eclipse-based IDE CODEO
大量的软件和硬件生态系统
长期支持

车联网安全网关基础平台

针对车联网和智能交通相关的通信需求，SACoP面向汽车行业提供了一个完整且即时可用的系统。这些通信需求包括与外界的4G/5G通信、V2X通信和内部的车载通信。与外界的通信通常需要确定性和精确的响应时间，这只能通过底层的实时操作系统来实现和保障。

现代汽车的电子系统能够控制诸如转向和制动装置等关键系统。这虽然大大提升了汽车运行时的安全性，但同时也将汽车暴露在了未经授权而被操作的风险之中。因此，汽车的安全性（Safety）必须通过同时施加信息安全（Security）措施来实现。因此，在车联网平台中需要加入一个能利用强大的路由系统来建立防火墙和入侵检测系统的网关。

在汽车行业，车型更换和功能更新的频率极高，需要更新的功能列表每年都在增加。要实现功能更新，通常需要将现有的软件组件与全新的和不完全兼容的API（应用程序接口）组合起来。在满足最终用户需求的同时，要维护一个稳定的软件基础（software basis）是一个很大的挑战，而这恰恰是虚拟化（Virtualization）发挥作用的地方。有了虚拟化的支持，通过添加任意数量的Guest OS，车联网平台就能在保持安全性的前提下轻松地实现功能扩展。

PikeOS满足了确定性和实时性、功能安全、信息安全和虚拟化等车联网平台的这些重大要求，故而成为车联网安全网关基础平台的核心。作为Type1型Hypervisor，PikeOS直接运行在嵌入式硬件上，能够确保整个系统表现出最好的潜在性能。另一个性能提升来自于PikeOS对多核（Multi-core）的支持——这一点已经在近期大量的铁路项目中得到证明。

车联网网关内的分区间通信

网关接口

在上图车联网网关实例中，在默认情况下通过4G/5G网络与外界通信。防火墙可保护车辆内部提供给乘客使用的Wi-Fi热点。车内通信线路（如CAN和以太网）仅通过专用的监控通道与热点连接。网关支持VLAN。

信息安全机制

该平台使用安全引导（Secure Boot）机制，使用TLS库来保证通信，通过把二进制可执行文件和配置文件经数字签名后存储在CFS（经认证的文件系统）上来实现安全加密和存储（Cryptography and Storage）。在网关中有一个单独的分区来运行网络入侵检测系统（IDS），并用于监视网络流量。除了信息安全，这种方法还展示了PikeOS通过软件隔离解决（比如签名与验签过程中经常遇到的）许可证书问题的能力。

OTA升级

该平台允许通过TLS（经FIPS认证）安全通信机制来更新整个系统的软件和固件。在这个过程中，会对升级文件进行数字签名。

预认证的基础系统

该平台使用的基础系统PikeOS 4.2 Hypervisor及配套的开发工具CODEO已经通过信息安全标准CC EAL3+和功能安全标准ASIL-D认证。

CFS

• 预认证的文件系统（ASIL-B）

车载API

• 加密服务

• 管理API

• 安全通信API

• VLAN、IPv6、IP-Multicast

• 支持防火墙的路由器

• 安全OTA

IDS

• 网络入侵检测系统

• 可选：CAN入侵检测系统

信息安全维护

• 信息安全监控（CVE）

• 长期支持

Guest OS集成

该平台支持以下Guest OS的集成：

• PikeOS Native

• POSIX

• Linux

• AGL（汽车级Linux）

• ELinOS（SYSGO推出的嵌入式Linux发行版）

• AUTOSAR Adaptive

开发和配置工具

在分区系统上开发嵌入式应用程序，需要最先进的交叉开发工具链，设计友好且易用的配置工具，具有操作系统概念（如线程状态、虚拟地址映射等）的远程调试、目标监控、远程应用程序部署和时间分析工具。使用基于Eclipse的IDE CODEO，SYSGO为嵌入式系统开发提供了一个完整的环境，涵盖了从早期模拟/仿真工具到已部署系统的软件更新机制的整个开发周期。

用户收益

获得了一个广泛兼容不同API的强大的车联网开发平台：ELinOS、PikeOS 、Native、POSIX 、CFS、AUTOSAR Adaptive
可大大缩短产品上市时间

集成了预认证组件：ISO26262 、CC EAL3+、FIPS
预集成的安全组件，如：安全引导、IDS、TLS或CFS
预置的网络设置和基础设施
重用老项目中已有的遗留代码

可以自由组合安全/非安全（safe/unsafe or secure/unsecure）的关键功能，在开发过程中免受难以选择的困扰
获得高性能

快速的系统反应时间（硬实时）
多核应用
任务调度

关于SYSGO

源自德国的SYSGO公司是嵌入式实时操作系统（RTOS）在欧洲市场的领导者，在安全（Safety&Security）软件、敏捷开发和快速响应方面拥有超过25年的专家经验。SYSGO公司有深厚的安全文化基因，其80%以上的员工具备安全认证资质。

PikeOS是SYSGO公司打造的一款兼具硬实时操作系统（Hard-Realtime RTOS）和嵌入式虚拟化（Hypervisor）功能的硬核产品。PikeOS源自航电技术，具备超过20年的安全关键实时软件产品认证经验，已遵循ISO26262、DO-178B、EN50128和IEC 61508等行业标准获得最高等级认证，在轨道交通、工业控制、医疗和汽车行业得到了广泛的应用。

PikeOS（最新版本5.0）曾获得多个业界第一：

• 第一个通过认证的嵌入式虚拟化实时操作系统

• 第一个在多核上通过SIL4认证的Hypervisor

• 汽车行业第一个量产的Hypervisor（用于Magna SurroundVue™360°环视系统）

• 第一个基于软件实现的AFDX（新一代航空总线协议）

关于怿星

怿星一直致力于智能网联汽车领域的关键技术研究，包括SoC、操作系统、AUTOSAR、汽车以太网、HMI、C-V2X等。怿星是SYSGO在中国区的技术开发合作伙伴和汽车行业独家代理商。通过与SYSGO和上游芯片厂商、软件厂商的密切合作，怿星科技推出了一系列的解决方案，以帮助汽车行业客户快速推出有竞争力的新产品。这些方案包括：智能座舱，汽车以太网网关，车联网网关，C-V2X终端（RSU，OBU）等。在这些领域的主要合作伙伴包括：SYSGO，Vector，Savari，移远，芯钛，晟安，Renesas，NXP。

怿星公司的使命：聚焦汽车电子领域，融合汽车与ICT技术，通过提供创新的产品和服务，加速新技术在汽车上的应用，帮助客户提升研发能力和产品质量。