Bild 1: Ein zentrales Automotive-Gateway verbindet funktionale Domänen im Fahrzeug. (Bild: NXP)
Die Ausrüstung von Fahrzeugen mit Gateways – elektronischen Geräten, die eine sichere und zuverlässige Kommunikation zwischen den elektronischen Systemen eines Fahrzeugs ermöglichen – ist ein wichtiger Trend in der Automobilindustrie. Mehr als 90 Prozent der aktuellen Fahrzeuginnovationen und -funktionen stützen sich auf eine stetig wachsende Anzahl elektronischer Systeme. Dieses Wachstum sorgt für eine Veränderung der Netzwerkarchitekturen in den Fahrzeugen mit Automotive-Gateways. Diese stellen die nahtlose Kommunikation zwischen heterogenen Fahrzeugnetzen sicher und adressieren die Herausforderungen in punkto Datenbandbreite, Cybersecurity und Sicherheit.
Hackerangriff aus der Ferne können ohne geeignete Schutzfunktionen zu Kontrollverlust, Verletzungen der Passagiere und kostspieligen Rechtsstreitigkeiten führen. Die Sicherheit des Fahrers lässt sich jedoch mittels geeigneter Gateway-Sicherheitsmechanismen verbessern und das Risiko von Cyberangriffen sinkt. Außerdem schützen sie gegen Diebstahl des Fahrzeugs oder der IP.
Daten sicher austauschen und verarbeiten
Eck-Daten
Die Ausrüstung von Fahrzeugen mit Gateways, die eine sichere und zuverlässige Kommunikation der elektronischen Systeme ermöglichen, ist ein wichtiger Trend in der Automobilindustrie. Der Beitrag gibt einen Einblick, wie Gateways den Datenaustausch und die Verarbeitung absichern können und damit Cyberangriffe erschweren oder verhindern und wie eine reibungslose Datenübertragung realisierbar ist. Zusätzlich gibt der Artikel einen Ausblick auf zukünftige Entwicklungen und Trends bei Automotive-Gateways, wie zum Beispiel den Übergang zum Multi-Gigabit-Ethernet, wodurch sich Gateway-Funktionen auf Domaincontroller übertragen lassen.
Die Nachfrage nach immer mehr Funktionalität im Auto führt zu immer komplexerer Fahrzeugelektronik mit steigenden Zahl einzelner Computer, sogenannten elektronischen Steuergeräten (ECUs), die obendrein mit unterschiedlichen Netzwerkschnittstellen ausgestattet sind. In aktuellen Fahrzeugen können mehr als 100 Steuergeräte verbaut sein, die über unterschiedliche Netzwerke wie CAN (Control Area Network), LIN (Local Interconnect Network), Flexray und Ethernet miteinander verbunden sind.
Die heterogenen Fahrzeugnetzwerke arbeiten jeweils mit eigenen Protokollen und unterschiedlichsten Datenraten. LIN wird für langsame Anwendungen wie Sensoren und Aktuatoren (20 kbit/s) verwendet, CAN für Anwendungen mit mittlerer Geschwindigkeit, einschließlich für die Kommunkation von ECU zu ECU (1 – 5 Mbit/s), Flexray kommt für sicherheitskritische Echtzeitanwendungen zum Einsatz (10 Mbit/s), und Ethernet schließlich wird für Hochgeschwindigkeitsanwendungen wie Infotainment und moderne Fahrerassistenzsysteme (ADAS) sowie drahtlose Schnittstellen (3G / 4G / in Zukunft 5G, BT, Wi-Fi, V2X) herangezogen (Geschwindigkeiten von 100 Mbit/s bis in den Gigabit-Bereich).
Bild 1: Ein zentrales Automotive-Gateway verbindet funktionale Domänen im Fahrzeug. NXP
Unter einem Gateway ist ein zentraler Knotenpunkt zu verstehen, der Daten sicher und zuverlässig über diese heterogenen Fahrzeugnetze hinweg verbindet und verarbeitet (Bild 1). Es sorgt für eine physikalische Trennung und Protokollübersetzung zwischen funktionalen Domänen (Antriebsstrang, Fahrwerk und Sicherheit, Karosseriesteuerung, Infotainment, Telematik, ADAS), die Daten miteinander austauschen und ermöglicht auf diese Weise neue Funktionen. Mit Gateways können Ingenieure robustere und effizientere Fahrzeugnetzwerke entwickeln, die letztlich das Fahrerlebnis verbessern.
Bild 2: Das Automotive-Gateway ist Bindeglied zwischen unterschiedlichen Domänen und heterogenen Fahrzeugnetzwerken. NXP
Ein Gateway ist beispielsweise für das autonome Fahren unerlässlich, da hier eine sichere und gegen Hackerangriffe geschützte Konnektivität sowie hohe Bandbreiten über die Steuergeräte unterschiedlicher Fahrzeugdomänen hinweg gefragt sind (Bild 2). Das Gateway ist somit von zentraler Bedeutung für die Fahrzeugnetzwerke und unterstützt darüber hinaus Over-the-Air-Updates (OTA) und Fahrzeuganalysen über eine sichere Verbindung mit den OEM-Servern (Cloud).
Auf der nächsten Seite beschreibt der Beitrag, wie sich Gateways zur Abwehr von Cyberangriffen einsetzen lassen und wie die reibungslose Datenübertragung funktioniert.
Reibungslose Datenübertragung
Tabelle 1: Ein Überblick über die wichtigsten Gateway-Funktionen, die für eine nahtlose Kommunikation notwendig sind. NXP
Die Hauptfunktion eines Gateways besteht darin, die sichere Kommunikation zwischen Netzwerken und Steuergeräten herzustellen. Dabei ist es auch Bindeglied zwischen den vielen internen Netzwerken des Fahrzeugs und den externen Netzwerken außerhalb des Fahrzeugs. Die reibungslose Übertragung von Daten ist unerlässlich, um sicherzustellen, dass Steuergeräte über die Informationen verfügen, die sie für einen ordnungsgemäßen Betrieb des Fahrzeugs benötigen. Geringe Latenzzeiten und geringer Jitter sind wichtige Voraussetzungen. Für eine nahtlose Kommunikation sind viele Gateway-Funktionen erforderlich. Tabelle 1 gibt einen Überblick über die wichtigsten Gateway-Funktionen.
Das Gateway in einem vernetzten Fahrzeug eignet sich ideal für die Verwaltung von OTA-Updates der Steuergeräte-Firmware. Die wenigen Fahrzeuge, die heutzutage OTA-Updates unterstützen, können allerdings üblicherweise nur die Infotainment- oder Telematiksysteme aktualisieren. Ist aber ein Gateway vorhanden, das mit allen Elektronikdomänen des Fahrzeugs vernetzt ist, lassen sich OTA-Updates auf das ganze Fahrzeug übertragen. Hersteller können so Fahrzeugprobleme aus der Ferne beheben beziehungsweise verhindern, Sicherheitslücken schließen und neue Funktionen aktivieren, die das Fahrerlebnis verbessern und dem Fahrzeughersteller zusätzliche Einnahmen bringen.
Gateways zur Abwehr von Cyberangriffen
Die wachsenden Sicherheitsanforderungen des Automobilmarktes zu meistern, ist eine immer komplexer werdende Herausforderung. Automotive-Netzwerke können Ziele von Cyberattacken werden – vor allem ältere Netzwerke wie CAN, die nicht auf Sicherheit ausgelegt sind. Die Fahrzeuge sind dann anfällig für gefälschte Nachrichten, Manipulation und Hackerangriffe. Externe drahtlose Schnittstellen der vernetzten Autos stellen ein weiteres Sicherheitsrisiko dar. Hacker könnten beispielsweise vertrauliche Informationen oder Kryptoschlüssel extrahieren oder durch das Ausnutzen von Implementierungsschwächen in den Betrieb des Fahrzeugs eingreifen. Diese Sicherheitsrisiken lassen sich mit einem sicheren Gateway als Teil einer mehrschichtigen Sicherheitsarchitektur sicherlich nicht völlig ausschließen, aber zumindest ganz erheblich minimieren.
Bild 3: Ein sicheres Gateway und ein sicherer Processing Layer wird beispielsweise von den Gateway-Prozessoren von NXP bereitgestellt. NXP
Ein abgesicherter Gateway-Layer fungiert als Firewall, die den Zugriff durch externe Schnittstellen (zum Beispiel das Internet) auf das interne Fahrzeugnetzwerk kontrolliert und bestimmt, welche Netzwerkknoten miteinander kommunizieren dürfen. Darüber hinaus dient es als physikalische Trennung zwischen Fahrzeugdomänen, beispielweise zwischen einem nicht vertrauenswürdigen Infotainment-System auf der einen und vertrauenswürdigen sicherheitskritischen Systemen auf der anderen Seite. Der sichere Processing Layer, der beispielsweise in den Gateway-Prozessoren von NXP bereitgestellt wird – mit einem integrierten Hardware-Sicherheitsmodul (HSM) für Kryptographie und sicherem Key Management (Schlüsselverwaltung) – gewährleistet einen sicheren Bootvorgang und bringt Verfahren für eine Integritätsprüfung in Echtzeit mit. So lässt sich sicherstellen, dass der Code authentisch, vertrauenswürdig und unverändert ist (Bild 3).
Security-Mechanismen schützen darüber hinaus die Schnittstellen und die Kommunikation durch eine Nachrichtenauthentifizierung mit Absendervalidierung, durch Verschlüsselung zur Sicherstellung der Datenintegrität und des Datenschutzes, sowie durch eine Überwachung des Datenflusses hinsichtlich möglicher Angriffe. Auf diese Weise lassen sich externe Gefahren abwehren. Für die Gewährleistung der Security-Integrität ist es äußerst wichtig, dass ein Gateway über eine vertrauenswürdige, physikalisch isolierte Ausführungsumgebung verfügt sowie über einen geschützten Arbeitsspeicher. Es muss außerdem gegen physikalische Angriffe geschützt sein.
Einen Ausblick in die Weiterentwicklung von Automotive Gateways gibt der Artikel auf der nächsten Seite.
Automotive Gateways – ein Ausblick
Vernetzte Autos sind wie Mobiltelefone: ständig mit dem Netz verbundene Geräte mit steigenden Komplexitäts-, Leistungs- und Sicherheitsanforderungen. Die Steuergeräte der künftigen autonomen Fahrzeuge müssen beim Fahren mit Blick auf Sensorik, Verarbeitung und Ausführung nahtlos ineinandergreifen. Dabei sind enorme Datenmengen zwischen den verschiedenen Steuergeräten auszutauschen und zu verarbeiten. Mit 5G-Mobilfunk schrauben vernetzte Autos die Anforderungen an die Datenbandbreite noch weiter nach oben.
Bild 4: Die Evolution bewegt sich hin zum zentralen Gateway mit Ethernet-Backbone und Domänencontrollern. NXP
Für interne Netzwerke und als mögliches Backbone für die Kommunikation der Domänen untereinander zeichnet sich ein Trend hin zu Multi-Gigabit-Ethernet ab (Bild 4). Durch den Umstieg auf Ethernet lässt sich die Gateway-Funktionalität auf Domänencontroller (DC) übertragen, die Daten lokal verarbeiten, verwalten und mit älteren Automotive-Schnittstellen austauschen, während ein zentrales Gateway Ethernet-Datenpakete zwischen den Domänen innerhalb des Fahrzeugs routet. Die Evolution der Gateways wird sich weiter fortsetzen, um diesen architektonischen Änderungen und Herausforderungen gerecht zu werden und die nötigen Leistungsdaten (Bandbreite, Latenz, Rechenleistung, Sicherheit) anbieten zu können. NXP bietet hierfür Automotive-Gateways der nächsten Generation an.
Brian Carlson
(na)
