1. 智能汽车安全指南报告综述

本研究立足点是智能汽车的网络安全应首先能保障物理人身安全,再总结出智能汽车在面临网络威胁还能确保安全的优秀实践。首先通过列出汽车智能化中的关键设备清单,整理出各部件、子系统中潜在的威胁和风险,寻找风险缓解的关键因素,最后探讨可行的安全措施。采取的方法是访谈该领域的专家并现场调研,综合他们的知识和经验,最后形成三个领域的优秀实践:政策与标准、组织措施和安全功能。

1.1 智能汽车的网络安全

智能汽车通过集成物联网元件从而为驾驶者和乘客提供增值服务,这些物联网元件不仅各自互相通讯,还与外部的其他车辆或服务等相互链接。对汽车系统的攻击并不鲜见,再加上部分攻击可能非常容易而且所需工具极为廉价,汽车厂商更是颜面大失,可能一个小小的安全漏洞就导致召回数量可观的车辆。

1.2 范围和目标

主要分析智能汽车的网络安全现状和寻找可行关键因素,重点关注如下三点:

· 联网如何改变车辆的安全模型?

· 层级森严的车辆生态圈如何应对网络安全?

· 网络安全如何整合现存车辆、人身安全导向的车辆设计理念、汽车这类产品全生命周期等?

设定目标如下:

· 评审和分析智能汽车的架构和接口;

· 研究车辆生态圈的参与者和生命周期;

· 分析智能汽车面临的主要威胁;

· 收集优秀网络安全实践认知;

· 定义优秀实践并分析当前实施中存在的差异;

· 评估目标受众在实施网络安全措施面临的限制因素、障碍、约束等,并探讨可行的激励手段。

1.3 欧盟政策背景

从监管角度看,与智能汽车相关的法规不多,如下:

· 欧洲议会在2015年投票决定在2018年4月之后强制实现eCall系统商用化;

· 由于智能汽车包含信息-物理部件,因此和以下这两个规章相关:

通用数据保护法规(General Data Protection Regulation,GDPR);

网络与信息系统安全指令(Directive on Security of Network and Information Systems,NIS):对智能汽车中相关部件使用的云服务有影响;

· 物联网创新联盟(AIOTI)的智慧移动工作组设计了部分物联网用例,其2015年的报告中介绍部分与汽车产业的进展,大致如下:

欧洲道路运输研究的技术平台(European Technology Platform for Road Transport Research ,ERTRAC);

欧洲Horizon 2020研究和创新计划;

C-ITS 部署框架;

欧洲振兴电子元器件及系统计划(Electronic Components and Systems for European Leadership,ECSEL);

欧洲共同利益重要专案 (Important Project of Common European Interest,IPCEI);

主要的标准制定组织(Standards Developing Organizations,SDOs)制定的标准、联盟及开源计划;

欧洲基金资助的物联网开源平台FIWARE

部分国际或企业解决方案;

2. 智能汽车的关键要点

2.1  智能汽车的定义

本报告的宗旨是保障当今智能汽车的安全、为明日更安全的无人汽车做准备,报告中讨论的相关实践不仅只关注智能乘用车辆的安全,还将其他类型如公交车辆、长途客运车辆等涵盖在内。

智能汽车定义是“为提高车辆用户体验或安全性而提供联网、增值特性的系统”,可分为信息通讯、联网娱乐信息及车内通讯三类应用。当前对于智能汽车并无统一概念,因此在本报告中也偶用“联网汽车”这一概念。

2.2 典型架构与关键部件

图1 智能汽车典型架构

图2 智能汽车关键部件

2.3 人身安全、网络安全和隐私关注

关键部件将在如下方面影响人身安全:

动力总成或底盘ECU和网络被攻破将显然导致难以预料的后果;

车身ECU和网络一旦受攻击失灵将不仅可能对乘员产生危害,还可能对周边车辆带来干扰,如灯光、转向灯、警示灯等;

娱乐信息ECU和网络被攻击也有安全隐患;

针对性的攻击车辆网络也会产生人身安全风险:

车内网络(包括CAN总线、胎压监测无线网络)中断或被攻击可致车辆失控;

车内使用蜂窝通讯连接也可能会对人身安全造成影响;

车内网络(如蓝牙、Wifi等)与用户手机连接理论上只与娱乐部分模块有关,但研究表明在娱乐模块和驾驶模块中缺乏隔离,将导致产生接入端脆弱点,此问题同样可扩展到使用无线遥控的网络链路中;

V2X通讯如果被干扰或欺骗可能引发事故;

对eCall或警告警报进行干扰极可能引发事故;

网络安全风险体现在如下方面:

攻击者可获得并非为用户提供的功能的访问权(如车队管理、行车记录仪、地理围栏等),可能提供虚假态势,一方面可能引发车辆系统失灵,另一方面也可能因为司机分心而酿成重大事故;

系统可能会对商业秘密有影响;

组合多个部件实现的功能特性,如ADAS若集成不妥当将使风险急剧增加;

知识产权易被侵犯;

数据机密性和隐私保护也同样存在风险,例如攻破车载摄像头将可能泄露驾驶员和乘客的隐私。

3. 威胁和风险分析

3.1 威胁类型

图3  威胁类型

3.2 攻击潜力

本研究主要采用CC(Common Criteria,计算机安全国际认证的通用准则)所定义的攻击潜力方法分析,该方法在CC评估体系中进一步细化,并非实地测试。CC认证定义了评估保证级别(Evaluation Assurance Level,EAL ),获得更高等级的EAL认证意味着产品具有更强的抵御能力。但在现实中攻击者的攻击潜力随着时间的推移而增加,因为攻击者可获得更多关于汽车系统的专门知识和经验,可能还会设计更复杂的工具,而且攻击潜力有时可能会迅速增长,因此认证工作也应当根据场景差异及潜在需求进行调整。

3.3 网络攻击示例

表1 网络攻击示例

3.4 远程攻击场景示例

在本报告中实际展现了四类攻击场景:远程攻击、持续车辆改变、偷盗和监视,本文节选了远程攻击场景介绍,远程攻击一般认为将可能对乘员物理安全造成威胁,相关场景如表2所示:

表2 远程攻击场景示例

此类攻击似乎在公众想象中应该比较普遍,但攻击可能性微乎其微,也被认为是“不大可能”,但此攻击成功会会带来毁灭性的后果。

远程攻击场景可参见图4粗略示意:

图4 智能汽车远程攻击场景示意

4.  现状差异分析和优秀实践

4.1  差异及挑战

智能汽车当前主要在三个领域存在差异及挑战:设计和开发不安全、责任、人身安全与网络安全流程整合。

(1)设计和开发不安全

系统设计时未考虑纵深防御策略;

未采取设计即安全性或设计即隐私的方法;

内外部接口均缺乏通讯保护;

普遍缺乏认证和授权,尤其是需要有特权访问ECU;

匮乏硬化手段;

匮乏诊断和回应能力;

(2)责任

研究表明,一旦发生安全事件,用户将指责整个生态系统的参与各方,包括应用商店、应用程序开发商和厂商等。另外,由于无法将驾驶系统、调试和信息娱乐系统等相互之间圆满隔离,意味着包括售后市场组件之内的任一参与方,都可能危及车辆的安全相关特性。因此有必要明晰各参与方在发生安全事件时应当承担的责任。

(3)人身安全与网络安全流程整合

在车辆开发周期中,汽车产业在总体集成人身安全和网络安全方面事务仍缺乏共同标准。

已有的措施和局限性:

SAE-J 3061系其中一个解决智能汽车安全事项的规范,该体系有可能适用于智能汽车领域,但还是缺乏诸多可操作的细节,如SAE-J 3061并未明确如何解决如下问题:

智能车辆有异常大的攻击面(有大量的接入点和各种攻击方法);

攻击者易于接触到此产品和后果严重(对用户及其他车辆产生安全后果)这两个问题叠加;

由于产品的寿命较长因此威胁同样持久;

事实上智能化的特点并非车辆的核心功能;

技术标准的特殊问题:

缺乏统一标准最终会带来附加的安全问题:如车辆若干关键部件系采用专有技术开发(常见的是CAN通信所使用的协议),这种情况存在将使得第三方供应商更难开发适用于大市场的安全解决方案(如防火墙或入侵检测),因此也很难有效地降低厂商的安全成本。

其他问题:供应链和代码复用的影响

汽车制造业层级森严的生态系统信任带来安全集成问题,有可能后续市场产品都要共享车载总线,这会带来重大风险。正如研究人员一直所强调的一样,从定义划分后续市场产品的安全问题不能由制造商控制,但在实践中售后市场供应商又被认定能提供完全支持,基于供应链关系的复杂性,即便厂商已发布安全补丁的情况下,最终还是得不到部署。

4.2 约束及激励因素

智能汽车网络安全的激励因素主要有三类:商业因素、顾客因素和规制与基础设施,如表3所示:

表3 激励因素

4.3优秀实践

优秀实践主要分为三类:政策与标准、组织措施和技术,如图5所示:

图5 智能汽车领域的优秀实践

5. 七点建议

5.1 提高智能汽车网络安全

适用于:智能汽车制造商、各层级供应商和售后市场供应商

行业参与者必须为其产品设立全面的安全开发流程,应包含设计、开发、测试和安全维护。本报告构建优秀实践提供了出发点,期望行业参与者积极采纳,有效地提高其产品的安全性。通过这套优秀实践,帮助行业能够克服不安全的设计或开发过程带来的挑战。

5.2 促进行业参与者之间的信息共享

适用于:智能汽车制造商、各层级供应商和售后市场供应商

利益相关者应该及时分享和研讨市面上发现的新攻击,协助整个社区寻找对策,信息共享也将有助于克服不安全的设计或开发过程带来的挑战。存在信息共享框架,可让其他产业参与者、实验室或国家机构等共同应对相关事项,也是提高安全团队技能的有效途径之一。

5.3 明确行业参与者各方责任

适用于:智能汽车制造商、各层级供应商、售后市场供应商和保险公司

在报告的前面部分明确了责任将带来行业挑战的观点,责任问题应当解决,责任也应在各层级供应商、厂商、销售商、售后支持运营商和最终用户之间分摊,责任分担也必须在国家立法和判例法的范围内处理。如果在国家立法中发现差距,则应加以解决。

5.4 就优秀实践的技术标准达成共识

适用于:产业团体和协会

行业参与者应该认识到,智能汽车的安全标准应满足报告所列优秀实践中描述的全部类别,从而达成安全智能。另一方面,安全需求的细节必须在实际产品中认真构建,本报告建议不同参与方之间应将透明和共享作为首要出发点。

本次调研参与者均不建议再试图创建全新的适用于现有和未来汽车的全球标准,不同的参与者可使用和组合现行标准,更好地在自身的用例中应用,形成共识应该是各标准、规范和内部解决方案之间的中庸之道。

5.5 定义独立第三方评估方案

适用于:产业团体和协会

我们建议在业界这些先行者基础上,明确安全认证的共享标准。需要明确应当使用何种方法(从基本安全检查到渗透测试)、根据要测试的组件确定预期检测数量和测试的深度,以及这些测试的信任模型(谁有权授予第三方安全评估审核员的认证证书)。

5.6 构建安全分析工具

适用于:产业团体、协会和安全公司

行业参与者可采用类似方法来提高安全测试技能,特别是专用工具的开发,应与相关活动密切有关。软件行业中很多已开发的工具易于复用而无需进行重大修改。

5.7 加强与安全研究人员和第三方的交流

适用于:智能汽车制造商、各层级供应商和售后市场供应商

在研究人员、学术界和业界之间建立沟通渠道对参与各方都大有裨益,为推动交流,可组织研讨班、会议、工作组等,诸如责任披露准则、漏洞悬赏计划等工具也对加强信息交流特别有价值。

6. 小结

中国将智能汽车视作战略性新兴产业,将投入资源来构建智能汽车生态圈,因此,需要对智能汽车基础安全保持足够关注,本报告提出的智能汽车优秀实践、部件分类及网络威胁模型可供借鉴。

报告原文下载:https://active.clewm.net/EamlTU?qrurl=http%3A%2F%2Fqr32.cn%2FEamlTU&gtype=1&key=50e8c15fbc27619063250197717a2108abbca3b444

声明:本文来自互联网研究前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。