作者 | Aimee

出品 | 焉知

知圈 | 進“域控制器群”請加微13636581676,備注架域

隨著車輛自動化程度的提高，保護車輛功能的安全措施應(yīng)防御未經(jīng)授權(quán)的訪問和操縱，以保證車輛，其組件及其功能（尤其是車輛控制功能）的安全運行的完整性。確保最高的安全標準并以盡可能最佳的方式保護車輛安全，這是維護自動駕駛功能持久擴展的根本利益，同時要考慮到這樣做的最新技術(shù)水平。

為何信息安全在整個自動駕駛系統(tǒng)安全中占據(jù)如此高的地位？

由于自動駕駛車輛中以及這些車輛與其操作環(huán)境之間的極端連接性，在自動駕駛信息安全方面面臨著新的挑戰(zhàn)。這些挑戰(zhàn)范圍涉及從滿足法規(guī)要求，確保設(shè)計安全到保護汽車和客戶免受網(wǎng)絡(luò)安全攻擊等方面。信息互聯(lián)增加了包括車輛互聯(lián)，IT后端系統(tǒng)和其他外部信息源的控制功能之間的新接口。這種豐富的攻擊面引起了具有各種目標的惡意行為者的極大興趣。簡而言之，我們已經(jīng)發(fā)展到一個水平，確保車輛運行到安全的運行狀態(tài)是十分重要的。這一過程應(yīng)采用網(wǎng)絡(luò)安全原則和實踐，以確保攻擊者無法任意控制車輛的行駛狀態(tài)，并且攻擊很難擴展到同時利用多車輛的地步。

本文的重點就是網(wǎng)絡(luò)信息安全，針對最新的準入指南分析當(dāng)前主流自動駕駛系統(tǒng)在網(wǎng)絡(luò)信息安全中所面臨的挑戰(zhàn)，同時，通過給出了一些示例，說明如何實現(xiàn)自動駕駛功能信息安全的所需的附加組件、外部信息以及自動駕駛所需的外部接口。

當(dāng)從L2車輛擴展到L3或L4車輛時，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)是自動駕駛功能嚴重依賴外部數(shù)據(jù)、傳感器信息、地圖、位置信息等。如果此數(shù)據(jù)的完整性或真實性受到損害，自動駕駛功能（感知–規(guī)劃–決策）的構(gòu)造塊將使用錯誤的數(shù)據(jù)來操縱車輛，這可能會導(dǎo)致控制產(chǎn)生不準確的情況，甚至駕駛到其他偏離正確操作的地方。如果自動駕駛汽車受到攻擊，影響將更大，因為汽車內(nèi)的人根本無法及時控制。因此，應(yīng)充分引入有效的網(wǎng)絡(luò)安全措施，以保護自動駕駛免受惡意行為者的侵害。

本節(jié)討論解決上述威脅的方法。該方法首先概述了用于構(gòu)建抵御攻擊的自動駕駛系統(tǒng)的開發(fā)過程，此過程中必須將信息安全設(shè)計應(yīng)用到系統(tǒng)中以實現(xiàn)在任意異常狀態(tài)下的覆蓋范圍。嚴格且完全集成的信息安全分析流程是創(chuàng)建安全的自動駕駛系統(tǒng)的基礎(chǔ)，該分析流程有助于緊密集成各種安全控件，這些安全控件將在該過程后進行介紹。信息安全方法中通常采用了縱深防御，以確保控制在整個系統(tǒng)中分層，以防止僅依靠外圍來抵御攻擊。

信息安全開發(fā)周期

安全開發(fā)生命周期（SDL）是建立信息安全的過程。特別是，SDL規(guī)定了在開發(fā)過程中的特定階段要執(zhí)行的安全措施。這些做法多種多樣，旨在主動預(yù)防攻擊或盡早發(fā)現(xiàn)并修復(fù)漏洞。SDL是為適應(yīng)產(chǎn)品開發(fā)和產(chǎn)品維護的一部分的開發(fā)過程而量身定制的。使用這些生命周期可確保在開發(fā)過程中主動解決安全問題的結(jié)構(gòu)化方法。

無論使用哪種開發(fā)過程，SDL都通常將實踐大致分為以下三類：

首先是開發(fā)和維護。包括有效的培訓(xùn)，以確保開發(fā)組織內(nèi)的知識基線、政策、程序和準則的創(chuàng)建過程具有所需的基礎(chǔ)。開發(fā)包括軟件工程中熟悉的實踐，例如信息安全需求定義，威脅建模，靜態(tài)和動態(tài)分析，模糊測試，代碼審查和滲透測試。最后，維持措施包括事件響應(yīng)，更新簽核程序和確保產(chǎn)品在發(fā)布后繼續(xù)運行的其他實踐。

在應(yīng)用各種SDL做法時，需要做出很多權(quán)衡。風(fēng)險評估用于幫助確定將有限的資源用于何處以及如何確定方法的優(yōu)先級。在開發(fā)過程中考慮折衷時，至少三個維度很重要（如下圖所示）：系統(tǒng)狀態(tài)，風(fēng)險處理策略和風(fēng)險處理表現(xiàn)。

①系統(tǒng)狀態(tài)有助于定義適當(dāng)?shù)木徑獯胧?/span>

②風(fēng)險處理策略提供了處理風(fēng)險的選項（例如，避免，轉(zhuǎn)移，減輕或接受風(fēng)險）；

③結(jié)果表現(xiàn)有助于了解所選方法如何改變所產(chǎn)生的風(fēng)險以及帶來的效果。

 

深度防御安全架構(gòu)

本節(jié)討論如何對自動駕駛系統(tǒng)進行分層以實現(xiàn)先前討論的安全目標。對于自動駕駛車輛，縱深防御始于低級組件，并延續(xù)到單個設(shè)備，形成可識別系統(tǒng)（例如感知）的設(shè)備組，車輛本身以及支持車輛所需的基礎(chǔ)設(shè)施。

為了實現(xiàn)汽車安全目標，嵌入式的自動駕駛系統(tǒng)主要將數(shù)據(jù)，（子）系統(tǒng)，功能或組件的機密性、完整性（包括真實性和可用性）作為傳統(tǒng)信息安全三元組。在組件級別（例如，微控制器，ECU，攝像頭傳感器等），可以使用原語來安全地實現(xiàn)機密性，完整性和真實性。通常，這意味著需要確保微控制器實現(xiàn)與硬件安全模塊或類似的專用硬件得以完美集成，并在其中使用的加密功能構(gòu)建更高級別功能。同時，還考慮此時建立組件防篡改，可配置性（例如刪除或禁用不需要的功能）和可更新性的功能。

向上移動一層，利用組件建立安全的輸入設(shè)備單元（例如LIDARS，radar，video等）。此時需要確定固件和軟件安全啟動的完整性和真實性，加密和認證消息，以及認證那些有權(quán)更新設(shè)備和更新本身的實體。同時，減輕針對設(shè)備執(zhí)行的拒絕服務(wù)攻擊，防止設(shè)備意外泄露信息。當(dāng)設(shè)備組成系統(tǒng)時，確保群組通信安全，向群組其余部分證明設(shè)備狀態(tài)以及抵抗共享通信通道拒絕服務(wù)的功能就變得很重要。使用的方法在這一點上得益于用于安全性的冗余。利用傳感器融合并交叉引用所感知的內(nèi)容，多種方式迫使攻擊者在多個不同的設(shè)備上協(xié)調(diào)其攻擊力，以欺騙整個系統(tǒng)。車輛內(nèi)的獨立安全冗余系統(tǒng)進一步有助于縱深防御，因為一個系統(tǒng)遭受攻擊并不一定會改變另一個獨立系統(tǒng)的運行。

智能網(wǎng)聯(lián)駕駛車輛（V2V）通常由公共（例如DSRC，GNSS等）和私有（例如后勤部門）基礎(chǔ)設(shè)施提供數(shù)據(jù)支持。盡管自動駕駛車輛會考慮從基礎(chǔ)架構(gòu)接收數(shù)據(jù)，尤其是可以進行強烈身份驗證來確認的數(shù)據(jù)，而這些車輛最終仍會維護自己的決策權(quán)限，而不是基礎(chǔ)架構(gòu)。在這一點上也同時考慮了涉及自動駕駛車輛的許多相關(guān)人員（如操作，管理，維護等），因此，人對車輛的訪問受到限制和分隔。例如，操作人員可能需要訪問車輛的位置和狀態(tài)，而無需知道誰在車輛中。

綜上所述，所有這些措施都提高了L3和L4車輛的安全性，可靠性和可信賴性。如下表中列出了一些有助于實現(xiàn)如上列出的安全目標的安全控制示例。

基于《自動駕駛準入指南》提升信息安全性能

最新的自動駕駛準入文檔中明確規(guī)定了關(guān)于網(wǎng)絡(luò)安全的多項條例，從不同的維度限定了駕駛過程需要確保的網(wǎng)絡(luò)安全能力。這其中主要涉及三方面的能力建設(shè)：

1）企業(yè)網(wǎng)絡(luò)安全能力保障要求；

這其中主要涵蓋了網(wǎng)絡(luò)安全責(zé)任、技術(shù)、防護、監(jiān)測預(yù)警、應(yīng)急響應(yīng)、漏洞管理、數(shù)據(jù)安全管理、車輛網(wǎng)卡實名制、供應(yīng)鏈安全、審計規(guī)范、售后監(jiān)管、變更、技術(shù)支持和協(xié)助的能力。

2）智能網(wǎng)聯(lián)汽車產(chǎn)品網(wǎng)絡(luò)安全過程保障要求；

產(chǎn)品過程保障主要涉及風(fēng)險評估、概念設(shè)計、產(chǎn)品開發(fā)與測試驗證幾個方面。最終的要求是需要進行資產(chǎn)識別與風(fēng)險評估，提供設(shè)計需求與詳細設(shè)計規(guī)范。

3）車輛網(wǎng)絡(luò)安全測試要求；

要求企業(yè)開發(fā)自我測試能力，提供相應(yīng)的驗證測試報告。

對于如上三大方面信息安全設(shè)計能力所涉及的相關(guān)子項，需要結(jié)合智能網(wǎng)聯(lián)汽車信息安全準入要求和ISO/SAE 21434 標準要求，構(gòu)建全生命周期車聯(lián)網(wǎng)信息安全管理體系，并通過準入的充分條件。這其中包含針對目標狀態(tài)下的組織管理和供應(yīng)商的管理支持，以及汽車產(chǎn)品在概念、設(shè)計研發(fā)、生產(chǎn)運營、維護報廢等階段的內(nèi)容。

從上圖所示的信息安全管理體系中可知，整體的自動駕駛信息安全層面需要從如下三個層面建立相應(yīng)的能力，才能保證其盡量覆蓋更多的產(chǎn)品準入安全需求。

1、自動駕駛信息安全滿足合規(guī)性要求；

即依據(jù)企業(yè)實際情況，以滿足合規(guī)要求為目標，協(xié)助推進智能網(wǎng)聯(lián)汽車信息安全管理體系方案的實施，為汽車信息安全體系認證做準備。

2、強化內(nèi)控機制，保障業(yè)務(wù)連續(xù)性

建設(shè)和完善汽車信息安全流程和制度，強化過程管理。按照制度強化對汽車整體信息安全工作的管理和協(xié)調(diào)，保障制度落地；

3、進一步優(yōu)化完善現(xiàn)有流程規(guī)范

優(yōu)化完善現(xiàn)有的安全管理體系，以適應(yīng)智能網(wǎng)聯(lián)汽車信息安全不斷發(fā)展的需要。

從整個產(chǎn)品設(shè)計層面講，在自動駕駛產(chǎn)品相關(guān)的信息安全研究中需要充分做到“自主可控”。

1、建立自主可控的信息安全防護體系。

零部件防護包括輕量級加密、ECU可信啟動、固件可信加載等，同時涵蓋了整車及云服務(wù)的數(shù)據(jù)安全、消息安全、隱私安全、應(yīng)用安全。從整車眾多零部件出發(fā)，進行針對性防護，全方位保護零部件信息安全。

2、建立自主可控的信息安全檢測平臺

汽車信息安全攻防滲透平臺集成安全測試系統(tǒng)，能夠完成車輛系統(tǒng)、車聯(lián)網(wǎng)系統(tǒng)、自動駕駛系統(tǒng)的信息安全驗證工作。

3、建設(shè)車聯(lián)網(wǎng)網(wǎng)絡(luò)信任支撐體系

建設(shè)汽車行業(yè)車聯(lián)網(wǎng)網(wǎng)絡(luò)信任支撐平臺，構(gòu)建行業(yè)統(tǒng)一的車聯(lián)網(wǎng)通信身份認證體系，支持V2X CA證書、X509證書兩種證書在不同場景中的應(yīng)用。目前按照國家電子認證服務(wù)相關(guān)標準，建設(shè)部署高標準機房，并完成中國汽車行業(yè)車聯(lián)網(wǎng)網(wǎng)絡(luò)信任支撐平臺上線。

總結(jié)

目前，汽車行業(yè)正在經(jīng)歷一個意義深遠的轉(zhuǎn)型期，智能網(wǎng)聯(lián)汽車為消費者提供了便利的使用方式、豐富的應(yīng)用內(nèi)容和安全的駕駛環(huán)境。但同時，由智能化、網(wǎng)聯(lián)化帶來的信息安全問題也面臨著多重風(fēng)險。信息安全是智能網(wǎng)聯(lián)汽車發(fā)展的前提和保障，解決好智能網(wǎng)聯(lián)汽車的信息安全是確保其順利通過準入，順利上路行駛的最關(guān)鍵環(huán)節(jié)。

第二屆焉知智車年會·信息安全專題論壇，歡迎關(guān)注！