本研究立足点是智能汽车的网络安全应首先能保障物理人身安全,再总结出智能汽车在面临网络威胁还能确保安全的优秀实践。首先通过列出汽车智能化中的关键设备清单,整理出各部件、子系统中潜在的威胁和风险,寻找风险缓解的关键因素,最后探讨可行的安全措施。采取的方法是访谈该领域的专家并现场调研,综合他们的知识和经验,最后形成三个领域的优秀实践:政策与标准、组织措施和安全功能。
1.1智能汽车的网络安全
智能汽车通过集成物联网元件从而为驾驶者和乘客提供增值服务,这些物联网元件不仅各自互相通讯,还与外部的其他车辆或服务等相互链接。对汽车系统的攻击并不鲜见,再加上部分攻击可能非常容易而且所需工具极为廉价,汽车厂商更是颜面大失,可能一个小小的安全漏洞就导致召回数量可观的车辆。
1.2范围和目标
·联网如何改变车辆的安全模型?
·层级森严的车辆生态圈如何应对网络安全?
·网络安全如何整合现存车辆、人身安全导向的车辆设计理念、汽车这类产品全生命周期等?
设定目标如下:
·评审和分析智能汽车的架构和接口;
·研究车辆生态圈的参与者和生命周期;
·分析智能汽车面临的主要威胁;
·收集优秀网络安全实践认知;
·定义优秀实践并分析当前实施中存在的差异;
·评估目标受众在实施网络安全措施面临的限制因素、障碍、约束等,并探讨可行的激励手段。
1.3欧盟政策背景
·欧洲议会在2015年投票决定在2018年4月之后强制实现eCall系统商用化;
通用数据保护法规(GeneralDataProtectionRegulation,GDPR);
·物联网创新联盟(AIOTI)的智慧移动工作组设计了部分物联网用例,其2015年的报告中介绍部分与汽车产业的进展,大致如下:
欧洲道路运输研究的技术平台(EuropeanTechnologyPlatformforRoadTransportResearch,ERTRAC);
欧洲Horizon2020研究和创新计划;
C-ITS部署框架;
欧洲振兴电子元器件及系统计划(ElectronicComponentsandSystemsforEuropeanLeadership,ECSEL);
欧洲共同利益重要专案(ImportantProjectofCommonEuropeanInterest,IPCEI);
主要的标准制定组织(StandardsDevelopingOrganizations,SDOs)制定的标准、联盟及开源计划;
欧洲基金资助的物联网开源平台FIWARE
部分国际或企业解决方案;
2.智能汽车的关键要点
2.1智能汽车的定义
智能汽车定义是“为提高车辆用户体验或安全性而提供联网、增值特性的系统”,可分为信息通讯、联网娱乐信息及车内通讯三类应用。当前对于智能汽车并无统一概念,因此在本报告中也偶用“联网汽车”这一概念。
2.2典型架构与关键部件
图1智能汽车典型架构
图2智能汽车关键部件
关键部件将在如下方面影响人身安全:
动力总成或底盘ECU和网络被攻破将显然导致难以预料的后果;
车身ECU和网络一旦受攻击失灵将不仅可能对乘员产生危害,还可能对周边车辆带来干扰,如灯光、转向灯、警示灯等;
娱乐信息ECU和网络被攻击也有安全隐患;
针对性的攻击车辆网络也会产生人身安全风险:
车内网络(包括CAN总线、胎压监测无线网络)中断或被攻击可致车辆失控;
车内使用蜂窝通讯连接也可能会对人身安全造成影响;
车内网络(如蓝牙、Wifi等)与用户手机连接理论上只与娱乐部分模块有关,但研究表明在娱乐模块和驾驶模块中缺乏隔离,将导致产生接入端脆弱点,此问题同样可扩展到使用无线遥控的网络链路中;
V2X通讯如果被干扰或欺骗可能引发事故;
对eCall或警告警报进行干扰极可能引发事故;
网络安全风险体现在如下方面:
攻击者可获得并非为用户提供的功能的访问权(如车队管理、行车记录仪、地理围栏等),可能提供虚假态势,一方面可能引发车辆系统失灵,另一方面也可能因为司机分心而酿成重大事故;
系统可能会对商业秘密有影响;
组合多个部件实现的功能特性,如ADAS若集成不妥当将使风险急剧增加;
知识产权易被侵犯;
数据机密性和隐私保护也同样存在风险,例如攻破车载摄像头将可能泄露驾驶员和乘客的隐私。
3.威胁和风险分析
3.1威胁类型
图3威胁类型
3.2攻击潜力
3.3网络攻击示例
表1网络攻击示例
3.4远程攻击场景示例
表2远程攻击场景示例
此类攻击似乎在公众想象中应该比较普遍,但攻击可能性微乎其微,也被认为是“不大可能”,但此攻击成功会会带来毁灭性的后果。
远程攻击场景可参见图4粗略示意:
图4智能汽车远程攻击场景示意
4.现状差异分析和优秀实践
4.1差异及挑战
智能汽车当前主要在三个领域存在差异及挑战:设计和开发不安全、责任、人身安全与网络安全流程整合。
(1)设计和开发不安全
系统设计时未考虑纵深防御策略;
未采取设计即安全性或设计即隐私的方法;
内外部接口均缺乏通讯保护;
匮乏硬化手段;
匮乏诊断和回应能力;
(2)责任
(3)人身安全与网络安全流程整合
在车辆开发周期中,汽车产业在总体集成人身安全和网络安全方面事务仍缺乏共同标准。
已有的措施和局限性:
SAE-J3061系其中一个解决智能汽车安全事项的规范,该体系有可能适用于智能汽车领域,但还是缺乏诸多可操作的细节,如SAE-J3061并未明确如何解决如下问题:
智能车辆有异常大的攻击面(有大量的接入点和各种攻击方法);
攻击者易于接触到此产品和后果严重(对用户及其他车辆产生安全后果)这两个问题叠加;
由于产品的寿命较长因此威胁同样持久;
事实上智能化的特点并非车辆的核心功能;
技术标准的特殊问题:
缺乏统一标准最终会带来附加的安全问题:如车辆若干关键部件系采用专有技术开发(常见的是CAN通信所使用的协议),这种情况存在将使得第三方供应商更难开发适用于大市场的安全解决方案(如防火墙或入侵检测),因此也很难有效地降低厂商的安全成本。
其他问题:供应链和代码复用的影响
汽车制造业层级森严的生态系统信任带来安全集成问题,有可能后续市场产品都要共享车载总线,这会带来重大风险。正如研究人员一直所强调的一样,从定义划分后续市场产品的安全问题不能由制造商控制,但在实践中售后市场供应商又被认定能提供完全支持,基于供应链关系的复杂性,即便厂商已发布安全补丁的情况下,最终还是得不到部署。
4.2约束及激励因素
智能汽车网络安全的激励因素主要有三类:商业因素、顾客因素和规制与基础设施,如表3所示:
表3激励因素
4.3优秀实践
优秀实践主要分为三类:政策与标准、组织措施和技术,如图5所示:
图5智能汽车领域的优秀实践
5.七点建议
5.1提高智能汽车网络安全
适用于:智能汽车制造商、各层级供应商和售后市场供应商
行业参与者必须为其产品设立全面的安全开发流程,应包含设计、开发、测试和安全维护。本报告构建优秀实践提供了出发点,期望行业参与者积极采纳,有效地提高其产品的安全性。通过这套优秀实践,帮助行业能够克服不安全的设计或开发过程带来的挑战。
5.2促进行业参与者之间的信息共享
5.3明确行业参与者各方责任
适用于:智能汽车制造商、各层级供应商、售后市场供应商和保险公司
在报告的前面部分明确了责任将带来行业挑战的观点,责任问题应当解决,责任也应在各层级供应商、厂商、销售商、售后支持运营商和最终用户之间分摊,责任分担也必须在国家立法和判例法的范围内处理。如果在国家立法中发现差距,则应加以解决。
5.4就优秀实践的技术标准达成共识
适用于:产业团体和协会
行业参与者应该认识到,智能汽车的安全标准应满足报告所列优秀实践中描述的全部类别,从而达成安全智能。另一方面,安全需求的细节必须在实际产品中认真构建,本报告建议不同参与方之间应将透明和共享作为首要出发点。
本次调研参与者均不建议再试图创建全新的适用于现有和未来汽车的全球标准,不同的参与者可使用和组合现行标准,更好地在自身的用例中应用,形成共识应该是各标准、规范和内部解决方案之间的中庸之道。
5.5定义独立第三方评估方案
我们建议在业界这些先行者基础上,明确安全认证的共享标准。需要明确应当使用何种方法(从基本安全检查到渗透测试)、根据要测试的组件确定预期检测数量和测试的深度,以及这些测试的信任模型(谁有权授予第三方安全评估审核员的认证证书)。
5.6构建安全分析工具
适用于:产业团体、协会和安全公司
5.7加强与安全研究人员和第三方的交流
在研究人员、学术界和业界之间建立沟通渠道对参与各方都大有裨益,为推动交流,可组织研讨班、会议、工作组等,诸如责任披露准则、漏洞悬赏计划等工具也对加强信息交流特别有价值。