汽車單純地作為通勤工具,能夠聽聽廣播、放放CD就以為是多么了不起的“多媒體”時代一去不復返了。現如今,汽車可謂是內外連通:不僅能與車內設備連接,同時還可以方便快捷地接入Internet服務。它們通常裝有50-70個電控單元(ECU)來實現移動互聯的不同功能,車內乘客不僅可以隨時從互聯網下載流媒體內容,還可以與朋友們時刻保持聯系,甚至網上購物也不在話下。
當然,凡事都具有兩面性。先進的車載聯網技術的確可以給用戶帶來便捷的體驗,但不可否認大批的“臭蟲”未來也會順著互聯網這根線索爬進車里。一輛以直接或者間接方式連接了因特網的汽車很可能暴露于惡意軟件的代碼和數據攻擊之下,使車輛受控行駛,急踩剎車,未經允許自動開關車門,甚至會造成類似SRS等重要安全系統的失靈。
左:傳統的架構方案-分離式聯網設計 右:以“控制中心”為主的架構方案-集中式的聯網設計
當然,汽車制造商們也十分“捉急”,而目前看來行之有效的就是建立一套有效的安全系統架構和方法論。
以“控制中心”為首的汽車網絡安全架構
傳統的汽車網絡受限于車內的電控單元,而這些電控單元是與諸如控制器局域網(CAN)、車載網絡標準(FlexRay)及內部互聯網(LIN)等汽車網絡相連接的。然而,如今車聯網技術使汽車可實現與提供自動緊急呼叫(e-all)、遠程診斷和數據交換等功能的車內電子設備和汽車制造商端口進行連接。而在不遠的將來,車與車之間同樣可以自由“交流”,進行操作系統生態數據的無縫交換。
隨著信息娛樂系統和連通性技術的不斷改進,車載數據的密度在本質、數量和方向上發生了很大改變。這些數據可以做如下分類:
1.接收的數據:汽車通過傳感器或互聯網從外部環境中獲得的數據。
傳統的車載軟件僅需要處理ECU通過傳感器或其他電控單元接收的數據即可。然而,ECU設計之初并不具備檢測每一個CAN上傳數據包的功能。而由于接收的數據一方面包含了從云端下載的內容,另一方面那些網絡連接端口處惡意軟件植入汽車網絡的數據同樣可能包含其中,因此大大增加了汽車網絡被“黑”的風險。
2.處理的數據:經ECU不同部分計算處理過的數據或流經車載娛樂系統ECU的用戶數據群。
由于接收到的數據可能并不安全,這可能導致數據處理發生錯誤。同時汽車的聯網和信息娛樂系統在受到代碼篡改以及用戶數據人為操控等作用時很容易出現崩潰。
3.發出的數據:汽車及用戶數據可能需要在云端處理,以便提供包括個性化投保方案、定制資訊內容以及廣告等眾多服務。
隨著汽車與外部設備和外部環境的聯系愈加緊密,安全風險的本質和以及可能造成的威脅也正逐漸發生著變化。比如,汽車通過傳感器和制動器與環境進行交互。因此,汽車網絡的安全就需要同時考慮數據和環境安全這兩方面因素。而且,對于安全威脅的預防和實時監測同樣需要引起更多的重視。
這些潛在風險可分為以下幾種:
1. 安全類:安全漏洞將削弱關鍵系統的安全性,將乘車人、外部行人和周邊環境置于危險當中;
2. 妨害類:非關鍵安全系統受影響將導致汽車拒絕服務或進行不必要的操作。
3. 隱私類:安全漏洞可能導致個人信息泄露,并被濫用或篡改。
4. 經濟類:經濟損失可能是篡改授權或敲詐勒索等形式。
安全漏洞隨著允許汽車與外部設備或網絡連接接口數量的增加而逐漸增多。而第一種關鍵的架構方式是:減少接口的數量,并將剩余的接口整合成一個“控制中心”,而該“控制中心”將作為連通汽車內部網絡和外部設備/網絡之間安全、智能的大門。采用這種方式可以更好地保護汽車不受惡意軟件的攻擊,同時也阻止了敏感信息的內輸和外露。
當然建立以“控制中心”為首的汽車網絡安全架構,在應對安全風險時可采取多種策略。如通過設立防火墻的方式來提供對其余網絡的安全訪問。
“控制中心”網絡安全架構有幾個關鍵要素:
1. 受保護的關鍵入口:基于有線或無線接口的連接;
2. “封閉系統”:提供受限訪問的預配置好的防火墻;
3. 縝密的用戶訪問控制:不允許任何非授權用戶訪問隱私數據。
汽車網絡安全設計方法論
除了靠譜的網絡安全系統架構之外,有效的工程解決方案對于在系統設計的各個步驟中降低安全風險也是十分關鍵的。汽車制造商及其工程師需要考慮如下的工程方案和設計步驟來確保汽車網絡連接的安全性:
1. 接口風險分析(Interface risk analysis)
接口風險分析過程包括檢查所有與汽車連接的云端或設備相關的系統接口。第一步是識別所有的接口終端,包括網絡終端、設備和無線接口及總線連接器;第二、三步則分別是識別攻擊以及攻擊中包含的潛在安全問題。一旦接口分析完畢,合適的系統設計方式就可以直接上馬了。
2. 功能安全分析(Functional safety analysis)
車輛功能安全標準ISO 26262提供了系統或子系統內安全要求的方法。其具體描述了諸如危害分析和風險評估、失效模式與影響分析(FMEA)、故障樹分析法以及危害度分析等安全分析的方法。
汽車業應采取功能安全概念來評估安全分析。當安全保障實施完成后,就應該建立含有“證據”的安全狀況報告,囊括安全行為的證據;風險、威脅和漏洞的識別與分析;以及可服從的安全標準。
3. 防御性編程(Defensive programming)
防御性編程是繼嵌入式安全系統發生關鍵作用之外的推手。它保障了軟件功能即使被用于未預見到的用途時也能正常運行。在安全環境中,這類未預見到的用途可能來源于從傳感器或汽車網絡中接收到的被篡改的數據。防御性編程有這么幾個特定的操作原則,如“除非能夠證明數據的安全性,那么所有數據都可能具有傳染性”,即使在惡意輸入的情況下也能防止軟件發生安全故障,屬于強有力的保護措施。
小結:
隨著車聯網技術的不斷發展,未來汽車的聯網程度和內外數據交換的容量都將日益增多。不過要使汽車面對網絡惡意攻擊時能夠“刀槍不入”,必須加強汽車安全系統的架構。因此,以“控制中心”為首的汽車安全解決方案以及強悍的工程方法論,都能夠充分保證汽車在聯網時不致于“失身”。
京公網安備 11010502049343號