随着车辆自动化程度的提高,保护车辆功能的安全措施应防御未经授权的访问和操纵,以保证车辆,其组件及其功能(尤其是车辆控制功能)的安全运行的完整性。确保最高的安全标准并以尽可能最佳的方式保护车辆安全,这是维护自动驾驶功能持久扩展的根本利益,同时要考虑到这样做的最新技术水平。
为何信息安全在整个自动驾驶系统安全中占据如此高的地位?
由于自动驾驶车辆中以及这些车辆与其操作环境之间的极端连接性,在自动驾驶信息安全方面面临着新的挑战。这些挑战范围涉及从满足法规要求,确保设计安全到保护汽车和客户免受网络安全攻击等方面。信息互联增加了包括车辆互联,IT 后端系统和其他外部信息源的控制功能之间的新接口。这种丰富的攻击面引起了具有各种目标的恶意行为者的极大兴趣。简而言之,我们已经发展到一个水平,确保车辆运行到安全的运行状态是十分重要的。这一过程应采用网络安全原则和实践,以确保攻击者无法任意控制车辆的行驶状态,并且攻击很难扩展到同时利用多车辆的地步。
本文的重点就是网络信息安全,针对最新的准入指南分析当前主流自动驾驶系统在网络信息安全中所面临的挑战,同时,通过给出了一些示例,说明如何实现自动驾驶功能信息安全的所需的附加组件、外部信息以及自动驾驶所需的外部接口。
当从 L2 车辆扩展到 L3 或 L4 车辆时,网络安全面临的挑战是自动驾驶功能严重依赖外部数据、传感器信息、地图、位置信息等。如果此数据的完整性或真实性受到损害,自动驾驶功能(感知–规划–决策)的构造块将使用错误的数据来操纵车辆,这可能会导致控制产生不准确的情况,甚至驾驶到其他偏离正确操作的地方。如果自动驾驶汽车受到攻击,影响将更大,因为汽车内的人根本无法及时控制。因此,应充分引入有效的网络安全措施,以保护自动驾驶免受恶意行为者的侵害。
本节讨论解决上述威胁的方法。该方法首先概述了用于构建抵御攻击的自动驾驶系统的开发过程,此过程中必须将信息安全设计应用到系统中以实现在任意异常状态下的覆盖范围。严格且完全集成的信息安全分析流程是创建安全的自动驾驶系统的基础,该分析流程有助于紧密集成各种安全控件,这些安全控件将在该过程后进行介绍。信息安全方法中通常采用了纵深防御,以确保控制在整个系统中分层,以防止仅依靠外围来抵御攻击。
信息安全开发周期
安全开发生命周期(SDL)是建立信息安全的过程。特别是,SDL 规定了在开发过程中的特定阶段要执行的安全措施。这些做法多种多样,旨在主动预防攻击或尽早发现并修复漏洞。SDL 是为适应产品开发和产品维护的一部分的开发过程而量身定制的。使用这些生命周期可确保在开发过程中主动解决安全问题的结构化方法。
无论使用哪种开发过程,SDL 都通常将实践大致分为以下三类:
首先是开发和维护。包括有效的培训,以确保开发组织内的知识基线、政策、程序和准则的创建过程具有所需的基础。开发包括软件工程中熟悉的实践,例如信息安全需求定义,威胁建模,静态和动态分析,模糊测试,代码审查和渗透测试。最后,维持措施包括事件响应,更新签核程序和确保产品在发布后继续运行的其他实践。
在应用各种 SDL 做法时,需要做出很多权衡。风险评估用于帮助确定将有限的资源用于何处以及如何确定方法的优先级。在开发过程中考虑折衷时,至少三个维度很重要(如下图所示):系统状态,风险处理策略和风险处理表现。
①系统状态有助于定义适当的缓解措施;
②风险处理策略提供了处理风险的选项(例如,避免,转移,减轻或接受风险);
③结果表现有助于了解所选方法如何改变所产生的风险以及带来的效果。
深度防御安全架构
本节讨论如何对自动驾驶系统进行分层以实现先前讨论的安全目标。对于自动驾驶车辆,纵深防御始于低级组件,并延续到单个设备,形成可识别系统(例如感知)的设备组,车辆本身以及支持车辆所需的基础设施。
为了实现汽车安全目标,嵌入式的自动驾驶系统主要将数据,(子)系统,功能或组件的机密性、完整性(包括真实性和可用性)作为传统信息安全三元组。在组件级别(例如,微控制器,ECU,摄像头传感器等),可以使用原语来安全地实现机密性,完整性和真实性。通常,这意味着需要确保微控制器实现与硬件安全模块或类似的专用硬件得以完美集成,并在其中使用的加密功能构建更高级别功能。同时,还考虑此时建立组件防篡改,可配置性(例如删除或禁用不需要的功能)和可更新性的功能。
向上移动一层,利用组件建立安全的输入设备单元(例如 LIDARS,radar,video 等)。此时需要确定固件和软件安全启动的完整性和真实性,加密和认证消息,以及认证那些有权更新设备和更新本身的实体。同时,减轻针对设备执行的拒绝服务攻击,防止设备意外泄露信息。当设备组成系统时,确保群组通信安全,向群组其余部分证明设备状态以及抵抗共享通信通道拒绝服务的功能就变得很重要。使用的方法在这一点上得益于用于安全性的冗余。利用传感器融合并交叉引用所感知的内容,多种方式迫使攻击者在多个不同的设备上协调其攻击力,以欺骗整个系统。车辆内的独立安全冗余系统进一步有助于纵深防御,因为一个系统遭受攻击并不一定会改变另一个独立系统的运行。
智能网联驾驶车辆(V2V)通常由公共(例如 DSRC,GNSS 等)和私有(例如后勤部门)基础设施提供数据支持。尽管自动驾驶车辆会考虑从基础架构接收数据,尤其是可以进行强烈身份验证来确认的数据,而这些车辆最终仍会维护自己的决策权限,而不是基础架构。在这一点上也同时考虑了涉及自动驾驶车辆的许多相关人员(如操作,管理,维护等),因此,人对车辆的访问受到限制和分隔。例如,操作人员可能需要访问车辆的位置和状态,而无需知道谁在车辆中。
综上所述,所有这些措施都提高了 L3 和 L4 车辆的安全性,可靠性和可信赖性。如下表中列出了一些有助于实现如上列出的安全目标的安全控制示例。
基于《自动驾驶准入指南》提升信息安全性能
最新的自动驾驶准入文档中明确规定了关于网络安全的多项条例,从不同的维度限定了驾驶过程需要确保的网络安全能力。这其中主要涉及三方面的能力建设:
1)企业网络安全能力保障要求;
这其中主要涵盖了网络安全责任、技术、防护、监测预警、应急响应、漏洞管理、数据安全管理、车辆网卡实名制、供应链安全、审计规范、售后监管、变更、技术支持和协助的能力。
2)智能网联汽车产品网络安全过程保障要求;
产品过程保障主要涉及风险评估、概念设计、产品开发与测试验证几个方面。最终的要求是需要进行资产识别与风险评估,提供设计需求与详细设计规范。
3)车辆网络安全测试要求;
要求企业开发自我测试能力,提供相应的验证测试报告。
对于如上三大方面信息安全设计能力所涉及的相关子项,需要结合智能网联汽车信息安全准入要求和 ISO/SAE 21434 标准要求,构建全生命周期车联网信息安全管理体系,并通过准入的充分条件。这其中包含针对目标状态下的组织管理和供应商的管理支持,以及汽车产品在概念、设计研发、生产运营、维护报废等阶段的内容。
从上图所示的信息安全管理体系中可知,整体的自动驾驶信息安全层面需要从如下三个层面建立相应的能力,才能保证其尽量覆盖更多的产品准入安全需求。
1、自动驾驶信息安全满足合规性要求;
即依据企业实际情况,以满足合规要求为目标,协助推进智能网联汽车信息安全管理体系方案的实施,为汽车信息安全体系认证做准备。
2、强化内控机制,保障业务连续性
建设和完善汽车信息安全流程和制度,强化过程管理。按照制度强化对汽车整体信息安全工作的管理和协调,保障制度落地;
3、进一步优化完善现有流程规范
优化完善现有的安全管理体系,以适应智能网联汽车信息安全不断发展的需要。
从整个产品设计层面讲,在自动驾驶产品相关的信息安全研究中需要充分做到 「自主可控」。
1、建立自主可控的信息安全防护体系。
零部件防护包括轻量级加密、ECU 可信启动、固件可信加载等,同时涵盖了整车及云服务的数据安全、消息安全、隐私安全、应用安全。从整车众多零部件出发,进行针对性防护,全方位保护零部件信息安全。
2、建立自主可控的信息安全检测平台
汽车信息安全攻防渗透平台集成安全测试系统,能够完成车辆系统、车联网系统、自动驾驶系统的信息安全验证工作。
3、建设车联网网络信任支撑体系
建设汽车行业车联网网络信任支撑平台,构建行业统一的车联网通信身份认证体系,支持 V2X CA 证书、X509 证书两种证书在不同场景中的应用。目前按照国家电子认证服务相关标准,建设部署高标准机房,并完成中国汽车行业车联网网络信任支撑平台上线。
总结
目前,汽车行业正在经历一个意义深远的转型期,智能网联汽车为消费者提供了便利的使用方式、丰富的应用内容和安全的驾驶环境。但同时,由智能化、网联化带来的信息安全问题也面临着多重风险。信息安全是智能网联汽车发展的前提和保障,解决好智能网联汽车的信息安全是确保其顺利通过准入,顺利上路行驶的最关键环节。
