軟件定義汽車下的網絡安全挑戰與應對

以下內容來源于《汽車電子與軟件》

汽車網絡安全現狀及挑戰

在軟件定義汽車和汽車EEA集中化，網聯化，智能化，以及法律法規的強制監管下，也對車輛網絡安全的生命周期開發和維護提出更高要求并衍生出新的挑戰。挑戰主要體現在以下五個方面：

1.1 車輛EEA集中化

隨著汽車的功能越來越豐富，為了解決汽車系統的復雜性、通訊效率瓶頸及軟硬件緊耦合的問題和挑戰，電子電氣架構逐步演變，當下及未來的趨勢如下圖。

EEA架構的集中化使得汽車網絡安全面臨挑戰：已經接入到了智能化移動互聯網的系統現代電動汽車將面臨持續不斷各種威脅用戶個人信息安全上的巨大風險， 使用現代汽車安全軟件系統進行安全升級的現代汽車在過程中很快都有可能還有機會再次遭受各種勒索軟件病毒、 木馬程序等的惡意襲擊， 造成汽車用戶全部個人隱私以及汽車數據嚴重遭到泄露，甚至通過網絡連接操縱汽車功能并進一步對人身安全造成傷害。

1.2 網聯化

網聯化是使用無線通信、傳感探測等技術收集車輛、道路、環境等信息，通過車-萬物信息交互和共享，使車和基礎設施之間智能協同與配合，從而實現智能交通管理控制、車輛智能化控制和智能動態信息服務的一體化網絡。網聯化帶來了具體的互聯便利，但同時也導致車輛攻擊面劇增，同時給汽車業挑戰，如人員能力挑戰、及未來量子計算挑戰。

1、人員能力挑戰

汽車網聯化因為網絡安全人員儲備不足的挑戰主要集中在以下四個方面：

安全組織流程和管理需要相應的專業安全人員來應對內部和外部威脅。

安全架構因為融入龐大的生態系統，眾多的攻擊面，需要專業的網絡安全人員在架構設計階段介入并提供專業的指導。

安全產品開發階段需要專業的網絡安全人員以滿足整個產品開發生命周期的安全開發要求。

運營維護階段需要相應的汽車行業的網絡安全人員以滿足相關的法律法規要求。

2、量子計算挑戰

量子密碼學（PQC）已經被納入到車輛開發概念中--通過使簽名和加密機制以及選定的密碼算法具有量子安全性，或者通過設計能夠隨時升級的安全功能來提供足夠能力適應量子計算機的挑戰。

1.3 法律法規（強標監管）

為實現智聯化、網聯化、電動化和共享化，則離不開車內系統數字化、車載IT系統的后端擴展以及軟件傳輸，這些變化使現代汽車成為一個信息交換中心。隨之而來的是智能網聯汽車被入侵的事件，過去幾年里，安全研究員入侵智能網聯汽車的新聞頻繁登上媒體頭條，汽車信息安全問題不容忽視。為應對車輛網絡安全帶來的問題，國際和國內已經頒布和即將發布的汽車網絡安全法律法規強制要求車輛制造商在銷往目的地需滿足其要求：

1、國際：歐盟WP29-R155《網絡安全與網絡安全管理系統》法規從網絡安全角度提出了對新車輛及其制造組織的要求，規定了OEM需要滿足的網絡安全要求，并計劃將該要求作為整車廠獲得特定國家范圍內，特定車型認證的前提條件。車輛制造商面臨滿足法規的要求的挑戰。

2、國內：車輛制造商面臨滿足國內即將發布的《汽車整體信息安全要求》及《汽車軟件升級 通用技術要求》等要求的挑戰。

1.4 SDV

軟件定義汽車的挑戰主要是：車內/車外邊界消除及現有汽車軟件的假設打破。

1、軟件定義汽車利用并依賴于車外功能，即汽車云計算。與智能手機的交互、后端的數據處理都將直接影響汽車的行駛方向以及與駕駛員、乘客和道路使用者的交互。車外安全問題可能會對車內產生影響從安全角度來看，這消除了車內與車外的邊界：汽車公司以及IT系統供應商和運營商須確保汽車生態系統的安全保護軟件定義汽車和道路使用者的安全。

2、軟件定義汽車不僅僅是具有連通性的汽車。各種基礎、差異化的功能通過行車電腦上的車內新軟件和汽車云上的車外新軟件實現。這導致代碼數量不斷增加，進而增加了潛在漏洞。更重要的是，這一轉變打破了關于汽車軟件的現有假設：行車電腦和汽車云使用新型編程語言、虛擬化和服務器技術、大量開源組件以及新型第三方產品。而這些組件和來源中的軟件漏洞都會影響軟件定義汽車的安全性。軟件定義汽車必須在急劇擴張且更加多樣化的軟件供應鏈上得到保護。

1.5 全生命周期開發運維

即使有了最好的開發實踐，一些bug也不可避免，使軟件容易遭受攻擊。這種情況下：事實證明，持續修補易受攻擊的軟件將阻止大多數黑客的攻擊，顯著降低風險。如果做得好，DevOps顯然有助于實現這種企圖，加速整個軟件生命周期內的軟件開發和部署。其面臨的挑戰如下：

1、DevOps團隊必須無縫協作，讓信息在不同的工具和功能之間順暢流動。速度是關鍵，這使得自動化成為安全工程的重中之重。實現這種水平的協作和透明度需要高超的跨職能團隊合作，尤其是跨部門甚至跨組織的團隊合作。有效協作是DevSecOps成功的關鍵，也是維護安全系統的重要方面。下圖是Dev和Ops的合作示意：

2、為了避免浪費時間和資源，不要無謂地重復。汽車行業應靈活學習、調整、應用DevOps方法，打破開發和IT運營部門之間的信息孤島。實現持續集成和交付需要更高效的協作、更快的反饋回路、以及更快更安全的意識等。

二

應對

軟件定義汽車已成為現實，從成熟的軟件行業中汲取經驗教訓和最佳實踐是明智之舉。優秀軟件公司脫穎而出的一個關鍵因素是自動化水平和軟件交付能力。汽車制造商和供應商修復其軟件系統的速度越快，就越能更好地保護其客戶和商業模式免受網絡攻擊威脅。事件確實會發生，但全面且執行良好的措施可以將復雜、有針對性的攻擊及開發漏洞等相關的網絡風險降到可接受的水平?；仡櫧甑木W絡安全事故，解決安全問題的核心需要從組織和技術方面尋求解決方案。在組織上需要不斷完善網絡安全治理能力，技術上需要重點關注全生命周期網絡安全開發與運維能力提升。

2.1 汽車網絡安全治理

當前，相比IT行業，網絡安全在汽車行業發展的成熟度不高，企業對網絡安全的理解不是很充分，企業文化對網絡安全的支撐也不足，很多企業處于初級成熟度的網絡安全管理，比較關注合規性，這可以幫助公司在初期保持業務。然而，軟件定義汽車及其以數據為中心的業務模型需要一個擴展的安全思維傾向，需要以合規為基礎，結合軟件定義汽車快速迭代要求，整合包括軟件供應鏈在內的所有利益相關方（如下圖），建立適用于軟件定義汽車的組織、流程及文化。

2.2 全生命周期汽車網絡安全開發與運維能力提升

軟件定義汽車企業需要快速開發產品，開展全生命周期的網絡安全開發與管理，并將安全運維作為開發能力建設的重要組成部分。安全運維核心包含風險管理和監控，關注軟件定義汽車生態系統中的信息和數據資產。威脅和風險分析（TARA）是汽車公司從初始級到已確認級成熟的第一步，TARA識別風險，衡量緩解措施是否將風險降到可接受的水平。網絡安全開發實施相應的網絡安全風險緩解措施，（如：針對以太網應用和Zonal ECU應用的網絡安全措施）并對實施結果進行測試驗證。然而，由于網絡安全攻擊手段的不斷進化，（如：量子計算機應用于網絡安全攻擊）車輛制造商和零部件供應商需要在車輛SOP后對威脅環境和車輛安全運行狀態進行持續監控——包括生態系統中的漏洞、縮短檢測安全事件的平均響應時間，以及快速更新安全措施直到軟件定義汽車生命周期結束——是具有高級或優化級成熟度的顯著標志。

1、如何應對軟件定義汽車快速交付與全生命周期運維的挑戰----實現DevSecOps確保軟件供應鏈的端到端安全。

在軟件定義汽車環境下，車載計算機和汽車云使用新型編程語言、虛擬化和服務器技術、大量開源組件以及新型第三方軟件都會為軟件定義汽車系統軟件帶來漏洞和網絡安全風險（如下圖所示）。OEM和零部件供應商需要在整車全生命周期內持續對相應軟件及網絡安全功能實現快速交付和維護更新。從概念設計、開發驗證到售后維保直至最終報廢的各階段予以全面充分考慮，這一需求將給零部件供應商和主機廠的軟件管理能力帶來巨大的挑戰。

在當今的網絡安全環境中，至關重要的是采用DevSecOps將軟件開發和維護能力提升到一個新的水平，確保軟件供應鏈的端到端安全。DevSecOps在軟件的開發和操作中嵌入了安全功能，從源代碼到軟件開發人員，再到與軟件系統交互的每個人。

鑒于傳統汽車軟件和IT軟件之間的集成度越來越高，采用DevSecOps不再只是一種選擇，而是一項當務之急。例如，由于制動系統依賴于深度嵌入式軟件，將繼續使用安全增強型V模型進行開發。但是，傳統汽車軟件和IT軟件之間日益增長的集成需要更專注于DevSecOps，特別是在車載計算機和SOC芯片架構下。這些系統將安全關鍵功能和通用功能放在一個芯片中處理，模糊了傳統制動系統控制功能，路邊物體識別功能，數據采集功能和云端回放機器學習功能之間的界限（如下圖所示）。在這種SOC架構上開發和部署軟件，需要嚴格驗證組件和源代碼，無論它們是內部開發還是來自第三方，是開放還是封閉的，因為漏洞可能來自任何一行代碼，而惡意篡改源代碼在軟件世界中并不新鮮。這種驗證代表了軟件供應鏈所需端到端安全性的一個重要方面。

在這種情況下，網絡安全背后的復雜性是由整個生態系統、供應鏈和時間軸上不斷增長的軟件量所驅動的（見下圖）。為有效管理這種復雜性，系統和組織必須跟上這種不斷擴張的步伐。這是有效控制軟件定義汽車風險狀況的唯一途徑。

汽車制造商和供應商修復其軟件系統的速度越快，就越能更好地保護其客戶和商業模式免受網絡威脅。故障發生的平均檢測時間（MTTD），平均修復時間（MTTR）以及漏洞被利用攻擊時間（MTTA）是評價科技公司網絡安全能力的幾個關鍵指標。如果MTTD+MTTR大于MTTA則會存在較大的風險。所以選擇專業的網絡安全供應商提供準確且快速的響應方案至關重要。

2、如何應對Zonal架構和以太網應用帶來的挑戰----Zonal 控制器HSM應用和以太網安全防護方案實踐研究。

隨著軟件定義汽車上SOC芯片主導的Zonal架構和以太網技術在車載計算機，自動駕駛以及信息娛樂領域的應用越來越廣泛，考慮針對Zonal控制器的HSM應用和以太網安全防護技術方案的實踐研究需求非常急迫。由于Zonal架構系統Switch的應用由之前的集中式調整為分散布置的方案，如何充分利用好Switch為車輛網絡安全防護所帶來的便利和能力變成了一個比較重要的話題。如下圖所示，Zonal架構的車輛系統包含功能集中式的車載計算機和4個Zonal 控制器采用以太網進行通訊，網絡安全防護方案參考如下：

在車載計算機上部署Firewall和IDS

使用VLANs在Switch上對A,B,C,D 四個Zonal ECU的通訊進行隔離, Zonal 盡量按照功能組劃分，需要與軟件架構匹配。

VC Switch上部署Firewall實現不同Zonal之間的通訊的隔離與防護，符合法規要求。

在VC 與云端/后臺通訊增加Firewall防護

VC部署IDS-ETH輔助開展通訊包深度入侵檢測防護

在 Zonal ECU上部署Firewall 和 IDS

Zonal ECU Switch上部署Firewall保護其與VC的通訊

Zonal ECU上部署IDS-CAN進行子網內部通訊入侵檢測防護

部分終端ECUs部署Firewall

針對特定ECU應用部署Firewall，比如 EV 充電ECU控制器

在車載以太網通訊加密防護方面，通?？梢圆捎玫木W絡安全防護技術有 SecOC, (D)TLS, IPsec，MACsec等，他們能夠實現哪些方面的網絡安全防護功能（見上圖）。但是針對不同的車輛EEA架構和數據交互應用場景，針對不同的網絡安全攻擊風險該使用哪些以太網防護方式組合是最適用的方案，是需要有針對性的分析后才能確認的。

在Zonal ECU 和SOC芯片的網絡安全HSM加解密應用方面，由于以太網和CAN-FD/CANXL通訊消息量的大幅度增加，針對這些通訊消息的真實性和完整性校驗的CMAC計算量相對現有分布式電子電器架構的ECU應用會大幅增加。當前支持Zonal ECU應用的Renesas/RH850-U2B，Infineon/TC4xx和ST/Stellar采用Cyber Security Satellite (CSS) 方案大幅提升CMAC生成和校驗速度，以滿足以太網和CAN-FD/CANXL 大規模高速通訊帶來的CMAC校驗性能需求。HSM配套軟件支持該硬件方案的應用，具體情況可以參考下圖。

軟件定義汽車上SOC芯片主導的Zonal架構和以太網技術在車載計算機，自動駕駛，信息娛樂領域以及Zonal控制器應用相關的網絡安全防護措施還會由很多具體的挑戰和措施需要咱們在應用實踐中不斷探索和解決。

3、如何應對量子計算機攻擊帶來的挑戰----抗量子計算機攻擊加解密算法在嵌入式系統應用實踐研究。

通常車輛的壽命至少為10-15年，而電池/電動車的壽命可能會更長。這就提出了一個問題：今天在開發汽車架構時必須考慮哪些措施，以確保汽車系統在后量子時代能夠抵御攻擊并擊退未經授權的訪問。這里的重點是全生命周期的網絡安全適應性和持續的風險管理。在一個理想的世界里，后量子密碼學（PQC）必須已經被納入到車輛開發概念中--通過使簽名和加密機制以及選定的密碼算法具有量子安全性，或者通過設計能夠隨時升級的安全功能來提供足夠能力適應量子計算機的挑戰。

我們評估了NIST征集的量子安全算法在汽車應用方面的適用性，作為全生命周期的后量子PKI（FLOQI；見信息框）項目的一部分。排名第一的是兩種基于格子的算法。

CRYSTALS-Dilithium作為簽名算法

CRYSTALS-Kyber為KEM。

這兩種算法也都在NIST項目的最終候選名單上。它們被認為是汽車應用的良好候選者，特別是因為它們的性能和穩定的資源消耗，參考下圖。

圖：從NIST的提案征集中選出的算法顯示了密鑰和簽名值的重大差異。并非所有的算法都同樣適用于汽車應用。

為了使這兩種后量子算法現在就能用于汽車應用，ETAS最近將它們納入其汽車專用密碼庫。這種加密庫是車載網絡安全的一個核心組成部分。它提供了大多數安全應用所需的加密算法、格式和加密協議。例如，數字簽名驗證使用加密庫與閃存解決方案或安全啟動激活等功能相關。更重要的是，汽車密碼庫的開發是為了配合車輛的具體應用、要求和基礎設施。這意味著，算法是根據ASPICE 2級和ISO 26262（達到ASIL D）來實現的，同時特別關注嵌入車輛的系統的有限資源和所需性能。

但最重要的是，這為車輛安全鋪平了道路，使其對來自量子計算機的攻擊更具彈性。這是因為這意味著抗量子的安全功能也可以在硬件安全模塊（HSM）和屬于未來ECU和車載計算機的SOC芯片上運行。在HSM硬件方面，這需要強大的加速器。例如，散列算法（SHA3或SHA2-256）占非對稱PQC進程計算能力的80%。后量子時代的另一個絕對必要條件是用于對稱密碼學的強大AES-256。

因此，這就要求HSM具有高性能的安全堆棧，支持相應的硬件加速器，并將其集成到應用軟件中提供的安全相關功能和協議中。這導致配備HSM的微控制器和微處理器能夠抵御后量子攻擊，從而確保量子計算機時代車輛的網絡安全。

審核編輯：湯梓紅