為什么確定性網絡安全技術對智能網聯汽車如此重要?

今天的車輛已逐漸由軟件來定義，每輛車中上百個ECU 和上億的海量代碼，導致工程師花費數周時間試圖找出破壞車輛安全、性能或功能的單個錯誤。車輛網絡連接的快速發展正在迅速成為汽車網絡安全的最大威脅，緊靠傳統的IT網絡安全方法已無法解決這個問題。

車聯網生態系統

如果我們將車輛與傳統 IT 網絡進行比較，每輛車都是一個具有眾多端點的虛擬局域網（每個 ECU 都可以視為一個端點）。就像IT局域網和端點一樣，它們容易受到網絡攻擊。 

制造商必須實施比IT網絡安全的機制更廣泛的、更強大的汽車網絡安全機制。用于IT網絡安全的方法與聯網車輛的某些子系統相關，但對于其他子系統，則需要針對特定于車輛的聯網汽車數據和安全保護的方法。

車聯網生態系統可以分為五個相互關聯的子系統：

1. 安全關鍵子系統（safety critical subsystem）：對車輛乘客和其他人的安全有直接影響，比如動力總成部件

2. 傳感器和V2V通信：為功能安全關鍵子系統提供主要的輸入

3. 運營和V2X通信：普通的、非關鍵Safety子系統，以及車輛環境控制組件

4. 業務流程：數據貨幣化、遠程信息處理、車隊管理系統 (FMS) 相關的組件

5. 用戶體驗 (UE) ：信息娛樂、應用程序和便利組件

什么是汽車網絡安全?

那么什么是汽車網絡安全，它與 IT 安全有何不同？

聯網車輛需要強大的處理能力、大量的數據存儲和眾多的通信通道。幾乎所有車輛的功能子系統都參與了上圖所示的分層網絡，并且都受到了白帽黑客和黑帽黑客的攻擊。

傳統的 IPS 和 IDS 技術為第 3-5 層中與安全無關的開放子系統提供足夠的保護和報告，并依賴啟發式（heuristics）、機器學習和其他被動的方法（reactive methods）來識別和處理攻擊。

然而，當我們在第1層和第2層轉向安全關鍵操作時，聯網汽車必須作為具有確定性能力的封閉系統進行維護，這種能力是預防性的，而不是被動的。這畢竟是生死攸關的事!

然而，當我們轉向第1層和第2層的安全關鍵操作時，聯網汽車必須作為具有確定性能力的封閉系統進行維護，這種能力是預防性的，而不是被動的。畢竟事關生死.

針對安全關鍵子系統的網絡攻擊

雖然失去無線電使用或遭受數據泄露，雖然令人不快或有所損害，但不會危及乘客的安全。然而，對于第1層和第2層傳感器和V2V通信以及所有安全關鍵功能來說，情況并非如此。在這里，我們需要完善的、確定性的實時網絡安全。

相關傳感器和網關包括：

· V2V/VI網關

· 雷達傳感器

· 激光雷達傳感器

· 相機傳感器

· 超聲波傳感器

安全關鍵子系統包括：

· 剎車、油門、轉向和點火鑰匙 

· 安全氣囊

· ADAS計算機和傳感器

· 防鎖剎車系統

· 電子穩定程序/子系統

在這種情況下，我們最終關注的是可能危及生命和財產的攻擊類型，這解釋了汽車網絡安全的重要性：

· V2V/V2I 網關身份認證、完整性和拒絕服務

· 傳感器驗證與網絡安全，射頻信號的驗證與干擾

· 惡意軟件：獲得對安全關鍵 ECU 的控制

· 惡意軟件：控制ECU或組件的通信

· 通信中斷(拒絕服務) ：發生在CAN總線的關鍵部分

· 供應鏈中疏忽：原始組件被惡意軟件感染的部分替換

· 軟件/固件管理中的缺陷：其中原始軟件/固件組件被惡意軟件感染的對應組件替換

確定性汽車網絡安全 

對于乘客和車輛安全等安全關鍵級別（Safety Critical level）來說，確定性的網絡安全機制是強制性的。我們不能依賴IT網絡安全的事后補救方法。當生命危在旦夕時，不能出現誤報和漏報。

安全關鍵子系統（Safety Critical Subsystem）在保護車輛、駕駛員和乘客的安全方面發揮著至關重要的作用。在這種情況下，網絡安全解決方案的實施必須符合非常嚴格的要求，因為我們的生活依賴于它：

· 確定性和可靠的機制要求是可驗證和可證明的,并能實時檢測和防止網絡威脅(最好是在硬件上)。軟件解決方案是不夠的，因為需要安全專家進行事后分析或容易出現誤報。

· 為每個硬件/軟件/固件新版本(包括內置的網絡安全組件)都有正式的文檔記錄，并對功能安全(safety)進行認證。

· OEM 和 Tier1 產品開發流程必須擴展以包括網絡安全過程，從而防止流氓硬件和軟件/固件等通過生產線和維護站點進入供應鏈。

· 下載新版本的軟件/固件必須使用鏡像簽名機制。

設計安全（secure by design）

駕駛員的偏好和愿望發生了巨大變化。消費者想要定制的體驗，而行業正在適應這些需求。個性化和連接性的增加意味著更多的軟件，但這并不意味著更大的脆弱性。 

確定性網絡安全（Deterministic security）（或設計安全secure by design）要求必須對所有潛在的操作排列進行全面建模，并且任何通信或流程執行都不能使子系統脫離可接受的行為范圍。安全機制的威脅不可知論意味著：任何來源的、任意類型的（無論是否可預見）安全攻擊，都不能危及任何安全關鍵的 ECU 或通信。 

安全設計（secure by design）車輛使原始設備制造商能夠在不影響汽車網絡安全的情況下提供先進的駕駛體驗。

后面我們將逐步介紹行業的一些確定性網絡安全機制的原理和應用。

參考:https://blog.guardknox.com/traditional-it-cyber-security-vs-automotive-cyber-security-explained

文章來源：汽車信息安全