提到汽车安全,大多数人会想到防止汽车被盗。但随着自动驾驶的出现、连接选项迅速增加以及复杂性不断提高,车辆很容易遭受新型网络攻击。在这种新环境下,车辆需要获得比以往更多的保护。
1
什么导致我们的汽车易受攻击?
每天,我们依赖各种服务和云端数据保持互联。我们希望在路上获得同样的便捷性,因此我们的汽车互联程度也变得越来越高。这就扩大了攻击面(攻击手段的总和,代表黑客和攻击者利用漏洞的潜在途径)。每种连接选项都代表潜在的入口点。
图1,车辆电子产品和安全性
我们还想要提高安全性、舒适度和便捷性,这进一步提高了汽车解决方案的复杂性。现代化车辆的大多数功能都由电子系统控制。现代化高端汽车具有200多个ECU(电子控制单元)和2亿多行代码,因而成为日常使用的最复杂的系统之一。
全自动车辆的广泛使用可能看起来很遥远,但夺取汽车控制权的威胁却离我们很近,跟大多数人想象的不一样。
图2,平均代码行数比较
2
安全至关重要,不仅关乎人身安全
对于自动驾驶汽车而言,安全问题最为显而易见,但所有车辆都必须得到保护。我们不仅要阻止黑客控制我们的汽车(尤其是当我们坐在汽车里时),还要保护汽车的安全,避免被设法盗取财物的罪犯入侵(例如,通过安装勒索软件)。
隐私越来越受到人们的关注,因为越来越多的敏感信息存储在汽车内部,或存储在与汽车相连的云端。我们使用在线服务,相互通信,并使用信用卡付款。汽车能够访问有关我们位置、驾驶习惯的信息,以及其他必须得到保护的敏感信息。
政府已采取行动来保护我们的隐私。例如,欧盟的GDPR(通用数据保护条例)、加利福尼亚州的CCPA(加利福尼亚州消费者隐私法案)或SPY Car法案(汽车安全与隐私法案)。但是,我们的汽车必须足够智能和安全才能保护我们。
车辆不仅仅是带轮子的智能手机。成吨钢铁如果落入坏人之手,可能相当危险,我们必须实施强大的安全措施,以阻止恐怖分子操控我们的汽车,将我们的汽车变成武器。交通只是关键基础设施的一部分,必须将保护交通纳入每个国家/地区的国家安全战略中。
3
安全性:攻防之间的一场竞赛
没有完美的安全性,如果您有足够的资源(时间、金钱、设备等),一切都可能遭到破坏。实际上,保护措施必须足够强大,才能让攻击者信服不值得尝试攫取受保护的资产。
攻击者会分析成本(花费的金钱和时间、所需的专业知识和设备、被抓的风险等)与收益(窃取的物品或数据、公众关注度等),当达到恰当的平衡时,他们便会发起行动。如果攻击可以远程执行,或者可以轻松扩展到一个车队,那么投资回报将更有吸引力。
攻击方法随时间不断改进,成本越来越低,对罪犯和恐怖分子而言,经济上更能负担得起,也可能更有利可图。汽车安全也必须不断改进。
这意味着,汽车制造商必须与其供应商一起在车辆乃至更大范围支持可更新、可升级且适应未来需求的安全性,例如固件/软件无线更新(FOTA/SOTA)。该领域可能出现新的漏洞,因为这场竞赛会在汽车离开生产线后持续很久时间。在车辆的生命周期内,必须能够应用安全修补,而这一生命周期比大多数其他消费品都更长。
4
安全是研究人员的事,无需采取行动?
在技术论坛里,新的黑客攻击(和解决方案)不断发布,但消费者要求经销商提供其汽车安全信息的做法仍然不常见。目前,尚不存在一个公认的框架用于对安全性级别进行独立客观分类(就像对安全进行分类一样)。
与FBI对汽车黑客攻击的公开警告一样,政府正在积极提高大众意识,但要消费者达到对现有威胁和解决方案的正确认识水平,仍然需要时间。
到目前为止,成功的黑客攻击主要由研究人员和行业参与者执行,而不是由罪犯或恐怖分子执行。但是我们作为消费者、行业和社会大众必须立即行动起来。当我们为了便利而向未来的汽车加塞更多功能和连接选项时,我们必须实施相应的措施,在这个更复杂、更危险的环境中确保安全性。
5
政府和行业参与者已经在行动
汽车OEM及其供应商正在定义未来车辆系统的安全性架构以及V2X(车对外界通信)、云服务和无线更新等功能所需的基础设施。安全性是新设计中不可或缺的一部分。
在确保自动驾驶车辆的安全性方面,政府倡议发挥着重要作用,例如美国交通运输部的自动驾驶车辆3.0政策关注的是从SAE自动化级别1级(驾驶员辅助)到5级(全自动)的各种自动驾驶汽车。
图3 ,汽车自动化级别
相关标准目前正在制定中。2016年发布的SAE J3061(网络物理汽车系统网络安全指南)中介绍的流程框架可用于为车辆系统构建网络安全。SAE汽车电子系统安全委员会已开始起草SAE J3101(路面车辆应用的硬件保护安全要求),以定义一套通用的要求。新兴标准ISO/SAE 21434(路面车辆——网络安全工程)定义的框架可确保采用一致、明确且稳健的方法,以营造网络安全文化,在整个车辆生命周期内管理网络安全风险,允许根据不断变化的威胁格局进行调整,并制定网络安全管理系统,从而解决产品工程中的安全问题,这与ISO 26262解决功能安全的方式类似。ISO/SAE 21434定于2020年发布,可能将会取代SAE J3061。
车辆制造商和供应商形成了联盟,为需要全行业合作的开发工作提供平台。在众多重要论坛中,值得一提的是Auto-ISAC和C2C-CC(车辆间通信联盟),前者是专注于网络安全的全球重要社区之一(分享情报并提供最佳实践指南),后者则专注于部署合作智能交通系统和服务(C-ITS)。
6
面向未来的可靠汽车安全方案和原则
行业通过在汽车设计中运用先进的安全原则来解决这些安全性挑战。
汽车制造商必须设计和开发侧重于整个系统的端到端解决方案,包括汽车如何与环境及其他车辆进行交互。适当的“通过设计确保安全”方法确保安全性不是事后补救,而应该从一开始就设计到每个组件中。OEM定义的系统安全概念将来自多个供应商的元素整合在一起,因此通过复杂的供应链高效地推动该系统安全概念是取得成功的重要因素。
必须运用到所有系统的另一个原则是深度防御或多层安全,因为一般来说,最薄弱的环节决定了安全性有多强大。这意味着,如果一层安全防线被突破,下一层必须继续保护系统。举个例子,如果信息娱乐单元遭到黑客攻击,则内部防火墙将继续保护与安全相关的系统(如转向控制和刹车)免遭未授权访问。
图4,核心安全原则
如上所述,确保汽车的安全解决方案在车辆的整个生命周期内始终有效,这一点非常重要。组件必须具备固有升级路径,以使安全解决方案保持先进并解决未来可能会出现的潜在漏洞。例如,这些升级可在当地经销商处实施或通过无线更新实施。
保护级别和性质必须与车辆内不同功能域、应用和组件面临的威胁相符。ECU的保护级别取决于多个参数,包括攻击面、已实施功能的重要性和受保护的资产。带有外部连接能力的组件(如信息娱乐系统或网关)所需的保护级别高于大多数车身控制模块。
可能易受攻击的组件应该与安全关键功能隔离开来,以此限制和遏制成功攻击带来的影响。如果检测到成功攻击,必须维护和保护核心功能,以确保汽车仍然能够正常运行且安全,但可能需要禁用其他功能(如实时视频流式传输)以降低潜在影响。
7
全球保障安全无忧出行解决方案
汽车供应链中的所有公司必须准备好持续投资于网络安全解决方案,以跑赢不断发展的威胁。这就需要维持一个全面的整体汽车网络安全计划,其中包括:具有内置安全功能的产品、集成到正常开发流程中的安全产品工程流程、内部/外部安全评估和认证、产品安全事故响应小组和系统化的威胁情报分享方式。随着安全性逐渐成为产品设计中不可或缺的一部分,构建和维护具有安全意识的组织至关重要。
恩智浦的S32处理平台以4+1汽车安全框架为基础,提供目前市面上最强大的安全解决方案之一。该4层网络安全解决方案提供用于与外界进行M2M(机器间)通信的安全接口、安全的域隔离网关、安全的内部和外部消息传递网络,并且支持在ECU上的安全处理。再加上安全的汽车门禁系统,可在整个车辆中实现深度防御保护。
图5,多层安全框架
“通过设计确保安全”至关重要,正因如此,作为S32平台一部分开发的产品可提供一系列完整的安全功能,在名为HSE(硬件安全引擎)的专用安全子系统中加以实施:安全启动、对称和非对称加密服务(加密、解密、签名和验证)、哈希算法、高质量随机数字生成、密钥管理服务、旁路保护和故障防御。硬件加速已落实到位,可满足安全关键汽车系统的实时要求。
为支持一系列广泛的应用(车身、舒适度、动力传动、车辆动力、安全性、驾驶员辅助和自动驾驶、网关、域控制器等等),同时确保产品易于使用、易于重用且易于集成,整个S32产品组合中的安全服务可通过兼容的安全API进行访问。所有产品均符合AUTOSAR,并且完全满足“SHE”和“EVITA Full”规格的功能目标和宗旨。
由于如今上市的任何解决方案都必须提供一种方法来确保安全解决方案在延长的车辆生命周期内保持最新,因此务必要通过安全的(经过加密和验证的)渠道来支持离线和无线固件及软件更新。所有域都必须具备可更新、可升级、进而适应未来需求的安全性,以支持从设计到寿命终止的整个车辆生命周期。
8
车主如何才能降低黑客入侵风险?
行业正在努力设计和维护汽车的安全系统,让车主只需遵循良好的安全实践即可防御风险,如使用强密码和报告他们观察到的可疑功能故障。
汽车及其安全系统具有多个接入点,因此非常复杂。它们需要深厚的安全专业知识来确定保护敏感数据的最佳方式,并确保车辆的安全操作。
汽车行业必须为目前和未来的车主提供足够的安全解决方案。政府也可以发挥作用,例如,为车辆安全功能的独立评估制定法律框架。
除了舒适性和安全性,车主可以、也应该针对高度安全的成熟解决方案提出要求。消费者意识和需求的不断提高有助于加快所需的步骤,因此安全性实施可满足高度互联车辆中快速增长的辅助或自动驾驶安全要求。
9
汽车安全的未来
全面考虑:看到越来越多的“自动驾驶机器人”,我们的车辆还值得信赖吗?答案是肯定的,只要我们将安全性视为整体车辆设计中不可或缺的一部分,并准备好提供可更新、可升级且适应未来需求的安全性,以跑赢不断发展的攻击技术。
政府、行业参与者和车主各司其职是至关重要的。我们应该习惯性地索取有关汽车安全功能的信息,就像我们现在了解安全性、驾驶参数及便利功能一样。提供商必须通过最先进的技术来支持这一目标,让大家都能安全无忧。
END
NXP客栈
恩智浦致力于打造安全的连接和基础设施解决方案,为智慧生活保驾护航。
长按二维码,关注我们
最新有关NXP 恩智浦半导体的文章
■8月15日,合肥 | 恩智浦技术日汽车电子专场活动来啦!马上约,别错过!
■对于智能家居,互操作性为什么如此重要?答案在这里…
■恩智浦启动智能家居创新实验室!
■5纳米S32N处理器加持,S32 CoreRide软件定义汽车基础架构平台都能做些啥?
■恩智浦获汽车连接联盟(CCC)认证,加速数字车钥匙发展!
■8月14日,合肥 | 恩智浦技术日工业和物联网专场活动,火热报名中!
■恩智浦方案赋能,让Google Wallet中的交通卡实现移动交通支付功能!
■恩智浦获得商用密码产品认证证书
■恩智浦技术日(常州站)举办在即:速来预约报名,与前沿技术方案零距离!
■职场vlog | 实习生一枚,在恩智浦MCU系统应用团队的四个月,是如何度过的?