也因此,現今的車輛也有著越來越多的應用聯網,但這也增加攻擊面(攻擊媒介的總和,代表駭客的潛在路徑和攻擊者利用漏洞),每個連接選項表示一個潛在的進入點(圖1)。
與此同時,駕駛也希望獲得更多的安全保障、舒適性,以及便利性。顯而易見的,此一需求也增加了汽車解決方案的複雜性。現代車輛的大部分功能都是由電子系統控制的,舉例而言,在高階車款有著200個以上的電子控制單元(Electronic Control Units, ECU)和2億行以上的程式碼,使其成為每天使用的最複雜的系統之一(圖2)。
全自動車輛的廣泛使用似乎是遙遠的未來,但接管汽車控制權的威脅比大多數人想像的要近。著名的吉普駭客(研究人員從他們的地下室遠端控制車輛)是三年前 (2015年),此後公布了多個駭客攻擊。
安全防護對個人/國家而言都十分重要
對於自動駕駛汽車來說,安全問題最為明顯,但所有車輛都必須得到保護。駕駛不僅想阻止駭客控制汽車(特別是當坐在車裡時),也希望汽車是安全的,以防罪犯覬覦(例如安裝勒索軟體)。
隱私越來越受到關注,因為越來越多的敏感訊息儲存在汽車本身或連接到汽車的雲中。駕駛使用上線服務,相互溝通並使用信用卡付款,而汽車可以顯示人們的位置、駕駛習慣和其他敏感訊息。目前各國政府已採取行動強化隱私保護,例如歐盟的通用數據保護條例(GDPR),加利福尼亞的加州消費者隱私法(CCPA)或SPY汽車法(汽車法中的安全和隱私法),但日常生活的汽車也必須有足夠智慧和安全以保護個人隱私。車輛必須採取強有力的安全措施,以阻止恐怖分子接管汽車並將其武器化;運輸是關鍵基礎設施的一部分,保護運輸必須成為每個國家的國家安全戰略的一部分。
安全是駭客和防護間相互競爭
沒有完美的安全保障方案,如果有足夠的資源(時間、金錢、設備等),一切都會被打破。在過程中,安全保護措施必須足夠強大,才能使攻擊者相信不值得嘗試攻擊受保護資產。攻擊者分析成本(花費的金錢和時間、所需的技術訣竅和設備、被抓住的風險等)與利益(贓物或數據資料、宣傳等)以及損益平衡,如果可以遠程執行攻擊,或者可以輕鬆地將其擴展到車隊,則可以獲得更具吸引力的投資回報。
攻擊方法隨著時間的推移而逐漸變得越來越便宜,使犯罪分子和恐怖分子更加負擔得起並且可能有利可圖。汽車安全也因而必須不斷發展,這意味著汽車製造商必須支援車輛內外及其供應商的可更新、可升級的安全性(例如韌體/軟體空中更新)。當然,可能會在行車現場發現新的漏洞,因為與攻擊是一直持續的,必須能夠在車輛的使用壽命期間應用安全修復程序,這比大多數其他消費品的使用壽命更長。
強化安全人人有責
之前提到的吉普駭客很快就被遺忘了(研究表示聽說過它的人中,只有一半的人在一年後仍記著這件事)。在技術論壇上,新的駭客和解決方案不斷發布,但消費者在經銷商處要求提供汽車安全資訊的情況仍然不常見。
一個共同商定且獨立、客觀地對安全級別進行分類的框架目前並不存在,各國政府正在積極運行,就像聯邦調查局對汽車駭客攻擊的公開警告一樣,但達到消費者對現有威脅和解決方案的適當認識水準仍需時間。
到目前為止,成功的駭客大多是由研究人員和產業從業人員自己執行的,而不是犯罪分子或恐怖分子。但消費者、產業和整個社會現在必須採取行動,當為方便起見,為未來的汽車提供更多的功能和連接選項時,必須實施匹配措施,以確保在這個更加複雜、危險的環境中的安全和保障。
政府/產業致力解決安全問題
汽車整車廠(OEM)及其供應商正在定義未來車輛系統的安全架構和必要的基礎設施適用功能,如V2X(車輛到基礎設施通訊)、雲服務和空中更新。安全性是新設計不可或缺的一部分。政府的舉措在確保自主車輛的安全方面發揮著重要作用,例如美國DoT自動車輛3.0,專注於從SAE自動化1級(駕駛員協助)到5級(完全自動化)的各種自動化車輛(圖3)。
目前正在制訂標準。2016年出版的網路物理車輛系統網路安全指南(SAE J3061)描述了一個可用於將網路安全構建到車輛系統中的流程框架。SAE的車輛電氣系統安全委員會正在製定SAE J3101(地面車輛應用的硬件保護安全要求),以確定一套共同的要求。
新興標準ISO/SAE 21434(道路車輛–網路安全工程)定義了一個框架,以確保一致、明確以及穩健的方法來培養網路安全文化,並且管理整個車輛生命週期中的網路安全風險,以適應不斷變化的威脅形勢和建立網路安全管理系統。因此,它將解決產品工程中的安全問題,類似於ISO 26262如何解決功能安全問題,ISO/SAE 21434計劃於2020年出版,且它可能會取代SAE J3061。
汽車製造商和供應商之間建立了聯盟,為需要整個產業合作的發展提供平台。從許多重要的論壇來看,重點是強調Auto-ISAC,它是重要的全球網路安全專注社群之一(共享情報和提供最佳實踐指南)和C2C-CC(Car 2 Car Communication Consortium),專注於合作智慧運輸系統和服務(C-ITS)的部署。
實施可靠原則以解決汽車安全挑戰
汽車產業透過最先進的安全原則,並將其應用於汽車設計來應對這些安全挑戰,汽車製造商必須設計和開發專注於整個系統的端到端解決方案,包括汽車如何與其環境和其他車輛互動。用適當的安全設計方法以確保安全性不是事後的想法,而是從第一天開始就被設計到每個組件中。OEM定義的系統安全概念整合了來自多個供應商的元素,因此透過複雜的供應鏈有效地推動該系統安全概念是成功的重要因素。
必須應用於所有系統的另一個原則是縱深防禦或多層安全性,這意味著如果違反了一層安全性,則下一層必須繼續保護系統。舉例來說,如果訊息娛樂系統被駭客入侵,那麼內部防火牆仍將保護安全相關系統,如轉向控制和制動器,以防止未經授權的侵入(圖4)。
如前所述,重要的是確保汽車安全解決方案在車輛壽命期間保持有效,組件必須具有固有的更新路徑,使安全解決方案保持最新狀態,並解決未來可能存在的潛在漏洞。例如,可以在當地經銷商處或通過無線更新應用這些升級。
保護的級別和性質必須與車輛中不同功能域、應用和組件中的威脅一致。ECU的保護等級取決於多個參數,包括攻擊面,在其上實施的功能重要性以及受保護的資產。具有外部連接功能的組件,例如訊息娛樂系統或閘道器,便需要比大多數車身控制模組更高級別的保護。
潛在易受攻擊的組件應與安全關鍵功能隔離開來,因此成功攻擊的影響可能會受到限制。如果檢測到成功的攻擊,則必須維護和保護核心功能以確保汽車保持功能和安全,但是可以禁用附加功能(例如直播視訊串流)以減少潛在影響。
汽車供應鏈中的所有公司都必須準備好不斷投資於網路安全解決方案,以便始終領先於隨時可能發生的威脅,而這需要一個全面的汽車網路安全計劃,其中包括:具有內置安全功能的產品、整合到正常開發流程中的安全產品工程流程、內部/外部安全評估和認證、產品安全事件響應團隊和系統方式分享威脅情報。隨著安全性成為產品設計不可或缺的一部分,構建和維護安全意識組織至關重要。
為此,汽車元件供應商積極研發相關產品。像是恩智浦旗下的S32處理平台提供基於4+1汽車安全框架(圖5)。4層網路安全解決方案為外部世界提供了一個安全的介面,可用於M2M(機器到機器)通訊、區域隔離的安全閘道器、內部和外部消息傳輸的安全網路,以及ECU上的安全處理等;而與安全的汽車門禁系統一起使用,則可以在整個車輛中實現縱深防禦保護。
設計安全性至關重要,這就是為什麼作為S32平台的一部分開發的產品提供全面安全功能,在稱為硬體安全引擎(HSE)的專用安全子系統中實現安全啟動、對稱和非對稱加密服務、散列、高質量隨機數生成、密鑰管理服務、側訊道保護和故障阻抗;硬體加速已到位,可滿足安全關鍵型汽車系統的即時要求。
同時,該產品可以提供廣泛的應用(車身、舒適性、動力總和、車輛動力學、安全性、駕駛員輔助和駕駛員更換、閘道器、域控制器等),確保產品易於使用,並具有易於重複使用通過相容的安全API,所有產品均符合AUTOSAR標準,完全符合SHE和EVITA Full規範的功能目標。
總結來說,現今進入市場的任何解決方案,都必須提供一種在車輛使用期間都必須不斷保持更新的安全解決方案,因此透過安全(加密)支援離線、無線固體、軟體更新非常重要;必須在所有領域提供可更新、可升級的安全性,以支援從設計到報廢的車輛。
業界正在努力設計和維護汽車安全系統,使汽車製造商能遵循良好的安全措施,例如使用強密碼並報告他們觀察到的可疑故障。汽車及其安全系統非常複雜,有多個切入點。需要深入的安全專業知識來保護敏感資料,並確保車輛的安全運行。
汽車產業必須為現有和未來的車主提供足夠的安全解決方案,同時政府也可以發揮作用,例如,通過確定獨立評估我們車輛安全能力的法律,車主可以且應該要求經過驗證的高安全性解決方案,以及舒適性和安全性。提高消費者意識和需求有助於加快所需步驟,因此安全實施可以滿足高度連接車輛或自動駕駛快速成長的安全要求。
總結來說,目前一切都在考驗消費者能否相信自己的車輛嗎,特別是當看到越來越多的自動駕駛機器人時。答案是,如果將安全性視為整體車輛設計的一個組成部分,並準備在可更新和可升級的安全性方面領先於駭客攻擊技術,就可以相信自己的車。
重要的是,政府、產業參與者和車主都該盡自己的一份力量,要求提供有關汽車安全功能的訊息應該成為常規,就像今天學習安全性,駕駛參數和便利性一樣;而供應商必須使用最先進的技術支援這一目標,讓每個人都可以安全可靠地行駛在路上。
