汽车盲点检测系统的网络安全分析和设计
摘要
随着地面车辆日益复杂且互联互通,汽车行业对网络安全措施的需求也在同步增长。高级驾驶辅助系统(ADAS)技术的进步以及对特定功能的监管要求,极大地提升了网络安全的重要性。这些发展也推动了车辆架构的变革。近年来,软件定义车辆架构备受关注,在车辆软件领域技术发展中发挥着关键作用,本文围绕该架构下的盲点检测功能展开研究。本研究聚焦于威胁分析与风险评估(TARA)流程,并依据 ISO/SAE 21434:2021 标准,针对软件定义车辆(SDV)架构下的盲点检测功能,制定了针对已识别威胁的应对措施。在该流程中,第一步是识别具有网络安全属性的对象,即资产。随后,定义损害场景及其影响等级、威胁场景及其攻击可行性等级,并结合这两个等级确定风险值与网络安全防护等级(CAL)。同时,制定网络安全目标,以保护资产的网络安全属性。最后,基于这些网络安全目标,确定可应对威胁场景的具体措施。
1. 引言
过去十年间,车辆系统在诸多方面经历了重大变革,从车辆控制到远程信息处理,再到高级驾驶辅助系统,无一不体现着这种变化。随着变革的持续推进,车辆架构有望发生显著改变。
如今的车辆可归为硬件功能定义车辆(HFDV),这意味着其物理组件和系统是为满足特定功能需求而专门设计和配置的。在不久的将来,车辆的定义预计将逐渐脱离硬件主导,转向以软件为核心。越来越多的功能可通过软件实现 —— 软件在车辆成本中占比已接近 40%,且在车辆各组成部分中,软件的迭代速度最快、个性化调整也最为便捷。因此,软件定义车辆(SDV)的概念已成为汽车行业的普遍共识和发展趋势。在此背景下,软件定义车辆中的相关功能通过软件组件来实现。软件定义车辆功能可进行远程更新,这一特性确保了基于软件定义车辆的系统能够持续改进,且新功能可快速集成到现有功能中。软件定义车辆最显著的应用之一是自动驾驶汽车(AV)的开发,自动驾驶汽车依赖复杂的软件系统执行导航、感知、决策等任务。然而,这也引发了新的安全、伦理和保障方面的担忧,例如网络攻击、碰撞事故中的责任划分,以及对健全的数据隐私和安全协议的需求。本文聚焦于高级驾驶辅助系统中最常见的功能之一 —— 盲点检测,并将其置于软件定义车辆(SDV)的特定背景下展开研究。通过威胁分析与风险评估(TARA)方法,确定了该功能面临的网络安全问题、潜在攻击、攻击可能引发的损害场景,以及针对该功能的最高级别网络安全目标。同时,为防止相关网络安全目标被破坏,还制定了应对威胁场景的措施。下文将对论文各部分进行概述:第 2 章阐述软件定义车辆架构、软件定义车辆组件,以及在盲点检测功能层面可能存在的网络安全漏洞;第 3 章介绍软件定义车辆背景下盲点检测功能的威胁分析与风险评估(TARA)流程;第 4 章说明针对已识别网络漏洞的应对措施;第 5 章为结论部分。
2. 软件定义车辆
软件定义车辆是指其核心功能通过软件提供和管理的车辆。这类车辆配备了种类繁多的传感器和功能,这些传感器和功能理想情况下会集成到一个通用软件平台中。软件定义车辆(SDV)的出现,旨在应对车辆复杂度不断提升以及满足客户需求等相关挑战。软件定义车辆平台能够实现车辆车载系统与安全云资源之间的无缝信息交互。软件定义车辆的特性如下:
软件与硬件解耦:
软件与硬件解耦是软件定义车辆的关键技术特性之一。传统车辆组件子系统中的软件嵌入在硬件之中。为提高汽车软件的灵活性,进而提升用户体验,传统车辆的组件子系统将逐步实现分层设计,不同层级技术元素之间的关联将有所减弱。
空中下载(OTA)更新:
在软件定义车辆中,功能特性可通过软件实现启用、更新或禁用。云服务平台能够构建闭环,对数据进行处理和分析。借此,可充分挖掘数据潜力,通过远程软件升级提升用户体验。
可扩展架构:
车辆网络及其节点能够根据车辆需求灵活调整资源配置,在自动驾驶汽车中这一特性尤为重要。
2.1 软件定义车辆架构
随着软件定义车辆的发展,车辆拓扑结构也基于全新理念进行设计。软件定义车辆架构在满足功能安全、网络安全、自动驾驶汽车需求以及降低成本等方面进行了优化,实现了从传统硬件中心化设计向软件中心化系统的重大转变。传统分布式架构采用大量电子控制单元(ECU),并通过控制器局域网(CAN)或本地互联网络(LIN)等协议实现互联,这导致架构在维护和扩展性方面面临挑战;而区域控制架构则采用区域控制单元(ZCU),能更高效地管理各功能区域。这种新型区域架构以高性能计算机(HPC)为核心,该计算机负责数据交互、资源分配和安全任务,同时借助区域电子控制单元实现高速数据传输和直接外部通信。该架构具备更强的可扩展性和灵活性,支持集中式与分布式控制,通过防火墙、空中下载(OTA)更新等先进功能实现更完善的生命周期管理,使得软件定义车辆相比传统车辆架构更具适应性和安全性。图 1 展示了适用于盲点检测功能的软件定义车辆架构示例。
图 1:适用于盲点检测功能的软件定义车辆架构
2.1.1 软件定义车辆组件
如图 1 所示的架构,软件定义车辆架构包含多个电气和电子元件。高性能计算机 1(HPC1)是满足高级驾驶辅助系统(ADAS)计算需求的核心元件,负责传感器数据处理、决策算法执行,并将相关信息传输至显示屏。高性能计算机 2(HPC2)是中央高性能计算元件,主要负责处理车载信息娱乐系统(IVI)等多项计算任务。区域 1(Zone1)是重要元件,包含位于车辆后部的摄像头及相关控制器,通过网关与高性能计算机 1(HPC1)进行通信。区域 2(Zone2)和区域 3(Zone3)也是重要的控制单元,负责获取和收集盲点检测功能所需的信息,并通过网关传输至高性能计算机 1(HPC1)。雷达是集成在车辆左右两侧的传感器,用于检测车辆盲点区域内的物体。本文中,摄像头同样作为一种传感器集成在车辆后部,在车辆行驶过程中监控周边环境,并承担盲点检测的任务。该架构中另一个重要元件是云平台(Cloud),其负责传感器数据的整体处理以及软件的空中下载(OTA)更新。
2.2 软件定义车辆的网络安全
在软件定义车辆(SDV)中,所有硬件功能均通过软件实现,且车辆的互联性不断增强,这使得软件定义车辆的结构日趋复杂,易受到外部攻击。这些安全漏洞主要包括:未授权人员在 OTA 更新过程中非法访问更新系统并发送恶意更新;在 OTA 更新过程中对代码进行篡改或删除;攻击者使服务陷入不可用状态;向系统注入恶意消息等。本文针对盲点检测功能的特定攻击路径,依据 ISO/SAE 21434标准开展了威胁分析与风险评估研究,具体内容将在第 3 章进行阐述。
3. 威胁分析与风险评估
威胁分析与风险评估(TARA)旨在确定道路使用者可能受到威胁场景影响的程度。图 2 展示了威胁分析与风险评估(TARA)的流程。
图 2:威胁分析与风险评估(TARA)流程
3.1 资产
资产是指具有保密性(C)、完整性(I)、可用性(A)和授权(Au)等网络安全属性,且一旦被破坏可能引发损害场景的有价值对象。针对软件定义车辆(SDV)盲点检测系统(BSD)所识别出的资产如表 1 所示。
表 1:资产清单
3.2 损害场景
损害场景是指资产的网络安全属性被破坏后可能出现的情况。针对盲点检测系统识别出的损害场景如表 2 所示。
表 2:损害场景清单
损害场景可分为安全类(S)、财务类(F)、运营类(O)和隐私类(P)四类。对损害场景进行分类后,需对可能造成的影响进行等级评定。影响等级分为四个类别:严重(Severe)、重大(Major)、中等(Moderate)和轻微(Negligible)。损害场景的分类及影响等级评定如表 3 所示。
表3:影响描述
3.3 威胁场景
威胁场景是指因资产的网络安全属性被破坏而可能引发损害场景的情况。威胁场景需明确目标资产、资产被破坏的网络安全属性,以及导致资产网络安全属性被破坏的原因。本文采用 STRIDE 方法定义威胁类型。在相关研究部分,威胁场景涵盖拒绝服务(D,Denial of Service)、欺骗(S,Spoofing)和篡改(T,Tampering)三种威胁类型。威胁场景的具体描述如表 4 所示。
表4:威胁场景
3.4 攻击可行性等级
攻击可行性等级用于评估攻击者通过特定攻击路径成功实施攻击的难易程度。本文采用基于攻击潜力的方法对攻击可行性进行等级评定。根据 ISO/IEC 18045 [14] 标准,攻击潜力是衡量攻击某个项目或组件所需付出努力的指标,主要通过攻击者的专业能力和所拥有的资源来体现,其评估基于以下 5 个参数:
· 耗时(ET):攻击者识别漏洞并实施攻击所需的时间。
· 专业能力(SE):基于攻击者经验和技能水平的参数。
· 对项目或组件的了解程度(KoIC):该参数与攻击者获取的关于目标项目或组件的信息量相关。
· 攻击机会窗口(WoO):该参数与攻击者利用系统漏洞创造实施攻击所需条件的能力相关。
· 设备资源(EQ):与攻击者实施攻击所需工具和设备相关的参数。
采用基于攻击潜力的方法对相关威胁进行的攻击可行性等级评定结果如表 5 所示。
表5:攻击可行性评级
3.5 网络安全防护等级与风险值
网络安全防护等级(CAL)和风险值是结合影响程度与攻击可行性等级确定的。网络安全防护等级(CAL)与风险间接相关,无法直接通过风险值确定。网络安全防护等级(CAL)是一个不随时间变化的固定参数,取值范围为 1 至 4。而风险值具有动态性,取值范围为 1 至 5,其大小会随项目或组件的设计与实现情况发生变化。通过采取风险改进措施,可降低风险值。本研究确定的网络安全防护等级(CAL)和风险值如表 6 所示。
表6:CAL和风险值
3.6 网络安全目标
网络安全目标是高级别的网络安全需求。在威胁分析与风险评估(TARA)研究中,结合项目功能及需求间的依赖关系,共确定了 7 项网络安全目标,以保护资产免受威胁场景的影响。
这些目标是基于资产的网络安全属性制定的。网络安全目标详情如下表 7 所示。
表 7:网络安全目标清单
4. 网络安全措施
网络安全应对措施是为保护资产的网络安全属性、应对威胁场景而制定的。结合相关网络安全目标确定的应对措施如下表 8 所示。
表 8:应对措施清单
5. 结论
本文聚焦于软件定义车辆(SDV)盲点检测(BSD)功能范畴内的威胁分析与风险评估(TARA),以及针对威胁所采取的应对措施。在威胁分析与风险评估(TARA)流程中,首先完成了资产识别;随后,推导得出7 种因资产网络安全属性被破坏而可能发生的损害场景,并对每种场景的影响进行了等级评定;接着,识别出可能导致这些损害的 9 种威胁,并对这些威胁的可行性进行了等级评定;通过结合影响等级与攻击可行性等级,确定了风险值与网络安全防护等级(CAL);为实现目标网络安全防护等级,制定了 7 项网络安全目标与 7 种不同的网络安全应对措施。此外,还针对风险分析所涵盖的威胁确定了相应的风险值。在未来的研究中,可进一步扩展所推导的损害场景与威胁场景;可基于网络安全目标与已确定的网络安全应对措施制定网络安全需求;同时,可通过渗透测试验证网络安全目标的实现情况。