未来智能网联汽车的网络安全档案建立方法
摘要
网络安全是新兴网联汽车日益关注的问题。要确保公众对未来网联自动驾驶汽车的信任,就需要对其可靠性抱有极高的信心,这其中就包括网络安全防护。在功能安全工程领域,安全档案已成为一种广泛应用的方法,用于描述和记录安全防护论证及其所支撑的道路使用者(骑行者、行人等)所处环境相关内容。软件在实现这些技术方面正变得愈发关键,并且有望实现全生命周期升级,这将使未来的汽车处于不断演进的状态,而非一成不变的产品。然而,与计算机紧密关联且成为物联网的一部分,也使汽车面临潜在的网络安全威胁。此外,随着汽车提供的自动驾驶功能日益增多,某些网络安全威胁可能会对安全产生不利影响。
1、简介
确定性机器学习技术以及全生命周期系统修改,正使得传统的防护模式难以维系。而且,网络安全还面临一个额外难题:其 “运行环境” 涉及人为攻击者的主观能动性,这些攻击者会刻意寻找漏洞并加以利用,从而干扰车辆的正常运行。再加上人们对全生命周期软件更新的关注,我们可以得出这样的结论:未来汽车的防护必须成为贯穿车辆全生命周期的持续性过程,而不仅仅是产品上市前一项范围有限的流程。
基于安全工程领域的过往经验,本文认为,证明这一点的最佳方式是制定网络安全安全档案。与法律案例类似,安全档案会提出合理且有依据的论证,证明在产品上市时,与车辆使用相关的安全风险被认为是可接受的。同样,网络安全档案也会论证:在产品上市时,与车辆使用相关的网络安全风险是可接受的,并且已采取适当措施,确保能够及时识别、评估新出现的威胁,并在必要时采取缓解措施。
本文概述了汽车行业相关的技术趋势,主要包括无线连接的拓展、用于修改车辆功能的持续软件更新的兴起,以及相关优势。车与万物互联(V2X)应用的部分示例如表 1 所示,其中包括对其潜在优势及所用通信渠道的描述。这表明,即便 5G 看似是拥有最多支持者的选择,也存在其他可实现通信的方式。
表 1、车与万物互联(V2X)应用示例
2、相关发展
本节概述与网络安全档案要求相关的行业发展情况。
2.1 车与万物互联(V2X)通信
网联汽车是一种能够与车外其他系统进行双向通信的车辆。网联汽车协议统称为车与万物互联(V2X),也称为车联万物。V2X 有两种应用类型:
· 单车应用:此类应用涉及车辆为自身使用而获取的信息。
· 协同安全与效率应用:在这类应用场景中,车辆所获取的信息也有可能传递给其他车辆或实体,以使其受益。
车与万物互联(V2X)的概念涵盖了广泛的交互类型,如图 1 所示。V2X 的最初目的是通过将车辆的 “视野” 从仅依靠车载传感器感知的周边即时环境,拓展到通过与其他信息系统连接所获得的更广阔范围,从而提升车辆安全性。未来几年,V2X 或许会成为一项标准安全配置。
图 1、车与万物互联(V2X)技术示例
表 1 列出了部分 V2X 应用示例,包括对其潜在效益及所用通信信道的说明。这表明,即便 5G 看似是拥有最多支持者的选择,也存在其他可实现通信的方式。
当前的 V2X 实施情况汇总于下表 2,该表也指出了一些相关挑战。
表 2、V2X 技术当前状态
无线连接在提升服务质量和功能方面具有显著优势,但同时也使车辆面临各类潜在的网络安全威胁。
2.2 驾驶自动化
车辆系统由多个电子控制单元(ECU)组成,每个电子控制单元负责控制特定的车辆功能或某一组功能。这些电子控制单元通过一个中央网关单元相互通信,该中央网关单元与多个不同的总线(如控制器局域网(CAN)或本地互联网络(LIN))相连,这些总线可实现不同领域内的通信流传输。
如今,这些电子控制能力正与先进的传感器技术以及从 V2X 通信中获取的信息相结合,用于实现驾驶任务的自动化。目前,这主要体现在先进驾驶辅助系统方面,例如泊车辅助、自适应巡航控制、车道保持辅助等。然而,最终目标是实现所有路况下的完全自动驾驶。
软件更新通常在授权车库或服务中心通过本地或远程方式进行,过程中会使用无线网络,具体包含以下三个步骤:
1. 启动更新流程,并验证更新授权。
2. 将二进制文件传输至电子控制单元(ECU)。
3. 覆盖并刷新电子控制单元(ECU)。
软件更新面临的最大挑战是如何确保其安全性。目前主要有两种实现方式,即区块链方法和基于证书的方法。研究表明,这两种方法在增加的延迟以及交换的数据包总数方面具有相似的特性。基于证书的方法通过证书来验证密钥,而更新是否可行则取决于证书是否已签名。区块链算法在加密货币和视频游戏匹配应用中已广为人知,其工作原理是将新的数据块附加到每个现有的数据块中,同时还涉及制造分发说明以及信息技术安全等相关内容。
如果通过在线连接并在后台进行安装,这些更新可以更频繁、更高效且速度更快(得益于更小的文件体积)。
空中下载(OTA)更新是指通过无线方式向设备传输新软件或数据。要实现无线软件(SW)更新,需要满足一定条件:诊断测试设备(该设备需具备当前和更新后的软件版本,以及所有用于授权更新的必要密钥)需通过统一诊断服务(Unified Diagnostic Services)等汽车诊断协议将车辆与原始设备制造商(OEM)连接起来。其余流程包含以下三个步骤:
对车辆数据的蓄意攻击还可能产生其他潜在影响,例如:
· 侵犯隐私(包括知识产权保护问题);
· 可能涉及经济层面,如欺诈性金融交易;
· 关键功能的可用性丧失,这些功能虽与安全无关,但对车辆而言仍属于关键任务范畴。
针对车辆可能实施的各类安全攻击汇总于表 3。
表 3、针对车辆的主要网络安全攻击类型
3、潜在威胁
网络安全的主要威胁涉及真实性、可用性、数据完整性和机密性四个方面。真实性或身份识别意味着数据由合法实体生成,且来源位置相符,最终确保数据完整性。可用性指信息能按需求实时提供(相关标准推荐采用基于风险的方法)。目前,更全面的法规和标准正处于制定或完善阶段。
近期已发布有关网络安全的型式批准法规(联合国欧洲经济委员会(UNECE)第 155 号法规),其中包含对车辆网络安全风险分析及相关网络安全管理体系的需求,但刻意避免强制规定具体的技术措施。因此,该方法属于目标导向型(参见 4.2 节),需求通过任何合适的方法证明已实现以风险为表述的目标,而非采用传统的指令性防护方法(参见 4.1 节)—— 即需求通过指定方法满足特定性能标准。
攻击者可能通过对传感器输入、全球导航卫星系统(GNSS)数据以及 V2X 通信进行外部操控(如干扰、欺骗、重放等)来实施攻击。接入车载网络也可能使攻击者能够直接控制车辆功能。为响应第 155 号法规的出台,汽车网络安全标准 ISO/SAE 21434 目前正在制定中,不久将正式发布。
在自动驾驶系统中,人工智能(AI)技术的应用日益广泛,这给安全和网络安全都带来了独特的漏洞,而这些漏洞尚未得到充分解决。例如,对人工智能系统训练数据的破坏就是一种可行的攻击方式。
标准与法规
目前已有关于车辆网络安全的初步建议(如 SAE J3061)。要使网联自动驾驶汽车成功得到应用,就必须建立公众对其的信任。要获得公众信任,车辆必须具备可靠性,且其可靠性需得到防护。在此背景下,可靠性指车辆在需要时能够实现所需功能(即安全、可靠地提供所需功能)的能力。防护则是指有充分理由相信,使用某产品、流程或服务所面临的风险对相关利益方而言是可接受的。
4、指令性防护
传统的产品防护方法具有高度指令性,该方法以标准为基础,不仅详细规定了所需的性能标准,还明确指出了证明性能达标的具体方式。因此,防护的实现过程就是证明符合标准需求的过程。
指令性防护方法可应用于特定产品特性或相关开发流程:
· 产品防护标准通常会详细规定所需的特定性能标准以及证明达标的方法,因此会体现特定技术、设计或特性的需求。产品需证明符合这些需求,方可实现防护目标。
· 流程防护标准则描述了生产产品所采用流程的特性,而非具体的性能标准或设计特征。
除非采用更高效的替代方法来更有效地减少变更需求,否则(标准数量的不断增加)将使管理工作变得越来越难以应对。
目标导向型防护
指令性方法的局限性导致近年来出现了一种替代的防护方法,即目标导向型防护方法。这种方法侧重于明确需要实现的更具通用性的目标,这些目标与技术无关,且通常以风险为表述依据。与指令性方法相比,目标导向型方法的应用难度更大,因为它需要构建专门的合规性论证,且该论证的合理性还需经过评估。
以柴油发动机尾气排放丑闻为例,这一事件凸显了指令性方法的不足。借助 “主张 - 论证 - 证据” 的概念,我们能更轻松地理解目标导向型防护方法。该方法基于相关领域已有的实践经验开发而来。
指令性方法还存在一个局限性:由于它旨在详细规定 “做什么” 和 “怎么做”,因此必然以技术为中心。这使得指令性标准和法规难以适应新技术的发展,因为其验收标准和验证方法与产品预期采用的技术紧密相关。随着不同技术解决方案的涌现,为了涵盖这些新方案,标准和法规的数量必然会不断增加。此外,地区差异可能会进一步导致标准数量的激增。当前技术变革速度日益加快,指令性方法所带来的标准管理负担将变得愈发沉重。
安全档案
要证明符合防护目标,常用的方法是构建安全档案。安全档案的目的是呈现一系列合理且有说服力的论证,以基于所提供的证据证明某项主张的合理性。在许多情况下,尤其是涉及安全的领域,认证过程需求安全档案必须由具备相应资质和专业知识的外部机构进行独立审核。
在汽车功能安全领域以及其他许多行业(如铁路、航空),安全档案都是一种广泛采用的方法,这些行业均需求实现基于风险的目标。安全档案旨在证明使用某产品、流程或服务所面临的风险对相关利益方而言是可接受的,它是一份动态更新的文件,用于防护系统的关键特性。安全档案会提供并记录具有说服力且合理的论证,证明针对特定应用环境下的产品、流程或服务,其安全特性相关的一系列特定关键主张已得到充分论证。一份安全档案在传达观点时必须清晰明了,才能具有说服力并被接受;这里的 “可接受” 并不意味着绝对安全(理论上不存在绝对安全),而是指安全程度足够高,剩余风险处于可容忍范围内。
安全档案的呈现形式多种多样,包括自然语言、结构化自然语言以及图形化格式(如目标结构化表示法(GSN))。图形化方法以及其他多种网络安全风险评估方法在 SAE J3061 中有详细阐述。
网络安全威胁既与技术相关,也与人为因素相关 —— 攻击者会主动寻找干扰技术正常运行的方法和动机。有些威胁是可预见的,因此可以(也应该)在产品上市前加以解决,但不可预见的威胁也极有可能存在。对于不可预见的威胁,只能采取被动应对的方式,因此网络安全防护必然需要成为贯穿车辆整个运行生命周期的持续性过程。
5、网络安全档案需求
综合考虑汽车行业新兴的技术趋势以及当前功能安全工程实践(如上所述),汽车网络安全安全档案理想情况下应满足以下需求:
1. 采用类似功能安全防护中所使用的、以风险为目标的目标导向型方法。在网络安全领域,威胁(相当于安全领域中的危害)的定义难度更大,因此这种方法本身就非常适合网络安全防护。
2. 汽车网络安全风险分析方法源自汽车功能安全概念,该方法是在欧盟电动汽车安全与互操作性(EVITA)项目的背景下提出的。在该方案中,汽车功能安全中的危害严重程度概念被扩展,以涵盖网络安全威胁带来的更广泛影响;同时,利用网络安全中的攻击潜力概念作为威胁可能性的替代指标,从而得出定性风险等级。这种方法以及其他多种网络安全风险评估方法在 SAE J3061 中有详细阐述。
3. 能够整合网络安全分析结果,将其作为论证和证据的重要来源,并明确其局限性。
4. 支持概率风险分析,以应对系统复杂性以及网络安全分析中存在的重大不确定性。
5. 明确呈现不确定性,以便更全面地反映所提出论证的局限性,为独立审核提供依据。
6. 具备层级结构,以应对分析范围广、系统复杂的问题,并提高可读性。
7. 采用图形化方式,以应对分析范围广、系统复杂的问题,并提高可读性。
8. 是一份动态、实时更新的文件,需要能够在整个开发和运行生命周期中灵活调整,以反映软件更新和安全补丁带来的影响。
9. 采用模块化构建方式,以便高效评估系统变更带来的影响,并更新网络安全档案。
10. 支持新兴法规需求,为证明符合相关标准和法规(如联合国欧洲经济委员会第 155-156 号法规、ISO/SAE 21434 标准)提供便捷途径。
与安全档案的差异
在将安全档案概念应用于网络安全领域时,主要差异在于网络安全档案的涵盖范围更广。它不仅要关注蓄意攻击对安全造成的影响,还需考虑其他方面的问题。
车载技术和攻击技术都在不断发展,这一预期的持续变化意味着,尽管产品上市前的常规防护活动仍然非常重要,但仅依靠这些活动已不足以提供必要的防护。网络安全性能指标只能以风险来衡量,网络安全防护的目标既要将已知风险控制在可容忍范围内,又要建立识别和应对新出现威胁的机制。联合国欧洲经济委员会第 156 号法规在车辆型式批准中强制需求采用基于风险、目标导向且持续进行的防护方法,这一需求也体现了上述理念。
另一个需要考虑的差异是:在产品开发过程中,安全和网络安全问题本应同步考虑,但实际情况可能并非如此。这可能是因为生产初期的需求与所有软件的最终版本需求不一定一致。然而,无论是在安全领域还是网络安全领域,在车辆开发过程中尽早开展相关分析,都会使防护工作更具成效。
安全档案面临的挑战
在开发安全和网络安全领域的安全档案时,面临的主要挑战包括:
· 如何将论证与证据关联起来,同时识别潜在的偏见。
· 如何处理人工智能系统的非确定性行为 —— 我们如何论证这些技术在安全和网络安全方面的可靠性,以及需要何种证据来支持这些论证?
· 如何应对系统的不断演进,例如由于软件更新或人工智能的无监督学习导致的系统变化?如何全面、客观地反映安全档案的局限性,例如通过纳入并明确展示可能的反论证(如针对 “非安全” 方面的反论证)的不足。
然而,与车辆接收的任何软件更新类似,即使是对已通过安全档案评估的安全功能进行升级,也需要重新评估安全档案和网络安全档案。
从汽车功能安全领域所采用的现有安全档案方法中借鉴经验,并对其进行调整和扩展,形成一种动态、模块化的网络安全档案方法,这将为记录和维护网络安全防护主张提供一种有效的机制。本文明确了汽车领域网络安全档案的多项基本需求,指出了其与安全档案的差异,并列出了未来在安全和网络安全领域开发安全档案时需要克服的一系列特定挑战。
6、结论
网联自动驾驶汽车有望为社会带来诸多益处,但实现这些益处的相关技术也伴随着新的威胁,尤其是在网络安全方面。要确保公众对未来网联自动驾驶汽车的信任,就需要对其可靠性抱有极高的信心,而这其中必然包括网络安全防护。传统的指令性防护策略无法切实用于确定汽车网络安全性能。
车载技术与攻击技术预计将持续演进,这意味着尽管产品上市前的常规防护活动仍具有重要意义,但仅依靠这些活动已不足以提供必要的防护。网络安全性能指标只能通过风险来衡量,网络安全防护的目标既要将已知风险控制在可容忍范围内,又要建立识别并应对新出现威胁的机制。联合国欧洲经济委员会(UNECE)第 156 号法规在车辆型式批准中,强制要求采用基于风险、目标导向且持续进行的防护方法,这一要求也体现了上述理念。
从汽车功能安全等领域所采用的现有安全档案方法中借鉴经验,对其进行调整与扩展,形成一种动态且模块化的网络安全档案方法,该方法可为记录和维护网络安全防护主张提供有效的机制。本文明确了汽车领域网络安全档案的多项关键要求,指出了其与安全档案的差异,并列出了未来在安全与网络安全领域应用防护案例时需克服的一系列特定挑战。