汽车网络安全综合参考架构

摘要

互联性、复杂性和软件依赖性是自动驾驶的前提条件，同时也增加了整个交通系统的网络安全风险。因此，信息通信技术（ICT）基础设施已成为关键交通基础设施的第二层。在一个近期启动的研究项目中，我们以结构化方式识别相关利益相关者和风险，旨在整合当局、道路基础设施提供商和交通服务商之间存在差异的利益与目标，这些利益与目标不能仅由原始设备制造商（OEM）独自承担。基于出现的风险场景，我们开发了一个综合的架构参考框架。只有当信息通信技术（ICT）基础设施中的所有组件都能按照既定安全要求提供足够质量的服务时，社会才能依赖可靠的汽车系统。

一、引言

面向智能城市出行的复杂多模式环境下的自动驾驶，需要将车辆与其他道路使用者及基础设施互联的方法。联网车辆的主要优势包括：通过传递道路危险和紧急情况信息减少事故发生，以及通过车队行驶、实时交通监控与控制提高交通效率。可靠的互联性是处理自动驾驶车辆各种状态并推动其进一步发展的必要前提。定位、全面态势感知的建立、事故减少以及舒适性和效率的提升，均依赖于协同式自动驾驶。当前针对独立车辆的方案足以应对高速公路或乡村道路行驶，但尚未准备好适应城市环境。此外，特别是在城市环境中，必须将自动驾驶车辆整合到整体智能交通系统中，才能充分发挥其潜在优势。因此，本文将重点关注自动驾驶中与基础设施和互联性相关的方面。

欧洲层面的近期项目已将网络安全确定为未来交通系统面临的关键挑战和风险。与交通基础设施的物理安全防护类似，联网自动驾驶车辆信息通信技术（ICT）基础设施的网络安全不能仅由私营部门独自承担，因为它们的利益目标存在差异，且业务范围有限。广泛的出行需求需要所有利益相关者的合作，即汽车原始设备制造商（OEM）、基础设施提供商、道路服务运营商、交通服务商、终端用户、物理及信息通信技术（ICT）基础设施提供商以及当局。所有这些具有不同视角的参与者、所有组件及其相互关系共同构成了一个综合基础设施系统，该系统要求不同层级的这些要素之间进行紧密可靠的通信，且通信过程不得被窃听、破坏或篡改。这使得网络安全成为安全可靠的联网自动驾驶交通系统不可或缺的成功因素，而该系统对物理交通基础设施和现代社会至关重要。因此，社会能够依赖安全、可信的汽车系统。

我们的研究成果源于奥地利国家安全研究项目“交通基础设施和道路运营商网络安全”（CySiVuS），该项目旨在解决协同交通基础设施和联网汽车自动驾驶中网络安全与隐私这两大关键挑战。该项目将研究视角从原始设备制造商（OEM）转向交通基础设施提供商和道路服务运营商。项目分析了现有及未来的道路交通系统以及相关数字基础设施，并收集了多种自动驾驶场景。多个重要方面需要更完善、更成熟的网络安全标准。基于这些情况，项目目标是制定一个综合的汽车网络安全参考架构。该架构将满足利益相关者的所有跨学科利益和目标，并整合现有及近期将开发的其他技术创新。本文简要概述了该项目的研究方法，并强调了为（网络）安全的汽车交通基础设施制定完整参考架构的迫切需求。

本文分为六个部分。引言之后，首先简要概述研究现状。第二部分指出，目前尚无能够支持从广泛视角看待汽车网络安全的可持续结构化参考架构。第三部分讨论的定制化风险管理流程所提供的一些实际场景，进一步印证了这一点。风险应通过广泛的风险管理方法进行识别、评估和应对。基于实际用例，第四部分阐述了未来交通系统提案的必要性。我们从基础设施视角讨论了影响这些汽车服务安全性的典型用例场景。近期启动的一项研究项目旨在更详细地开发这一综合汽车网络安全参考架构，第五部分将介绍其核心内容。最后第六部分给出结论和近期展望。

二、研究现状

对于自动驾驶车辆，汽车工程师学会（SAE）J3061定义了五个等级，为自动驾驶车辆的分类提供了框架。目前，市售量产系统的最高等级可达三级。三级系统的示例包括高速公路自动驾驶和停车辅助系统，最著名的例子是特斯拉的自动驾驶和停车辅助系统。更高等级的系统（向高度自动驾驶乃至完全自动驾驶演进）已进入实车测试阶段。三级及以下等级的系统可依赖车载传感器，并根据本地传感器数据按需生成世界模型，而更高等级的自动驾驶则需要预先绘制地图，通过传感器数据将车辆定位到该世界模型中。这意味着此类车辆需要外部输入以获取最新信息，并对道路系统的永久性或临时性变化做出反应。这在城市环境中尤为重要，因为在城市环境中，依赖全球导航卫星系统（GNSS）或道路基础设施（道路标线或车道检测）的其他定位方法面临更大挑战。

在美国，国家公路交通安全管理局（NHTSA）目前正在制定相关法规，要求从 2020 年起，在美国销售的所有新车都必须具备用于主动安全功能的互联性。这些通常被称为协同主动安全的功能，需要对外部信息和通信具备高度信任。安全因素是原始设备制造商（OEM）启动车辆信息通信的迫切动机。而网络安全问题 —— 其遵循的范式与安全相关问题不同 —— 是一个相对较新的挑战，目前仅由原始设备制造商（OEM）自行应对。近期的黑客攻击事件表明，他们的大多数系统缺乏安全防护。自然地，他们的安全关注点仅限于车辆本身，并未采用整体方法分析其车辆所属的整个基础设施系统。尽管已有初步举措，如《2017年汽车安全与隐私研究法案》（H.R.701），但网络安全问题在很大程度上仍由车辆制造商处理，而忽略了其他利益相关者。特别是在向联网、智能和自动驾驶交通系统演进的过程中，必须以全面整体的方式考虑道路交通基础设施。然而，简要概述总体法律状况可知，新法规正在不断完善，但速度过慢且存在严重碎片化问题。在自动驾驶场景中，信息通信技术（ICT）基础设施已成为关键交通基础设施的第二层。因此，关于欧盟《网络与信息系统安全指令》（简称 NIS 指令）是否以及如何适用于汽车行业，及其对原始设备制造商（OEM）和道路基础设施提供商的具体影响，目前仍在讨论中。该欧盟指令将于 2018 年 5 月底生效，旨在通过提高关键服务和数字内容提供商的整体安全水平，确保高水平的网络与信息安全。交通部门被认定为此类关键基础设施之一，这归因于其日益增强的互操作性、互联性、通信需求、信息通信技术（ICT）的普遍应用以及隐私问题。因此，迫切需要对其进行全面分类和有序发展。

车辆需要获取详细的环境数据，以实时全面了解当前状况并确保安全行驶。数据的完整性是自主互联驾驶的前提条件。显然，自动驾驶场景并非仅限于车辆作为独立系统；相反，车辆必须与其他车辆等组件，特别是与基础设施进行实时交互，以评估当前状况。因此，互操作性是高效交通管理、协同功能和协调自主性的首要关键要求。

目前，车辆与其他交通要素之间的互联性仍在开发中。尽管几乎所有新高端汽车都已支持通过全球移动通信系统（GSM）与制造商的后台系统互联，但这一举措目前主要是为了减少因软件适配导致的高昂召回成本，同时也受到欧洲 eCall 计划的推动。从 2018 年 4 月开始，在欧洲销售的所有新车都必须具备在发生碰撞时自动呼叫最近的急救中心并提交位置和碰撞相关信息的功能。智能协调等应用已在实车场景中进行测试和评估。在这类场景中，车辆和基础设施需要在规定时间内通信，交换交通状况、行驶时间、道路条件和道路施工警告等信息。下一阶段的协同和互联对互联性提出了更高要求。尽管欧洲电信标准协会（ETSI）已制定了智能交通系统（ITS）架构并定义了互联场景，但目前尚不清楚车辆是否会为每个服务提供商配备多个通信系统，或者通信是否通过中央数据枢纽处理。协同智能交通系统（C-ITS）平台的一份报告介绍并讨论了未来通信基础设施的多种方案。结论是，为支持互操作性、保持成本效益、减少攻击面并支持未来应用，互联性应遵循某种协调模型，不仅要考虑车辆，还要涵盖整个基础设施和服务价值链。

特别是在网络安全领域，有多种迹象表明，当前的技术水平无法充分保护信息通信技术（ICT）在交通领域即将扮演的新的关键角色。在研究和政府压力的推动下，汽车网络安全正逐渐受到关注。技术发展和行业对新挑战的认识，促使相关方制定了首批应对这些问题的指南。在更高层面，智能交通系统（ITS）基础设施安全也是一个已知的需要解决的问题。关于谁将控制和提供通信基础设施，目前仍在讨论中。由于所有出行活动和整个道路运输行业都将依赖信息通信技术（ICT）系统，因此明确责任并实现私营部门和公共部门控制之间的可靠平衡至关重要。

一个重要的讨论点是谁控制对车辆收集数据的访问权限。目前已有初步尝试制定解决这些问题的流程。德国消费者组织 “商品检验基金会”（Stiftung Warentest）近期的一项调查显示，汽车原始设备制造商（OEM）提供的几乎所有互联解决方案在隐私保护方面都存在缺陷。个人信息在传输过程中未加密，多余信息被收集和传输，部分行为未告知用户且未获得其同意。

三、风险管理

目前尚无针对汽车领域的特定领域风险管理框架。首批相关方案具有一定前景，但初步评估显示其在应用中存在某些挑战。该指南于2016年初发布，在可用半年后被重新列为“编制中” 状态。国际标准化组织（ISO）和汽车工程师学会（SAE）成立了联合工作组，制定道路车辆网络安全工程标准（ISO/SAE 21434）。在缺乏适用的特定领域框架的情况下，我们提议对 ISO 31000进行定制，以适用于汽车领域。为建立背景、明确利益相关者和应用环境，首先必须建立适当的管理框架。该风险管理标准的第二个主要部分提出了以下风险管理流程步骤：

1. 建立背景

2. 风险评估

3. 风险处理

4. 监控与审查

5. 沟通与咨询

首先，我们将介绍该框架，并就如何使其适应应用领域提出建议。建议的定制化将部分在较高层面进行。

（一）建立背景

前文的研究现状概述表明，目前尚无针对道路交通的特定监管或法律框架。这意味着我们只能应用通用规则，并基于道路交通的社会环境和价值建立背景。关于哪些法规应适用于道路交通领域，目前仍在讨论中，但尚未形成明确共识。汽车和交通领域是保障和实现我们现代生活方式的重要组成部分，因此我们认为以下目标是必要的。应避免网络安全攻击导致以下后果：

· 对环境或人类生命造成直接损害（安全层面）；

· 导致个人信息失控（隐私层面）；

· 造成经济损失（财务层面）；

· 对运营和交通流量产生负面影响（运营层面）。

我们对这些目标提出两项限制。首先，我们将风险管理限定于直接和即时后果。这意味着我们不考虑次级后果，例如运营影响可能会影响应急服务，进而可能对人类生命造成损害。我们的重点在于直接后果。其次，我们将用户和社会受到的影响等级评估置于组织受到的影响之上。这意味着安全影响以及用户或社会层面的财务影响将优先于组织层面的影响。社会需要信任并依赖交通系统，而确保用户和社会的需求与保护是实现这一目标的基础。

（二）风险评估

风险评估包括风险的识别、分析和评价。尽管 ISO/IEC 31010 提供了风险评估技术示例，但均未针对道路交通领域的网络安全进行定制。已有多项提议将成熟的安全风险评估方法扩展至网络安全领域，或为汽车领域定制网络安全方法。需要指出的是，风险评估的实施并无万能方案，任何选定的方法都需要合理的依据。根据抽象层级的不同，适用的方法也有所不同。我们提议采用威胁建模进行风险分析。对于风险评价，我们提议将影响等级分为四个类别，每个类别包含四个等级，如下表1所示。这是对汽车工程师学会（SAE）J3061和 EVITA 提出的类别的简化。两者均采用类似类别，但每个类别下的等级更多。

表1、影响等级

网络安全风险评价中的一个关键因素是可能性评价。尽管交通领域的部分讨论认为风险评价应仅考虑影响，但这可能会将焦点放在极不可能发生的风险上。简而言之，我们提议基于以下四个参数进行可能性评价：

· 假设的攻击者能力

· 获取系统信息的难易程度

· 系统的可达性和可访问性

· 攻击所需的设备

（三）风险处理

风险处理的依据是评估该风险对社会是否可容忍，即联网自动驾驶交通场景的收益是否大于风险。如果不可容忍，则需要通过实施特定的技术或组织措施来修改风险，或通过决定不实施该场景来完全规避风险。每项风险处理后都需要评估处理的有效性，例如剩余风险是否可容忍并可被接受。风险处理评估还包括评价所选措施是否会影响其他风险或场景。

（四）监控与审查

目前，风险监控与审查的责任尚不明确。这受到当前汽车领域占主导地位的层级式孤立结构的阻碍。原始设备制造商（OEM）的系统视野有限，仅能识别其自身层面的风险。供应商负责为其特定产品实施风险处理，并能发现变更需求。风险监控责任的分配尚未明确。汽车领域现有的方法主要遵循基于事件的模式，即被动响应。对于网络安全挑战，主动监控和响应是必要的。我们提议指定报告责任，并制定网络事件响应计划。

（五）沟通与咨询

作为风险评估、处理和监控过程中一个持续并行的步骤，整个管理过程需要记录、存档并向利益相关者传达。这包括记录决策、结果，以及最重要的 —— 决策和行动的依据。只有通过这一步骤，风险管理才能具备透明度和可理解性。需要指出的是，此类记录具有敏感性，可能被攻击者滥用。

四、实际用例

在 CySiVuS 项目中，我们将分析多个用例，以建立制定综合参考架构所需的整体背景。首批用例集基于 C-ITS 首日用例。“首日” 指的是在欧洲走廊 —— 奥地利协同系统测试平台（Eco-AT）项目中实施和评估的第一组用例。一个典型的用例是道路施工警告（RWW）用例。该用例描述了车辆与协同路边设备之间的交互，路边设备向车辆提供道路基础设施短期变化的信息，以优化交通流量和驾驶策略。此外，我们还分析了交叉口安全（ISS）用例。该用例涉及车辆与协同路边设备之间的交互，路边设备提供信息以优化交通流量和驾驶策略。在 Eco-AT 项目中，传输的数据仅用作车辆驾驶员的参考信息。我们将考虑下一步发展，假设未来车辆将能够根据接收的信息自动采取行动。此外，我们还将设置第三个车对车（V2V）用例，例如，一辆车辆广播其位置和速度信息，使其他无法通过自身传感器检测到该信息的车辆能够在规划中考虑这些信息。

图 1 展示了上述三个用例。路边单元（RSU）向所有车辆发送道路形状临时变化的信息。车辆 A 和 B 协调车辆 B（车辆 A 无法看到）驶入主干道的方式，所有车辆都接收来自交通灯系统的信息。我们基于道路施工警告（RWW）用例应用风险管理方法，并采用威胁建模进行风险评估步骤。

图 1、用例示意图

图 2、威胁评估数据流模型

图 2 可视化了车辆 A、B 与路边单元之间交互的数据流模型。在未采取任何缓解措施的情况下，共识别出 12 种威胁。以下我们将重点关注交互类型以及表2中所示的威胁。

对于联网汽车及其相应的控制和转向算法，安全、可靠地接收与安全和运动学相关的消息至关重要。远处的恶意发送单元可能会传递虚假状态信息，例如不存在的障碍物、道路施工或前方车辆位置，导致交通减速甚至停止，最终引发事故。为防范此类威胁，我们提议采用距离限制协议，该协议能够安全判断通信方是否在特定半径范围内（定义为 “安全区域”）。调整后的表3总结了上述考虑。这一功能需要在验证方（V）和证明方（P）之间建立双向通信链路，并快速处理验证方（V）发送给证明方（P）的挑战。这通过要求攻击者必须物理接触攻击环境才能实施攻击，降低了评估的攻击可能性，并将风险降至可容忍水平。

表2、向车辆 B 发送恶意更新 [优先级：高]

表3、向车辆 B 发送恶意更新 [优先级：低]

五、参考架构

文献提出了一个用于安全分析的汽车参考架构。该架构虽包含后台与车辆之间的通信要素，但未考虑协同智能交通系统（C-ITS）的所有相关场景（如车对车（V2V）通信）。此外，它仅定义了技术要素，未对架构中的环境、利益相关者和对象进行区分。然而，这种纯技术方法并不充分，要使参考架构在实践中适用，这种区分至关重要。

作为初步方案，我们将智能交通系统（ITS）分为五个要素集群，如图 3 所示。物理层面（蓝色，左侧）包括车辆、基础设施和个人设备。提供商层面（绿色，右侧）包含由基础设施运营商和道路服务提供商维护和运营的要素，这些要素提供面向用户（黄色，上方）的出行服务（灰色，下方）。所有要素通过通信系统（橙色，中间）互联。需要强调的是，这些集群可能存在重叠，例如基础设施提供商也可能提供服务；每个集群可能包含多个不同的子集群，例如通信系统涵盖多种技术，如无线网络（WiFi）或全球移动通信系统（GSM），可应用于车对车（V2V）或车对基础设施（V2I）通信。

图 3、交通系统要素集群

此外，上述方法提供了一个相对高层的系统视图，在一定程度上独立于架构。正如文献所讨论的，互联架构的最终形态仍在探讨中，但所有讨论的架构变体都符合本文提出的结构模型。这种结构模型有助于识别相关参与方，能够将风险缓解措施分配给技术要素，并将实施和维护这些风险缓解措施的责任分配给相关参与方。为确保实际适用性，已识别的风险缓解措施将在基础设施和车辆中实施，由系统原始设备制造商（OEM）和基础设施提供商负责，如图 4 所示。

图 4、结构模型的应用

一个可能的解决方案是结构化的多层参考架构。然而，一致的风险管理方法是开发涵盖所有视角层面的一致架构的关键成功因素。我们的方法是以广泛认可的风险管理标准 ISO 31000为基础，并对其进行定制以适应汽车行业的需求。我们将讨论该风险管理流程的五个主要步骤在道路交通系统中的应用。至关重要的是，所提议的方法应仅针对直接风险，并且根据后果的不同对影响进行差异化加权。风险管理分析步骤对于找到适用方法的适当组合，形成可靠的评估方法至关重要。此外，还需要解决可能性评估和不确定性处理的问题。在复杂且互联的环境中，风险处理必须考虑不同的参与者。

六、结论与展望

综上所述，面向智能城市出行的自动驾驶在技术和法律层面的现状仍不足以应对此类环境的复杂需求。我们识别出综合道路交通系统当前面临的四大挑战：车辆之间以及基础设施要素之间的组件互操作性；特别是针对不同组件交互与协同的互联性和通信任务；应对安全威胁的信息通信技术（ICT）总体问题和网络安全问题；以及包含车辆驾驶员个人数据保护要求的隐私方面。目前已有相关举措旨在建立合规的法律和技术框架，但所有这些考量仍在不断发展中。

最后，我们讨论了一些先前的研究成果，并提出了关于综合汽车参考架构的核心考量。我们识别出五个需要相互交互的要素集群。CySiVuS 研究项目的主要任务是在所有必要的视角层面开发一个广泛的模型，本文介绍的初步方法可作为起点。通过实施风险管理流程和开发参考架构，我们展示了道路交通系统的多维特性。未来一段时间的主要任务是应对这种复杂性，并整合各个视角层面当前和未来的极端多样化发展。

最后，我们讨论了一些先前的研究成果，并提出了关于综合汽车参考架构的核心考量。我们识别出五个需要相互交互的要素集群。CySiVuS 研究项目的主要任务是在所有必要的视角层面开发一个广泛的模型，本文介绍的初步方法可作为起点。通过实施风险管理流程和开发参考架构，我们展示了道路交通系统的多维特性。未来一段时间的主要任务是应对这种复杂性，并整合各个视角层面当前和未来的极端多样。