谁该对网联汽车的安全负责？

Upstream Security的一份报告表明，2019年上半年，汽车行业的网络攻击数量较去年同期翻了一番，从32起增加到82起。这个数字看起来可能不算很多，但此类黑客攻击的高增长率和多样性却令人担忧。IwYednc

IwYednc
图1：将智能手机等消费设备连接到汽车系统可能产生安全隐患。（图片来源：Fotolia）IwYednc

在这些网络攻击中，接近一半是所谓的中继盗窃，即通过放大远程无钥匙开启信号来窃取汽车，有时黑客还会要求车主支付赎金。还有18％的攻击是黑客通过控制后端服务器来远程跟踪并控制车辆。另外有一种令人不安的攻击，就是侵入GPS追踪软件，幸好这是白帽攻击。在这种攻击中，攻击者能够看到数千辆汽车的位置，并可以发送命令打开车门并关闭发动机。其它攻击手段还包括通过不安全的第三方应用进行移动设备攻击，例如远程信息处理以及车载诊断（OBD）端口攻击。曾有一家安全公司对特斯拉的OBD端口进行攻击，通过蓝牙诊断模块向控制器局域网（CAN）总线发送海量消息，大量错误消息的涌入最终导致前后发动机同时关闭。IwYednc

攻击威胁

NTT 集团的专业安全公司NTT Security的EMEA安全业务应用首席顾问René Bader说，当今的网络威胁表现出多样化和不断增长的趋势。“如今的攻击手段从类似于传统IT攻击的后端攻击，发展到对基础架构层进行攻击。在基础架构的层面上，黑客可以侵入传输协议对车辆进行OTA（无线）升级；或者进行车内攻击，当然大多数情况下，这需要实际进入汽车。”IwYednc

IwYednc
图2：NTT Security的EMEA安全业务应用首席顾问René Bader。 （图片来源：NTT Security）IwYednc

NTT Security为一级供应商和OEM提供有关汽车安全的战略和技术咨询，起初是保护网联汽车后端基础架构应用程序的安全，近期则致力于网联汽车整体环境的安全。Bader说：“从安全角度来看，车内攻击最难应对，而其它攻击手段则会产生更大的业务风险。如果黑客侵入一辆汽车，通常只针对这一辆车，但如果侵入后端基础架构或车队连接网络，就会对OEM或一级供应商构成相当大的威胁。”IwYednc

攻击车队可能会造成严重的影响。研究表明，攻击者只需在建筑密集区（比如曼哈顿）让20％的车辆停止行进，即可造成交通瘫痪并引起混乱。IwYednc

由谁负责？

谁来对网联汽车的安全性负责？Bader说，OEM厂商对车主负有法律责任，可是一旦发生事故，OEM厂商通常会找到一级供应商，让他们来调查事故的根本原因。因此，问题实际上应该是：在OEM内部由谁负责提出安全性功能需求？IwYednc

“OEM必须提出明确的需求，这有点难度，因为他们必须指定OEM内由谁负责提供此功能。”Bader说，“是安全部门，IT部门，还是工程部门？目前没人知道。对此人们仍争论不休，难以定夺。”IwYednc

IT部门通常负责车辆本身以外的所有事务，而工程部门则负责车辆内部通信。随着自动驾驶汽车环境与传统的IT架构越来越类似，这些部门未来需要共同应对安全风险。Bader说：“但还是有很多人各自为政。OEM需要从业务角度出发，让不同部门建立更稳定的交流。”IwYednc

大多数一级供应商会为其产品提供基本的安全保障，其他供应商也在这样做，但这可能会给OEM带来更多问题。Bader说：“你面临的问题是，谁来负责从某个一级供应商那里收集所有信息，并提供一个覆盖结构（overlay structure），将这些信息关联并组合起来。在大多数情况下，这种结构仍在构建中。”IwYednc

安全标准

整个汽车行业正逐步朝着ISO 21434标准迈进。该新标准很大程度上基于SAE J3061，旨在解决汽车行业的网络安全问题，预计其最终版本将在今年年底之前发布，目前已有草本供各公司参考。IwYednc

“ISO 21434的推出意味着OEM必须为网联汽车建立起网络安全框架，促使一级供应商在应对这些必须解决的安全问题时越来越成熟。”Bader说，“我们看到，目前OEM厂商推出了安全标准和要求，一级供应商必须履行并证明他们的产品符合这些标准，因为如果发生了事故，法律上是由OEM负责。”IwYednc

UltraSoC的首席战略官Aileen Ryan也认为安全要求被推到了一级供应商这一层。她说：“目前在法律对汽车安全负责的是OEM，但目前OEM已经采取措施确保其供应链至少考虑J3061。一旦21434出台，预计他们会开始要求供应链中的所有供应商也都遵循该标准。这并不是说安全责任一定会发生变化，但如果OEM厂商认为有必要，他们有可能将法律责任推到价值链的下游。”IwYednc

Ryan认为，片上系统制造商可能会发现即将发布的ISO 21434结构与完善的汽车功能安全标准ISO 26262类似，因为它引入了网络安全完整性等级（CIL）概念，与26262中的ASIL等级类似。该标准并未规定具体的技术功能，而是提出了供应商可以采取的途径和采用的方法，以确保他们从一开始就考虑到潜在的威胁。IwYednc

IwYednc
图3：UltraSoC的首席战略官Aileen Ryan。（图片来源：UltraSoC）IwYednc

Ryan说：“如果你在汽车供应链中占有一席之地，就要考虑将网络安全植入公司文化中。OEM应该乐于见到ISO 21434中描述的各种网络安全流程以及设计和开发方法，它类似于26262，是可审查的。”IwYednc

功能安全与安防

Ryan说，业界有一种趋势，认为功能安全与安防相互独立。ISO 26262的存在说明功能安全是一个众所周知的问题，安防却没有这样成熟，因为相应标准仍在开发中。Ryan认为：“功能安全问题实际上只是安防问题的一部分。没有安防就没有功能安全。”现在的OEM倾向于同时“拥有负责功能安全的团队和致力于安防的团队，但这两个团队之间似乎没有足够的沟通”。IwYednc

总部位于英国的UltraSoC提供的半导体IP可以实时监控片上系统，帮助检测恶意攻击等活动。“监控可以帮助发现某些不允许在芯片上发生的情况。例如，我们可以通过观察，确保只有芯片被允许的那些部分才能访问特定的内存区域。”Ryan说。 一旦出现不被允许的情况，即刻发出告警。在下一代产品中，我们将能够防止这种情况发生。”IwYednc

IwYednc
图4：UltraSoC提供的半导体IP可实时监控片上系统以检测恶意攻击。（图片来源：UltraSoC）IwYednc

该公司最近获得了Innovate UK提供的200万英镑资助，用于在芯片上集成智能功能的一个项目。该项目与考文垂大学、网络安全咨询公司Copper Horse和南安普敦大学合作，利用UltraSoC的嵌入式片上系统分析功能来快速可靠地识别安全威胁。南安普敦大学的机器学习专家将与UltraSoC合作，开发识别潜在黑客的算法。IwYednc

Ryan表示：“我们的目标是拥有一个片上分析子系统，除了能够像现在一样监控该芯片上正在发生什么，还可勾勒出这颗芯片正常工作状态的应该是什么样子。芯片的正常工作状态可能会在一段时间内发生变化——可能是因为老化，也可能是车辆上的不同软件加载会改变芯片的性能和特征。我们将智能监控系统是否偏离正常状态，如果发生偏离，则可能是由故障或安全问题引起，也可能意味着有恶意入侵。”IwYednc

行业动态

Ryan表示，汽车行业的价值链一直以来都相对稳定，但这个行业现在也在发生变化。对网络安全的日益关注为初创企业和中小型企业（如UltraSoC）创造了空间，硅谷及全球其它地区也涌现出一些新公司，致力于解决这一问题。IwYednc

“可以看出，目前汽车行业正处于一个极其混乱的时期，许多新进入者提供了针对汽车安防或网络安全的专门功能。”她表示，“竞合（coopertition）”的概念正在兴起，即竞争对手们互相合作解决共同遇到的问题。“更加开放的环境正在形成，大公司积极寻找对他们有帮助的新想法。他们开始与初创公司互动，这与他们最初的做法完全不同。”IwYednc

（原文刊登于ASPENCORE旗下EETimes Europe网站，参考链接：Who Is Responsible for Securing the Connected Car?）IwYednc
IwYednc
IwYednc
本文为《电子技术设计》2019年11月刊杂志文章，版权所有，禁止转载。免费杂志订阅申请点击这里。IwYednc