随着汽车产业在智能化网联化方向深入发展,新型汽车产品已逐步成为车轮上的数据中心,车载软硬件配备也变得更加复杂。其网络安全问题至关重要,本文从汽车面临的网络安全风险、网络法规开始介绍,再基于以太网的E/E架构讲解网络安全防护技术,最后谈一谈整车网络安全研发流程。
汽车面临日益严峻的网络安全风险在汽车新四化的发展趋势下,汽车的智能化、联网化程度越来越高,汽车已经变成名副其实的万物互联时代的智能终端设备。在智能网联汽车的场景下,衍生出了如车联网技术、无人驾驶汽车技术、智能无线传感器技术等一系列创新技术。然而,消费者在体验智能技术的同时,却承担着极大的安全风险。智能网联汽车消除了黑客攻击车辆的地域和距离限制,给黑客远程批量攻击目标车辆提供了可能,使得车辆面临的网络安全风险显著增加。智能汽车网络安全问题已成为行业关注的重点。
网络安全法规法规体系是一个行业发展的基础,是否完善决定了该行业未来的发展空间。近年来,我国依据智能汽车产业发展的现状和趋势,陆续出台了多部法规,对于行业规范化发展有着极为重要的作用。
2019年10月,全国人大常委会发布《中华人民共和国密码法》(以下简称《密码法》),并于2020年1月正式施行。《密码法》规范了密码应用及管理,明确了核心密码、商用密码、普通密码的管理要求。
2016年11月,全国人大常委会发布《中华人民共和国网络安全法》(以下简称《网络安全法》),并于2017年6月正式施行。《网络安全法》规范网络安全监督管理,包含网络安全支持促进、网络运行安全(网络安全等级保护、关键基础设施保护)、网络信息安全、监测预警及处置等内容。
随着《中华人民共和国数据安全法》的颁布和出台,汽车数据全生命周期从创建到销毁的整个过程,包括采集、存储、处理、应用、流动和销毁等环节都更加规范和有法可依,为企业数据经营合规以及进一步的数据资产化治理与发展提供指引。
《中华人民共和国个人信息保护法》主要围绕个人信息的处理展开。从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理活动强调了特别规则。
《汽车数据安全管理若干规定(试行)》定位于若干规范要求,聚焦汽车领域个人信息和重要数据的安全风险,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。
《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)的建设目标是计划到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系,重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准。
网络安全防护基于以太网的E/E架构网络安全防护
接口与网络安全:划分区域/限制访问
随着V2X (vehicle to everything)的发展,智能网联车不再是一个独立的电子系统,而是一个大型的移动终端,为实现车与X(例如车、路、人、云等)的信息交换,必须配备丰富的连接接口,例如4G/5G、Wi-Fi、蓝牙、 GPS、NFC等。与此同时,通信需求增加和对外接口丰富将导致网络攻击入口和形式的多样化。
重点防护与外部有访问点的接口设备
接口设备采用状态防火墙,诊断通信不直接与ECU交互;基于中央网关,且与中央网关之间采用基于TLS的安全通信
把网络划分为多个不同的安全区域,区域之间采用受限通信方式安全区域划分:限制具有外部访问点的ECU数量;功能安全等级合法、授权数据可以跨域:VLAN通信;物理隔离。
数据传输安全
身份真实性、数据完整性、数据保密性、抗重放
防火墙/入侵检测/防御系统(IDS /IPS)
防火墙用于过滤和阻止异常的数据流。过滤器有很多种类,从按起点或目的地进行简单过滤开始,逐渐扩大到对有效负载的深入检查。单个ECU的防火墙通常通过CANID 过滤接收消息。对于网关等大容量通道,这些防火墙以及路由逻辑通常会对性能产生影响。与后端服务器的无线连接使用相同的过滤机制,因此只接收某些确定的服务。传统车内ECU中的防火墙功能通常没有日志记录机制。但是也有部分可能会在后续增加,例如VCU转变为动力域的域控制器,运行linux或qnx系统,具有面向服务的通信能力。
IDS /IPS是类似防火墙的系统,但与防火墙不同的是,它不位于网络边界,而是在网络内部,通过监控/控制网络流量来确保安全。入侵检测系统监视系统/网络,并将日志发送到后端系统进行进一步分析。IDS/IPS的检测规则是依赖后端进行动态更新的,但是在网速慢的时候,更新时间需要数天或更长时间。
IDS/IPS可以在基于主机和网络域中进行区分,也就是说可以针对单个ECU,也可以针对某个网络域。它们可以作为单独的硬件组件实现,也可以在现有主机上的软件中实现。
另外 IPS可能会对安全相关功能产生负面影响,其有可能出现误检,例如,在碰撞之前检测到大量的制动信号,这可能被 IPS 解释为攻击。就未来的机器学习IPS算法而言,这方面将变得更加关键。这意味着无论何时使用 IPS,都需要一条备份路径来监督所有IPS解释,这将对性能和责任方面产生影响。IDS 则不会有这种担忧,因为检测规则将由人类预先定义,当然,在定义此类 IDS 规则时仍然存在人为错误的可能性,但可以使用定义明确的更新过程和严格的测试将这些错误降至最低。
整车网络安全研发流程整车网络安全研发流程为V模型,遵循 ISO21434标准。首先项目开始时,要有网络安全规划,根据车型确定要达到的安全目标、安全计划。在安全规划的指导下,对整车进行识别,查看有多少安全资产,以及潜在的攻击路径,做出相应的组织策略和安全目标。再将安全目标整合成整车安全概念。接下来进行车辆功能网络安全概念设计,承接整车和系统分解下来的功能,组合起来就是零部件网络安全需求。在零部件网络安全开发过程中,可通过CIA协议来进行约束和管控。
做完零部件网络安全开发,再进行零部件网络安全功能测试及零部件网络安全确认,下一步进行车辆安全功能渗透测试、整车渗透测试,然后进行网络安全确认,与最开始的目标进行核对,最后进行网络安全生产发布。到此整个研发过程主体结束,但还需要全生命周期的网络安全运营进行运营跟踪,因为不可能一次性开发完,漏洞会层出不穷地出现,要靠运营来定期OTA等。
图片来源:智驾最前沿
就智能网联汽车的网络安全解决方案,将前面的分享进行归纳总结,其实就是三件事:
事前-网络安全需求
需求核心为威胁分析,再进行相应的需求定义。
事中-网络安全开发
设计分层的纵深防御网络安全架构,目前行业内比较普遍的是4、5、6层的安全防御。
事后-网络安全运营
进行全生命周期、全天候车辆安全态势感知及应急响应。
总体来看,目前及将来短时间内,政府对网络安全的管控需求大于消费者对安全的需求。所以安全治理首先要做的是安全合规,其目的就是确保资产安全,手段是纵深防御,全要素覆盖。通过构建由车外接口保护、车辆跨域安全、车辆通信安全至车内控制传感层级的层次化、逐层深入的安全防御体系,保护车联网安全。覆盖车辆、云服务、移动终端、路边单元,解决真实性;完整性;机密性;可用性;防抵赖;可授权等安全问题。还需要OEM车端及云端部门的协作来进行车云协同。通过打造全面的网络安全解决方案,为智能网联汽车保驾护航,促进智能网联汽车的健康发展。
总结网络安全是一个系统问题:多层次纵深防御
面对智能网联汽车高速的发展趋势,迫切需要建立完整有效的智能网联汽车信息安全防护体系,以应对未来可能大规模爆发的黑客攻击。现阶段较为可行的是在车厂内部,构建网络安全体系能力,多层次展开纵深防御,己应对未来汽车智能业务发展的需求。通过体系化的管理,持续的改进智能网联汽车的安全防护等级。
未来,中国的汽车行业将掌握自动驾驶总体技术及各项关键技术,而智能网联汽车是风险与利益并存的产品,通过技术的进步和创新,不断丰富和完善智能网联汽车的安全策略,才可以提供更安全、节能、环保、舒适的出行方式。