功能各异的电子技术为驾驶员带来了巨大的优势,提高了舒适性、便捷性、安全性和效率,但这些新功能也伴随着新的风险。现代车辆正逐步转变成“车轮上的智能手机”,可持续生成、处理、交换和存储大量数据。其无线接口将这些“互联汽车”的车载系统与外部网络(如互联网)连接起来,通过支持新的功能和服务,加强客户体验。但这种连接功能也让互联汽车容易遭到黑客攻击,因为他们可以查找和利用车辆电脑系统或网络中的漏洞。
事实上,早在多年前,有几项研究就已经对黑客攻击汽车的可能性提出过警告,而最近,黑客其实也表现出他们能对车辆实行远程控制。与此同时,美国参议员Markey和Blumenthal推出了汽车安保法案,以建立联邦标准来保障汽车安全和保护用户隐私。这一法案是在参议员Markey的一份早期报告后推出的。他在该报告中指出,现今汽车和货车中的技术系统和数据极易遭到盗用、黑客攻击以及当今任何技术系统所面临的同类入侵。
现在需要采取的步骤:互联汽车必须得到安全保护,确保所有车载系统发挥正确的功能并保护用户隐私。这意味着车载电子设备的设计需要实现模式转变。过去一直非常强调安全性,如制动在任何情况下都要正确起作用。未来同样如此,但随着车载电子设备和软件数量的增加,将会需要额外的车载信息安全功能,保护车辆免受黑客攻击。
互联推动车载信息安全需求
不久前,汽车一直与外部环境和互联网相互隔离。惟一的例外可能就是车载诊断系统的接口,但由于这个OBD-II端口是一种有线接口,它可能会依靠车辆底盘所提供的物理保护,如电子控制单元(ECU)和车载网络(IVN)。
但情况正在迅速发生变化:最新的汽车已经允许通过蓝牙给智能手机和车载收音机配对,以便使用免提电话或播放音乐。而且还不止于此:许多现代汽车可无线连接至互联网,例如为了实现更多车载服务并在一定程度上提供远程解锁和启动等汽车远程控制功能。为提高安全性,这些汽车将进一步搭载eCall和V2X通信技术,辅以提供高级驾驶辅助功能的ADAS系统,最终实现自动驾驶功能。
这些无线技术为驾驶员带来了巨大的优势:例如,舒适度得到了提升,夏天开车回家之前,可以稍稍提前远程启用空调系统,给车厢制冷。便捷性也得到提升,例如,车载娱乐系统可与手机无缝同步,并通过手机与家用媒体库同步。最后一点同样重要,即ADAS的引入帮助提高了用车的安全性和效率,例如,可利用附近车辆的信息防止撞车,或者利用道路基础设施或云提供的信息缩短行车时间。
一、潜在风险
除了所有这些优势,这些新功能也伴随着新的风险(见图1),例如:
(1)基础设施和云提供的交通信息应该是值得信任的。您不会希望有人播报他自己路线上的交通拥堵警告,从而“清除他路线上的障碍”并节约时间,却以牺牲他人为代价;
(2)自动紧急制动系统可以在无需驾驶员操作的情况下实施制动,从而防止撞车或者降低撞车时的冲击速度。但黑客应无法通过向车辆发送伪V2X消息或者通过操纵车辆行车安全相关的通信来激活该系统;
(3)eCall系统通过向紧急呼叫中心自动发送撞车后信息,为遭遇碰撞的驾驶者提供快捷的援助,没有人希望第三方可以访问这种个人数据;
(4)自动车辆识别系统让汽车可以进行自我识别,以便无缝出入停车场或收费道路。如果未得到保护,黑客就可能会窃取支付详情等个人数据;
(5)汽车共享系统允许通过智能卡或移动设备进入车辆。如果不能提供良好的保护,窃贼就有可能会滥用该系统来进入车辆;
(6)OBD-II端口提供诊断和报告功能,允许用户在车辆内快速识别和补救故障等。但攻击者可能会使用该端口访问车载网络,甚至有可能会(通过蓝牙或行动网卡)远程访问;
(7)按公里付费保险计划可能会帮您节省每月保险费,因为您只需按实际行驶的公里数和驾驶方式付费。但是,您不会希望未经授权的第三方访问相同数据和窥探您的驾驶习惯;
(8)车主可能想要通过芯片调谐发动机,以提高发动机的性能。OEM可能想要保护车辆,避免车主采取此类操作,因为这可能会给可靠性和排放水平造成不良后果。
这些示例说明互联汽车包含可以从汽车外部访问的重要数 据,因为车载电子设备已连接到外部网络,包括互联网。过去,汽车制造商一直担心安全性,但渐渐地,他们还要考虑车载信息安全和隐私,就是说需要保护车辆免遭网络攻击。黑客可能会借此窃取(个人)数据或者(完全或部分)控制车辆。
二、市场需求
2015年夏天,在黑帽和DEF CON安全会议上演示的黑客攻击让终端用户和政治家逐步意识到互联汽车需要得到良好的保护,以应对网络攻击。一般的预期是,这会需要更多解决方案,用于应对最迫切的需求,为无线接口提供更高安全性,并为车载网络提供一级隔离。从长远来看,我们预计车载信息安全将成为互联汽车设计中不可或缺的一部分,而对车载信息安全产品的需求也将因此大幅增长(见图2)。
三、挑战
互联汽车所面临的攻击范围广泛而多样:从相对简单的攻击,例如向车辆发送恶意消息,到更加复杂的攻击,例如黑客可能会打开ECU并尝试对其微控制器和软件进行反向工程。
其中首要原因就是,没有一种单一的、完整定义的黑客。事实上,黑客多种多样,他们的动机、技能水平和资源各不相同。例如,可能有(学术)研究员出 于科学原因尝试(部分)控制车辆。亦或有预算充足的(有组织)罪犯想要窃取重要的车辆数据,获取财务收益。但威胁不仅仅来自第三方:例如,对于芯片调谐,车主自己或者黑客可能就是想要解锁额外功能或者提高(发动机)性能。
此外,攻击面,即未授权用户可以攻击系统的不同攻击点(攻击手段)的总和非常大:攻击可能直接发起自车载电子网络,或发起自连接至信息娱乐系统的智能手机等用户设备,近距离的外部设备(如其他搭载V2X系统的车辆)或者发起自云端。
最终,成功的黑客攻击也可能会造成非常不同的影响。某些情况下,黑客可能会瞄准特定车辆,仅对该车辆造成(有限的)损失。但黑客也可能会找到某个漏洞,并滥用来攻击整个系列的汽车。如果这类攻击可以由其他人轻松复制,例如黑客在互联网上发布工具和指令,那么可能造成的影响以及潜在的(经济)损失将会明显放大。例如,针对随机车辆的大范围攻击很容易就能带来经济影响,因为这有可能会在较大地理区域内严重妨碍交通。此外,由于潜在的召回和相关品牌损失,汽车制造商的成本也会很高。
因此,汽车制造商面临的重大挑战就是实施一些解决方案,以经济高效的方式阻止多种多样的黑客,他们的动机、资源和技能水平不同,并使用许多不同攻击手段。
车载信息安全需求
无线接口给互联汽车带来 了最大的风险,因为它们为远程攻击打开了大门:人们不需要近距离接触车辆就能访问其内部系统。换言之,制造商不能再仅仅依靠车辆底盘提供的物理保护。
人们可以远程访问车载系统,这同时也意味着这些系统会面临来自外部世界的安全威胁。因此,这些系统可能会遭到黑客攻击,其中所包含的数据也会被盗。这给汽车可靠性和安全性造成了威胁——黑客可能会控制汽车,也给驾驶员的隐私造成了威胁,车辆数据可能可用于构建其使用者的档案。
一、深度防御
大多数车辆黑客攻击都包含许多微小步骤。通常一开始是在可以远程访问的系统中寻找弱点(bug)。例如,一旦进入汽车的远程信息处理单元,就很可能进入车辆的几乎任何部位,如控制发动机速度、制动器、巡航控制和代客泊车等功能的ECU。
使用多种车载信息安全技术降低某个受到攻击或包围的防御环节的风险,这种做法非常有效。在上例中,第一道防线用于保护远程信息处理单元自身。但车载信息安全架构应该进一步设计,使得针对单个ECU的攻击不会扩展到车辆中的其他ECU。例如,可以使用防火墙将关键ECU及其网络与非关键型ECU及其网络隔离开来。
接下来,我们将介绍整个车辆电子架构,从外部接口到车载网络一直到单个ECU,并简要介绍可能用于各个层面的对策。每层汽车电子架构采用的对策示例见图3。
二、保护车辆的电子架构
过去,汽车行业在采用消费电子产品所提供的功能方面一直比较保守。但互联汽车最终变成了现实,并将有可能重新定义整个汽车行业。汽车制造商必须找到一些方式,为“车轮上的智能手机”提供消费者所需的高级功能。
他们还要采用车载信息安全解决方案,它们已广泛用于智能手机和IT基础设施,但在汽车领域还是较新的概念。这些技术包括防火墙、入侵检测和阻止系统、虚拟化技术和安全固件更新等。
1、外部接口
为保护互联汽车,人们必须自行从外部接口着手。首先,需要保护通信通道免遭数据失窃和篡改,前者的对策包括加密数据, 后者的对策包括验证交换消息来保护消息的真实性和完整性。
此外,这些接口需要防止未经授权的访问。这包含机器间的验证流程,以确认您正在与已知或授权设备通信。
2、车载网络
保护接口是一项关键要求,但该方法本身可能还不足以阻止黑客攻击。例如,他们可能会破坏并模拟受信任的设备,藉此绕过门禁控制。
因此,还需要采取其他防御战线。其中一个逻辑位置就是车载网络,这构成了车辆的“脊柱”,并且可连接“大脑”(ECU)的所有不同部分。例如,可能需要在网络层面实施对策,以防止以下情况:
(1)数据失窃,例如通过加密车辆内部不同ECU之间交换的消息来实现;
(2)车载网络上的消息篡改和重播攻击,通过验证车辆内部不同ECU之间交换的消息来实现;
(3)网络篡改,通过定期验证ECU(如发动机启动和之后定期验证)来实现;
(4)内部攻击,即使用遭破坏的ECU攻击车辆网络中的其他ECU,通过在物理或逻辑上将ECU与其他ECU隔离开来(例如,将不同重要程度的ECU放在不同网络中,以及使用防火墙过滤网络流量)来实现。
3、电子控制单元(ECU)
一旦外部接口和内部网络得到保护,互联汽车的“大脑”就必须得到保护。这些大脑由多达(有时甚至超过)一百个单独的计算机(ECU)组成,它们共同在汽车内发挥控制功能,包括许多高级(自动)驾驶功能。这些ECU会持续生成、处理、交换和存储大量重要(敏感)数据。同样地,这些ECU及其数据构成了吸引黑客的目标,需要实施保护以防止:
(1)数据失窃,例如通过加密存储内容(代码和数据)来实现;
(2)对不同系统上运行的软件的篡改,例如通过实施安全启动来实现。
但这还不够。要了解这点,我们需要研究软件复杂性:一辆现代高端汽车已经拥有约1亿行代码(已超过现代PC和智能手机),并且这一数字预计只会随着时间而增长。如此复杂的系统不可能没有bug,车辆上路之后就会发现漏洞。
车载软件迅速增长的另一个理所当然的结果就是,会出现重复使用硬件的趋势,途径是在相同微控制器或CPU上集成多个(有时是拥有不同重要性并且经常是来自不同供应商的)软件堆栈。
为了管理如此复杂的软件系统并以安全的方式重复使用硬件,ECU还需要:
(1)安全固件无线更新:防止已知漏洞被利用,一旦发现,就需要使用无线传送至现场车辆的固件更新将这些漏洞迅速修补;
(2)流程和资源隔离,即应该将相同微控制器或CPU上运行的多个软件堆栈隔离开来,例如使用虚拟化技术防止某个脆弱的软件堆栈被滥用来攻击其他软件堆栈。
三、风险分析
在前面的章节中,我们简要介绍了未来如何保护互联汽车的车载电子架构。但车载信息安全始终附带着成本。基本而言,这是指您提前支付的保险费,用来阻止后续车辆受到攻击时可能会造成的损失。
为确保成本和收益得到很好的平衡,制造商需要先执行风险评估,然后才能设计真正的车辆电子架构。由于车载信息安全风险是威胁、漏洞和潜在影响的一项函数,所以需要识别所有可能的威胁和访问,并针对每一种威胁,识别成功攻击后的潜在影响,以及设备受到此类攻击的风险和可能采取的对策。最终,制造商必须设置不同风险的优先级别,以确定首先要解决的风险。
论证计算机安全威胁的一种常见方法就是由Microsoft开发的STRIDE系统。它为以下六类车载信息安全威胁提供了助记符:欺骗用户身份、篡改、拒绝、信息披露(侵犯隐私或数据泄露)、拒绝服务和提高权利。
四、生命周期管理
仅仅设计一个安全的车辆电子架构还不够,还必须要在车辆部署期间进行维护。互联汽车的IT系统非常复杂,且需要主动维护,包括密钥管理和安全固件更新。
1、密钥管理和加密敏捷性
为防止攻击从一个设备(或车辆)扩展到整个设备网络(或车队),ECU将会需要惟一的加密设备密钥。这些密钥需要在整个生命周期内进行管理。例如,现有密钥可能需要不时替换为新建的密钥,并且现有密 钥需要销毁。有时,会在车辆外部创建新密钥,例如在云服务器中,并需要从这些云服务器安全分配至车辆。
另外,加密算法最终可能会过时并被新的算法所取代。在整个生命周期(约为15年)内,应该为车辆提供充分的保护。在车辆的整个生命周期内,使用开放和标准化(优先)的加密算法和安全协议以及通常被认为足够安全的密钥大小,这自然是一个好的出发点。但迟早会需要迁移至更大的密钥大小。
正因如此,密钥管理和加密算法的敏捷性成为了互联汽车生命周期管理的重要方面。
2、固件管理
另一个需要主动维护的明确示例是在最初部署后发现安全漏洞并需要进行修复的情况。安全缺陷会影响单个车型,甚至更糟糕的是,会影响整个汽车系列,甚至是所有汽车。最糟糕的情况是,可能会在广泛使用的安全协议中发现缺陷。最近,传输层安全性(TLS)规范及其实施中就发现了许多缺陷。这影响了许多互联设备,它们全部都会随时变得非常脆弱,并且亟需修补。同样,互联汽车作为一个复杂的IT系统,将需要不时进行修补,因而安全固件更新是必不可少的。
总结
互联汽车是车轮上的一个复杂IT系统,由许多通过车载网络(“脊柱”)链接在一起的ECU(构成车辆的“大脑”)组成。为保护所有这些组件,需要使用整体方案,将对策应用到所有层面。最重要的是,互联汽车需要:
(1)安全的外部接口,通过强大的M2M验证防止未经授权的访问;
(2)安全的车载网络和这些网络及其外部接口上的安全通信,防止数据失窃和篡改;
(3)带固件保护和更新配置的安全ECU,采用安全启动和安全OTA更新的形式。
互联汽车作为智慧生活的一部分,与周边环境高度互联并持续进行互动。它为更佳的舒适度、安全性和更高效率带来了广阔的前景。但它也引发了一些有关车载信息安全和隐私的问题:和所有互联设备一样,它也成为了黑客的攻击目标。同样地,需要考虑和解决的要点在于:
(1)系统完整性,用于在车辆内外构建安全可靠的网络;
(2)用户隐私,用于维护我们的社会价值观;
(3)以及品牌保护,用于鼓励提高质量和保护业务投资
恩智浦的产品保护互联汽车免受网络攻击,并让用户全面掌控他们的数据,让互联汽车成为业务和社交机遇,而非对我们所有人构成威胁!
获取更多评论