以下內容來源于《汽車電子與軟件》

汽車網(wǎng)絡安全現(xiàn)狀及挑戰(zhàn)

在軟件定義汽車和汽車EEA集中化，網(wǎng)聯(lián)化，智能化，以及法律法規(guī)的強制監(jiān)管下，也對車輛網(wǎng)絡安全的生命周期開發(fā)和維護提出更高要求并衍生出新的挑戰(zhàn)。挑戰(zhàn)主要體現(xiàn)在以下五個方面：

1.1 車輛EEA集中化

隨著汽車的功能越來越豐富，為了解決汽車系統(tǒng)的復雜性、通訊效率瓶頸及軟硬件緊耦合的問題和挑戰(zhàn)，電子電氣架構逐步演變，當下及未來的趨勢如下圖。

EEA架構的集中化使得汽車網(wǎng)絡安全面臨挑戰(zhàn)：已經(jīng)接入到了智能化移動互聯(lián)網(wǎng)的系統(tǒng)現(xiàn)代電動汽車將面臨持續(xù)不斷各種威脅用戶個人信息安全上的巨大風險， 使用現(xiàn)代汽車安全軟件系統(tǒng)進行安全升級的現(xiàn)代汽車在過程中很快都有可能還有機會再次遭受各種勒索軟件病毒、 木馬程序等的惡意襲擊， 造成汽車用戶全部個人隱私以及汽車數(shù)據(jù)嚴重遭到泄露，甚至通過網(wǎng)絡連接操縱汽車功能并進一步對人身安全造成傷害。

1.2 網(wǎng)聯(lián)化

網(wǎng)聯(lián)化是使用無線通信、傳感探測等技術收集車輛、道路、環(huán)境等信息，通過車-萬物信息交互和共享，使車和基礎設施之間智能協(xié)同與配合，從而實現(xiàn)智能交通管理控制、車輛智能化控制和智能動態(tài)信息服務的一體化網(wǎng)絡。網(wǎng)聯(lián)化帶來了具體的互聯(lián)便利，但同時也導致車輛攻擊面劇增，同時給汽車業(yè)挑戰(zhàn)，如人員能力挑戰(zhàn)、及未來量子計算挑戰(zhàn)。

1、人員能力挑戰(zhàn)

汽車網(wǎng)聯(lián)化因為網(wǎng)絡安全人員儲備不足的挑戰(zhàn)主要集中在以下四個方面：

安全組織流程和管理需要相應的專業(yè)安全人員來應對內部和外部威脅。

安全架構因為融入龐大的生態(tài)系統(tǒng)，眾多的攻擊面，需要專業(yè)的網(wǎng)絡安全人員在架構設計階段介入并提供專業(yè)的指導。

安全產品開發(fā)階段需要專業(yè)的網(wǎng)絡安全人員以滿足整個產品開發(fā)生命周期的安全開發(fā)要求。

運營維護階段需要相應的汽車行業(yè)的網(wǎng)絡安全人員以滿足相關的法律法規(guī)要求。

2、量子計算挑戰(zhàn)

量子密碼學（PQC）已經(jīng)被納入到車輛開發(fā)概念中--通過使簽名和加密機制以及選定的密碼算法具有量子安全性，或者通過設計能夠隨時升級的安全功能來提供足夠能力適應量子計算機的挑戰(zhàn)。

1.3 法律法規(guī)（強標監(jiān)管）

為實現(xiàn)智聯(lián)化、網(wǎng)聯(lián)化、電動化和共享化，則離不開車內系統(tǒng)數(shù)字化、車載IT系統(tǒng)的后端擴展以及軟件傳輸，這些變化使現(xiàn)代汽車成為一個信息交換中心。隨之而來的是智能網(wǎng)聯(lián)汽車被入侵的事件，過去幾年里，安全研究員入侵智能網(wǎng)聯(lián)汽車的新聞頻繁登上媒體頭條，汽車信息安全問題不容忽視。為應對車輛網(wǎng)絡安全帶來的問題，國際和國內已經(jīng)頒布和即將發(fā)布的汽車網(wǎng)絡安全法律法規(guī)強制要求車輛制造商在銷往目的地需滿足其要求：

1、國際：歐盟WP29-R155《網(wǎng)絡安全與網(wǎng)絡安全管理系統(tǒng)》法規(guī)從網(wǎng)絡安全角度提出了對新車輛及其制造組織的要求，規(guī)定了OEM需要滿足的網(wǎng)絡安全要求，并計劃將該要求作為整車廠獲得特定國家范圍內，特定車型認證的前提條件。車輛制造商面臨滿足法規(guī)的要求的挑戰(zhàn)。

2、國內：車輛制造商面臨滿足國內即將發(fā)布的《汽車整體信息安全要求》及《汽車軟件升級 通用技術要求》等要求的挑戰(zhàn)。

1.4 SDV

軟件定義汽車的挑戰(zhàn)主要是：車內/車外邊界消除及現(xiàn)有汽車軟件的假設打破。

1、軟件定義汽車利用并依賴于車外功能，即汽車云計算。與智能手機的交互、后端的數(shù)據(jù)處理都將直接影響汽車的行駛方向以及與駕駛員、乘客和道路使用者的交互。車外安全問題可能會對車內產生影響從安全角度來看，這消除了車內與車外的邊界：汽車公司以及IT系統(tǒng)供應商和運營商須確保汽車生態(tài)系統(tǒng)的安全保護軟件定義汽車和道路使用者的安全。

2、軟件定義汽車不僅僅是具有連通性的汽車。各種基礎、差異化的功能通過行車電腦上的車內新軟件和汽車云上的車外新軟件實現(xiàn)。這導致代碼數(shù)量不斷增加，進而增加了潛在漏洞。更重要的是，這一轉變打破了關于汽車軟件的現(xiàn)有假設：行車電腦和汽車云使用新型編程語言、虛擬化和服務器技術、大量開源組件以及新型第三方產品。而這些組件和來源中的軟件漏洞都會影響軟件定義汽車的安全性。軟件定義汽車必須在急劇擴張且更加多樣化的軟件供應鏈上得到保護。

1.5 全生命周期開發(fā)運維

即使有了最好的開發(fā)實踐，一些bug也不可避免，使軟件容易遭受攻擊。這種情況下：事實證明，持續(xù)修補易受攻擊的軟件將阻止大多數(shù)黑客的攻擊，顯著降低風險。如果做得好，DevOps顯然有助于實現(xiàn)這種企圖，加速整個軟件生命周期內的軟件開發(fā)和部署。其面臨的挑戰(zhàn)如下：

1、DevOps團隊必須無縫協(xié)作，讓信息在不同的工具和功能之間順暢流動。速度是關鍵，這使得自動化成為安全工程的重中之重。實現(xiàn)這種水平的協(xié)作和透明度需要高超的跨職能團隊合作，尤其是跨部門甚至跨組織的團隊合作。有效協(xié)作是DevSecOps成功的關鍵，也是維護安全系統(tǒng)的重要方面。下圖是Dev和Ops的合作示意：

2、為了避免浪費時間和資源，不要無謂地重復。汽車行業(yè)應靈活學習、調整、應用DevOps方法，打破開發(fā)和IT運營部門之間的信息孤島。實現(xiàn)持續(xù)集成和交付需要更高效的協(xié)作、更快的反饋回路、以及更快更安全的意識等。

二

應對

軟件定義汽車已成為現(xiàn)實，從成熟的軟件行業(yè)中汲取經(jīng)驗教訓和最佳實踐是明智之舉。優(yōu)秀軟件公司脫穎而出的一個關鍵因素是自動化水平和軟件交付能力。汽車制造商和供應商修復其軟件系統(tǒng)的速度越快，就越能更好地保護其客戶和商業(yè)模式免受網(wǎng)絡攻擊威脅。事件確實會發(fā)生，但全面且執(zhí)行良好的措施可以將復雜、有針對性的攻擊及開發(fā)漏洞等相關的網(wǎng)絡風險降到可接受的水平。回顧近年的網(wǎng)絡安全事故，解決安全問題的核心需要從組織和技術方面尋求解決方案。在組織上需要不斷完善網(wǎng)絡安全治理能力，技術上需要重點關注全生命周期網(wǎng)絡安全開發(fā)與運維能力提升。

2.1 汽車網(wǎng)絡安全治理

當前，相比IT行業(yè)，網(wǎng)絡安全在汽車行業(yè)發(fā)展的成熟度不高，企業(yè)對網(wǎng)絡安全的理解不是很充分，企業(yè)文化對網(wǎng)絡安全的支撐也不足，很多企業(yè)處于初級成熟度的網(wǎng)絡安全管理，比較關注合規(guī)性，這可以幫助公司在初期保持業(yè)務。然而，軟件定義汽車及其以數(shù)據(jù)為中心的業(yè)務模型需要一個擴展的安全思維傾向，需要以合規(guī)為基礎，結合軟件定義汽車快速迭代要求，整合包括軟件供應鏈在內的所有利益相關方（如下圖），建立適用于軟件定義汽車的組織、流程及文化。

2.2 全生命周期汽車網(wǎng)絡安全開發(fā)與運維能力提升

軟件定義汽車企業(yè)需要快速開發(fā)產品，開展全生命周期的網(wǎng)絡安全開發(fā)與管理，并將安全運維作為開發(fā)能力建設的重要組成部分。安全運維核心包含風險管理和監(jiān)控，關注軟件定義汽車生態(tài)系統(tǒng)中的信息和數(shù)據(jù)資產。威脅和風險分析（TARA）是汽車公司從初始級到已確認級成熟的第一步，TARA識別風險，衡量緩解措施是否將風險降到可接受的水平。網(wǎng)絡安全開發(fā)實施相應的網(wǎng)絡安全風險緩解措施，（如：針對以太網(wǎng)應用和Zonal ECU應用的網(wǎng)絡安全措施）并對實施結果進行測試驗證。然而，由于網(wǎng)絡安全攻擊手段的不斷進化，（如：量子計算機應用于網(wǎng)絡安全攻擊）車輛制造商和零部件供應商需要在車輛SOP后對威脅環(huán)境和車輛安全運行狀態(tài)進行持續(xù)監(jiān)控——包括生態(tài)系統(tǒng)中的漏洞、縮短檢測安全事件的平均響應時間，以及快速更新安全措施直到軟件定義汽車生命周期結束——是具有高級或優(yōu)化級成熟度的顯著標志。

1、如何應對軟件定義汽車快速交付與全生命周期運維的挑戰(zhàn)----實現(xiàn)DevSecOps確保軟件供應鏈的端到端安全。

在軟件定義汽車環(huán)境下，車載計算機和汽車云使用新型編程語言、虛擬化和服務器技術、大量開源組件以及新型第三方軟件都會為軟件定義汽車系統(tǒng)軟件帶來漏洞和網(wǎng)絡安全風險（如下圖所示）。OEM和零部件供應商需要在整車全生命周期內持續(xù)對相應軟件及網(wǎng)絡安全功能實現(xiàn)快速交付和維護更新。從概念設計、開發(fā)驗證到售后維保直至最終報廢的各階段予以全面充分考慮，這一需求將給零部件供應商和主機廠的軟件管理能力帶來巨大的挑戰(zhàn)。

在當今的網(wǎng)絡安全環(huán)境中，至關重要的是采用DevSecOps將軟件開發(fā)和維護能力提升到一個新的水平，確保軟件供應鏈的端到端安全。DevSecOps在軟件的開發(fā)和操作中嵌入了安全功能，從源代碼到軟件開發(fā)人員，再到與軟件系統(tǒng)交互的每個人。

鑒于傳統(tǒng)汽車軟件和IT軟件之間的集成度越來越高，采用DevSecOps不再只是一種選擇，而是一項當務之急。例如，由于制動系統(tǒng)依賴于深度嵌入式軟件，將繼續(xù)使用安全增強型V模型進行開發(fā)。但是，傳統(tǒng)汽車軟件和IT軟件之間日益增長的集成需要更專注于DevSecOps，特別是在車載計算機和SOC芯片架構下。這些系統(tǒng)將安全關鍵功能和通用功能放在一個芯片中處理，模糊了傳統(tǒng)制動系統(tǒng)控制功能，路邊物體識別功能，數(shù)據(jù)采集功能和云端回放機器學習功能之間的界限（如下圖所示）。在這種SOC架構上開發(fā)和部署軟件，需要嚴格驗證組件和源代碼，無論它們是內部開發(fā)還是來自第三方，是開放還是封閉的，因為漏洞可能來自任何一行代碼，而惡意篡改源代碼在軟件世界中并不新鮮。這種驗證代表了軟件供應鏈所需端到端安全性的一個重要方面。

在這種情況下，網(wǎng)絡安全背后的復雜性是由整個生態(tài)系統(tǒng)、供應鏈和時間軸上不斷增長的軟件量所驅動的（見下圖）。為有效管理這種復雜性，系統(tǒng)和組織必須跟上這種不斷擴張的步伐。這是有效控制軟件定義汽車風險狀況的唯一途徑。

汽車制造商和供應商修復其軟件系統(tǒng)的速度越快，就越能更好地保護其客戶和商業(yè)模式免受網(wǎng)絡威脅。故障發(fā)生的平均檢測時間（MTTD），平均修復時間（MTTR）以及漏洞被利用攻擊時間（MTTA）是評價科技公司網(wǎng)絡安全能力的幾個關鍵指標。如果MTTD+MTTR大于MTTA則會存在較大的風險。所以選擇專業(yè)的網(wǎng)絡安全供應商提供準確且快速的響應方案至關重要。

2、如何應對Zonal架構和以太網(wǎng)應用帶來的挑戰(zhàn)----Zonal 控制器HSM應用和以太網(wǎng)安全防護方案實踐研究。

隨著軟件定義汽車上SOC芯片主導的Zonal架構和以太網(wǎng)技術在車載計算機，自動駕駛以及信息娛樂領域的應用越來越廣泛，考慮針對Zonal控制器的HSM應用和以太網(wǎng)安全防護技術方案的實踐研究需求非常急迫。由于Zonal架構系統(tǒng)Switch的應用由之前的集中式調整為分散布置的方案，如何充分利用好Switch為車輛網(wǎng)絡安全防護所帶來的便利和能力變成了一個比較重要的話題。如下圖所示，Zonal架構的車輛系統(tǒng)包含功能集中式的車載計算機和4個Zonal 控制器采用以太網(wǎng)進行通訊，網(wǎng)絡安全防護方案參考如下：

在車載計算機上部署Firewall和IDS

使用VLANs在Switch上對A,B,C,D 四個Zonal ECU的通訊進行隔離, Zonal 盡量按照功能組劃分，需要與軟件架構匹配。

VC Switch上部署Firewall實現(xiàn)不同Zonal之間的通訊的隔離與防護，符合法規(guī)要求。

在VC 與云端/后臺通訊增加Firewall防護

VC部署IDS-ETH輔助開展通訊包深度入侵檢測防護

在 Zonal ECU上部署Firewall 和 IDS

Zonal ECU Switch上部署Firewall保護其與VC的通訊

Zonal ECU上部署IDS-CAN進行子網(wǎng)內部通訊入侵檢測防護

部分終端ECUs部署Firewall

針對特定ECU應用部署Firewall，比如 EV 充電ECU控制器

在車載以太網(wǎng)通訊加密防護方面，通常可以采用的網(wǎng)絡安全防護技術有 SecOC, (D)TLS, IPsec，MACsec等，他們能夠實現(xiàn)哪些方面的網(wǎng)絡安全防護功能（見上圖）。但是針對不同的車輛EEA架構和數(shù)據(jù)交互應用場景，針對不同的網(wǎng)絡安全攻擊風險該使用哪些以太網(wǎng)防護方式組合是最適用的方案，是需要有針對性的分析后才能確認的。

在Zonal ECU 和SOC芯片的網(wǎng)絡安全HSM加解密應用方面，由于以太網(wǎng)和CAN-FD/CANXL通訊消息量的大幅度增加，針對這些通訊消息的真實性和完整性校驗的CMAC計算量相對現(xiàn)有分布式電子電器架構的ECU應用會大幅增加。當前支持Zonal ECU應用的Renesas/RH850-U2B，Infineon/TC4xx和ST/Stellar采用Cyber Security Satellite (CSS) 方案大幅提升CMAC生成和校驗速度，以滿足以太網(wǎng)和CAN-FD/CANXL 大規(guī)模高速通訊帶來的CMAC校驗性能需求。HSM配套軟件支持該硬件方案的應用，具體情況可以參考下圖。

軟件定義汽車上SOC芯片主導的Zonal架構和以太網(wǎng)技術在車載計算機，自動駕駛，信息娛樂領域以及Zonal控制器應用相關的網(wǎng)絡安全防護措施還會由很多具體的挑戰(zhàn)和措施需要咱們在應用實踐中不斷探索和解決。

3、如何應對量子計算機攻擊帶來的挑戰(zhàn)----抗量子計算機攻擊加解密算法在嵌入式系統(tǒng)應用實踐研究。

通常車輛的壽命至少為10-15年，而電池/電動車的壽命可能會更長。這就提出了一個問題：今天在開發(fā)汽車架構時必須考慮哪些措施，以確保汽車系統(tǒng)在后量子時代能夠抵御攻擊并擊退未經(jīng)授權的訪問。這里的重點是全生命周期的網(wǎng)絡安全適應性和持續(xù)的風險管理。在一個理想的世界里，后量子密碼學（PQC）必須已經(jīng)被納入到車輛開發(fā)概念中--通過使簽名和加密機制以及選定的密碼算法具有量子安全性，或者通過設計能夠隨時升級的安全功能來提供足夠能力適應量子計算機的挑戰(zhàn)。

我們評估了NIST征集的量子安全算法在汽車應用方面的適用性，作為全生命周期的后量子PKI（FLOQI；見信息框）項目的一部分。排名第一的是兩種基于格子的算法。

CRYSTALS-Dilithium作為簽名算法

CRYSTALS-Kyber為KEM。

這兩種算法也都在NIST項目的最終候選名單上。它們被認為是汽車應用的良好候選者，特別是因為它們的性能和穩(wěn)定的資源消耗，參考下圖。

圖：從NIST的提案征集中選出的算法顯示了密鑰和簽名值的重大差異。并非所有的算法都同樣適用于汽車應用。

為了使這兩種后量子算法現(xiàn)在就能用于汽車應用，ETAS最近將它們納入其汽車專用密碼庫。這種加密庫是車載網(wǎng)絡安全的一個核心組成部分。它提供了大多數(shù)安全應用所需的加密算法、格式和加密協(xié)議。例如，數(shù)字簽名驗證使用加密庫與閃存解決方案或安全啟動激活等功能相關。更重要的是，汽車密碼庫的開發(fā)是為了配合車輛的具體應用、要求和基礎設施。這意味著，算法是根據(jù)ASPICE 2級和ISO 26262（達到ASIL D）來實現(xiàn)的，同時特別關注嵌入車輛的系統(tǒng)的有限資源和所需性能。

但最重要的是，這為車輛安全鋪平了道路，使其對來自量子計算機的攻擊更具彈性。這是因為這意味著抗量子的安全功能也可以在硬件安全模塊（HSM）和屬于未來ECU和車載計算機的SOC芯片上運行。在HSM硬件方面，這需要強大的加速器。例如，散列算法（SHA3或SHA2-256）占非對稱PQC進程計算能力的80%。后量子時代的另一個絕對必要條件是用于對稱密碼學的強大AES-256。

因此，這就要求HSM具有高性能的安全堆棧，支持相應的硬件加速器，并將其集成到應用軟件中提供的安全相關功能和協(xié)議中。這導致配備HSM的微控制器和微處理器能夠抵御后量子攻擊，從而確保量子計算機時代車輛的網(wǎng)絡安全。

審核編輯：湯梓紅