Vehicle CyberSecurity 车辆网络信息安全(1)

1. 历史及现状

3年前,主机厂不用太在乎车辆网络安全的问题,因为很少有车具备远程访问能力,受攻击面小也意味着隐私泄露和安全隐患造成的风险很有限。随着《两客一危》要求的出台,车载无线终端逐渐成为各类车的标配,也意味着关于公共安全的运输车辆首先受到关注和监控。

2年前,车主也不太在意用车安全的问题,因为一辆车大部分情况下还是一个人或一家人在用,外人没有物理接触的机会,毕竟无线近程或远程访问车辆能造成的影响也还有限。随着电动车和共享用车的兴起,更多车辆的使用权从所有权中剥离,《网约车许可证》办法的出台一定程度上也在提高企业运营的租赁车辆安全防护。

17年,自动驾驶从科幻走进触手可及的现实中,在业内人士看来,对技术变革更深层次的忧虑在于:在大规模制造的消费品中,汽车在M机械-E能量-I信息 三个维度上都更接近机器人自动(Automatic)-自主(Autonomous)的定义。因此其在信息安全控制上的薄弱环节,成为所有组织和个人不得不关注的话题。

危及人身和车辆安全的产品设计,很多情况下是显而易见的。但车辆的信息安全方面的考虑比较特殊,就像所有保密的话题一样,有些事情难以公开讨论。“很多情况下,为什么需要保密也会成为被保密的内容”。接下来给大家重点介绍的,是车辆网络信息安全的相关标准,更多加密通讯技术、测试开发方法、工具等问题,欢迎蔚赫信息微信公众号及后续解决方案。

2. 标准规范

国内语境下,安全有两层含义,一个是功能安全(Safety),一个是信息安全(Security)。参考功能安全标准(ISO 26262)在业内的接受普及过程来看,信息安全相关的标准也在逐步从设计参考,开发实践走向测试验证。与传统IT行业ISO 15408,ISO 27002等标准讨论的网络安全不同的是,现有的汽车网络至少跨越并融合了三类网络:后台服务器之间的互联网,移动终端之间的物联网,车辆内部的实时控制总线网络。因此相比于家电、PC和手机的安全问题,汽车上的网络信息安全分析的涉及面更广,从攻击影响范围来说,至少包含上述三个层面。目前智能网联所引发的汽车网络应用,还在驱动汽车内外的联网技术不断演化,将人-车-路紧密的连接在一起网络,其信息安全分析的方法也将更为复杂。

汽车上网络信息安全已知的威胁、漏洞和风险往往都是事后总结的,在研发测试端还缺少成熟的检测方法和工具,能够在产品真正推向市场前进行全面的防范和预演。以下是一些相对开放且比较有影响力的规范,能够为信息安全提供设计上的参考:

* ISO 15118:电动车V2G通讯接口。包括8个规范,使用场景定义;网络及应用协议需求;物理层及数据链路层需求;网络及应用协议兼容测试;物理层及数据链路层兼容性测试;无线通讯使用场景定义;无线通讯网络及应用协议需求;无线通讯物理层及数据链路层需求。

* ISO 13185:智能交通ITS中车辆提供的接口及服务。包括2个规范,使用场景定义;统一网关协议UGP需求规范以及车辆基站接口。

* AUTOSAR:在R4.2版本中引入了车载信息安全通讯(SecOC,Secure Onboard Communication)模块,并将相关的功能及信息安全(Safety&Security)软件开发规范归总到一起。在R4.3中这部分已经包含了14个软件模块规范文档。

美国提出的标准及相关组织规范包括:

* SAE J3061: 车辆系统网络安全指导手册,系统的分析了功能安全与信息安全的关系,描述了网络信息安全的基本概念、阶段划分、实现要点,以及产品开发过程中软硬件层面需要考虑的问题。其中重点介绍了系统需求从设计分析到开发实现,再到集成验证的流程,提出了类似V模式的设计方法、攻击链(Attack Tree)、安全等级(Security Level)等概念,并就不同安全级别所需的测试及防护要求,给出了最佳参考实践方法,设计了一系列调研分析表格。

* TCG:定义了车载授信平台模块(TPM)与后台服务器与车载网络之间进行安全交互的办法,已被吸收为ISO 11889规范。

* ACES:是美国西南研究所(SwRI)发起的汽车嵌入式系统安全联盟。

欧洲这方面有影响力的组织及项目包括:

* Car2Car:若干欧洲主机厂及设备供应商成立的非盈利机构。在探索协作型智能交通(C-ITS)方向上支持并孵化了很多相关工作组及项目。包括OVERSEE,PRESERVE,SEVECOM,EVITA等。

* EVITA:是欧盟倡议发起的一个车辆安全项目,倡议通过如下方式提高车辆安全水平。包括,信息安全需求分析,车载终端架构安全设计,软硬件实现方法,原型演示等。

3. 参考链接

1. http://www.trillium.co.jp/product-portfolio/

2. https://www.car-2-car.org

3. https://www.automotiveisac.com/best-practices/

4. https://www.nhtsa.gov/sites/nhtsa.dot.gov/files/documents/nhtsavehiclecybersecurity2016.pdf

5.https://www.swri.org/automotive-cyber-security

6. https://trustedcomputinggroup.org/tcg-tpm-2-0-library-profile-automotive-thin/

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180108G0B8Y600?refer=cp_1026

扫码关注云+社区