软件定义汽车下的网络安全挑战与应对

以下内容来源于《汽车电子与软件》

汽车网络安全现状及挑战

在软件定义汽车和汽车EEA集中化，网联化，智能化，以及法律法规的强制监管下，也对车辆网络安全的生命周期开发和维护提出更高要求并衍生出新的挑战。挑战主要体现在以下五个方面：

1.1 车辆EEA集中化

随着汽车的功能越来越丰富，为了解决汽车系统的复杂性、通讯效率瓶颈及软硬件紧耦合的问题和挑战，电子电气架构逐步演变，当下及未来的趋势如下图。

EEA架构的集中化使得汽车网络安全面临挑战：已经接入到了智能化移动互联网的系统现代电动汽车将面临持续不断各种威胁用户个人信息安全上的巨大风险， 使用现代汽车安全软件系统进行安全升级的现代汽车在过程中很快都有可能还有机会再次遭受各种勒索软件病毒、 木马程序等的恶意袭击， 造成汽车用户全部个人隐私以及汽车数据严重遭到泄露，甚至通过网络连接操纵汽车功能并进一步对人身安全造成伤害。

1.2 网联化

网联化是使用无线通信、传感探测等技术收集车辆、道路、环境等信息，通过车-万物信息交互和共享，使车和基础设施之间智能协同与配合，从而实现智能交通管理控制、车辆智能化控制和智能动态信息服务的一体化网络。网联化带来了具体的互联便利，但同时也导致车辆攻击面剧增，同时给汽车业挑战，如人员能力挑战、及未来量子计算挑战。

1、人员能力挑战

汽车网联化因为网络安全人员储备不足的挑战主要集中在以下四个方面：

安全组织流程和管理需要相应的专业安全人员来应对内部和外部威胁。

安全架构因为融入庞大的生态系统，众多的攻击面，需要专业的网络安全人员在架构设计阶段介入并提供专业的指导。

安全产品开发阶段需要专业的网络安全人员以满足整个产品开发生命周期的安全开发要求。

运营维护阶段需要相应的汽车行业的网络安全人员以满足相关的法律法规要求。

2、量子计算挑战

量子密码学（PQC）已经被纳入到车辆开发概念中--通过使签名和加密机制以及选定的密码算法具有量子安全性，或者通过设计能够随时升级的安全功能来提供足够能力适应量子计算机的挑战。

1.3 法律法规（强标监管）

为实现智联化、网联化、电动化和共享化，则离不开车内系统数字化、车载IT系统的后端扩展以及软件传输，这些变化使现代汽车成为一个信息交换中心。随之而来的是智能网联汽车被入侵的事件，过去几年里，安全研究员入侵智能网联汽车的新闻频繁登上媒体头条，汽车信息安全问题不容忽视。为应对车辆网络安全带来的问题，国际和国内已经颁布和即将发布的汽车网络安全法律法规强制要求车辆制造商在销往目的地需满足其要求：

1、国际：欧盟WP29-R155《网络安全与网络安全管理系统》法规从网络安全角度提出了对新车辆及其制造组织的要求，规定了OEM需要满足的网络安全要求，并计划将该要求作为整车厂获得特定国家范围内，特定车型认证的前提条件。车辆制造商面临满足法规的要求的挑战。

2、国内：车辆制造商面临满足国内即将发布的《汽车整体信息安全要求》及《汽车软件升级 通用技术要求》等要求的挑战。

1.4 SDV

软件定义汽车的挑战主要是：车内/车外边界消除及现有汽车软件的假设打破。

1、软件定义汽车利用并依赖于车外功能，即汽车云计算。与智能手机的交互、后端的数据处理都将直接影响汽车的行驶方向以及与驾驶员、乘客和道路使用者的交互。车外安全问题可能会对车内产生影响从安全角度来看，这消除了车内与车外的边界：汽车公司以及IT系统供应商和运营商须确保汽车生态系统的安全保护软件定义汽车和道路使用者的安全。

2、软件定义汽车不仅仅是具有连通性的汽车。各种基础、差异化的功能通过行车电脑上的车内新软件和汽车云上的车外新软件实现。这导致代码数量不断增加，进而增加了潜在漏洞。更重要的是，这一转变打破了关于汽车软件的现有假设：行车电脑和汽车云使用新型编程语言、虚拟化和服务器技术、大量开源组件以及新型第三方产品。而这些组件和来源中的软件漏洞都会影响软件定义汽车的安全性。软件定义汽车必须在急剧扩张且更加多样化的软件供应链上得到保护。

1.5 全生命周期开发运维

即使有了最好的开发实践，一些bug也不可避免，使软件容易遭受攻击。这种情况下：事实证明，持续修补易受攻击的软件将阻止大多数黑客的攻击，显著降低风险。如果做得好，DevOps显然有助于实现这种企图，加速整个软件生命周期内的软件开发和部署。其面临的挑战如下：

1、DevOps团队必须无缝协作，让信息在不同的工具和功能之间顺畅流动。速度是关键，这使得自动化成为安全工程的重中之重。实现这种水平的协作和透明度需要高超的跨职能团队合作，尤其是跨部门甚至跨组织的团队合作。有效协作是DevSecOps成功的关键，也是维护安全系统的重要方面。下图是Dev和Ops的合作示意：

2、为了避免浪费时间和资源，不要无谓地重复。汽车行业应灵活学习、调整、应用DevOps方法，打破开发和IT运营部门之间的信息孤岛。实现持续集成和交付需要更高效的协作、更快的反馈回路、以及更快更安全的意识等。

二

应对

软件定义汽车已成为现实，从成熟的软件行业中汲取经验教训和最佳实践是明智之举。优秀软件公司脱颖而出的一个关键因素是自动化水平和软件交付能力。汽车制造商和供应商修复其软件系统的速度越快，就越能更好地保护其客户和商业模式免受网络攻击威胁。事件确实会发生，但全面且执行良好的措施可以将复杂、有针对性的攻击及开发漏洞等相关的网络风险降到可接受的水平。回顾近年的网络安全事故，解决安全问题的核心需要从组织和技术方面寻求解决方案。在组织上需要不断完善网络安全治理能力，技术上需要重点关注全生命周期网络安全开发与运维能力提升。

2.1 汽车网络安全治理

当前，相比IT行业，网络安全在汽车行业发展的成熟度不高，企业对网络安全的理解不是很充分，企业文化对网络安全的支撑也不足，很多企业处于初级成熟度的网络安全管理，比较关注合规性，这可以帮助公司在初期保持业务。然而，软件定义汽车及其以数据为中心的业务模型需要一个扩展的安全思维倾向，需要以合规为基础，结合软件定义汽车快速迭代要求，整合包括软件供应链在内的所有利益相关方（如下图），建立适用于软件定义汽车的组织、流程及文化。

2.2 全生命周期汽车网络安全开发与运维能力提升

软件定义汽车企业需要快速开发产品，开展全生命周期的网络安全开发与管理，并将安全运维作为开发能力建设的重要组成部分。安全运维核心包含风险管理和监控，关注软件定义汽车生态系统中的信息和数据资产。威胁和风险分析（TARA）是汽车公司从初始级到已确认级成熟的第一步，TARA识别风险，衡量缓解措施是否将风险降到可接受的水平。网络安全开发实施相应的网络安全风险缓解措施，（如：针对以太网应用和Zonal ECU应用的网络安全措施）并对实施结果进行测试验证。然而，由于网络安全攻击手段的不断进化，（如：量子计算机应用于网络安全攻击）车辆制造商和零部件供应商需要在车辆SOP后对威胁环境和车辆安全运行状态进行持续监控——包括生态系统中的漏洞、缩短检测安全事件的平均响应时间，以及快速更新安全措施直到软件定义汽车生命周期结束——是具有高级或优化级成熟度的显著标志。

1、如何应对软件定义汽车快速交付与全生命周期运维的挑战----实现DevSecOps确保软件供应链的端到端安全。

在软件定义汽车环境下，车载计算机和汽车云使用新型编程语言、虚拟化和服务器技术、大量开源组件以及新型第三方软件都会为软件定义汽车系统软件带来漏洞和网络安全风险（如下图所示）。OEM和零部件供应商需要在整车全生命周期内持续对相应软件及网络安全功能实现快速交付和维护更新。从概念设计、开发验证到售后维保直至最终报废的各阶段予以全面充分考虑，这一需求将给零部件供应商和主机厂的软件管理能力带来巨大的挑战。

在当今的网络安全环境中，至关重要的是采用DevSecOps将软件开发和维护能力提升到一个新的水平，确保软件供应链的端到端安全。DevSecOps在软件的开发和操作中嵌入了安全功能，从源代码到软件开发人员，再到与软件系统交互的每个人。

鉴于传统汽车软件和IT软件之间的集成度越来越高，采用DevSecOps不再只是一种选择，而是一项当务之急。例如，由于制动系统依赖于深度嵌入式软件，将继续使用安全增强型V模型进行开发。但是，传统汽车软件和IT软件之间日益增长的集成需要更专注于DevSecOps，特别是在车载计算机和SOC芯片架构下。这些系统将安全关键功能和通用功能放在一个芯片中处理，模糊了传统制动系统控制功能，路边物体识别功能，数据采集功能和云端回放机器学习功能之间的界限（如下图所示）。在这种SOC架构上开发和部署软件，需要严格验证组件和源代码，无论它们是内部开发还是来自第三方，是开放还是封闭的，因为漏洞可能来自任何一行代码，而恶意篡改源代码在软件世界中并不新鲜。这种验证代表了软件供应链所需端到端安全性的一个重要方面。

在这种情况下，网络安全背后的复杂性是由整个生态系统、供应链和时间轴上不断增长的软件量所驱动的（见下图）。为有效管理这种复杂性，系统和组织必须跟上这种不断扩张的步伐。这是有效控制软件定义汽车风险状况的唯一途径。

汽车制造商和供应商修复其软件系统的速度越快，就越能更好地保护其客户和商业模式免受网络威胁。故障发生的平均检测时间（MTTD），平均修复时间（MTTR）以及漏洞被利用攻击时间（MTTA）是评价科技公司网络安全能力的几个关键指标。如果MTTD+MTTR大于MTTA则会存在较大的风险。所以选择专业的网络安全供应商提供准确且快速的响应方案至关重要。

2、如何应对Zonal架构和以太网应用带来的挑战----Zonal 控制器HSM应用和以太网安全防护方案实践研究。

随着软件定义汽车上SOC芯片主导的Zonal架构和以太网技术在车载计算机，自动驾驶以及信息娱乐领域的应用越来越广泛，考虑针对Zonal控制器的HSM应用和以太网安全防护技术方案的实践研究需求非常急迫。由于Zonal架构系统Switch的应用由之前的集中式调整为分散布置的方案，如何充分利用好Switch为车辆网络安全防护所带来的便利和能力变成了一个比较重要的话题。如下图所示，Zonal架构的车辆系统包含功能集中式的车载计算机和4个Zonal 控制器采用以太网进行通讯，网络安全防护方案参考如下：

在车载计算机上部署Firewall和IDS

使用VLANs在Switch上对A,B,C,D 四个Zonal ECU的通讯进行隔离, Zonal 尽量按照功能组划分，需要与软件架构匹配。

VC Switch上部署Firewall实现不同Zonal之间的通讯的隔离与防护，符合法规要求。

在VC 与云端/后台通讯增加Firewall防护

VC部署IDS-ETH辅助开展通讯包深度入侵检测防护

在 Zonal ECU上部署Firewall 和 IDS

Zonal ECU Switch上部署Firewall保护其与VC的通讯

Zonal ECU上部署IDS-CAN进行子网内部通讯入侵检测防护

部分终端ECUs部署Firewall

针对特定ECU应用部署Firewall，比如 EV 充电ECU控制器

在车载以太网通讯加密防护方面，通常可以采用的网络安全防护技术有 SecOC, (D)TLS, IPsec，MACsec等，他们能够实现哪些方面的网络安全防护功能（见上图）。但是针对不同的车辆EEA架构和数据交互应用场景，针对不同的网络安全攻击风险该使用哪些以太网防护方式组合是最适用的方案，是需要有针对性的分析后才能确认的。

在Zonal ECU 和SOC芯片的网络安全HSM加解密应用方面，由于以太网和CAN-FD/CANXL通讯消息量的大幅度增加，针对这些通讯消息的真实性和完整性校验的CMAC计算量相对现有分布式电子电器架构的ECU应用会大幅增加。当前支持Zonal ECU应用的Renesas/RH850-U2B，Infineon/TC4xx和ST/Stellar采用Cyber Security Satellite (CSS) 方案大幅提升CMAC生成和校验速度，以满足以太网和CAN-FD/CANXL 大规模高速通讯带来的CMAC校验性能需求。HSM配套软件支持该硬件方案的应用，具体情况可以参考下图。

软件定义汽车上SOC芯片主导的Zonal架构和以太网技术在车载计算机，自动驾驶，信息娱乐领域以及Zonal控制器应用相关的网络安全防护措施还会由很多具体的挑战和措施需要咱们在应用实践中不断探索和解决。

3、如何应对量子计算机攻击带来的挑战----抗量子计算机攻击加解密算法在嵌入式系统应用实践研究。

通常车辆的寿命至少为10-15年，而电池/电动车的寿命可能会更长。这就提出了一个问题：今天在开发汽车架构时必须考虑哪些措施，以确保汽车系统在后量子时代能够抵御攻击并击退未经授权的访问。这里的重点是全生命周期的网络安全适应性和持续的风险管理。在一个理想的世界里，后量子密码学（PQC）必须已经被纳入到车辆开发概念中--通过使签名和加密机制以及选定的密码算法具有量子安全性，或者通过设计能够随时升级的安全功能来提供足够能力适应量子计算机的挑战。

我们评估了NIST征集的量子安全算法在汽车应用方面的适用性，作为全生命周期的后量子PKI（FLOQI；见信息框）项目的一部分。排名第一的是两种基于格子的算法。

CRYSTALS-Dilithium作为签名算法

CRYSTALS-Kyber为KEM。

这两种算法也都在NIST项目的最终候选名单上。它们被认为是汽车应用的良好候选者，特别是因为它们的性能和稳定的资源消耗，参考下图。

图：从NIST的提案征集中选出的算法显示了密钥和签名值的重大差异。并非所有的算法都同样适用于汽车应用。

为了使这两种后量子算法现在就能用于汽车应用，ETAS最近将它们纳入其汽车专用密码库。这种加密库是车载网络安全的一个核心组成部分。它提供了大多数安全应用所需的加密算法、格式和加密协议。例如，数字签名验证使用加密库与闪存解决方案或安全启动激活等功能相关。更重要的是，汽车密码库的开发是为了配合车辆的具体应用、要求和基础设施。这意味着，算法是根据ASPICE 2级和ISO 26262（达到ASIL D）来实现的，同时特别关注嵌入车辆的系统的有限资源和所需性能。

但最重要的是，这为车辆安全铺平了道路，使其对来自量子计算机的攻击更具弹性。这是因为这意味着抗量子的安全功能也可以在硬件安全模块（HSM）和属于未来ECU和车载计算机的SOC芯片上运行。在HSM硬件方面，这需要强大的加速器。例如，散列算法（SHA3或SHA2-256）占非对称PQC进程计算能力的80%。后量子时代的另一个绝对必要条件是用于对称密码学的强大AES-256。

因此，这就要求HSM具有高性能的安全堆栈，支持相应的硬件加速器，并将其集成到应用软件中提供的安全相关功能和协议中。这导致配备HSM的微控制器和微处理器能够抵御后量子攻击，从而确保量子计算机时代车辆的网络安全。

审核编辑：汤梓红