基本情况
一辆普通车型拥有25到200个不等的ECU(电子控制单元),
高级轿车有144个ECU连接,软件代码超过6500万行,无人驾驶的软件代码超过2亿行;
预计5年之后,每一辆智能汽车每天产生的数据量在4000GB左右。
平均统计来说一辆车有28000多个部件,供应链很长,从设计到销售每个阶段有不同的数据,需要保证其准确性、可用性、保密性:
1)策划: 有市场、竞争分析、法规要求
2)车型设计:功能、性能、成本、目标客户、竞争对手
3)产品设计:FEMA,图纸、2D/3D车型机构、油泥模型,软磨/快速成型架,车身数据,项目进度
4)工程设计 : 产线布局,作业指导书、工艺流程、 产能数据
5)验证测试: 整车测试(高寒等测试数据)、 生产测试、小批
6)售后、召回(设计缺陷),不合格(经验教训)
原有风险
原来单车内部的通讯控制系统是个封闭系统,电子控制单元(电子燃油喷射、主动悬架、安全气囊、电动门窗等装置)之间的通讯和数据传输通过一条叫做CAN 总线的区域网络来进行。
各厂牌的汽车其CAN的请求指令、响应机制等具体内容大多各不相同,互联互通和被破解的风险也不大。同时不存在外来信息的接口,即使安全控制较弱,风险也比较小。
破解一辆车最关键是通过CAN 总线来获得汽车访问权(如同入侵主机获取了系统的Root 权限),那么进而才能攻击刹车、引擎控制等关键任务的控制单元。
现有的风险
设计到销售过程的内部及供应链风险管理;
新型使用场景自动驾驶是汽车加装雷达、摄像头等传感器、控制器、执行器设备,加上车载传感系统和信息通信网络实现与人员、车辆、环境的智能信息交互,使汽车具备感知能力来实现的。
智能汽车是人和机械控制的部分功能乃至全部功能将由信息系统来处理。
开放互联的需求,促使车企开始使用Linux和TCP/IP通讯协议, 替代了原有嵌入式系统。一边是操作系统的开放,一边是通讯网络也成了互联网标准协议, 车与车、车与外部设备的近场通讯也使用的是wifi 或蓝牙通讯,这些网络的普及及脆弱性也为大家熟知。
汽车的智能化,促使汽车中ECU和连接数量大大的增加,被攻击的量也大幅度增加,同时复杂度也增加。汽车通过通信网络接入互联网,再连接到云端控制台,每个计算、控制器、传感单元,每一个连接路径都有可能存在安全漏洞,被黑客利用,从而实现对汽车的攻击和控制:
解决方案
最基础的应对措施就是建立一套在金融、电力等关键基础设施行业证明了的行之有效的信息安全管理体系,应对现有网络,信息系统,定制的工业系统存在的安全问题。
原则
第一 基于汽车全生命周期的信息安全的原则
第二 保护个人信息安全等同保护个人生命安全的原则
方法
1. 威胁资产可能性的风险模型依然适用。对可能攻击汽车系统的途径、不同汽车功能模块的信息安全风险分析与控制。
2. 制定整体的信息安全管理框架与产品级的信息安全方案
3. 围绕汽车生命周期识别威胁,漏洞和风险,建立管控点
下图示意了阶段的划分和各阶段的一些风险点
研究中的方案
当前汽车中使用的计算和联网系统沿袭了既有的计算和联网架构,所以继承了这些系统天然的安全缺陷。但是我们看到有项新的研究可能突破上述的限制。
研究中的CPS (Cyber Physics System)是集海量计算、网络、存储为一体的信息终端, 不是传统架计算、网络、存储分离的架构。
美国总统科学技术顾问委员会(PCAST)在2007年7月,发表的名为《挑战下的领先——竞争世界中的信息技术研发》的报告中列出了8大关键的信息技术,其中CPS位列首位。CPS 计划的物理设备联网,具有计算、通信、精确控制、远程协调和自治等五大功能。
这种特征下的汽车将具有海量计算能力,通讯控制,协调的机制与现在嵌入式的汽车系统加TCP/IP协议联网完全不同, 因此现有的安全管控技术和方法也许完全不适用,当然这些未来的方案还在研究中。
