点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
一 智能网联汽车网络安全概述
以基础设施、车联网设备、网络通信、数据信息、平台应用、车联网络服务等关键要素为基础,智能网联汽车提出了新的网络安全的整体技术架构,如图1所示。
智能网联汽车通信环境的开放性和高速移动性,使得智能网联汽车除了要面对一般的网络攻击外,还将面临直接涉及驾驶人员生命安全和社会问题的攻击和安全威胁。例如,恶意节点或犯罪团伙将虚假消息发送给车辆或信号灯,将可能造成很大程度的道路安全和交通堵塞问题;车辆节点的快速加入和退出,将导致对攻击和虚假消息的检测与防御变得困难等。
当前,智能网联汽车网络对相关安全风险的主要应对措施包括:终端和服务网络之间支持双向认证;对网络中的数据进行加密传输、完整性校验以及抗重放保护。
在实际的对抗环境中,一些常用的网络安全防御技术可以被用来保障智能网联汽车的安全,如区块链和拟态安全防御、信任管理机制、身份认证互信互认、数据加密等。
二 智能网联汽车网络安全现状
智能网联汽车网络是实现车辆与周围的车、人、交通基础设施、网络以及云端平台等交通功能实体之间全方位连接、数据高效交互以及信息敏捷分享的新一代信息通信技术。
在进行智能网联汽车网络通信时,安全证书管理系统为车辆、路侧设备、信息服务平台等车联网关键要素发放可信的“数字身份”,从而实现在保护隐私的基础上对数据信息的篡改、伪造及重放等网络安全攻击进行有效的防御和抵抗,进而确保车联网系统的安全可靠运行。
车联网安全证书管理系统作为交通领域的安全基础设施,应具备“稳定高效、弹性灵活、政策合规”三大核心要素。
稳定高效方面,智能网联汽车网络安全基础设施直接面向海量汽车终端提供服务,且服务强度大、时间窗口小。车联网安全基础设施应从以下四个方面来应对“稳定高效”的核心要素。首先,在计算节点、存储节点、密码运算节点各方面设计冗余架构,通过双网、双库、双平面的架构设计实现系统99.999%高可靠。其次,针对车辆证书签发业务高并发的特点,车联网安全基础设施应设计负载均衡架构,根据设置将业务请求分配到多个服务器,减轻单个服务器压力过大的问题。再次,配备目标服务器健康检查,当目标服务器出现故障时,业务请求主动转移至正常服务器,保持服务的连续性和可靠性。最后,在数据库设计方面,基于高可用架构,支持一主多备、异地实时备份等备份功能;系统具备故障检测功能,可实现数据库秒级切换。
弹性灵活方面,车联网安全基础设施应采用模块化架构设计实现灵活部署、按需配置、平滑增量的要求。即系统应灵活适配公有云、用户私有云或自建IDC机房等部署环境,并可实现云上服务与自建中心之间服务及数据的平滑过渡与切换;系统可以机构为单位,按照业主单位需要,删减或拆分部署,可与业主单位现有的认证服务系统深度融合;系统可支持分阶段增量部署,随车联网渗透率的增加,实现集群扩容、平滑过渡。示范区和先导区应当支持以业主单位建设的节奏扩容,并支持未来向省级平台过渡;汽车制造商应当可以按照年度增幅计划扩容甚至实现随产随扩容。
政策合规方面,车联网安全基础设施是交通领域的关键基础设施,也是密码应用信息系统,建设车联网安全基础设施应充分理解当前法律法规及管理规定,实现“以规促建”。除遵循应用层相关标准外,还需要遵循网络安全等级三级保护制度、商用密码应用安全性评估两项较为关键的安全性标准。依照国家实行网络安全等级保护制度,车联网安全基础设施应按照等级保护要求开展建设和定级备案,并从多个维度实现系统的安全性设计及加固。对于定级在三级及以上系统,还需进行商用密码应用安全性评估。
智能网联汽车的快速发展,带来了各类数据信息的爆炸式增长,而其中大多数数据都是实时产生、相互之间并无关联的非结构化数据,如何对这些巨量数据进行安全传输、访问与管理是当前智能网联汽车行业面临的巨大挑战。
通过在设备侧,包括车载设备、路侧设备以及手机等智能移动终端应用区块链技术,同时将智能网联汽车的数据索引锁存在区块链,形成索引链。索引链只存储了具体车联网数据的指针,打破车联网设备侧计算和存储资源相对不足的限制,使其能够更好地进行相关数据处理与信息交互。
设计基于PPoV①(Parallel Proof of Vote)的数据轻量化共识机制,提出协作式区块体存储机制,并对协作式存储中的读取机制进行优化改进,从源头上减少共识生成的存储量。该方案具有通用性强、存储可扩展程度高、非正常节点容忍性强以及系统开销小等优点。
“信任管理”(Trust Management)的概念最初由 Blaze等人于1996年提出②,Blaze 等人给出了信任的明确划分与定义,并基于概率分布的方法来预测期望的信任。但由于该模型在计算信任时,采用简单的加权平均方法,无法有效抵抗网络中针对信任管理机制本身的恶意攻击。
在此之后,国内外众多学者开始针对不同的网络环境,如P2P网络、社交网络、Ad hoc 网络等,采用不同的信任评估算法构建了各种信任模型。经典的信任模型包括EigenTrust③、PowerTrust④、PeerTrust⑤、TrustGuard⑥等。近几年,不少专家和学者针对车联网信任评估技术展开了积极研究,并取得了一些研究成果。
Li等⑦提出了一种抗攻击的车联网信任管理方案(ART),能够抵抗虚假反馈攻击和开关攻击。该方案首先采用D-S证据理论进行数据信任评估,接着从功能完成度和推荐信任度两个方面对节点信任进行评估,采用推荐系统中的协同过滤算法计算节点的推荐信任值。但该方案没有考虑数据稀疏性,在车辆较少的场合下模型的评估结果较差。
Lin等⑧将社会关系因素引入车联网中,并提出“车载社交网络”(Vehicles Social Networks,VSN)的概念,VSN反映了社会特征和人类行为对VANET的影响。该方案主要考虑三种社会信任关系,即直接邻居信任间接邻居信任和朋友信任,利用这三种社会信任关系,采用加权平均的方式计算全局信任。但加权平均的方式过于简单粗暴,不具有抗攻击性。
Xiao 等⑨将原本用于网页排序的PageRank 算法引入车联网信任评估模型,根据局部信任构建一个相对稳定的且独立于动态网络拓扑结构的局部信任连接图,再基于该局部信任连接图迭代计算节点的全局信任。虽然该模型在没有恶意攻击的情况下能够有效地评估出可信节点和非可信节点,但在遭受到诸如虚假反馈攻击和开关攻击时,模型的评估效果较差。
Barka 等⑩提出了一种基于区块链技术的信任评估方法,能够抵抗虚假消息攻击。该方法在矿工选举过程中采用工作量证明(Proof-of-Work)和权益证明(Proof-of-Stock)相结合的方式,从而减少计算资源的消耗和网络延迟,但该方案仍然无法适用于车联网的一些时延敏感场景。
针对车联网信任管理机制的研究还处于初级阶段,存在许多的不足和有待改进之处,比如,许多信任评估算法依赖于专家知识或大量交互数据的积累;部分车联网信任模型不具备抗攻击性,尤其无法抵抗共谋攻击,同时信任评估过程没有充分考虑车联网的社会属性。
基于成熟的PKI技术,构建智能网联汽车身份认证互信互认体系,开展智能网联汽车安全信任实践,通过建设数字证书认证系统,验证智能网联汽车身份认证安全信任机制;展望并规划智能网联汽车身份认证系统发展趋势。
PKI(Public Key Infrastructure,公开密钥基础设施)技术,为智能网联汽车中的实体颁发数字身份,安全高效地解决了非法实体假冒合法实体的身份接入的安全风险,实现智能网联汽车的身份认证。智能网联汽车中存在不同地域和行业的实体间的身份认证和安全信任问题,也可基于PKI跨域身份认证技术实现跨地域和跨行业的互认互信。
在智能网联汽车系统中,不同的地域和行业已经建设了不同的PKI基础设施,每个PKI的服务范围为一个认证域,存在多个认证域,要实现多个认证域间的互认互信,可以通过可信根证书列表管理机构(Trusted Root Certificate List Authority,TRCLA)签发的 TRCL (Trusted Root Certificate List,可信根证书列表)来实现。证书间的互认互信体系结构如图4所示。
2021年工信部开展车联网身份认证和安全信任试点工作,通过建立数字证书认证系统,赋予智能网联汽车、车联网路侧设备、信息服务平台等可信的数字身份,同时以车联网安全信任根管理技术为核心,开展智能网联汽车安全信任实践活动,实现智能网联汽车跨地域、跨行业的互信互认。车联网信任根管理技术将安全信任根接入国家级的车联网信任根管理平台,管理平台根据接入的可信根,签发可信根证书列表。不同的车联网安全信任根通过国家车联网安全信任根管理平台签发的可信根证书列表,实现根证书的互认互信。隶属不同信任根的证书管理系统,通过车联网安全信任根管理平台签发的可信根证书列表和可信CA证书列表,实现证书系统的互认互信。路侧和车端之间进行身份认证和消息验证时,同一信任域或不同信任域的设备可通过可信CA证书列表或可信根证书列表验证数字证书,从而实现车端与路侧设备的互信互认。
目前,车联网面向车载信息服务和车路协同应用场景,主要建设X.509数字证书和 V2X数字证书两种认证系统。X.509 证书系统为车辆、使用车辆的用户、厂商的业务系统提供所需的数字身份,保障实现车载信息服务所进行的车与云信息交互身份认证和安全通信。V2X证书系统为车路协同应用中的车辆和路侧设施进行V2X交互提供所需的注册证书、假名证书、应用证书、身份证书,保证车辆在V2X通信中的真实性和匿名性。
未来智能网联汽车的主要应用将会聚焦在车、路、云一体的协同应用服务系统中,车、路、云的身份认证和互认互信需要满足一体化融合发展的需求。X.509证书体系和V2X证书体系具有相同的密码算法和签名机制,具备实现融合的基础,可探索X.509和V2X双证书体系融合的技术路径和实现途径。在车联网云平台上构建证书互认互信管理平台,提供两种证书体系的互认互信服务,解决双证书体系兼容的问题。通过提高车联网云服务平台的证书互信的融合能力,更好地实现跨地区和跨行业的车、路、云一体化互认互信服务。
数据是智能网联汽车的核心要素,“车一人通信”“车一车通信”“车一路通信”“车一云通信”,以及汽车内部设施与应用之间的车内通信都离不开数据的传输与使用。智能网联汽车的数据安全关系到行车安全、生命财产安全甚至是国家安全,因此,开发数据安全保护技术非常重要。
当前已有一些数据安全保护规范或技术,针对智能网联汽车数据应用的场景,来规避个人信息或重要数据泄露及滥用的风险。如表1所示,根据数据保护技术的分类、特点以及应用场景,对车联网数据安全保护技术应用进行了总结。
表1所列技术中,数据脱敏技术和隐私计算技术,在智能网联汽车数据保护的部分应用场景中,发挥了较大作用。数据脱敏技术是指利用特定的方法,在车端数据处理设备或装置上消除原始环境数据中的敏感信息,从而使主要信息难以识别或关联,而且处理后的信息无法被复原,同时保留了目标环境业务所需要的数据特征和内容。隐私计算技术是通过结合同态加密、多方安全计算、可信计算技术等相关技术,在车内实现数据匿名化处理后出车,加密数据依旧可以实现深度学习等复杂模型的应用落地,从而保障数据合规使用。
隐私计算技术较好地兼顾了用户数据、隐私安全和算法优化的合规性。基于隐私计算在不知道用户是谁的情况下实现匿名化数据采集并保持原来统计意义上的准确性。隐私计算就是解决在一个互不信任的多用户网络中,两个或者多个用户能够在不泄露各自私有输入信息时,协同合作执行某项计算任务的问题。
在智能网联汽车安全防御过程中,面对攻防双方不对等、指数级的攻击、无法协同联动的信息孤岛和海量的告警日志等问题,其防御系统的快速应急响应与安全产品协作等都面临着诸多挑战,仅依靠人工无法从根本上胜任网络防御任务。针对这种现状,本报告提出了智能网联汽车大规模防御系统,该系统是以技术为基础,依靠流程制度化,构建一个高效、可扩展、自适应并符合安全运营三化方向的安全防护体系。
该大规模防御体系围绕安全运营三化的方向,从事后分析转为事前防御,从静态特征分析转向智能数据分析,从手工运维转向安全自动化运维,从单点防御转向全面协作。大规模防御系统的构建基础是安全运营的有效贯彻实施,后文将重点阐述安全运营的概念、困境和发展趋势。
安全运营是一种复杂的实时响应系统,其作为人员、流程和技术的有机结合体,可帮助管理人员进行事件或风险分析、预警管理以及应急响应处理。
智能网联汽车网络安全运营的主要困境包括:智能网联汽车单车检测与防御能力受限于车端算力,导致安全问题频繁发生;对抗性攻击针对现有已知的防御技术,有针对性地削弱其防御能力;海量告警分析处理、快速应急响应、安全知识沉淀、安全产品协作等都面临着诸多挑战;网络攻击在空间维度变得随处可见,仅依靠人工无法从根本上胜任网络防御任务。
未来的安全运营将朝着协同化、智能化和自动化的方向发展,通过高级别的安全运营机构的建设将新的安全运营思路落地。
协同化。安全运营协同化需要安全设备相互理解、相互配合,对多种安全产品进行统一的安全能力调配,以增强安全检测和响应的能力,提高安全运营的效率和价值。安全运营协同降低了运营的复杂度。
智能化。安全运营智能化摆脱孤立的运营管理,提供智能洞察力,推动自动化和协作化。运营平台可以与多个数据源相结合,采用实时分析技术、深层分析技术以及展示技术,为增强智能网联汽车网络安全运营平台提供更加深入的见解。
自动化。安全运营自动化可减轻重复工作量、提升处理效率、节省成本、减少人为错误。SOAP (Service Orchestration and Automation Platforms)技术代表了自动化业务流程的发展趋势。SOAP 从基于时间的调度,转变为基于事件的工作流程编排,从而使其更适合实时数据处理需求,并提供了统一的管理控制台和业务流程引擎来管理数据管道和事件驱动的应用程序工作流。
安全运营机构。SOAPA (Security Operations and Analytics Platform Architecture)是具备收集、处理和分析安全数据,并采取行动的、完整的安全运营机构。SOAPA体系架构包括四个层次:通用分布式数据服务、软件服务和集成层、安全分析层、安全运营平台层。SOAPA将所有安全能力的控制面进行有机的纳管。其灵活性建立在可编程的控制面,依托自动化解决了复杂的流程管理。伴随着智能网联汽车网络安全运营平台协同化、智能化和自动化发展的方向,SOAPA将朝着可扩展、自适应的网络防御框架方向发展。
为了实现安全运营朝协同化、智能化、自动化方向发展的路径,我们需要通过威胁情报交换语言STIX(Structured Threat Information eXpression)、情报自动交换应用层标准协议TAXII(Trusted Automated eXchange of Indicator Information)、网络防御系统功能元素互操作语言OpenC2(Open Command and Control)、行动操作过程自动化协作CACAO(Collaborative Automated Course of Action Operations)几大标准规范的融合应用,增强智能网联汽车网络防御系统不同安全功能元素的协作,并充分落实集成式自适应网络防御(IACD)框架,合力构建协作化安全能力。
在此基础上,以安全编排与自动化(SOAP)、安全事件响应平台(SIRP)和威胁情报平台(TIP)三种技术手段构建 SOAR 体系,将安全防御的识别、防护、检测、响应、恢复等各个环节涵盖在内。SOAR 体系应用于智能网联汽车网络安全监管平台,可以有效解决安全能力不足、人员短缺、安全防御速度与规模提升等现实问题,有效地提高整个安全防护系统对各类安全威胁的响应速度,进一步地,可以建立全国主动式的智能网联汽车安全防御制度,使其与国家的“整体、动态、开放、共同”网络安全观指导方针相结合,实现国家制定的“积极防御、综合防范”的信息安全战略目标。
智能网联汽车的特点是智能化、网联化,其丰富的软硬件接口为攻击者提供了多样化的攻击入口,风险极大提高。通过风险评估预判智能网联汽车的风险,可以提前采取应对措施,极大地降低智能网联汽车的风险,并为保险公司、再保险公司承保智能网联汽车提供核保定价支持。
智能网联汽车的风险评估,可以从对其功能的拆解开始。功能是指实现一个整车功能的系统或系统的组合,例如,自动泊车功能是由感知系统、决策系统、执行系统等联合工作而实现的。风险评估主要分为两个步骤:综合负面影响评估和攻击可行性评估。
识别实现功能所涉及的资产,资产识别的范围包括功能模块、部件、数据、交互流程、协议、人员、系统组件等。根据资产的安全属性受到损害后的影响,对整车的负面影响进行的评估。
基于功能实现所涉及的资产识别结果,进行威胁场景识别和攻击路径分析。威胁场景的识别主要是指识别智能网联汽车所面临的威胁有哪些,以及威胁源可以通过怎样的攻击方法对车辆实施攻击。
攻击路径分析的目的是识别具体实施一个威胁场景能够采取的攻击方法,并分析实施攻击所涉及的每一个步骤以及相关的资产。攻击路径分析完成后,结合对当前智能网联汽车所采取的安全措施的分析得出车辆每个资产的脆弱性结果,即可完成攻击可行性评估。
通过综合负面影响评估和攻击可行性评估,即可形成智能网联汽车风险评估定级。结合风险定级的结果进行风险的处置决策,实现对智能网联汽车的风险管理。
按照行业最佳实践考虑,在通常情况下,风险处置策略要求与风险评估定级结果之间的映射关系如表2所示。
智能网联汽车网络安全量化风险管理的流程如图5所示,其执行流程可以进行迭代评估和(或)风险处置活动。迭代算法在每一次迭代的过程中,可以对评价的深度和细节进行风险评价。
首先需要建立特定的语境,然后在此语境中进行相应的风险评估,若想将风险降至可接受水平需要采取相应的行动,如何有效地确定行动内容,需要风险评估提供足够的信息,才能进行风险处置。如果提供的信息不够全面,则会对相关语境进行调整,然后在调整后的语境下,对该智能网联汽车的网络安全风险评估进行新的迭代(图5,风险决策点1)。
风险处置的有效性取决于该风险评估的成果。风险处置后的剩余风险也许不会立刻达到一个可接受的水平。如有必要,则可能需要在调整后的语境参数下,进行该风险评估的另一次迭代过程,并进行随后的风险处理(图5,风险决策点2)。此外,应保证残余风险被智能网联汽车的利益相关者如所有者、保险承保公司明确地接受,该项工作由风险接受活动完成。
在整个智能网联汽车的网络安全风险管理中,关键在于将风险和对风险的处理方式向适当的管理者、运行人员等利益相关方传达。在网络安全风险管理过程中,各个活动和来自两种风险决策点的具体结果均应记录在案。
三 创新技术案例
智能网联汽车的安全防御技术种类繁多,但是大多数都是基于传统的IP体系,很难从根本上解决车联网的安全问题。而融合未来网络和区块链的智能网联汽车专网体系则颠覆了传统的防御观念,采用新型专网体系来有效隔离网络攻击,有效地保障了车联网的安全性。
2019年,国家重大科技基础设施未来网络北大实验室主任李挥教授团队提出并实现融合区块链技术与未来网络及IP的多边共管多标识网络体系(Multi-Identifier Network,MIN)⑪。多标识网络体系MIN围绕基于区块链的顶级域名各国共管共治各国标识空间主权独立、以身份标识为核心的多标识共存、内生安全三个核心点展开,满足各国网络空间主权独立、安全和平有序、未来可持续发展的迫切需求,推动网络空间命运共同体建设。
基于多标识网络MIN的智能网联汽车高安全专网MIN-V2X(Vehicular to Everything,V2X)是我国自主研制的、不依赖于现有TCP/IP协议,具有原生安全保障的车联网络解决方案。MIN-V2X支持全域覆盖的卫星与车之间的通信,通过统一身份、内容、服务、北斗地空,同时兼容 IP等多标识的网络层以提高网络效能,同时使用数学密码、北斗地空、生物特征、可信计算根密钥和区块链等技术,来构建一个全域全程数据可湖源多维度协同的安全车联网络。其协议栈如图6所示。
MIN-V2X在信任管理、自认证以及零信任等方面具有非常显著的优势能够有效地保障车联网的安全性和可靠性。MIN-V2X具体的安全特性如下:①身份验证;②数据完整性;③数据一致性;④活动可追濒性;⑤不可否认性;⑥限制证书的使用;⑦数字证书撤销;⑧匿名性。
来源:USYS智能汽车
码上报名
2023第六届无人驾驶及智能驾舱中国峰会,5月11-12日,上海
码上报名
AutoSec 7周年年会暨中国汽车网络安全与数据安全合规峰会,5月11-12日,上海
码上报名
AES 2023 第四届中国国际汽车以太网峰会,6月8-9日,上海
更多文章
华为蔡建永:智能网联汽车的数字安全和功能安全挑战与思考
汽车数据合规要点
车载以太网技术发展与测试方法
车载以太网防火墙设计
SOA:整车架构下一代的升级方向
会员权益: (点击可进入)谈思实验室VIP会员
END
微信入群
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
谈思实验室,为汽车科技赋能,推动产业创新发展!
原文始发于微信公众号(谈思实验室):智能网联汽车网络安全技术研究
