什么导致我们的汽车易受攻击？

每天，我们依赖各种来自云端的服务和数据以保持互联，并希望在路上获得同样的便捷性，汽车互联程度也越来越高（图1），这就扩大了攻击面。每种连接选项都代表一个潜在的入侵点。我们还想要更高的安全性、舒适度和便捷性，这进一步提高了汽车解决方案的复杂性。现代化车辆的大多数功能都由电子系统控制。现代化的高端汽车具有200多个ECU（电子控制单元）和2亿多行代码（图2），使之成为日常使用的最复杂的系统之一。全自动车辆的广泛使用可能看起来很遥远，但夺取汽车控制权的威胁却离我们很近。

安全性至关重要，不仅关乎人身安全

对于自动驾驶汽车而言，安全问题最为显而易见，但所有车辆都必须得到保护。我们不仅要阻止黑客控制我们的汽车（尤其是当我们坐在汽车里时），还要保护汽车的安全，避免被设法盗取财物的罪犯入侵（例如，通过安装勒索软件）。

随着越来越多的敏感信息存储在汽车内部，或存储在与汽车相连的云端，隐私越来越受到人们的关注。我们使用在线服务，相互通信，并使用信用卡付款。汽车能够访问有关我们位置、驾驶习惯的信息，以及其他必须得到保护的敏感信息。但是，我们的汽车必须足够智能和安全才能保护我们。车辆不仅仅是带轮子的智能手机。成吨钢铁如果落入坏人之手，可能相当危险，我们必须实施强大的安全措施。交通运输系统是关键基础设施的一部分，必须将保护交通系统纳入安全战略中。

安全性是攻击和保护方法之间的一场竞赛

实际上，保护措施必须足够强大，才能让攻击者信服不值得去尝试攫取受保护的资产。攻击者会分析成本（花费的金钱和时间、所需的专业知识和设备、被抓的风险等）与收益（窃取的物品或数据、公众关注度等），当达到恰当的平衡时，他们便会发起行动。如果攻击可以远程执行，或者可以轻松扩展到一队车辆，那么投资回报将更有吸引力。

攻击方法随时间不断改进，成本越来越低，汽车安全也必须不断改进。这意味着，汽车制造商必须与其供应商一起在车辆乃至更大范围支持可更新、可升级且适应未来需求的安全性，例如，固件/软件无线更新(FOTA/SOTA)。该领域可能出现新的漏洞，因为这场竞赛会在汽车离开生产线后持续很久时间。在车辆的生命周期内，必须能够应用安全修补，而这一生命周期比大多数其他消费品都更长。

在技术论坛里，新的黑客攻击（和解决方案）不断发布，但消费者要求经销商提供其汽车安全信息的做法仍然不常见。目前，尚不存在一个公认的框架用于对安全性级别进行独立客观分类（就像对安全进行分类一样）。 当我们为了便利而向未来的汽车加塞更多功能和连接选项时，我们必须实施相应的措施，在这个更复杂、更危险的环境中确保安全性。汽车OEM及其供应商正在定义未来车辆系统的安全性架构以及V2X（车对外界通信）、云服务和无线更新等功能所需的基础设施。安全性是新设计中不可或缺的一部分。

图3  自动化级别

在确保自动驾驶车辆的安全性方面，例如，美国交通运输部的自动驾驶车辆3.0政策关注的是从SAE自动化级别1级（驾驶人辅助）到5级（全自动）的各种自动驾驶汽车（图3）。相关标准目前正在制定中。2016年发布的SAE J3061（网络物理汽车系统网络安全指南）中介绍的流程框架可用于为车辆系统构建网络安全。SAE汽车电子系统安全委员会已开始起草SAE J3101（路面车辆应用的硬件保护安全要求），以定义一套通用的要求。新兴标准ISO/SAE 21434（路面车辆——网络安全工程）定义的框架可确保采用一致、明确且稳健的方法，以营造网络安全文化，在整个车辆生命周期内管理网络安全风险，允许根据不断变化的威胁格局进行调整，并制定网络安全管理系统，从而解决产品工程中的安全问题，这与ISO 26262解决功能安全的方式类似。ISO/SAE 21434定于2020年发布，可能将会取代SAE J3061。

车辆制造商和供应商形成联盟，为需要全行业合作的开发工作提供平台。在众多重要论坛中，值得一提的是Auto-ISAC和C2C-CC（车辆间通信联盟），前者是专注于网络安全的全球重要社区之一（分享情报并提供最佳实践指南），后者则专注于部署协同的智能交通系统和服务(C-ITS)。

汽车安全解决方案的关键原则

行业通过在汽车设计中运用先进的安全原则来解决这些安全性挑战。汽车制造商必须设计和开发侧重于整个系统的端到端解决方案，包括汽车如何与环境及其他车辆进行交互。适当的“通过设计确保安全”方法确保安全性不是事后补救，而应该从一开始就设计到每个组件中。OEM定义的系统安全概念将来自多个供应商的元素整合在一起，因此通过复杂的供应链高效地推动该系统安全概念是取得成功的重要因素。必须运用到所有系统的另一个原则是深度防御或多层安全（图4），因为一般来说，最薄弱的环节决定了安全性有多强大。这意味着，如果一层安全防线被突破，下一层必须继续保护系统。如上所述，确保汽车的安全解决方案在车辆的整个生命周期内始终有效，这一点非常重要。组件必须具备内在升级路径，以使安全解决方案保持先进并解决未来可能会出现的潜在漏洞。例如，这些升级可在当地经销商处实施或通过无线更新实施。

图4  核心安全原则

保护级别和性质必须与车辆内不同功能域、应用和组件面临的威胁相符。ECU的保护级别取决于多个参数，包括攻击面、已实施功能的重要性和受保护的资产。带有外部连接能力的组件（如信息娱乐系统或网关）所需的保护级别高于大多数车身控制模块。

可能易受攻击的组件应该与安全关键功能隔离开来，以此限制和遏制成功攻击带来的影响。如果检测到被成功攻击，必须维护和保护核心功能，以确保汽车仍然能够正常运行且安全，但可能需要禁用其他功能以降低潜在影响。

全球保障安全无忧出行的解决方案

汽车供应链中的所有公司必须准备好持续投资于网络安全解决方案，以跑赢不断演变的威胁。这就需要维持一个全面的整体汽车网络安全计划，其中包括：具有内置安全功能的产品、集成到正常开发流程中的安全产品工程流程、内部/外部安全评估和认证、产品安全事故响应小组和系统化的威胁情报分享方式。随着安全性逐渐成为产品设计中不可或缺的一部分，构建和维护具有安全意识的组织至关重要。

恩智浦的S32处理平台以4+1汽车安全框架为基础（图5），提供目前市面上最强大的安全解决方案之一。该4层网络安全解决方案提供用于与外界进行M2M（机器间）通信的安全接口、安全的域隔离网关、安全的内部和外部消息传递网络，并且支持在ECU上的安全处理。再加上安全的汽车门禁系统，可在整个车辆中实现深度防御保护。

图5  多层安全框架

“通过设计确保安全”至关重要，正因如此，作为S32平台一部分开发的产品可提供一系列完整的安全功能，在名为HSE（硬件安全引擎）的专用安全子系统中加以实施：安全启动、对称和非对称加密服务（加密、解密、签名和验证）、哈希算法、高质量随机数字生成、密钥管理服务、旁路保护和故障防御。硬件加速已落实到位，可满足安全相关的汽车系统的实时性要求。

为支持一系列广泛的应用（车身、舒适度、动力传动、车辆动态、安全性、驾驶人辅助和自动驾驶、网关、域控制器等），同时确保产品易于使用、易于重用且易于集成，整个S32产品组合中的安全服务可通过兼容的安全API进行访问。所有产品均符合AUTOSAR规范，并且完全满足“SHE”和“EVITA Full”规格的功能目标和宗旨。

由于如今上市的任何解决方案都必须提供一种方法来确保安全解决方案在延长的车辆生命周期内保持最新，因此务必要通过安全的（经过加密和验证的）渠道来支持离线和无线固件及软件更新。所有域都必须具备可更新、可升级、进而适应未来需求的安全性，以支持从设计到寿命终止的整个车辆生命周期。

车主如何才能降低黑客入侵的风险？

行业正在努力设计和维护汽车的安全系统，让车主只需遵循良好的安全实践即可防御风险，如使用强密码和报告他们观察到的可疑功能故障。汽车及其安全系统具有多个接入点，因此非常复杂。它们需要深厚的安全专业知识来确定保护敏感数据的最佳方式，并确保车辆的安全操作。

汽车行业必须为目前和未来的车主提供足够的安全解决方案。政府也可以发挥作用，例如，为车辆安全功能的独立评估制定法律框架。除了舒适性和安全性，车主可以、也应该针对高度安全的成熟解决方案提出要求。消费者意识和需求的不断提高有助于加快所需的步骤，因此安全性实施可满足高度互联车辆中快速增长的辅助或自动驾驶安全要求。

结语

看到越来越多的“自动驾驶机器人”，我们的车辆还值得信赖吗？答案是肯定的，只要我们将安全性视为整体车辆设计中不可或缺的一部分，并准备好提供可更新、可升级且适应未来需求的安全性，以跑赢不断发展的攻击技术。