安全碰撞測試:汽車車載IT組件的實際安全評估
摘要
現代車輛由眾多相互連接的、基于軟件的 IT 組件構成,這些組件會經過極為嚴格的功能正確性測試,以避免出現安全問題(例如剎車突然失靈)。然而,與安全測試不同,針對潛在安全漏洞的系統性測試尚未成為汽車領域的常規流程。但這一現狀可能使惡意攻擊者有機可乘,入侵安全關鍵型 IT 組件甚至整個車輛。已有多項真實世界的演示表明,這種風險并非僅存在于理論層面。
面對這一挑戰,本文首先介紹了一些潛在的汽車安全攻擊及重要的汽車安全威脅,隨后詳細闡述了如何基于理論安全分析和實際安全測試,識別并評估汽車 IT 組件的潛在安全威脅。最后,我們提出了 “汽車安全評估防護等級”(ASEAL),該等級定義了多達四個離散的安全測試級別。
1、引言
過去幾天里,全球各地的車主紛紛遭遇其聯網汽車信息娛樂系統的異常行為:導航系統突然跳轉至其他路線、系統自行撥打服務電話、顯示屏出現骷髏頭和大笑的白色面具圖案。安全專家經快速分析發現,此類行為的根源是 GSM/LTE 接口存在嚴重安全漏洞,使得未授權人員能夠訪問信息娛樂系統的軟件。但問題在于,該信息娛樂系統已通過多項測試,為何仍遺漏了這一漏洞?答案其實很簡單:盡管進行了多項側重于功能安全的測試,但包含理論分析和實際測試的系統性安全評估并未完成。
幸運的是,這目前仍只是一種潛在場景,尚未成為現實,但它清晰地暴露了汽車 IT 測試中的一個關鍵缺口 —— 數十年來已成熟應用的現有功能測試流程并未涵蓋這一領域。
然而,與功能測試不同,針對汽車 IT 組件的 IT 安全系統性評估仍處于非常早期的階段。與此同時,將安全測試納入工程流程的需求日益迫切,這不僅是因為上述引言中提到的此類場景,還源于相關研究活動以及公共機構不斷提高的要求。因此,本文首先探討了汽車行業進行系統性安全測試的優勢及相關所需投入。在此過程中,我們考慮了近期汽車 IT 系統面臨的各類安全威脅(從里程表篡改到轉向系統遠程控制等),并詳細解釋了為何完善的安全評估本可以防范大多數此類攻擊。
本文的貢獻主要體現在兩個方面。首先,我們概述并簡要介紹了嵌入式安全評估的不同方面,例如理論安全分析、實際安全測試和可驗證安全驗證(參見圖 2),尤其聚焦于汽車車載 IT 組件。
圖 1、實驗室中用于測試嵌入式設備的實際測試裝置
其次,本文的另一項貢獻是首次提出建立所謂的 “汽車安全評估防護等級”(ASEAL),該等級定義了多達四個離散的安全測試級別,明確了某一 ASEAL 應包含哪些安全分析和測試,以及這些安全分析和測試應執行的 “深度”(參見第 6 節表 1)。
2、汽車安全威脅
本節概述了潛在的汽車安全威脅。要理解威脅的類型,首先需對可能成為攻擊目標的各類汽車功能有基本了解。顯然,存在直接影響駕駛安全的安全威脅(如操控方向盤或剎車),以及通過觸發車輛異常行為干擾駕駛員的間接安全威脅。安全研究人員已成功演示,通過在車輛 CAN 總線上惡意注入相關消息,能夠實現激活或禁用剎車、操控方向盤等操作。間接安全問題同樣可能發生,例如在雨天或昏暗環境下,通過注入 CAN 消息禁用雨刷或關閉前大燈。
另一類安全威脅針對車輛中的授權功能。例如,里程表記錄行駛距離,攻擊者在出售二手車時,可能會篡改里程表數值以提高車輛價值。根據德國警方的調查,每年約有 200 萬輛汽車遭遇里程表篡改,每輛車平均損失約 3000 歐元,每年總損失高達約 60 億歐元。此外,電子控制單元(ECUs)中存儲著關鍵數據,如碰撞數據、保險相關數據或保修指標等。此類數據也極易成為惡意篡改的目標。例如,碰撞發生前幾秒內的車輛速度、安全帶狀態、剎車踏板位置等數據通常會被記錄下來。事故涉事駕駛員可能會試圖篡改這些記錄數據,以偽造剎車已被踩下的假象。
此外,隨著車輛互聯的普及,越來越多的私人數據(如車輛位置、在線服務憑證、移動支付數據等)也被存儲在車輛中。攻擊者可能有意竊取此類數據,直接濫用或作為進一步發起攻擊的跳板(例如,通過竊取車輛中存儲的相關憑證攻擊在線服務)。攻擊者可利用藍牙、Wi-Fi 等通信接口提供的服務中存在的安全漏洞,或通過物理接觸車載診斷系統(OBD)端口、USB 端口或電子控制單元(ECU)本身,以無線方式提取此類私人數據。
還有一類威脅是車輛或高價值車輛組件(如安全氣囊、車載主機等)被盜,例如通過濫用診斷指令重新編程新鑰匙。這種功能通常被汽車維修商用于更換丟失的鑰匙,但也可能被攻擊者利用,為其要盜竊的車輛編程 “盜竊鑰匙”。在其他一些案例中,攻擊者能夠向車輛發送控制消息,禁用警報并解鎖車門,從而得以物理進入車輛內部。
3、相關工作
汽車 IT 安全測試方面已有大量研究工作,主要由獨立安全研究人員開展。例如,汽車嵌入式系統安全中心(CAESS)已對車輛進行了實際安全評估,發現了諸多安全問題。他們成功利用這些漏洞實現了發動機或剎車禁用,以及獲取車輛內部系統的遠程訪問權限。研究人員既對用于遠程訪問車輛的外部接口進行了安全測試,也對車載網絡開展了相關測試。其他研究人員則展示了基于非診斷 CAN 消息的實際攻擊,能夠實現行駛過程中發動機熄火、剎車鎖死或方向盤突然轉向等操作。
近年來,各方紛紛呼吁原始設備制造商(OEMs)重視安全問題并開展更嚴格的安全測試。例如,參議員愛德華?馬基(Edward Markey)已致信 20 家汽車制造商,詢問其對安全的看法及相關承諾。此外,一個名為 “我是騎兵”(I am the cavalry)的獨立組織發布了一份針對汽車制造商的五點安全指南,敦促制造商遵循該指南以提升汽車安全水平。這五點分別是:設計安全、第三方合作、證據收集、安全更新以及分段與隔離。
此外,每年都會舉辦一項活動,原始設備制造商(OEMs)會提供車輛供獨立研究人員、工程師和學生進行汽車安全測試。該活動的核心目的是讓參與者通過嘗試發現漏洞,對車輛安全進行實際測試。原始設備制造商(OEMs)通常會派工程師參與活動,短期目標是了解具體的漏洞所在,長期目標則是學習在設計過程中考慮安全因素(即在設計解決方案時站在攻擊者的角度思考)。
其他行業也在運用安全測試。例如,針對工業控制系統(ICS),有嵌入式設備安全評估(EDSA)認證,其中包含針對通信穩健性測試組件的模糊測試等實際安全測試內容。對于銀行業,有 EMVCo 認證,其中包含一項安全評估流程,用于評估智能卡相關產品和基于集成電路(IC)芯片的令牌的總體安全性能特征及適用性。EMVCo 評估的目的是驗證芯片產品提供的安全功能是否得到恰當實施。此外,包括滲透測試在內的實際測試會檢查芯片、操作系統和應用程序之間的交互,以評估最終芯片產品是否能充分保護敏感機密信息及支付資產。
在計算機安全認證方面,存在一項名為信息技術安全評估通用準則(CC)的國際標準(ISO/IEC 15408)。要達到特定的評估防護等級(EAL),計算機系統必須滿足特定的防護要求。這些要求通常包括設計文檔、設計分析、功能測試和滲透測試。
在美國,政府安全需求由聯邦信息處理標準(FIPS)進行規范。FIPS 驗證的目的是向用戶保證,某一技術已通過認可的第三方實驗室在加密算法驗證計劃(CAVP)或加密模塊驗證計劃(CMVP)下的嚴格測試,可用于保護敏感信息。FIPS 包含多項標準,例如 FIPS 140-2規定了加密模塊的安全需求。
4、嵌入式安全評估
如第 2 節所述,現代車輛可能面臨各類安全風險。通過對汽車 IT 系統(例如電子控制單元(ECU))進行深入的安全評估,能夠在攻擊者在實際場景中利用潛在安全漏洞并造成實際經濟損失甚至安全損害之前,識別并防范這些漏洞。在開發周期中越早進行此類安全評估,成本和耗時就越低,同時能夠及早發現并有效彌補安全漏洞。
汽車安全評估既可以通過理論方式進行,也可以通過實際方式開展。理論安全評估幾乎可在汽車開發周期的所有階段進行(且應當如此),理想情況下從僅有車輛 IT 系統描述時就開始。后續產品開發迭代過程中的安全評估可基于先前的評估結果高效開展。事實上,即使在相應 IT 系統批量生產后,理論和實際安全評估的需求也并未終止。由于新攻擊手段的不斷出現或安全研究的新成果,即使在實際應用場景中,IT 組件可能仍需要進行安全重新評估(并可能需要采取新的防范措施)。當然,實際安全測試只能在目標系統的實現版本(例如首個原型機)上進行。需要注意的是,安全評估可以為強制性安全保護措施(如設計安全或安全工程)提供支持,但不能替代這些措施。在以下章節中,我們將詳細解釋嵌入式系統中安全評估的不同方法(參見圖 2),并針對三個主要類別簡要介紹不同的子類別及其各自的優勢。
圖 2、嵌入式安全評估類別概述
4.1 理論汽車安全分析
理論安全分析在汽車領域正逐漸普及,其基于對相應系統規格說明和文檔的書面評估,用于識別和理解汽車 IT 系統的安全漏洞。根據審查的細致程度和可用文檔的情況,我們將其分為更高層次的設計分析和更深入的威脅與風險分析。
嵌入式安全評估
· 理論安全分析
o 設計分析
o 威脅與風險分析
· 實際安全測試
o 功能測試
o 漏洞掃描
o 模糊測試
o 滲透測試
o ……
· 可驗證安全驗證
o 美國國家標準與技術研究院(NIST)FIPS-140
o 通用準則(Common Criteria)
o ……
進行汽車系統的設計分析僅需該系統的理論描述。根據這些描述的詳細程度(例如,從高層協議描述到明確的規格說明),分析的深度和準確性會有所不同。此類設計分析的目標是什么?首先,由于高層描述足以支持設計分析,因此該分析能夠在開發的早期階段識別系統中的系統性缺陷。其次,分析結果能夠增強人們對系統架構合理性的信任。為實現這些目標,需檢查文檔中潛在的攻擊點(例如,弱加密算法或不同標準協議交互不當可能引發的攻擊)。
為進一步對已識別的漏洞進行分類,并找出系統中需要修復的重要缺陷,可對系統進行威脅與風險分析。此類威脅分析的重要步驟包括哪些?首先,基于可用文檔對系統進行分析并識別可能的攻擊(這一步驟與設計分析類似)。此外,還需對每個已識別攻擊的實施難度進行評級,評級時需考慮所需時間、攻擊者的專業技能、設備以及所需的訪問權限等因素。同時,還需從對客戶造成的安全、運營和經濟損失等方面,估算攻擊成功后的潛在損害。攻擊難度和潛在攻擊損害這兩個數值共同決定了某一攻擊的總體風險。導致高風險攻擊的安全漏洞應作為優先修復的關鍵對象。
盡管如此,理論安全分析無法發現任何實現缺陷或實現與規格說明的偏差,也無法發現文檔不充分的規格說明中存在的漏洞或第三方提供組件中隱藏的缺陷。為防范此類實現層面的問題,應在整個車輛開發過程中采用安全軟件開發措施 。而如下一節所述,實際安全測試尤其能夠用于識別可能的漏洞,彌補這一缺口。
4.2 實際汽車安全測試
實際安全測試能夠發現可能被外部攻擊者利用的實現錯誤,以及未指定的功能和與規格說明的差異。因此,全面的實際安全測試有助于增強人們對實現合理性的信任,同時有助于估算針對目標系統的實際攻擊難度。一般而言,實際安全測試至少包含以下四個不同步驟(圖 2)。
第一步是功能安全測試,測試系統內部所有與安全相關的功能的正確性和穩健性。該步驟與一般的功能測試類似,但重點關注安全功能。通過仔細執行該測試,能夠發現可能導致潛在安全漏洞的實現錯誤、與規格說明的差異,尤其是未指定的功能。第二步是漏洞掃描,測試系統是否存在已知的常見安全漏洞(例如,已知的安全漏洞利用程序或存在已知缺陷的(安全)配置)。
模糊測試則更進一步,通過向目標系統系統性地發送畸形輸入,檢查未知的、可能危及安全的系統行為,以發現實現中的新漏洞。最后一步,為測試整個系統(包括軟件和硬件)的安全性,可進行高度個性化的滲透測試。在滲透測試過程中,“專業人工測試人員” 會基于多年的 “黑客經驗”,以 “復雜的方式” 嘗試利用早期步驟中發現的所有漏洞,旨在改變目標系統的行為。這些方法將在第 5 節中詳細說明。
然而,實際安全測試(尤其是模糊測試和滲透測試)無法保證測試的完整性。受時間和資源限制,可能會遺漏較大的系統性缺陷。因此,實際安全測試不能替代理論安全分析,應始終輔以理論分析以識別可能的攻擊路徑。此外,應在整個開發過程中采用安全軟件開發方法,盡早最小化總體攻擊面。
4.3 可驗證汽車安全認證
如第 3 節所述,安全認證并非新概念;盡管汽車行業目前沒有直接適用的認證標準,但一套能夠確保汽車系統達到特定安全水平的總體安全認證標準將極具實用價值。第 6 章將提出可驗證汽車安全認證的相關建議。
要對一個系統進行認證,首先需要對該系統進行理論和實際分析,以了解其安全水平和風險狀況。核心思路是,要達到某一認證等級,系統必須通過一系列測試。換句話說,安全認證能夠確保所涉系統的規格說明、實現和評估過程均以標準化、可重復的方式進行,并達到特定的安全水平。因此,安全認證有助于比較不同目標系統的安全水平,并建立客戶信任。
5、實際汽車安全測試方法
近年來的相關出版物主要關注理論安全評估,而未詳細闡述實際安全測試的重要性。本節將彌補這一缺口,解釋為何汽車行業尤其能從實際安全測試中顯著獲益。
如前所述,完善的理論安全評估能夠發現并防范許多問題;然而,有時即使是設計良好的汽車系統,也可能存在實現不規范、配置不當或物理缺陷等問題 [20]。例如,安全訪問的隨機種子可能來自硬件寄存器,但在啟動過程的這一階段,該寄存器并無熵值,導致種子固定不變;因此,我們強調實際安全測試的重要性。
如圖 3 所示,進行實際安全評估的技術多種多樣。根據所需投入的時間和精力,這些測試的范圍涵蓋從針對已知漏洞的簡單接口掃描,到用于從汽車組件中恢復機密數據的侵入式技術(如微探針技術)等。其他方法(如用于發現組件未知漏洞的模糊測試,或用于恢復加密密鑰的功耗分析)則介于這兩種極端之間。將所有這些方法結合使用,是發現汽車組件中可能被理論安全分析遺漏或未涵蓋的安全漏洞的有效手段。
圖 3、實際安全測試方法分類
所有這些方法都要求測試人員能夠訪問目標系統的實際軟件和硬件(參見圖 1)。此外,功能測試還需要系統的規格說明,而其他所有方法可能需要支持軟件(例如,總線仿真工具)來運行硬件設備。同時,還需要專用的測試硬件和軟件(例如,JTAG 調試器或專用信號發生器)。
5.1 汽車功能安全測試
汽車功能安全測試確保車輛 IT 系統中已實現的安全功能(例如,加密算法和認證協議)總體符合規格說明和標準要求。然而,這些算法不僅要根據規格說明測試其行為正確性,還要測試其穩健性。此外,還需測試(通常計算密集型的)安全算法的性能,以識別可能影響整體安全性能的潛在瓶頸。因此,功能安全測試能夠確保安全功能的可靠性,防止功能缺陷產生可被利用的安全威脅。
在許多情況下,標準實現(如 OpenSSL)由于各種限制并不適用于汽車領域,因此汽車行業使用的加密和安全相關實現種類繁多。除了要考慮性能或尺寸限制外,還必須滿足 MISRA-C 等安全標準。此外,汽車行業還使用多種特定的安全協議,例如安全閃存算法、安全通信、安全車載診斷系統(OBD)、防盜保護以及即將推出的車對萬物(V2X)通信。這些安全實現必須經過全面的功能安全測試,這一點至關重要。
功能安全性通常通過將實現與官方測試向量(如可用)或獨立實現進行對比測試來實現。許多加密算法可能存在特定的邊界情況,這些邊界情況可能導致安全漏洞(例如,數值實現中的細微缺陷僅在 40 億次隨機情況中出現一次)。必須使用專門構建的測試向量并通過長時間測試來驗證這些邊界情況。此外,許多現代加密方案和安全實現依賴于安全隨機數生成器。為確保此類隨機數源的安全性,需要進行廣泛的統計測試。最后,在對性能和成本高度敏感的汽車環境中,性能測試有助于正確規劃硬件規模,并優化選擇安全算法和參數。
5.2 汽車漏洞掃描
漏洞掃描用于檢查汽車系統的所有相關應用程序、源代碼、網絡和后端基礎設施,以發現來自不斷更新的已知汽車安全漏洞數據庫中的已知安全缺陷。
漏洞掃描有多種不同形式。首先,可以掃描系統上運行的軟件 / 固件代碼,通過靜態和動態分析識別緩沖區溢出和堆溢出等問題。根據相應分析工具的不同,這需要在源代碼層面和二進制層面分別進行。需要注意的是,這兩個層面的測試結果不一定相同。編譯過程可能會引入更多安全漏洞(例如,在優化步驟中移除安全檢查,或由于編譯器存在缺陷)。因此,必須仔細檢查編譯器設置。
其次,可以掃描系統的開放端口和接口,以及這些接口上運行的可用服務。在汽車系統中,這包括傳統的 IT 接口(如以太網、Wi-Fi 或蜂窩網絡上的 IP 通信)。由于汽車系統通常會復用大量操作系統、網絡協議棧、應用程序和庫,而這些組件存在大量已知漏洞,因此可以像 OpenVAS那樣自動測試這些漏洞,對這些接口進行掃描尤為有價值。掃描內容包括偵察性端口掃描和特定漏洞的深度掃描。此外,汽車環境還具有 CAN 等專用汽車總線系統,這些系統在傳統 IT 領域沒有對應的技術,但標準化程度很高。這意味著自動掃描工具非常適合用于初步了解漏洞情況。在這方面,診斷功能掃描值得關注,因為這些功能中可能包含文檔不完善的安全關鍵功能(如開發或調試功能)。
漏洞掃描的第三種形式是分析整個系統的配置,以識別安全缺口(例如,無需認證即可訪問關鍵功能)。自動掃描還可以測試是否存在多種認證機制保護同一關鍵功能的情況。總之,漏洞掃描能夠確保系統抵御已知攻擊,這些攻擊很容易被攻擊者嘗試,因此發生的可能性極高。
5.3 汽車模糊測試
模糊測試是一種長期用于測試軟件和 IP 網絡的技術,通過向實現輸入意外、無效或隨機的數據,觀察目標系統是否出現意外反應,從而發現新的漏洞。目標系統的反應可能包括異常輸出、未指定行為,甚至崩潰。盡管現代車輛與普通計算機網絡有許多相似之處,但模糊測試作為汽車目標系統的安全測試技術相對較新。事實上,電子控制單元(ECUs)可以被視為運行不同軟件的小型計算機,通過 CAN、FlexRay 或 MOST 等不同網絡類型連接。因此,將模糊測試作為安全測試過程的一部分應用于汽車目標系統,是非常自然的想法。
一般而言,模糊測試包括三個不同步驟:首先是生成目標系統的輸入數據,其次是將輸入數據傳遞給目標系統,最后是監控目標系統以檢測程序流程中的錯誤。由于模糊測試在計算機領域應用廣泛,因此已存在 Peach等模糊測試工具。Peach 具有強大的模糊測試生成器,可針對統一診斷服務(UDS)等不同協議進行個性化調整。模糊測試生成器生成的輸入數據隨后通過所需的傳輸協議傳遞給目標系統。通過監控目標系統以檢測可能的漏洞,監控過程可包括檢查返回值,以及使用調試器觀察目標設備的內部狀態。最后,專家必須分析所有識別出的異常行為,以檢測可被利用的漏洞。此類可被利用的漏洞包括輸入驗證不足或未記錄的功能(如開放的調試或配置接口)。OpenSSL 的心臟出血漏洞(Heartbleed Bug)就是一個著名的輸入驗證不足的例子,該漏洞由于未對長度參數進行雙重檢查,導致攻擊者能夠讀取關鍵數據。
在汽車領域,模糊測試可應用于統一診斷服務(UDS)等診斷協議,或 CAN、FlexRay、MOST、LIN 等汽車網絡協議。然而,基于 IP 的傳統模糊測試目標在現代車輛中的作用正日益凸顯。因此,汽車安全測試也能從傳統協議和現代軟件應用(如手機應用程序)的模糊測試經驗中獲益。
5.4 汽車滲透測試
汽車滲透測試的動機要么是知識產權保護,要么是保護依賴目標系統完整性以抵御物理在場人員攻擊的授權功能。例如,防盜保護、組件保護、里程表篡改防范、功能激活保護、防范改裝車輛的虛假保修索賠,或安全功能保護等。然而,在現代互聯世界中,遠程攻擊已成為真實威脅,這也促使對所有通信渠道、后端系統和相關組織流程(例如,社會工程學攻擊)進行滲透測試。
通常,物理設備的滲透測試始于全面的偵察,包括枚舉接口、確定印刷電路板(PCB)上的組件及其連接、收集潛在攻擊者可獲取的規格說明,以及任何有助于后續攻擊的信息。利用第一步獲取的信息,可以規劃進一步的攻擊。第二步可能包括攻擊本地外部接口(如 USB、串行端口)或硬件本身。要攻擊硬件,測試人員通常會嘗試尋找被忽略或未記錄的調試訪問接口,或獲取對電子控制單元(ECU)內部接口(如內存總線)的訪問權限。更先進的方法需要打開芯片封裝并直接訪問硅芯片。第三步,分析與設備相連的所有通信渠道(如 CAN 總線、以太網或 Wi-Fi),并利用這些渠道攻擊目標設備。根據目標系統和滲透測試的范圍,還可以對后端系統發起進一步攻擊。滲透測試主要有三種具體形式:黑盒測試、白盒測試和灰盒測試。以下將詳細介紹這些方法。
黑盒測試中,除了真實攻擊者也能獲取的信息外,幾乎不向測試人員提供任何文檔或規格說明。這種方法的優勢在于能夠非常真實地模擬實際攻擊。但缺點是,滲透測試人員必須花費大量時間進行基礎逆向工程,而且很可能無法發現更深層次的攻擊路徑 —— 因為測試人員可能未繞過較容易的一線防御機制,而真實攻擊者日后可能憑借運氣、技術發展帶來的更多公開信息,或投入比測試人員更多的資源,突破這些防御機制。
白盒測試中,會向測試人員提供被測設備的完整規格說明和文檔。這意味著測試人員能夠有針對性地攻擊漏洞,并且擁有更多無需通過獲取信息就能獲得的資源。這兩個因素都提高了測試效率。白盒測試的缺點是測試條件與實際攻擊場景相差甚遠,因此對攻擊難度和發生可能性的估算可靠性較低。
灰盒測試介于黑盒測試和白盒測試之間。在灰盒測試中,測試人員會收到部分信息,這些信息可能與特定的重點子系統相關,或與特定攻擊者(如內部人員)可能獲取的信息相關。也可以采用分步方式,即測試人員在證明漏洞確實存在且可被利用(無需完全開發攻擊手段)后,獲得更多信息或訪問權限。這種方式能夠優化測試效率與真實性的平衡。
然而,滲透攻擊不僅限于對設備硬件、軟件和網絡的攻擊,還可能包括對組織實施層面的攻擊(如社會工程學攻擊或薄弱的組織流程)。
6、汽車安全防護等級
本章首次提出了所謂的 “汽車安全評估防護等級”(ASEAL),該等級定義了多達四個離散的安全測試級別,明確了:(i)安全評估范圍的大小,即某一 ASEAL 必須執行哪些安全分析和測試;(ii)這些安全分析和測試必須執行的 “深度” 和全面性。ASEAL 的目標是使安全評估具有可比性,從而能夠為每個汽車車載 IT 組件分配標準化的最低安全防護等級。因此,我們的 ASEAL 方法結合并擴展了用于車對車通信安全評估的、相對具體的 “信任防護等級”,以及來自通用準則(Common Criteria)總體安全評估框架的、相對通用的理念,形成了標準化的汽車 IT 安全防護等級。
具體而言,我們根據所需的 ASEAL 等級(A、B、C 或 D),為每項理論安全分析和每項實際安全測試定義了評估范圍和深度的最低要求。表 1 通過示例性分類和潛在的安全評估防護等級,初步(尚未完整)概述了這一理念。
表 1、示例性汽車安全評估防護等級(ASEAL)
以下將針對所提出的安全評估類型,給出四個示例性定義(即兩項理論分析和兩項實際安全測試),包括一些針對不同 ASEAL 等級的評估范圍和深度的初步建議。
表 2、汽車安全威脅與風險分析的示例性 ASEAL 定義
表 3、安全部署與流程分析的示例性 ASEAL 定義
表 4、系統性汽車模糊測試的示例性 ASEAL 定義
表 5、汽車物理攻擊測試的示例性 ASEAL 定義
當然,上述表格僅為初步的高層描述,用于展示核心理念。然而,最終的 ASEAL 方法(與通用準則(Common Criteria)不同)將:(i)基于典型的汽車安全風險案例,提供非常具體的細節和安全需求;(ii)限定最低安全需求,以防范所有合理的汽車安全攻擊,但不會試圖防范所有可行的汽車安全攻擊(例如,情報機構或擁有幾乎無限資源的網絡戰爭參與者發起的攻擊)。
7、結論與開放挑戰
本文強調了汽車行業對系統性安全評估的迫切需求,并探討了汽車 IT 組件理論和實際安全評估的不同方法。我們特別關注了汽車組件的實際安全測試(如汽車滲透測試),因為實際安全測試在汽車領域仍相對較新。
我們認為,理論和實際安全評估將成為標準化和強制性的流程,類似于 ISO 26262 中的安全測試,以滿足最先進的產品責任要求,并保護各類新興的汽車商業模式(例如,按使用付費模式)。當然,這需要原始設備制造商(OEMs)、供應商和安全專家共同努力,建立必要的汽車安全測試專業知識、測試標準和測試基礎設施。
此外,我們提出了一種標準化的安全評估流程,提供四個不同的防護等級(ASEAL)。通過 ASEAL,能夠確保特定的汽車 IT 系統已按特定的定義級別進行了安全測試。這有助于根據相應的安全風險,確保全球可比的最低安全保護水平,類似于如今的汽車安全完整性等級(ASIL)。
(添加微信號NewCarRen咨詢)
相關文章
