内容提要：未来的汽车设计将包括多个电子控制单元(ECU)、高级驾驶辅助系统(ADAS)、机器学习CPU、5G和车联网(V2X)连接、多个传感器、信息娱乐系统、车内人工智能和远程发动机启动。究竟应该如何为潜在的恶意软件和黑客攻击做好准备呢？

汽车行业正在转型，未来汽车将越来越多地使用V2X和5G进行连接。驾驶辅助将进一步发展，最终汽车将由人工智能和机器学习驾驶。但所有这一切也将受到黑客的密切关注，他们正在寻找机会，并可能获得巨额且无法追踪的回报。

越来越多的电子设备，以及不断增加的进出车辆的数据，对安全性产生重大影响。潜在的攻击目标数量已经很大，但还在迅速增长。未来的汽车设计将包括多个电子控制单元(ECU)、高级驾驶辅助系统(ADAS)、机器学习CPU、5G和车联网(V2X)连接、多个传感器、信息娱乐系统、车内人工智能和远程发动机启动。

那么，究竟应该如何为潜在的恶意软件和黑客攻击做好准备呢？

无处不在的连接

汽车行业对自动驾驶有着雄心勃勃的计划，其中大部分基于各种芯片技术，从先进的5nm数字逻辑到模拟传感器、传感器融合和复杂的通信方案。这些技术将用于监控车内正在发生的事情，但它也将越来越多地使用V2X和超高速5G与外界连接。这就是这些新技术的价值所在。

智能汽车的技术路线图已经制定了一段时间。事实上，以提高交通安全和效率为使命的美国国家公路交通安全管理局(NHTSA)在过去十年的大部分时间里一直在计划这项工作。一项可追溯至2014年的联邦资助研究计划专门研究了车对车(V2V)通信。

从那时起，计划显著扩大。NHTSA与美国交通部(DOT)和包括汽车行业以及学术界在内的公共部门合作，希望推进基于5.9 GHz频谱的汽车V2V技术，使车辆能够相互通信。V2V背后的理念是提前为车辆提供相关信息，即使这些车辆不在事故或其他可能影响交通或安全的情况的视线范围内。因此，当确实在路上出现问题时，配备V2V的车辆将做好减速准备，从而避免多车相撞。

V2V概念已演变为车对一切(V2X)，包括车对基础设施(V2I)和车对行人(V2P)通信。下一阶段将是支持5G的蜂窝到V2X (C-V2X)。

所有这些技术都有望挽救生命并避免事故，但它也为大量潜在的网络攻击媒介和界面打开了大门。无线和远程控制功能越多，连接的电子内容越多，黑客的机会就越大。

例如：信息娱乐系统通过Apple CarPlay和Android Auto等智能设备应用程序提供无线连接的便利，但这些系统和车辆中影响安全和车辆控制的其他系统连接。黑客可以利用这些系统植入恶意软件并要求付款来解锁系统和恢复功能。

信息娱乐系统是众多攻击目标之一，但它受到了很多查验，因为它是许多远程(OTA)更新的接口。“你如何确保你传输的数据是安全的？”Infineon内存解决方案营销和应用高级总监Sandeep Krishnegowda问道。“ISO 26262有新的规定，ISO 21434中有网络安全标准。你需要一种设计这些设备的方法，你需要适当的流程来确保内存内外的安全性，以及满足所有规定的文档。”

但是，在更新方面没有什么是完美的。之前作为网络安全行业标杆的SolarWinds攻击，有效地破坏了美国政府使用的高度敏感系统。因此，尽管OTA固件更新为车主提供了极大的便利—它们使用机器对机器通信在后台进行—但最好还是记住智能手机APP更新的频率。

大量的更新将因大量的新技术而更加复杂。Arteris IP董事长兼首席执行官K. Charles Janac表示：“我们正在看到整个汽车行业的转变，本质上是从机械到电子，这是汽车行业的核心竞争力。” “这包括对架构或IP设计的影响，甚至可能由汽车公司和Tier 1制造整个SoC，因为您需要控制您的架构以实施可升级性。”

虽然今天销售的几乎所有新车都有遥控门锁，但汽车制造商已经开始提供额外的遥控类型的功能。例如，起亚正在推广500英尺远的远程启动。其他功能包括控制空调，以及使用智能手机锁定或解锁车门。所有这些便利都为黑客提供了更多访问汽车功能的机会。几乎可以肯定会增加网络安全设计，但黑客可以抓住出现的任何弱点，例如通过使用热分析获取近距离的安全密钥。

“大多数黑客都是通过堆栈溢出或其他机制进入的”西门子高级总监David Fritz说。“这些很容易关闭。这并不妨碍他们找到没有人考虑过的东西。但如果外部世界和专有信息之间没有物理上的联系，那么我不在乎他们黑客攻击了多少，因为他们永远不会得到它。”

问题在于，更多的车辆正在被连接，并且黑客入侵汽车数据的价值在上升。它不再只是侵入汽车偷车。现在，潜在的回报可能包括针对财力雄厚的OEM的勒索软件攻击。这增加了风险，并吸引了更老练的黑客。

“攻击的对手是谁？如果你考虑到最坏的情况——一个拥有无限资源、无限资金、无限动力、可以近距离接触零件的民族国家——这将成为一个非常具有挑战性的问题。”Xilinx高级工程总监Jason Moore表示，“有趣的是，当我们与客户交谈时，越来越多的客户将他们的对手描述为一个民族国家。”

安全专家的一个共同主题是，安全是一场军备竞赛。但对于汽车行业来说，这是一个特别棘手的挑战，因为与许多其他类型的电子产品不同，汽车预计将使用几十年或更长时间。因此，仅仅等待下一个产品发布是不够的。进入汽车的东西需要有足够的弹性，以在其整个生命周期，或至少在汽车制造商负责的时期内承受攻击。

供应链安全

现代汽车设计涉及到复杂的全球供应链中开发的各种组件。管理整个供应链并非易事。需要清晰的理解和物料清单(BOM)控制，以确保供应链的每一层都符合汽车标准机构定义的所需安全标准。（参见下面的图1）

汽车安全标准ISO 26262将道路车辆的功能安全定义为各种级别的汽车安全完整性等级(ASIL)。不同供应商涉及不同等级。这使供应链管理变得复杂。因此，汽车制造商需要管理整个供应链，以确保汽车质量、安全和防护。

图1：ISO 26262将道路车辆的功能安全定义为不同的汽车安全完整性等级(ASIL)。

汽车网络安全的主要目标是阻止黑客未经授权访问汽车电子系统，这里面的机会很多。随着供应链变得更加复杂，这变得更加困难。

图2（下图）显示了汽车中需要注意网络安全的五个区域。它们包括电子控制单元、网关、自动驾驶、信息娱乐系统以及任何具有远程连接的区域，例如远程启动、V2X和5G。

图2：汽车中需要注意网络安全的区域。

这些领域中的任何一个都为攻击提供了机会。除了安全系统之外，还需要实施和定期更新安全方法和流程。实际上，不要相信任何人，质疑一切，并不断检查和重新检查。

“我一直认为你应该在流程中更加自律，”OneSpin Solutions信任和安全产品经理John Hallman说。“对于SolarWinds，他们应该更早抓住它。这是本应到位的流程的一部分。他们本可以在更早的时候完成更好的检查工作。他们本可以更早地寻找这些类型的漏洞。他们渗透供应链的方式很有趣，但不一定是新的。”

信任根

任何电子系统中的基本安全部分之一是信任根。当电子系统启动时，它应该处于已知状态，这意味着设计者预期的操作条件。当系统受到威胁时，它可能会在受恶意软件控制的情况下启动。该恶意软件的来源可能来自供应链内部，就像SolarWinds攻击一样，也可能来自外部。

根据启动ROM的设计，一些恶意软件能够通过回滚来利用组件的漏洞。通过将日期代码更改为旧版本，黑客能够利用修复之前的漏洞。

有了信任根，启动ROM的内容一旦被编程，理论上就不能被第三方篡改或更改。因此，系统启动应该是安全可靠的。不过，情况并非总是如此。

Tortuga Logic的首席技术官Jason Oberg说：“关键是你的芯片有一个安全的部分。这就是OTA的部分，是存储您的密钥的地方，它将进行授权，签名验证，解密后加载，一切看起来都很好。但是在硬件级别可能会发生很多问题，具体取决于如何管理。如果它被破坏，可以加载更新，并且根据设置，可能能够访问签署它的私钥，甚至可以欺骗更新。”

在SolarWinds攻击的情况下，导致违规的更新实际上已由公司确认。“这真的很难从源头上阻止，因为它是一个真实的更新”奥伯格说“在这种情况下，这是合法的。”

汽车标准

大多数安全专家都同意网络安全需要分层。没有一种安全措施是足够的。目标是让黑客难以前进，以至于他们放弃努力。

这就是标准适用的地方，预计它们将在汽车安全中发挥越来越大的作用。ISO 21434专门针对汽车应用中的网络安全性而设计。

“采用汽车标准将有助于实现网络安全，”Synopsys汽车集团高级经理Chris Clark说。“这就是为什么关注这些标准很重要，例如ISO 21434，它将完全专注于网络安全。”

尽管如此，一个标准的好坏取决于它的监督和更新。安全措施需要反复检查，流程需要不断地重新评估。

“有人将不得不承担成为汽车安全认证实验室的任务，”Rambus的安全技术研究员Helena Handschuh说。“在功能安全方面，已经有了。网络安全可能还不太明显。它存在于其他细分市场。银行业有，许多其他行业也有。汽车行业也将受益于这种形式：让专业人士检查所有的实施和所有组合在一起的东西都是正确的，然后在上面打上某种标签。”

ISO 21434旨在涵盖网络安全的各个方面，包括安全管理、持续的网络安全活动、风险评估和车辆上路时的网络安全。该标准发布后，对与网络安全相关的供应链、产品开发和制造过程产生了积极影响。

此外，联合国欧洲经济委员会(UNECE)正在推进R155和R156（及ISO 24089）。这些新法规将要求汽车原始设备制造商对汽车网络安全承担法律责任。随着时间的推移，这些新标准将为汽车行业增加网络安全保护。

在网络安全上“左移”

设计验证和安全测试都是构建抵御网络威胁的安全堡垒的关键。但流片后的安全漏洞是必须不惜一切代价避免的。这意味着需要在设计流程中进一步解决安全问题，以便在正常设计周期中对其进行验证和调试。

“合理实现SoC和ASIC定义的功能是实现安全性的主要要求，”计算软件和智能系统设计解决方案提供商Cadence解决方案和生态系统高级集团总监Frank Schirrmeister说。“安全验证需要考虑硬件、软件及其交互，并扩展到功率和热分析方面，因为这些可能成为攻击面。为了有效实施安全验证，通过仿真、模拟、基于FPGA和虚拟原型设计中进行形式验证和动态执行，所有这些都是前端开发阶段的数字孪生。虽然安全需要在整个项目流程中进行验证、确认，但在前端阶段进行测试通常更便宜，可以有效地‘左移’验证和集成。”

汽车芯片还可以针对已知漏洞进行测试，其中许多都列在通用弱点枚举(CWE)中，用于识别软件或硬件实现中的bug、缺陷、故障或其他错误。

但从积极的方面来看，汽车制造商非常清楚日益严重的安全威胁，而且这种威胁正开始波及供应链。

“这是现在正在发生的革命的一部分，人们意识到要处理所有的安全性、防护性、可靠性，以及额外的传感器、目标融合——而不是传感器融合——仅仅通过渐进式的改变是不实际的。这促使原始设备制造商重新回到绘图板上。考虑到我们现在所理解的网络需要什么样的带宽和计算要求，以及如何优化安全性、防护性和可靠性，我们需要回去重新设计它。”

结论

汽车行业的愿景是，汽车将通过V2X和超高速5G实现自动驾驶和互联。SAE国际J3016“驾驶自动化水平”将自动驾驶分为六个不同的级别，从0级（无自动化）到5级（完全自动驾驶）。汽车行业已经走到了一半，它可能会在那里停留一段时间。不过，至少在售的大多数新车都配备了先进的驾驶辅助系统(ADAS)和许多其他基于电子设备的功能。

随着汽车创新的发展，网络安全成为一个真正的问题。汽车连接得越多，被黑客入侵的可能性就越高。实现汽车网络安全将是一场持续的战斗，芯片行业越是涉足汽车，阻止他们的负担就越重。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！