汽车行业的数据安全挑战

汽车制造商正在争先恐后地防止新车辆的安全漏洞和数据黑客攻击，同时为车辆添加新的、越来越自动的功能，这可能会导致新的漏洞。

这两个目标往往不一致。就像任何复杂系统的安全性一样，没有什么是完全安全的。但即使是处理这个多层次的问题也是一个挑战。如今的汽车架构，以及那些正在为未来汽车开发的架构，正变得越来越复杂，往往超出了任何一家公司的控制范围。它们涉及硬件和软件组件，数据在多个层次和多个地方生成和处理——在车辆内部、不同车辆之间以及外部连接的基础设施中。其中一些数据对车辆的功能至关重要，并受到严格控制，但更不重要的数据也可能成为潜在的攻击向量。

“如果你有一辆完全自动驾驶和联网的汽车，有人可以入侵并控制汽车，那么突然之间，它几乎变成了一种武器，”福特汽车解决方案总监罗伯特·施魏格(Robert Schweiger)说节奏．“这就是整车厂和整个汽车行业对这个话题超级敏感的原因。如果没有安全性，所有花哨的ADAS技术都不会被消费者接受。安全是至关重要的。”

这些担忧在整个芯片行业都得到了回应。公司技术产品经理Thierry Kouthon指出:“如今，我们在车辆方面面临着许多挑战，因为越来越多的先进驾驶辅助系统需要大量的电子控制单元Rambus．“过去汽车的所有功能都是机械或液压的，现在都是计算机化的。否则，你不能用电脑控制汽车。但这也为黑客提供了攻击面。信息娱乐系统是一个很好的攻击入口，因为它与车辆有许多无线连接。与此同时，汽车的电气化使这些车辆的电子控制单元数量成倍增加。移动部件变少了，但电子部件变多了，这意味着攻击面增加了。最后，自动驾驶汽车本质上不需要驾驶员交互，因此需要更先进的电子系统。”

图1:车辆存在的安全隐患。来源:Rambus

任何电子系统的数据安全都是困难的。但在车内，这些数据需要移动、存储、处理和更新。

“当我们考虑网络安全以及围绕网络安全的所有方面时——传输中的数据，从A点移动到B点的数据，存储在车内或车外但以某种形式与车辆相关的静止数据——存储这些数据的风险是什么?公司高级经理克里斯·克拉克问道Synopsys对此的汽车集团。“传播它有什么风险?”使用这些数据的风险是什么?应该使用这些数据吗?这是当今企业如何看待这一问题的黄金标准。”

在过去五年中，汽车行业在保护数据方面取得了一些进展，但仍有很长的路要走。

克拉克说:“我们正在学习如何真正谈论网络安全——也许不是以一种有意义的方式，但我们开始使用相同的术语。”“我们正在研究一个行业与另一个行业相比做了什么，以及我们是否可以利用他们所学到的一些知识来真正在安全方面取得进展，以保护组织和消费者。但除非有监管，否则网络安全活动和流程是为了保护一个组织，而不一定是保护个人。”

在车辆中，安全性和隐私之间的重叠越来越多，这使得情况变得复杂。数据受到的保护越多，车辆的自动驾驶功能越强，就越有可能侵犯隐私。

“我的汽车制造商或任何提供服务的人知道我在做什么吗?鉴于社交媒体所发生的事情，人们将试图将这些数据货币化，”的首席技术官Jason Oberg说龟岛的逻辑．“在汽车保险方面，这种情况已经发生了。但你可以想象，根据你开车的地点，你会收到特定的广告。也许你经常去麦当劳，他们可以检测到你在这么做，所以你开始在Instagram、Facebook和谷歌上看到广告，说‘麦当劳有新促销。“或者如果你在机场，他们知道你喜欢旅行，他们可能会给你针对性的旅行广告。这可能是不可避免的。”

这可能比简单的烦恼要严重得多。“如果……0天奥伯格说:“所有拥有相同认证密钥的汽车都存在漏洞，或者汽车部件中实际上嵌入了某种东西，有人发现了问题，然后他们就可以去监视邻居的汽车或邻居的驾驶行为，或者任何同一型号的汽车。”“如果这是一个社交媒体平台，就没有物理设备。你登录到一个系统，有基础设施来保护它。但如果是物理设备，攻击向量就已经打开了。拥有物理访问权限，找到硬件漏洞，这类事情现在都是获取这些信息的可行攻击载体。”

对于黑客来说，他们有充分的理由利用这些数据流。这可能会为这些车辆中使用的技术的知识产权盗窃打开大门。与此同时，被窃取的个人数据越来越有价值，随着时间的推移，越来越多的个人数据将被添加到车辆中。

奥伯格说:“可以想象，你的汽车会有一个类似Apple Pay的基础设施，或者在汽车中本地存储信息。”“或者可能是一些生物识别数据，这些数据存储在汽车的硬件上。现在有一个可行的攻击向量可以利用这类数据。随着越来越多的分布式物联网设备和越来越多关于人们个人行为的信息被收集，设备本身现在成为了一个可行的攻击载体。我们将看到这类问题对消费者的直接影响。目前还没有很多汽车收集个人信息，但将来会有。就像任何安全措施一样。随着人们开始增加更多的自主权，收集更多关于人们驾驶行为的信息或者他们在车里做的任何事情，这将会有一些漏洞。然后它们就会被修复。这是一个迭代的过程。 The interesting thing about a car is that, depending on the severity of the attack, you may not be able to issue a software patch. It may be more ingrained in the behavior of the car, so you potentially might not be able to fix that. Over time, hopefully we get more security around how the car collects data and how it’s protecting it, but there’s going to be a learning process, for sure.”

更多攻击载体
车对一切(V2X)——车辆与交通灯、其他车辆、甚至行人以及整个网络进行通信——增加了另一个潜在的攻击向量。虽然这是一个更具前瞻性的问题，但现在就需要考虑。此外，由于车辆使用寿命较长，使用v2x技术的汽车将需要与未使用v2x技术的汽车或该技术的旧版本进行通信。

“这意味着你要确保使用的通信协议协同工作，”Kouthon说。“一切都是无线的，有两个主要的标准——基于5G/蜂窝网络和基于汽车之间直接无线电频率的DSRC。所有这些几乎都是可以互换的，也许两者都可以。真正的问题是，由于您没有任何物理连接，并且您正在与环境进行无线通信，因此必须确保所有这些消息都是真实的。你需要知道，如果交通灯告诉你它要变绿了，那它实际上是一个交通灯，而不是一个黑客因为你没有注意而试图造成事故。这就变成了一个身份验证问题。身份验证意味着所有的消息都有一个签名，这样汽车就可以验证这个消息来自真实的来源，而不是一个假的红绿灯或铁路交叉基础设施。它需要是一个真正由城市管理的城市。”

当接收到来自其他汽车的信息时，事情就变得更加复杂了，因为现在所有的制造商都必须同意一套协议，以便每辆汽车都能识别其他汽车。这项工作正在进行中，这样当一辆宝马或克莱斯勒与一辆大众汽车交流时，大众汽车可以确保它是真正的宝马或克莱斯勒。

“这就成了证书分发的问题，”Kouthon说。“这是一个老问题，在互联网上的网站环境中已经得到了很好的研究，通常它是相当复杂的。证书链可能非常长。以汽车为例，挑战在于确保验证过程非常快。例如，您希望汽车能够每秒验证多达2000条消息。这对基础设施有影响，因为它不能花费太长时间来验证每条消息。这也影响了证书的格式，它们的性质，这意味着你不能像设计网站那样设计它们，在那里它们可以相互验证。在网站上，用户可以等上几秒钟，而在车里，决定必须在几微秒内做出。”

仅在过去一年，汽车行业的IP提供商就发布了其处理器的安全版本。Schweiger说，某些处理器的同步处理器版本已经推出，以解决安全问题，例如ASIL D。

他说:“我们需要提供IP地址来解决安全问题，这通常是在信任系统的根系统内，这样车辆可以首先以非常安全和隔离的方式启动，并可以验证所有其他系统，以确保软件不被损坏或操纵。”“当你把汽车向外部世界开放时，通过车对车通信、车对基础设施通信、空中更新，以及WiFi、以太网、5G等，它扩大了汽车的攻击面。这就是为什么必须采取措施防止人们入侵汽车。”

汽车soc中的片上网络(NoC)也可以在这里发挥作用。“关于SoC中的NoC，可以把它想象成你公司内部的网络，”该公司营销副总裁Kurt Shuler说Arteris IP．“在你的公司内部，你正在查看网络流量，通常在网络边缘有一个防火墙。你把它战略性地放在网络中的某个地方来监视流量。在SoC中，你做同样的事情。SoC内部的中继线在哪里?你希望在哪些地方查看和检查数据?你不一定要做深入的数据包检查，并在芯片上查看网络中数据包的所有内容。但是因为防火墙是可编程的，你可以说，'在这种类型的用例中，有这种类型的通信，从这个IP启动器，可能在CPU集群，数据可以有效地到这个内存或这个外围设备，这是有效的通信。你也可以用它来测试系统，你可以这样说:“只有在那个用例中存在无效通信时才允许它通过。”“然后你就可以向系统发送信息，表明出了问题。这很有用，因为黑客会故意创建流量，试图查看您拥有什么样的安全性。因此，您还可以告诉系统让数据通过，而不是对其进行操作，以便标记您认为不好的数据和命令。 And if somebody is fuzzing the system — putting a whole bunch of garbage in — you can catch them.”

带有NoC的防火墙还可以用于加强功能安全性。“如果你从芯片的一个不太安全的部分出发——假设它是ASIL B或a，或者可能是QM——来自芯片这一侧的数据和命令将传输到ASIL D一侧，你希望能够测试它，以确保数据要么被ECC包裹，要么被芯片更安全的一侧所需的任何方法包裹。防火墙可以帮助解决这个问题。这种防火墙功能被用作故障保险，以确保来自芯片不太安全的部分的数据在进入芯片更安全的一侧之前得到适当的保护。”

模拟与测试
在设计和制造过程中提前规划也有助于识别导致数据泄露的硬件漏洞。

英特尔半导体业务部门产品营销总监马克•斯温宁(Marc Swinnen)表示:“有软件黑客攻击，但也有硬件黑客攻击——侧通道攻击。有限元分析软件．“你可以从芯片中提取加密代码，只需简单地分析它，探测它的电磁，探测它的功率噪声特征。对于软件黑客，你总是可以通过更新软件来修复它，但如果你的硬件容易受到这种黑客攻击，你就无能为力了。你必须制造一个新的芯片，因为现在做什么都太晚了。你真的需要在它到达那个点之前模拟一下，并模拟这样的场景，如果有人把一个电磁探头放在我的芯片上方几毫米的地方，它会收到什么信号?哪根电线的辐射最大，我的屏蔽效果如何?还有，我的功率噪声特征是什么?所有这些都是可以规定的。我们有可能获得需要多少次模拟周期才能提取加密的指标。”

其中一些也可以在测试过程中识别，测试过程涉及到贯穿设计到制造流程的多个插入点。它可以包含从通常的通过-失败的系统内测试数据到内存和逻辑修复数据，以及从在线监控收集的数据。

汽车集成电路测试解决方案经理Lee Harrison表示:“所有这些数据都可以从设备收集到云数据库解决方案中，在那里它变得非常强大西门子EDA．“从该领域的大量系统截面收集数据后，对数据进行分析，并使用基于人工智能的算法，然后向物理系统提供反馈，以调整和微调其性能。在这里，数字双胞胎的应用可以作为分析和改进过程的一部分。”

图2:数据漏洞的模拟和测试。来源:西门子EDA

芯片外数据可以被收集，然后使用唯一的身份和认证安全地传输到云端进行分析。哈里森说，当涉及到无线更新时，这一点尤其重要，而这些更新在许多国家都受到严格的监管。

结论
虽然这些功能和改进提供了一些鼓励，但在未来几年，在所有电子系统中，数据安全仍将是一个问题。但在汽车等应用领域，数据泄露不仅仅是带来不便。它们可能很危险。

Synopsys的克拉克说:“当我们听到正在进行的活动时，我们自然而然地感到更舒服，并说，‘哦，好吧，事情正在发生。’”“但是当我们谈到将数据安全地从A点移动到B点，或者不接受不应该在该网络上的设备时，它包含了技术和流程。一个组织如何认真对待网络安全实践，他们如何定义和衡量他们的整体网络安全计划，以便他们看到他们在改进?这可能与我如何移动数据没有任何关系，但它与组织是否认真对待网络安全有关。这个过程使工程师、系统设计师、基础设施设计师能够说，‘我们不仅在开发这项真正伟大的技术，而且我们必须认真考虑网络安全问题。在这种情况下，网络安全意味着什么?这就是我们开始看到真正改善的地方。从网络安全测试的角度来看，组织必须变得足够成熟，承认这一点，并开发他们的网络安全测试流程，以有意义的方式达到这一点。”

托尔图加的奥贝格表示同意。“关键是要有一个过程。安全永远是一段旅程。你永远不会有安全感，所以你能做的最好的事情就是积极主动。想想你要保护的是什么，敌人的能力是什么。你不能预测一切。你必须接受这一点。我喜欢总是尽可能开放的态度。不要试图退缩。当然，你不应该泄露你的任何知识产权。 But you also need to be transparent about your process to your customers. If something happens, they need to know what your process is. And then, you need to be very clear about what you’ve done yourself, and what you haven’t done. It’s all about, ‘This is my threat model. These are the assumptions I made. This stuff we have not considered.’”