应对汽车安全

这是一个改变了世界汽车引擎盖下的今天,随着汽车越来越连接到基础设施和彼此。但连通性也创造新的安全风险。

日益增长的复杂性是一个问题。有超过80的电子控制单元(ecu)和平均超过1亿行代码。最重要的是,有更多的车辆交流。汽车的数量在路上至少含有一定程度的互连将达到1亿,到2025年,根据Gartner。

但即使所有的成熟,汽车仍然运作一系列不安全控制器区域网络(可以)公交车容易常见软件缺陷,特别是当车辆也连接到云。

“这将是一个多方面的东西,”观察,节奏研究员、IP Group的首席技术官。“与安全系统地思考,解决可能面临的各种威胁,因此整个分层系统的保护是必要的。”

问题的数量增加而连接特性和总人数可能的交互。“有相当复杂的联锁组做隔离和安全软件从通用应用软件系统中运行,并可以做适当的加密内容的各个部分,包括能够签下代码,并验证代码来自于正确的位置。然后,如果你有一个相当全面和复杂的系统,你知道你第一次开发它,这是不正确的。这是保证是错误的。所以你要做大量的工作,以验证你见过不留漏洞的目标系统。能够系统地证明地封面设计高度的信心是一个重要组成部分。就像任何软件,只有更甚。所有的软件是完全破碎,直到你锤,然后一旦你完成锤击,只有轻微破坏,”再生草说。

给所有的汽车部门的独特特征,也许是有意义有更具体或垂直聚焦汽车软件测试环境。再生草说,有一些独特的操作系统,如AUTOSAR独特的汽车需求,适当高度的偏执关于汽车安全问题来保证这种特定于域的测试。然而,在这一点上,不存在。一些通用的软件测试使用正式的技术目前是需要填补。但添加到监管制度还有很长一段路要走,因为在汽车不仅仅是测试也证明它已经充分测试。

事实上,ISO 26262汽车标准要求组件供应商分类,他们的产品是用于汽车产品和定义所需的测试类型。

“产品需要显示他们有多么宽容的缺点,”说,公司的首席执行官治之。“这意味着某种程度上供应商需要证明他们的产品将有故障时继续工作。这些缺点可以与输入问题,与固定故障、问题和问题与瞬态故障等单一事件心烦意乱”。

Davidmann指出瞬态故障越来越关注由于芯片和大型缓存的小几何图形。“面临的挑战是如何证明/显示/证明产品是否继续工作。供应商这样做的方法之一是模拟设计软件运行故障的注入,并为他们证明设计检测/回收/忽略了缺点。虚拟平台使用instruction-accurate模型可以用于这个,还有研究开始显示非常有前途的结果。”

连接多少?
这些天有很多讨论多少连接是必需的,。

“我们都知道,汽车需要摄像机和雷达(光探测和测距),或者两者都是,还有需要一些通信基础设施,”罗伯特·贝茨说,嵌入式系统部门的首席安全官导师汽车。”也许是有意义的沟通也有汽车位置,特别是对于护送,这将是一个大卡车。但是需要多少钱?你读到的一些东西,就像所有的定位信息被网络正在改变动态创建和销毁。是的,GPU的处理能力,但这辆车真的会有那么多传感器和处理能力能够处理所有的信息在毫秒范围?”

贝茨汽车相比的集合物联网设备。”这显然会发生,会有一些汽车和彼此之间的通信,以及之间的汽车和基础设施,而不仅仅是汽车和云。你有诸如SOTA(软件无线)而且车队联盟(固件无线)更新,这可以通过一个更受控制的方式,然后你将会有一些特别的网络发生。我问题是多少真的是必要的。”

所有这些增加了新的安全风险,。

“更新解决了大部分问题,”贝茨说。“苹果已经算出来。谷歌已经算出来。很多IT基础设施公司算出来。技术是所有可用的和良好的文档记录。是的,这辆车有一些遗留问题,它有一些基础设施问题。遗留问题诸如设备可能已经试图与外界沟通,只是坐在一个不受保护的CAN总线。我们都见过的例子,通过轮胎气压传感器之类的控制通过CAN总线的汽车。有一些问题需要解决。当然可以消息必须被加密,可能有更多的高级加密techniques-especially如果你要允许诊断接口,没有人会删除。 But in terms of the individual things in the car, communicating with the outside world, that’s going to have to be much more controlled just from a basic security standpoint.”

包括安全单位负责所有的无线通信,这是安全引擎将运行,他说。“这可能是头部的一部分单位/集群信息娱乐系统也可能是分开的。这是一个问题的处理能力、成本有多少层1 s您使用的是开发这些东西,和OEM决定是否安全函数是对他们的利益至关重要在自己身上。不清楚这一点。”

确保汽车与硬件
与最复杂的设备,硬件和软件都需要是安全的。但汽车是一种特殊类的安全问题。他们分享的所有行为和其他复杂的硬件的风险。汽车与交通信号灯、手机、天线和其他车辆。但与其他设备不同,他们也大居住者和潜在的危险,以及其他人在车外。

“如果我们从今天开始用软件下载,是非常重要的,身份验证是芯片内置的车内,所以他们只从授权下载服务器或服务他们可以检查下载的代码确实是真实的代码,“Pim Tuyls说Intrinsic-ID的首席执行官。“这应该是一个很好的安全引导过程,这样你就不会下载恶意软件,或不下载改变代码。然后看远一点,汽车的发展方向与基础设施,关键是身份验证。这是一个非常重要的一点,因为大多数人来说,当他们想到安全,考虑加密。你需要做的第一件事是验证它,因为如果你没有身份验证、加密没有多大意义的必要。”

知道的信息是来自一个谜。但还有一个可能性,有人砍一辆车在你的面前。

“假设你得到的信息从一个车在你面前说这是每小时50英里的速度开车时实际上是刹车,“Tuyls说。“重要的是,由于所有的这些电子系统,黑客可以做大规模。这可以归结为有身份验证内置芯片,并且能够验证验证码以非常快速的方式。的身份验证,代码是众所周知的,但是有很多芯片在车里,你需要能够在轻量级的认证方法构建到这些芯片。”

一个更有前途的这类问题的方法是使用身体unclonable功能使用硅本身的属性识别芯片和创建device-unique键标识符和设备。身份验证可以设置。

没有
还有另一个皱纹在汽车安全,。而芯片制造商和汽车公司对付最安全的方法,他们正在与一个架构,仍在不断变化。在这一点上,没有人知道电子拓扑会是什么样子,多少需要处理能力,导师的贝茨说。

”是真正的处理能力之间,说,一个庞大的多处理器以及GPU一部分吗?是,还足够的处理能力来做的吗?然后从安全是否有意义和安全验证过程将所有的放在一个箱子吗?或者你必须投入冗余?如果你必须把冗余,是否有意义相同的两个不同的副本盒子吗?还是更有意义的分离,你基本上有今天,非关键功能运行在一个部分和安全/安全功能运行在另一个吗?有很多方法可以解决这个问题在理论上,可能不会有一个解决方案,”他说。

有关的故事
比赛安全的汽车
连通性和复杂性是提高安全性和可靠性的担忧。
自主车辆提前中断
当自动驾驶汽车到达市场仍不清楚,但汽车生态系统是为巨大的变化做准备。
使无人驾驶汽车
欠缺的是什么工程的生态系统。