联网汽车安全隐患上升

汽车行业正在朝着越来越多地使用V2X和5G连接汽车的未来转型。驾驶辅助将得到改善，最终汽车将由人工智能和机器学习来引导。但所有这些都将受到黑客的密切关注，他们正在寻找机会，并可能获得巨额且无法追踪的支付。

机械功能被电子设备取代，进出车辆的数据量不断增加，这将对安全产生重大影响。可能的目标数量已经很大了，而且还在迅速增加。未来的汽车设计将包括多个电子控制单元(ecu)、先进的驾驶辅助系统(ADAS)、机器学习cpu、5克V2X连接、多个传感器、信息娱乐系统、车内人工智能和远程引擎启动。

那么，该行业究竟应该如何应对潜在的恶意软件和黑客攻击呢?

连接无处不在
汽车行业对自动驾驶汽车有着雄心勃勃的计划，其中大部分基于各种各样的芯片技术，从先进的5nm数字逻辑到模拟传感器，传感器融合，以及复杂的通信方案。这项技术将用于监控内部发生的事情，但它也将越来越多地通过V2X和超高速5G连接到外部世界。这就是这项新技术的全部意义所在。

汽车的技术路线图已经开发了一段时间。事实上，以提高运输安全和效率为使命的国家公路交通安全管理局(NHTSA)在过去十年的大部分时间里一直在为此进行规划。一项联邦资助的研究项目可以追溯到2014年vehicle-to-vehicle (V2V)沟通。

从那时起，计划已经显著扩大。NHTSA希望通过与美国交通部(DOT)以及包括汽车行业和学术界在内的公共部门合作，推进基于5.9 GHz频谱的汽车V2V技术，使车辆之间能够相互通信。V2V的理念是提前为车辆提供相关信息，即使这些车辆不在事故或其他可能影响交通或安全的情况的视线范围内。因此，当发生这种情况时，配备V2V的车辆将准备减速，从而避免多辆车连环相撞。

V2V概念已经演变成vehicle-to-everything (V2X)，包括车对基础设施(V2I)和车对行人(V2P)通信。下一阶段将是支持5G的蜂窝到v2x (C-V2X)。

所有这些技术都有望挽救生命并避免事故，但它也为大量潜在的网络攻击载体和表面打开了大门。无线和遥控功能越多，连接的电子内容越多，黑客的机会就越大。

举例来说:信息娱乐系统通过Apple CarPlay和Android Auto等智能设备应用程序提供了无线连接的便利，但这些系统与车辆中的其他系统相连，会影响安全性和车辆控制。黑客可以利用这些系统嵌入恶意软件，并要求付款来解锁系统并恢复功能。

信息娱乐系统是众多目标之一，但由于它是许多无线(OTA)更新的接口，因此受到了大量审查。“你如何确保你传输的数据是安全的?Sandeep Krishnegowda问道，他是微软公司内存解决方案市场营销和应用的高级总监英飞凌．“有新的规定ISO 26262，以及iso21434中的新网络安全标准。你需要一种设计这些设备的方法，你需要适当的流程来集成内存内外的安全性，以及满足所有法规的文档。”

不过，说到更新，没有什么是完美的。去年的SolarWinds攻击这是安全行业的一个标杆，曾有效地攻破了美国政府使用的高度敏感系统。因此，虽然OTA固件更新为车主提供了极大的便利——它们通过机器对机器通信在后台进行——但最好记住智能手机应用程序需要多久更新一次。

大量的新技术将使更新的洪流更加复杂。“我们看到整个汽车行业正在发生转变，基本上从机械到电子是汽车行业的核心竞争力，”K. Charles Janac，董事长兼首席执行官Arteris IP．“这包括对架构或IP设计的影响，甚至可能是汽车公司和Tier 1的整个soc，因为你需要控制你的架构，以加强可升级性。”

虽然现在几乎所有销售的新车都有遥控门锁，但汽车制造商已经开始提供额外的遥控功能。例如，起亚正在推广远程启动从500英尺远的地方。其他功能还包括控制空调，以及使用智能手机锁门或开门。所有这些便利都为黑客获取汽车功能提供了更多机会。安全性几乎肯定会被增加，但黑客可以针对任何出现的弱点，例如通过使用热分析来获得近距离的安全密钥。

“大多数黑客是通过堆栈溢出或其他机制进入的，”David Fritz说，该公司的自主和ADAS soc高级主管西门子EDA．“这些很容易关闭。这并不妨碍他们发现一些没人考虑过的东西。但如果外部世界和这些专有信息之间没有物理上的联系，那么我不在乎他们入侵了多少，因为他们永远都不会得到这些信息。”

问题是，越来越多的车辆被连接起来，入侵汽车数据的价值在多个领域都在上升。这已经不只是黑进一辆车里偷车那么简单了。现在，潜在的回报可能包括针对财力雄厚的OEM的勒索软件攻击。这增加了风险，吸引了更老练的黑客。

“黑客是谁?”如果你考虑到最坏的情况——一个民族国家拥有无限的资源、无限的资金、无限的动力，而且离零件很近——这将成为一个非常非常具有挑战性的问题，”该公司高级工程总监杰森·摩尔说赛灵思公司．“有趣的是，当我们与客户交谈时，越来越多的客户将他们的对手描述为一个民族国家。”

安全专家们的一个共同主题是，安全是一场军备竞赛。但对于汽车行业来说，这是一个特别棘手的挑战，因为与许多其他类型的电子产品不同，汽车预计会使用几十年或更长时间。因此，等待下一个产品发布是不够的。进入汽车的部件必须具有足够的弹性，能够在整个寿命周期内抵御攻击，或者至少在汽车制造商负有责任的时期内。

供应链安全
现代汽车设计涉及在复杂的全球供应链上开发的各种部件。管理整个供应链不是一件小事。它需要一个清晰的理解和物料清单(BOM)控制，以确保供应链的每个级别都符合汽车标准机构定义的所需安全标准。(参见下面的图1。)

汽车安全标准ISO 26262将道路车辆的功能安全定义为各种分类的汽车安全完整性等级(ASIL)。不同的分类涉及多个供应商。这使得供应链管理变得复杂。因此，汽车制造商需要管理整个供应链，以确保汽车的质量、安全性和安全性。

图1:ISO 26262将道路车辆的功能安全定义为各种分类的汽车安全完整性等级(ASIL)。来源:西门子EDA

汽车安全的主要目标是阻止黑客未经授权访问汽车电子系统，这是有很多机会的。随着供应链变得越来越复杂，这也变得更加困难。

图2(下图)显示了汽车中需要注意网络安全的五个领域。它们包括电子控制单元、网关、自动驾驶、信息娱乐系统以及任何具有远程连接的领域，如远程启动、V2X和5G。

图2:汽车中需要注意网络安全的区域。来源:Rambus

这些区域中的每一个都是攻击的机会。除了安全的系统之外，还需要实施和定期更新安全的方法和流程。实际上，不相信任何人，质疑一切，不断地检查和再检查。

“我一直认为你应该在流程中有更多的纪律，”公司信任和安全产品经理约翰·霍尔曼(John Hallman)说OneSpin解决方案．“有了太阳风，他们应该更早发现它。这是本应到位的流程的一部分。他们本可以更早地进行检查。他们本可以更早地寻找这些类型的漏洞。他们渗透供应链的方式很有趣，但并不一定是新的。”

信任的根源
在任何电子系统中，安全的基本要素之一是信任的根源．当一个电子系统启动时，它应该处于一个已知状态，也就是设计者预期的操作条件。当一个系统受到威胁时，它可能会在恶意软件的控制下启动。恶意软件的来源可能来自供应链内部，就像SolarWinds攻击一样，也可能来自外部。

根据引导ROM的设计，一些恶意软件已经能够利用回滚组件的漏洞。通过将日期代码更改为旧版本，黑客能够利用之前修复的漏洞。

有了信任根，引导ROM设计的内容一旦编程，理论上就不能被第三方篡改或改变。因此，系统引导应该是安全可靠的。但情况并非总是如此。

“关键是你的芯片中有一个安全的部分，”英特尔公司的首席技术官杰森·奥伯格(Jason Oberg)说龟岛的逻辑．“这就是你的空中更新。它是存储密钥的地方，用于验证图像。它说，‘这是由源签名的，所以要验证它。一切看起来都很好。解密并加载它。但硬件层面可能会出现很多问题，这取决于如何管理。如果它被破坏了，你可以加载更新，根据设置，你可能能够访问签名的私钥，甚至可能欺骗更新。”

在太阳风攻击事件中，导致漏洞的更新实际上已经得到了该公司的验证。奥伯格说:“很难从源头上防止这种情况，因为这是一次真实的更新。”“在这种情况下，它是合法的。”

汽车标准
大多数安全专家都认为安全需要分层。没有一种安全措施是足够的。我们的目标是让黑客难以前进，以至于他们放弃自己的努力。

这正是标准的用武之地，它们有望在汽车安全领域发挥越来越大的作用。ISO 21434专为汽车应用的安全性而设计。

该公司高级经理Chris Clark表示:“汽车标准的采用将有助于实现网络安全Synopsys对此的汽车集团。“这就是为什么关注这些标准很重要，包括正在制定的标准，比如ISO 21434，它将完全专注于网络安全。”

不过，一个标准的好坏取决于它的监督和更新。安全措施需要反复检查，流程需要不断地重新评估。

“必须有人承担起成为汽车安全与安全认证实验室的任务，”该公司安全技术研究员海伦娜•汉德舒(Helena Handschuh)表示Rambus．“从安全的角度来说，你已经拥有了这一点。安全性可能不太明显。它存在于其他细分市场，但不一定是汽车市场。银行业和许多其他部门都有这种情况。但汽车行业肯定会受益于让专业人士查看所有的实现和所有的东西，以确保所有的部分都能组合在一起，然后在你的发布上贴上某种邮票。”

ISO 21434旨在涵盖网络安全的各个方面，包括安全管理、持续网络安全活动、风险评估以及车辆行驶时的网络安全。该标准发布后，预计将对供应链、产品开发和与网络安全相关的制造过程产生积极影响。

此外，联合国欧洲经济委员会(UNECE)正在推进R155和R156(伴随着ISO 24089)。目前正在制定的这些新规定将要求汽车原始设备制造商对汽车网络安全承担法律责任。随着时间的推移，这些新标准将为汽车行业增加网络安全保护。

保安左移
设计验证和安全测试都是构建网络安全堡垒的关键。但是在硅被制造出来之后发现安全漏洞是无论如何都要避免的。这意味着需要在设计流程中进一步解决安全性问题，以便将其作为正常设计周期的一部分进行验证和调试。

解决方案和生态系统高级集团总监Frank Schirrmeister表示:“soc和asic的正确功能是实现安全的主要要求。节奏为计算软件和智能系统设计提供解决方案。“安全验证需要考虑硬件、软件及其交互，并扩展到电源和热分析方面，因为这些可能成为攻击面。为了有效地实现安全验证，用户在仿真、仿真、基于fpga和虚拟样机中应用形式化验证和动态执行，所有这些都在硅前开发阶段有效地充当数字双胞胎。虽然安全方面需要在整个项目流程中进行验证、验证和确认，但在前硅阶段进行测试通常更便宜，有效地进行‘左移’验证和集成。”

汽车芯片还可以针对已知漏洞进行测试，其中许多漏洞都列在常见弱点枚举(CWE)中，用于识别软件或硬件实现中的bug、缺陷、故障或其他错误。

但积极的一面是，汽车制造商充分意识到日益严重的安全威胁，这已开始波及整个供应链。

“这是现在正在发生的革命的一部分，这是意识到要处理所有的安全性，安全性，可靠性，以及额外的传感，物体融合-而不是传感器融合-仅仅通过增量变化来实现是不切实际的。这促使原始设备制造商重新开始设计。考虑到我们现在对网络上需要什么样带宽的计算需求的了解，以及如何优化安全性、安全性和可靠性，我们需要回过头来重新设计。”

结论
汽车行业的愿景是，汽车将使用V2X和超高速5G实现自动驾驶和互联。SAE International J3016“驾驶自动化水平”将自动驾驶分为六个不同的级别，从0级(无自动化)到5级(完全自动)。汽车行业已经走到了一半，而且可能还会持续一段时间。不过，至少，大多数正在销售的新车都配备了先进的驾驶辅助系统(ADAS)和许多其他基于电子设备的功能。

随着汽车创新的发展，网络安全成为一个真正的问题。汽车的联网程度越高，被黑客攻击的概率就越高。实现汽车网络安全将是一场持续的战斗，芯片行业参与汽车行业越多，阻止它的负担就会落到他们身上。

-Ed Sperling和Ann Steffora Mutschler对本文也有贡献。