安全和隐私标准是联网汽车成功的关键

下一篇文章

优步与支付宝建立全球出行合作,吸引中国出境游客

编者按蒂莫·范·鲁尔蒙德(Timo van Roermund)是 NXP Semiconductors 的安全架构师。

汽车产业正在飞速发展,汽车也从一种简单的交通工具逐渐转变为个性化的信息中心:据估计,2020 年全球联网汽车保有量将达 2.2 亿 辆。这些联网汽车会配备超过 200 个传感器 ,比现有联网汽车的传感器数量高出一倍有余。

每年的新款车型都会加入新的特性和功能,汽车的舒适度、便利性、安全性和运转效率也会不断提升——同时增长的还有汽车所生成、处理、交换和储存的数据量。联网汽车具备许多优点,包括改善交通流量,更好的节油性能和更先进的信息娱乐设备。但是在另一方面,联网汽车受到入侵的途径也会增加,这样可能会导致车主个人、财务和车辆的相关信息出现泄漏风险,联网汽车也会因此成为黑客的攻击对象。

我们已经看到一些安全研究员进行的汽车入侵演示,还有克莱斯勒旗下的吉普切诺基和大众的汽车遭到黑客入侵的新闻。这些演示和真实的汽车入侵行为让消费者和立法者,以及网络安全和隐私领域的专家感到十分担忧。

鉴于联网汽车市场的 五年复合年增长率预计将达 45%,标准化的联网汽车架构就成为了必要,否则消费者将无法信任汽车的安全性能,他们会认为自己的安全需求没有得到保护。

人们已经开始就此问题进行讨论,例如在去年 7 月,参议员埃德·马基(Ed Markey)和理查德·布鲁曼托(Richard Blumenthal)详细拟定了推行“2015 年汽车安全与隐私法案”(“SPY Car”法案)的计划。按照“SPYCar”法案的规定,在美国销售的汽车应当符合防御数字入侵特定标准,同时限制车辆能够收集的数据类型。这些标准应由美国国家公路交通安全管理局(NHTSA)和联邦贸易委员会(FTC)制订。该法案还建议,未经授权从联网汽车获取数据的汽车制造商应当接受最高 10 万美元的民事罚款。

此外,科技公司也在为联网汽车的安全问题贡献自己的力量。例如英特尔成立了汽车安全审查委员会(Automotive Security Review Board),它的工作是对英特尔的汽车硬件平台进行安全审查和测试,并提供设计建议。线上快速身份认证联盟(FIDO)在近日提升了各种强认证方式之间的互通性,这项工作本来是为了帮助谷歌解决企业安全问题,不过以后相关的成果将可以应用在汽车产业。FIDO 使用的方式是通过物理设备隐匿和保护互联网用户的数字身份。

汽车制造商向来都非常重视汽车系统的性能和可靠性(而且以后也会一直重视),它们尤其关注汽车的安全隐患问题。然而,汽车产业一直以来都鲜有涉足网络安全威胁的问题。

但是安保能力和安全性能一样都是反映汽车质量的一个方面——这两种类型的威胁都能对联网汽车的可靠性和安全性产生负面影响。当汽车加入了无线接口和连接到外部网络以后,汽车制造商就要开始面对一些突如其来的新威胁——它们来自一个不受控制和不断变化的环境。

如果汽车内部的系统可以通过远程访问,这意味着这些系统将会面临来自外部世界的安全威胁,也就是说它们有被黑客入侵的风险,而且它们储存的数据也有可能被窃取。这对于汽车的可靠性和安全性来说是一个威胁(黑客可以得到汽车的控制权),车主的个人隐私也有被泄露的风险——因为车辆的数据可以用于建立车主的个人档案。

例如有些执法机构曾经利用诱饵车辆来引出偷车贼,执法人员会在实施抓捕之前先远程锁定和停止汽车。但是如果一辆正在高速行驶的汽车被坏人远程控制踩下刹车会发生什么事情?这就不仅仅是数据的问题了,而是关乎司机和行人的人身安全。除了私家车以外,Uber 和其他汽车服务公司运营的汽车也有可能会受影响。

现在有一个专门针对汽车系统故障和随机硬件故障的 ISO 26262 标准。这些安全危害都是可以预测的——系统故障是预先确定的,随机硬件故障的概率也可以比较准确的预测,而且这些危害本身也不会随时间改变。另外,从安全工程来看,多种故障同时发生的可能性是极低的。

另一方面,网络安全威胁通常都比较难以预测,而且它们会随着时间发生变化。此外,为了提升成功入侵的几率,黑客们会毫不犹豫地同时攻击汽车系统的多个部分。因此,类似 ISO 26262 这样的安全架构不一定能够防范网络安全方面的威胁。

网络安全架构对于汽车产业来说还是相对比较陌生的一个领域。正如功能安全性一样,网络安全架构可能也需要再过一段时间才能得到广泛的接受。如果要成功抵御针对联网汽车的网络攻击,汽车制造商必须彻底改变原来的汽车设计流程:对网络安全的重视一定要体现在车辆的整个生命周期当中,这需要成为汽车设计流程中一个不可分割的部分,而不是把它作为一个事后的补救措施,因为一旦最薄弱的一环被攻破了,整个系统的安全体系就会土崩瓦解。

采用深度防御策略是一个不错的做法——利用多种安全技术防范某个防御组件被攻破或绕过后所产生的风险。这种策略需要在设计过程中有意地考虑安全性和隐私性,而且可能需要对车辆结构和车载电子元件进行大幅改动。另外,这种安全架构还要进行定期的维护。

标准化也是一个需要考虑的重点。在生产流程方面,制造商可以考虑采用标准化的生命周期管理方式,涵盖从研发到部署再到维护的各个方面。它们可以根据通用标准(Common Criteria)建立这种架构的基础,但是这些标准可能需要针对汽车本身的情况进行调整,ISO 26262 也是通过这种方式建立的(它的基础是通用安全标准 IEC 61508)。

相关的技术规范也必须建立起来。在安全架构设计和实现的过程中还是有可能会出现一些简单的错误。因此,比较好的做法是将安全启动和安全通信等功能无缝地整合到一个细致准确的技术规范之中,比如 AUTOSAR 软件堆栈。

现在一些标准化机构也在开始建立这些标准。例如,美国汽车工程师学会(SAE)旗下的车辆电气系统安全委员会正在制订一份网络安全指南(J3061)和针对硬件安全防护的相关要求(J3101),而国际标准化组织(ISO)的 TC22 也考虑在 ISO26262 第二版中在功能安全基础上加入网络安全的内容。

联网汽车是一个行走在路上的复杂 IT 系统,其中包含许多通过汽车内部网络连接的电子控制元件(ECU)。为了保障整个系统的安全,汽车制造商需要从整体出发,在系统的所有层面都采取足够的应对措施。虽然各项标准化的工作已经开始进行,但我们只是触及到了问题的表面——更重要的是,我们必须认识到安全和隐私标准化的迫切需求。

题图来自:gst/Shutterstock

翻译:关嘉伟(@consideRay

Security And Privacy Standards Are Critical To The Success Of Connected Cars