自动驾驶汽车信息安全风险分析及保障

Posted 2021-04-27 中交企协信息中心

2015年，两名黑客在美国做了一场试验：他们利用互联网技术侵入一辆行驶中的切诺基吉普车电子系统，远程操控加速、制动系统、电台和雨刷器等装置，竟然让汽车冲进了路旁沟里。这一试验，引发了全球汽车企业对智能汽车安全问题的关注。

近年来，自动驾驶快速由理想走向现实，掀起了新一轮的汽车行业技术变革浪潮。据了解，在过去几年中，新增的自动驾驶技术专利达5839项。而从未来发展趋势看，IHS调查表明，自动驾驶汽车将在2020年至2040年之间以63%的速度增长。而由此产生的数据量亦将不断膨胀。

汽车智能化—系统可获取海量数据控制车辆行为

整体来看，汽车行业的数据主要来自信息娱乐系统、仪表盘、ADAS系统、通信和动力系统五大方面。

 

随着自动驾驶的逐步升级， ADAS系统、信息娱乐系统也将获取更多类型的数据。其中，随着消费升级和需求的多元化，车载信息娱乐系统所涉及的内容和数字化功能不断放大，除了导航外，还涵盖了故障检测、车辆信息、车身控制、移动办公、无线通讯、车机互联、基于在线的娱乐功能及TSP服务等应用数据。而驾驶辅助系统（ADAS）的快速发展，则让车辆具备了360°环视、自动泊车、紧急制动等诸多功能。摄像头、雷达所采集的信息量会越来越大，图片精度越来越高，如果在汽车行驶过程中，系统出现卡顿或数据不稳定对车辆安全性将是较大的隐患。此外，随着汽车智能化，其动力系统的传感器数量增加，将产生海量的遥测数据。而汽车仪表的集成化、座椅内饰的智能化等亦会不断带来数据量的上涨。

 

但是，随着汽车技术的发展，黑客攻击技术也在不断地进化，汽车系统能够获取及处理数据越多，也就意味着一旦侵入智能汽车的系统，将高度操控车辆行驶行为及获取车主的个人信息，因此，我们要认识到汽车信息安全的问题。

汽车信息安全风险来源

1、汽车总线

汽车总线与生俱来就有一种安全风险，因为它在设置的时候就没有考虑安全问题，最初是把它看作一个封闭式的网络来设计的。

在封闭式网络里，考虑到安全问题，汽车总线在ECU或者网络安全传输过程中都是云端传输，协议涉及也非常简单，只要改几个数据位。

 

2、联网化

既然网络是封闭的，同时现在又有联网化的需求，如果把开发的总线通过T-box直接连接到互联网，很多互联网黑客就可以通过这一点攻击到汽车组建架构，并且去控制汽车。所以联网化也是一种安全风险。

 

3、智能化

现在很多汽车有智能化的功能，比如自动驾驶或者特斯拉Autopilot。智能化有很多的传感器，这些传感器要感知周围环境，反应到汽车自动驾驶里，最终反向控制汽车。如果传感器被干扰，那反向也可以干扰控制汽车。

 

4、新能源汽车

新能源汽车的BMS和充电桩有一些汽车交互，并且也涉及到汽车控制，所以对外开放的接口会引起安全风险。

 

5、科技化

传统汽车ECU数量非常少，这意味着它的车载软件代码比较少。从攻击者的角度看，他的攻击面也非常少。

随着汽车科技化越来越多，一辆车至少有上百个ECU，每个ECU都有可能成为一个攻击点，上百个ECU背后支撑的可能是上千万个代码，只要存在着代码就有可能出现漏洞。科技化会给汽车带来安全风险。

各国网络安全防范方式

美国致力于安全标准的初步搭建

美国明确联邦和各州主管部门的监管职责，以及在下一步立法、政策出台、标准拟定等相关议题上“时间表”。

2017年8月，美国交通部道路交通安全管理局（NHTSA）发布新版《联邦自动驾驶系统指南：安全愿景2.0》，要求汽车厂商采取措施应对网络威胁和网络漏洞，对车辆辅助系统进行网络安全评估。

2017年9月，美国众议院批准《自动驾驶法案（提案）》，赋予NHTSA专职负责自动驾驶网络安全的权力，要求其在法律出台的180天内制定自动驾驶网络安全细则。

 

英国前瞻性提出各方利益主体在网络安全议题上的责任变迁

英国要求汽车制造商承担起包括抵御网络攻击、对抗黑客在内的一系列网络安全责任。2017年7月，英国出台《联网和自动驾驶汽车网络安全核心原则》，将网络安全责任拓展到汽车供应链上的每一方主体，比如第三方承包商，此外，要求将网络安全议题考虑在汽车全生命周期内，即使遭到网络攻击，也要保证车辆安全运行之基本功能。

 

德国直接触及具体细节性问题的解决

在此基础上，德国对自动驾驶未来可能出现的新情况持开放态度。2017年6月，德国《道路交通法第八修正案》为自动驾驶各方利益主体划定权利义务边界，提出政府监管的方向。法律设定了自动驾驶汽车在公共道路上行驶的六项基本要求。同月，《自动驾驶道德准则》出台，为自动驾驶所产生的道德和价值问题立下规矩，不允许自动驾驶厂商提前对极端情境的选择问题进行标准化设定或者编程。比如，紧急情况下对两个人（一男一女，一老一幼，一健康一残疾等）的生命进行衡量取舍。

 

整体上来看，各国都要求车辆厂商同时遵循新立法中的自动驾驶网络安全条文和已有通用类网络安全标准，另外，对于那些与自动驾驶有交叉关系的行业立法也要遵循。

 

以美国为例，汽车厂商需要遵循的规则包括（但不限于），其一，自动驾驶类，如美国交通部《联邦自动驾驶汽车政策》、美国汽车工程师学会《信息物理汽车系统网络安全指南》（SAE J3061）等。其二，通用网络安全类，美国国家标准技术研究院（NIST）出台的《网络安全架构》。其三，特定交叉行业网络安全类。比如网络服务云平台所面临的安全问题，要求其遵循NIST《云计算安全及隐私指南》（SP 800-144）。

自动驾驶网络安全的政策

第一，向自动驾驶汽车厂商施加强制性网络安全义务

汽车厂商需要承担的安全责任，与自动驾驶程度密切相关。理论上，从L3开始，随着自动化程度逐步增高，人类驾驶员逐步退出车辆驾驶，自动驾驶厂商一步一步承接被转移过来的车辆安全责任，其中包括网络安全。目前，美欧等国大多认定自动驾驶厂商需要承担网络安全义务，初步要求参照传统网络安全的保障方法，比如要求拟定网络安全计划，设置专门的责任人员，建立网络安全联络点等。比如美国《自动驾驶法案》第5章“自动驾驶系统的网络安全”，具有上述类似规定。

 

第二，要求将网络安全思维融入车辆全生命周期

自动驾驶产业链覆盖了汽车、通信、人工智能、交通运输等行业，涵盖众多利益相关方，比如元器件供应商、整车厂商、软硬件技术提供商、电信运营商、信息服务提供商等。众多的安全防护对象不可避免地拉长了安全防护环节，鉴于此，美欧等国要求将网络安全思维贯穿到自动驾驶的所有环节，以确保将车辆遭到网络攻击的可能性降到最低。美国《联邦自动驾驶汽车政策》、《信息物理汽车系统网络安全指南》（SAE J3061）、英国《联网和自动驾驶汽车网络安全核心原则》具有上述规定。

 

第三，文档溯源、信息共享、网络监控等方面的要求严于一般网络安全要求

与普通网络安全大多侵害财产权益不同，自动驾驶网络安全侵害的利益主体有较大可能是生命安全。对此，美欧等国大多趋向于在网络安全文档溯源、信息共享、态势感知等方面从严规定。

 

对于文档溯源，主要是从发生安全事故之后的证据追查角度，要求网络安全文件存档完整，必要时可提供给执法机构作为证据进行溯源。美国《联邦自动驾驶汽车政策》要求自动驾驶网络安全相关工作用文档记录，对所有行动、变化、设计选择、分析过程、相关联的测试和数据，都保存齐备，以便在发生事故后能够进行逆向追溯。

 

对于信息共享，主要出发点是从发生安全事故之后尽量将安全漏洞广而告之，避免其他汽车厂商再经历同样安全攻击。美国《联邦自动驾驶汽车政策》要求行业切实建立共享机制，成立统一的汽车行业信息共享和分析中心（Auto-ISAC），自动驾驶企业应当从已经发生的事故、内部测试、外部网络安全研究中，将网络安全漏洞第一时间上报给Auto-ISAC。

 

对于网络监控（态势感知），主要是考虑到自动驾驶网络安全环境的动态变化特征，因而要求进行全天候全方位态势感知。美国《联邦自动驾驶汽车政策》要求对自动驾驶网络安全进行7*24小时全方位全天候监控。2016年5月美国道路交通安全管理局出台的车辆网络安全指引性文件也提到，应当对自动驾驶网络入侵（黑客）采取全方位监控措施，尤其是对车辆电子系统架构的潜在入侵，必须进行持续性的网络异常流量监控。

 

第四，对分层分级措施、隔离措施、安全弹性设计等既有做法予以肯定并推广

对于企业已经采用的并被实践证明行之有效的安全措施，法律和政策都进行了肯定，并希望在更大范围推广施行。

对于分层分级和隔离措施，目前自动驾驶汽车配备两个网络接入点（APN），其中，APN1负责车辆控制域通信，安全级别较高。APN2 负责信息服务域通信，主要访问公共互联网信息娱乐资源。APN1和APN2采用网络隔离、车内系统隔离、数据隔离等方式来加强网络安全管理。

对于安全弹性设计，主要是将安全重点从事前的“保障100%网络安全”的思路转变为事中事后“网络攻击不可避免，如何尽快恢复”的思路上。

美国交通部NHTSA的车辆网络安全指引性文件、英国交通部《联网和自动驾驶汽车网络安全核心原则》都具有上述类似规定。

我国自动驾驶产业正处于高速发展轨道，网络安全相关议题受到业界高度关注，车辆厂商和网络安全公司（包括互联网公司网络安全部门等）相互借智借力，共谋行业长远发展。

END

（来源：智联会）