如何对抗汽车黑客的威胁？

先进驾驶辅助系统(ADAS)有潜力使驾驶安全性远高于现今。据早前波士顿咨询集团(Boston Consulting Group)估计，如果新车购买者投资当时可用的最常见的ADAS功能，则可减少美国28%的车祸。随着自动驾驶汽车技术的不断改进，可预防的事故数量有望潜在拯救更多生命。

对于ADAS的发展至关重要的是迅速改进的传感器技术，尤其是图像传感器正在推动更高的ADAS效用。倒车摄像机在停车时警告驾驶员车后的障碍物，其他安装在车身周围的摄像机可为驾驶员提供360°全方位视野，消除了在换道时导致事故的危险盲点。传感器技术越来越多地用于自动驾驶系统，以防止汽车陷入危险。先进特性如LED闪烁减轻和高动态范围等克服了不良照明条件引起的问题，否则这些问题会破坏ADAS算法。

同时，汽车制造商正在利用传感器融合技术来融合来自视觉图像、红外图像、雷达、激光雷达(Lidar)和超声波图像的数据。这样，传感器可以补偿会影响性能的情况，如在大雾、大雨中驾驶或当太阳接近地平线时。在不久的将来，传感器网络结合先进的控制算法使在高速公路上实现全自动驾驶的前景变得可行。

随着电子感测和计算使用的增加，风险也随之而来。尽管融合可以处理启用ADAS的车辆面对的各种驾驶环境，但是如果它们处理的数据流遭到破坏，则系统可能被迫行为异常。传感器融合可以帮助克服故障设备带来的损坏，但更大的问题是故意篡改。

对黑客的恐慌已从理论上转变为真正的威胁，例如一些安全研究人员证明了许多概念验证性的黑客行为。迄今，概念验证攻击主要针对各个子系统，如引擎控制或试图欺骗不同类型的传感器。安全评估的一个日益严重的问题是ADAS算法日益复杂的性质，它正在转向机器学习的形式。这样一来，他们就容易遭受新形式的攻击，如对抗性攻击，在这种攻击中，人们可能不会注意到的物理变化会完全改变汽车电子设备对现实状况的解读。

实际上，对机器学习的对抗示例和类似攻击构成了有限的威胁，因为它们对镜头的滤镜效果非常敏感，并且通常仅在特定距离工作。传感器融合技术将在恶劣天气条件下尽其所能提供一定程度的保护。但是，黑客可能会利用高度专注的技术作为更大策略的一部分：他们首先使用看似无关的攻击来削弱整个系统的防御能力，而对机器学习系统的攻击则会使整个车辆无法以正确方式响应。

汽车中电子控制单元(ECU)和传感器模块的网络构成了完整的分布式计算机。对于攻击者而言，如果没有采取适当的防御措施，那么相互链接的模块会提供许多潜在的攻击点，正如已发现的对企业网络进行的黑客攻击，可能涉及多种折衷方案，这些综合起来会破坏系统的运行。

向黑客开放的攻击类型可以有多种形式。基于篡改的攻击可能涉及在车辆维护或闯入期间插入的模块，损坏的模块用于通过车载网络发送传感器数据，从而误导车辆做出不当决策。更改后的图像传感器模块可能会显示乱帧或重播旧帧，从而使ADAS无法正确响应实际路况。

物理攻击可能会进一步演变为拒绝服务攻击：完全删除对关键传感器的访问权限，或者使一个或多个模块生成大量垃圾，淹没网络，从而使任何ECU都无法接收有效数据。或者，黑客可能会使用物理攻击来削弱网络防御，然后使用在信息娱乐子系统通过无线网络发起的远程攻击来破坏通过安全关键网络发送的数据。

车辆整车厂商(OEM)面临的问题是潜在攻击的种类繁多，以及检测每种攻击的问题。篡改类型损坏的后效应可能很难检测到，因为它需要密切关注传感器模块之间的同步。如果发生拒绝服务攻击，则车辆很可能必须停车才能进行修复。

为了解决与车辆网络安全相关的这些问题，ISO和汽车工程师协会(SAE)在2016年开始制定包括新的ISO/SAE 21434在内的许多标准。学术机构和其他机构与包括OEM、半导体公司、网络安全专家在内的82个参与者一起，于2020年初发布了第一份国际标准草案(DIS)，最终标准在2020年底发布。

ISO/SAE 21434专注于影响安全性的汽车系统的网络安全方面。正在制定的标准遵循与ISO 26262类似的方法，该标准使用风险评估来识别关键威胁并找到减轻威胁的方法，使用基于V-图(V-diagrams)的流程来管理其实施。它不强制要求产品或技术方案，但是与ISO 26262相同，它定义了从设计到退役的整个车辆生命周期必须遵循的流程。

由于现有标准并未充分涵盖网络安全主题，因此ISO/SAE 21434将涵盖车辆中的所有电子系统、元器件、传感器和软件，并涵盖整个供应链。为了符合新标准，汽车制造商和供应商必须能够证明网络安全工程和网络安全管理已在整个设计中应用于相关供应链的所有元素中。

V-diagram方法的使用为风险评估提供了分层解决方案，这将大大有助于监测和抑制黑客攻击。例如，安全协议很可能构成用于保护系统的底层技术的关键部分。在篡改和拒绝服务攻击中，核心问题之一是被破坏的模块会影响系统运行，因为它们的输出不受控制。网络上缺乏安全性还导致窃听和重播攻击，使用早前通过网络发送的数据。由于车载数据是时间敏感的，因此重复这些帧很容易破坏正确的运行。

为了防止对网络的攻击并为车辆制造商提供遵循ISO/SAE 212434程序所需的支持，传感器和ECU制造商正着手整合安全协议，以使系统能够检查每个数据包的数据完整性。安森美半导体是已实施支持传感器器件中的数据加密、错误检查和安全通信的供应商之一。使用不可更改的时间戳对数据包进行加密和哈希处理，可以轻松拒绝重播的数据包。不能正确响应加密挑战的模块可以从网络中删除，也可以将车辆置于自我保护(limp-home)或固定模式，直到有问题的模块被删除或替换为真实版本为止。

企业正在采取其他方法，包括支持专用模式，如嵌入到硅片中的故障注入。这些为制造商和一级集成商提供了测试程序和协议有效性的保证，以确保系统安全可靠地运行。

尽管新标准尚未被法律强制规定，但随着新标准的发布，汽车制造商有望将其作为最佳实践并向其供应商提出合规要求，这意味着它将迅速成为未来联网汽车的一部分。

尽管在标准最终定稿之前不能完全了解ISO/SAE 21434对个别产品的确切影响，但包括传感器在内的许多部件的软件和硬件都不可避免地会有一些变化。这可能会导致新的符合ISO/SAE 21434的产品，或者是现有产品的增强版本，声称能够符合该标准。安全设备和车辆的开发和测试方式肯定会发生变化。

至关重要的是，ADAS的安全益处不会因黑客问题的威胁而受到损害。安森美半导体已在其整个产品开发过程中采用了多种标准，包括ISO/SAE 21434草案，以确保网络安全功能能够应对基于传感器的系统可能遇到的威胁。

来源：安森美半导体

原创声明：
本站所有原创内容未经允许，禁止任何网站、微信公众号等平台等机构转载、摘抄，否则荣格工业传媒保留追责权利。任何此前未经允许，已经转载本站原创文章的平台，请立即删除相关文章。