汽車的嵌入式系統安全
加入技術交流群
盡管汽車采用數據網絡進行通信是創新性的技術,但也正因為這些技術的引用,增加了不少潛在的安全風險。
你的汽車和一部現代的智能手機有什么區別?也許比你想象的區別要少得多!在過去的十年里,一場“信息技術革命”席卷了我們的交通工具。逐漸地,那些大部分獨立的、靜態的、模擬的機電系統已經演化成為一套基于網絡軟件的、相互協同工作的多個電控單元(ECU)所組成的復雜系統。而且這種相互通信聯系不只是發生在ECU之間,而且對于整個外部世界都有通信交流,也就是說,已經可以通過藍牙技術, 智能手機可以同時連接到英特網和汽車內置的移動無線通信模塊。
聯網車輛的潛在危險
盡管汽車采用數據網絡進行通信是創新性的技術,但也正因為這些技術的引用,增加了不少潛在的安全風險。雖然目前國家最先進的汽車電子產品都在著手對抗技術故障和危害,但在人為制造的威脅或者采用惡意軟件攻擊車輛來達到故意操縱汽車的目的方面,我們還有很多事要做。為此,惡意攻擊層出不窮,從簡單的修改里程表,到故意操縱交通控制系統來攻擊車輛控制相關的應用都有所發生。這種威脅是切實存在的,它能夠造成相當大的破壞,并且已經被幾起成功的攻擊事件所證明,雖然其中大多數是由研究團隊策動。例如在2011年,一輛在美國的量產汽車,其內部的汽車電子部件功能成功的被人為的通過無線接口遠程控制(例如,制動)。出于多方面的原因,今天電腦化的汽車針對黑客和惡意軟件的可靠防護不僅對于駕駛者和行人是必不可少的,而且也是大多數新型汽車針對交通控制和滿足政府機關和企業需求的一次良好機遇和先決條件。
利用傳統的電腦或服務器安全手段
嵌入式系統的IT安全要求一個具體而特別的解決方案。因為汽車的嵌入式應用硬件平臺只擁有很少的計算能力、有限的存儲單元和很窄的帶寬,這就導致傳統的IT安全手段不能簡單地移植到汽車的嵌入式系統中。這同時也增加了采用計算和內存密集型加密算法的難度。另一個原因在于標準電腦和嵌入式系統保護的對象和內容也不盡相同。一臺標準電腦主要防止來自互聯網的惡意攻擊,而有效的汽車安全則必須要考慮額外的硬件入侵的可能性,因為攻擊者往往都是直接侵入實體汽車的系統。此外,因為汽車應用功能在裝車后大多數情況下是可直接使用的,所以這就增加了物理攻擊的潛在威脅(例如逆向工程、被動攻擊、主動侵入或非侵入攻擊)。
在汽車領域,維護選項被嚴格限制,經常只在一些不被信任的商店中提供此類服務。此外,很多嵌入式系統元件都被直接燒進硬件或者是只讀的存儲器中。這樣就自動排除了各個模塊更新的可能性,但這和所謂的軟件在PC域中“自動”更新是截然相反的。組成汽車網絡的電控單元各不相同,具有很大差異性,這導致復雜性大大增加。根據其所被賦予的不同功能,不同的E C U的計算能力差別極大,因此需要具有針對性的不同的保護機制。
全面的解決問題的方法
即使是一份粗淺的分析也能表明,汽車系統的IT安全,以及許多其他的嵌入式系統安全,只有在整個開發流程中采用一種全面的,經過深思熟慮的系統安全設計方法才能實現。一種全面的設計方法既包含能很好地同時適應開發流程和量產流程,也包括車載網絡方面安全性的整體概念。為此,安全工程系統方法的第一步首先是針對整個系統的所有安全相關的數據,功能模塊和接口進行建模。隨后則應著手分析調查安全目標和要求。這個過程包括以下幾個主要步驟:
- 建立系統模型
- 確定安全目標
- 確定潛在的隱患
- 做好風險分析
- 確定功能安全需求
- 設計一個安全構架
- 在軟件中寫明詳細的安全要求,如果可以的話,在硬件中也寫明
- 實現安全機制
在安全工程的規范定義和實施階段要實現安全機制的功能,以確保之前確定的安全目標得以實現。這樣所得到的結果就是一個綜合采用軟件和硬件措施及相對應的開發過程的全面解決方案。例如,可能的軟件方法會采用加密的方式實現,如為達到安全目標的加密和簽名還有保密性和真實性等。在此基礎上,更加復雜的軟件協議有助于實現診斷功能或者軟件更新功能的授權保護。在大多數情況下,硬件解決方案如采用特殊的安全存儲器和具有加密功能的存儲器,旨在提高針對惡意操縱的保護和硬件攻擊的防御水平。最近,有跡象表明,對于汽車安全模塊的開發和輔助加密功能的E C U 網絡保護需求正在日益提高。
評論