2017年,SAE出臺J3061《信息物理融合系統網絡安全指南》,旨在通過統一全球標準,來推動汽車電氣系統與其他互聯系統之間安全流程的建立。信息安全問題不會導致新的安全隱患(即新的不安全狀態),但會改變現有隱患的發生概率,甚至使以前認為不可能發生的隱患變為可能。因此在系統設計的過程中,必須同時兼顧信息安全和功能安全。SAE J3061與ISO 26262標準之間具有一致性,保證了汽車電子電氣的功能安全之外,還保證了非安全關鍵領域,例如用戶數據隱私或資產方面。對于智能網聯汽車,SAE J3061對概念階段的信息安全問題制定了指南,并提出在概念階段就要建立威脅分析和風險評估(TARA)的框架。
在系統信息安全分析過程中,威脅模型有助于信息安全研究員了解軟件、應用程序或系統結構可能受到攻擊的不同方式。建模過程有助于識別系統的弱點,識別弱點后再對威脅進行分類,最后采取相應的對策解決問題。本文所討論的威脅模型,也是基于TARA框架來建立的,在此命名為TARA+
從SAE J3061到ISO 21434,威脅分析與風險評估(TARA)均被作為核心的網絡安全分析方法,并已成為智能汽車網絡安全功能開發實施與測試的前提和基礎。TARA的目的不是計算攻擊概率和影響的精確數值,而是為汽車整車廠(OEM)生成相對值,以便在后續步驟中對相關風險進行分組和排序。
根據不同的自動駕駛功能實施情況,整車廠未來可能會開發新的應用程序,支持更高的自動化水平,車輛也會面臨更多的威脅。在這樣的背景下,最初設計的威脅識別技術就會過時。因此,對于風險,我們應該有更長遠的考慮,以確保在系統壽命期內能夠識別并應對新形式的攻擊。
c)根據系統故障或失效發生時的安全完整性和系統可用性原則,重新定義“可控性”,將自動化水平考慮在內,形成了對自動駕駛系統的可控性等級。
作為信息安全風險評估的一部分,"可控性"最早是基于 ISO 26262 和 MISRA 安全分析指南提出。對于自動駕駛系統而言,由自動駕駛功能/駕駛員組合而成的可控性對攻擊的影響有直接的影響。
根據以下注意事項,建立自定義威脅模型TARA+:
1. 使用一個參考結構來彌補概念階段系統信息的缺失。一方面側重于實施攻擊的難度,另一方面側重于系統的承受能力而非其系統的漏洞,這種設計應允許對風險進行早期評估。
2. 駕駛員應在可控性的考慮范圍之內,可控性應被定義為自動駕駛系統和駕駛員的一種屬性。(在ISO 26262中,未涉及駕駛的自動化程度,其中隱含了一個假設,即人類駕駛員始終在車中,這與信息安全分析是完全相反的)
3. 側重點方面應局限在利用自動駕駛方面,特別是利用目標應用程序實施的攻擊。
4. 分析的側重點應在L3級和L4級有條件的高度自動駕駛系統上。在這級別的自動駕駛系統中,人類駕駛員應該保持 "較強"或 "較弱"的狀態,以便偶爾進行人機交接。
根據SoA中定義的攻擊潛力和攻擊影響對威脅量化; 全新的 "可控性"因素; 篡改后的攻擊影響計算,其中包含了我們提出的 "可控性"(見C); 基于攻擊可能性和提出的完善后的影響的2D風險矩陣(見D); 超出車輛本身的攻擊面分析,包括對攻擊可控性的考慮;
A. 威脅模型因素
(1)攻擊可能性-相關因素
-
所需的專業技術知識(用E表示);
-
對目標設計和操作的了解(用K表示);
-
目標開發所需的信息技術硬件/軟件或其他設備(以Eq表示);
-
機會窗口(用W表示)。
表1 攻擊的可能性因素和排名
由于篇幅所限,這里不提供各因素的詳細定義,詳細信息請查閱ISO/IEC 18045:2008 附件B。
(2)攻擊的影響(一)—相關因素
特定的資產/威脅的影響(此處稱為 )是對威脅實現時不同利益相關者的預期損失的估計。本文提出了四個因素,即嚴重性(S)、運營(O)、財務(F)和隱私/立法(P)。在表2中,將四個因素的排序分為5個級別,重要性從0(無)到4(對多輛車來說至關重要),重要性越來越高。由于篇幅所限,省略了每個因素的細節及其對應的五個等級的定義,詳細信息可參見參考文獻:《A Risk Assessment framework for Automotive Embedded Systems.》,點擊查看原文或添加微信hurrylulu0602索取。
表2 可能的攻擊因素和排名
(3)TARA+擴展:攻擊可控性因素
ISO26262將可控性定義為 "通過相關人員的及時反應,可能在外部措施的支持下,避免特定傷害或損害的能力",并將其納入風險評估中。
為了能夠分析L3級和更高的自動駕駛系統,本文擴展了”可控性“定義,給出了一個新的可控性因子(C),量化了自動駕駛系統或/和駕駛員的容錯能力,以及自動駕駛系統或/和駕駛員對攻擊相關風險的影響。在這個模型中,通過引入兩個專門的可控性組件,"可控性"因子能更清晰地反映共享自動駕駛系統/駕駛員的作用。
本節設想了一種混合可控性系數。該系數反映了為了實現L3級及以上自動駕駛系統的最小風險條件,機器和駕駛員共同承擔的責任。為了達到影響沖擊計算的目的,提出了結合系統的可控性與基于駕駛員的可控性。
根據系統可控性 )量化系統的容錯性,系統可控性應在是更高層次的自動化中占主導地位的因素。之所以是主導因素,是因為駕駛員脫離了環路,而自動駕駛系統應該能夠檢測到潛在的故障或失效(由危險或威脅引起),以便車輛能自我控制動態,并保持最低風險條件,降低風險。基于駕駛員的可控性 )應在所有仍依賴駕駛員的情況下使用。基于駕駛員的可控性 )水平,在表3中表示 ,而本文提出的基于系統的可控性水平在同表中表示為 。
表3 系統/駕駛員可控制性排行榜
B. 攻擊概率計算 )
攻擊概率是指攻擊成功的相對可能性。其數值排序是:攻擊可能性越低,排名越高;攻擊可能性 )越高,排名越低。首先,計算的 值為 因子之和,見(1)。然后我們將 值是一個整數,范圍在[0,12]中。根據表4,將 值映射成一個整數 值, 是在0(極低概率)到4(最高概率)范圍內的一個整數。
C. 篡改后的攻擊影響計算
攻擊的影響 反映了利益相關者的損失,其值是按(2)所述的四個攻擊的影響因素(表2中的定義)的加權和計算。應注意到,安全和運行影響因子的權重較高。所得的攻擊的影響在[0,28]范圍內是一個整數值,該整數值表示如果沒有采取應對措施而產生的攻擊的影響。
一般情況下,風險用攻擊的概率和影響兩個維度來表示,因此,在影響計算中,得出考慮機器/駕駛員系統容錯能力的修正影響值(即表3中定義的 "可控性"因子的兩個組成部分),我們采用了可控性。具體而言,根據對駕駛員依賴性的要求和自動駕駛系統的容錯水平,將上述影響值(I)按(3)中定義的基于系統的可控性基于駕駛員的可控性 )的可控性系數的乘積進行加權。由此得出修正后的影響值,為 是一個標量,范圍也在[0,28]之間。 的共同最大值,等于4(見表3)。最后,將修正后的影響值 ,如表5所示。
將五種可能的攻擊可能性 )值與五種可能的修正影響值結合起來,攻擊的相關風險 )也被劃分為五級,見表6,從 "QM"(代表 "質量管理")到 "危急",表示最低風險級別到“關鍵”。
A. 攻擊面分析
下圖為汽車參考架構圖,描述了研究人員考慮到的一組攻擊向量集。
下表7分析了源于這一參考架構的各種類型的攻擊載體。由于篇幅有限,這里只列出其中五種,更多信息可參加牛喀網的信息安全技術培訓了解。表7總結分析了該攻擊面(包含攻擊潛力和攻擊效果)、可控性(對預期系統承受能力)以及特定應用場景(分別見表7的第6列和第7列)。分析的重點是當攻擊者在被攻擊的資產范圍內時可以遠程利用的攻擊面(如傳感器欺騙、藍牙利用和移動或無線連接)。分析中還考慮了不屬于車輛但屬于駕駛生態系統的遠程攻擊面(如道路結構要素)(見表7中最后一個攻擊向量)。
表7 對于自動駕駛操作的特定供給面(圖片上傳可能不清晰,如影響閱讀,可添加微信:hurrylulu0602,朋友圈分享技術內容,歡迎交流)
B. TARA+在公路、公路交通堵塞和城市自動駕駛功能上的應用
為了驗證上文中提出的TARA+模型,對每個自動駕駛功能選擇一個攻擊場景進行分析,相應的結果查看表8。表7的第1、4、5行包含了相應攻擊面的分析信息,包括兩個車輛外部攻擊向量,即車輛Wi-Fi和激光雷達,以及一個遠程攻擊向量,即 "道路結構元素"。
實驗考慮了三種自動駕駛功能,分別是:高速公路自動駕駛、公路-交通擁堵駕駛和城市駕駛。
C. 結果分析討論
(高速公路)攻擊者可利用車輛Wi-Fi,通過注入惡意軟件進入車輛的TCU,以各種篡改的攻擊進一步傳播到其他ADAS ECU。完成以上步驟需要一個對車輛車載ECU及其操作有足夠技術知識的專家。由于通過移動設備等多種渠道都會影響車輛,因此車輛所面臨的攻擊面很大。
portant; overflow-wrap: break-word !important;">盡管車輛高速行駛,但由于攻擊者被假定為緊跟車輛的后車,因此可視為機會窗口很大。由于攻擊者有機會攻擊關鍵的ECU,因此這種攻擊可以造成隱私泄露和致命事故等重大影響。鑒于此,在實驗中賦予了非常高的初始影響值(28)。為了檢測和控制這種攻擊,車輛必須配備入侵檢測解決方案。假設駕駛員的可控性水平相對較低 ),指定一個較高的系統可控性水平),評估結果為較低(20.25)的中等影響排名。最后,由于成功的概率相對較高和中等影響,風險被評估為高。
portant; overflow-wrap: break-word !important;">(高速公路-擁堵駕駛)干擾激光雷達脈沖需要的設備容易獲得,但必須在有限的機會窗口內實現。攻擊可能會嚴重影響車輛的安全,因為車載系統可能會做出錯誤的控制決定,威脅道路上的其他車輛,造成多人傷亡,造成聲譽和經濟損失。然而,攻擊可以通過車輛的異常檢測來檢測,以通知駕駛員并由冗余系統處理,因此,假設系統的可控性處于中等水平,則更改后的影響值會降低,因而最終的風險等級為中等。
(城市)改變靜態環境,使自動駕駛功能對周圍環境產生錯誤的感知。由于成功概率高,影響程度中等,被評估為高風險。由于系統 )假設這種攻擊的可控性非常差,因此(3)得出MI=I,篡改后的影響值仍然等于初始影響值,就像沒有采取任何應對措施一樣。
這是由于攻擊引起了系統對感知環境的改變,而這種改變不能像傳感器故障或傳感器性能下降那樣被異常檢測機制輕易檢測到。檢測這種人為造成的視覺偽影的唯一方法是與場景的高清地圖或另一個(冗余)傳感器的另一個信息源進行比對,但來自非反射材料的視覺信息仍然無法被范圍傳感器捕捉到,實時動態定位和場景匹配并非易事。城市區域的十字路口和人行斑馬線都很復雜,這種復雜性使攻擊有許多種方式,并且,城市區域的這些地方,都是非常容易接近的地方。
本文主要研究L3級及以上自動駕駛系統的威脅分析和風險評估。為了實現這個目的,本文提出了一種新型的可控性定義和分類方法,該方法在聯合方案中同時討論自動駕駛系統和駕駛員的作用。所提出的TARA+方法是對設計自動駕駛系統的可控性感知安全分析框架的概念驗證,早在自動駕駛系統設計的概念階段,就結合了該領域著名的SAE和ISO標準的優點。
隨著自動駕駛系統進入生產階段和新應用的開發,考慮到系統設計和現有安全對策的新信息,該框架可能需要重新設計。可控性的概念需要擴展,以全面考慮對駕駛員、其他道路使用者和系統本身的可控性。這一點留待將來研究。
