软件定义的汽车网络安全:超越车载和云

网络安全在数字世界中至关重要。至于自动驾驶汽车，或配备先进驾驶辅助系统(ADAS)的汽车，风险就更高一些。如果有人黑进你的车，他们可能会使它瘫痪，或者更糟，撞毁它，可能会伤害乘客和旁观者。这种风险很难解决，但可以控制。

自动驾驶汽车为黑客提供了一个独特的机会:他们可以与目标车辆进行物理互动，而无需购买或窃取车辆。一旦实际接入，黑客就可以利用越来越普遍的ADAS功能来控制汽车，带来灾难性的后果。

自动驾驶汽车为黑客提供了一个独特的机会:他们可以与目标车辆进行物理互动，而无需购买或窃取车辆。一旦实际接入，黑客就可以利用越来越普遍的ADAS功能来控制汽车，带来灾难性的后果。

自动驾驶汽车为黑客提供了一个独特的机会:他们可以与目标车辆进行物理互动，而无需购买或窃取车辆。一旦实际接入，黑客就可以利用越来越普遍的ADAS功能来控制汽车，带来灾难性的后果。

控制器局域网(CAN)漏洞攻击

坐在车里，黑客就能侵入汽车内部的CAN网络，这是一种内部网络，允许各部件之间的通信。一旦有人进入这个网络，他们可以使用它带来灾难性的后果。有了ECU，他们可以劫持整个系统，而不是干扰个别组件。一些黑客还能够利用CAN网络简单地禁用组件。它们破坏从传感器或微控制器进入中央处理器的数据，最终，主控制器认为组件损坏，并将其切断。您的组件可能会意外地出现故障，但这种攻击可能会同时关闭所有ADAS特性。

攻击向量

一旦进入汽车网络，黑客就可以利用CAN网络的安全漏洞篡改由计算机控制的车辆的任何部分。在使用adas系统的汽车中，从刹车到转向的所有操作都可以通过ecu来控制，这带来了一个严重的风险，因为用户可能无法通过物理方式凌驾于计算机控制之上。

一旦进入汽车网络，黑客就可以利用CAN网络的安全漏洞篡改由计算机控制的车辆的任何部分。在使用adas系统的汽车中，从刹车到转向的所有操作都可以通过ecu来控制，这带来了一个严重的风险，因为用户可能无法通过物理方式凌驾于计算机控制之上。

一个时期自我攻击更难以检测，也更容易绕过现有的入侵检测系统，这些系统会寻找汽车网络中表示恶意通信的异常帧。它等待目标组件发送这些帧中的一个，然后在同一时间发送自己的带有单个损坏的比特的帧，这将覆盖原始帧中的正确比特。当目标组件看到它发送了一个不正确的位时，CAN协议要求它发出一个错误消息“收回”错误消息。重复攻击足够多的时间(汽车组件往往会交换消息)，这些重复的错误消息会欺骗组件告诉网络的其他部分它有缺陷，并切断自己的进一步通信。

攻击者可以随机化错误消息的模式，使检测更加困难。这些错误也很难与实际的故障部件区分开来。为了应对这种情况，oem公司最好的防御措施是将他们的网络分割开来，将关键的安全组件与黑客可能访问的组件隔离开来，甚至考虑在CAN协议中添加一层加密层，使信息更难被模仿。

网络立法:WP.29和ISO/SAE 21434

两项网络安全法规将对汽车网络安全的方方面面产生重大影响:WP.29和ISO/SAE 21434。

2022年将是这两个标准规范汽车软件的元年。

这些网络安全标准和法规的一个重要要求是，每辆汽车都必须在其整个生命周期(从研发到生产，到客户使用的所有阶段)进行安全保护。因此，整车厂及其供应链必须包含多层次的网络安全解决方案，以防止当前和未来的网络攻击。

防御攻击

能保护汽车的第一件事是数字安全文化。一旦电子防御被授权，还应该考虑保护入口点、合并组件和攻击检测。

现在许多汽车的系统使用多达100个独立的ecu。随着ADAS越来越普遍，许多制造商正在将广泛使用的ecu组合成单一的微控制器单元(MCU)。这主要是为了增加可用的处理能力，但也出于安全目的。与100个ecu相比，单MCU更容易防御攻击。然而，如果使用单个MCU，如果它被破坏，后果可能会更糟。

在不知情的情况下，很难防范入侵。因此，至关重要的是，系统必须能够检查自己是否有恶意代码。黑客有时可以通过在数据流中注入代码来访问基于传感器的系统。如果处理器能够对照原始代码检查正在运行的代码，那么就能够检测和中断入侵。

高风险安全和预防措施

在确保自动驾驶汽车安全方面，风险很高。首先，你必须确保汽车系统的安全，防止乘客进入。然后，您必须通过实现故障保护和自检来关注软件安全。建立一个故障安全系统对于减少入侵的影响至关重要。有两种方法是限制级联故障并允许无线补丁:

1.屏蔽组件可以降低一些风险，因为如果黑客不知道他们正在处理的组件类型，他们就更难进入系统。
2.此外，使用篡改证据磁带可以帮助你知道什么时候有人打开了他们不应该打开的东西。

内存保护单元(Memory protection unit, mpu)用于防止单片机级联故障。应该使用这种系统来防止级联攻击。如果攻击者控制了一个ECU，他们就有可能导致ECU失灵，并引发影响汽车的连锁反应。这是一个好主意，隔离足够的系统，其中一个有目的的故障不会导致整个系统故障。

用软件而不是物理保护更有可能挫败黑客的企图。确保组件仍在工作的软件检查可以向系统发出入侵警报。如果ECU域控制器在驾驶时处于更新模式，就会知道有问题，你可以停车，直到问题解决。检查组件可以帮助阻止攻击，比如前面提到的禁用黑客。有人可能使用CAN网络欺骗处理器，使其认为传感器无法工作。如果这些传感器在自检，它们就能告诉控制器，它们实际上在工作，并触发一些故障保险。如果发生攻击，可以进行缓解。当已知的漏洞没有做好准备，让黑客在系统内肆意妄为时，就会出现问题。尽可能对系统进行分段可以防止级联故障。如果有人侵入了车内的娱乐系统，他们不应该能够使用它来关闭整个系统。

案例研究:机器学习可以检测和防止攻击

与所有机器学习应用一样，部署人工智能以应对自动驾驶汽车的安全风险的第一步是收集和存储正确的数据。如果使用能够存储和分析日志的平台来监控汽车的内部网络，汽车本身就可以检测恶意活动并防止攻击——或者，至少可以提醒司机并减轻其影响。

能够存储和分析日志的有效平台的一个例子是 Elasticsearch，广泛应用于安全领域。下面的图表说明了汽车的用户日志如何流入Elasticsearch数据库，这将使算法能够检测潜在的漏洞。

Miller和Valasek开发的反黑客解决方案就是一个在车辆环境中工作的“学习-预防”设备的例子。这是一个针对具有某些自动化特征的车辆的入侵检测系统。

该设备是基于通用NXP微控制器，插入OBD2接口的简单板。它的工作原理是在驾驶的前几分钟以观察模式运行，允许该设备捕捉车辆的典型数据模式。然后，它会切换到检测模式，监测系统的异常情况，比如异常的洪水信号或命令。如果它发现了一个“糟糕”的信号，它会让汽车进入“跛行模式”，本质上是关闭它的网络，并关闭一些功能，如动力转向和车道辅助，直到车辆重新启动。

在检测到异常后，可以触发两种不同的动作:预防和警报。

防御模块用于“告诉”汽车它应该忽略流氓命令，它还可以用来阻止试图使用相同方法的攻击者。警报模块用于实时发送(或显示)通知，允许司机采取行动或自动通知当局的攻击。该模块可以通过集成到汽车中的仪表板进行扩展。

防止漏洞和攻击的长期解决方案

• 网络分段:通过改变拓扑结构或对车辆中的CAN进行分段，可以防止定向错误扩散影响特定系统。
• 规范的OBD2端口访问:创建一个唯一的硬件密钥或密码来打开端口物理位置的情况下，可以防止非法和未经授权的设备引入CAN。还可以考虑实现软件级身份验证，以允许从端口发送或发送到端口的流量。
• 加密:加密CAN帧ID字段可以防止攻击者识别出目标CAN帧，从而产生噪音更大、更容易被检测到的攻击模式。

作为一家技术服务提供商，Cyient与行业专家、设备制造商和售后市场客户密切合作，通过关注大趋势领域“智能交通和互联产品”、“增强和人类福祉”以及“超自动化和智能运营”，与汽车行业趋势保持一致。