李木犀 陳博 李康 戚巖 陳雷爽

（中國第一汽車集團有限公司 智能網(wǎng)聯(lián)開發(fā)院，長春市，130011）

主題詞：威脅分析 攻擊樹 風險評估 攻擊潛力

1 前言

1.1 智能網(wǎng)聯(lián)汽車

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等技術(shù)的發(fā)展和應用，智能網(wǎng)聯(lián)汽車應運而生，并逐漸成為全球汽車產(chǎn)業(yè)關(guān)注的焦點。未來，汽車將會成為互聯(lián)網(wǎng)社會的智能終端之一。在政策和市場的共同作用下，我國的智能網(wǎng)聯(lián)汽車技術(shù)將發(fā)展迅猛。

智能網(wǎng)聯(lián)汽車是搭載先進的車載傳感器、控制器、執(zhí)行器等裝置，融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，實現(xiàn)車與X（人、車、路、后臺等）智能信息交換共享，具備復雜的環(huán)境感知、智能決策、協(xié)同控制和執(zhí)行等功能，實現(xiàn)安全、舒適、節(jié)能、高效行駛，并最終可替代人來操作的新一代汽車[1]。但在人們享受智能網(wǎng)聯(lián)汽車所帶來的更多、更新、更便捷的體驗同時，智能化和網(wǎng)聯(lián)化所導致的信息安全問題也向智能網(wǎng)聯(lián)汽車提出了新的挑戰(zhàn)。

1.2 信息安全開發(fā)流程

近年來，智能網(wǎng)聯(lián)汽車被破解攻擊事件頻頻發(fā)生，國內(nèi)、外的整車廠和相關(guān)管理部門逐步開始關(guān)注到智能網(wǎng)聯(lián)汽車信息安全的重要性，并開始規(guī)劃和部署自己的信息安全管理部門。業(yè)界普遍認為智能網(wǎng)聯(lián)汽車的信息安全應是貫穿于整個汽車開發(fā)流程的，針對每個整車開發(fā)階段信息安全都應有相應的解決方案。

本論文根據(jù)智能網(wǎng)聯(lián)汽車整車開發(fā)過程中的信息安全工作經(jīng)驗，整理出以下信息安全開發(fā)流程：

1)威脅分析：在汽車產(chǎn)品需求分析階段，要進行信息安全威脅分析，包括風險建模、安全資產(chǎn)劃分、風險評估、攻擊路徑分析等內(nèi)容。

2)需求分析：在汽車產(chǎn)品功能設(shè)計階段，結(jié)合汽車產(chǎn)品裝備定義、功能分配及信息安全威脅分析結(jié)果，定義出整車產(chǎn)品涉及的整個智能網(wǎng)聯(lián)體系的信息安全需求。

3)信息安全方案設(shè)計：在車輛產(chǎn)品系統(tǒng)設(shè)計階段，結(jié)合需求分析，對各零部件有針對性地提出信息安全設(shè)計方案。在車輛產(chǎn)品設(shè)計階段，對部件級信息安全設(shè)計中提到的某些較獨立完整的信息安全功能進行組件設(shè)計。

4)功能開發(fā)：在汽車產(chǎn)品開發(fā)階段，實施信息安全設(shè)計的開發(fā)工作。

5)信息安全功能測試：在汽車產(chǎn)品功能測試階段，完成信息安全功能正向驗證測試以及結(jié)合產(chǎn)品功能的聯(lián)合測試。

6)信息安全滲透驗證：在汽車產(chǎn)品功能測試階段，以模擬黑客對汽車產(chǎn)品信息安全進行攻擊的黑盒測試方式，驗證信息安全開發(fā)是否能夠達到預期效果，并查找是否存在信息安全設(shè)計階段遺漏的安全漏洞和隱患。

7)最后針對驗證報告對開發(fā)進行修復調(diào)整。

本文主要針對第一部分的設(shè)計方法進行工作流程和方法的描述和介紹。

2 威脅和風險

2.1 信息安全威脅對比

威脅是對信息系統(tǒng)的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可能源于對信息系統(tǒng)直接或間接的攻擊，在機密性、完整性或可用性等方面造成損害。威脅可能源于偶發(fā)的或蓄意的事件。一般來說，威脅總是要利用信息系統(tǒng)中的操作系統(tǒng)、應用程序或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。智能網(wǎng)聯(lián)汽車的信息安全借鑒傳統(tǒng)信息系統(tǒng)的安全威脅和攻擊手段，并衍生智能網(wǎng)聯(lián)汽車獨有的信息安全。

智能網(wǎng)聯(lián)汽車與傳統(tǒng)信息系統(tǒng)因目標對象不同、目標對象的系統(tǒng)性能不同，所以安全威脅不完全相同，其入侵目的和攻擊手段也略有不同。下文從入侵目的和攻擊手段兩方面對比傳統(tǒng)信息系統(tǒng)和智能網(wǎng)聯(lián)汽車的安全威脅。

2.1.1 入侵目的

對于信息系統(tǒng)的入侵目的，總結(jié)為七類：執(zhí)行進程、獲取文件和數(shù)據(jù)、進行非授權(quán)操作、獲取超級用戶權(quán)限、使系統(tǒng)拒絕服務(wù)（使目標系統(tǒng)中斷或者完全拒絕對合法用戶、網(wǎng)絡(luò)、系統(tǒng)或其他資源的服務(wù)）、篡改信息、披露信息。對于智能網(wǎng)聯(lián)汽車的入侵目的，總結(jié)為六類行為：增進影響力進行的研究行為、為了獲取用戶數(shù)據(jù)信息的行為、為了獲取車輛設(shè)計信息的行為、為了進行惡意遠程控制的攻擊行為、為了獲取行駛數(shù)據(jù)或增加隱性消費的行為。

2.1.2 攻擊手段

攻擊可以按照不同的類型分類，比如攻擊者身份、使用的工具、存在的缺陷、攻擊目標、攻擊方式、未授權(quán)的結(jié)果、攻擊目的等[2]。對于信息系統(tǒng)的攻擊手段，總結(jié)為五類：口令攻擊、拒絕服務(wù)攻擊DOS、利用性攻擊、信息收集型攻擊、假消息攻擊。有些攻擊手段可以直接應用于智能網(wǎng)聯(lián)汽車上，但也有一些針對汽車的特殊攻擊手段，比如CAN網(wǎng)絡(luò)接入攻擊、OBD接口攻擊等。

2.2 智能網(wǎng)聯(lián)汽車信息安全威脅

隨著智能網(wǎng)聯(lián)汽車不斷壯大發(fā)展，各大汽車廠家紛紛推出具有車聯(lián)網(wǎng)功能的汽車，但與此同時也讓汽車信息安全面臨著威脅。通過近年來出現(xiàn)的各類汽車安全事件的搜集、分析和整理，結(jié)合我國汽車產(chǎn)業(yè)界發(fā)展中面臨到的實際問題，以及結(jié)合汽車電子電氣系統(tǒng)和傳統(tǒng)信息系統(tǒng)的不同之處，本文從車內(nèi)到車外，按照基礎(chǔ)芯片元器件、關(guān)鍵控制器軟硬件設(shè)備、內(nèi)部通信網(wǎng)絡(luò)、車載操作系統(tǒng)及應用、外接終端設(shè)備和云服務(wù)平臺六個層面歸納出汽車領(lǐng)域當前面臨的主要信息安全威脅。

2.2.1 基礎(chǔ)芯片元器件層面

智能網(wǎng)聯(lián)汽車中大量使用的傳感器、控制器的處理芯片等本身就可能存在設(shè)計上的缺陷或者漏洞，諸如信號干擾、緩沖區(qū)溢出、缺乏簽名校驗機制等。

2.2.2 關(guān)鍵控制器軟硬件設(shè)備層面

智能網(wǎng)聯(lián)汽車控制器，比如車載遠程通信終端、中央網(wǎng)關(guān)這類關(guān)鍵設(shè)備在認證、鑒權(quán)、逆向信號分析等方面都可能存在較高安全風險，能夠被攻擊者操控利用。傳統(tǒng)安全機制由于在復雜度和實時性方面不適用于汽車電子應用場景而無法直接部署應用。

2.2.3 內(nèi)部通信網(wǎng)絡(luò)層面

智能網(wǎng)聯(lián)汽車的CAN總線，是一種事件驅(qū)動的控制器網(wǎng)絡(luò)，CAN控制器能夠?qū)⑺鼈兊男畔鞑サ剿羞B接節(jié)點和所有接收節(jié)點，從而獨立的判斷它們是否在處理信息。CAN網(wǎng)絡(luò)優(yōu)先級驅(qū)動CSMA/CD訪問控制方法使得CAN網(wǎng)絡(luò)在遭受攻擊的時候通信信道會被堵塞[3]。CAN的機制設(shè)計及其不安全，缺乏必要的加密和訪問控制機制，通信不認證，消息不校驗，面臨消息偽造、拒絕服務(wù)、重放攻擊等一系列風險。

2.2.4 車載操作系統(tǒng)及應用層面

車載信息娛樂系統(tǒng)的操作系統(tǒng)一般使用傳統(tǒng)信息系統(tǒng)的軟件版本，比如：安卓系統(tǒng)、Linux系統(tǒng)等。系統(tǒng)本身存在各種已知或未知的漏洞威脅，且易于被攻擊者利用安裝未知應用程序，竊取各類數(shù)據(jù)。嚴重時，甚至可能將風險傳導至車內(nèi)網(wǎng)絡(luò)中的其他控制器，對駕駛安全造成一定隱患。

2.2.5 外接終端設(shè)備層面

一是外接終端設(shè)備安全水平的參差不齊引入安全風險的不確定性，帶來了更多的未知安全隱患；二是部分接入終端設(shè)備可以利用OBD接口直接讀寫車內(nèi)總線數(shù)據(jù)，發(fā)送偽造控制信息指令，嚴重干擾汽車正常功能。

2.2.6 云服務(wù)平臺層面

智能網(wǎng)聯(lián)汽車的云服務(wù)平臺負責車輛控制和敏感數(shù)據(jù)的傳輸存儲，一般都存在傳統(tǒng)操作系統(tǒng)的漏洞及虛擬資源調(diào)度問題，大部分平臺目前訪問策略偏弱，攻擊者能夠偽造憑證訪問并獲取大量數(shù)據(jù)，對車輛本身及用戶數(shù)據(jù)隱私構(gòu)成威脅，甚至影響到部分可遠程控制的車輛功能。

3 風險管理

風險管理是信息安全的全生命周期開發(fā)過程中貫穿始終的針對風險問題的管理方法，即針對智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全風險管理的流程。風險管理流程中包括制定不同層級運用風險管理的方案、制定風險評估在業(yè)務(wù)鏈上和不同開發(fā)情景中的分工、定義風險威脅管理的步驟和概要內(nèi)容、定義風險評估的具體步驟等。智能網(wǎng)聯(lián)汽車信息安全風險管理的主要目的是識別風險并對風險進行評估，風險評估的結(jié)果是風險管理的必要輸出也是智能網(wǎng)聯(lián)汽車信息安全開發(fā)過程中信息安全方案設(shè)計的基礎(chǔ)。本文介紹的基于威脅分析的智能網(wǎng)聯(lián)汽車信息安全風險評估方法屬于風險管理流程中前兩個步驟的設(shè)計方法。風險管理流程如圖1所示。

圖1 風險管理流程

3.1 風險識別方法

智能網(wǎng)聯(lián)汽車信息安全風險識別基于三個步驟實現(xiàn)：

首先要基于智能網(wǎng)聯(lián)汽車目標對象的功能和場景進行安全資產(chǎn)識別，在該過程中明確具有信息安全風險且需要保護的對象；

其次是針對安全資產(chǎn)進行分析，是明確安全資產(chǎn)具體安全屬性的過程；

最后針對資產(chǎn)進行基于攻擊樹模型的威脅分析，識別出針對該資產(chǎn)的全部風險和攻擊方法。

3.2 資產(chǎn)識別

早期的智能網(wǎng)聯(lián)汽車是在傳統(tǒng)車的電子電氣架構(gòu)基礎(chǔ)上增加了智能和網(wǎng)聯(lián)的功能，隨著自動駕駛技術(shù)和網(wǎng)聯(lián)信息化技術(shù)的發(fā)展，目前智能網(wǎng)聯(lián)汽車幾乎都是在高速網(wǎng)絡(luò)通信要求、自動駕駛功能要求、功能安全要求、信息安全要求等技術(shù)功能需求基礎(chǔ)上建立的全新的電子電氣架構(gòu)平臺。對于智能網(wǎng)聯(lián)汽車的資產(chǎn)識別一般也是從電子電氣架構(gòu)入手。從資產(chǎn)實體的分布形式識別，資產(chǎn)可以分為：傳感器、執(zhí)行器、控制器、網(wǎng)關(guān)、車內(nèi)網(wǎng)絡(luò)等。從資產(chǎn)的表現(xiàn)形式識別，資產(chǎn)可以分為數(shù)據(jù)、軟件、硬件、服務(wù)等，而從需要保護的業(yè)務(wù)過程和活動以及所關(guān)注信息的角度來識別，資產(chǎn)類型可包括基于ECU的控制功能、與特定車輛相關(guān)的信息、車輛狀態(tài)信息、用戶信息、配置信息、特定的軟件、內(nèi)容等[4]。

資產(chǎn)識別主要是對整車、車輛子系統(tǒng)、零部件、控制器、硬件、軟件、處理器等進行信息安全相關(guān)性的識別。經(jīng)過資產(chǎn)識別可以得到明確的與信息安全相關(guān)的資產(chǎn)，進而針對這些資產(chǎn)進行資產(chǎn)分析，從而確定資產(chǎn)面臨的威脅。資產(chǎn)識別的輸入輸出關(guān)系如圖2所示。

圖2 資產(chǎn)識別關(guān)系圖

資產(chǎn)識別的過程在于確定資產(chǎn)范圍中的內(nèi)容是否具有攻擊面。攻擊面指的是攻擊一個資產(chǎn)目標可以采用的所有方式，尋找資產(chǎn)目標的攻擊面可以判斷該資產(chǎn)是否是與信息安全具有相關(guān)性。主要采用以下方法對系統(tǒng)、子系統(tǒng)或部件級的資產(chǎn)的攻擊面進行識別：

1)該資產(chǎn)是否與外部網(wǎng)絡(luò)有基于物理連接或無線連接的通信傳輸通道？比如移動互聯(lián)網(wǎng)絡(luò)、Wi-Fi接口、藍牙接口等；

2)該資產(chǎn)是否與內(nèi)部網(wǎng)絡(luò)有基于物理連接或無線連接的通信傳輸通道？比如CAN、以太網(wǎng)；

3)該資產(chǎn)是否具有診斷接口；

4)該資產(chǎn)是否具備電子設(shè)備或硬件產(chǎn)品；

5)該資產(chǎn)是否帶有軟件；

6)該資產(chǎn)是否帶有傳感器；

7)該資產(chǎn)是否是電動的，是否需要充電。

與信息安全要求相關(guān)的資產(chǎn)是需要進行保護的安全資產(chǎn)，比如：車輛信息、敏感數(shù)據(jù)信息、密鑰信息、車內(nèi)通信和診斷、升級過程、控制過程、配置和記錄信息等。與信息安全要求不相關(guān)的資產(chǎn)不需要進行安全保護，比如基于機械控制的子系統(tǒng)，它不具備信息安全的攻擊面。

3.3 資產(chǎn)分析

在確定信息安全相關(guān)資產(chǎn)后進行資產(chǎn)分析，明確安全目標，并根據(jù)資產(chǎn)的信息安全關(guān)聯(lián)性確定資產(chǎn)具備的信息安全屬性。資產(chǎn)分析的輸入輸出關(guān)系圖如圖3所示。

圖3 資產(chǎn)分析關(guān)系圖

信息安全屬性包括機密性、完整性、可用性。安全性相關(guān)的影響包括安全影響、隱私影響、經(jīng)濟影響、執(zhí)行影響等。每一個屬性的含義見表1，影響的說明見表2。

表1 安全相關(guān)屬性

表2 安全相關(guān)影響

資產(chǎn)分析的過程是針對每一個與信息安全相關(guān)的資產(chǎn)的安全屬性的識別。識別方法主要依賴于對安全資產(chǎn)的功能或者性質(zhì)的分析。主要依據(jù)的步驟是：

1)該資產(chǎn)是否具有機密性要求；

2)該資產(chǎn)是否具有完整性要求；

3)該資產(chǎn)是否對可用性有要求。

經(jīng)過資產(chǎn)識別和資產(chǎn)分析之后，可以明確威脅分析的范圍，明確智能網(wǎng)聯(lián)汽車中哪個系統(tǒng)、子系統(tǒng)、部件等需要進行信息安全防護。這樣的分析過程規(guī)定了對資產(chǎn)的梳理過程，可以有效避免對于安全資產(chǎn)的遺漏，避免信息安全風險分析的缺失。

3.4 威脅分析方法

威脅分析是對資產(chǎn)的信息安全風險進行識別，分析風險和威脅對資產(chǎn)的破壞性。威脅分析以信息安全資產(chǎn)分析的結(jié)果作為輸入條件。威脅分析的輸入輸出關(guān)系圖如圖4所示。

圖4 威脅分析關(guān)系圖

對于攻擊路徑的識別基于攻擊樹的分析方法，它明確了攻擊目的、攻擊目標、攻擊方法等。攻擊樹分析方法是信息安全行業(yè)中較常用的分析方法，它的使用一般會結(jié)合攻擊場景的分析。智能網(wǎng)聯(lián)汽車體系的復雜性決定了它具有較多的攻擊場景和攻擊路徑，因此基于攻擊樹的分析也更加復雜。攻擊樹模型如圖5所示。

圖5 攻擊樹模型

結(jié)合攻擊樹和攻擊場景進行威脅分析的具體方法步驟是：

1)資產(chǎn)分析的結(jié)果作為輸入項；

2)選擇攻擊該資產(chǎn)的安全屬性作為攻擊目的；

3)針對攻擊目的，分析不同的攻擊方法；

4)進一步明確攻擊方法的實現(xiàn)路徑；

5)選擇攻擊該資產(chǎn)的其他安全屬性作為攻擊目的；

6)針對攻擊目的，分析不同的攻擊方法；

7)循環(huán)上述步驟，直至完成全部安全資產(chǎn)的分析。

在完成全部的攻擊樹分析后，應進行潛在威脅分析評估。潛在威脅分析評估指的是針對一條攻擊鏈中的每一個攻擊方法的攻擊潛力進行評估。攻擊潛力即實現(xiàn)一個攻擊方法的難易程度，結(jié)果可能是潛力高亦或是沒有潛力。評價攻擊潛力主要依據(jù)以下五個要素：

1)時間代價，即攻擊需要花費的時間；

2)專家專業(yè)知識，即是否具備專業(yè)的技術(shù)能力；

3)對目標的了解，即是否熟悉攻擊目標的相關(guān)知識內(nèi)容；

4)有利時機，即是否具備攻擊的適宜的時機；

5)設(shè)備，即是否需要硬件工具、軟件工具或其他設(shè)備。

結(jié)合五個影響要素能夠得出攻擊潛力的不同結(jié)果。以CAN網(wǎng)絡(luò)通信的機密性舉例。因為CAN網(wǎng)絡(luò)通信在設(shè)計之初沒有考慮到任何的信息安全問題，從當時的設(shè)計思路來看，車輛是一個封閉的個體，CAN通信不會面臨數(shù)據(jù)或報文的安全問題，所以導致現(xiàn)在車內(nèi)的CAN網(wǎng)絡(luò)存在明文數(shù)據(jù)、報文廣播式、報文無完整性校驗、無身份認證識別等信息安全問題。對它的攻擊可以通過OBD接口，所需攻擊時間較少、不需要專家級的技術(shù)人員、CAN總線的技術(shù)難度低、攻擊時機較多、不需要特殊或高成本的設(shè)備工具，因此其攻擊潛力是高的，也成為基礎(chǔ)型攻擊。

攻擊樹中一個層級的攻擊潛力的最高程度代表了這個層級的上一層級節(jié)點的攻擊潛力。依次類推，可以得到安全資產(chǎn)的攻擊潛力。攻擊潛力是進行風險評估的主要輸入條件。

綜上所述，威脅分析明確了威脅和風險存在的具體形式、攻擊方法和攻擊鏈路。威脅分析的結(jié)果，即攻擊潛力可以作為下一步風險評估的輸入。

3.5 風險評估方法

在智能網(wǎng)聯(lián)汽車的產(chǎn)品生命周期中，需要在產(chǎn)品生命周期的不同環(huán)節(jié)進行信息安全風險評估。比如產(chǎn)品功能概要設(shè)計階段、產(chǎn)品詳細設(shè)計階段、產(chǎn)品量產(chǎn)前的階段等。風險是一直貫穿信息安全設(shè)計開發(fā)過程的關(guān)鍵索引，對于風險的策略制定、風險的防護措施、風險的留存等過程都需要一個合理的風險評估結(jié)果的支撐。

通過風險評估明確風險策略，進而才能確定風險應對措施。風險評估的輸入輸出關(guān)系圖見圖6。

圖6 風險評估關(guān)系

風險評估是根據(jù)威脅分析的結(jié)果對智能網(wǎng)聯(lián)汽車目標對象的風險進行整體的評價，主要是識別風險發(fā)生的場景、對道路使用者或者乘客的影響以及攻擊成功的可能性。評價因素包括上一階段威脅分析的結(jié)果即攻擊潛力和破壞潛力的整體評價。

智能網(wǎng)聯(lián)汽車的信息安全風險評估方法如下：

1)針對一個風險場景，分析與該風險場景相關(guān)的所有威脅，并且列出全部威脅對應的攻擊潛力。

2)通過攻擊潛力的比對，可以明確這個風險場景的攻擊潛力的高低。同樣針對該風險場景，可以明確破壞潛力的高低。從而得到最終的風險評估結(jié)果。

針對不同的風險評估結(jié)果應依據(jù)風險策略的定義，制定不同的設(shè)計手段規(guī)避風險，從而能最終達到信息安全設(shè)計目標。

4 應用實例

以具備智能網(wǎng)聯(lián)功能的紅旗車型的基于威脅分析的信息安全風險評估過程為例，介紹產(chǎn)品開發(fā)過程中的應用方法。

在經(jīng)過對整車資產(chǎn)的識別后，可以得出車輛或用戶的敏感數(shù)據(jù)是一個典型的安全資產(chǎn)。以這個安全資產(chǎn)為例，進行資產(chǎn)分析。

在資產(chǎn)分析階段可以明確車輛或用戶的敏感數(shù)據(jù)具備的安全目標包括：機密性、完整性和可用性要求。

針對機密性目標，進行車輛或用戶的敏感數(shù)據(jù)機密性的威脅分析，基于攻擊方法、攻擊路徑的匯總得出攻擊樹，見圖7。

圖7 敏感信息機密性分析攻擊樹

對攻擊樹的每一個攻擊方法和每一條攻擊路徑進行分析，可以得到車輛或用戶的敏感數(shù)據(jù)機密性的攻擊潛力，見表3。

表3 安全相關(guān)屬性

以用戶隱私的非法獲取作為攻擊場景為例，這個場景涵蓋的威脅包括車輛或用戶的敏感數(shù)據(jù)機密性的攻擊等，綜合分析所有威脅的攻擊潛力，評估用戶隱私場景的攻擊潛力為高。

結(jié)合攻擊影響：安全影響、隱私影響、經(jīng)濟影響、操作影響，確定用戶隱私與隱私影響和經(jīng)濟影響有關(guān)，評估其破壞潛力影響為中級。

綜合攻擊潛力和破壞潛力的分析結(jié)果，評估其信息安全風險為高。

5 結(jié)束語

隨著網(wǎng)聯(lián)信息化和自動駕駛智能化的發(fā)展，車輛的信息安全防護技術(shù)也被推到了技術(shù)前沿，作為基礎(chǔ)保障性技術(shù)得到了越來越多的重視。對整車的信息安全防護的廣度和深度完全依賴于信息安全風險評估的準確性、風險策略制定的合理性等因素。所以，針對整車以及整車相關(guān)的網(wǎng)聯(lián)和智能功能進行有效的風險評估是至關(guān)重要的，而基于威脅分析的信息安全風險評估方法能夠提供一個合理且規(guī)范的評價準則。