汽车领域的数据安全挑战

汽车制造商正在努力防止新车出现安全漏洞和数据黑客攻击，同时在车辆中添加新的、日益自动化的功能，这些功能可能会导致新的漏洞。

这两个目标常常是不一致的。 与任何复杂系统中的安全性一样，没有什么是完全安全的。 但即使是处理这个多层次的问题也是一个挑战。 当今的车辆架构以及为未来车辆开发的车辆架构越来越复杂，并且往往超出任何一家公司的控制范围。 它们涉及硬件和软件组件，在多个级别和多个位置生成和处理数据——车辆内、不同车辆之间以及外部连接的基础设施。 其中一些数据对于车辆的功能至关重要并受到严格控制，但即使不太重要的数据也可能提供潜在的攻击向量。

“如果你有一辆完全自动驾驶和联网的汽车，有人可以侵入汽车并控制汽车，那么突然间它几乎变成了一种武器，”汽车解决方案总监罗伯特·施威格（Robert Schweiger）说 Cadence公司。 “这就是为什么原始设备制造商和整个汽车行业对这个话题非常敏感。 如果没有安全性，所有花哨的 ADAS 技术都不会得到消费者的认可。 安全是最重要且超级重要的。”

这些担忧正在整个芯片行业得到回应。 “我们今天在车辆方面面临许多挑战，因为越来越多的高级驾驶辅助系统需要大量的电子控制单元，”技术产品经理 Thierry Kouthon 指出。 Rambus公司。 “过去汽车的所有功能都是机械或液压的，现在都已计算机化。 否则无法通过电脑控制汽车。 但这也为黑客提供了攻击面。 由于车辆有大量无线连接，信息娱乐系统成为攻击的绝佳切入点。 与此同时，车辆的电气化使车辆中电子控制单元的数量成倍增加。 移动部件较少，但电子部件较多，这意味着攻击面增加。 最后，自动驾驶汽车本质上不使用驾驶员交互，因此需要更先进的电子系统。”

图1：车辆中潜在的安全风险。 来源：Rambus

任何电子系统中的数据安全都是困难的。 但在车辆内，这些数据需要移动、存储、处理和更新。

“当我们审视网络安全以及围绕网络安全的所有方面时——传输中的数据、从 A 点移动到 B 点的数据、存储在车辆内或车辆外部但以一种或另一种形式的静态数据与车辆相关的信息——储存它有什么风险？” 克里斯·克拉克 (Chris Clark) 高级经理问道 新思科技 汽车集团。 “传播它有什么风险？ 使用这些数据有什么风险？是否应该使用？ 这是当今组织看待这一问题的黄金标准。”

过去五年，汽车行业在数据保护方面取得了一些进展，但仍有很长的路要走。

“我们正在学习如何真正谈论网络安全——也许不是以一种有意义的方式，但我们开始使用相同的术语，”克拉克说。 “我们正在研究一个行业与另一个行业的比较，以及我们是否可以利用他们所学到的一些知识在安全方面真正取得进展，以保护组织和消费者。 但除非有监管，否则网络安全活动和流程只是为了保护组织，而不一定是个人。”

由于在车辆中安全和隐私之间的重叠越来越多，这一事实使情况变得复杂。 数据受到的保护越多，车辆的自主功能越多，侵犯隐私的可能性就越大。

“我的汽车制造商或提供服务的任何人知道我在做什么吗？ 鉴于社交媒体发生的事情，人们将尝试将这些数据货币化。” 托尔图加逻辑。 “就汽车保险而言，这种情况已经发生了。 但您可以想象根据您驾驶的地点获取某些广告。 也许你一直去麦当劳，他们可以检测到你在这样做，所以你开始收到 Instagram、Facebook 和 Google 广告说：“这是麦当劳的新促销活动。” 或者，如果您在机场并且他们知道您喜欢旅行，他们可能会向您提供有关旅行的有针对性的广告。 这或许是不可避免的。”

这可能比简单的烦恼要严重得多。 “如果一个 '零日在使用相同身份验证密钥制造的所有汽车中都发现了漏洞，或者实际上在汽车部件中植入了某些东西并且有人发现了它，然后他们可以监视邻居的汽车或邻居的驾驶行为或任何汽车那个模型，”奥伯格说。 “如果它是一个社交媒体平台，那么就没有物理设备。 您登录到一个系统，并且有基础设施来保护它。 但如果它是物理设备，那么攻击向量现在就打开了。 拥有物理访问权限、发现硬件漏洞，这些东西现在都是获取这些信息的可行攻击媒介。”

对于黑客来说，有充分的理由利用该数据流。 它可能为这些车辆中使用的技术的知识产权盗窃打开大门。 与此同时，被盗的个人数据越来越有价值，随着时间的推移，更多的数据将被添加到车辆中。

“很可能你的汽车将拥有 Apple Pay 类型的基础设施，或者可以在汽车本地存储信息的东西，”奥伯格说。 “或者可能是一些生物识别数据，这些数据本地存储在车辆的硬件上。 现在有一个可行的攻击向量可以利用此类数据。 随着我们获得更多分布式物联网设备，并收集更多有关人们个人行为的信息，设备本身现在就成为可行的攻击媒介。 我们将看到更多此类问题对消费者产生直接影响。 目前收集个人信息的汽车还不多，但将来会有。 这就像安全领域的任何事情一样。 随着人们开始增加更多的自主权，收集更多关于人们的驾驶行为或他们在车里可能做的事情的信息，这将会有一些漏洞。 然后他们就会得到修复。 这是一个迭代的过程。 关于汽车的有趣之处在于，根据攻击的严重程度，您可能无法发布软件补丁。 它可能在汽车的行为中更加根深蒂固，因此您可能无法解决这个问题。 随着时间的推移，希望我们能够在汽车如何收集数据以及如何保护数据方面获得更多的安全性，但肯定会有一个学习过程。”

更多攻击向量
车联网 (V2X)——车辆与交通信号灯、其他车辆、甚至行人以及一般网络进行通信——增加了另一个潜在的攻击媒介。虽然这更多的是一个前瞻性问题，但它需要现在考虑。 更重要的是，由于车辆的使用寿命很长，支持 V2X 的汽车将需要与不支持 V2X 的汽车或该技术的旧版本进行通信。

“这意味着你要确保所使用的通信协议能够协同工作，”库森说。 “一切都是无线的，有两个主要标准——基于 5G/蜂窝网络的标准和基于汽车之间直接无线电频率的 DSRC。 所有这些几乎都是可以互换的，也许两者都可以工作。 真正的问题是，由于您没有任何物理连接并且与环境进行无线通信，因此您必须确保所有这些消息都是真实的。 您需要知道，如果交通灯告诉您正在变绿，那么这实际上是交通灯，而不是黑客因为您不注意而试图造成事故。 这成为一个身份验证问题。 身份验证意味着所有消息都使用签名进行签名，因此汽车可以验证该消息是否来自真实来源，并且不是虚假的交通灯或铁路道口基础设施。 它必须是真正由城市运营的。”

当从其他汽车收到消息时，事情会变得更加复杂，因为现在所有制造商都必须就一组协议达成一致，以便每辆车都能识别其他汽车。 我们正在努力实现这一目标，以便当宝马或克莱斯勒与大众汽车进行通信时，大众汽车可以确保它是真正的宝马或克莱斯勒。

“这成为证书分发的问题，”库森说。 “这是一个老问题，在互联网网站的背景下已经得到了很好的研究，而且通常非常复杂。 证书链可能很长。 就汽车而言，面临的挑战是确保验证过程非常快。 例如，您希望汽车每秒能够验证多达 2,000 条消息。 这对基础设施有影响，因为验证每条消息不能花太长时间。 这也会影响证书的格式及其性质，这意味着您无法像网站的设计那样设计它们，在网站中它们可以相互验证。 对于网站，假设用户可以等待几秒钟，而在汽车中，必须在几微秒内做出决定。”

仅在过去一年，汽车行业的 IP 提供商就发布了其处理器的安全版本。 Schweiger 表示，某些处理器的锁步处理器版本已经推出，以解决安全问题，例如 ASIL D。

“我们需要提供 IP 来解决安全问题，这通常位于信任根系统内，因此车辆可以首先以非常安全和隔离的方式启动，并且可以验证所有其他系统，以确保软件不被损坏或操纵， “ 他说。 “当你向外界开放汽车时，通过车辆对车辆通信、车辆对基础设施通信、无线更新以及 WiFi、以太网、5G 等，它扩大了表面汽车的攻击。 这就是为什么必须采取措施防止人们侵入汽车。”

汽车 SoC 中的片上网络 (NoC) 也可以在这里发挥作用。 “在 SoC 内的 NoC 上，可以将其视为公司内的网络，”Kurt Shuler 营销副总裁说道。 动脉IP。 “在您的公司内，您正在查看网络流量，并且通常在网络边缘有一个防火墙。 您可以将其战略性地放置在网络中的某个位置以监视流量。 在 SoC 中，您也可以做同样的事情。 SoC 内的干线在哪里？ 您想要查看和检查数据的地方在哪里？ 您不一定要进行深度数据包检查并查看片上网络内数据包的所有内容。 但是因为防火墙是可编程的，所以您可以说，“在这种类型的用例中，通过这种类型的通信，从这个 IP 发起者，也许在 CPU 集群，数据可以有效地进入这个内存或这个外围设备，并且这是一次有效的沟通。 您还可以使用它来测试系统，方法是“仅在该用例中存在无效通信时才允许通过”。 然后您可以向系统发送信息以指示正在发生不良情况。 这很有用，因为黑客会故意创建该流量来尝试查看您拥有什么样的安全性。 因此，您还可以告诉系统让数据通过，而不对其进行操作，以便标记您认为不好的数据和命令。 如果有人对系统进行模糊测试——放入一大堆垃圾——你就能抓住他们。”

带有 NoC 的防火墙还可用于加强功能安全。 “如果您从芯片的不太安全的部分开始 - 假设它是 ASIL B 或 A，或者可能是 QM - 并且来自芯片那一侧的数据和命令将转移到 ASIL D 一侧，您希望能够对其进行测试，以确保数据被封装在 ECC 中，或者芯片更安全的一面所需的任何方法。 防火墙可以帮助解决这个问题。 防火墙功能被用作故障保护，以确保来自芯片不太安全部分的数据在进入芯片更安全的部分之前得到适当的保护，”舒勒解释道。

模拟与测试
提前规划设计和制造也有助于识别导致数据受到损害的硬件漏洞。

“有软件黑客攻击，但也有硬件黑客攻击——侧信道攻击，”半导体业务部门产品营销总监 Marc Swinnen 说。 安思。 “你可以通过简单地分析、电磁探测、探测其电源噪声特征来从芯片中提取加密代码。 对于软件黑客，您始终可以通过更新软件来修复它，但如果您的硬件容易受到此类黑客攻击，则您无能为力。 你必须建造一个新的芯片，因为现在做任何事情都为时已晚。 在达到这一点之前，您确实需要进行模拟，并模拟这样的场景：如果有人将电磁探针放在我的芯片上方几毫米处，它会收到什么信号？ 我的哪根电线辐射最多，我的屏蔽效果如何？ 另外，我的电源噪声特征是什么？ 所有这些事情都是可以规定的。 可以获得提取加密所需的模拟周期的指标。”

其中一些也可以在测试过程中识别出来，测试过程涉及整个设计到制造流程中的多个插入点。 它可以包含从常见的通过/失败系统内测试数据到内存和逻辑修复数据以及从在线监控收集的数据的所有内容。

“所有这些数据都可以从设备收集到云数据库解决方案中，从而变得非常强大，”汽车 IC 测试解决方案经理 Lee Harrison 说道。 西门子EDA。 “从现场的大量系统收集数据后，对数据进行分析并接受基于人工智能的算法，然后向物理系统提供反馈，以调整和微调其性能。 在这里，数字孪生的应用可以作为分析和细化过程的一部分。”

图2：数据漏洞的模拟和测试。 来源：西门子 EDA

可以收集片外数据，然后使用唯一的身份和身份验证将其安全地发送到云端进行分析。 哈里森说，当涉及无线更新时，这一点尤其重要，而且这些更新在许多国家都受到严格的监管。

结论
虽然这些功能和改进提供了一些鼓励，但数据安全在未来几年将继续成为所有电子系统中的问题。 但在汽车等应用中，漏洞不仅仅带来不便。 它们可能很危险。

“当我们听说正在发生的活动时，我们会自然而然地感到更舒服，并说，‘哦，好吧，事情正在发生，’”Synopsys 的克拉克说。 “但是，当我们谈论将数据从 A 点安全地移动到 B 点，或者不接受不应位于该网络上的设备时，它涵盖了技术和流程。 组织如何认真对待网络安全实践，以及如何定义和衡量整体网络安全计划，以便看到自己正在改进？ 这可能与我如何移动数据无关，但与组织是否认真对待网络安全息息相关。 这个过程使工程师、系统设计师、基础设施设计师能够说，‘我们不仅在开发这项真正伟大的技术，而且我们必须真正审视网络安全。 在这种情况下，网络安全意味着什么？ 这就是我们开始看到真正改进的地方。 从网络安全测试的角度来看，组织必须变得足够成熟，承认这一点，并开发他们的网络安全测试流程，以有意义的方式达到这一点。”

托尔图加的奥伯格表示同意。 “这都是有一个过程的。 安全始终是一个旅程。 你永远不可能安全，所以你能做的最好的事情就是积极主动。 想想你想要保护什么，对手有什么能力。 你无法预测一切。 你必须接受这一点。 我喜欢始终保持尽可能开放的态度。 不要试图阻止。 当然，您不应该泄露您的任何知识产权。 但您还需要对客户保持流程透明。 如果发生什么事情，他们需要知道你的流程是什么。 然后，你需要非常清楚自己做了什么，没有做什么。 一切都是为了，‘这是我的威胁模型。 这些是我所做的假设。 这些东西我们还没有考虑过。’”

资料来源：https://semiengineering.com/data-security-challenges-in-automotive/