BlackBerry发布汽车网络信息安全白皮书

ang010ela 新闻 2017-12-15 09:42:31

226505

导语：随着智能汽车的发展，汽车面临更多的网络攻击和潜在的功能失效问题，汽车网络信息安全已经上升到国家战略。日前，BlackBerry发布了汽车网络信息安全白皮书，内含7个汽车网络信息安全的建议。

一. 问题描述

汽车网络安全已经上升到国家战略，为什么呢？因为汽车行业发展的四大趋势使汽车面临更多的网络攻击和潜在的功能失效问题。

1. 网联化。汽车与外界的互联变多，包括无线和有线的连接。

2. 软件化。软件会控制所有重要的驾驶功能，如果恶意攻击者获得软件的访问权限，并修改了软件，就可以导致事故和其他潜在的危险事件发生。汽车中的软件数量越多，攻击面就越大。

3. 无人驾驶。无人驾驶设计之初就考虑了通信问题，包括汽车之间和汽车与基础设施之间的无线通信。无线AP数量的增多加剧了通过AP进行攻击的风险，一旦一辆车被攻击，可以进一步通过车与车的通信感染其他车辆。

4. 人工智能、深度神经网络和学习算法的应用。汽车可以从内容中学习，这意味着软件在安装时是安全的，但是需要有新的方法确保汽车在整个生命周期内的security和safety问题。

汽车面临的安全威胁被汽车的一些特征放大了：

汽车中的电子电器（软硬件）来源于不同的Tier的数十个供应商，这些供应商之间没有同意的安全标准。这就让供应链的安全问题变得非常复杂。每个厂商和每个组件都是一个漏洞点。

汽车内的电子器件——分布式ECU组成了一个复杂的网络。每个ECU都是软件和硬件的结合，控制汽车中的一个重要功能，如刹车、转向、娱乐系统、空凋等等。ECU又是通过总线bus连接的，用的是已经定义好的协议传输信息。这种交互的网络就允许ECU与其他ECU通信， safety critical ECU和非safety critical ECU也通过这个网络进行交互。一些ECU可以通过无线或者有线访问，比如USB。这种访问有潜在的感染威胁。所以需要将safety critical ECU和非safety critical ECU进行隔离。

一辆车的生命周期在7~15年。在车的生命周期内，安装的软件需要升级，这就会带来风险。黑客的攻击手段会越来越复杂、越来越熟练，用户下载的软件可能包含恶意软件或代码。

目前的安全实践和标准是不充分的。功能安全safety标准ISO 26262 (ASIL-A to ASIL-D)，信息共享标准Auto-ISAC，软件编码规范MISRA、NHTSA等目前已有的标准规范不能解决cybersecurity和safety的问题。还有point solution是不切实际的。

二. Blackberry的7个安全建议

Safety和security是不可分割的。Blackberry的方法是纵观整个系统，尽可能地创建一个没有不合理风险的系统：

1、安全的供应链

a. Root of trust

确保汽车中的每个ECU和芯片都经过适当的认证，并通过可信的软件加载，不管是哪个厂家或者制造商生产的。这包括在制造阶段对每个芯片注入撕咬，通过建立可信链的方式来验证软件的每一步加载。

b. Code Scanning

在软件开发阶段用静态二进制扫描工具来进行评定：开源代码的内容，开源代码的漏洞和安全敏捷软件的暗示。这些数据可以用来增强软件安全性，减少安全风险。

c. Approved for Delivery

确保所有的厂商和厂商站点都通过漏洞评定的认证，而且需要维持“approved for delivery”的状态。对厂商和厂商站点的评估需要持续进行。

2、使用可信组件

a. Proven Components with Defense in Depth

使用推荐的组件（软件和硬件），这些组件应该有适当的safety和security特征，并通过验证可以抵御一定的安全攻击。创建一个分层的安全架构，应用深度防御技术，比如，硬件（System on Chips - SOCs）的架构必须安全，端口要进行保护。SOC应该保存密钥，作为验证加载的软件secure boot的可信根。操作系统必须有多层的安全特征，比如访问控制策略、加密文件系统、非root执行，路径空间控制等。

b. Application Management

所有下载的应用必须经过合适的签名，经过签名的声明文件要设定对系统中资源的访问权限。应用还要在沙箱中运行，在整个生命周期内都要进行管理。