UNECE WP.29如何遏制汽车网络安全威胁

其中一些高级驾驶辅助系统 （ADAS），例如 Tesla Autopilot AI、Volkswagen ID.3，以及诸如 GM 的 Super Cruise 等其他系统，都是车辆的标准配置。其他驾驶员辅助系统作为外部设备提供，例如 comma.ai，您可以将其直接插入车辆的车载诊断 II （OBD-II） 端口以访问车辆的计算机并体验 2 级（转向和加速）自动驾驶。

ADAS 依靠从车辆外部环境收集的多个实时数据源来执行其功能并安全地执行它们。来自摄像头的视觉数据、来自 LiDAR 的成像、用于距离测量的雷达、遥测数据（如速度、位置和跟踪）以及车对车通信只是要提及的几个数据源。

远程信息处理、网关、信息娱乐系统和其他支持 ADAS 的 ECU 之间也需要进行协作和通信，并通过控制器局域网（CAN 总线）进行。通信扩展到各种技术，如蓝牙、高速宽带或移动网络，如 LTE 和 5G，您可以在其中锁定和解锁车门、启动引擎并查看您的车辆状态或停车位置。全部通过手机应用程序完成。确保不要忘记您的个人识别码 （PIN）！

虽然拥有一个秘密的 4 位数 PIN 码会让您感到温暖和舒适，但这还不足以确保您的车辆的网络安全。随着当今的联网、自动化和自动驾驶汽车变得越来越复杂，潜在网络攻击的危险也大大增加。

ECE WP.29 车辆网络安全

经过充分准备，联合国欧洲经济委员会 （UNECE） 于 2020 年 6 月 23 日发布了监管要求，概述了汽车制造商必须在其组织和车辆中纳入的新流程和技术。这不仅适用于原始设备制造商 （OEM），也适用于第 1 层和第 2 层软件和硬件组件以及移动服务。

新法规适用于 54 个国家，被称为UNECE WP.29 网络安全和网络安全管理系统（CSMS）。这意味着汽车制造商需要在组织结构中加入基于风险的管理框架，以发现、分析和防范相关威胁、漏洞和网络攻击。我相信您可以按照 ISO 26262-2 的要求将安全性纳入您现有的质量管理体系 （QMS） 和流程中，以实现质量和安全。

此外，对于车辆类型（M 类和 N 类，包括 L6 和 L7 类，如果从 3 级以上配备自动驾驶功能）还有 ECE WP.29 要求，包括测试其网络安全控制的实施和通过检查。成功实现组织和车辆 ECE WP.29 关键要求意味着制造商从批准机构获得合规证书。2022 年 6 月之后，没有此证书的新车将无法在欧盟销售。

ECE/TRANS/WP.29/2020/79 附件 5 表 B1 中的威胁和相应缓解措施的小样本列表如下所示。表 B1 侧重于与车辆通信渠道相关的威胁和缓解活动。请注意，缓解“应该”陈述表示必须满足的要求，而缓解“应该”陈述表示努力缓解威胁的示范。

WP.29 第 7.3.3 段还提到车辆制造商应如何进行详尽的“风险评估”，但没有告诉您如何进行该评估。但是，第 5.3.1（a） 段暗示了有关风险评估知识的各种标准。其中之一是汽车网络安全标准 ISO/SAE 21434——道路车辆——网络安全工程。

ISO/SAE 21434 道路车辆—网络安全工程

来自 ISO 和 SAE 组织的联合工作组于 2020 年 5 月为汽车制造商和供应商发布了 ISO/SAE 21434 草案。该标准旨在确保：

网络安全风险得到成功管理。

定义了网络安全政策和流程。

培养了网络安全文化。

标准草案分为各种“条款”或部分。引起我注意的条款之一是“风险评估方法”，其中需要考虑威胁和损害情景。将 CAN 消息欺骗到动力总成 ECU 的攻击路径等威胁可能导致失控和可能的伤害。由于攻击可能来自各种媒介，例如蓝牙、LTE、USB 或物理访问、ISO/SAE 21434，因此威胁已按照攻击可行性等级进行分类：

高的

中等的

低的

非常低

深度防御方法是指利用多层网络安全措施以防攻击可以穿透一层，需要记录并落实到位。道路车辆功能安全标准 ISO 26262 将解决安全影响。

网络安全保障级别

威胁路径也与损害相吻合。已定义以下损坏影响等级：

严重的

主要的

缓和

微不足道

网络安全保障级别 （CAL） 可以根据威胁和损害场景来确定。CAL 4 级别要求在网络安全设计、测试和审查方面具有最高级别的严格性。CAL 1 要求严格程度较低。

基于影响和攻击向量参数的 CAL 确定示例

分配给软件或硬件组件的 CAL 级别会影响用于其开发和测试的方法。例如，有推荐的集成验证方法，如基于需求的测试、接口测试、资源使用评估、控制流和数据流、软件的静态代码分析等。在代码单元级别，可以推荐语句或分支的结构覆盖。下表显示了推导测试用例的推荐方法。复选标记表示建议。

推导测试用例的方法

整个 SDLC 的网络安全

根据 ISO/SAE 21434，必须从 V 模型的左侧到右侧解决网络安全问题。作为嵌入式工程师，您知道这代表了整个软件开发生命周期。从需求开始到设计、实施、集成以及验证和确认 （V&V）。

因此，请确保您拥有可靠的应用程序生命周期管理 （ALM） 或需求管理 （RM） 工具。除了您的利益相关者和所有其他安全监管要求外，还需要满足 ECE WP.29 网络安全要求。使用可追溯性矩阵将确保不会遗漏任何网络安全要求。

Parasoft 标准合规性和测试配置

对于 V&V，ISO/SAE 21434 推荐了静态代码分析、控制和数据流验证、边界值分析、结构代码覆盖等测试方法。

开始满足您的网络安全要求的理想场所是使用 SEI CERT、CWE、OWASP 和 MISRA C:2012 等编码标准。这些编码标准和其他类似标准可以在编写代码和/或作为持续集成 （CI） 管道的一部分时检测到安全漏洞。

使用标准推荐的结构化代码覆盖率，以便您知道哪些软件尚未经过测试。考虑汽车行业正在发生的演进转型，以及它将如何影响 ISO/SAE 21434 标准以及正在使用的开发工具。确保他们可以轻松适应这种进展。例如，检查该工具是否已通过 TÜV 认证，可用于安全关键系统。当该工具也被认证用于网络安全关键系统时，它将做好准备。

审核编辑：郭婷