软件定义汽车趋势下智能网联汽车安全解决方案

针对智能网联汽车分层分布式的架构，借鉴IT 网络安全领域的经验，提出一种名为ABC-S 的网络安全分析框架。A 指资产，即需要保护的对象。B 指边界，C 指通信，即访问资产的非常规渠道与常规渠道。S 指多尺度服务，将资产在多个层级进行分解，理清安全需求与相互职责；合理规划各结点的防护投入，实现整体效能最大化 ；建立综合服务机制，保障系统持续运行于安全状态。因此，ABC-S 框架在智能网联汽车安全领域具有显著的实用性与自适应能力。

汽车产业是国民经济的重要支柱。在新一轮科技革命和产业变革的推动下，汽车产业的电动化、智能化、网联化、共享化叠加交汇，能源动力、生产运行和消费方式全面重塑，“智能网联”成为汽车产业竞争的焦点 。全球主要国家和地区纷纷制定发展战略，通过政策法规、标准规范、协同研发和示范运营等多种措施，加快推动智能网联汽车（Intelligent Connected Vehicle，ICV） 的产业化进程，抢占发展先机。根据国家发改委2020 年公布的ICV 创新发展战略愿景，未来3至5年将是ICV进入规模化的关键期 。“安全、节能、舒适、高效”是汽车产业的发展目标。其中，安全是持续健康发展的先决条件，一直受到业界的高度重视，已经在被动安全、主动安全、功能安全等领域形成了较好的理论基础和技术积累。但随着汽车“新四化”的深入，汽车安全的内涵和外延发生变化，“软件定义汽车”的趋势逐渐明朗，网络安全的重要性日益凸显。加强ICV 网络安全领域的理论与技术研究，加快形成系统性的解决方案，时间紧迫，意义重大。

黑客入侵的攻击点成比例增加，单一的安全防护技术难以适应车联网系统的现实需求。尤其是在车端，汽车电子和软件的比重快速上升，产业链和技术链面临重构，亟待加强系统性研究，形成完整有效的安全解决方案。

1 智能网联汽车网络安全亟待重视

随着车载app、自动驾驶、V2X等新技术的应用，汽车逐渐从传统的交通载运工具转变为智能移动空间。车与人的关系由紧耦合向松耦合、再耦合变迁，车-车、车-路、车-云之间的交互协同更加紧密。ICV 不仅服务于车主，还通过环境感知、数据共享、群体决策等功能，直接或间接地服务于车联网的其它用户及设施。未来空间下载技术（Over-the-AirTechnology，OTA）普及后，不但把汽车关键功能的修改网络化、自动化、规模化，还必须面对更严峻的网络安全考验。因此，ICV 不仅关乎人身安全，还关系到个人信息安全、数据安全、关键基础设施安全乃至国家安全。

ICV 的网络安全是复杂的系统工程。一方面，车- 路- 云协同感知控制已成为产业趋势，需要从芯片到整车、从单车到车联网系统的技术革新，实现分层分布式的技术体系，如图1 所示 。另一方面，车联网的价值与复杂性不断提升，可能遭到黑客入侵的攻击点成比例增加，单一的安全防护技术难以适应车联网系统的现实需求。尤其是在车端，汽车电子和软件的比重快速上升，产业链和技术链面临重构，亟待加强系统性研究，形成完整有效的安全解决方案。

2 IT 网络安全持续演进带来的启示

IT 网络安全领域的经验表明，网络安全没有休止符，需要顺应技术发展趋势，综合运用多项技术，建立纵深防御体系和应急响应机制，持续做好监测-预防- 止损工作。为了更好地理解和应对ICV 面临的网络安全问题，有必要回顾IT 网络安全的演进之路。

过去20 多年间，IT 网络安全的目标对象、攻击技术、防护技术都在持续变化。20 世纪80 年代陆续出现的病毒、蠕虫等恶意软件，主要通过驻留在主机中实现攻击，安装单机杀毒软件就能有效防护， 如图2 所示。20 世纪90 年代后期，随着互联网时代网络规模的扩张， 僵尸网络、DDoS 等对企业云、数据中心的攻击形成更严峻的威胁，监控预警、纵深防御成为企业网络的常规配置。2000 年以来，移动互联网、物联网、人工智能时代陆续到来，社会工程、高级可持续威胁（Advanced Persistent Threat，APT） 攻击、对抗攻击等新型手段不断涌现，安全防护也融入了大数据分析、机器学习、主动防御等前沿技术。

随着目标对象、攻击技术复杂程度的提高，单一的防护技术已经难以满足现代网络安全防护的需要。目标系统应该具备足够的弹性，即使攻击者突破了局部安全措施，也不会立即对整体构成致命威胁。借鉴军事防线的部署，安全研究者提出了“纵深防御”（Defense in Depth）的概念，将不同的安全措施“围绕”在防护对象外沿，形成分层防护结构。在此模型中，攻击者必须研究、突破所有防护层，才能对目标对象形成实质威胁，攻击成本显著增加。实践中，由于系统总是具有一定规模，单项安全技术往往不足以形成完整的保护罩，而仅能覆盖局部面积；系统各部分的安全价值也各不相同，需要有所偏重。纵深防御可以很好地应对这两个问题：多项技术的综合采用扩大了防护面积，直观理解，如果防护面积的投影叠加构成了完整的外层保护，就达到了周全的防御；对于高价值组件，可以部署多重安全措施，增加外层“深度”；在安全预算不宽裕的情况下，还可酌情削减低价值组件的防护力度，实现整体效能最大化。“纵深防御”的概念简明易用，普适性强，成为许多网络安全架构的设计基础。

2015 年，SANS 安全专家罗伯特• 李提出“滑动标尺”网络安全模型，从投资收益的角度划分了相互关联的网络安全阶段。该模型分为5 个类别，即架构安全、被动防御、主动防御、威胁情报、进攻反制，安全价值与投资成本从左至右为负相关关系，即左侧阶段是右侧阶段的基础，安全价值也更高；标尺向右移动，实现的安全能力越强，但投资成本增加，单位投资收益降低。从主动防御阶段开始，安全人员（包括威胁分析师、逆向工程师、应急响应者、网络监控人员等）的作用逐渐增大，用以对抗智慧和灵活兼备的攻击者。实践表明，企业应把首要精力放在滑动标尺左侧的阶段，从架构安全做起，根据需求与成本选择适合自身的安全阶段。

随着IT 技术应用的持续深入，IT 网络的构成发生了显著变化。第三方服务逐渐接入企业内网，员工需要采用VPN 等远程办公方式，加上自带设备办公（BYOD）工作模式的兴起，模糊了内网、外网的边界，由防火墙界定的“安全内网”的概念也被动摇。早在2010 年，安全分析师JohnKindervag 提出“零信任网络”的概念，认为内网和外网一样充满安全威胁，不应被默认信任；否则，攻击者一旦进入内网，就能够不受限制地移动，并尝试获得更高级别的权限。因此，建议现代网络不应默认信任任何位置的人、设备、系统或应用，而是要通过认证授权机制对所有访问进行验证，基于对保护对象的风险度量，动态调整授权信任机制。Google 公司于2010 年年底启动BeyondCorp 项目重构企业安全架构，完全依靠用户和设备身份认证来控制访问授权，经过4 年时间基本完成了整体迁移。Gartner 公司对其2014 年提出的自适应安全框架（Adaptive Security Architecture，ASA）进行了修订，于2018 年推出“持续自适应风险与信任评估”（Continuous Adaptive Risk and Trust Assessment，CARTA）安全架构，将“零信任”置于自适应攻击防护的起点。

此外，面对日益复杂的外部环境和日益严峻的安全形势，加强协同合作、提高共同防御能力成为网络安全防护体系发展的必然趋势。我国政府主管部门、运营企业、安全厂商、软件厂商、科研机构等联合建立了不同层级的网络安全应急响应体系，实现了信息共享、预警发布和应急处理等机制，有效保障了IT 产业的健康有序发展。

3 ABC-S：汽车网络安全分析框架

为适应ICV 系统分层分布式的技术体系，本文提出一种多尺度安全分析框架ABC-S，用于研究ICV 系统的安全风险并指导安全能力建设，其结构如图3 所示。其中，A 指资产（Asset），B 指边界（Border），C 指通信（Communication），S 则指多尺度服务（Scaling Service）。图3a 代表ICV 某个层级上的一环，也就是图3b 金字塔结构中的实心黑点，由此建立起横向环环相扣、纵向层层支撑的安全体系。

3.1 ABC 概念的辨析

“保护资产”是ABC-S 框架的基本设计原则。根据GB/T 20984—2007《信息安全技术——信息安全风险评估规范》的定义，资产是“对组织具有价值的信息或资源，是安全策略保护的对象”，也就是恶意攻击者关注的目标。在ABC-S 框架中，资产当然符合“具有价值、需要保护”的特性。其特殊之处在于，不仅在横向上辨别资产，划分为相互关联的保护对象，还在纵向上多次拆解，形成粒度逐层细化的金字塔结构。例如，将整车作为金字塔的顶端，下一层就可以分解为车载娱乐信息系统（In-Vehicle Infotainment，IVI）、自动驾驶系统等二级资产；依次下推，直到分解为ECU、传感器等基本元器件，形成金字塔的塔基。如果有必要，还可以对基本元器件进一步细分。

应该注意，资产划分的起点是由使用ABC-S框架的主体根据自身需要，往往也是自身所处的层级选择的。例如，IVI 可能位于前一个金字塔的第二级或第三级，但IVI 厂商在应用ABC-S 框架时，只需要为自己的产品负责，IVI 就成为这个金字塔的顶端，向下分解出导航定位模块、远程服务模块等二级资产。政府主管部门可能首先希望掌握车联网网络安全的整体态势，就可以将国内甚至国际范围的车联网作为一级资产，按照车- 车、车- 路、车- 云或其它适用的维度进行分解。

“识别界面”是ABC-S 框架的另一个设计原则。资产确定以后，有必要保护对资产的正常使用，阻止非法访问及破坏。这里的界面是指能够访问该资产的任何渠道（也包括阻止他人访问的“禁用”渠道），分为两种：一种是资产与外界正常交互的通信接口，通常包含在产品功能设计及使用说明中，相当于“主动界面”，也就是ABC-S 框架中的C（通信）；另一种是攻击者通过探索尝试，可能发现的设计以外的非常规渠道，相当于“被动界面”，也就是ABC-S 框架中的B（边界）。当然，通信接口不限于一条，边界的分布也未必连续。典型的边界入侵点包括未屏蔽的调试接口、组件集成的交汇处、侧信道信号等。

IT 网络安全的经验表明，攻击者具备的技能、资源与耐心往往超出防护者的预料。尤其是ICV 这种价值高、技术复杂、影响范围广的在线系统，一旦上线就会持续遭受类型各异的入侵尝试。对于特定的资产，攻击者既可以尝试正面入侵，直接对公开的数据通信信道进行破解，也可以另辟蹊径，从较宽泛的边界上寻找安全隐患，将其突破为可利用的漏洞。自动化扫描工具的广泛应用，使攻击者不需要任何专业知识，就能在短时间内通过笔记本、手机或其它设备逐个尝试已知的安全漏洞。有开发经验的黑客则可能创造新的攻击规则，随时为边界带来未知的考验。

在ICV 的设计开发过程中，由于常规数据通道承载了数据内容和应用逻辑，通常受到的重视程度较高，防护力度也比较大；而对于能够威胁资产的潜在入侵途径，设计开发人员往往缺乏警惕性，主观认为不可能成为突破口。密码学理论的Kerckhoffs 原则表明 ，应该假定攻击者对系统的知识（包括实现细节）至少与自己相当，任何侥幸心理都可能导致严重的后果。早在2011 年，CHECKOWAY 等就明确指出，主机厂广泛利用外包开发来降低成本，在集成阶段往往难以对整体安全进行有效评估，如果开发方未能在文档中定义清楚边界条件，就很难到集成阶段再去弄清楚，导致组件边界成为安全重灾区。此外，还应该注意到，即使部署了安全防护措施，如果未能正确配置，不但无法达到预期效果，还会产生麻痹心理，引发意料之外的危害。渗透测试的意义就在于模拟黑客的逆向思维，绕过设计开发者的成见，尽量发掘产品中的安全盲区。ABC-S 框架特别对边界和通信加以区分，正是为了适应车联网系统结构复杂、接口繁多的特点，将安全分析与安全防护清晰化、规范化。

3.2 多尺度安全服务

ABC-S 框架中的ABC（资产、边界、通信）明确了受保护的资产，界定了访问资产的主动界面与被动界面，重点在于单个对象的安全防护。ICV系统中，任何资产都是整体的要素，但又无法代表整个系统的安全。只有通过“连横合纵”，才能将离散的资产点组织成稳固高效的整体；只有采用持续性的安全保障服务，才能保障该系统在生命周期内始终运行于安全状态。

多尺度（Scaling）有两层含义：目标对象的多尺度和防护强度的多尺度。

目标对象的多尺度体现在从适当的顶点出发，在多个层级上进行分解，然后围绕资产进行安全分析，建立从微观到宏观、从部件到系统的分层架构。每层中的结点具有显著的位置关系，临近结点相互依赖，边界、通信由此确定，共同体现为安全需求。某个结点的安全需求由其分解出的所有二级结点负责实现，但其不必关心也不需要限定二级结点的具体实现方式。也就是说，ABC-S 框架在横向上对资产（包括边界、通信）负责，纵向上对相邻层负责。使用者可以将工作重心放在识别同层相邻资产点、保护通信与边界上，然后向下分解一层，提出适当的安全需求，就可以验收并集成下层实现的安全能力。随着技术的演进，即使某个结点被集成到其它位置，或者必须分解为多个不同对象，只要参照其安全需求及位置关系，就能有条不紊地查缺补漏，避免产生新的安全隐患。

防护强度的多尺度体现在合理规划每个结点的防护投入。现实中的网络安全没有“绝对”，而是攻防双方博弈的过程。运用ABC-S 框架能够准确掌握系统的全貌，因而具备了实现整体效能最大化的条件。实践中，需要综合考虑资产价值、安全需求、技术有效性、安全预算等约束条件，使效能值在资产点上的“积分”达到最大。当安全态势产生变化，或者预算有所增减时，能够立即确定应该调整哪些现有的防护措施，以及各处投入的增减比例。理想状态下，多尺度防护的投资收益趋势应该是一条持续稳定上升的曲线。尽管实际工作中总是存在很多环节未能量化，但“可度量”无疑是复杂系统网络安全保障的必由之路。

安全服务（Service）的构建，需要在设计、开发、测试、运维等生命周期各阶段加强专业分工，提高协同防御能力。为便于直观理解，图3 并未将服务的部分表现为实体，实际上它是围绕整个金字塔结构持续运行的综合机制。总体来看，这不仅包括完善信息共享机制，加强对安全漏洞、安全事件等信息的采集、识别和关联分析，提升应急响应的准确性，还包括提升安全咨询、人员培训、安全检查、渗透测试等能力，建立在线监测预警系统。此外，既要落实应急演练、预案管理等工作，建立内、外部联动协调机制，确保应急响应的及时到位和快速有效，也要促进企业提高ICV 相关产品的质量，加强自身对于网络安全的理解和研发能力，增加有效供给。

回顾第2 部分不难看出，ABC-S 框架对资产的多尺度分解与按需防护，吸收了纵深防御的理念，并在精度上提出了明确要求。安全服务的持续演进以及对安全价值与投资成本的重视，部分参考了滑动标尺模型，但重点在于系统资产本身而非安全管理过程。对于ABC 的精确分析则是受到零信任网联的影响，自底向上构建了清晰完整的安全体系。移动互联网兴起以来，安全领域习惯沿用“端-管-云”的划分，与之相比，ABC-S 框架更适合智能网联的需要。总之，ABC-S 框架的用户首先需要明确回答几个问题：所关心的资产是什么？它需要与谁通信，与谁为邻？它的构成有哪些？

4 结论与后续研究

ICV 的网络安全是复杂的系统工程，涉及汽车、电子、信息通信、交通等多领域的新技术应用，需要分层分布式的技术体系支持，还需要借鉴IT 网络安全领域的有效经验。与现有的安全架构相比，实用性与自适应性是ABC-S 多尺度安全分析框架的显著特色。资产、边界、通信的划分明确了相邻组件的关系，降低了集成阶段引入安全风险的概率，分层多尺度的结构将网络安全有机融入ICV 全生命周期，使参与各方责权明确，有据可依。它不仅适合当前车联网的技术架构，而且随着未来技术的发展，新的部件、功能、角色均能无缝融入。对于在用的安全体系，ABC-S 框架不是颠覆性的变革，而是易于从局部入手渐进采用、持续优化整体安全的过程。

回顾2002 年的PC行业，微软公司率先推行“可信计算”计划，将软件安全提升到前所未有的高度。2010 年开启的移动互联时代，尽管Android、iOS系统在设计之初就将安全置于首位，仍然经历了长期的探索，才逐渐实现从尝试到常规的转变。ICV的安全研究虽然借鉴了前两个时代积累的经验，但面临的问题却更为复杂。不难看出，ABC-S 框架在ICV 安全领域具有相当的通用性。限于篇幅，本文仅介绍ABC-S 框架在网络安全上的应用，后续工作中，将根据在产品设计、研发、测试等各阶段取得的实践经验对其进行补充完善，并尝试将其拓展到功能安全、预期功能安全等方向上。

编辑：黄飞