Francesco Fiaschi, 網(wǎng)絡(luò)安全專家, Littelfuse Inc.

不斷推進(jìn)的法規(guī)和新興技術(shù)如何重塑汽車網(wǎng)絡(luò)安全

隨著汽車行業(yè)經(jīng)歷深刻的數(shù)字化轉(zhuǎn)型，互聯(lián)、電氣化和軟件定義功能的融合重新定義了汽車的設(shè)計、制造和運(yùn)營方式?；ヂ?lián)汽車和電動汽車(EV)越來越依賴于通信網(wǎng)絡(luò)、車載計算平臺和基于云的服務(wù)，這使得數(shù)字攻擊面大幅擴(kuò)大。隨著空中升級、自動駕駛功能和車對萬物(V2X)通信的日益普及，網(wǎng)絡(luò)威脅不再是假設(shè)，而是真實、持久和日益復(fù)雜的威脅。因此，網(wǎng)絡(luò)安全現(xiàn)在已成為核心設(shè)計支柱，而不是生產(chǎn)后的附加物。確保在整個車輛生命周期(從最初的設(shè)計和生產(chǎn)到運(yùn)行和最終退役)內(nèi)提供強(qiáng)大的保護(hù)已變得至關(guān)重要。

隨著監(jiān)管機(jī)構(gòu)收緊合規(guī)性要求，業(yè)界采用新的加密標(biāo)準(zhǔn)來應(yīng)對高級威脅，這一點(diǎn)變得尤為重要。汽車制造商、一級供應(yīng)商和系統(tǒng)工程師必須通力合作，采取積極主動、面向未來的網(wǎng)絡(luò)安全戰(zhàn)略，以保護(hù)汽車及其周邊基礎(chǔ)設(shè)施免遭惡意入侵和數(shù)據(jù)泄露。

“網(wǎng)絡(luò)安全不再是可有可無的，而是現(xiàn)代汽車設(shè)計和基礎(chǔ)設(shè)施的基礎(chǔ)支柱?！?/p>

1汽車生命周期中的全面網(wǎng)絡(luò)安全

如今的汽車不再是孤立的機(jī)器，而是由嵌入式控制單元、高速連接和云連接服務(wù)組成的復(fù)雜互聯(lián)系統(tǒng)。因此，汽車網(wǎng)絡(luò)安全的范圍必須遠(yuǎn)遠(yuǎn)超出保護(hù)信息娛樂系統(tǒng)或遠(yuǎn)程信息處理系統(tǒng)。攻擊者可能會利用從固件到無線通信協(xié)議中的各種漏洞，影響車輛性能、用戶安全或?qū)﹃P(guān)鍵系統(tǒng)的訪問。在這個由部件、供應(yīng)商和基礎(chǔ)設(shè)施組成的龐大網(wǎng)絡(luò)中，一個薄弱環(huán)節(jié)就可能導(dǎo)致連鎖后果。

此外，現(xiàn)代汽車涉及一個龐大的利益相關(guān)者生態(tài)系統(tǒng)--原始設(shè)備制造商、一級和二級供應(yīng)商、軟件開發(fā)商、基礎(chǔ)設(shè)施提供商和云服務(wù)平臺。每個實體都為網(wǎng)絡(luò)攻擊者提供了潛在的切入點(diǎn)，因此整個供應(yīng)鏈的協(xié)作和安全標(biāo)準(zhǔn)化至關(guān)重要。威脅有多種形式：利用未打補(bǔ)丁的ECU、欺騙V2X通信、篡改無線軟件更新，甚至將電動汽車充電器作為訪問載體。

更復(fù)雜的是，如今的車輛在設(shè)計時考慮到了越來越高的自主性和電氣化，這使得必須保護(hù)的接口和相互依存關(guān)系的數(shù)量成倍增加。例如，在自動駕駛系統(tǒng)中，必須保護(hù)傳感器融合模塊和基于人工智能的決策組件免受敵意干擾。同樣，電動汽車中的電池管理系統(tǒng)和電力電子設(shè)備也需要嚴(yán)格保護(hù)，以防物理和數(shù)字攻擊破壞車輛功能或用戶安全。消費(fèi)電子產(chǎn)品的安全問題主要集中在軟件更新和數(shù)據(jù)保護(hù)上，而汽車行業(yè)則不同，它要求從開發(fā)到退役的端到端網(wǎng)絡(luò)安全性。

在開發(fā)階段，優(yōu)先考慮功能有時會導(dǎo)致安全疏忽，例如在軟件中使用默認(rèn)的身份驗證憑據(jù)。一旦車輛進(jìn)入生產(chǎn)階段，為防止未經(jīng)授權(quán)的訪問，確保身份驗證流程的安全就變得至關(guān)重要。

當(dāng)車輛的使用壽命結(jié)束時，必須進(jìn)行適當(dāng)?shù)耐艘刍驍?shù)據(jù)清理，以清除存儲的憑證和認(rèn)證證書。如果忽視這一步驟，退役車輛即使在退役后也很容易受到網(wǎng)絡(luò)威脅。通過將網(wǎng)絡(luò)安全融入每個設(shè)計階段，制造商可以在車輛的整個運(yùn)行壽命期間保持安全性。

2嚴(yán)格監(jiān)管行業(yè)的合規(guī)性

隨著汽車越來越以軟件為中心并實現(xiàn)互聯(lián)，合規(guī)性已成為一種技術(shù)需要和業(yè)務(wù)要求。汽車網(wǎng)絡(luò)安全已不再是最佳實踐或競爭優(yōu)勢的問題 -- 正式的國際標(biāo)準(zhǔn)和國家法規(guī)已開始對其進(jìn)行管理?？蚣艿脑O(shè)計可確保針對不斷變化的網(wǎng)絡(luò)威脅提供一致、可衡量和可執(zhí)行的保護(hù)。

世界各國政府和監(jiān)管機(jī)構(gòu)要求更嚴(yán)格的風(fēng)險管理和驗證流程，特別是當(dāng)軟件更新、空中下載(OTA)功能和V2X通信成為現(xiàn)代汽車的標(biāo)準(zhǔn)功能時。合規(guī)性不僅僅是走過場;它涉及在整個開發(fā)、制造和上市后階段的持續(xù)評估、漏洞監(jiān)控和文檔記錄。

汽車行業(yè)正在圍繞幾個關(guān)鍵標(biāo)準(zhǔn)進(jìn)行調(diào)整，以滿足這些日益增長的需求。ISO 26262長期以來一直規(guī)范著汽車設(shè)計中的功能安全，而網(wǎng)絡(luò)安全要求目前正通過ISO 21434實現(xiàn)標(biāo)準(zhǔn)化。該標(biāo)準(zhǔn)在保護(hù)聯(lián)網(wǎng)汽車方面發(fā)揮著舉足輕重的作用，就像ISO 26262在安全方面的作用一樣。

安全也是自動駕駛汽車應(yīng)用不可或缺的一部分，在這種應(yīng)用中，安全和網(wǎng)絡(luò)安全必須相互配合。此外，保護(hù)充電站等電動汽車基礎(chǔ)設(shè)施也日益受到關(guān)注。開放充電樁協(xié)議(OCPP)1.6J依靠傳輸層安全(TLS)v1.x實現(xiàn)安全通信，目前仍在廣泛使用。不過，OCPP 2.0.1引入了增強(qiáng)的安全措施，但其缺乏向后兼容性給集成帶來了挑戰(zhàn)。即將推出的OCPP 2.1旨在彌補(bǔ)這些不足，同時加強(qiáng)雙向電力傳輸?shù)陌踩裕刮磥淼能噷W(wǎng)(V2G)和車對物(V2X)應(yīng)用成為可能。

“現(xiàn)在，軟件正在推動汽車創(chuàng)新，確保代碼、數(shù)據(jù)和連接的安全至關(guān)重要?！?/p>

盡管取得了這些進(jìn)步，但電動汽車基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全仍未得到足夠重視。隨著車輛與電網(wǎng)連接的擴(kuò)大，工程師必須將安全原則延伸到車輛之外，以確保整個移動生態(tài)系統(tǒng)的彈性。

3量子計算的挑戰(zhàn)： 為后量子世界做準(zhǔn)備

隨著汽車系統(tǒng)的互聯(lián)性和對安全通信加密技術(shù)的依賴性越來越強(qiáng)，汽車行業(yè)面臨著一個新出現(xiàn)的潛在破壞性威脅：量子計算。與使用二進(jìn)制比特的經(jīng)典計算機(jī)不同，量子計算機(jī)使用的量子比特(量子比特)可以同時以多種狀態(tài)存在。這使得量子系統(tǒng)能夠以遠(yuǎn)遠(yuǎn)超過當(dāng)今計算機(jī)的速度解決復(fù)雜問題，包括支撐廣泛使用的加密算法安全性的問題。

研究人員已經(jīng)證明，RSA等傳統(tǒng)數(shù)字簽名方法在量子計算機(jī)上運(yùn)行的量子算法面前可能不堪一擊。這些傳統(tǒng)方法構(gòu)成了當(dāng)前數(shù)字安全的支柱 -- 用于從車對物(V2X)身份驗證到安全軟件更新等一切領(lǐng)域。在汽車領(lǐng)域，如果這些系統(tǒng)遭到破壞，惡意行為者就可以欺騙命令、安裝未經(jīng)授權(quán)的固件或干擾電動汽車充電和電網(wǎng)基礎(chǔ)設(shè)施。

為了積極應(yīng)對這一挑戰(zhàn)，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)在其后量子密碼學(xué)(PQC)標(biāo)準(zhǔn)化進(jìn)程中最終確定了一套抗量子算法。開發(fā)人員專門設(shè)計了這些抗量子計算機(jī)的下一代加密方法，以確保數(shù)據(jù)的長期保密性和完整性。這些方法包括：

FIPS-203：ML-KEM(密鑰封裝機(jī)制)- 這種基于格的加密算法可在不安全通道上安全地交換對稱加密密鑰。ML-KEM以Kyber算法為基礎(chǔ)，可有效抵御量子攻擊，同時確?？焖俚男阅芎途o湊的密鑰大小。對于需要安全建立密鑰的場景，如V2X驗證和OTA軟件更新，它是必不可少的。

FIPS-204：ML-DSA(數(shù)字簽名算法)- ML-DSA也是基于晶格密碼學(xué)并衍生自Dilithium算法，提供抗量子的數(shù)字簽名。該標(biāo)準(zhǔn)可確保數(shù)字信息和軟件更新的真實性和完整性，在安全車輛通信和身份驗證方面發(fā)揮著至關(guān)重要的作用。

FIPS-205：SLH-DSA(基于哈希的簽名)- SLH-DSA基于SPHINCS+哈希算法，以其保守的設(shè)計和強(qiáng)大的量子威脅抵抗力而著稱。它不依賴于數(shù)論假設(shè)，因此特別適合長期安全需求，如汽車系統(tǒng)中的安全固件簽名和長期證書。

遷移到這些新的加密標(biāo)準(zhǔn)至關(guān)重要，尤其是對于V2X和V2G通信(車輛自主驗證和交換授權(quán)數(shù)據(jù))而言。這與ISO 15118 Plug & Charge功能尤其相關(guān)，該功能可實現(xiàn)安全的電動汽車自動充電會話?！拔磥淼囊苿有匀Q于整個生態(tài)系統(tǒng)中積極主動、量子就緒的網(wǎng)絡(luò)安全戰(zhàn)略?！?/p>

4安全移動的未來

隨著車輛互聯(lián)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全必須同步提升—不僅要防范新興威脅，還要增強(qiáng)消費(fèi)者對日益自主化和軟件驅(qū)動型車輛的信任。未來出行方式的成敗取決于數(shù)字信任，而數(shù)字信任又依賴于確保全球供應(yīng)鏈中通信的安全性、軟件更新的安全性以及硬件組件的完整性。

積極主動的多層次安全策略至關(guān)重要。這包括利用能夠抵御當(dāng)前和未來攻擊的加密技術(shù)，實施實時威脅檢測和軟件補(bǔ)丁，以及不僅對車輛而且對其支持基礎(chǔ)設(shè)施采用安全最佳實踐。隨著汽車系統(tǒng)越來越依賴V2X、云連接和人工智能驅(qū)動的功能，攻擊面也在不斷擴(kuò)大，因此恢復(fù)能力成為一個不可或缺的設(shè)計目標(biāo)。

制造商必須從系統(tǒng)層面出發(fā)，將網(wǎng)絡(luò)安全從概念植入到退役。這意味著要在設(shè)計階段建立威脅模型，在工程設(shè)計過程中采用安全的開發(fā)實踐，在生產(chǎn)過程中實施強(qiáng)大的訪問控制，并在報廢時進(jìn)行安全退役。正如功能安全已成為不容妥協(xié)的問題一樣，汽車制造商現(xiàn)在也必須將網(wǎng)絡(luò)安全放在同等重要的位置。

5未來發(fā)展方向的關(guān)鍵要點(diǎn)

網(wǎng)絡(luò)安全在汽車生命周期的每個階段都至關(guān)重要;

ISO 21434等標(biāo)準(zhǔn)和后量子加密技術(shù)為安全設(shè)計提供了必要的保障;

隨著V2G和自主系統(tǒng)的發(fā)展，基礎(chǔ)設(shè)施安全必須與車輛安全相匹配;

量子計算是未來對傳統(tǒng)加密技術(shù)的真正威脅;

積極主動的分層防御策略對于保護(hù)下一代移動性是必不可少的。

通過將網(wǎng)絡(luò)安全嵌入汽車設(shè)計的每個階段并預(yù)測新出現(xiàn)的威脅，汽車行業(yè)可以促進(jìn)未來的安全、智能和彈性交通。這包括采用多層次的方法，包括加密保障措施、持續(xù)的軟件補(bǔ)丁、威脅監(jiān)控，以及調(diào)整整個移動生態(tài)系統(tǒng)的安全策略 -- 從單個ECU到V2X通信和更廣泛的能源網(wǎng)?？傊?，保護(hù)下一代互聯(lián)汽車需要將創(chuàng)新與警惕性相結(jié)合的前瞻性戰(zhàn)略。

關(guān)于作者：Francesco Fiaschi是Littelfuse公司網(wǎng)絡(luò)安全專家，擁有豐富的嵌入式軟件、工程和產(chǎn)品管理經(jīng)驗。在加入Littelfuse之前，F(xiàn)rancesco曾在WindRiver、Harman&Becker、英飛凌和英特爾等國際知名企業(yè)工作，獲得專業(yè)項目經(jīng)理(PMP)證書。曾在電信、工業(yè)、軍事、航空、汽車、物聯(lián)網(wǎng)、醫(yī)療和安全生產(chǎn)制造等多個領(lǐng)域工作過，最近的工作重點(diǎn)是網(wǎng)絡(luò)安全。Francesco擁有意大利電子學(xué)碩士學(xué)位。聯(lián)系方式：FFiaschi@Littelfuse.com。