基于AFI树的CPAS整体安全性工程方法★

吴蕾，林军，李冬，杨春晖

（工业和信息化部电子第五研究所，广东 广州 510610）

基于AFI树的CPAS整体安全性工程方法★

吴蕾，林军，李冬，杨春晖

（工业和信息化部电子第五研究所，广东 广州 510610）

信息物理车辆系统 （CPAS）作为典型的信息物理系统应用，随着人工智能等基础技术的革新，其发展目前已被提升至中国国家战略层面。CPAS给用户带来了巨大的便利，但同时也让汽车暴露在互联网中，诱发了多起汽车信息安全事件。因此，如何保障CPAS的安全已经成为了世界范围的前沿课题。研究CPAS的特点和攻击模式，把控制论和网络安全紧密地结合，利用特殊的逻辑或门把攻击树的最终目标与故障树的事件联系起来，提出了一种功能安全和信息安全深度融合的AFI树分析方法，并把ISO 26262定义的汽车功能安全过程与SAE J3061定义的信息安全过程裁剪融合，建立了CPAS整体安全性工程实施流程和方法，在汽车自动驾驶系统上开展了应用。

信息物理车辆系统；AFI树分析；整体安全性；功能安全工程；信息安全工程

0 引言

21世纪初，国际学术界基于嵌入式系统提出了信息物理融合系统 （CPS：Cyber Physical System）的概念。与传统的嵌入式系统不同，CPS着重考量计算部件与物理环境的有机融合，将现有的独立设备进行智能化连接，实现自适应的组网与交互，从而使系统之间实现相互感知、有效协同，根据任务需求对计算逻辑进行自动调整与配置[1]。CPS具有智能化、网络化的特征，也是一个开放式的控制系统，自提出以来，短短数年间就获得了国内外大量专家、学者的关注，被视为继计算机、互联网之后的又一个重要的里程碑，是国际信息技术竞争力新的制高点之一，具有重大的战略意义。目前，CPS在智能交通、工业控制、智能电网、智能医疗和军事装备等领域已经得到了广泛的应用。

与此同时，CPS的安全问题也日益凸显。例如：2010年的Stuxnet蠕虫 （又被称为 “震网”“超级工厂”病毒）是首次针对工业系统的恶意代码。它先通过CPS的管理域进入CPS的信息域，挖掘信息域的操作系统、数字签名等漏洞，并借助SIMATIC WinCC系统最后突破CPS的物理域的限制，直接破坏物理世界中工业基础设施[2]。但是，迄今为止许多已建成的CPS尚未认识到即将到来的安全威胁。

智能网联汽车作为典型的CPS应用，随着人工智能等基础技术的革新，其发展目前已被提升至中国国家战略层面。2015年国务院发布了 《中国制造2025》发展战略，其中首次涉及智能网联汽车的发展：在智能网联汽车方面，2025年我国将掌握自动驾驶总体技术和各项关键技术，建立较完善的自主研发体系，智能网联汽车将实现 “零伤亡、零拥堵”，达到安全、高效、节能的目的。

网络互联给用户带来了巨大的便利，但同时也将汽车系统暴露在互联网所带来的负面风险之中，例如：从2015年至今，Jeep大切诺基、特斯拉等车厂的汽车相继地被黑客攻破，并能向发动机、变速箱、制动和转向灯系统发送错误的指令。如何保障智能网联汽车的安全已经成为了世界范围的前沿课题。

根据SAE J 3061推荐规程 《信息物理车辆系统网络安全指南》[3]，信息物理车辆系统 （CPAS：Cyber Physical Vehicle System）是指计算、物理元素和周遭环境紧密耦合的汽车嵌入式控制系统。在CPAS中，功能安全 （Safety）和信息安全 （Security）是两个关键的安全特性[4-5]。根据国际电工术语委员会 （IEV）对功能安全和信息安全的定义，功能安全 （351-57-05）指的是所考虑的物理单元没有对外部的不可接受风险；信息安全 （351-57-07）指的是所考虑的物理单元没有来自外部的不可接受的风险。从定义中可以看出，对于CPAS而言，功能安全研究的是如何避免系统功能失效而导致的对人身、财产和环境等的不利影响，它需要研究随机硬件失效、系统性失效 （包括软件）和信息安全 （包括外部攻击或恶意行为）等方面的影响。信息安全是CPAS互联互通之后带来的新问题。功能安全和信息安全的目标都是为了保障CPAS的正常运行[6]。

1.1 CPAS的功能安全

CPAS功能安全的目标在于保护系统按照期望执行。目前针对CPAS的功能安全，IEC和ISO均发布了相应的国际标准。2000年，IEC发布了功能安全基础标准IEC 61508《电气、电子、可编程电子安全相关系统的功能安全》。随后，根据IEC 61508这一功能安全的基本标准，衍生出了针对汽车电子应用的功能安全标准ISO 26262[7]。根据ISO 26262标准的要求，CPAS的功能安全工程全生命周期过程如图1所示[1]。

图1 CPAS系统的功能安全工程全生命周期过程

1.2 CPAS的信息安全

CPAS作为智能网联汽车的关键系统，给用户带来了巨大的便利，但同时也将汽车系统暴露在互联网所带来的负面风险之中。例如：目前已发现的比亚迪汽车云服务平台的漏洞，黑客在没有钥匙的情况下，成功地利用电脑先后实现了远程开锁、鸣笛、闪灯和开启天窗等操控；通用的安吉星On-Star也存在漏洞，黑客可以启动其发动机；宝马Connected Drive车联网数字服务系统也存在缺陷；特斯拉的驾驶系统也遭到过黑客的攻破等。因此，汽车生产商必须迅速地采取措施，以确保车辆不会成为黑客攻击的受害者。

2016年1月，国际自动机工程师学会 （SAE：Society of Automotive Engineers）发布了SAE J3061推荐规程 《信息物理汽车系统网络安全指南 （Cybersecurity Guidebook for Cyber-Physical Vehicle Systems）》，这是首部针对汽车网络安全而制定的指导性文件。在推荐规程中，提出了CPAS的信息安全过程，如图2所示[2]。

2 CPAS整体安全工程研究

图2 CPAS的信息安全工程全生命周期过程

功能安全是可靠性技术的延伸，而随着设备朝信息化和智能化的方向发展，传统的信息安全也在CPS方面得到了延伸。例如：如果一台用来连接现场设备和过程控制域的网络交换机发生了故障，后果可能会很严重，并且冗余设备 （功能安全措施）无法解决所有的问题，因为攻击一台交换机的病毒同样可以攻击冗余交换机，最终影响CPS的控制域，产生功能安全问题。

智能汽车属于安全性要求最高的一类CPS。随着智能汽车技术的发展，需要依靠汽车与互联网行业的跨界融合，而当面对威胁到车联网安全的网络恶意攻击时，更需要汽车行业与互联网行业的深入和紧密合作，共同防范潜在的安全威胁。因此，融合功能安全和信息安全的整体安全是未来CPAS的核心要素，在计算进程和物理进程相互影响的反馈循环中，构建一个可控、可信、可扩展并且安全、高效的智能汽车网络。因此，开展CPAS整体安全性研究，指导CPAS的安全性验证，构建鲁棒性强（信息安全）、安全风险低 （功能安全）的系统，是急需重点解决的关键问题。

本文将围绕CPAS物理、控制和网络空间的紧密协作的特点，提出了结合故障树分析 （功能安全）和攻击树分析 （信息安全）的风险评估方法，并依据ISO 26262和SAE J1306的流程提出CPAS整体安全性工程方法。

2.1 国内外相关研究

有关电气电子系统的信息安全和功能安全结合的问题，已引起了研究者的关注，其中Stoneburner G[6]提出了重新对风险 （risk）进行定义，结合，用于适应信息安全和功能安全的风险评估，但只是对两者的风险定义进行结合；Novak T和Treytl A[8]对自动控制系统的信息安全和功能安全预处理阶段的流程进行了简单的叠加。国内一些科研机构和高校也积极地研究工业控制系统的信息安全和功能安全结合的问题，例如：邱丽清等人[9]提出了信息安全和功能安全在基于风险管理思想、设计原则上与安全开发生命周期结合的构想，但尚未有可操作性的融合实践。总体来看，目前国内外尚未针对智能汽车CPAS提出可行性强的整体安全性工程实践方法。

2.2 基于AFI树分析的CPAS风险评估方法

信息通信技术 （ICT：Information and Communication Technology）的信息安全应用的攻击树分析方法和系统可靠性领域应用的故障树分析方法原本属于两个完全不同的领域。但是，CPAS的安全同时包括了信息安全特性和功能安全特性，因此，故障树和攻击树的结合可为分析CPAS的安全风险提供更加精确的评估。

2.2.1 故障树

故障树 （Fault Tree）又被称为事故树，是安全系统工程中最重要的分析方法[10]。事故树分析从一个可能的事故开始，自上而下、一层层地寻找顶事件的直接原因和间接原因事件，直到基本原因事件，并用逻辑图把这些事件之间的逻辑关系表达出来，IEC 61025标准详细地定义了故障树分析的符号、概率计算和分析过程等方法。

本文参考了Chris Urmsom等人[11]提出的自动汽车系统架构，如图3所示。从本质上讲，自动驾驶系统整体架构是一个CPAS，可分为感知-规划-控制3个核心模块。如果按照信息流向 （处理过程）可以初步描述为：数据获取-数据融合-任务规划-路径规划-运动控制-底层执行。自动驾驶系统以数据获取作为输入，执行动作为输出。由此研究形成典型的CPAS故障树，如图4所示。

其 中 ，eus、ecs、ests、ess分别是由超声波传感器模块、图像采集 （相机）传感器模块、转向 （角度）传感器模块和速度传感器模块产生的失效 （基本事件），即在本故障树分析中无需探明其发生原因的事件。Ii和Oi是结果事件，可分别作为下一模块的输入和输出。值得注意的是，系统决策模块du输出的结果事件 （Odu1、Odu2）可作为转向控制、加速度控制的输入 （Isu2、Iau2）， 影响转向控制和加速度控制。

图3 典型的自动驾驶系统的架构

图4 CPAS故障树分析图

2.2.2 攻击树

攻击树 （Attack Tree）由Bruce Schneier首次提出，是目前描述信息安全攻击的最常用的方法。攻击树使用树的结构来模拟攻击的方法和攻击实例，类比于系统可信赖性分析中故障树模型，攻击树模型重点考虑系统的安全破坏，描述了可导致系统安全故障的事件集合。因此，分析者可模拟一个系统可能受到的所有攻击，使用攻击树分析网络系统的安全性。攻击树模型的优点是直观，易以理解，实用性强。

CPAS近年来发生了多起信息安全攻击事件。例如：2015年7月，两位美国黑客远程破解并控制了克莱斯勒的JEEP汽车，克莱斯勒因此召回了140万辆汽车。2015年8月，国内某汽车厂商的云服务系统也曾被爆存在漏洞，可导致车主的信息泄露及其汽车被远程控制。以克莱斯勒的JEEP汽车黑客攻击事件分析而形成的CPAS攻击树模型如图5所示。

由图5可知，此事件是通过连接车载WiFi、运营商数据通信或者可移动存储介质等手段接入CPAS中的，扫描发现了由哈曼的Uconnect系统中存在的漏洞 （ero1、ero2、ero3），获取用户权限进入了车内核心网络，再利用逆向工程重刷ECU系统固件，即可进入固件设置CAN的数据值，篡改CAN总线数据，发送错误控制指令至物理过程或者发送错误数据到控制中心。

2.2.3 基于AFI树分析的CPAS风险评估

一个攻击的最终目的通常是在一个CPAS中实施 “未经授权的操作或行为”，或者说执行一个恶意事件。而在故障树中，事件可能导致一些人身或社会的危害。因此，在本文中对故障树的事件进行拓展，把恶意行为 （攻击树模型定义）也看成是故障树的基本事件或者中间事件，也就是说，恶意攻击者可以通过恶意行为影响顶事件 （Top Event）。以图5的攻击树分析图分析，最终目标是往CAN网络物理节点发送非法、错误指令，其发送的CAN控制代码可最终影响到汽车的制动故障。

因此，攻击树的最终目标 （发送错误控制指令至制动器）作为故障树的其中的一个事件 （包括基本事件或者中间事件）。在本文中，定义Gl（攻击树最终目标）=EU（故障树事件），其唯一不同的是它们的来源：攻击树通常是由一种蓄意或者恶意的攻击代理发起的；而故障树通常是部件的随机事件 （例如：引擎故障、部件失效等）。

图5 CPAS的攻击树分析图

为了把攻击树的信息和故障树的信息融合在一起，本文定义了AFI（attack and fault tree integration）树的概念，并定义一个特殊的逻辑或门TOP_OR，为了把攻击树的目标Gl和故障树的事件结合，定义可有nk个输入，但是只有1个输出。

由此，把图4和图5通过AFI树模式融合可得到CPAS的AFI树分析图，如图6所示。其中，虚线为攻击树动态触发，可攻击引发其他传感器故障，例如：CAN总线发出的错误指令可对超声波、相机、速度、角度传感器数据和系统决策指令造成影响。攻击树的目标以逻辑或门TOP_OR和故障树的事件结合，最终影响汽车制动故障。AFI树定性和定量的分析可参考故障树和攻击树分析方法开展，根据定量分析结果和故障发生以后可能造成的危害，对系统进行危险分析，以确定安全改进或者加固的方向。

图6 CPAS的AFI树分析图

2.3 CPAS整体安全工程实施

2.3.1 概述

SAE J3061定义的CPAS信息安全生命周期过程如图2所示。从图2中可发现，其安全生命周期过程与ISO 26262的功能安全工程全生命周期过程 （图1）有诸多的相似之处，例如：在设计阶段需要对安全性风险进行评估；在开发阶段必须对系统进行安全性测试评估；在交付阶段必须对整体的安全性进行评审确认等。本文把基于AFI树的风险分析技术嵌入到安全过程中，提出了一种融合CPAS信息安全和功能安全全生命周期过程的CPAS整体安全工程实施方法，如图7所示。

图7 CPAS整体安全性工程实施方法

CPAS整体安全性工程实施分为13个阶段。其中，阶段1-4借鉴SAE J 3061标准流程；阶段5-8借鉴ISO 26262标准流程；第9阶段依托AFI树分析，融合功能与信息安全风险分析、设计过程；阶段10-13结合了两个标准的相似过程，统一执行软硬件开发、集成、测试、确认和生产。

AFI树分析是CPAS整体安全性工程实施的关键，包括两个部分的内容。

a）完成安全性分析建模 （阶段1、阶段5）后，输入攻击树、故障树，并用特殊的逻辑或门TOP_OR连接。

b）完成信息安全性设计和功能安全设计 （阶段4、阶段8），并把它们作为AFI树的信息安全和功能安全防御策略；通过AFI树分析安全性设计是否覆盖安全需求，并融合信息安全和功能安全设计方法，在CPAS安全风险容许的情况下去掉冗余的措施。

3 结束语

本文通过研究CPAS的特点和攻击模式，深入分析系统的信息安全和功能安全特性，结合ISO 26262和SAEJ 3061标准，提出了一种基于AFI树分析的CPAS信息安全和功能安全融合的整体安全性工程方法，并在汽车自动驾驶系统上开展了应用分析。

下一步将与国内开发CPAS的企业开展合作，把基于AFI树分析的整体安全性工程方法应用在实际的CPAS中，通过进一步地定量分析AFI树，补充完善整体安全性工程的详细作业指导书，保障CPAS的安全性。

[1]何积丰，李宣东.信息物理融合系统 [J].中国计算机学会通讯， 2010， 6 （1）： 25-29.

[2]蒋建春，文伟平，张云泉.“震网”、 “火焰”恶意代码警示——信息物理系统安全问题与挑战[J].中国计算机学会通讯，2012，8（7）：75-78.

[3]Society of Automotive Engineers.Cybersecurity Guidebook for Cyber-Physical Vehicle Systems：SAE J 3061-2016[S].NewYork： SAE International， 2016.

[4]PIETRE-CAMBACEDES L，CHAUDET C.The SEMA referential framework： avoiding ambiguities in the terms“security” and “safety” [J].International Journal of Critical Infrastructures Protection， 2010， 3 （2）： 55-66.

[5]BANERJEEA， VENKATASUBRAMANIANKK， MUKHERJEE T， et al.Ensuring safety， security， and sustainability of mission-critical cyber-physical systems[J].Proceedings of the IEEE， 2012， 100 （1）： 283-299.

[6]STONEBURNER G.Toward a unified security-safety model[J].Computer， 2006， 39 （8）： 96-97.

[7]Road vehicles-Functional safety：ISO 26262-2010[S].

[8]NOVAK T，TREYTL A.Functional safety and system security in automation systems-a life cycle model[C]//in Proceedings of the IEEE International Conference on Emerging Technologies and Factory Automation（ETFA 2008），2008：311-318.

[9]邸丽清，谢丰.工业控制系统信息安全与功能安全结合之探讨 [J].中国信息安全，2016（4）：62-65.

[10]李馨.模糊故障树分析方法新探 [J].电子产品可靠性与环境试验，2007，25（1）：27-30.

[11]CHRIS Urmson， JOSHUA Anhalt， PREW Bagnell， et al.Autonomous driving in urban environments：boss and the urban Challenge[J] .JournalofField Robotics，2008， 25 （8）： 425-466.

The Integral Security Engineering Method of CPAS Based on AFI Tree

WU Lei， LIN Jun， LI Dong， YANG Chunhui
（CEPREI， Guangzhou 510610， China）

As a typical application of information physics system， the development of CPAS has been upgraded to Chnia's national strategic level with the innovation of basic technologies such as artificial intelligence.CPAS brings great convenience to users，but it also exposes the automobile to the Internet，how to ensure the security of CPAS has become a worldwide forefront issue.Based on the study of the characteristics and attack mode of CPAS，a AFI tree analysis method for the deep integration of function security and information security by combining cybernetics and cybersecurity and linking the ultimate goal of the attack tree with the event of the fault tree with special logic or gate.And the implementation process and method of CPAS overall security engineering is established by cutting and integrating the vehicle function safety process defined by ISO 26262 and the information security process defined by SAE J 3061，and application has been carried out in automobile automatic driving system.

CPAS； AFI tree analysis； overall security； function security engineering； information security engineering

TP 273；TP 309

A

1672-5468（2017）04-0001-07

10.3969/j.issn.1672-5468.2017.04.001

2016年工业转型升级 （中国制造2025）重点项目 （工信部规函 〔2016〕433号）资助

2017-02-11

2017-05-11

吴蕾 （1985-），男，广东清远人，工业和信息化部电子第五研究所软件质量工程研究中心工程师，硕士，主要从事嵌入式软件测试、工控系统、CPS功能安全和信息安全方面的研究工作。

《电子产品环境与可靠性试验》杂志2012-2013、2017年增刊出版和征订信息

随着工业和信息化科技与产品的迅速发展，质量与可靠性的科学技术渗透到工业和信息化的各个领域，可靠性与环境适应性问题也越来越受到广泛的关注。为了扩大可靠性与环境适应性技术的应用范畴，探讨技术发展趋势，推动科技工作的不断创新和持续发展以及成果交流，起到总结、提高、借鉴和促进的作用；并解决文稿积压过多、文章发表周期过长的问题，由工业和信息化部主管、工业和信息化部电子第五研究所主办的国内外公开发行、可靠性与环境适应性领域中具有权威性、影响力的专业科技期刊——《电子产品可靠性与环境试验》杂志在2012年5月、2013年11月、2017年7月以增刊的形式，出版论文集。增刊所收录的论文，专业性强、技术先进、内容和信息丰富、设计精美，欢迎订阅。

《电子产品可靠性与环境试验》编辑部