智能网联汽车内生安全问题与对策

邬江兴

(中国工程院,北京 100088)

0 引 言

汽车行业正在经历前所未有的数字化转型,逐渐成为5G、人工智能、C-V2X、大数据、云计算等先进科技和应用创新的集大成者,造就复杂而典型的新一代信息物理系统(cyber-physical system,CPS)——智能网联汽车。未来,亿万规模的车、智慧协同的路、高效计算的云、可靠通信的网、遍布各处的充电设施等,将构建前所未有、规模巨大的新型网络空间。

在这个新型网络空间中,车的安全、路的安全和网的安全高度耦合,大量软硬件漏洞/后门使攻击者大有可乘之机,带来信息泄露、勒索、盗窃、大规模车辆恶意操控等风险。而且,随着数字化、智能化、网联化的加速,这一新型网络空间的规模和渗透率将持续扩大,暴露的攻击面也会随之增大,网络安全风险随之急剧推高。知名汽车网络安全公司在调查报告[1]中指出：①2010年至2019年,全球汽车网络安全事故数量急剧增长,其中2019年较2016年增长7倍,较2018年增长约1倍;②2019年的汽车网络安全事故中,由黑帽黑客引发的汽车网络安全事故数量占比已超过白帽黑客;③2010—2019年间的汽车安全事件中,汽车远程攻击逐步超过了物理接触攻击,且2019年远程攻击的占比达到了惊人的82%,远程攻击已成为主要攻击手段。网络安全正成为智能网联汽车、车联网及相关服务产业安全健康发展的基础。

传统汽车软硬件主要关注功能安全,重点聚焦解决汽车软硬件出现随机性或系统性失效导致的安全问题。网络安全问题随智能网联汽车发展逐步浮现之后,不仅随机和系统性失效导致的功能安全问题仍然存在,而且出现了网络攻击导致的新质功能安全问题。换言之,智能网联汽车软硬件既存在因随机性或自然因素引发不确定性扰动而导致的系统功能不可靠风险,也存在因人为网络攻击导致的系统非正常功效风险;而且,这两种风险交织叠加,催生了新的功能安全问题。已有的功能安全标准ISO 26262[2]和网络安全标准ISO/SAE 21434[3]也未曾对该交织叠加问题给出什么有效的解决办法。

本文探究了这一问题的根本原因——智能网联汽车内生安全问题,提出了“不完全交集”原理和基于动态异构冗余(DHR)架构的智能网联汽车内生安全构造方法,为一体化解决智能网联汽车功能安全和网络安全交织叠加难题提供了新路径。

1 智能网联汽车的内生安全问题

智能网联汽车内生安全问题是网络内生安全问题在汽车领域的一个投影,也是CPS功能安全与网络安全交织叠加的一个例证。

1.1 网络内生安全问题

正如德国哲学家黑格尔认为,一切事物都是自在的矛盾,矛盾是一切运动和生命力的根源。任何一个人工设计制造的系统很难是“完美无缺”的,除设计的期望功能之外,总存在伴生或衍生的副作用或暗功能,或者系统内总存在由构造决定的互为依存又有矛盾关系的“内生或内源性因素”,称为内生安全问题。

网络安全问题与内生安全问题的关系如图1所示,根据矛盾是否可分割的属性将网络安全问题划分为非内生安全问题和内生安全问题,根据问题存在的范围将内生安全问题又划分为共性问题和个性问题。其中共性问题涉及面大影响范围广,通常需要寻找普适解,而个性问题往往需要特殊解。

图1 网络空间安全问题域Fig.1 Composition of cybersecurity problem domain

1.2 智能网联汽车内生安全共性问题

近年来,“软件定义”之风席卷科技界。在移动出行时代,汽车逐渐由机械驱动的物理系统向软件驱动的信息物理系统过渡,软件开始成为车企打造差异化汽车的核心要素,汽车行业逐渐迈向软件定义汽车的时代。

按照软件定义汽车的发展思路,软件深度参与汽车论证、设计、开发、测试、应用、维护各个环节,汽车架构也转变为以软件为核心,在模块化和通用化硬件平台的支撑下决定整车功能。软件定义下的智能网联汽车成为包含车、路、云一体的复杂信息系统,实现了物理世界与数字世界的跨界融合交汇。云端、路侧单元、通信设备、边缘计算设备和汽车本身包含了大量的软硬件。博世发布的信息显示[4],2010年,一辆汽车包含大约1 000万行软件代码,而如今部分智能车辆的软件已经达到1亿行代码,相比之下,哈勃太空望远镜大约有200万行软件代码,当前的个人电脑操作系统有2 000万到5 000万行左右的代码,未来的自动化车辆预期将需要3亿至5亿行代码。《软件评估、基准和最佳实践》认为,在不同能力成熟度模型下,每1 000代码内部的平均BUG数是1 到7 个不等[5]。可想而知,在人类现阶段科技发展和认知水平下,彻查如此大规模软硬件系统的缺陷和漏洞是不可能实现的。而且,智能网联汽车庞大复杂的供应链,也很难确保软硬件后门问题完全杜绝,正是这些软硬件的漏洞/后门形成了智能网联汽车的内生安全共性问题。

基于漏洞/后门的网络攻击,可以直接带来勒索、盗窃、大规模车辆恶意操控的风险;可以“绕过”加密认证等防护技术,造成数据泄露等安全事件。若软硬件系统内生的漏洞/后门问题不解决,系统“自身难保”,就很难奢谈系统安全之上的数据安全、应用安全等。

1.3 内生安全共性问题的交织影响

作为典型的物理信息系统,智能网联汽车实现了信息世界和物理世界的深度融合,其所面临的安全问题已经由单纯的功能安全演进为功能安全(Safety)与网络安全(Security)交织叠加的复合问题,如图2所示。一方面,单纯的功能安全问题和网络安全问题仍然存在,例如随机性硬件失效、系统故障等导致的功能安全问题;另一方面,网络安全问题和功能安全问题又会相互影响,带来新的安全挑战。比如,漏洞/后门作为网络安全威胁资源被利用,会导致系统软硬件出现故障,引发功能安全问题。再比如,功能安全中的软硬件故障可能会危害网络安全防御措施,从而使系统面临更加严峻的安全威胁。这种双重安全相互叠加、相互交织,可能会带来更强的不确定性和破坏力。

图2 内生安全共性问题的交织Fig.2 Interaction of endogenous security common problem

智能网联汽车功能安全与网络安全交织叠加使得传统功能安全理论与实践规范正面临全新挑战：既存在因随机性或自然因素引发不确定性扰动而导致的系统功能不可靠表现,也存在因漏洞/后门等内生安全问题被外部或人为蓄意利用导致的系统非正常功效表现。本文将自然或非人为因素引发的故障所导致的功能安全问题以及蓄意网络攻击所引发的功能安全新问题,合并称为功能安全和网络安全交织问题(security and safety intertwine problems,SSIP),简称广义功能安全问题,如图3所示。

图3 广义功能安全Fig.3 Generalized functional safety

网络安全与功能安全问题的交织叠加性质,使得智能网联汽车必须同时具有应对随机性扰动和人为或非人为的不确定扰动能力,需要具备一体化解决功能安全和网络安全交织问题的广义功能安全属性。否则,难以满足网络攻击条件下服务功能或性能的“弹性或韧性”要求。

2 现有安全防御范式的局限性

当前,汽车行业已经逐渐意识到网络安全问题的重要性,正逐步将传统互联网安全防御技术引入汽车及车联网中。总体来说,主要的安全技术范式及其局限性如下。

1)基于冗余配置与大数表决的安全技术,以主备、冗余、负载均衡等技术为代表。通过在关键路径/通道、节点/部件以及体系架构层面引入冗余架构,应用半定量表达和大数或择多表决机制进行可靠性设计,重点解决系统软硬件物理或逻辑性失效问题,常见的如自动驾驶系统中摄像头、雷达等多种传感器软硬件的冗余配置,其优点是能够有效增强系统感知的可靠性,但通常未对人为因素导致的网络攻击加以考量。

2)基于加密与认证的授权安全技术,以加密算法、认证等技术为代表。基于密码工程理论和密钥分配方法,通过授权管理和加密认证保护合法用户安全地使用软硬件设施、信息服务、数据资源。典型的方案有基于TLS的车内以太网密码方案、基于消息认证码和新鲜值的CAN/CAN-FD安全认证方案等。其优点在于工程实践中无需任何先验知识,但通常无法应对基于加密认证算法宿主系统漏洞/后门发起的“内外协同或里应外合”式的网络攻击。

3)基于检测与分析的网络安全技术,以入侵检测、防火墙、态势感知等技术为代表。通过攻击特征画像、攻击行为感知等方法实现威胁和攻击的早期预警,提升攻击链建立的难度,防御可能的网络攻击。包括在车端部署轻量化防火墙、入侵检测等防御设备,或者在关键通信路径上部署黑白名单、访问控制和CAN报文检测等安全技术等。值得注意的是,由于高度依赖先验知识,必须知道网络攻击的特征才能形成针对性的防御方案。

总体来看,现有安全防御范式多依赖先验知识,以明确漏洞/后门的成因及攻击机理为基本前提,其“亡羊补牢”式的安全防御策略虽能有效防御已知网络攻击,但无法有效应对基于未知漏洞/后门的未知网络安全威胁和攻击。而且,使用“封门补漏”打补丁的方法来解决网络安全问题,其安全性只能做到“尽力而为”,既无法确定是否会引入新的安全漏洞,也无法实现安全性的可量化设计与验证度量。

为突破这一窘境,亟需跳出现行安全防御范式,必须认识到网络安全问题的本质多由内生性矛盾所致,而矛盾只可能演化或和解,不可能通过任何修修补补的方式彻底消除。在此基础上需要研究新的普适性理论、建立新的实践规范、开辟新的技术路径,从而构建一种全新的安全防御范式。

3 智能网联汽车内生安全理论与技术架构

3.1 不完全交集原理

从网络攻击的角度来看,网络攻击的成功严重依赖于目标系统的确定性、静态性和相似性,攻击链任何环节的变化都有可能导致攻击目的无法达成。因此,对于网络防御来说,能否改变目标系统的确定性、静态性和相似性,使得攻击者无法建立起有效的攻击链,是实现成功防御的关键,换言之,动态性/随机性(dynamics/randomness,D)、多样性/异构性(variety/heterogeneity,V)、冗余性(redundancy,R)是构建网络安全防御3个关键要素。

当前,功能安全与网络安全业界已经认识到三要素的重要性,但并未建立起如何利用三要素的组合关系有效防范未知威胁和破坏的系统性理论。本文运用“不可能三角”分析模型[6]和三元交集描述,提出了不完全交集原理(incomplete intersection principle,IIP),尝试为利用网络安全防御三要素防范未知威胁提供理论分析基础,如图4所示。

图4 未知安全问题防范不可能三角Fig.4 Unknown security problem prevention impossible triangle

不完全交集原理：如果D、V、R域不存在任何交集或只存在任意两两的交集,则不能应对基于目标对象内部未知漏洞/后门的网络攻击。换言之,在不依赖先验知识的条件下,只要DVR三者间不完全相交,就无法防范网络空间未知安全威胁问题。

D域、R域和V域分别代表三要素中的动态性/随机性、多样性/异构性和冗余性。当D域、R域和V域各自单独存在时,D域将没有作用对象或只有单一作用对象的动态性无工程应用意义,R域对基于未知共模漏洞/后门的攻击或共因故障无效,而V域在欠缺调度机制时没有实际应用效果。

DV域即动态性与多样性的连接,在安全技术领域的典型技术为移动目标防御(moving target defense,MTD)。其防御网络攻击的前提条件为存在功能等价的多样化的执行体,且任何执行体中的漏洞对防御方而言是未知的,随机性地变化提供当前服务功能的执行体,使得利用或发现漏洞具有不确定性[7]。这种模式最大的问题是多样化执行体中只要存在一个防御者未知的攻击者后门,通过内外配合方式,攻击者仍然可以达成里应外合的网络攻击。

DR域即动态性与冗余性的连接,在安全技术领域的典型技术为动态同构冗余。其防御网络攻击的前提条件和防御的原理为目标对象由多个完全相同的执行体构成,判决或判识机制能够识别差模表现执行体,动态调度机制可以切换或移除差模表现的执行体,从而达到只要目标对象中存在差模表现的执行体都可以被识别和移除的效果。但是,如果目标对象执行体间存在未知的共模漏洞/后门或共因故障,那么防御机理不成立。

从以上分析可以看出,如果一个防御系统不能实现动态性(D)、多样性(V)和冗余性(R)完全相交的话,该系统就不具备应对防范未知安全威胁和破坏的能力。

3.2 具有内生安全性的动态异构冗余架构

基于上小节提出的不完全交集原理及定性分析,提出了内生安全存在性定理,或称DVR完全交集定理,即如果一个目标对象同时具备动态性、多样性和冗余性功能,则即使在缺乏先验知识条件下,也能有效应对任何未知的网络安全或功能安全威胁(详细的证明过程见文献[8])。内生安全存在性定理表明,如果能够将基于未知内生安全共性问题的人为或非人为摄动转换为DVR域内差模或共模性质的扰动,则内生安全在理论上存在。

本文根据内生安全存在性定理,发明了一种DVR完全相交的架构：“动态异构冗余”(dynamic heterogeneous redundancy,DHR)架构,如图5所示。在DHR构造中,周围一圈为其反馈控制回路,里面的部分为可重构的异构冗余执行系统,Si间互为异构但具有等价功能Pi,这两部分构成了一个DVR完全相交一体化的控制环路。DHR架构自然地引入动态性、多样性和冗余性等安全防御要素,使得基于构造的运行场景具有防范未知威胁的能力。进一步地,该架构能够将不同性质、不同功能和不同扰动方式的错误失效或网络攻击转变为DHR空间二类性质相对单调的差模和共模问题,为应用成熟的容错理论与自动控制技术解决或规避这些问题提供了基础性的支撑,从而能够将SSIP中网络攻击带来的不确定性失效与软硬件随机性失效归一化为可用概率表达的广义鲁棒控制问题,使安全性指标达到可量化设计和可验证度量的程度[9]。理论上,完全DHR构造能够在不依赖(可融合)外部先验知识和附加防御措施的情况下,100%的抑制构造内以差模形态呈现的不确定扰动,并能使共模逃逸概率可控[8]。

图5 动态异构冗余架构Fig.5 Dynamic heterogeneous redundant architecture

3.3 面向智能网联汽车SSIP的DHR架构分析

智能网联汽车的关键软硬件部件中,例如高级驾驶辅助系统(advanced driver assistance system,ADAS)等部件,既面临着软硬件故障带来的驾驶安全风险,也面临网络攻击导致的安全风险,是一种功能安全与网络安全交织的关键组件,因此,可以被称为一种SSIP组件。

对这一类部件的理想安全保障方案是一体化增强,既能增强功能安全,又能同时增强网络安全,然而实际上却是很难二者兼顾。主要原因在于,对这类SSIP组件来说,其功能安全和网络安全保障措施往往具有非常复杂的多重关系,二者既有相互独立、相互依赖、相互增强的时候,也有相互矛盾的时候。尤其是相互矛盾关系,将使二者面临“顾此失彼”的窘境。例如,将防火墙、入侵检测等经典网络安全措施部署到SSIP组件上,的确能够大幅增强其网络安全防御能力,但从功能安全角度来看,这些防御措施本质上属于“附加式”措施,它们的部署并没有为组件的本征功能带来增强,也没有为组件的可靠性和性能进行提升,反而会带来新的故障隐患,例如,防火墙的严重故障能够造成组件通信中断,带来严重的功能安全(Safety)事故,或者防火墙过高的处理时延可能会给实时性要求高的SSIP组件带来功能安全风险。

即使没有上述的矛盾性问题,防火墙、入侵检测等经典“附加式”网络安全技术囿于基于先验知识和已知特征的防御本质,也无法实时有效地应对基于未知漏洞/后门等“未知”网络安全威胁或破坏,很难为智能网联汽车这种高安全性需求载体提供所需的确定性网络安全保障。

公开文献查证表明,DHR架构是目前唯一能够从构造层面融合实现动态性(D)、多样性(V)和冗余性(R)的新型安全架构,能够赋能系统本征功能始终收敛于一个可有效应对当前不确定网络攻击和随机性失效影响的运行环境,具备对未知安全威胁的有效防范能力,表现出安全性可“量化设计、验证度量”的“弹性”。

DHR架构为智能网联汽车的SSIP组件一体化安全保障开辟了新路径。DHR架构不仅“天生”具有“异构、冗余”特性带来的高可靠性,能支撑功能安全需求,而且基于输出反馈机制的“动态”特性的引入及其与“异构、冗余”特性的融合,还能有效应对未知漏洞、后门等网络空间不确定威胁,为破解SSIP提供全新的解决方案。DHR架构可以很好地兼容各类经典安全技术,本质上是用一个技术架构以融合方式为各类CPS的SSIP组件提供了一体化的高可靠、高可信和高可用性能保障。不仅如此,基于DHR架构赋能的智能网联汽车SSIP组件,还可以极大地降低系统维护门槛和全生命周期运行成本,具有显著的效费比优势。

与防火墙、入侵检测等经典“附加式”网络安全技术相比,DHR架构固有属性决定其具有承受、恢复和适应各种故障、攻击的“弹性”能力,具有“构造决定安全”的内生性安全机理。内生安全DHR架构可以成为智能网联汽车和车联网设施网络弹性工程的“钢筋骨架”,天然可以接纳各种附加或传统安全技术,如果将加密认证、防火墙、区块链、人工智能、大数据、入侵检测等经典防御措施,当作“混凝土砼料”加到DHR架构中,则能使车联网基础设施或智能网联汽车获得“钢筋混凝土”般的广义功能安全质地。

4 内生安全理论的技术实践

从2013年基于内生安全机制的网络空间拟态防御概念提出伊始[10],到《网络空间拟态防御导论》[11]、《网络空间拟态防御原理—内生安全与广义鲁棒控制》[9]《网络空间内生安全—拟态防御与广义鲁棒控制》[8]《Cyberspace mimic defense：generalized robust control and endogenous security》[12]等4部中英文专著的陆续出版,标志着网络内生安全理论体系从创建逐步走向了成熟与完善。与此同时,内生安全技术也逐步走向实践与应用。2018年,拟态构造的路由器/交换机、防火墙、web服务器、文件管理系统等系列化内生安全产品上线使用。

2018年,紫金山实验室创建了面向全球开放的网络内生安全试验场,如图6所示。开创内生安全产品网络安全“黑盒、白盒、登顶”众测新模式,通过设立“赏金猎人”挑战赛,验证内生安全产品的安全性。同时,从2018年首届“强网”拟态防御国际精英挑战赛开始,连续5届比赛,大量国内外知名“白帽黑客”战队纷纷向内生安全系列产品发起了挑战。各款内生安全产品至今没有被任何一支战队实现体系化的破击,充分验证了这种网络安全防御新范式的有效性、普适性和先进性。

图6 网络内生安全综合实验场景Fig.6 Comprehensive experiment scenarios of network endogenous security

近年来,内生安全理论与技术赋能的行业门类逐年增加,智能网联汽车就是其中一个典型代表。毋庸置疑,随着汽车智能化、网联化的加速,汽车的网络安全风险将随之不断攀升,功能安全、网络安全甚至信息安全已经逐步成为了汽车设计、开发、生产、应用、运营、维护等全生命周期活动中不可或缺的关键要素。在此过程中,广义功能安全问题(SSIP)正日益加剧,成为新时代智能网联汽车发展的重要特征。而现实情况是,功能安全与网络安全长期各自独立“生长”,两个学科方向、两种机理与成因、两类风险和技术、两种文化与两方力量的协同都处在初级阶段,急需一体化安全的基础理论与核心技术支撑。

我国正在建立智能网联汽车内生安全的整套理论和技术体系,为一体化解决功能安全和网络安全问题提供了新路径[13]。在实践层面,我国已研制出国际首套内生安全ADAS控制系统,如图7所示;首台内生安全车载网联T-BOX,如图8所示。并在宇通客车和厦门金旅自动驾驶客车上完成了原理验证。在紫金山实验室举办的第四届“强网”拟态防御国际精英挑战赛中,内生安全ADAS控制系统经受住了48支精英国际战队72小时内发起的50余万次网络攻击。在第五届比赛中,内生安全车载网联T-BOX经受住了国内外60支精英战队在72小时内发起的近40万次的网络攻击。这有效证明,内生安全理论与技术可以为智能网联汽车行业提供一套切实可行的防御新理论、新范式、新方法。

图7 内生安全ADAS控制系统Fig.7 Endogenous security ADAS control system

图8 内生安全车载网联T-BOXFig.8 Endogenous security vehicle connected T-BOX

5 结束语

内生安全技术赋能智能网联汽车及其相关基础设施,能够满足相关行业从软硬件系统到网络空间各层面功能安全与网络安全一体化部署之需求,提供可量化设计、可验证度量的一体化网络弹性能力。理论和实践都已经证明,“开放性与安全性、先进性与可靠性、自主可控与安全可信、功能安全与网络安全”的矛盾,能够在内生安全技术架构内得到高度的统一。

面对汽车行业正在经历的智能化、网联化变革大潮,要将软硬件故障失效和网络攻击引发的SSIP问题一体化破解,不仅需要打破常规的解题思路,提出创新的理论体系、技术架构、关键技术、管理模式等,也需要敢于开创中国安全技术引领行业全面发展的产业决心和动能。