摘要
新的法律和技术,以及诸如卡车司机短缺等长期存在的问题,推动了自动驾驶领域的发展,进而带来了新的网络风险。我们介绍了针对控制中心监管的 4 级自动驾驶系统(ADS)的网络安全风险分析结果,该系统模型是我们通过与一家全球卡车制造商进行专家访谈而创建的。
具有高影响等级的典型损害场景包括视频数据泄露、行驶中自动驾驶系统功能丧失、危险驾驶操作以及在设计运行域之外激活系统。我们已识别出 200 多个威胁场景,这些场景由威胁项目特定部分的主要攻击步骤以及确定攻击者如何访问这些部分和攻击者类型的准备步骤组合而成。在不考虑控制措施的情况下,这些威胁场景的发生会导致 65 个重大风险。
我们建议从两方面应对这些威胁场景:一方面是关于实施相关方面和攻击者模型的声明;另一方面是安全控制措施,如系统故障检测,以及安全控制措施,如数据的可靠传输。
最后,我们详细阐述了从分析中提炼出的原则,这些原则可应用于其他自动驾驶系统的网络安全风险分析。
1、引言
如今,关于自动驾驶系统(ADSs)的使用正在进行大量研究。特别是在卡车领域,SAE J3016 4 级自动驾驶系统的使用似乎不可避免,因为近年来卡车司机数量急剧减少。2021 年德国通过了一项法律,允许在特定条件下,如在控制中心(CC)的技术监管下,在批准的运输区域内运营自动驾驶车辆。
作者感谢德国联邦经济事务和气候行动部通过在 "新车辆和系统技术" 研究计划中资助 ATLAS-L4 项目对本工作的支持。
新技术的使用带来了新的网络风险。联合国第 155 号法规和国际标准 ISO/SAE 21434为解决汽车领域的这些网络风险提供了基本框架。然而,关于如何保护 4 级自动驾驶系统免受网络攻击,特别是在枢纽到枢纽运输以及联网和自动驾驶卡车方面,缺乏具体指导。我们旨在通过介绍使用模块化风险评估(MoRA)方法对控制中心监管的卡车 4 级自动驾驶系统进行的网络安全风险分析(CRA)结果来填补这一空白。
为此,我们在第 3 节介绍 MoRA 方法。然后在第 4 节呈现我们的网络安全风险分析结果,首先在第 4.1 节进行项目定义。第 4.2 节规定了网络攻击可能对项目造成的损害场景。此外,第 4.3 节详细阐述了关于范围和攻击者模型的声明以及控制措施及其效果。随后,在第 4.4 节,我们呈现风险值最高的威胁场景,并说明应实施哪些控制措施将其降低到可接受水平。最后,在第 5 节,我们总结研究结果,并详细阐述从我们的网络安全风险分析中提炼出的可应用于其他自动驾驶系统网络安全风险分析的原则。
2、相关工作
目前,从安全角度来看,还没有统一的自动驾驶系统模型,但在文献中可以观察到一些共同特征。风险分析和自动驾驶系统安全挑战探索中经常使用由感知、网络和自动驾驶系统应用 / 控制组成的简化模型。在更详细的模型中,自动驾驶系统被描述为一个流程,其中 GPS、激光雷达或摄像头等传感器检测环境状态,并可能与补充信息融合。然后,这些数据用于目标检测 / 跟踪和定位,接着用于评估和行为预测,进而为规划提供支持,最终为控制模块提供动力以操作执行器。这些操作随后会导致新的环境状态,从而重新启动控制循环。该模型通常通过车与万物(V2X)通信进行扩展,如地图更新或车队行驶通信。多位作者通过研究已公布的攻击和防御措施来分析联网和自动驾驶车辆(CAVs)的安全性。他们的分析可分为感知、控制、车载通信和 V2X 通信四个领域。对于感知攻击,全球导航卫星系统欺骗或超声波干扰很常见,并且越来越多的出版物关注对解释激光雷达或摄像头数据以检测障碍物、道路使用者或交通标志的机器学习模型的攻击。在控制领域,已知有几起针对电子控制单元(ECUs)的攻击,由于远程信息处理和信息娱乐系统的联网特性,攻击重点放在这些系统上。车载通信仍使用 CAN、LIN 和 FlexRay 等协议,这些协议在设计时并未考虑安全性。因此,这些协议容易受到诸如窃听、欺骗或操纵(S/M)攻击等威胁。V2X 涵盖范围广泛,从密钥卡和锁定系统之间的通信开始,这些通信众所周知是脆弱的。扩展到车对车或车对基础设施通信也为新的攻击可能性开辟了途径,例如女巫攻击或假冒攻击。
一种经常被引用的网络风险分析方法是 RACE,由 Boudguiga 等人提出。他们扩展了 EVITA 框架,改进了攻击树和攻击技术,并将攻击方法限制为五种类型。然后,风险计算为可控性与严重性和攻击可能性乘积的总和。然而,他们没有对联网和自动驾驶车辆进行详细分析,而是在后续论文中进行了更深入的研究。Park 等人专注于简化风险分析过程。为了计算风险,他们将概率、影响、暴露和恢复这四个风险类别相加,而每个类别又由三个风险因素组成。对这些因素进行加权,然后评估以确定类别的分数。他们的分析重点关注联网和自动驾驶车辆的主要功能:汽车空中下载(OTA)功能和碰撞避免。在他们的方法中,OTA 的初始风险很高,通过检查已知漏洞特征、验证软件签名、使用入侵检测和防御系统(IDPSs)以及传输加密,将其降低到次要风险。对于碰撞避免功能,初始风险较低,通过添加入侵检测和防御系统、安全闪存和启动以及安全 OTA 补丁,将其降低到可忽略不计的水平。Cui 等人首次在他们的 VeRA 方法中考虑了人类控制能力和车辆自动化水平,该方法还侧重于效率和易用性。VeRA 将风险描述为攻击概率和严重性的乘积,并增加了人类控制因素。为了计算攻击概率,评估必要的设备和知识,严重性则在安全、隐私、财务和运营类别中进行评估。对于人类控制,考虑驾驶员的经验和车辆的自动化水平。Cui 等人通过案例研究测试了 VeRA,并将其与其他方法进行了比较。评估了三种不同的自动化水平和两个功能:第一个功能是认知驾驶智能系统,由七个子功能组成,对其分析了 116 次详细攻击。第二个功能是车辆操纵系统,由三个子功能组成,对其分析了 264 次详细攻击。
3、方法
我们选择 MoRA 方法是因为它具有科学合理性,符合 ISO/SAE 21434 标准,并且已在汽车行业得到应用。图 1 展示了其主要活动。
图1:MoRA的主要活动,并对ISO/SAE 21434术语进行了改编。我们CRA的风险矩阵显示在右下角
在项目定义中,将评估目标(TOE)划分为其功能、数据、组件和数据流。此外,将关于范围和攻击者模型的假设定义为声明。在资产识别和影响评级中,识别安全、财务、运营和隐私影响类别中的损害场景。这些场景是在攻击者违反资产的机密性、可用性或完整性等安全属性时发生的。每个损害场景都被赋予一个影响等级。对于每个资产的网络安全属性(CSPA),规定可能的损害场景。下一个活动识别对资产网络安全属性的威胁、实现这些威胁的攻击路径以及缓解这些威胁的控制措施。使用基于攻击潜力的方法估计每个威胁和控制措施的攻击可行性评级。威胁和控制措施目录可用于在多个网络安全风险分析中获得可比结果。在最后一个活动中,根据定义的风险矩阵,将所有受威胁资产网络安全属性的影响评级与威胁的攻击可行性评级相结合,确定每个威胁的风险值。
4、4级自动驾驶系统的网络安全风险分析
在以下小节中,将呈现我们网络安全风险分析中最相关方面的摘要。
4.1 项目定义
我们基于与一家全球卡车制造商员工的专家访谈创建了自动驾驶系统的系统模型。自动驾驶系统由六个主要组件组成:感知、预测、规划和控制形成控制循环,实现环境感知和在设计运行域(ODD)内的自动驾驶。此外,系统管理监控自动驾驶系统相关组件的健康状况,并在必要时启动最小风险操作(MRMs)。此外,任务控制建立与外部控制中心的通信。表 1 详细列出了项目的功能、数据和组件,架构概述如图 2 所示。
图2:显示组件及其连接的ADS图;IPC代表进程间通信
表 1:评估对象(TOE)的功能、数据和组件
4.2 损害场景
如果攻击者成功违反评估目标部分的机密性、完整性或可用性等安全属性,可能会在安全、财务、运营和隐私影响类别中引发多个损害场景,如表 2 所示。
表 2:评估对象(TOE)的损害场景;影响类别:S - 安全、F - 财务、O - 运营、P - 隐私;影响等级:0 - 可忽略、1 - 中等、2 - 重大、3 - 严重
图3:通信序列显示了每个数据流的发送方和接收方,分为三个功能
4.3 声明和控制措施
威胁场景通过声明来处理,这些声明要么减轻或改变损害场景,要么对攻击可行性评级产生影响。声明涉及分析范围,例如 "对控制中心的攻击不在范围内",或攻击者模型,例如 "调整攻击的范围有限"。此外,声明中还规定了在评估目标开发过程中必须验证的重要实施相关方面,例如 "有选择地考虑远程攻击",该声明规定了具有无线接口的电子控制单元连接到哪个车辆总线。表 3 列出了这些声明。
表 3:评估对象(TOE)的声明;DS - 损害场景;AF - 攻击可行性评级;R - 风险值;">" 表示 "设定为";删除线表示 "移除";{ } 表示所有受影响的值
威胁场景还通过控制措施来处理,这些控制措施对损害场景或攻击可行性评级产生影响。安全控制措施(如系统故障检测)以及安全控制措施(如数据的可靠和加密传输或安全关键组件的拒绝服务(DoS)保护)对于将风险值降低到可接受水平是必要的。最相关的控制措施如表 4 所示。
表 4:为评估对象(TOE)提议的控制措施;DS - 损害场景;AF - 攻击可行性评级;">" 表示 "设定为";删除线表示 "移除";{ } 表示所有包含的值
4.4 威胁场景和风险
评估目标的安全属性受到总共 216 个威胁场景的威胁,这些场景由 84 个主要攻击步骤和 13 个准备步骤组合而成。主要攻击步骤系统性地威胁评估目标的数据流和组件的机密性、可用性和完整性,而准备步骤确定攻击者如何访问这些数据流和组件(例如,物理访问或远程访问)以及攻击者的类型(例如,车辆所有者 / 改装者或外部攻击者)。表 5 展示了自动驾驶系统的一些最关键威胁场景的摘要。
表 5:评估对象(TOE)的威胁场景;IR - 影响等级,S - 严重,Ma - 重大;AF - 攻击可行性等级,H - 高,M - 中;Rb - 控制前的风险值
考虑声明和控制措施后,这些威胁场景的发生仅导致一个重大风险。剩余的风险值为 3 的风险涉及对任务控制软件漏洞的利用,任务控制是外部通信的端点。在本网络安全风险分析的背景下,不排除这个可远程访问的组件因软件漏洞而被攻破的可能性。然而,为了尽可能降低可能性,建议采取针对远程攻击的强化措施,包括软件的稳健实施、遵循安全编码指南、进行网络安全(渗透)测试和代码审查。此外,通过控制中心对虚拟传感器数据进行端到端签名并在感知中进行验证,可以防止安全影响。
5、结论
5.1 进行自动驾驶系统网络安全风险分析的原则
我们已识别出 18 个损害场景、216 个威胁场景、11 项声明和 20 项控制措施,并在与一家全球卡车制造商的多次讨论中对其进行了完善。我们从网络安全风险分析中提炼出以下原则,以帮助未来的网络安全分析师关注其自动驾驶系统网络安全风险分析的关键方面。
如果通过在移动连接、在线总线或可通过从车辆外部轻微破坏访问的车辆总线上窃听原始视频馈送可能导致视频数据泄露,则必须通过控制措施充分缓解违反资产机密性的威胁场景。
如果通过在线总线上的数据丢失或通过在线总线对组件进行拒绝服务攻击以关闭其功能可能导致行驶中自动驾驶系统功能丧失,则必须通过控制措施充分缓解违反资产可用性的威胁场景。如果通过对可通过外部无线接口直接访问的组件(在我们的示例中为任务控制)进行拒绝服务攻击可能导致静止时自动驾驶系统功能丧失或错误触发最小风险操作,也需要控制措施。
对于所有在移动连接上传输的数据,必须通过控制措施充分缓解违反资产完整性的威胁场景。如果通过欺骗或操纵感知的输入信号(原始视频馈送、虚拟传感器数据)或自动驾驶系统控制循环中的信号(融合传感器数据、目标轨迹、规划轨迹)可能导致在设计运行域之外激活系统(改装兴趣),也需要控制措施。如果通过欺骗或操纵在线总线上的数据(虚拟传感器数据、基础车辆输入)或通过利用软件漏洞可能危及组件的远程攻击可能导致危险驾驶操作或在设计运行域之外激活系统,同样需要控制措施。特别是对于作为外部通信端点的组件(在我们的示例中为任务控制)更是如此。在这里,通过控制中心对虚拟传感器数据进行端到端签名并在感知中进行验证,可以防止安全损害场景。
在所有方面,必须考虑到攻击者可能能够攻击多个连接,因此诸如通过传感器融合验证传感器数据或针对在设计运行域之外激活自动驾驶系统的冗余等控制措施在这种情况下可能无效。
5.2 未来研究工作
为了全面了解网络风险,不仅要评估自动驾驶系统及其接口,还要评估所涉及的其他实体。一方面,这涉及在较低自主级别车辆中也使用但现在由自动驾驶系统控制的系统,例如执行器。另一方面,应针对专为 4 级自动驾驶设计的系统,如控制中心,进行详细的网络安全风险分析。