摘要
现代车辆由众多相互连接的、基于软件的 IT 组件构成,这些组件会经过极为严格的功能正确性测试,以避免出现安全问题(例如刹车突然失灵)。然而,与安全测试不同,针对潜在安全漏洞的系统性测试尚未成为汽车领域的常规流程。但这一现状可能使恶意攻击者有机可乘,入侵安全关键型 IT 组件甚至整个车辆。已有多项真实世界的演示表明,这种风险并非仅存在于理论层面。
面对这一挑战,本文首先介绍了一些潜在的汽车安全攻击及重要的汽车安全威胁,随后详细阐述了如何基于理论安全分析和实际安全测试,识别并评估汽车 IT 组件的潜在安全威胁。最后,我们提出了 "汽车安全评估防护等级"(ASEAL),该等级定义了多达四个离散的安全测试级别。
1、引言
过去几天里,全球各地的车主纷纷遭遇其联网汽车信息娱乐系统的异常行为:导航系统突然跳转至其他路线、系统自行拨打服务电话、显示屏出现骷髅头和大笑的白色面具图案。安全专家经快速分析发现,此类行为的根源是 GSM/LTE 接口存在严重安全漏洞,使得未授权人员能够访问信息娱乐系统的软件。但问题在于,该信息娱乐系统已通过多项测试,为何仍遗漏了这一漏洞?答案其实很简单:尽管进行了多项侧重于功能安全的测试,但包含理论分析和实际测试的系统性安全评估并未完成。
幸运的是,这目前仍只是一种潜在场景,尚未成为现实,但它清晰地暴露了汽车 IT 测试中的一个关键缺口 ------ 数十年来已成熟应用的现有功能测试流程并未涵盖这一领域。
然而,与功能测试不同,针对汽车 IT 组件的 IT 安全系统性评估仍处于非常早期的阶段。与此同时,将安全测试纳入工程流程的需求日益迫切,这不仅是因为上述引言中提到的此类场景,还源于相关研究活动以及公共机构不断提高的要求。因此,本文首先探讨了汽车行业进行系统性安全测试的优势及相关所需投入。在此过程中,我们考虑了近期汽车 IT 系统面临的各类安全威胁(从里程表篡改到转向系统远程控制等),并详细解释了为何完善的安全评估本可以防范大多数此类攻击。
本文的贡献主要体现在两个方面。首先,我们概述并简要介绍了嵌入式安全评估的不同方面,例如理论安全分析、实际安全测试和可验证安全验证(参见图 2),尤其聚焦于汽车车载 IT 组件。
图 1、实验室中用于测试嵌入式设备的实际测试装置
其次,本文的另一项贡献是首次提出建立所谓的 "汽车安全评估防护等级"(ASEAL),该等级定义了多达四个离散的安全测试级别,明确了某一 ASEAL 应包含哪些安全分析和测试,以及这些安全分析和测试应执行的 "深度"(参见第 6 节表 1)。
2、汽车安全威胁
本节概述了潜在的汽车安全威胁。要理解威胁的类型,首先需对可能成为攻击目标的各类汽车功能有基本了解。显然,存在直接影响驾驶安全的安全威胁(如操控方向盘或刹车),以及通过触发车辆异常行为干扰驾驶员的间接安全威胁。安全研究人员已成功演示,通过在车辆 CAN 总线上恶意注入相关消息,能够实现激活或禁用刹车、操控方向盘等操作。间接安全问题同样可能发生,例如在雨天或昏暗环境下,通过注入 CAN 消息禁用雨刷或关闭前大灯。
另一类安全威胁针对车辆中的授权功能。例如,里程表记录行驶距离,攻击者在出售二手车时,可能会篡改里程表数值以提高车辆价值。根据德国警方的调查,每年约有 200 万辆汽车遭遇里程表篡改,每辆车平均损失约 3000 欧元,每年总损失高达约 60 亿欧元。此外,电子控制单元(ECUs)中存储着关键数据,如碰撞数据、保险相关数据或保修指标等。此类数据也极易成为恶意篡改的目标。例如,碰撞发生前几秒内的车辆速度、安全带状态、刹车踏板位置等数据通常会被记录下来。事故涉事驾驶员可能会试图篡改这些记录数据,以伪造刹车已被踩下的假象。
此外,随着车辆互联的普及,越来越多的私人数据(如车辆位置、在线服务凭证、移动支付数据等)也被存储在车辆中。攻击者可能有意窃取此类数据,直接滥用或作为进一步发起攻击的跳板(例如,通过窃取车辆中存储的相关凭证攻击在线服务)。攻击者可利用蓝牙、Wi-Fi 等通信接口提供的服务中存在的安全漏洞,或通过物理接触车载诊断系统(OBD)端口、USB 端口或电子控制单元(ECU)本身,以无线方式提取此类私人数据。
还有一类威胁是车辆或高价值车辆组件(如安全气囊、车载主机等)被盗,例如通过滥用诊断指令重新编程新钥匙。这种功能通常被汽车维修商用于更换丢失的钥匙,但也可能被攻击者利用,为其要盗窃的车辆编程 "盗窃钥匙"。在其他一些案例中,攻击者能够向车辆发送控制消息,禁用警报并解锁车门,从而得以物理进入车辆内部。
3、相关工作
汽车 IT 安全测试方面已有大量研究工作,主要由独立安全研究人员开展。例如,汽车嵌入式系统安全中心(CAESS)已对车辆进行了实际安全评估,发现了诸多安全问题。他们成功利用这些漏洞实现了发动机或刹车禁用,以及获取车辆内部系统的远程访问权限。研究人员既对用于远程访问车辆的外部接口进行了安全测试,也对车载网络开展了相关测试。其他研究人员则展示了基于非诊断 CAN 消息的实际攻击,能够实现行驶过程中发动机熄火、刹车锁死或方向盘突然转向等操作。
近年来,各方纷纷呼吁原始设备制造商(OEMs)重视安全问题并开展更严格的安全测试。例如,参议员爱德华・马基(Edward Markey)已致信 20 家汽车制造商,询问其对安全的看法及相关承诺。此外,一个名为 "我是骑兵"(I am the cavalry)的独立组织发布了一份针对汽车制造商的五点安全指南,敦促制造商遵循该指南以提升汽车安全水平。这五点分别是:设计安全、第三方合作、证据收集、安全更新以及分段与隔离。
此外,每年都会举办一项活动,原始设备制造商(OEMs)会提供车辆供独立研究人员、工程师和学生进行汽车安全测试。该活动的核心目的是让参与者通过尝试发现漏洞,对车辆安全进行实际测试。原始设备制造商(OEMs)通常会派工程师参与活动,短期目标是了解具体的漏洞所在,长期目标则是学习在设计过程中考虑安全因素(即在设计解决方案时站在攻击者的角度思考)。
其他行业也在运用安全测试。例如,针对工业控制系统(ICS),有嵌入式设备安全评估(EDSA)认证,其中包含针对通信稳健性测试组件的模糊测试等实际安全测试内容。对于银行业,有 EMVCo 认证,其中包含一项安全评估流程,用于评估智能卡相关产品和基于集成电路(IC)芯片的令牌的总体安全性能特征及适用性。EMVCo 评估的目的是验证芯片产品提供的安全功能是否得到恰当实施。此外,包括渗透测试在内的实际测试会检查芯片、操作系统和应用程序之间的交互,以评估最终芯片产品是否能充分保护敏感机密信息及支付资产。
在计算机安全认证方面,存在一项名为信息技术安全评估通用准则(CC)的国际标准(ISO/IEC 15408)。要达到特定的评估防护等级(EAL),计算机系统必须满足特定的防护要求。这些要求通常包括设计文档、设计分析、功能测试和渗透测试。
在美国,政府安全需求由联邦信息处理标准(FIPS)进行规范。FIPS 验证的目的是向用户保证,某一技术已通过认可的第三方实验室在加密算法验证计划(CAVP)或加密模块验证计划(CMVP)下的严格测试,可用于保护敏感信息。FIPS 包含多项标准,例如 FIPS 140-2规定了加密模块的安全需求。
4、嵌入式安全评估
如第 2 节所述,现代车辆可能面临各类安全风险。通过对汽车 IT 系统(例如电子控制单元(ECU))进行深入的安全评估,能够在攻击者在实际场景中利用潜在安全漏洞并造成实际经济损失甚至安全损害之前,识别并防范这些漏洞。在开发周期中越早进行此类安全评估,成本和耗时就越低,同时能够及早发现并有效弥补安全漏洞。
汽车安全评估既可以通过理论方式进行,也可以通过实际方式开展。理论安全评估几乎可在汽车开发周期的所有阶段进行(且应当如此),理想情况下从仅有车辆 IT 系统描述时就开始。后续产品开发迭代过程中的安全评估可基于先前的评估结果高效开展。事实上,即使在相应 IT 系统批量生产后,理论和实际安全评估的需求也并未终止。由于新攻击手段的不断出现或安全研究的新成果,即使在实际应用场景中,IT 组件可能仍需要进行安全重新评估(并可能需要采取新的防范措施)。当然,实际安全测试只能在目标系统的实现版本(例如首个原型机)上进行。需要注意的是,安全评估可以为强制性安全保护措施(如设计安全或安全工程)提供支持,但不能替代这些措施。在以下章节中,我们将详细解释嵌入式系统中安全评估的不同方法(参见图 2),并针对三个主要类别简要介绍不同的子类别及其各自的优势。
图 2、嵌入式安全评估类别概述
4.1 理论汽车安全分析
理论安全分析在汽车领域正逐渐普及,其基于对相应系统规格说明和文档的书面评估,用于识别和理解汽车 IT 系统的安全漏洞。根据审查的细致程度和可用文档的情况,我们将其分为更高层次的设计分析和更深入的威胁与风险分析。
嵌入式安全评估
· 理论安全分析
o 设计分析
o 威胁与风险分析
· 实际安全测试
o 功能测试
o 漏洞扫描
o 模糊测试
o 渗透测试
o ......
· 可验证安全验证
o 美国国家标准与技术研究院(NIST)FIPS-140
o 通用准则(Common Criteria)
o ......
进行汽车系统的设计分析仅需该系统的理论描述。根据这些描述的详细程度(例如,从高层协议描述到明确的规格说明),分析的深度和准确性会有所不同。此类设计分析的目标是什么?首先,由于高层描述足以支持设计分析,因此该分析能够在开发的早期阶段识别系统中的系统性缺陷。其次,分析结果能够增强人们对系统架构合理性的信任。为实现这些目标,需检查文档中潜在的攻击点(例如,弱加密算法或不同标准协议交互不当可能引发的攻击)。
为进一步对已识别的漏洞进行分类,并找出系统中需要修复的重要缺陷,可对系统进行威胁与风险分析。此类威胁分析的重要步骤包括哪些?首先,基于可用文档对系统进行分析并识别可能的攻击(这一步骤与设计分析类似)。此外,还需对每个已识别攻击的实施难度进行评级,评级时需考虑所需时间、攻击者的专业技能、设备以及所需的访问权限等因素。同时,还需从对客户造成的安全、运营和经济损失等方面,估算攻击成功后的潜在损害。攻击难度和潜在攻击损害这两个数值共同决定了某一攻击的总体风险。导致高风险攻击的安全漏洞应作为优先修复的关键对象。
尽管如此,理论安全分析无法发现任何实现缺陷或实现与规格说明的偏差,也无法发现文档不充分的规格说明中存在的漏洞或第三方提供组件中隐藏的缺陷。为防范此类实现层面的问题,应在整个车辆开发过程中采用安全软件开发措施 。而如下一节所述,实际安全测试尤其能够用于识别可能的漏洞,弥补这一缺口。
4.2 实际汽车安全测试
实际安全测试能够发现可能被外部攻击者利用的实现错误,以及未指定的功能和与规格说明的差异。因此,全面的实际安全测试有助于增强人们对实现合理性的信任,同时有助于估算针对目标系统的实际攻击难度。一般而言,实际安全测试至少包含以下四个不同步骤(图 2)。
第一步是功能安全测试,测试系统内部所有与安全相关的功能的正确性和稳健性。该步骤与一般的功能测试类似,但重点关注安全功能。通过仔细执行该测试,能够发现可能导致潜在安全漏洞的实现错误、与规格说明的差异,尤其是未指定的功能。第二步是漏洞扫描,测试系统是否存在已知的常见安全漏洞(例如,已知的安全漏洞利用程序或存在已知缺陷的(安全)配置)。
模糊测试则更进一步,通过向目标系统系统性地发送畸形输入,检查未知的、可能危及安全的系统行为,以发现实现中的新漏洞。最后一步,为测试整个系统(包括软件和硬件)的安全性,可进行高度个性化的渗透测试。在渗透测试过程中,"专业人工测试人员" 会基于多年的 "黑客经验",以 "复杂的方式" 尝试利用早期步骤中发现的所有漏洞,旨在改变目标系统的行为。这些方法将在第 5 节中详细说明。
然而,实际安全测试(尤其是模糊测试和渗透测试)无法保证测试的完整性。受时间和资源限制,可能会遗漏较大的系统性缺陷。因此,实际安全测试不能替代理论安全分析,应始终辅以理论分析以识别可能的攻击路径。此外,应在整个开发过程中采用安全软件开发方法,尽早最小化总体攻击面。
4.3 可验证汽车安全认证
如第 3 节所述,安全认证并非新概念;尽管汽车行业目前没有直接适用的认证标准,但一套能够确保汽车系统达到特定安全水平的总体安全认证标准将极具实用价值。第 6 章将提出可验证汽车安全认证的相关建议。
要对一个系统进行认证,首先需要对该系统进行理论和实际分析,以了解其安全水平和风险状况。核心思路是,要达到某一认证等级,系统必须通过一系列测试。换句话说,安全认证能够确保所涉系统的规格说明、实现和评估过程均以标准化、可重复的方式进行,并达到特定的安全水平。因此,安全认证有助于比较不同目标系统的安全水平,并建立客户信任。
5、实际汽车安全测试方法
近年来的相关出版物主要关注理论安全评估,而未详细阐述实际安全测试的重要性。本节将弥补这一缺口,解释为何汽车行业尤其能从实际安全测试中显著获益。
如前所述,完善的理论安全评估能够发现并防范许多问题;然而,有时即使是设计良好的汽车系统,也可能存在实现不规范、配置不当或物理缺陷等问题 [20]。例如,安全访问的随机种子可能来自硬件寄存器,但在启动过程的这一阶段,该寄存器并无熵值,导致种子固定不变;因此,我们强调实际安全测试的重要性。
如图 3 所示,进行实际安全评估的技术多种多样。根据所需投入的时间和精力,这些测试的范围涵盖从针对已知漏洞的简单接口扫描,到用于从汽车组件中恢复机密数据的侵入式技术(如微探针技术)等。其他方法(如用于发现组件未知漏洞的模糊测试,或用于恢复加密密钥的功耗分析)则介于这两种极端之间。将所有这些方法结合使用,是发现汽车组件中可能被理论安全分析遗漏或未涵盖的安全漏洞的有效手段。
图 3、实际安全测试方法分类
所有这些方法都要求测试人员能够访问目标系统的实际软件和硬件(参见图 1)。此外,功能测试还需要系统的规格说明,而其他所有方法可能需要支持软件(例如,总线仿真工具)来运行硬件设备。同时,还需要专用的测试硬件和软件(例如,JTAG 调试器或专用信号发生器)。
5.1 汽车功能安全测试
汽车功能安全测试确保车辆 IT 系统中已实现的安全功能(例如,加密算法和认证协议)总体符合规格说明和标准要求。然而,这些算法不仅要根据规格说明测试其行为正确性,还要测试其稳健性。此外,还需测试(通常计算密集型的)安全算法的性能,以识别可能影响整体安全性能的潜在瓶颈。因此,功能安全测试能够确保安全功能的可靠性,防止功能缺陷产生可被利用的安全威胁。
在许多情况下,标准实现(如 OpenSSL)由于各种限制并不适用于汽车领域,因此汽车行业使用的加密和安全相关实现种类繁多。除了要考虑性能或尺寸限制外,还必须满足 MISRA-C 等安全标准。此外,汽车行业还使用多种特定的安全协议,例如安全闪存算法、安全通信、安全车载诊断系统(OBD)、防盗保护以及即将推出的车对万物(V2X)通信。这些安全实现必须经过全面的功能安全测试,这一点至关重要。
功能安全性通常通过将实现与官方测试向量(如可用)或独立实现进行对比测试来实现。许多加密算法可能存在特定的边界情况,这些边界情况可能导致安全漏洞(例如,数值实现中的细微缺陷仅在 40 亿次随机情况中出现一次)。必须使用专门构建的测试向量并通过长时间测试来验证这些边界情况。此外,许多现代加密方案和安全实现依赖于安全随机数生成器。为确保此类随机数源的安全性,需要进行广泛的统计测试。最后,在对性能和成本高度敏感的汽车环境中,性能测试有助于正确规划硬件规模,并优化选择安全算法和参数。
5.2 汽车漏洞扫描
漏洞扫描用于检查汽车系统的所有相关应用程序、源代码、网络和后端基础设施,以发现来自不断更新的已知汽车安全漏洞数据库中的已知安全缺陷。
漏洞扫描有多种不同形式。首先,可以扫描系统上运行的软件 / 固件代码,通过静态和动态分析识别缓冲区溢出和堆溢出等问题。根据相应分析工具的不同,这需要在源代码层面和二进制层面分别进行。需要注意的是,这两个层面的测试结果不一定相同。编译过程可能会引入更多安全漏洞(例如,在优化步骤中移除安全检查,或由于编译器存在缺陷)。因此,必须仔细检查编译器设置。
其次,可以扫描系统的开放端口和接口,以及这些接口上运行的可用服务。在汽车系统中,这包括传统的 IT 接口(如以太网、Wi-Fi 或蜂窝网络上的 IP 通信)。由于汽车系统通常会复用大量操作系统、网络协议栈、应用程序和库,而这些组件存在大量已知漏洞,因此可以像 OpenVAS那样自动测试这些漏洞,对这些接口进行扫描尤为有价值。扫描内容包括侦察性端口扫描和特定漏洞的深度扫描。此外,汽车环境还具有 CAN 等专用汽车总线系统,这些系统在传统 IT 领域没有对应的技术,但标准化程度很高。这意味着自动扫描工具非常适合用于初步了解漏洞情况。在这方面,诊断功能扫描值得关注,因为这些功能中可能包含文档不完善的安全关键功能(如开发或调试功能)。
漏洞扫描的第三种形式是分析整个系统的配置,以识别安全缺口(例如,无需认证即可访问关键功能)。自动扫描还可以测试是否存在多种认证机制保护同一关键功能的情况。总之,漏洞扫描能够确保系统抵御已知攻击,这些攻击很容易被攻击者尝试,因此发生的可能性极高。
5.3 汽车模糊测试
模糊测试是一种长期用于测试软件和 IP 网络的技术,通过向实现输入意外、无效或随机的数据,观察目标系统是否出现意外反应,从而发现新的漏洞。目标系统的反应可能包括异常输出、未指定行为,甚至崩溃。尽管现代车辆与普通计算机网络有许多相似之处,但模糊测试作为汽车目标系统的安全测试技术相对较新。事实上,电子控制单元(ECUs)可以被视为运行不同软件的小型计算机,通过 CAN、FlexRay 或 MOST 等不同网络类型连接。因此,将模糊测试作为安全测试过程的一部分应用于汽车目标系统,是非常自然的想法。
一般而言,模糊测试包括三个不同步骤:首先是生成目标系统的输入数据,其次是将输入数据传递给目标系统,最后是监控目标系统以检测程序流程中的错误。由于模糊测试在计算机领域应用广泛,因此已存在 Peach等模糊测试工具。Peach 具有强大的模糊测试生成器,可针对统一诊断服务(UDS)等不同协议进行个性化调整。模糊测试生成器生成的输入数据随后通过所需的传输协议传递给目标系统。通过监控目标系统以检测可能的漏洞,监控过程可包括检查返回值,以及使用调试器观察目标设备的内部状态。最后,专家必须分析所有识别出的异常行为,以检测可被利用的漏洞。此类可被利用的漏洞包括输入验证不足或未记录的功能(如开放的调试或配置接口)。OpenSSL 的心脏出血漏洞(Heartbleed Bug)就是一个著名的输入验证不足的例子,该漏洞由于未对长度参数进行双重检查,导致攻击者能够读取关键数据。
在汽车领域,模糊测试可应用于统一诊断服务(UDS)等诊断协议,或 CAN、FlexRay、MOST、LIN 等汽车网络协议。然而,基于 IP 的传统模糊测试目标在现代车辆中的作用正日益凸显。因此,汽车安全测试也能从传统协议和现代软件应用(如手机应用程序)的模糊测试经验中获益。
5.4 汽车渗透测试
汽车渗透测试的动机要么是知识产权保护,要么是保护依赖目标系统完整性以抵御物理在场人员攻击的授权功能。例如,防盗保护、组件保护、里程表篡改防范、功能激活保护、防范改装车辆的虚假保修索赔,或安全功能保护等。然而,在现代互联世界中,远程攻击已成为真实威胁,这也促使对所有通信渠道、后端系统和相关组织流程(例如,社会工程学攻击)进行渗透测试。
通常,物理设备的渗透测试始于全面的侦察,包括枚举接口、确定印刷电路板(PCB)上的组件及其连接、收集潜在攻击者可获取的规格说明,以及任何有助于后续攻击的信息。利用第一步获取的信息,可以规划进一步的攻击。第二步可能包括攻击本地外部接口(如 USB、串行端口)或硬件本身。要攻击硬件,测试人员通常会尝试寻找被忽略或未记录的调试访问接口,或获取对电子控制单元(ECU)内部接口(如内存总线)的访问权限。更先进的方法需要打开芯片封装并直接访问硅芯片。第三步,分析与设备相连的所有通信渠道(如 CAN 总线、以太网或 Wi-Fi),并利用这些渠道攻击目标设备。根据目标系统和渗透测试的范围,还可以对后端系统发起进一步攻击。渗透测试主要有三种具体形式:黑盒测试、白盒测试和灰盒测试。以下将详细介绍这些方法。
黑盒测试中,除了真实攻击者也能获取的信息外,几乎不向测试人员提供任何文档或规格说明。这种方法的优势在于能够非常真实地模拟实际攻击。但缺点是,渗透测试人员必须花费大量时间进行基础逆向工程,而且很可能无法发现更深层次的攻击路径 ------ 因为测试人员可能未绕过较容易的一线防御机制,而真实攻击者日后可能凭借运气、技术发展带来的更多公开信息,或投入比测试人员更多的资源,突破这些防御机制。
白盒测试中,会向测试人员提供被测设备的完整规格说明和文档。这意味着测试人员能够有针对性地攻击漏洞,并且拥有更多无需通过获取信息就能获得的资源。这两个因素都提高了测试效率。白盒测试的缺点是测试条件与实际攻击场景相差甚远,因此对攻击难度和发生可能性的估算可靠性较低。
灰盒测试介于黑盒测试和白盒测试之间。在灰盒测试中,测试人员会收到部分信息,这些信息可能与特定的重点子系统相关,或与特定攻击者(如内部人员)可能获取的信息相关。也可以采用分步方式,即测试人员在证明漏洞确实存在且可被利用(无需完全开发攻击手段)后,获得更多信息或访问权限。这种方式能够优化测试效率与真实性的平衡。
然而,渗透攻击不仅限于对设备硬件、软件和网络的攻击,还可能包括对组织实施层面的攻击(如社会工程学攻击或薄弱的组织流程)。
6、汽车安全防护等级
本章首次提出了所谓的 "汽车安全评估防护等级"(ASEAL),该等级定义了多达四个离散的安全测试级别,明确了:(i)安全评估范围的大小,即某一 ASEAL 必须执行哪些安全分析和测试;(ii)这些安全分析和测试必须执行的 "深度" 和全面性。ASEAL 的目标是使安全评估具有可比性,从而能够为每个汽车车载 IT 组件分配标准化的最低安全防护等级。因此,我们的 ASEAL 方法结合并扩展了用于车对车通信安全评估的、相对具体的 "信任防护等级",以及来自通用准则(Common Criteria)总体安全评估框架的、相对通用的理念,形成了标准化的汽车 IT 安全防护等级。
具体而言,我们根据所需的 ASEAL 等级(A、B、C 或 D),为每项理论安全分析和每项实际安全测试定义了评估范围和深度的最低要求。表 1 通过示例性分类和潜在的安全评估防护等级,初步(尚未完整)概述了这一理念。
表 1、示例性汽车安全评估防护等级(ASEAL)
以下将针对所提出的安全评估类型,给出四个示例性定义(即两项理论分析和两项实际安全测试),包括一些针对不同 ASEAL 等级的评估范围和深度的初步建议。
表 2、汽车安全威胁与风险分析的示例性 ASEAL 定义
表 3、安全部署与流程分析的示例性 ASEAL 定义
表 4、系统性汽车模糊测试的示例性 ASEAL 定义
表 5、汽车物理攻击测试的示例性 ASEAL 定义
当然,上述表格仅为初步的高层描述,用于展示核心理念。然而,最终的 ASEAL 方法(与通用准则(Common Criteria)不同)将:(i)基于典型的汽车安全风险案例,提供非常具体的细节和安全需求;(ii)限定最低安全需求,以防范所有合理的汽车安全攻击,但不会试图防范所有可行的汽车安全攻击(例如,情报机构或拥有几乎无限资源的网络战争参与者发起的攻击)。
7、结论与开放挑战
本文强调了汽车行业对系统性安全评估的迫切需求,并探讨了汽车 IT 组件理论和实际安全评估的不同方法。我们特别关注了汽车组件的实际安全测试(如汽车渗透测试),因为实际安全测试在汽车领域仍相对较新。
我们认为,理论和实际安全评估将成为标准化和强制性的流程,类似于 ISO 26262 中的安全测试,以满足最先进的产品责任要求,并保护各类新兴的汽车商业模式(例如,按使用付费模式)。当然,这需要原始设备制造商(OEMs)、供应商和安全专家共同努力,建立必要的汽车安全测试专业知识、测试标准和测试基础设施。
此外,我们提出了一种标准化的安全评估流程,提供四个不同的防护等级(ASEAL)。通过 ASEAL,能够确保特定的汽车 IT 系统已按特定的定义级别进行了安全测试。这有助于根据相应的安全风险,确保全球可比的最低安全保护水平,类似于如今的汽车安全完整性等级(ASIL)。