摘要
本文提出了一种新颖的汽车架构系统级安全性分析方法。随着汽车中软件数量的增加和联网程度的提高,汽车领域正面临着日益凸显的安全挑战。我们提出的方法能够对不同架构变体的安全性进行评估,可为设计过程中的决策者提供参考。首先,基于每个组件的参数(包括通过自动或手动评估得出的可利用性评分和补丁更新率),对汽车电子控制单元(ECUs)和网络进行系统级建模。对于任何特定的架构变体,构建连续时间马尔可夫链(CTMC)模型,并利用概率模型检测方法从机密性、完整性和可用性三个维度进行分析。所引入的案例研究验证了该方法的实用性,例如,可为电子控制单元制造商确定补丁更新率目标等参数提供依据。
1、引言与相关工作
在过去二十年中,汽车系统中的电子设备和软件数量迅速增长。如今,高端车辆最多可包含 100 个电子控制单元(ECUs)和多个异构总线系统,实现了从舒适性功能到主动安全功能的各类应用。
虽然功能和安全要求一直是汽车架构设计中的核心考量因素,但对于许多新兴应用而言,安全性正成为一项重大挑战。消费者和汽车制造商认识到车载云连接服务带来的诸多益处,这些服务使现代信息娱乐系统、自适应路线规划或软件空中下载更新等功能成为可能。然而,人们也清楚地意识到,这些应用存在遭受黑客攻击的漏洞风险。
在现有方法中,车辆网络通过外部接口处的防火墙来保障安全性,但内部安全性往往未被纳入考虑范围。一旦防火墙被攻破,攻击者便可自由访问整个网络。图 1 展示了这样一个潜在的攻击场景。
图 1、汽车架构中可能存在的漏洞利用示意图。正常运行状态下,泊车辅助系统(PA)会通过网关(GW)发送消息流 m,以此实现对动力转向系统(PS)的控制。若远程信息处理模块(3G)遭遇黑客攻击(-),攻击者可发送一条标识符与 m 完全相同(ID (m) = ID (m′))的消息流 m′,进而实现对转向系统的控制
研究表明,传统汽车架构在设计时未充分考虑安全性,因此具有极高的脆弱性。特别是,对安全关键控制功能的黑客攻击可能会导致严重甚至致命的后果。文献对不同攻击及其对控制功能的影响进行了建模,结果表明,如果驾驶辅助功能的通信未得到安全保护,攻击者可轻易篡改这些功能。目前已出现一些整合安全性与安全性的新技术,用于保护车载通信网络,如控制器局域网(CAN)和 FlexRay。在汽车领域,需高效实现内部总线的加密和认证功能,文献提出了一种认证方法。
现有汽车系统安全性的主流方法多针对单个组件,而本文提出的方法则聚焦于系统级分析。在系统分析方面,模型检测已被应用于计算机网络和协议的验证。但这些方法仅在对每个组件的漏洞都进行建模的情况下,才能检测出系统漏洞。然而,在设计阶段往往无法预知所有漏洞,因此,文献中提出的一种基于攻击成本的概率模型检测方法(用于拒绝服务(DoS)攻击分析)可对这种不确定性进行抽象。相比之下,本文的方法基于底层汽车架构,对包括协议 DoS 攻击在内的所有通信流量的安全性进行量化分析。
本文的贡献:本文提出了一种汽车架构系统级安全性分析方法。利用设计阶段已知的电子控制单元拓扑结构、通信网络和消息流信息,通过概率模型检测技术,能够从机密性、完整性和可用性三个维度对汽车架构的安全性进行量化评估。
第 2 节概述了所提出的框架,该框架包括以下三个步骤:
-
将所考虑的汽车架构转换为马尔可夫模型;
-
对组件进行评估,确定马尔可夫模型的转移率;
-
为模型检测器定义属性,以确定相应的安全值。
借助完整的马尔可夫模型和定义的属性,概率模型检测器可得出所分析架构的安全值。
第 3 节详细描述了该方法。我们将被测架构的粒度细化到子模块级别,涵盖所有网络接口、总线系统、电子控制单元和消息。将这些子模块转换为马尔可夫模型,从而将架构转化为一个图结构。图中的边通过概率率进行加权,这些概率率代表每个子模块的可利用性和补丁更新率。我们建议通过对每个子模块进行标准化安全评估来确定这些速率。利用带有指定速率的马尔可夫模型,定义评估架构的属性。我们的框架允许为架构中的任何子模块定义属性,从而能够在考虑整个架构的同时,评估所有相关的安全方面。
第 4 节展示了对一组示例架构的分析结果。我们获取并比较了三种架构变体的分析结果,同时展示了针对特定架构探索不同可利用性和补丁更新率的可能性。最后,在第 5 节总结之前,讨论了所提出方法的普遍适用性和可扩展性。
2、架构
以下首先对分析方法进行概述,在问题描述之后,详细解释分析流程的主要步骤。
2.1 问题描述
汽车网络由大量执行特定任务(如传感、计算或驱动)的电子控制单元组成。功能以分布式方式实现,需要通过 CAN 和 FlexRay 等不同的共享总线系统进行通信。特别是,一旦系统受到威胁,通过共享总线传输的预定义且通常未加密的消息流将成为主要安全隐患。
在汽车领域,组件或功能通常是独立开发的,之后再集成到架构中。虽然在子系统级的用例中可能会考虑安全性方面,但系统级的漏洞往往被忽视。为解决这一问题,所提出的框架旨在在设计和集成阶段回答以下问题:
· 组件漏洞对特定功能的安全性有何影响?
· 就安全性而言,某一架构设计决策相比替代方案是否更具优势?
· 在特定组件的实现过程中,应投入多少精力考虑安全性?
需要注意的是,本文关注的是系统级安全性,并未涉及电子控制单元内部的安全性方面,如安全启动、密钥存储等。
由于汽车架构是由众多不同组件组成的高度异构系统,因此必须在系统级对所有重要方面进行建模。例如,车辆中使用的通信系统在安全性支持方面存在很大差异,尤其是在可用性方面,因此需要为这些通信系统建立合适的模型。电子控制单元可能连接到多个通信总线,导致存在不同概率的潜在攻击路径。最后,为了表征电子控制单元和其他组件的安全属性,需要量化它们被利用的速率以及相应的补丁更新速度。为此,在系统建模时应考虑安全评估结果和汽车安全完整性等级(ASIL)值。
2.2 分析流程
汽车架构的安全性分析方法如图 2 所示,包括三个步骤:模型转换、组件评估和属性定义。最后,通过概率模型检测器确定架构的安全性。
图 2、所提框架示意图:(1)将架构转换为马尔可夫模型;(2)通过对每个组件的安全性评估确定转移率;(3)为模型检测器定义属性。最终,概率模型检测器会返回量化结果,为系统级决策提供支持
2.2.1 模型转换
为了能够从安全性角度处理架构,需将其分解为相关组件,包括总线、电子控制单元、消息、接口等。对于每个组件,通过马尔可夫模型定义其可利用性和补丁更新率。最后,将这些马尔可夫模型组合成一个单一系统,以便进行概率模型检测。根据所考虑的系统,这种转换可以灵活地扩展或调整。第 3.1 节将详细介绍一种具体的转换方法。
2.2.2 组件评估
与架构转换相对应,需要对各个组件的可利用性和补丁更新率进行评估,这些值将决定马尔可夫模型的转移率。对于可利用性,我们建议采用通用漏洞评分系统(CVSS),基于已建立的标准对组件的漏洞进行评估。考虑到组件的 ASIL 值,我们发现补丁更新率在很大程度上取决于组件的安全要求 ------ 软件更改可能需要昂贵的重新测试和验证。用户可以根据开发流程和现有数据调整这些速率。理想情况下,评估应在子组件级别进行,并纳入电子控制单元的安全元素,但本文采用了一种简化的基于组件的方法。该方法的粒度可以根据需要进行调整(见第 5 节)。第 3.2 节将详细介绍基于 CVSS 和 ASIL 的组件评估方法。
2.2.3 属性定义
通过定义特定属性,可以从安全性角度研究架构的特定方面。与稳态分析(分析系统在某个时间点收敛到稳态的情况)相比,这种分析更具优势。例如,某一属性可以是某一功能在 10 年内可被利用的累计时间。第 3.3 节将详细介绍如何定义合适的属性。
3、方法
本节将详细描述从架构创建马尔可夫模型(第 3.1 节)、通过组件评估为模型的边加权(第 3.2 节)以及定义属性以分析模型(第 3.3 节)的具体步骤。
在从架构创建模型时,我们根据存在的漏洞数量对电子控制单元和接口进行建模。新漏洞的发现速率为 η(例如,由安全研究人员发现),漏洞的补丁修复速率为 φ(例如,通过空中下载(OTA)更新)。网络和总线被视为被动组件,其安全性取决于所有连接的电子控制单元中最不安全的状态。消息则基于机密性、完整性和可用性这三个安全原则进行建模:
· 机密性:防止未授权实体读取消息;
· 完整性:防止消息被创建或修改;
· 可用性:防止消息被中断或删除。
每个原则都将根据消息的保护方式(无保护、加密哈希、加密)和传输所使用的通信网络分别进行分析。
示例:为了说明这一过程,考虑一个简单的架构 ------ 远程信息处理电子控制单元(3G)连接到 CAN 总线(参见图 1 中的 3G)。CAN 总线用于传输消息 m,该消息既不由远程信息处理电子控制单元发送,也不被其接收。将该架构转换为马尔可夫模型后,得到如图 3 所示的模型。这是一个非常简化的转换,未考虑所有电子控制单元、接口或消息状态,且每个模块仅考虑一个漏洞。
图 3、简化马尔可夫模型示意图,用于分析图 1 架构中消息 m 的机密性可利用性(nmax=1)。状态由 s = (s₃G, s_CAN1, s_mconf) 构成,每个原子状态 sᵢ代表组件 3G、CAN1 和消息 m(机密性维度)存在的漏洞数量
分析该模型可知,从安全状态 s₀=(0,0,0) 开始,远程信息处理单元被发现存在漏洞的速率为 η₃G。一旦发现漏洞,CAN 总线立即被视为可被利用(状态 s₁=(1,1,0))。远程信息处理单元可以通过速率 φ₃G 进行补丁修复。如果未及时修复,且用于保护消息 m 的漏洞(远程信息处理电子控制单元没有相关密钥)被发现(速率为 η_mc),则系统进入状态 s₂=(1,1,1),此时消息 m 可被利用。从此时起,消息 m 的内容不再具有机密性,因为其内容可能已被篡改。为解决这一问题,需要对消息保护机制和远程信息处理单元进行补丁修复,在示例模型中,对应的修复速率分别为 φ_mc 和 φ₃G。或者,也可以限制攻击者的访问权限。
这是一个非常简化的示例,仅使用了我们提出的建模技术的一小部分。接下来,将详细解释完整的转换规则、组件评估以及利用概率属性进行模型分析的方法。
3.1 模型转换
为了能够利用概率方法分析汽车通信架构,需要将其转换为马尔可夫模型。我们的转换过程考虑了所有通信参与者(即电子控制单元)和互连(如总线系统和网络)。此外,为了分析不同通信系统的影响,我们将每个电子控制单元按其对应的通信系统拆分为多个接口。同时,我们还会对系统中传输的消息进行分析。
3.1.1 术语定义
为了对架构进行安全性分析建模,我们需要定义以下集合:所有电子控制单元 e∈E、所有内部总线 b∈B,以及每个电子控制单元 e 的所有接口集合 I_c。接口 i_b∈I_c 将电子控制单元 e 与总线或外部网络 b∈B_c 连接起来。因此,电子控制单元可定义为 e={I_c, B_c},总线定义为 b={E_b}(其中 E_b 是总线上的电子控制单元集合)。为了分析消息 m,需要明确发送电子控制单元 s_m、接收电子控制单元集合 R_m 以及消息传输所经过的总线集合 B_m,因此消息 m 可定义为 m={s_m, R_m, B_m}。这些数据可从架构设计中获取,包括完整的消息调度集合。每个模块在某一时刻考虑的最大漏洞数量定义为 n_max。
3.1.2 电子控制单元与接口
为了对架构进行建模,需要将每个电子控制单元拆分为多个接口。对于每个接口 i_b,基于概率可利用性速率 η_i_b 单独分析其可利用性 ε(i_b)≥0------ 如果总线可被利用,则漏洞数量 n 会增加:
电子控制单元的可利用性 ε(e) 基于其所有接口的可利用性:
接口 i_b 的安全漏洞补丁修复基于补丁更新率 φ_i_b,其与上述关系相反:如果 ε(b)>0,且 i_b∈I_c,0≤n<n_max,则:
3.1.3 总线与网络
类似地,CAN 总线 b_c 的可利用性 ε(b_c) 取决于所有连接的电子控制单元的可利用性:
如果使用 FlexRay 总线 b_f,则在电子控制单元 e 能够在总线上自由传输之前,还需要先利用总线守护者 i_bg:
直接连接到互联网的网络或总线(如 3G)始终被视为可被利用,因为攻击者可以持续访问这些网络或总线。我们将其可利用性值恒定设为 1 以建模这一特性:
3.1.4 消息
消息的可利用性分为可用性 A、完整性 G 和机密性 C 三个影响类别。可用性在很大程度上取决于所使用的通信系统,而完整性和机密性则基于消息的保护方式。具体而言,加密哈希和加密技术分别针对这些类别提供保护。当使用 CAN 总线时,如果消息传输所经过的任何总线被利用,则无法保证可用性:
即使消息经过加密,如果发送或接收电子控制单元被利用,也无法保证消息 m 的机密性和完整性。为了确保实时性能,我们假设采用对称加密,因此消息加密密钥同时存储在发送和接收电子控制单元中。本文未分析安全密钥存储,但可将其作为子模块集成到电子控制单元模块中。机密性 C 和完整性 G 的行为类似,但取决于消息 m 所使用的保护机制。在本节的其余部分,将展示机密性的转换规则。对于消息完整性,只需将公式中的 C (m)/η_C/φ_C 替换为 G (m)/η_G/φ_G 即可,规则同样适用。
如果发送方或接收方可被利用,则消息的机密性可能会受到破坏:
此外,任何位于消息 m 传输所经过的总线上的电子控制单元都可能对机密性发起攻击。此类攻击的概率取决于所使用的加密算法的强度及其实现方式。为描述这一行为,我们定义以下关系:
因此,只有当所有传输网络上的所有电子控制单元都不可被利用时,消息才不可被利用。
上述操作的逆过程描述了消息加密 / 哈希中漏洞的补丁修复:
至此,完成了将架构转换为马尔可夫模型状态的过程。
3.2 组件评估
为了能够分析上一节生成的马尔可夫模型,需要为模型的边分配权重。这些速率表示设备随时间被利用的概率以及设备的补丁修复速率。
3.2.1 可利用性速率
在本文中,我们通过调整后的通用漏洞评分系统(CVSS)来确定速率。CVSS 是一种开放标准,用于评估软件系统中的漏洞,由美国国家标准与技术研究院(NIST)维护。它可以基于多个子评分和类别的评估结果,生成组件的安全评分。可利用性子评分中使用的标准与汽车领域接口所需的标准相似。我们利用可利用性子评分(见表 1)并进一步调整以适应汽车领域。基于子类别评分,计算可利用性评分 σ:
我们将可利用性速率标准化为 1 年。
表 1、CVSS 可利用性子评分的类别及其在汽车网络中的解释
示例:以远程信息处理电子控制单元的 3G 接口评估为例。由于该设备连接到互联网,访问向量为跨多个网络(AV=1)。由于其暴露面较广,我们假设该设备经过加固以抵御攻击,因此访问复杂度为高(AC=0.35)。此外,假设访问该设备需要多个认证步骤(Au=0.45)。根据公式(11),计算得出 σ=3.15。基于公式(12),可利用性速率 η=1.85。
在本文的其余部分,我们将基于 CVSS 的评估结果用于所有电子控制单元的接口。
3.2.2 补丁更新率
向车辆提供补丁的数量和速率取决于多种因素。首先,补丁的开发时间为补丁更新率设定了上限。此外,如果需要修改与安全相关的功能以实现安全补丁,则可能需要进行大量测试。因此,我们基于待补丁功能的 ASIL 等级来分配补丁更新率。与 ASIL 等级相关的补丁更新率如表 2 所示。与安全相关的设备(如网关(GW))只能在相对较长的时间间隔内进行补丁更新,而非安全相关功能(如远程信息处理单元(3G))则可以在较短的时间间隔内进行补丁更新,因为所需的测试较少。
表 2、可利用性速率和补丁更新率的安全评估结果。网关、远程信息处理单元和 FlexRay 总线守护者等设备经过专门加固以抵御攻击。消息评估取决于所评估的模式(完整性、机密性)。消息可用性通过底层总线系统保障
在马尔可夫模型中使用此类转移率,可以基于时间维度进行分析,从而形成连续时间马尔可夫链(CTMC)。
3.3 属性定义
在根据架构创建 CTMC 模型并按照上一节的讨论分配转移率后,需要定义分析目标。这些目标被定义为模型的属性。CTMC 模型的一个常见评估属性是稳态分析,通过传统的矩阵运算可以计算出在任意采样时间点处于每个状态的概率。以图 3 中的示例为例,假设速率 φ₃G=φ_mc=52(每周一次),η₃G=η_mc=2(每两年一次),则转移率矩阵为:
注意,矩阵对角线上的值是该行速率之和的负数。稳态解 πQ=0 得出平稳分布。因此,在任意给定时间点,系统处于消息 m 可被利用的状态 s₂的概率为 0.0699%。然而,这种稳态信息对于实际的安全问题分析并不充分。例如,我们可能关心模型在一年内至少达到状态 s₂一次的概率。为了在 CTMC 中表达这一属性,需要定义基于奖励的属性,对该状态的每次出现进行计数。我们遵循文献中的语法,定义:
为了评估此类属性,需要应用模型检测算法。利用这些算法,可以分析上述步骤生成的每个子模块的每个状态的可达性或概率。传统模型验证中使用的可达性约束只能以绝对术语定义安全性(例如,P=?[F ECU1>0] 或 ECU1 是否在任何时间点可被利用?)。然而,安全性不能以绝对术语来定义,假设任何设备具有绝对安全性是不现实的。因此,我们必须定义能够基于模型的时间维度得出结论的属性。
关于累积概率的示例问题:消息 m 在一年内可能遭受可用性攻击的时间有多长?对于这个问题,我们需要计算所有 A (m) 出现的累积时间,通过奖励来表示:
4、实验结果
本节将讨论实验设置,并通过将该框架应用于基于图 4 所示三种架构的案例研究,展示分析方法的潜力。利用第 3 节介绍的方法对架构进行建模后,使用概率模型检测工具 PRISM 进行分析。
在配备 3.2 GHz 英特尔至强四核处理器的传统台式计算机上,对于 n_max=2 的架构,单个属性的计算需要 15 分钟至 1.5 小时。每个 PRISM 计算以单个进程运行,内存占用可忽略不计。运行时间与生成的马尔可夫模型的状态数量相关。图 4 中示例架构的模型状态数量在 400,000 至 120 万之间。所有结果均以消息 m 在一年内可被利用的时间百分比表示。
图 4、用于比较不同安全方案的三种架构。架构 1 中,消息 m 与远程信息处理单元(3G)在同一条总线上传输;架构 2 为消息 m 增设了专用连接;架构 3 引入 FlexRay 总线用于消息 m 的传输
4.1 架构评估
我们对三种基于实际系统的不同架构进行了评估。仅考虑完整车辆架构中的相关子系统,如图 4 所示。所考虑的架构包括通过网关连接的两个总线系统、一个远程信息处理单元以及一个自动泊车辅助应用(包含 2 个电子控制单元)。自动泊车辅助系统简化为一条在泊车辅助控制器和车辆动力转向系统之间传输的消息流。
4.1.1 架构与组件评估
架构 1 与图 1 中的示例类似。由于假设该系统的安全性并非最优,我们还考虑了两种替代架构。在架构 2 中,消息流 m 通过 CAN₂上的额外专用连接发送,避免了消息流在直接连接到远程信息处理单元的总线上暴露。在架构 3 中,我们将 CAN 总线替换为时间触发的 FlexRay 总线,在设计阶段定义调度表,为每个设备分配固定的时隙。
示例中的可利用性速率和补丁更新率如表 2 所示。我们假设关键电子控制单元(如网关和远程信息处理单元)经过专门加固以抵御攻击。消息 m 的可利用性速率取决于所使用的安全特性。我们考虑三种变体:未加密、128 位密钥的基于密码的消息认证码(CMAC)以及 128 位密钥的高级加密标准(AES)。未加密消息可立即被利用,CMAC 保护的消息可提供完整性,而 AES 保护的消息可确保机密性。
所有设备的补丁更新率基于 ASIL 评估结果,具体数值如表 2 所示。
4.1.2 结果
分析结果如图 5 所示。可以观察到,使用 128 位 CMAC 的加密哈希仅在完整性方面提高了安全性,而使用 128 位 AES 的加密在完整性和机密性方面均有效。这验证了我们的结果 ------ 加密哈希仅能防止消息被创建,而加密还能防止消息被读取。
图 5、图 4 所示架构的分析结果。我们针对三种架构,结合不同的保护机制(未加密、128 位 CMAC、128 位 AES),从机密性、完整性和可用性三个维度对消息 m 进行了分析。结果清晰表明,更优质的加密方式和设计更严谨的架构具有更低的被利用风险;而在可用性方面,需要总线系统的支持才能确保合理的安全性
总体而言,无论是加密哈希还是加密,都未显著提高安全值。这一结果与直觉相反,原因如下:通过黑客攻击泊车辅助系统(PA),加密哈希和加密机制会被破解,从而失去有效性。特别是由于泊车辅助系统(PA)的 ASIL 值导致其补丁更新率相对较低,使得该设备的可利用性较高。
此外,还可以观察到,与架构 1 相比,架构 2 的安全性并未显著提高,在某些情况下甚至更差。这是因为泊车辅助系统(PA)和网关(GW)的低补丁更新率导致这些设备的可利用性较高,从而使 CAN₂总线暴露。同时,架构 2 中的泊车辅助系统(PA)连接到两条总线,导致其可利用性更高。将泊车辅助系统(PA)连接到 CAN₂总线甚至可能引发进一步的安全问题,因为该设备可能被用作攻击其他功能的桥梁,这将导致架构 2 中仅在 CAN₂总线上实现的功能的安全值显著降低。
在 FlexRay 总线中,现有带宽以时间触发的方式分配。设备只能在其分配的时隙内传输数据,总线守护者会阻止设备在其他时隙内传输。这一安全措施也具有显著的安全影响,因为设备无法在其他时隙内恶意传输消息。这使得攻击面整体减小,因为攻击者需要渗透到通信相关的设备或总线守护者才能攻击消息 m。
4.2 参数探索
为了评估不同可利用性速率和补丁更新率的影响,我们分析了架构 1 中消息 m 的可利用性对入口点电子控制单元 3G 的这些速率的敏感性。由于 3G 电子控制单元是架构的入口点,消息 m 的可利用性在很大程度上取决于 3G 电子控制单元的可利用性速率和补丁更新率。我们独立分析了可利用性速率和补丁更新率在每十年一次(η₃G=φ₃G=0.1)到每小时一次(η₃G=φ₃G=8760)之间的变化。当改变可利用性速率时,补丁更新率设定为 φ₃G=52;当改变补丁更新率时,可利用性速率设定为 η₃G=1.9。结果如图 6 所示,呈现出指数特性。因此,我们可以得出结论:在可利用性抵抗能力 / 补丁更新率的较低范围内进行改进,对系统的影响较大,而较高的速率并不会显著有助于优化安全性。假设可利用性阈值为 0.5%,对于没有其他访问方式的联网电子控制单元,合理的补丁更新率约为 φ=6(每 2 个月一次)。如果通过进一步加固设备降低可利用性速率,则需要确保最大可利用性速率 η=12(每月一次),才能将可利用性控制在 0.5% 以下。
这种分析可以针对架构中的每个元素进行。因此,根据架构的不同,制造商可以选择加固设备以抵御攻击,或者在原始设备制造商(OEM)和供应商之间通过合同约定补丁更新率。
图 6、参数探索示意图,用于评估(参数)对整个架构安全性的影响。(a)中对入口点的补丁更新率进行了调整;(b)中为构成车辆攻击起点的远程信息处理电子控制单元(3G)采用了不同强度的安全防护措施
4.3 可扩展性
在验证方法中,由于状态空间的指数增长特性,模型大小通常是一个限制因素。然而,我们的研究表明,通过对涉及相关组件和单一消息流的功能进行适当抽象,能够在合理的时间内评估实际的汽车架构。
虽然涉及更多设备和组件的更复杂功能会导致更大的状态空间和更长的运行时间,但仍有很大潜力显著降低这些数值。目前,我们使用的 PRISM 模型检测器不会合并具有瞬时转移的状态。这些转移是在从组件子模型构建系统模型时产生的,在现实世界中并不存在,因此可以安全地移除。在预处理步骤中检测可合并的状态可以进一步降低复杂性,因为在概率模型检测中,状态数量与运行时间密切相关。总之,我们的研究表明,概率模型检测是一种可行的汽车架构安全性量化分析方法,未来的工作将致力于解决该方法的可扩展性问题。
5、结论
本文提出了一种汽车通信架构安全性分析方法。通过在设计阶段对系统级架构进行分析,可以从机密性、完整性和可用性三个维度量化每个元素的安全性。该分析结果可为整体架构的设计决策和组件安全性能的优化提供支持。首次实现了确定单个组件对架构整体安全性的影响。我们通过生成相应的马尔可夫模型来分析架构,通过组件的安全评估确定边权重,定义安全属性并利用概率模型检测器对模型进行分析。结果表明,该方法能够发现组件级或子系统级无法识别的架构安全漏洞。
未来的工作将通过实现针对性的模型检测器来解决可扩展性问题。随着性能的提升,我们将能够分析更精细的模型和更复杂的系统(例如包含以太网的系统)。此外,基于安全性分析结果,我们将能够生成一套汽车架构的最佳实践方案。计划将安全性和可靠性分析相结合,并整合电子控制单元内部的安全措施。