久久www免费人成精品香蕉,亚洲丁香五月天缴情综合,欧洲无码在线看

隨著汽車的智能化發(fā)展，如今汽車的自動(dòng)化水平已經(jīng)達(dá)到L3甚至更高水平，智能網(wǎng)聯(lián)汽車的信息安全，必須在產(chǎn)品概念階段就開始考慮。

2017年，SAE出臺(tái)J3061《信息物理融合系統(tǒng)網(wǎng)絡(luò)安全指南》，旨在通過統(tǒng)一全球標(biāo)準(zhǔn)，來推動(dòng)汽車電氣系統(tǒng)與其他互聯(lián)系統(tǒng)之間安全流程的建立。信息安全問題不會(huì)導(dǎo)致新的安全隱患（即新的不安全狀態(tài)），但會(huì)改變現(xiàn)有隱患的發(fā)生概率，甚至使以前認(rèn)為不可能發(fā)生的隱患變?yōu)榭赡?。因此在系統(tǒng)設(shè)計(jì)的過程中，必須同時(shí)兼顧信息安全和功能安全。SAE J3061與ISO 26262標(biāo)準(zhǔn)之間具有一致性，保證了汽車電子電氣的功能安全之外，還保證了非安全關(guān)鍵領(lǐng)域，例如用戶數(shù)據(jù)隱私或資產(chǎn)方面。對于智能網(wǎng)聯(lián)汽車，SAE J3061對概念階段的信息安全問題制定了指南，并提出在概念階段就要建立威脅分析和風(fēng)險(xiǎn)評估（TARA）的框架。

在系統(tǒng)信息安全分析過程中，威脅模型有助于信息安全研究員了解軟件、應(yīng)用程序或系統(tǒng)結(jié)構(gòu)可能受到攻擊的不同方式。建模過程有助于識(shí)別系統(tǒng)的弱點(diǎn)，識(shí)別弱點(diǎn)后再對威脅進(jìn)行分類，最后采取相應(yīng)的對策解決問題。本文所討論的威脅模型，也是基于TARA框架來建立的，在此命名為TARA+

TARA及威脅建模注意事項(xiàng)

從SAE J3061到ISO 21434，威脅分析與風(fēng)險(xiǎn)評估（TARA）均被作為核心的網(wǎng)絡(luò)安全分析方法，并已成為智能汽車網(wǎng)絡(luò)安全功能開發(fā)實(shí)施與測試的前提和基礎(chǔ)。TARA的目的不是計(jì)算攻擊概率和影響的精確數(shù)值，而是為汽車整車廠（OEM）生成相對值，以便在后續(xù)步驟中對相關(guān)風(fēng)險(xiǎn)進(jìn)行分組和排序。

根據(jù)不同的自動(dòng)駕駛功能實(shí)施情況，整車廠未來可能會(huì)開發(fā)新的應(yīng)用程序，支持更高的自動(dòng)化水平，車輛也會(huì)面臨更多的威脅。在這樣的背景下，最初設(shè)計(jì)的威脅識(shí)別技術(shù)就會(huì)過時(shí)。因此，對于風(fēng)險(xiǎn)，我們應(yīng)該有更長遠(yuǎn)的考慮，以確保在系統(tǒng)壽命期內(nèi)能夠識(shí)別并應(yīng)對新形式的攻擊。

關(guān)于上述問題，本文給出了以下解決方法：

a）開發(fā)的方法是基于應(yīng)用程序而非基于組件的；

b）在攻擊影響計(jì)算中集成一個(gè)可控性因子，以便在分析時(shí)量化系統(tǒng)的彈性（其中 "系統(tǒng) "包括駕駛員和自動(dòng)駕駛系統(tǒng)）；

c）根據(jù)系統(tǒng)故障或失效發(fā)生時(shí)的安全完整性和系統(tǒng)可用性原則，重新定義“可控性”，將自動(dòng)化水平考慮在內(nèi)，形成了對自動(dòng)駕駛系統(tǒng)的可控性等級。

作為信息安全風(fēng)險(xiǎn)評估的一部分，"可控性"最早是基于 ISO 26262 和 MISRA 安全分析指南提出。對于自動(dòng)駕駛系統(tǒng)而言，由自動(dòng)駕駛功能/駕駛員組合而成的可控性對攻擊的影響有直接的影響。

根據(jù)以下注意事項(xiàng)，建立自定義威脅模型TARA+：

1. 使用一個(gè)參考結(jié)構(gòu)來彌補(bǔ)概念階段系統(tǒng)信息的缺失。一方面?zhèn)戎赜趯?shí)施攻擊的難度，另一方面?zhèn)戎赜谙到y(tǒng)的承受能力而非其系統(tǒng)的漏洞，這種設(shè)計(jì)應(yīng)允許對風(fēng)險(xiǎn)進(jìn)行早期評估。

2. 駕駛員應(yīng)在可控性的考慮范圍之內(nèi)，可控性應(yīng)被定義為自動(dòng)駕駛系統(tǒng)和駕駛員的一種屬性。（在ISO 26262中，未涉及駕駛的自動(dòng)化程度，其中隱含了一個(gè)假設(shè)，即人類駕駛員始終在車中，這與信息安全分析是完全相反的）

3. 側(cè)重點(diǎn)方面應(yīng)局限在利用自動(dòng)駕駛方面，特別是利用目標(biāo)應(yīng)用程序?qū)嵤┑墓簟?/p>

4. 分析的側(cè)重點(diǎn)應(yīng)在L3級和L4級有條件的高度自動(dòng)駕駛系統(tǒng)上。在這級別的自動(dòng)駕駛系統(tǒng)中，人類駕駛員應(yīng)該保持 "較強(qiáng)"或 "較弱"的狀態(tài)，以便偶爾進(jìn)行人機(jī)交接。

模型的構(gòu)建

TARA+是本文中威脅模型的名稱，其特點(diǎn)為：

根據(jù)SoA中定義的攻擊潛力和攻擊影響對威脅量化；
全新的 "可控性"因素；
篡改后的攻擊影響計(jì)算，其中包含了我們提出的 "可控性"(見C)；
基于攻擊可能性和提出的完善后的影響的2D風(fēng)險(xiǎn)矩陣(見D)；
超出車輛本身的攻擊面分析，包括對攻擊可控性的考慮；

A. 威脅模型因素

（1）攻擊可能性-相關(guān)因素

攻擊的可能性(Po)是專業(yè)技術(shù)、資源和進(jìn)入目標(biāo)的機(jī)會(huì)窗口的功能，反映了執(zhí)行已確定的攻擊場景的難度?？捎枚喾N方法來表示和量化這些因素。在此，我們使用ISO/IEC18045提出的5個(gè)因子中的4個(gè)，每個(gè)因子的等級從0（對應(yīng)于最高攻擊可能性）到3（對應(yīng)于最低攻擊可能性），如表1所述。以下是這四個(gè)因素：

所需的專業(yè)技術(shù)知識(shí)（用E表示）；
對目標(biāo)設(shè)計(jì)和操作的了解（用K表示）；
目標(biāo)開發(fā)所需的信息技術(shù)硬件/軟件或其他設(shè)備（以Eq表示）；
機(jī)會(huì)窗口（用W表示）。

表1 攻擊的可能性因素和排名

由于篇幅所限，這里不提供各因素的詳細(xì)定義，詳細(xì)信息請查閱ISO/IEC 18045:2008 附件B。

（2）攻擊的影響（一）—相關(guān)因素

特定的資產(chǎn)/威脅的影響（此處稱為）是對威脅實(shí)現(xiàn)時(shí)不同利益相關(guān)者的預(yù)期損失的估計(jì)。本文提出了四個(gè)因素，即嚴(yán)重性(S)、運(yùn)營(O)、財(cái)務(wù)(F)和隱私/立法(P)。在表2中，將四個(gè)因素的排序分為5個(gè)級別，重要性從0(無)到4(對多輛車來說至關(guān)重要)，重要性越來越高。由于篇幅所限，省略了每個(gè)因素的細(xì)節(jié)及其對應(yīng)的五個(gè)等級的定義，詳細(xì)信息可參見參考文獻(xiàn)：《A Risk Assessment framework for Automotive Embedded Systems.》，點(diǎn)擊查看原文或添加微信hurrylulu0602索取。

表2 可能的攻擊因素和排名

（3）TARA+擴(kuò)展：攻擊可控性因素

ISO26262將可控性定義為 "通過相關(guān)人員的及時(shí)反應(yīng)，可能在外部措施的支持下，避免特定傷害或損害的能力"，并將其納入風(fēng)險(xiǎn)評估中。

為了能夠分析L3級和更高的自動(dòng)駕駛系統(tǒng)，本文擴(kuò)展了”可控性“定義，給出了一個(gè)新的可控性因子(C)，量化了自動(dòng)駕駛系統(tǒng)或/和駕駛員的容錯(cuò)能力，以及自動(dòng)駕駛系統(tǒng)或/和駕駛員對攻擊相關(guān)風(fēng)險(xiǎn)的影響。在這個(gè)模型中，通過引入兩個(gè)專門的可控性組件，"可控性"因子能更清晰地反映共享自動(dòng)駕駛系統(tǒng)/駕駛員的作用。

本節(jié)設(shè)想了一種混合可控性系數(shù)。該系數(shù)反映了為了實(shí)現(xiàn)L3級及以上自動(dòng)駕駛系統(tǒng)的最小風(fēng)險(xiǎn)條件，機(jī)器和駕駛員共同承擔(dān)的責(zé)任。為了達(dá)到影響沖擊計(jì)算的目的，提出了結(jié)合系統(tǒng)的可控性與基于駕駛員的可控性。

根據(jù)系統(tǒng)可控性 )量化系統(tǒng)的容錯(cuò)性，系統(tǒng)可控性應(yīng)在是更高層次的自動(dòng)化中占主導(dǎo)地位的因素。之所以是主導(dǎo)因素，是因?yàn)轳{駛員脫離了環(huán)路，而自動(dòng)駕駛系統(tǒng)應(yīng)該能夠檢測到潛在的故障或失效（由危險(xiǎn)或威脅引起），以便車輛能自我控制動(dòng)態(tài)，并保持最低風(fēng)險(xiǎn)條件，降低風(fēng)險(xiǎn)。基于駕駛員的可控性 )應(yīng)在所有仍依賴駕駛員的情況下使用?；隈{駛員的可控性 )水平，在表3中表示，而本文提出的基于系統(tǒng)的可控性水平在同表中表示為。

表3 系統(tǒng)/駕駛員可控制性排行榜

B. 攻擊概率計(jì)算）

攻擊概率是指攻擊成功的相對可能性。其數(shù)值排序是：攻擊可能性越低，排名越高；攻擊可能性 )越高，排名越低。首先，計(jì)算的值為因子之和，見（1）。然后我們將值是一個(gè)整數(shù)，范圍在[0，12]中。根據(jù)表4，將值映射成一個(gè)整數(shù) 值，是在0（極低概率）到4（最高概率）范圍內(nèi)的一個(gè)整數(shù)。

C. 篡改后的攻擊影響計(jì)算

攻擊的影響反映了利益相關(guān)者的損失，其值是按(2)所述的四個(gè)攻擊的影響因素(表2中的定義)的加權(quán)和計(jì)算。應(yīng)注意到，安全和運(yùn)行影響因子的權(quán)重較高。所得的攻擊的影響在[0，28]范圍內(nèi)是一個(gè)整數(shù)值，該整數(shù)值表示如果沒有采取應(yīng)對措施而產(chǎn)生的攻擊的影響。

一般情況下，風(fēng)險(xiǎn)用攻擊的概率和影響兩個(gè)維度來表示，因此，在影響計(jì)算中，得出考慮機(jī)器/駕駛員系統(tǒng)容錯(cuò)能力的修正影響值（即表3中定義的 "可控性"因子的兩個(gè)組成部分），我們采用了可控性。具體而言，根據(jù)對駕駛員依賴性的要求和自動(dòng)駕駛系統(tǒng)的容錯(cuò)水平，將上述影響值(I)按(3)中定義的基于系統(tǒng)的可控性基于駕駛員的可控性）的可控性系數(shù)的乘積進(jìn)行加權(quán)。由此得出修正后的影響值，為是一個(gè)標(biāo)量，范圍也在[0，28]之間。的共同最大值，等于4（見表3）。最后，將修正后的影響值，如表5所示。

將五種可能的攻擊可能性 )值與五種可能的修正影響值結(jié)合起來，攻擊的相關(guān)風(fēng)險(xiǎn) )也被劃分為五級，見表6，從 "QM"(代表 "質(zhì)量管理")到 "危急"，表示最低風(fēng)險(xiǎn)級別到“關(guān)鍵”。

汽車防護(hù)關(guān)鍵技術(shù)措施應(yīng)用分析

A. 攻擊面分析

下圖為汽車參考架構(gòu)圖，描述了研究人員考慮到的一組攻擊向量集。

下表7分析了源于這一參考架構(gòu)的各種類型的攻擊載體。由于篇幅有限，這里只列出其中五種，更多信息可參加?？W(wǎng)的信息安全技術(shù)培訓(xùn)了解。表7總結(jié)分析了該攻擊面（包含攻擊潛力和攻擊效果）、可控性（對預(yù)期系統(tǒng)承受能力）以及特定應(yīng)用場景（分別見表7的第6列和第7列）。分析的重點(diǎn)是當(dāng)攻擊者在被攻擊的資產(chǎn)范圍內(nèi)時(shí)可以遠(yuǎn)程利用的攻擊面（如傳感器欺騙、藍(lán)牙利用和移動(dòng)或無線連接）。分析中還考慮了不屬于車輛但屬于駕駛生態(tài)系統(tǒng)的遠(yuǎn)程攻擊面（如道路結(jié)構(gòu)要素）（見表7中最后一個(gè)攻擊向量）。

表7 對于自動(dòng)駕駛操作的特定供給面（圖片上傳可能不清晰，如影響閱讀，可添加微信：hurrylulu0602，朋友圈分享技術(shù)內(nèi)容，歡迎交流）

B. TARA+在公路、公路交通堵塞和城市自動(dòng)駕駛功能上的應(yīng)用

為了驗(yàn)證上文中提出的TARA+模型，對每個(gè)自動(dòng)駕駛功能選擇一個(gè)攻擊場景進(jìn)行分析，相應(yīng)的結(jié)果查看表8。表7的第1、4、5行包含了相應(yīng)攻擊面的分析信息，包括兩個(gè)車輛外部攻擊向量，即車輛Wi-Fi和激光雷達(dá)，以及一個(gè)遠(yuǎn)程攻擊向量，即 "道路結(jié)構(gòu)元素"。

實(shí)驗(yàn)考慮了三種自動(dòng)駕駛功能，分別是：高速公路自動(dòng)駕駛、公路-交通擁堵駕駛和城市駕駛。

C. 結(jié)果分析討論

(高速公路)攻擊者可利用車輛Wi-Fi，通過注入惡意軟件進(jìn)入車輛的TCU，以各種篡改的攻擊進(jìn)一步傳播到其他ADAS ECU。完成以上步驟需要一個(gè)對車輛車載ECU及其操作有足夠技術(shù)知識(shí)的專家。由于通過移動(dòng)設(shè)備等多種渠道都會(huì)影響車輛，因此車輛所面臨的攻擊面很大。

portant; overflow-wrap: break-word !important;">盡管車輛高速行駛，但由于攻擊者被假定為緊跟車輛的后車，因此可視為機(jī)會(huì)窗口很大。由于攻擊者有機(jī)會(huì)攻擊關(guān)鍵的ECU，因此這種攻擊可以造成隱私泄露和致命事故等重大影響。鑒于此，在實(shí)驗(yàn)中賦予了非常高的初始影響值（28）。為了檢測和控制這種攻擊，車輛必須配備入侵檢測解決方案。假設(shè)駕駛員的可控性水平相對較低 )，指定一個(gè)較高的系統(tǒng)可控性水平)，評估結(jié)果為較低(20.25)的中等影響排名。最后，由于成功的概率相對較高和中等影響，風(fēng)險(xiǎn)被評估為高。

portant; overflow-wrap: break-word !important;">(高速公路-擁堵駕駛)干擾激光雷達(dá)脈沖需要的設(shè)備容易獲得，但必須在有限的機(jī)會(huì)窗口內(nèi)實(shí)現(xiàn)。攻擊可能會(huì)嚴(yán)重影響車輛的安全，因?yàn)檐囕d系統(tǒng)可能會(huì)做出錯(cuò)誤的控制決定，威脅道路上的其他車輛，造成多人傷亡，造成聲譽(yù)和經(jīng)濟(jì)損失。然而，攻擊可以通過車輛的異常檢測來檢測，以通知駕駛員并由冗余系統(tǒng)處理，因此，假設(shè)系統(tǒng)的可控性處于中等水平，則更改后的影響值會(huì)降低，因而最終的風(fēng)險(xiǎn)等級為中等。

(城市)改變靜態(tài)環(huán)境，使自動(dòng)駕駛功能對周圍環(huán)境產(chǎn)生錯(cuò)誤的感知。由于成功概率高，影響程度中等，被評估為高風(fēng)險(xiǎn)。由于系統(tǒng) )假設(shè)這種攻擊的可控性非常差，因此(3)得出MI=I，篡改后的影響值仍然等于初始影響值，就像沒有采取任何應(yīng)對措施一樣。

這是由于攻擊引起了系統(tǒng)對感知環(huán)境的改變，而這種改變不能像傳感器故障或傳感器性能下降那樣被異常檢測機(jī)制輕易檢測到。檢測這種人為造成的視覺偽影的唯一方法是與場景的高清地圖或另一個(gè)(冗余)傳感器的另一個(gè)信息源進(jìn)行比對，但來自非反射材料的視覺信息仍然無法被范圍傳感器捕捉到，實(shí)時(shí)動(dòng)態(tài)定位和場景匹配并非易事。城市區(qū)域的十字路口和人行斑馬線都很復(fù)雜，這種復(fù)雜性使攻擊有許多種方式，并且，城市區(qū)域的這些地方，都是非常容易接近的地方。

結(jié)論

本文主要研究L3級及以上自動(dòng)駕駛系統(tǒng)的威脅分析和風(fēng)險(xiǎn)評估。為了實(shí)現(xiàn)這個(gè)目的，本文提出了一種新型的可控性定義和分類方法，該方法在聯(lián)合方案中同時(shí)討論自動(dòng)駕駛系統(tǒng)和駕駛員的作用。所提出的TARA+方法是對設(shè)計(jì)自動(dòng)駕駛系統(tǒng)的可控性感知安全分析框架的概念驗(yàn)證，早在自動(dòng)駕駛系統(tǒng)設(shè)計(jì)的概念階段，就結(jié)合了該領(lǐng)域著名的SAE和ISO標(biāo)準(zhǔn)的優(yōu)點(diǎn)。

隨著自動(dòng)駕駛系統(tǒng)進(jìn)入生產(chǎn)階段和新應(yīng)用的開發(fā)，考慮到系統(tǒng)設(shè)計(jì)和現(xiàn)有安全對策的新信息，該框架可能需要重新設(shè)計(jì)?？煽匦缘母拍钚枰獢U(kuò)展，以全面考慮對駕駛員、其他道路使用者和系統(tǒng)本身的可控性。這一點(diǎn)留待將來研究。