基于威脅分析的智能網聯汽車信息安全風險評估方法

李木犀 陳博 李康 戚巖 陳雷爽

（中國第一汽車集團有限公司 智能網聯開發院，長春市，130011）

主題詞：威脅分析 攻擊樹 風險評估 攻擊潛力

1 前言

1.1 智能網聯汽車

隨著互聯網、大數據、云計算、人工智能等技術的發展和應用，智能網聯汽車應運而生，并逐漸成為全球汽車產業關注的焦點。未來，汽車將會成為互聯網社會的智能終端之一。在政策和市場的共同作用下，我國的智能網聯汽車技術將發展迅猛。

智能網聯汽車是搭載先進的車載傳感器、控制器、執行器等裝置，融合現代通信與網絡技術，實現車與X（人、車、路、后臺等）智能信息交換共享，具備復雜的環境感知、智能決策、協同控制和執行等功能，實現安全、舒適、節能、高效行駛，并最終可替代人來操作的新一代汽車[1]。但在人們享受智能網聯汽車所帶來的更多、更新、更便捷的體驗同時，智能化和網聯化所導致的信息安全問題也向智能網聯汽車提出了新的挑戰。

1.2 信息安全開發流程

近年來，智能網聯汽車被破解攻擊事件頻頻發生，國內、外的整車廠和相關管理部門逐步開始關注到智能網聯汽車信息安全的重要性，并開始規劃和部署自己的信息安全管理部門。業界普遍認為智能網聯汽車的信息安全應是貫穿于整個汽車開發流程的，針對每個整車開發階段信息安全都應有相應的解決方案。

本論文根據智能網聯汽車整車開發過程中的信息安全工作經驗，整理出以下信息安全開發流程：

1)威脅分析：在汽車產品需求分析階段，要進行信息安全威脅分析，包括風險建模、安全資產劃分、風險評估、攻擊路徑分析等內容。

2)需求分析：在汽車產品功能設計階段，結合汽車產品裝備定義、功能分配及信息安全威脅分析結果，定義出整車產品涉及的整個智能網聯體系的信息安全需求。

3)信息安全方案設計：在車輛產品系統設計階段，結合需求分析，對各零部件有針對性地提出信息安全設計方案。在車輛產品設計階段，對部件級信息安全設計中提到的某些較獨立完整的信息安全功能進行組件設計。

4)功能開發：在汽車產品開發階段，實施信息安全設計的開發工作。

5)信息安全功能測試：在汽車產品功能測試階段，完成信息安全功能正向驗證測試以及結合產品功能的聯合測試。

6)信息安全滲透驗證：在汽車產品功能測試階段，以模擬黑客對汽車產品信息安全進行攻擊的黑盒測試方式，驗證信息安全開發是否能夠達到預期效果，并查找是否存在信息安全設計階段遺漏的安全漏洞和隱患。

7)最后針對驗證報告對開發進行修復調整。

本文主要針對第一部分的設計方法進行工作流程和方法的描述和介紹。

2 威脅和風險

2.1 信息安全威脅對比

威脅是對信息系統的資產引起不期望事件而造成的損害的潛在可能性。威脅可能源于對信息系統直接或間接的攻擊，在機密性、完整性或可用性等方面造成損害。威脅可能源于偶發的或蓄意的事件。一般來說，威脅總是要利用信息系統中的操作系統、應用程序或服務的弱點才可能成功地對資產造成傷害。智能網聯汽車的信息安全借鑒傳統信息系統的安全威脅和攻擊手段，并衍生智能網聯汽車獨有的信息安全。

智能網聯汽車與傳統信息系統因目標對象不同、目標對象的系統性能不同，所以安全威脅不完全相同，其入侵目的和攻擊手段也略有不同。下文從入侵目的和攻擊手段兩方面對比傳統信息系統和智能網聯汽車的安全威脅。

2.1.1 入侵目的

對于信息系統的入侵目的，總結為七類：執行進程、獲取文件和數據、進行非授權操作、獲取超級用戶權限、使系統拒絕服務（使目標系統中斷或者完全拒絕對合法用戶、網絡、系統或其他資源的服務）、篡改信息、披露信息。對于智能網聯汽車的入侵目的，總結為六類行為：增進影響力進行的研究行為、為了獲取用戶數據信息的行為、為了獲取車輛設計信息的行為、為了進行惡意遠程控制的攻擊行為、為了獲取行駛數據或增加隱性消費的行為。

2.1.2 攻擊手段

攻擊可以按照不同的類型分類，比如攻擊者身份、使用的工具、存在的缺陷、攻擊目標、攻擊方式、未授權的結果、攻擊目的等[2]。對于信息系統的攻擊手段，總結為五類：口令攻擊、拒絕服務攻擊DOS、利用性攻擊、信息收集型攻擊、假消息攻擊。有些攻擊手段可以直接應用于智能網聯汽車上，但也有一些針對汽車的特殊攻擊手段，比如CAN網絡接入攻擊、OBD接口攻擊等。

2.2 智能網聯汽車信息安全威脅

隨著智能網聯汽車不斷壯大發展，各大汽車廠家紛紛推出具有車聯網功能的汽車，但與此同時也讓汽車信息安全面臨著威脅。通過近年來出現的各類汽車安全事件的搜集、分析和整理，結合我國汽車產業界發展中面臨到的實際問題，以及結合汽車電子電氣系統和傳統信息系統的不同之處，本文從車內到車外，按照基礎芯片元器件、關鍵控制器軟硬件設備、內部通信網絡、車載操作系統及應用、外接終端設備和云服務平臺六個層面歸納出汽車領域當前面臨的主要信息安全威脅。

2.2.1 基礎芯片元器件層面

智能網聯汽車中大量使用的傳感器、控制器的處理芯片等本身就可能存在設計上的缺陷或者漏洞，諸如信號干擾、緩沖區溢出、缺乏簽名校驗機制等。

2.2.2 關鍵控制器軟硬件設備層面

智能網聯汽車控制器，比如車載遠程通信終端、中央網關這類關鍵設備在認證、鑒權、逆向信號分析等方面都可能存在較高安全風險，能夠被攻擊者操控利用。傳統安全機制由于在復雜度和實時性方面不適用于汽車電子應用場景而無法直接部署應用。

2.2.3 內部通信網絡層面

智能網聯汽車的CAN總線，是一種事件驅動的控制器網絡，CAN控制器能夠將它們的信息傳播到所有連接節點和所有接收節點，從而獨立的判斷它們是否在處理信息。CAN網絡優先級驅動CSMA/CD訪問控制方法使得CAN網絡在遭受攻擊的時候通信信道會被堵塞[3]。CAN的機制設計及其不安全，缺乏必要的加密和訪問控制機制，通信不認證，消息不校驗，面臨消息偽造、拒絕服務、重放攻擊等一系列風險。

2.2.4 車載操作系統及應用層面

車載信息娛樂系統的操作系統一般使用傳統信息系統的軟件版本，比如：安卓系統、Linux系統等。系統本身存在各種已知或未知的漏洞威脅，且易于被攻擊者利用安裝未知應用程序，竊取各類數據。嚴重時，甚至可能將風險傳導至車內網絡中的其他控制器，對駕駛安全造成一定隱患。

2.2.5 外接終端設備層面

一是外接終端設備安全水平的參差不齊引入安全風險的不確定性，帶來了更多的未知安全隱患；二是部分接入終端設備可以利用OBD接口直接讀寫車內總線數據，發送偽造控制信息指令，嚴重干擾汽車正常功能。

2.2.6 云服務平臺層面

智能網聯汽車的云服務平臺負責車輛控制和敏感數據的傳輸存儲，一般都存在傳統操作系統的漏洞及虛擬資源調度問題，大部分平臺目前訪問策略偏弱，攻擊者能夠偽造憑證訪問并獲取大量數據，對車輛本身及用戶數據隱私構成威脅，甚至影響到部分可遠程控制的車輛功能。

3 風險管理

風險管理是信息安全的全生命周期開發過程中貫穿始終的針對風險問題的管理方法，即針對智能網聯汽車的網絡安全風險管理的流程。風險管理流程中包括制定不同層級運用風險管理的方案、制定風險評估在業務鏈上和不同開發情景中的分工、定義風險威脅管理的步驟和概要內容、定義風險評估的具體步驟等。智能網聯汽車信息安全風險管理的主要目的是識別風險并對風險進行評估，風險評估的結果是風險管理的必要輸出也是智能網聯汽車信息安全開發過程中信息安全方案設計的基礎。本文介紹的基于威脅分析的智能網聯汽車信息安全風險評估方法屬于風險管理流程中前兩個步驟的設計方法。風險管理流程如圖1所示。

圖1 風險管理流程

3.1 風險識別方法

智能網聯汽車信息安全風險識別基于三個步驟實現：

首先要基于智能網聯汽車目標對象的功能和場景進行安全資產識別，在該過程中明確具有信息安全風險且需要保護的對象；

其次是針對安全資產進行分析，是明確安全資產具體安全屬性的過程；

最后針對資產進行基于攻擊樹模型的威脅分析，識別出針對該資產的全部風險和攻擊方法。

3.2 資產識別

早期的智能網聯汽車是在傳統車的電子電氣架構基礎上增加了智能和網聯的功能，隨著自動駕駛技術和網聯信息化技術的發展，目前智能網聯汽車幾乎都是在高速網絡通信要求、自動駕駛功能要求、功能安全要求、信息安全要求等技術功能需求基礎上建立的全新的電子電氣架構平臺。對于智能網聯汽車的資產識別一般也是從電子電氣架構入手。從資產實體的分布形式識別，資產可以分為：傳感器、執行器、控制器、網關、車內網絡等。從資產的表現形式識別，資產可以分為數據、軟件、硬件、服務等，而從需要保護的業務過程和活動以及所關注信息的角度來識別，資產類型可包括基于ECU的控制功能、與特定車輛相關的信息、車輛狀態信息、用戶信息、配置信息、特定的軟件、內容等[4]。

資產識別主要是對整車、車輛子系統、零部件、控制器、硬件、軟件、處理器等進行信息安全相關性的識別。經過資產識別可以得到明確的與信息安全相關的資產，進而針對這些資產進行資產分析，從而確定資產面臨的威脅。資產識別的輸入輸出關系如圖2所示。

圖2 資產識別關系圖

資產識別的過程在于確定資產范圍中的內容是否具有攻擊面。攻擊面指的是攻擊一個資產目標可以采用的所有方式，尋找資產目標的攻擊面可以判斷該資產是否是與信息安全具有相關性。主要采用以下方法對系統、子系統或部件級的資產的攻擊面進行識別：

1)該資產是否與外部網絡有基于物理連接或無線連接的通信傳輸通道？比如移動互聯網絡、Wi-Fi接口、藍牙接口等；

2)該資產是否與內部網絡有基于物理連接或無線連接的通信傳輸通道？比如CAN、以太網；

3)該資產是否具有診斷接口；

4)該資產是否具備電子設備或硬件產品；

5)該資產是否帶有軟件；

6)該資產是否帶有傳感器；

7)該資產是否是電動的，是否需要充電。

與信息安全要求相關的資產是需要進行保護的安全資產，比如：車輛信息、敏感數據信息、密鑰信息、車內通信和診斷、升級過程、控制過程、配置和記錄信息等。與信息安全要求不相關的資產不需要進行安全保護，比如基于機械控制的子系統，它不具備信息安全的攻擊面。

3.3 資產分析

在確定信息安全相關資產后進行資產分析，明確安全目標，并根據資產的信息安全關聯性確定資產具備的信息安全屬性。資產分析的輸入輸出關系圖如圖3所示。

圖3 資產分析關系圖

信息安全屬性包括機密性、完整性、可用性。安全性相關的影響包括安全影響、隱私影響、經濟影響、執行影響等。每一個屬性的含義見表1，影響的說明見表2。

表1 安全相關屬性

表2 安全相關影響

資產分析的過程是針對每一個與信息安全相關的資產的安全屬性的識別。識別方法主要依賴于對安全資產的功能或者性質的分析。主要依據的步驟是：

1)該資產是否具有機密性要求；

2)該資產是否具有完整性要求；

3)該資產是否對可用性有要求。

經過資產識別和資產分析之后，可以明確威脅分析的范圍，明確智能網聯汽車中哪個系統、子系統、部件等需要進行信息安全防護。這樣的分析過程規定了對資產的梳理過程，可以有效避免對于安全資產的遺漏，避免信息安全風險分析的缺失。

3.4 威脅分析方法

威脅分析是對資產的信息安全風險進行識別，分析風險和威脅對資產的破壞性。威脅分析以信息安全資產分析的結果作為輸入條件。威脅分析的輸入輸出關系圖如圖4所示。

圖4 威脅分析關系圖

對于攻擊路徑的識別基于攻擊樹的分析方法，它明確了攻擊目的、攻擊目標、攻擊方法等。攻擊樹分析方法是信息安全行業中較常用的分析方法，它的使用一般會結合攻擊場景的分析。智能網聯汽車體系的復雜性決定了它具有較多的攻擊場景和攻擊路徑，因此基于攻擊樹的分析也更加復雜。攻擊樹模型如圖5所示。

圖5 攻擊樹模型

結合攻擊樹和攻擊場景進行威脅分析的具體方法步驟是：

1)資產分析的結果作為輸入項；

2)選擇攻擊該資產的安全屬性作為攻擊目的；

3)針對攻擊目的，分析不同的攻擊方法；

4)進一步明確攻擊方法的實現路徑；

5)選擇攻擊該資產的其他安全屬性作為攻擊目的；

6)針對攻擊目的，分析不同的攻擊方法；

7)循環上述步驟，直至完成全部安全資產的分析。

在完成全部的攻擊樹分析后，應進行潛在威脅分析評估。潛在威脅分析評估指的是針對一條攻擊鏈中的每一個攻擊方法的攻擊潛力進行評估。攻擊潛力即實現一個攻擊方法的難易程度，結果可能是潛力高亦或是沒有潛力。評價攻擊潛力主要依據以下五個要素：

1)時間代價，即攻擊需要花費的時間；

2)專家專業知識，即是否具備專業的技術能力；

3)對目標的了解，即是否熟悉攻擊目標的相關知識內容；

4)有利時機，即是否具備攻擊的適宜的時機；

5)設備，即是否需要硬件工具、軟件工具或其他設備。

結合五個影響要素能夠得出攻擊潛力的不同結果。以CAN網絡通信的機密性舉例。因為CAN網絡通信在設計之初沒有考慮到任何的信息安全問題，從當時的設計思路來看，車輛是一個封閉的個體，CAN通信不會面臨數據或報文的安全問題，所以導致現在車內的CAN網絡存在明文數據、報文廣播式、報文無完整性校驗、無身份認證識別等信息安全問題。對它的攻擊可以通過OBD接口，所需攻擊時間較少、不需要專家級的技術人員、CAN總線的技術難度低、攻擊時機較多、不需要特殊或高成本的設備工具，因此其攻擊潛力是高的，也成為基礎型攻擊。

攻擊樹中一個層級的攻擊潛力的最高程度代表了這個層級的上一層級節點的攻擊潛力。依次類推，可以得到安全資產的攻擊潛力。攻擊潛力是進行風險評估的主要輸入條件。

綜上所述，威脅分析明確了威脅和風險存在的具體形式、攻擊方法和攻擊鏈路。威脅分析的結果，即攻擊潛力可以作為下一步風險評估的輸入。

3.5 風險評估方法

在智能網聯汽車的產品生命周期中，需要在產品生命周期的不同環節進行信息安全風險評估。比如產品功能概要設計階段、產品詳細設計階段、產品量產前的階段等。風險是一直貫穿信息安全設計開發過程的關鍵索引，對于風險的策略制定、風險的防護措施、風險的留存等過程都需要一個合理的風險評估結果的支撐。

通過風險評估明確風險策略，進而才能確定風險應對措施。風險評估的輸入輸出關系圖見圖6。

圖6 風險評估關系

風險評估是根據威脅分析的結果對智能網聯汽車目標對象的風險進行整體的評價，主要是識別風險發生的場景、對道路使用者或者乘客的影響以及攻擊成功的可能性。評價因素包括上一階段威脅分析的結果即攻擊潛力和破壞潛力的整體評價。

智能網聯汽車的信息安全風險評估方法如下：

1)針對一個風險場景，分析與該風險場景相關的所有威脅，并且列出全部威脅對應的攻擊潛力。

2)通過攻擊潛力的比對，可以明確這個風險場景的攻擊潛力的高低。同樣針對該風險場景，可以明確破壞潛力的高低。從而得到最終的風險評估結果。

針對不同的風險評估結果應依據風險策略的定義，制定不同的設計手段規避風險，從而能最終達到信息安全設計目標。

4 應用實例

以具備智能網聯功能的紅旗車型的基于威脅分析的信息安全風險評估過程為例，介紹產品開發過程中的應用方法。

在經過對整車資產的識別后，可以得出車輛或用戶的敏感數據是一個典型的安全資產。以這個安全資產為例，進行資產分析。

在資產分析階段可以明確車輛或用戶的敏感數據具備的安全目標包括：機密性、完整性和可用性要求。

針對機密性目標，進行車輛或用戶的敏感數據機密性的威脅分析，基于攻擊方法、攻擊路徑的匯總得出攻擊樹，見圖7。

圖7 敏感信息機密性分析攻擊樹

對攻擊樹的每一個攻擊方法和每一條攻擊路徑進行分析，可以得到車輛或用戶的敏感數據機密性的攻擊潛力，見表3。

表3 安全相關屬性

以用戶隱私的非法獲取作為攻擊場景為例，這個場景涵蓋的威脅包括車輛或用戶的敏感數據機密性的攻擊等，綜合分析所有威脅的攻擊潛力，評估用戶隱私場景的攻擊潛力為高。

結合攻擊影響：安全影響、隱私影響、經濟影響、操作影響，確定用戶隱私與隱私影響和經濟影響有關，評估其破壞潛力影響為中級。

綜合攻擊潛力和破壞潛力的分析結果，評估其信息安全風險為高。

5 結束語

隨著網聯信息化和自動駕駛智能化的發展，車輛的信息安全防護技術也被推到了技術前沿，作為基礎保障性技術得到了越來越多的重視。對整車的信息安全防護的廣度和深度完全依賴于信息安全風險評估的準確性、風險策略制定的合理性等因素。所以，針對整車以及整車相關的網聯和智能功能進行有效的風險評估是至關重要的，而基于威脅分析的信息安全風險評估方法能夠提供一個合理且規范的評價準則。