UNECE WP.29如何遏制汽车网络安全威胁

在过去的5年中，大多数汽车制造商都采用了能够提供驾驶员辅助功能的先进硬件，例如自动转向，制动，自适应巡航控制，自动停车，防撞，车道变换辅助等等。

其中一些高级驾驶辅助系统（ADAS），如特斯拉自动驾驶仪AI，大众ID.3，以及其他一些，如通用汽车的超级巡航，是标准配置和装备在车辆中。其他驾驶员辅助系统作为外部设备提供，如 comma.ai，您可以将其直接插入车辆的车载诊断II（OBD-II）端口，以访问车辆的计算机和体验级别2（转向和加速）自动驾驶。

ADAS依赖于从车辆外部环境收集的多个实时数据源，以执行其功能并安全地执行这些功能。来自摄像头的视觉数据，来自LiDAR的成像，用于距离测量的雷达，遥测数据（如速度，位置和跟踪）以及车对车通信只是值得一提的几个数据源。

为了支持ADAS，远程信息处理、网关、信息娱乐系统和其他ECU之间也需要进行协作和通信，并通过控制器局域网（CAN总线）进行。通信扩展到各种技术，如蓝牙，高速宽带或移动网络，如LTE和5G，您可以在其中锁定和解锁车门，启动发动机并查看车辆状态或停放位置。所有这些都是通过手机应用程序完成的。请务必不要忘记您的个人识别码（PIN）！

虽然拥有一个秘密的4位数PIN码会让你感到温暖和舒适，但这还不足以确保你的车辆的网络安全。随着当今的互联、自动化和自动驾驶汽车变得越来越复杂，潜在网络攻击的危险也大大增加。

欧洲经委会 WP.29 车辆网络安全

经过大量准备，联合国欧洲经济委员会（UNECE）于2020年6月23日发布了监管要求，概述了汽车制造商必须纳入其组织和车辆的新流程和技术。这不仅适用于原始设备制造商 （OEM），还适用于 Tier 1 和 Tier 2 软件和硬件组件以及移动服务。

新法规适用于54个国家，被称为UNECE WP.29网络安全和网络安全管理系统（CSMS）。这意味着汽车制造商需要在组织结构中加入一个基于风险的管理框架，以发现、分析和防范相关威胁、漏洞和网络攻击。我相信您可以按照ISO 26262-2的要求，将安全性纳入您现有的质量管理体系（QMS）和流程中，以实现质量和安全性。

此外，ECE WP.29对车辆类型（M类和N类，包括L6类和L7类，如果从3级开始配备自动驾驶功能）有要求，包括测试其网络安全控制的实施和通过检查。成功实现组织和车辆ECE WP.29关键要求意味着制造商从批准机构获得合规证书。2022 年 6 月之后，没有此证书的新车将无法在欧盟销售。

ECE/TRANS/WP.29/2020/79附件5表B1中的威胁和相应缓解措施的一小部分样本清单如下所示。表 B1 重点介绍了与车辆通信通道相关的威胁和缓解活动。请注意，缓解“应”语句表示必须满足的要求，而缓解“应该”语句表示在减轻威胁的努力中的演示。

WP.29第7.3.3段还提到车辆制造商应如何进行详尽的“风险评估”，但没有告诉您如何进行评估。然而，第5.3.1（a）段暗示了有关风险评估知识的各种标准。其中之一是汽车网络安全标准ISO/SAE 21434 - 道路车辆 - 网络安全工程。

ISO/SAE 21434 道路车辆 — 网络安全工程

ISO和SAE组织的联合工作组于2020年5月发布了针对汽车制造商和供应商的ISO/SAE 21434草案。该标准旨在确保：

网络安全风险得到成功管理。

定义了网络安全策略和流程。

培养网络安全文化。

标准草案分为各种“条款”或部分。引起我注意的条款之一是关于“风险评估方法”，其中需要考虑威胁和损害情况。威胁，例如欺骗CAN消息到动力总成ECU的攻击路径，可能导致失控和可能的伤害。由于攻击可能来自各种媒介，如蓝牙、LTE、USB 或物理访问 ISO/SAE 21434，因此威胁已按攻击可行性评级进行分类：

高

中等

低

非常低

纵深防御方法，即在攻击可以穿透一层的情况下利用网络安全措施层，需要记录并实施。道路车辆-功能安全标准ISO 26262将解决安全影响。

网络安全保证级别

威胁路径也与损害相吻合。已定义以下损坏影响等级：

严重

主要

温和

微不足道

可以根据威胁和损坏情况确定网络安全保证级别 （CAL）。CAL 4 级别要求网络安全设计、测试和审查达到最高级别的严谨性。CAL 1 需要低级别的严谨性。

基于影响和攻击向量参数的 CAL 确定示例

分配给软件或硬件组件的 CAL 级别可能会影响用于其开发和测试的方法。例如，推荐了用于集成的验证方法，例如基于需求的测试、接口测试、资源使用评估、控制流和数据流以及软件的静态代码分析。在代码单元级别，可以建议在语句或分支上进行结构覆盖。下表显示了派生测试用例的推荐方法。复选标记表示建议。

派生测试用例的方法

贯穿整个 SDLC 的网络安全

根据 ISO/SAE 21434，网络安全必须从 V 模型的左侧和右侧解决。作为一名嵌入式工程师，您知道这代表了整个软件开发生命周期。从需求开始，进入设计、实现、集成和验证 & 验证 （V&V）。

因此，请确保您具有可靠的应用程序生命周期管理 （ALM） 或需求管理 （RM） 工具。除了您的利益相关者和所有其他安全监管要求外，还需要满足ECE WP.29网络安全要求。采用可追溯性矩阵将确保不会错过任何网络安全要求。

百软标准合规性和测试配置

对于 V&V，ISO/SAE 21434 建议使用静态代码分析、控制和数据流验证、边界值分析、结构代码覆盖率等测试方法。

开始满足网络安全要求的一个完美地方是使用SEI CERT，CWE，OWASP和MISRA C：2012等编码标准。这些编码标准和其他标准都可以在编写代码和/或作为持续集成 （CI） 管道的一部分时检测安全漏洞。

按照标准的建议采用结构化代码覆盖率，以便了解哪些软件尚未经过测试。考虑汽车行业正在发生的演变转变，以及它不仅将如何影响ISO/SAE 21434标准，还将如何影响所使用的开发工具。确保他们可以轻松适应这种进展。例如，检查该工具是否已通过TÜV认证，可用于安全关键型系统。当该工具也获得网络安全关键系统认证时，它将处于有利地位。

审核编辑：郭婷