UNECE WP.29如何遏制汽车网络安全威胁

在过去的 5 年中，大多数汽车制造商都采用了能够提供驾驶员辅助功能的先进硬件，例如自动转向、制动、自适应巡航控制、自动泊车、防撞、变道辅助等等。

其中一些高级驾驶辅助系统（ADAS）如特斯拉自动驾驶仪AI，大众ID.3和其他系统，如通用汽车的Super Cruise，是标准配置并配备在车辆中。其他驾驶员辅助系统作为外部设备提供，例如 comma.ai，您可以将其直接插入车辆的车载诊断II（OBD-II）端口，以访问车辆的计算机并体验2级（转向和加速）自动驾驶。

ADAS依赖于从车辆外部环境收集的多个实时数据源，以便安全地执行其功能。来自摄像头的视觉数据、来自 LiDAR 的成像、用于距离测量的雷达、速度、位置和跟踪等遥测数据以及车对车通信只是值得一提的几个数据源。

远程信息处理、网关、信息娱乐系统和其他支持ADAS的ECU之间也需要进行协作和通信，并通过控制器局域网（CAN总线）进行。通信扩展到各种技术，如蓝牙，高速宽带或移动网络，如LTE和5G，您可以在其中锁定和解锁车门，启动发动机并查看车辆状态或停车位置。所有这些都是通过手机应用程序完成的。请务必不要忘记您的个人识别码（PIN）！

虽然拥有一个秘密的 4 位数 PIN 会让您感到温暖和舒适，但这还不足以确保您的车辆网络安全。随着当今的互联、自动化和自动驾驶汽车变得越来越复杂，潜在网络攻击的危险也大幅增加。

ECE WP.29 车辆网络安全

经过大量准备，联合国欧洲经济委员会（UNECE）于2020年6月23日发布了监管要求，概述了汽车制造商必须在其组织和车辆中采用的新流程和技术。这不仅适用于原始设备制造商 （OEM），也适用于第 1 层和第 2 层软件和硬件组件以及移动服务。

新法规适用于54个国家，被称为UNECE WP.29网络安全和网络安全管理系统（CSMS）。这意味着汽车制造商需要在组织结构中加入基于风险的管理框架，以发现、分析和防范相关威胁、漏洞和网络攻击。我相信您可以按照ISO 26262-2的要求将安全性纳入现有的质量管理体系（QMS）和流程中，以实现质量和安全。

此外，ECE WP.29对车辆类型（M类和N类，如果从3级开始配备自动驾驶功能，则包括L6和L7类别）有要求，包括测试其网络安全控制的实施和通过检查。成功实现组织和车辆ECE WP.29关键要求意味着制造商从批准机构获得合规证书。2022 年 6 月之后，没有此证书的新车将无法在欧盟销售。

ECE/TRANS/WP.29/2020/79附件5表B1中威胁和相应缓解措施的一小部分样本列表如下所示。表 B1 重点介绍了与车辆通信渠道相关的威胁和缓解活动。请注意，缓解“应”语句表示必须满足的要求，而缓解“应该”语句表示努力缓解威胁的演示。

表B1 - 减轻与“车辆通信渠道”有关的威胁
表A1参考资料	对“车辆通信渠道”的威胁	裁判	缓解
4.1	通过冒充欺骗消息（例如队列行驶期间的 802.11p V2X、GNSS 消息等）。	M10	车辆应验证其接收消息的真实性和完整性。
5.1	通信信道允许将代码注入到车辆持有的数据/代码中，例如篡改的软件二进制文件可能被注入到通信流中。	M10 M6	车辆应验证其接收消息的真实性和完整性。 系统应通过设计实现安全性，以最大程度地降低风险。
6.1	Accepting information from an unreliable or untrusted source.	M10	The vehicle shall verify the authenticity and integrity of messages it receives.
7.2	Gaining unauthorized access to files or data.	M8	Through system design and access control it should not be possible for unauthorized personnel to access personal or system critical data. An example of Security Controls can be found in OWASP.
11.1	Malicious internal (e.g. CAN) messages.	M15	应考虑检测恶意内部消息或活动的措施。

WP.29第7.3.3段还提到车辆制造商应如何进行详尽的“风险评估”，但没有告诉您如何进行该评估。然而，第5.3.1（a）段暗示了有关风险评估知识的各种标准。其中之一是汽车网络安全标准ISO/SAE 21434 - 道路车辆 - 网络安全工程。

ISO/SAE 21434 道路车辆—网络安全工程

来自 ISO 和 SAE 组织的联合工作组于 2020 年 5 月发布了针对汽车制造商和供应商的 ISO/SAE 21434 表格草案。该标准旨在确保：

网络安全风险得到成功管理。

定义了网络安全策略和流程。

培养网络安全文化。

标准草案分为各种“条款”或部分。引起我注意的条款之一是“风险评估方法”，其中需要考虑威胁和损害情况。威胁，例如向动力总成ECU欺骗CAN消息的攻击路径，可能导致失控和可能的伤害。由于攻击可能来自各种媒介，如蓝牙、LTE、USB 或物理访问 ISO/SAE 21434，因此威胁已按攻击可行性评级进行分类：

高

中等

低

非常低

纵深防御方法是指在攻击可以穿透一层的情况下利用网络安全措施层，需要记录并实施。道路车辆将解决安全影响 - 功能安全标准ISO 26262。

网络安全保证级别

威胁路径也与损害相吻合。定义了以下损坏影响等级：

严重

主要

温和

微不足道

可以根据威胁和损害场景确定网络安全保证级别 （CAL）。CAL 4 级别要求在网络安全设计、测试和审查方面具有最高水平的严格性。CAL 1 要求严格程度较低。

基于影响和攻击向量参数的 CAL 确定示例

	攻击向量
物理的	当地	邻近的	网络
冲击	微不足道	_-	_-	_-	_-
温和	CAL 1	CAL 1	CAL 2	CAL 3
主要	CAL 1	CAL 2	CAL 3	CAL 4
严重	CAL 2	CAL 3	CAL 4	CAL 4

分配给软件或硬件组件的 CAL 级别可能会影响用于其开发和测试的方法。例如，有推荐的集成验证方法，例如基于需求的测试、接口测试、资源使用评估、控制流和数据流以及软件的静态代码分析。在代码单元级别，建议在语句或分支进行结构覆盖。下表显示了派生测试用例的推荐方法。复选标记表示建议。

派生测试用例的方法

主题	卡尔
1	2	3	4
需求分析	✔	✔	✔	✔
等价类的生成和分析			✔	✔
边界值分析			✔	✔
错误猜测

整个 SDLC 的网络安全

根据 ISO/SAE 21434，网络安全必须从 V 模型的左侧和右侧解决。作为嵌入式工程师，您知道这代表了整个软件开发生命周期。从需求到设计、实施、集成以及验证和确认（V&V）。

因此，请确保您拥有可靠的应用程序生命周期管理 （ALM） 或需求管理 （RM） 工具。除了您的利益相关者和所有其他安全监管要求外，还需要满足ECE WP.29网络安全要求。采用可追溯性矩阵将确保不会错过任何网络安全要求。

对于 V&V，ISO/SAE 21434 推荐了静态代码分析、控制和数据流验证、边界值分析、结构代码覆盖率等测试方法。

开始满足网络安全要求的理想场所是使用 SEI CERT、CWE、OWASP 和 MISRA C：2012 等编码标准。这些编码标准和其他类似标准可以在编写代码和/或作为持续集成 （CI） 管道的一部分时检测安全漏洞。

按照标准的建议采用结构代码覆盖率，以便您知道哪些软件尚未经过测试。考虑汽车行业正在发生的进化转型，以及它将如何影响ISO/SAE 21434标准，以及正在使用的开发工具。确保他们可以轻松适应这种进展。例如，检查该工具是否已通过 TÜV 认证，可用于安全关键系统。当该工具也获得用于网络安全关键系统的认证时，它将做好充分准备。

审核编辑：郭婷