01引言

汽車行業(yè)正面臨著管理日益復(fù)雜的系統(tǒng)所帶來的巨大困難，軟件實(shí)現(xiàn)的功能占比逐年提高，跨領(lǐng)域、專業(yè)的知識與新技術(shù)也越來越多。隨著多核處理器、ADAS先進(jìn)駕駛輔助系統(tǒng)、自動(dòng)駕駛、車聯(lián)網(wǎng)Telematics等功能的出現(xiàn)，汽車的信息安全性能(遠(yuǎn)程攻擊、隱私信息)越來越受到消費(fèi)者、OEM廠商和監(jiān)管結(jié)構(gòu)的關(guān)注。同時(shí)原有的嵌入式系統(tǒng)特性，如定時(shí)、基于優(yōu)先級調(diào)度、內(nèi)存消耗等，仍然是汽車ECU面臨的挑戰(zhàn)。因此，需要通過適當(dāng)?shù)南到y(tǒng)方法來支持信息安全和ECU系統(tǒng)特性。

ECU的包括硬件和軟件兩部分，遵循V字模式進(jìn)行開發(fā)，從規(guī)范到設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、測試和生產(chǎn)。當(dāng)越來越多的OEM將現(xiàn)代無線通信（2G /3G /4G /5G）應(yīng)用在汽車上，提供語音和數(shù)據(jù)的傳輸業(yè)務(wù)的同時(shí)，也提供了FOTA的可能性。一旦車輛OEM決定執(zhí)行更新，F(xiàn)OTA一般可以分為六個(gè)步驟：

更新準(zhǔn)備；

如果需要，獲得監(jiān)管機(jī)構(gòu)的批準(zhǔn)；

獲取授權(quán)用戶的升級許可操作；

從FOTA服務(wù)到車輛的端到端固件傳輸，然后更新到需要更新的ECU上；

FOTA服務(wù)收到升級情況的反饋；

執(zhí)行其他相應(yīng)的管理工作

考慮到FOTA業(yè)務(wù)的流程和影響要素，有必要選取合適的方法用于評估FOTA面臨的信息安全風(fēng)險(xiǎn)，進(jìn)而定義OTA涉及的ECU在產(chǎn)線的信息安全需求，并設(shè)計(jì)出合適的產(chǎn)線工序和工藝方法。

02汽車信息安全標(biāo)準(zhǔn)適用性分析

2.1汽車信息安全標(biāo)準(zhǔn)

汽車信息安全由車聯(lián)網(wǎng)及相關(guān)電子產(chǎn)品和服務(wù)標(biāo)準(zhǔn)體系所涉及的車輛、終端、網(wǎng)絡(luò)、平臺和服務(wù)這五個(gè)方面組成。盡管工業(yè)界已有IEC-62443[1]等規(guī)范和標(biāo)準(zhǔn)，但為了應(yīng)對信息安全挑戰(zhàn)，汽車行業(yè)利用了本領(lǐng)域的一些已有經(jīng)驗(yàn)，例如基于國際電工委員會(huì)IEC-61508制定的ISO-26262[2]的框架來形成汽車行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范。

ISO的工作

2016年，ISO/TC22道路車輛技術(shù)委員會(huì)成立SC32/WG11 Cybersecurity信息安全工作組，工作組由美國SAE和ISO聯(lián)合成立（ISO/SAE/JWG Automotive Security），主要是制定代號為ISO-SAE 21434[3]的汽車信息安全國際標(biāo)準(zhǔn)。此標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評估管理、產(chǎn)品開發(fā)、生產(chǎn)/運(yùn)行/維護(hù)、流程審核等四個(gè)方面來保障汽車信息安全工程工作的開展。目標(biāo)是通過該標(biāo)準(zhǔn)設(shè)計(jì)、生產(chǎn)、測試的產(chǎn)品具備一定信息安全防護(hù)能力。此標(biāo)準(zhǔn)在2020年2月發(fā)布了版初稿。從汽車行業(yè)的角度來看，其表現(xiàn)的內(nèi)容主要是，汽車及附屬產(chǎn)品的信息安全需要在產(chǎn)品開發(fā)和整個(gè)供應(yīng)鏈的設(shè)計(jì)中實(shí)現(xiàn)對安全性的共同理解。

ISO-26262原本是屬于道路汽車功能安全的規(guī)范，它將故障模式和影響分析(FMEA)[4]和故障樹分析(FTA)[5]等安全評估技術(shù)標(biāo)準(zhǔn)化，并集成到汽車開發(fā)過程中。在2018年底，ISO-26262發(fā)布了第二版，其中的Part II的附件E給出了功能安全（Safety）與信息安全（Cybersecurity）交互的指導(dǎo)意見：

在管理上，建議進(jìn)行計(jì)劃和里程碑的調(diào)整，并進(jìn)行實(shí)時(shí)監(jiān)測；

在概念階段，重點(diǎn)關(guān)注TARA （Threat Analysis and Risk Assessment）與HARA（Hazard Analysis and Risk Assessment）之間的交互和協(xié)調(diào)；

在開發(fā)階段，持續(xù)進(jìn)行分析和識別兩者之間的潛在影響；

在生產(chǎn)/使用階段，信息安全事件解決策略需要考慮由于信息安全事件響應(yīng)，導(dǎo)致的設(shè)計(jì)變更對功能安全的潛在影響。

ISO/AWI-24089（Software update engineering）旨在為道路車輛OTA更新提供一個(gè)標(biāo)準(zhǔn)架構(gòu)，內(nèi)容涵蓋信息安全部分。工作組于2019年3月啟動(dòng)，預(yù)計(jì)發(fā)布時(shí)間在2024年。

在ISO-20078-3（Extended vehicle (ExVe) web services-Part 3[6]: Security）中，提出車輛數(shù)據(jù)被傳輸?shù)竭h(yuǎn)程且安全的服務(wù)器，需要為服務(wù)提供接口，以符合小化攻擊表面的目標(biāo)。

ISO-20828[7]描述了如何使用車輛公鑰來頒發(fā)和管理證書。

SAE的工作

SAE J3061[8]是ISO-SAE 21434的前身。該規(guī)范指出，網(wǎng)絡(luò)安全工程需要一個(gè)完整的生命周期過程，其定義借鑒了ISO 26262中描述的過程框架。但它沒有明確定義功能安全（Safety）與信息安全（Cybersecurity）在交互級別上的工程集成模式，也沒有將二者直接從過程上集成到一起。由于ISO-SAE 21434的開發(fā)，SAE J3061將進(jìn)行重新設(shè)計(jì)[9]，以涵蓋ISO-SAE 21434范圍之外的其他主題：[1]

SAE J3061-1 Automotive Cybersecurity Integrity Level：定義了AcSIL（Automotive Cybersecurity Integrity Level）和TARA。通過關(guān)聯(lián)AcSIL和ASIL（Automotive Safety Integrity Level）處理可能導(dǎo)致功能安全影響的威脅。

SAE J3061-2 Security Testing Method：主要概述了目前可用的汽車信息安全的軟硬件測試方法。

SAE J3061-2 Security Testing Tool：主要概述了目前可用的汽車信息安全測試工具以及每種工具的具備的測試能力。

SAE J3101（Requirements for Hardware-Protected Security for Ground Vehicle Applications）提出了硬件保護(hù)的地面車輛信息安全需求[10]。

SAE J3138（Guidance for Securing the Data Link Connector（DLC））是連接OBDII設(shè)備的安全通信指南[11]。

此外，正在開發(fā)中的SAE J1939-91 Part B（Bi-Directional secure Over The Air (OTA) communications via a telematics interface to the vehicle）和J1939-91 Part-C（In-Vehicle Network Security）都是跟信息安全相關(guān)的道路車輛標(biāo)準(zhǔn)規(guī)范。

ITU-T的工作

ITU-T的SG17主要負(fù)責(zé)通信安全研究與標(biāo)準(zhǔn)制定工作。目前已正式發(fā)布的標(biāo)準(zhǔn)有X.1373[12]。該標(biāo)準(zhǔn)旨在通過互聯(lián)網(wǎng)和/或ITS網(wǎng)絡(luò)在車輛對基礎(chǔ)設(shè)施（V2I）通信下應(yīng)用于ITS車輛內(nèi)的通信設(shè)備。此外，ITU-T還有一些正在制定中的相關(guān)標(biāo)準(zhǔn)：

X.itssec-2介紹了V2X通信系統(tǒng)的基本模型和用例，并給出了系統(tǒng)的安全要求[13]。

X.itssec-3的目標(biāo)與SAE J3138類似，當(dāng)外部設(shè)備(無論是否可連接電信網(wǎng)絡(luò))連接到OBDII端口時(shí)，它將識別安全問題，并定義適當(dāng)?shù)陌踩髞肀Ｗo(hù)這個(gè)外部接口[14]。

X.itssec-4旨在對車載控制網(wǎng)絡(luò)中的入侵檢測系統(tǒng)(IDS)進(jìn)行完整的指導(dǎo)[15]。該建議將包括對車載網(wǎng)絡(luò)和系統(tǒng)的攻擊類型進(jìn)行分類和分析。研究的重點(diǎn)是車載網(wǎng)絡(luò)，如控制器區(qū)域網(wǎng)絡(luò)(CAN)或CAN-FD，這是傳統(tǒng)的IDS不支持的。

X.itssec-5針對VEC（Vehicular Edge Computing，車輛邊緣計(jì)算）[16]，在威脅分析和風(fēng)險(xiǎn)評估的基礎(chǔ)上，提出了VEC的安全需求。

X.eivnsec包含一個(gè)汽車以太網(wǎng)的參考模型，以及一個(gè)基于以太網(wǎng)的車載網(wǎng)絡(luò)的威脅分析和脆弱性評估[17]。將定義基于以太網(wǎng)的車載網(wǎng)絡(luò)的安全需求和潛在用例。

UNECE的工作

UNECE（United Nations Economic Commission for Europe，歐洲經(jīng)濟(jì)委員會(huì)）可持續(xù)運(yùn)輸司的車輛條例協(xié)調(diào)世界論壇作為工作組(WP.29)受委托擬訂關(guān)于網(wǎng)絡(luò)安全[15]和空中更新[18]的條例草案。工作組考慮到國際工作組就ITS/AD制定的《WP29/2017/46網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)指南》及其他有關(guān)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)、實(shí)踐、指令和法規(guī)，和一些正在開發(fā)的標(biāo)準(zhǔn)，以及適用于汽車行業(yè)的現(xiàn)有標(biāo)準(zhǔn)[19]，定義了處理識別出的關(guān)鍵網(wǎng)絡(luò)威脅和漏洞的原則；并規(guī)定了如何滿足這些原則的詳細(xì)指導(dǎo)或措施；還考慮如何評估提出的要求達(dá)到或滿足。

[18]標(biāo)準(zhǔn)建議ITS（Intelligence Transport System）中的通信設(shè)備需要安全的軟件更新，以防止車上的通信設(shè)備受到篡改和惡意入侵等威脅。它包含了軟件更新的基本模型，對軟件更新進(jìn)行了威脅和風(fēng)險(xiǎn)分析，給出了相應(yīng)的安全需求，并為更新軟件模塊指定了一個(gè)抽象的數(shù)據(jù)格式。

下圖中，深色部分是[18]的討論范圍，右邊的淺色部分是[19]的討論范圍。

圖1 UNECE WP.29文檔GRVA-01-18和ITS/AD-08-09的區(qū)別

ETSI的工作

歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（European Telecommunications Standard Institute，ETSI）針對智能網(wǎng)聯(lián)汽車與智能交通系統(tǒng)制定了系列信息安全標(biāo)準(zhǔn)，涉及ITS安全服務(wù)架構(gòu)[20]、ITS通信安全架構(gòu)與安全管理[21]、可信與隱私管理[22]、訪問控制[23]和保密服務(wù)[24]等方面。

全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)的工作

我國通過全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)下屬的智能網(wǎng)聯(lián)汽車分技術(shù)委員會(huì)（編號為SAC/TC114/SC34）來領(lǐng)導(dǎo)智能網(wǎng)聯(lián)汽車領(lǐng)域的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。現(xiàn)已完成《汽車信息安全通用技術(shù)要求》、《車載網(wǎng)關(guān)信息安全技術(shù)要求》、《汽車信息交互系統(tǒng)信息安全技術(shù)要求》等3項(xiàng)汽車信息安全基礎(chǔ)標(biāo)準(zhǔn)和《電動(dòng)汽車遠(yuǎn)程管理與服務(wù)系統(tǒng)信息安全技術(shù)要求》、《電動(dòng)汽車充電信息安全技術(shù)要求》等2項(xiàng)行業(yè)急需標(biāo)準(zhǔn)的預(yù)研工作，并向國家標(biāo)準(zhǔn)化管理委員會(huì)提交了推薦性國家標(biāo)準(zhǔn)立項(xiàng)申請。還擬定了汽車信息安全標(biāo)準(zhǔn)的子體系框架，從評、防、測三個(gè)維度和基礎(chǔ)、共性、系統(tǒng)部件、功能管理四個(gè)層面對汽車信息安全標(biāo)準(zhǔn)制定進(jìn)行了梳理，并通過相關(guān)標(biāo)準(zhǔn)部分預(yù)留與其他信息安全標(biāo)準(zhǔn)體系的接口[25]。

圖2說明了上述規(guī)范標(biāo)準(zhǔn)各自應(yīng)對的不同的汽車信息安全方面。

圖2汽車信息安全規(guī)范概覽

2.2選擇適用標(biāo)準(zhǔn)

本文將選擇ISO-SAE 21434（及其前身SAE J3061），總結(jié)此規(guī)范的范疇、概念和方法，為課題的進(jìn)一步研究提供理論來源和方法指導(dǎo)。原因如下：

1、典型

ISO-SAE 21434是專門針對汽車信息安全的指南，目的如下[3]：

定義信息安全政策和流程;

管理信息安全風(fēng)險(xiǎn)；

培養(yǎng)安全文化。

ISO-SAE 21434為車輛系統(tǒng)的信息安全生命周期定義了一個(gè)過程框架，提供了與信息安全相關(guān)的工具和方法的指導(dǎo)和信息，詳細(xì)定義了各種安全活動(dòng)的目標(biāo)、輸入、輸出、條件、安全風(fēng)險(xiǎn)情況、安全評估、安全需求和產(chǎn)出物等，這些工具和方法適應(yīng)組織中現(xiàn)有的V字開發(fā)過程。

圖3 “V”模型中的功能安全與信息安全

同時(shí)，ISO-SAE 21434應(yīng)用步驟包括：資產(chǎn)識別->威脅識別->影響評級->攻擊路徑分析->攻擊可能性評價(jià)->風(fēng)險(xiǎn)評估（含風(fēng)險(xiǎn)評級）->風(fēng)險(xiǎn)分析與處理決策。這是典型的信息安全評估過程，符合ISO/IEC-27001的規(guī)范。

2、完備

SAE J3061是基于全生命周期的規(guī)范。ISO-SAE 21434標(biāo)準(zhǔn)填補(bǔ)了SAE J3061的一些空白并在事實(shí)上替代了SAE J3061，它明確了道路車輛及其部件和接口在整個(gè)工程(如概念、設(shè)計(jì)、開發(fā))、生產(chǎn)、運(yùn)營、維護(hù)和退役過程中的信息安全風(fēng)險(xiǎn)管理要求和處理過程、處理方法。圖4是ISO-SAE 21434的主要內(nèi)容[3]：

圖4 ISO-SAE 21434規(guī)范內(nèi)容結(jié)構(gòu)

除了詳盡規(guī)范了全生命周期內(nèi)安全活動(dòng)的定義和要求之外，ISO-SAE 21434和SAE J3061還提供了汽車信息安全領(lǐng)域可用的工具和方法，可在應(yīng)用規(guī)范過程中使用。表1是這兩個(gè)規(guī)范與其他規(guī)范的內(nèi)容對比：

表1 ISO-SAE 21434/SAE J3061內(nèi)容與其他汽車信息安全標(biāo)準(zhǔn)比較

ISO-SAE 21434 & SAE J3061

其他規(guī)范

全生命周期應(yīng)用

Yes

X.1373/X.itssec-5/ ISO-26262

與功能安全交互

Yes

ISO-26262(2018)

TARA工具

Yes

X.1373

分布式開發(fā)

Yes

N/A

安全測試方法

Yes

N/A

安全測試工具

Yes

N/A

3、先進(jìn)

盡管目前正在努力將ISO-26262擴(kuò)展到信息安全領(lǐng)域，但以往的任何汽車標(biāo)準(zhǔn)都沒有充分解決汽車的信息安全問題。備受期待的SAE J3061于2016年發(fā)布，被業(yè)內(nèi)人士視為填補(bǔ)了現(xiàn)代車輛信息安全工程這一重要空白。

ISO-SAE 21434目前還未正式發(fā)布，本文依據(jù)2020年2月發(fā)布的一版征求意見稿來進(jìn)行討論。目前看來，ISO-SAE 21434應(yīng)用的方法、思路、標(biāo)準(zhǔn)、過程與SAE J3061是匹配的，在SAE J3061基礎(chǔ)上增加了信息安全風(fēng)險(xiǎn)管理、信息共享、漏洞披露、信息安全監(jiān)控和事件應(yīng)對等內(nèi)容。這對于在實(shí)踐中探索的OEM、Tier1供應(yīng)商、車聯(lián)網(wǎng)服務(wù)商、監(jiān)管機(jī)構(gòu)等都具有指導(dǎo)性作用。

其中，ISO-SAE 21434針對汽車制造業(yè)的特點(diǎn)，提出了“分布式信息安全活動(dòng)”這一別于其他行業(yè)的概念和要求。

圖5 ISO-SAE 21434分布式信息安全活動(dòng)[42]

從目前的情況來看，國外已有多個(gè)廠商推出了基于ISO-SAE 21434的TARA管理產(chǎn)品，因此可以預(yù)見它將會(huì)成為行業(yè)的未來趨勢。

由于ISO-SAE 21434的發(fā)布，SAE J3061將進(jìn)行重新設(shè)計(jì)以涵蓋ISO-SAE 21434范圍之外的其他主題，更新之后的編號會(huì)改為SAE J3061A。

4、

ISO-SAE 21434和SAE J3061定義了支持網(wǎng)絡(luò)安全的基本指導(dǎo)原則和處理方法，對可能與信息安全相關(guān)的系統(tǒng)進(jìn)行潛在威脅的評估和風(fēng)險(xiǎn)評估，以確定是否存在可能導(dǎo)致安全違規(guī)的信息安全威脅。

現(xiàn)有的學(xué)術(shù)研究、政策法規(guī)制定和行業(yè)工程領(lǐng)域中，已經(jīng)大量參考、借鑒和應(yīng)用SAE J3061以及ISO-SAE 21434規(guī)范提供的思想、方法、過程和信息。這說明這兩個(gè)規(guī)范不但適用于汽車相關(guān)產(chǎn)品、服務(wù)、基礎(chǔ)設(shè)施的全生命周期，也受到學(xué)術(shù)界、主管機(jī)構(gòu)和汽車行業(yè)認(rèn)同[26]。

我國積極參與ISO-SAE 21434的開發(fā)與制定過程。2019年2月18日至22日，ISO/TC22/SC32/WG11(ISO/SAE JWG)汽車信息安全聯(lián)合工作組第九次會(huì)議在深圳召開，主要對ISO-SAE 21434在委員會(huì)征求意見草案(Committee Draft, CD)階段存在爭議和新收到的建議進(jìn)行進(jìn)一步討論和決議。本次會(huì)議由中國汽車技術(shù)研究中心有限公司承辦，華為技術(shù)有限公司協(xié)辦，來自中國、德國、美國等10余個(gè)國家團(tuán)出席會(huì)議[27]。

根據(jù)以上對ISO-SAE 21434和SAE J3061的內(nèi)容解析，可以認(rèn)為其適于用來做本文課題分析的參考依據(jù)，原因如下：

課題屬于汽車領(lǐng)域，規(guī)范具備針對性；

課題屬于汽車全生命周期的生產(chǎn)階段，規(guī)范涵蓋了生產(chǎn)階段；

課題中涉及的產(chǎn)線所用系統(tǒng)和工具都需要進(jìn)行需求定義、系統(tǒng)設(shè)計(jì)和開發(fā)、測試、生產(chǎn)、維護(hù)和退役的全周期過程，可以用規(guī)范進(jìn)行指導(dǎo)這一過程；

課題涉及的具備安全FOTA的ECU本身含有信息安全成分，需要應(yīng)用規(guī)范評估生產(chǎn)階段對其的信息安全風(fēng)險(xiǎn)；

課題涉及的產(chǎn)線在初始化ECU數(shù)據(jù)時(shí)需要聯(lián)網(wǎng)外部系統(tǒng)，與生產(chǎn)普通ECU相比增多了攻擊面，增加了被攻擊的概率。規(guī)范能夠正確識別威脅，評估安全風(fēng)險(xiǎn)并制定恰當(dāng)?shù)牟呗詠砜朔@些風(fēng)險(xiǎn)；

ISO-SAE 21434作為ISO規(guī)范，將會(huì)被大多數(shù)主流OEM及Tier 1供應(yīng)商所應(yīng)用，也很可能會(huì)被吸納為我國的國家標(biāo)準(zhǔn)的一部分。這對課題研究內(nèi)容來說具有遵從和參考的價(jià)值和意義。

03

信息安全風(fēng)險(xiǎn)評價(jià)方法和技術(shù)

根據(jù)SAE J3061和ISO-SAE 21434的建議，需要對汽車系統(tǒng)和服務(wù)的潛在威脅進(jìn)行初步分析，并對可能與信息安全和功能安全相關(guān)的內(nèi)容進(jìn)行風(fēng)險(xiǎn)評估，以確定是否存在可能導(dǎo)致安全漏洞和威脅。規(guī)范中應(yīng)用的方法被稱為“威脅分析與風(fēng)險(xiǎn)評估”（簡稱TARA）。TARA的定義是這樣：“在概念階段應(yīng)用的一種分析技術(shù)，用于幫助識別潛在威脅，并評估與識別相關(guān)的風(fēng)險(xiǎn)……”

本文的課題內(nèi)容涉及到的方面也應(yīng)該選取合適的TARA方法來確定具備安全FOTA功能的ECU在初始化數(shù)據(jù)時(shí)的安全資產(chǎn)（Assets）、安全威脅（Threats）和風(fēng)險(xiǎn)（Risks）。

以下將分析當(dāng)前信息安全領(lǐng)域使用并可用于汽車行業(yè)的典型技術(shù)和方法，然后根據(jù)本課題內(nèi)容選取合適的技術(shù)、方法。

3.1信息安全CIA模型

CIA模型是信息安全領(lǐng)域的一個(gè)概念，具有直觀、易于應(yīng)用的特點(diǎn)[28]：

C-機(jī)密性（Confidentiality）

機(jī)密性涉及動(dòng)態(tài)生成的數(shù)據(jù)或靜態(tài)數(shù)據(jù)。確保任何非目標(biāo)實(shí)體都無法讀取靜態(tài)數(shù)據(jù)和/或傳輸期間的報(bào)文

完整性（Integrity）

完整性涉及對軟件和數(shù)據(jù)的操縱或篡改;

可用性（Availability）

當(dāng)應(yīng)用CIA進(jìn)行風(fēng)險(xiǎn)評估時(shí)一般會(huì)使用專家評估的形式，針對被評估對象資產(chǎn)可能遭受的潛在安全威脅進(jìn)行分析，然后根據(jù)評估主體（如公司、等）對CIA的不同側(cè)重點(diǎn)，設(shè)置CIA的不同權(quán)重，并描述具體評分細(xì)則，評分方法可以表示如下公式：

(1)

其中，   、   和   表示機(jī)密性、完整性和可用性的權(quán)重，   、   和   表示表示機(jī)密性、完整性和可用性的評分值。

目前也有通過風(fēng)險(xiǎn)因素矩陣和神經(jīng)網(wǎng)絡(luò)來計(jì)算CIA的分值，進(jìn)而獲取評估風(fēng)險(xiǎn)結(jié)果的研究。

直接使用CIA進(jìn)行TARA的主要優(yōu)點(diǎn)是：

模型簡單，容易應(yīng)用；

評價(jià)方式直觀，容易得到評價(jià)結(jié)果。

缺點(diǎn)是：

依賴于專家對于TOE的熟悉和了解程度；

沒有統(tǒng)一的過程、方法指導(dǎo)，容易帶來對同一TOE評估結(jié)果不一致的情況；

評價(jià)參數(shù)過少，可能會(huì)導(dǎo)致評估結(jié)果失真。

3.2 STRIDE

STRIDE是微軟發(fā)明的一種威脅分析模型技術(shù)[29]，是一種結(jié)構(gòu)化和定性的安全方法，用于發(fā)現(xiàn)和枚舉軟件系統(tǒng)中存在的威脅，目前STRIDE方法的適用性已經(jīng)擴(kuò)展到汽車電子電氣系統(tǒng)。

S——Spoofing欺騙身份

T——Tampering篡改數(shù)據(jù)

R——Repudiation抵賴

I——Information disclosure信息泄露

D——Denial of service拒絕服務(wù)

E——Elevation of privilege提升特權(quán)

STRIDE通過將威脅映射到安全屬性，擴(kuò)展了CIA模型。該映射是靜態(tài)的，一旦某一對“威脅-資產(chǎn)”被確認(rèn)，就可以用其來制定信息安全要求。STRIDE威脅和安全屬性之間的映射如下所示(表2)。

表2 STRIDE與CIA的映射關(guān)系

STRIDE Threats

Explanation

Security Attribute

Spoofing

attackers pretend to be someone or something else

Authenticity, Freshness

Tampering

attackers change data in transit or in a data store, attackers may change functions as well –implemented in software, firmware or hardware

Integrity

Repudiation

attackers perform actions that cannot be traced back to them

Non-repudiation, Freshness

Information disclosure

attackers get access to data in transit or in a data store

Confidentiality, Privacy

Denial of service

attackers interrupt a system’s legitimate operation

Availability

Elevation of privilege

attackers perform actions they are not authorized to perform

Authorization

利用微軟提供的Microsoft Threat Modeling Tool來進(jìn)行TOE分析，繪制數(shù)據(jù)流圖（Data Flow Diagram，DFD），十分利于開展STRIDE威脅分析工作[30]。

3.3 Attack Tree Analysis

攻擊樹（Attack Tree）的概念早是美國國防部提出的，應(yīng)用于國防和航空航天領(lǐng)域，用于分析針對防篡改電子系統(tǒng)(例如飛機(jī)上的航空電子設(shè)備)的威脅[31]?；诠魳洌ˋTA）的分析方法適用于特征層或系統(tǒng)層，因此適用于汽車上的嵌入式系統(tǒng)。

ATA類似于貝爾實(shí)驗(yàn)室發(fā)明的安全故障樹分析(FTA，F(xiàn)ault Tree Analysis)，因此適合于評價(jià)多種威脅的組合(攻擊模式)[4]。由于需要TOE足夠多的細(xì)節(jié)，因此不適用于初次TARA。

SAE J3061附錄中推薦了ATA用于對潛在威脅和風(fēng)險(xiǎn)進(jìn)行評估[8]。

圖6 攻擊樹分析示例

3.4 EVITA

EVITA的全稱是“E-Safety Vehicle Intrusion Protected Applications”，是一個(gè)由歐盟委員會(huì)資助的項(xiàng)目[32]。項(xiàng)目于2008年啟動(dòng)，參與者包括MIRA、寶馬、博世、大陸、ESCRYPT、富士通和英飛凌等。項(xiàng)目的目標(biāo)是設(shè)計(jì)、驗(yàn)證和構(gòu)建車載網(wǎng)絡(luò)體系結(jié)構(gòu)原型，用于保護(hù)信息安全相關(guān)的組件不受篡改，敏感數(shù)據(jù)和隱私信息不被泄露。為了達(dá)到此目標(biāo)，EVITA借鑒了ISO/IEC 15408[33]提供的安全模型和方法，并結(jié)合了ISO-26262的生命周期過程，提出了“THROP”（THReat and OPerability Analysis，威脅和可操作性分析），從功能的角度考慮特定功能的潛在威脅。THROP源于在功能安全工程中的HAZOP (Hazard and OPerability Analysis)方法，使用ATA在功能級別基于分析的特征的主要功能定義威脅。THROP方法的步驟如下：

確定了該特征的主要功能；

應(yīng)用“導(dǎo)語”（guidewords）來識別潛在的威脅，例如“惡意非故意”的、“惡意錯(cuò)誤”的、“惡意喪失”的等；

從潛在的惡意行為中確定可能的壞情況。

表3 EVITA中使用THROP進(jìn)行風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)級別是基于嚴(yán)重性、攻擊概率和可控性措施的組合?！癝everity”從操作、安全、隱私和財(cái)務(wù)這4個(gè)方面評價(jià)威脅。為了對安全威脅進(jìn)行評級，采用了類似ASIL的方式將可控性、嚴(yán)重性和攻擊概率映射到不同風(fēng)險(xiǎn)級別(R0到R7和R7+)。

在汽車行業(yè)使用EVITA方法進(jìn)行TARA存在的問題是：

Severity的評級方法與ISO 26262標(biāo)準(zhǔn)中的方法不一致；

與安全有關(guān)的威脅和非安全有關(guān)的威脅(如隱私和財(cái)務(wù))的評價(jià)標(biāo)準(zhǔn)不同，因此可能導(dǎo)致評價(jià)工作不平衡，評估結(jié)果有偏差；

以概率表示的潛在攻擊手段，通過求和、小和運(yùn)算得到評估結(jié)果，這不是一種準(zhǔn)確的計(jì)算方法，很可能會(huì)引入失真（Distortion）。

3.5 OCTAVE

OCTAVE是“關(guān)鍵威脅、資產(chǎn)和脆弱性評估”（Operationally Critical Threat, Asset, and Vulnerability Evaluation）的簡稱，由卡耐基梅隆大學(xué)軟件工程研究所提出的一種系統(tǒng)化的信息安全風(fēng)險(xiǎn)評估方法[34]。OCTAVE評估分為3個(gè)階段8個(gè)過程，見圖7。

圖7 OCTAVE的評估階段和過程[98]

OCTAVE的專注點(diǎn)在于將信息安全的利益相關(guān)者（Stakeholders）聚集在一起，通過一系列研討會(huì)逐漸明確安全威脅和風(fēng)險(xiǎn)。但這種方法更適合于企業(yè)信息安全風(fēng)險(xiǎn)評估，不太適用于嵌入式的汽車系統(tǒng)。

3.6 HEAVENS

“HEAVENS”安全模型是一種針對車輛電子電氣（E/E）系統(tǒng)的信息安全威脅分析和風(fēng)險(xiǎn)評估的方法、流程及工具支持[35]。HEAVENS安全模型提出了一種系統(tǒng)的方法來推導(dǎo)汽車E/E系統(tǒng)的信息安全要求，考慮了目前的威脅分析和風(fēng)險(xiǎn)評估方法，采用3個(gè)步驟來分析安全需求：

威脅分析

HEAVENS安全模型使用STRIDE來進(jìn)行威脅分析。

風(fēng)險(xiǎn)評估

在基于STRIDE方法分析出 “威脅-資產(chǎn)”對（Threat-Asset Pair）之后，為每個(gè)“TA對”評定安全級別。風(fēng)險(xiǎn)評估包括三個(gè)步驟：

威脅等級的確定(Threat Level，TL)：針對威脅“可能性”來估計(jì)威脅的等級；

測定的影響水平(Impact Level，IL)：指的是發(fā)生安全問題后產(chǎn)生的“影響”嚴(yán)重程度；

測定安全級別(Security Level，SL)：這對應(yīng)于的風(fēng)險(xiǎn)評級，由TL和IL共同確定。

表4使用TL和IL評估SL

安全需求

一步是基于Asset、Threat、安全屬性和SL來推導(dǎo)安全需求。當(dāng)一個(gè)Asset具有安全級別“QM”，可能有需要也可能不需要為其制定額外的信息安全要求，這需要業(yè)務(wù)專家進(jìn)行評估；如果不是“QM”，就應(yīng)針對其他兩種情況制定信息安全要求。

圖8 HEAVENS安全模型的評估流程[98]

當(dāng)一個(gè)資產(chǎn)可能存在多個(gè)威脅時(shí)，分析可能基于與資產(chǎn)相關(guān)的所有威脅的多個(gè)威脅級別而具有多個(gè)安全級別。確定整個(gè)資產(chǎn)的安全級別的一種方法是考慮與資產(chǎn)相關(guān)的所有威脅的所有安全級別中的安全級別；另一種方法是考慮威脅級別和影響級別，以定義資產(chǎn)的安全級別。

HEAVENS受益于STRIDE的步驟和方法，使得其可以結(jié)構(gòu)化和系統(tǒng)化地發(fā)現(xiàn)潛在威脅，但是需要大量的工作來分析和確定單個(gè)威脅的IL和TL因子，進(jìn)而確定SL。

3.7 SAHARA

SAHARA名稱來自于STRIDE加上ISO 26262中的HARA的組合[36]，它在系統(tǒng)級對安全系統(tǒng)開發(fā)進(jìn)行了量化評估。SAHARA結(jié)合了HARA[2]和STRIDE方法[29]來跟蹤信息安全問題對系統(tǒng)功能安全的影響，根據(jù)資源(R)、實(shí)施威脅所需的知識(K)和威脅的臨界性(T)，采用ASIL方法量化分析應(yīng)用于STRIDE分析結(jié)果。R、K和T就決定了安全級別（SecL，Security Level）:

R、K和T的例子如下：

表5 SAHARA中的R、K和T參數(shù)示例

Level Knowledge Example

Resources Example

Threat Criticality Example

0

Average driver, unknown internals

No tools required

No impact

1

Basic understanding of internals

Standard tools, screwdriver

Annoying, partially reduced service

2

Internals disclose, focused interests

Non-standard tools, sniffer, oscilloscope

Damage of goods, invoice manipulation, privacy

3

Advanced tools, simulator, flasher

Life-threatening possible

SAHARA的量化計(jì)算方法不復(fù)雜，不需要太多的分析工作和被分析系統(tǒng)的細(xì)節(jié)。這使得SAHARA可以確定為某種特定威脅而分配的資源極限，并可以量化威脅對功能安全目標(biāo)影響。

3.8 TVRA

TVRA是“威脅、漏洞與實(shí)現(xiàn)風(fēng)險(xiǎn)分析”（Threat, Vulnerabilities, and implementation Risks Analysis）的縮寫，是一種流程驅(qū)動(dòng)的威脅評估/風(fēng)險(xiǎn)評估方法[37]。TVRA于2009年開發(fā)，2010年由歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)更新，當(dāng)前的標(biāo)準(zhǔn)編號為ETSI TS 102 165-1 V4.2.3。

TVRA需要10個(gè)步驟，從而系統(tǒng)地識別系統(tǒng)中要預(yù)防的不想要的事件。TVRA識別系統(tǒng)中的資產(chǎn)及其相關(guān)的弱點(diǎn)和威脅，并通過建模攻擊對系統(tǒng)弱點(diǎn)的可能性和影響來確定系統(tǒng)的風(fēng)險(xiǎn)。

TVRA是專門為數(shù)據(jù)網(wǎng)和電信網(wǎng)絡(luò)開發(fā)的，應(yīng)用于車輛的安全系統(tǒng)分析很困難。

3.9 FMVEA

FMVEA是“失效模式，脆弱性和效果分析”（Failure Mode, Vulnerabilities and E?ects Analysis）的簡稱。此方法基于IEC 60812[4]中描述的FMEA。Schmittner等人的[38][39]提出了該失效模式和失效效果模型，用于安全保障的因果分析。該工作通過量化威脅代理(分別為攻擊者)、威脅模式(通過STRIDE模型)、威脅效果和攻擊概率對威脅進(jìn)行分類。這種分析的一個(gè)普遍的局限性是只分析一個(gè)效果的單一原因，而忽略了多階段攻擊，因此考慮了FTA和ATA的組合來支持FMVEA。

FMVEA方法是基于FMEA的，因此不適用于早期開發(fā)階段（Concept Phase）的TARA工作、小結(jié)

本文介紹了目前汽車領(lǐng)域應(yīng)用較多的信息安全規(guī)范和標(biāo)準(zhǔn)，并選擇并分析SAE提出的SAE J3061和ISO-SAE聯(lián)合提出的ISO-SAE 21434的適用性，確定可以根據(jù)這兩個(gè)規(guī)范定義的方法和步驟來分析FOTA所涉及的TOE。

本文還對當(dāng)代信息安全的相關(guān)風(fēng)險(xiǎn)評價(jià)方法和技術(shù)進(jìn)行了綜合分析，總結(jié)了各種方法和技術(shù)的特點(diǎn)。根據(jù)對第3節(jié)中各種方法和技術(shù)優(yōu)勢和缺點(diǎn)的分析，可以總結(jié)為下表：

表6 汽車信息安全評估方法比較

適用的階段

優(yōu)勢

缺點(diǎn)

CIA

全部階段

簡單易用，評價(jià)方式直觀易懂。

依賴于專家對于TOE的熟悉和了解程度；無統(tǒng)一過程、方法指導(dǎo)，評估結(jié)果一致性不夠好；評價(jià)參數(shù)少，可能導(dǎo)致評估結(jié)果失真。

STRIDE

全部階段

適應(yīng)性好，可直接用于汽車系統(tǒng)的安全分析。

只能用于威脅的定性分析。

ATA

系統(tǒng)設(shè)計(jì)

多層次的威脅識別，可充分發(fā)現(xiàn)潛在危險(xiǎn)。

需要系統(tǒng)設(shè)計(jì)信息的大量細(xì)節(jié)才能實(shí)施。

EVITA

概念階段

結(jié)合了ISO/IEC-15408和ISO-26262，從多個(gè)方面進(jìn)行安全威脅分析。

部分不符合ISO 26262標(biāo)準(zhǔn)；安全和非安全的威脅評價(jià)標(biāo)準(zhǔn)不同，可能導(dǎo)致評價(jià)失衡；評估結(jié)果計(jì)算方法不夠準(zhǔn)確。

OCTAVE

N/A

了所有相關(guān)人員進(jìn)行安全分析，分析結(jié)果細(xì)致。

更適合企業(yè)級的安全風(fēng)險(xiǎn)分析。

HEAVENS

全部階段

使用STRIDE模型，可結(jié)構(gòu)化和系統(tǒng)化的方法發(fā)現(xiàn)潛在威脅。

是需要大量的工作來分析和確定單個(gè)威脅的IL和TL因子。

SAHARA

概念階段

使用STRIDE模型，量化計(jì)算方法簡單，不需要太多的分析工作和被分析系統(tǒng)的細(xì)節(jié)。

與功能安全強(qiáng)關(guān)聯(lián)，缺乏多層次分析可能導(dǎo)致一些威脅遺漏。

TVRA

N/A

專門為數(shù)據(jù)網(wǎng)和電信網(wǎng)絡(luò)開發(fā)。

很難應(yīng)用于車輛信息安全分析。

FMVEA

系統(tǒng)設(shè)計(jì)

使用STRIDE模型，量化分析攻擊者、威脅和攻擊可能性。

缺乏多層次分析可能導(dǎo)致一些威脅被遺漏；因使用FMEA，只能在系統(tǒng)階段使用。

根據(jù)上表的分析結(jié)果，單獨(dú)使用某一種技術(shù)進(jìn)行汽車系統(tǒng)的信息安全分析是不夠的，需要結(jié)合各自的優(yōu)勢。

根據(jù)課題的后續(xù)研究內(nèi)容，需要在生產(chǎn)階段識別出具備FOTA功能的ECU數(shù)據(jù)初始化過程中的信息安全風(fēng)險(xiǎn)，定義相應(yīng)的信息安全需求，并根據(jù)需求設(shè)計(jì)產(chǎn)線方法、流程和步驟。在ISO-SAE 21434規(guī)范中明確要求ECU生產(chǎn)相關(guān)工具和環(huán)境的實(shí)現(xiàn)也需要進(jìn)行全生命周期考慮，因此也需要在ECU的生產(chǎn)階段實(shí)施信息安全評估。

HEAVENS安全模型由于其適合全生命周期分析，且容易跟STRIDE、ATA相結(jié)合的特性，適合后續(xù)的分析工作。以后將改進(jìn)HEAVENS安全模型以適應(yīng)生產(chǎn)階段的信息安全需求，并結(jié)合STRIDE和ATA來進(jìn)行ECU生產(chǎn)線開發(fā)的概念階段和系統(tǒng)設(shè)計(jì)階段的信息安全分析。