李木犀 陈博 李康 戚岩 陈雷爽

（中国第一汽车集团有限公司 智能网联开发院，长春市，130011）

主题词：威胁分析 攻击树 风险评估 攻击潜力

1 前言

1.1 智能网联汽车

随着互联网、大数据、云计算、人工智能等技术的发展和应用，智能网联汽车应运而生，并逐渐成为全球汽车产业关注的焦点。未来，汽车将会成为互联网社会的智能终端之一。在政策和市场的共同作用下，我国的智能网联汽车技术将发展迅猛。

智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置，融合现代通信与网络技术，实现车与X（人、车、路、后台等）智能信息交换共享，具备复杂的环境感知、智能决策、协同控制和执行等功能，实现安全、舒适、节能、高效行驶，并最终可替代人来操作的新一代汽车[1]。但在人们享受智能网联汽车所带来的更多、更新、更便捷的体验同时，智能化和网联化所导致的信息安全问题也向智能网联汽车提出了新的挑战。

1.2 信息安全开发流程

近年来，智能网联汽车被破解攻击事件频频发生，国内、外的整车厂和相关管理部门逐步开始关注到智能网联汽车信息安全的重要性，并开始规划和部署自己的信息安全管理部门。业界普遍认为智能网联汽车的信息安全应是贯穿于整个汽车开发流程的，针对每个整车开发阶段信息安全都应有相应的解决方案。

本论文根据智能网联汽车整车开发过程中的信息安全工作经验，整理出以下信息安全开发流程：

1)威胁分析：在汽车产品需求分析阶段，要进行信息安全威胁分析，包括风险建模、安全资产划分、风险评估、攻击路径分析等内容。

2)需求分析：在汽车产品功能设计阶段，结合汽车产品装备定义、功能分配及信息安全威胁分析结果，定义出整车产品涉及的整个智能网联体系的信息安全需求。

3)信息安全方案设计：在车辆产品系统设计阶段，结合需求分析，对各零部件有针对性地提出信息安全设计方案。在车辆产品设计阶段，对部件级信息安全设计中提到的某些较独立完整的信息安全功能进行组件设计。

4)功能开发：在汽车产品开发阶段，实施信息安全设计的开发工作。

5)信息安全功能测试：在汽车产品功能测试阶段，完成信息安全功能正向验证测试以及结合产品功能的联合测试。

6)信息安全渗透验证：在汽车产品功能测试阶段，以模拟黑客对汽车产品信息安全进行攻击的黑盒测试方式，验证信息安全开发是否能够达到预期效果，并查找是否存在信息安全设计阶段遗漏的安全漏洞和隐患。

7)最后针对验证报告对开发进行修复调整。

本文主要针对第一部分的设计方法进行工作流程和方法的描述和介绍。

2 威胁和风险

2.1 信息安全威胁对比

威胁是对信息系统的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害。威胁可能源于偶发的或蓄意的事件。一般来说，威胁总是要利用信息系统中的操作系统、应用程序或服务的弱点才可能成功地对资产造成伤害。智能网联汽车的信息安全借鉴传统信息系统的安全威胁和攻击手段，并衍生智能网联汽车独有的信息安全。

智能网联汽车与传统信息系统因目标对象不同、目标对象的系统性能不同，所以安全威胁不完全相同，其入侵目的和攻击手段也略有不同。下文从入侵目的和攻击手段两方面对比传统信息系统和智能网联汽车的安全威胁。

2.1.1 入侵目的

对于信息系统的入侵目的，总结为七类：执行进程、获取文件和数据、进行非授权操作、获取超级用户权限、使系统拒绝服务（使目标系统中断或者完全拒绝对合法用户、网络、系统或其他资源的服务）、篡改信息、披露信息。对于智能网联汽车的入侵目的，总结为六类行为：增进影响力进行的研究行为、为了获取用户数据信息的行为、为了获取车辆设计信息的行为、为了进行恶意远程控制的攻击行为、为了获取行驶数据或增加隐性消费的行为。

2.1.2 攻击手段

攻击可以按照不同的类型分类，比如攻击者身份、使用的工具、存在的缺陷、攻击目标、攻击方式、未授权的结果、攻击目的等[2]。对于信息系统的攻击手段，总结为五类：口令攻击、拒绝服务攻击DOS、利用性攻击、信息收集型攻击、假消息攻击。有些攻击手段可以直接应用于智能网联汽车上，但也有一些针对汽车的特殊攻击手段，比如CAN网络接入攻击、OBD接口攻击等。

2.2 智能网联汽车信息安全威胁

随着智能网联汽车不断壮大发展，各大汽车厂家纷纷推出具有车联网功能的汽车，但与此同时也让汽车信息安全面临着威胁。通过近年来出现的各类汽车安全事件的搜集、分析和整理，结合我国汽车产业界发展中面临到的实际问题，以及结合汽车电子电气系统和传统信息系统的不同之处，本文从车内到车外，按照基础芯片元器件、关键控制器软硬件设备、内部通信网络、车载操作系统及应用、外接终端设备和云服务平台六个层面归纳出汽车领域当前面临的主要信息安全威胁。

2.2.1 基础芯片元器件层面

智能网联汽车中大量使用的传感器、控制器的处理芯片等本身就可能存在设计上的缺陷或者漏洞，诸如信号干扰、缓冲区溢出、缺乏签名校验机制等。

2.2.2 关键控制器软硬件设备层面

智能网联汽车控制器，比如车载远程通信终端、中央网关这类关键设备在认证、鉴权、逆向信号分析等方面都可能存在较高安全风险，能够被攻击者操控利用。传统安全机制由于在复杂度和实时性方面不适用于汽车电子应用场景而无法直接部署应用。

2.2.3 内部通信网络层面

智能网联汽车的CAN总线，是一种事件驱动的控制器网络，CAN控制器能够将它们的信息传播到所有连接节点和所有接收节点，从而独立的判断它们是否在处理信息。CAN网络优先级驱动CSMA/CD访问控制方法使得CAN网络在遭受攻击的时候通信信道会被堵塞[3]。CAN的机制设计及其不安全，缺乏必要的加密和访问控制机制，通信不认证，消息不校验，面临消息伪造、拒绝服务、重放攻击等一系列风险。

2.2.4 车载操作系统及应用层面

车载信息娱乐系统的操作系统一般使用传统信息系统的软件版本，比如：安卓系统、Linux系统等。系统本身存在各种已知或未知的漏洞威胁，且易于被攻击者利用安装未知应用程序，窃取各类数据。严重时，甚至可能将风险传导至车内网络中的其他控制器，对驾驶安全造成一定隐患。

2.2.5 外接终端设备层面

一是外接终端设备安全水平的参差不齐引入安全风险的不确定性，带来了更多的未知安全隐患；二是部分接入终端设备可以利用OBD接口直接读写车内总线数据，发送伪造控制信息指令，严重干扰汽车正常功能。

2.2.6 云服务平台层面

智能网联汽车的云服务平台负责车辆控制和敏感数据的传输存储，一般都存在传统操作系统的漏洞及虚拟资源调度问题，大部分平台目前访问策略偏弱，攻击者能够伪造凭证访问并获取大量数据，对车辆本身及用户数据隐私构成威胁，甚至影响到部分可远程控制的车辆功能。

3 风险管理

风险管理是信息安全的全生命周期开发过程中贯穿始终的针对风险问题的管理方法，即针对智能网联汽车的网络安全风险管理的流程。风险管理流程中包括制定不同层级运用风险管理的方案、制定风险评估在业务链上和不同开发情景中的分工、定义风险威胁管理的步骤和概要内容、定义风险评估的具体步骤等。智能网联汽车信息安全风险管理的主要目的是识别风险并对风险进行评估，风险评估的结果是风险管理的必要输出也是智能网联汽车信息安全开发过程中信息安全方案设计的基础。本文介绍的基于威胁分析的智能网联汽车信息安全风险评估方法属于风险管理流程中前两个步骤的设计方法。风险管理流程如图1所示。

图1 风险管理流程

3.1 风险识别方法

智能网联汽车信息安全风险识别基于三个步骤实现：

首先要基于智能网联汽车目标对象的功能和场景进行安全资产识别，在该过程中明确具有信息安全风险且需要保护的对象；

其次是针对安全资产进行分析，是明确安全资产具体安全属性的过程；

最后针对资产进行基于攻击树模型的威胁分析，识别出针对该资产的全部风险和攻击方法。

3.2 资产识别

早期的智能网联汽车是在传统车的电子电气架构基础上增加了智能和网联的功能，随着自动驾驶技术和网联信息化技术的发展，目前智能网联汽车几乎都是在高速网络通信要求、自动驾驶功能要求、功能安全要求、信息安全要求等技术功能需求基础上建立的全新的电子电气架构平台。对于智能网联汽车的资产识别一般也是从电子电气架构入手。从资产实体的分布形式识别，资产可以分为：传感器、执行器、控制器、网关、车内网络等。从资产的表现形式识别，资产可以分为数据、软件、硬件、服务等，而从需要保护的业务过程和活动以及所关注信息的角度来识别，资产类型可包括基于ECU的控制功能、与特定车辆相关的信息、车辆状态信息、用户信息、配置信息、特定的软件、内容等[4]。

资产识别主要是对整车、车辆子系统、零部件、控制器、硬件、软件、处理器等进行信息安全相关性的识别。经过资产识别可以得到明确的与信息安全相关的资产，进而针对这些资产进行资产分析，从而确定资产面临的威胁。资产识别的输入输出关系如图2所示。

图2 资产识别关系图

资产识别的过程在于确定资产范围中的内容是否具有攻击面。攻击面指的是攻击一个资产目标可以采用的所有方式，寻找资产目标的攻击面可以判断该资产是否是与信息安全具有相关性。主要采用以下方法对系统、子系统或部件级的资产的攻击面进行识别：

1)该资产是否与外部网络有基于物理连接或无线连接的通信传输通道？比如移动互联网络、Wi-Fi接口、蓝牙接口等；

2)该资产是否与内部网络有基于物理连接或无线连接的通信传输通道？比如CAN、以太网；

3)该资产是否具有诊断接口；

4)该资产是否具备电子设备或硬件产品；

5)该资产是否带有软件；

6)该资产是否带有传感器；

7)该资产是否是电动的，是否需要充电。

与信息安全要求相关的资产是需要进行保护的安全资产，比如：车辆信息、敏感数据信息、密钥信息、车内通信和诊断、升级过程、控制过程、配置和记录信息等。与信息安全要求不相关的资产不需要进行安全保护，比如基于机械控制的子系统，它不具备信息安全的攻击面。

3.3 资产分析

在确定信息安全相关资产后进行资产分析，明确安全目标，并根据资产的信息安全关联性确定资产具备的信息安全属性。资产分析的输入输出关系图如图3所示。

图3 资产分析关系图

信息安全属性包括机密性、完整性、可用性。安全性相关的影响包括安全影响、隐私影响、经济影响、执行影响等。每一个属性的含义见表1，影响的说明见表2。

表1 安全相关属性

表2 安全相关影响

资产分析的过程是针对每一个与信息安全相关的资产的安全属性的识别。识别方法主要依赖于对安全资产的功能或者性质的分析。主要依据的步骤是：

1)该资产是否具有机密性要求；

2)该资产是否具有完整性要求；

3)该资产是否对可用性有要求。

经过资产识别和资产分析之后，可以明确威胁分析的范围，明确智能网联汽车中哪个系统、子系统、部件等需要进行信息安全防护。这样的分析过程规定了对资产的梳理过程，可以有效避免对于安全资产的遗漏，避免信息安全风险分析的缺失。

3.4 威胁分析方法

威胁分析是对资产的信息安全风险进行识别，分析风险和威胁对资产的破坏性。威胁分析以信息安全资产分析的结果作为输入条件。威胁分析的输入输出关系图如图4所示。

图4 威胁分析关系图

对于攻击路径的识别基于攻击树的分析方法，它明确了攻击目的、攻击目标、攻击方法等。攻击树分析方法是信息安全行业中较常用的分析方法，它的使用一般会结合攻击场景的分析。智能网联汽车体系的复杂性决定了它具有较多的攻击场景和攻击路径，因此基于攻击树的分析也更加复杂。攻击树模型如图5所示。

图5 攻击树模型

结合攻击树和攻击场景进行威胁分析的具体方法步骤是：

1)资产分析的结果作为输入项；

2)选择攻击该资产的安全属性作为攻击目的；

3)针对攻击目的，分析不同的攻击方法；

4)进一步明确攻击方法的实现路径；

5)选择攻击该资产的其他安全属性作为攻击目的；

6)针对攻击目的，分析不同的攻击方法；

7)循环上述步骤，直至完成全部安全资产的分析。

在完成全部的攻击树分析后，应进行潜在威胁分析评估。潜在威胁分析评估指的是针对一条攻击链中的每一个攻击方法的攻击潜力进行评估。攻击潜力即实现一个攻击方法的难易程度，结果可能是潜力高亦或是没有潜力。评价攻击潜力主要依据以下五个要素：

1)时间代价，即攻击需要花费的时间；

2)专家专业知识，即是否具备专业的技术能力；

3)对目标的了解，即是否熟悉攻击目标的相关知识内容；

4)有利时机，即是否具备攻击的适宜的时机；

5)设备，即是否需要硬件工具、软件工具或其他设备。

结合五个影响要素能够得出攻击潜力的不同结果。以CAN网络通信的机密性举例。因为CAN网络通信在设计之初没有考虑到任何的信息安全问题，从当时的设计思路来看，车辆是一个封闭的个体，CAN通信不会面临数据或报文的安全问题，所以导致现在车内的CAN网络存在明文数据、报文广播式、报文无完整性校验、无身份认证识别等信息安全问题。对它的攻击可以通过OBD接口，所需攻击时间较少、不需要专家级的技术人员、CAN总线的技术难度低、攻击时机较多、不需要特殊或高成本的设备工具，因此其攻击潜力是高的，也成为基础型攻击。

攻击树中一个层级的攻击潜力的最高程度代表了这个层级的上一层级节点的攻击潜力。依次类推，可以得到安全资产的攻击潜力。攻击潜力是进行风险评估的主要输入条件。

综上所述，威胁分析明确了威胁和风险存在的具体形式、攻击方法和攻击链路。威胁分析的结果，即攻击潜力可以作为下一步风险评估的输入。

3.5 风险评估方法

在智能网联汽车的产品生命周期中，需要在产品生命周期的不同环节进行信息安全风险评估。比如产品功能概要设计阶段、产品详细设计阶段、产品量产前的阶段等。风险是一直贯穿信息安全设计开发过程的关键索引，对于风险的策略制定、风险的防护措施、风险的留存等过程都需要一个合理的风险评估结果的支撑。

通过风险评估明确风险策略，进而才能确定风险应对措施。风险评估的输入输出关系图见图6。

图6 风险评估关系

风险评估是根据威胁分析的结果对智能网联汽车目标对象的风险进行整体的评价，主要是识别风险发生的场景、对道路使用者或者乘客的影响以及攻击成功的可能性。评价因素包括上一阶段威胁分析的结果即攻击潜力和破坏潜力的整体评价。

智能网联汽车的信息安全风险评估方法如下：

1)针对一个风险场景，分析与该风险场景相关的所有威胁，并且列出全部威胁对应的攻击潜力。

2)通过攻击潜力的比对，可以明确这个风险场景的攻击潜力的高低。同样针对该风险场景，可以明确破坏潜力的高低。从而得到最终的风险评估结果。

针对不同的风险评估结果应依据风险策略的定义，制定不同的设计手段规避风险，从而能最终达到信息安全设计目标。

4 应用实例

以具备智能网联功能的红旗车型的基于威胁分析的信息安全风险评估过程为例，介绍产品开发过程中的应用方法。

在经过对整车资产的识别后，可以得出车辆或用户的敏感数据是一个典型的安全资产。以这个安全资产为例，进行资产分析。

在资产分析阶段可以明确车辆或用户的敏感数据具备的安全目标包括：机密性、完整性和可用性要求。

针对机密性目标，进行车辆或用户的敏感数据机密性的威胁分析，基于攻击方法、攻击路径的汇总得出攻击树，见图7。

图7 敏感信息机密性分析攻击树

对攻击树的每一个攻击方法和每一条攻击路径进行分析，可以得到车辆或用户的敏感数据机密性的攻击潜力，见表3。

表3 安全相关属性

以用户隐私的非法获取作为攻击场景为例，这个场景涵盖的威胁包括车辆或用户的敏感数据机密性的攻击等，综合分析所有威胁的攻击潜力，评估用户隐私场景的攻击潜力为高。

结合攻击影响：安全影响、隐私影响、经济影响、操作影响，确定用户隐私与隐私影响和经济影响有关，评估其破坏潜力影响为中级。

综合攻击潜力和破坏潜力的分析结果，评估其信息安全风险为高。

5 结束语

随着网联信息化和自动驾驶智能化的发展，车辆的信息安全防护技术也被推到了技术前沿，作为基础保障性技术得到了越来越多的重视。对整车的信息安全防护的广度和深度完全依赖于信息安全风险评估的准确性、风险策略制定的合理性等因素。所以，针对整车以及整车相关的网联和智能功能进行有效的风险评估是至关重要的，而基于威胁分析的信息安全风险评估方法能够提供一个合理且规范的评价准则。