本文節(jié)選自：《使用多層安全方法并配置防火墻以保護互聯(lián)汽車》
文末附下載方式

摘要對車輛網絡安全的需求越發(fā)迫切，因為車輛系統(tǒng)面臨著多方面的惡意威脅。白帽黑客已經證明他們可以遠程侵入互聯(lián)車輛的儀表板功能和變速箱。為應對由此造成的威脅，各國政府正在制定法令以確定自動駕駛車輛的責任（美國 2017 年的自動駕駛法案即是其中一例）。因此，防火墻是為車輛提供保護以及保證車輛整體安全性和可靠性的多層方法的關鍵。西門子 Mentor 業(yè)務部高級開發(fā)工程經理艾哈邁德·馬吉德·汗博士 (Dr. Ahmed Majeed Khan)

一、汽車軟件安全威脅汽車裝備的軟件比我們當下使用的最復雜的機器還要多。2009 年 10 月發(fā)布的科技縱覽(IEEE Spectrum) 報告指出，美國空軍裝備的F-22 猛禽一線噴氣戰(zhàn)斗機包含 170 萬行軟件代碼。F-35 聯(lián)合攻擊戰(zhàn)斗機包含 570 萬行代碼，波音 787 夢想客機包含 650 萬行代碼。與此同時，一輛普通汽車包含 1 千萬行以上的代碼。而梅賽德斯奔馳 S 級轎車等高端品牌汽車包含 2 千萬行以上的代碼。如今，福特的F-150 卡車包含 1.5 億行代碼。在互聯(lián)性、電氣化和無人駕駛的大趨勢下，汽車軟件內容的關聯(lián)度越來越高。軟件的復雜性和互聯(lián)性使汽車越發(fā)容易遭受安全威脅，人們已經記錄了許多現(xiàn)實案例。資深黑客查利·米勒 (Charlie Miller) 和克里斯·瓦拉塞克(Chris Valasek) 曾遠程侵入一輛吉普大切諾基，他們不僅能控制這輛車的變速箱，還侵入并控制了包括雨刷在內的其他功能；這輛車最終被撞毀。4 在該事件后，克萊斯勒公司被迫召回了140 萬輛吉普。同一年，這兩位黑客又通過控制器局域網 (CAN) 的車載自動診斷系統(tǒng) (OBD)端口控制了另一輛吉普，而且他們可以控制剎車和轉向系統(tǒng)。2015 年，一位安全研究員使用一臺廉價的自制設備演示了對通用公司安吉星遠程連接系統(tǒng)的攻擊。通過本次攻擊，他可以跟蹤車輛、解鎖車輛、按響喇叭和警報器并發(fā)動引擎。5 2018 年，黑客利用加密漏洞并克隆遙控鑰匙在幾秒鐘內就盜走了一輛特斯拉 Model S。6 在黑帽網絡攻擊下，沒有任何品牌的汽車是安全的，因為當今時代可以從互聯(lián)網和開源資源隨意獲取汽車黑客手冊和低成本黑客工具，例如 Wireshark 和ChipWhisperer。Upstream Security 在其 Global Automotive Cyber-security Report 2019 7 中提供了一系列數(shù)據(jù)，指明成功的黑帽網絡攻擊數(shù)量在不斷增長。從 2010 年到 2018 年，數(shù)量增長了 6 倍，而且網絡攻擊途徑五花八門，包括 OBD 端口、OEM 應用程序以及遠程入侵。網絡攻擊不僅數(shù)量猛增而且效率極高，人們對開發(fā)安全解決方案的需求越發(fā)迫切。政府的介入達到前所未有的程度，并制定了各種法規(guī)以預防網絡攻擊。

二、汽車網絡安全基本知識
美國高速公路安全管理局 (NHTSA) 根據(jù)威脅分析方法展開了一項汽車網絡安全研究項目。該項目使用一個威脅模型識別了潛在攻擊造成影響所需具備的條件。該模型將威脅分成不同的類別，以便根據(jù)不同的威脅分組來制定規(guī)避措施。NHTSA 的模型綜合使用了三種建模方法。它使用微軟的 STRIDE、ASF 和 Open Web Application Security Project 的 Trike 作為基準。

NHTSA 威脅模型中的威脅類型借用自微軟的 STRIDE：欺騙身份。

在身份欺騙威脅中，應用或程序可以偽裝成其他人并獲取通常不受程序允許的有利條件。

篡改數(shù)據(jù)。數(shù)據(jù)篡改涉及惡意修改數(shù)據(jù)，包括在未獲授權的情況下更改數(shù)據(jù)庫以及更改在計算機之間流動的數(shù)據(jù)。抵賴。舉一個抵賴方面的示例；比如，用戶或程序拒絕承認某件正確或合理的事情的真實性。

信息泄露。信息泄露威脅指將信息泄露給無權獲取該信息的個體。例如，用戶可以閱讀他們無權閱讀的文件，或者侵入者可以讀取在計算機之間傳輸?shù)臄?shù)據(jù)。

拒絕服務。這些攻擊拒絕為有效用戶提供服務。例如，使用非法請求對網站進行淹沒攻擊，使網站不可用或不穩(wěn)定，導致合法用戶無法獲得服務。

提升權限。未獲授權的用戶通過更改組成員身份等方法獲取授權訪問權限，從而可以侵入或破壞系統(tǒng)。

三、攻擊面黑客對汽車進行網絡攻擊時，第一步是在車輛中找到攻擊途徑，即確定攻擊面。第二步是侵入電子控制單元 (ECU)。第三步是找到可以利用和黑入的控制功能以侵入某些功能。汽車的攻擊面可以分為四個類別：

直接物理攻擊。直接物理攻擊可以通過線束連接器、OBD 或充電端口或車輛網絡發(fā)起。制造商和消費者必須認識到汽車的使用環(huán)境相當惡劣。車主可能將車借給他人或送去維修；在這些情況下，黑客可以直接以物理方式侵入汽車。

間接物理攻擊。間接物理攻擊使用惡意軟件威脅進行攻擊，這種威脅以 CD、SD 卡、USB 設備或固件升級等形式出現(xiàn)，并可以在車內投放特洛伊木馬病毒。

無線攻擊。短距離無線包括 Wi-Fi、藍牙、近場通信 (NFC) 和射頻 (RF)。在互聯(lián)的無人駕駛環(huán)境中，汽車需要配備所有這些技術，但這會擴大汽車的受攻擊面。

傳感器欺騙。盡管很少有新聞或研究指出黑客通過控制傳感器來制造網絡攻擊，但可以肯定的是，傳感器是潛在的受攻擊面。波音 737 MAX空難的潛在原因就是傳感器發(fā)出非法數(shù)據(jù)并造成邏輯行為錯誤，最終導致了不幸的墜機事故。傳感器數(shù)據(jù)可能被操控并產生不準確的數(shù)據(jù)，為黑客提供了另一個攻擊面。

四、汽車開放系統(tǒng)架構 (AUTOSAR)

討論安全性之前，有必要先了解一下汽車開放系統(tǒng)架構 (AUTOSAR)。AUTOSAR 是汽車利益相關方于 2003 成立的世界范圍內的開發(fā)合作組織。它追求的目標是為車用電子控制單元制定和確立開放和標準的軟件架構。AUTOSAR 的目標涵蓋了軟件在不同平臺以及跨程序間的擴展性、維護性以及轉移性等諸多方面。如下圖所示，位于頂層的是應用程序軟件組件，它們通過標準化接口與運行時環(huán)境交互。運行時環(huán)境與軟件模塊進行交互，這些模塊可以用于服務或通信。同樣，軟件通過標準化接口與底層硬件進行交互。AUTOSAR 合作聯(lián)盟設置了管理層或工作結構；在負責制定規(guī)范的技術層面上，相關管理主體被稱為工作組，負責管理已發(fā)布的規(guī)范。

AUTOSAR 分層式架構WG-SEC 是安全工作組，在聯(lián)盟中負責汽車安全方面的工作。安全性工作組成立于 2014 年11 月，其任務是改進安全措施并將其擴展到AUTOSAR 中，并為安全的異構汽車軟件架構采用一套整體方法。AUTOSAR 成立于 2003 年，但直到 2014 年聯(lián)盟才認識到有必要并最終成立了一個單獨的安全工作組。AUTOSAR 使用一套加密技術規(guī)范。在硬件抽象層，使用的是加密接口模塊；而在服務層，規(guī)范提供了加密服務管理器。加密規(guī)范提供的不是安全概念而是加密服務，這些服務可以用來支持并落實安全概念。

AUTOSAR 加密服務（來源：AUTOSAR）在 AUTOSAR 中，傳輸單元是協(xié)議數(shù)據(jù)單元(PDU) 和支持這些 PDU 的網關，該網關稱為PDU 路由器 (PduR)。實現(xiàn) AUTOSAR 安全通信的方法是在 PduR 層級進行集成。如圖中所示，PduR 負責將傳入的和傳出的與安全相關的信息 PDU (IPDU) 路由到 SecOC 模塊。SecOC隨后添加或處理與安全相關的信息，并將結果以 IPDU 的形式傳播回 PduR。PduR 隨后負責將IPDU 路由到它們的目標位置。

AUTOSAR 安全板載通信 (SecOC)
五、多層安全方法
保護互聯(lián)汽車需要多層安全方法，而防火墻是其中的關鍵。開放式系統(tǒng)互聯(lián) (OSI) 模型將通信功能標準化為七層架構（三層為媒體層，四層為主機層），必須對這七層加以保護才能將應用程序視為安全的應用程序。整體安全策略必須能在每個層級或使用層級提供保護。邊緣節(jié)點或網關節(jié)點最容易遭受攻擊，因為它們暴露在外部環(huán)境中，需要最多的保護。車輛網絡內部的節(jié)點不會直接暴露，而且 PDU 層過濾可以為這些節(jié)點提供基本的保護。在第 2層（即 OSI 的數(shù)據(jù)鏈路層）中，作為行業(yè)標準的媒體訪問控制安全 (MACsec) 為直接連接節(jié)點之間的以太網鏈接提供了點對點的安全，并且可以識別和阻止大多數(shù)安全威脅，包括拒絕服務、入侵、中間人攻擊、偽裝攻擊、被動竊聽和重放攻擊。對于與媒體訪問無關的協(xié)議，MACsec 定義了無連接數(shù)據(jù)的保密性和完整性。在第 3 層（即網絡層）中，互聯(lián)網協(xié)議安全(IPsec) 是一套彼此互相作用的協(xié)議，可以通過IP 網絡提供安全的專用通信，支持系統(tǒng)建立和維護與安全網關的安全通道；虛擬專用網絡(VPN) 即是其中一例。在第 6 層（即表示層）中，傳輸層安全 (TLS)提供了專門用于提供網絡通信安全的加密協(xié)議。網站可以使用 TLS 保護其服務器與網絡瀏覽器之間的所有通信，而 TLS 協(xié)議則主要用于確保以客戶端-服務器模式運行的兩個或多個通信中的計算機應用程序之間的隱私和數(shù)據(jù)完整。在 AUTOSAR 層級，數(shù)據(jù)傳輸單元是 PDU。AUTOSAR 的安全板載通信 (SecOC) 規(guī)范專為保護這些 PDU 的安全而制定。同樣，在第 2 層（數(shù)據(jù)層）和第 3 層（網絡層）之間，可以部署一道防火墻來屏蔽未使用的端口或阻止探測這些端口和過濾數(shù)據(jù)用例。

多層安全方法
六、使用防火墻抵御威脅
防火墻是網絡元素，它根據(jù)特定的安全策略來控制穿越安全網絡邊界的數(shù)據(jù)包傳輸。

安全策略是一系列過濾規(guī)則列表，定義了針對數(shù)據(jù)包執(zhí)行的操作。

過濾規(guī)則由一組過濾字段組成，例如協(xié)議類型、源地址、目標地址、源端口、目標端口和操作字段。

過濾字段列舉了實際網絡流量中相應字段針對該特定規(guī)則可能采用的值。一個過濾字段可以是單個值，也可以是一系列值，并且可以用于創(chuàng)建黑名單或白名單來阻止或允許來自或定向到特定源地址的流量。根據(jù)這組規(guī)則，防火墻可以確定是接受數(shù)據(jù)包以進一步處理，還是丟棄數(shù)據(jù)包并記錄該事件。配備防火墻的網絡布局可以控制數(shù)據(jù)包的傳輸。它不僅可以保護內部網絡免受外部環(huán)境中惡意數(shù)據(jù)的威脅，還可以保護外部環(huán)境免受網絡內部生成的潛在惡意數(shù)據(jù)的威脅。防火墻可以保護網絡在汽車內的部分；因此，當某個具體的 ECU 遭到侵入時，ECU 的漏洞不會被用來攻擊網絡的安全部分。

配備防火墻的網絡布局
七、防火墻設計注意事項
規(guī)則式過濾，也稱為數(shù)據(jù)包過濾或靜態(tài)過濾，是設計防火墻的首要注意事項。這種類型的過濾不保留數(shù)據(jù)包的狀態(tài)。它的基礎是過濾引擎中可配置的規(guī)則，過濾引擎可以支持協(xié)議、源 IP地址和 MAC 地址過濾，并且可以用于創(chuàng)建白名單和黑名單過濾。

規(guī)則式過濾

動態(tài)過濾。

其他類型的防火墻使用動態(tài)過濾，也稱為電路級網關或狀態(tài)數(shù)據(jù)包檢測。動態(tài)過濾可以根據(jù)連接的狀態(tài)阻止數(shù)據(jù)包。它可以檢查具有較多端口的非特許端口的傳入流量，確定它對之前要求建立連接的傳出請求的響應未被侵入。動態(tài)過濾可以支持 IP 標頭選項、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報協(xié)議 (UDP) 標志和可配置的數(shù)據(jù)包生存時間 (TTL)。其中應用的高級原理是，過濾引擎選擇網絡數(shù)據(jù)包并根據(jù)規(guī)則執(zhí)行具體的邏輯，決定是允許數(shù)據(jù)包通行還是丟棄數(shù)據(jù)包并加以記錄和報告。

動態(tài)過濾深度數(shù)據(jù)包檢測又稱應用層網關，它支持對消息中的每個單獨字段進行控制和驗證，并根據(jù)類型、內容和來源過濾消息。它通常用于保護工業(yè)自動化和控制系統(tǒng)的安全。

深度數(shù)據(jù)包檢測（應用層網關）閾值過濾可以根據(jù)超過閾值的值來阻止數(shù)據(jù)包以免受拒絕服務攻擊、廣播風暴攻擊和其他類型的數(shù)據(jù)包淹沒攻擊。閾值過濾以網絡流量模式為基礎。該方法使用閾值來判斷應在哪個層級丟棄或阻止網絡流量。與閾值過濾相比，靜態(tài)過濾的效率較低。閾值過濾可以實時判斷網絡流量模式，確定要設置哪些閾值，以及針對特定數(shù)據(jù)包應做出哪些決定和采取哪些過濾措施。

閾值過濾協(xié)議過濾是一種防火墻方法，它根據(jù)一組與應用層協(xié)議相關的規(guī)則來丟棄數(shù)據(jù)包，可以設置用于以太網、互聯(lián)網協(xié)議 (IP)、互聯(lián)網控制消息協(xié)議 (ICMP)、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報協(xié)議 (UDP)。如果流量符合規(guī)則設置的準則，那么協(xié)議過濾可以終止應用層連接，并將流量重新發(fā)送到目標。

協(xié)議過濾數(shù)據(jù)日志記錄和警報也是很重要的防火墻設計注意事項。應妥善保存記錄了安全事件和策略違例事件的日志。還應妥善記錄對防火墻策略的更改，以便為審核和取證提供支持。事件日志記錄可以用于取證調查，以及確定攻擊來源和將來要采取的措施。其他優(yōu)點還包括實時分析和幫助制定風險緩解策略。

數(shù)據(jù)日志記錄和警報
互聯(lián)汽車環(huán)境是設計防火墻時需要考慮的另一事項。最先進的尖端防火墻技術以人的使用模式為基礎，并應用了人工智能和機器學習技術；與之相比，互聯(lián)汽車環(huán)境以汽車內較小的功率和內存足跡以及 ECU 為特點，其內在效率非常重要。

內在效率 - 可配置性、CPU 負載、內存

過濾引擎處理各個數(shù)據(jù)包時遵循的規(guī)則是必須具備足夠的內存并且它將占用 CPU 周期。從可重復使用的角度來看，應用這些規(guī)則十分重要。防火墻設計者應根據(jù)具體的用例來部署最為合適的防火墻。可配置性是其中的關鍵 - 在應用了 ECU 的具體場景、用例或情景下，可以根據(jù)需要啟用或停用規(guī)則集。最后要考慮的設計事項是當數(shù)據(jù)包進入網絡后，應盡早采取過濾措施。太晚過濾可能會無法阻止破壞。當網絡遭受數(shù)據(jù)包淹沒攻擊時，應考慮拒絕服務攻擊。如果數(shù)據(jù)包能夠在網絡中存留較長時間，那么攻擊目的就達到了。當遭受數(shù)據(jù)包淹沒攻擊時，如果太晚才丟棄數(shù)據(jù)包，那么設備可能會變得不穩(wěn)定。防火墻應部署在 TCP/IP 層級的第 2 層和第 3層之間。TCP/IP 具有防火墻發(fā)揮作用所需的全部信息：源 IP 地址、目標、MAC 地址等等。如果在網絡內部深度部署防火墻，那么防火墻可以更高效地發(fā)揮作用；在處理直接暴露到外部網絡的高風險網關時，這是尤為需要注意的事項。

八、結語
早期檢測。早期檢測是在互聯(lián)汽車中使用防火墻抵御安全威脅的關鍵。因為黑客會尋找缺乏抵抗力的端口來入侵網絡，屏蔽所有未設防的端口并記錄在這些端口中違反了規(guī)則的數(shù)據(jù)包非常重要?？膳渲眯浴？膳渲眯詫τ趦仍谛蕵O為重要；要實現(xiàn)內在效率，需要能夠單獨啟用或禁用過濾規(guī)則。如果可以使用企業(yè)級安全管理系統(tǒng)執(zhí)行遠程配置，那么這將是一項巨大優(yōu)勢?，F(xiàn)有的某些解決方案支持對安全策略的集中管理，并提供了其他一些優(yōu)勢，例如遠程監(jiān)控設備的健康狀態(tài)、支持分析等。標準化。標準化極為關鍵；應根據(jù) AUTOSAR 安全策略管理器貫徹防火墻安全理念。我們建議通過 AUTOSAR 為連通性防火墻定義一套規(guī)范。汽車行業(yè)必須證明自己的產品值得信賴才能使人們信任互聯(lián)汽車。安全保護不是營銷賣點，而是駕駛互聯(lián)汽車的必備條件，防火墻在多層安全方法中始終保持關鍵作用。

參考文獻

1. Charette, Robert N., “This Car Runs on Code,” IEEE Spectrum, February 1, 2009, https://spectrum.ieee.org/transportation/systems/this-car-runs-on-code2. Burkacky, O., Deichmann, J., Doll, G., and Knochenhauer, C. “Rethinking car softwareand electronics architecture,” McKinsey & Company, February 2018, https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/rethinking-car-software-and-electronics-architecture3. Fox, Zohar, “How Do We Trust the Software in A Driverless Car,” Forbes, June 2018, https://www.forbes.com/sites/startupnationcentral/2018/06/05/how-do-we-trust-the-software-in-a-driverless-car/4. ”Hackers Remotely Kill a Jeep on the Highway – With Me in It,” Wired, July 21, 2015, https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/5. Greenberg, Andy, ”This Gadget Hacks GM Cars to Locate, Unlock, and Start Them,”Wired, July 30, 2015, https://www.wired.com/2015/07/gadget-hacks-gm-cars-locate-unlock-start/6. “Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob,” Wired,September 29, 2018, https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/7. Upstream Security, Global Automotive Cybersecurity Report 2019, https://www.upstream.auto/ upstream-security-global-automotive-cybersecurity-report-2019/.8. www.autosar.org

識別二維碼原文下載：
《使用多層安全方法并配置防火墻以保護互聯(lián)汽車》