全球研究显示 ,高度自动化无人驾驶车辆的市场份额正在快速增长。分析师预计,未来10到15年将标志着自动驾驶交通从试点项目向大规模普及的重大转变。这一趋势正在全球范围内加速发展:欧洲已推出超过35个自动驾驶汽车试点项目,而美国和中国每周的商业出行量分别超过45万次和25万次。然而, 该报告指出, 一些障碍正在减缓这一进程。其中一个障碍是法律责任和监管方面的不确定性,包括安全保障领域。供应商、制造商、企业客户和最终用户之间的责任分配仍然是讨论的焦点。
每个市场参与者对确保自动驾驶汽车安全问题的看法都不尽相同。对汽车制造商而言,这意味着要对车辆的道路行驶行为负责,并对供应商进行严格审查。对供应商而言,这意味着从一开始就将安全机制直接融入其解决方案架构中,并确保其有效性。对保险公司而言,这意味着要彻底改造其风险模型,不仅要考虑事故,还要考虑潜在的软件故障和网络攻击。最终,所有人都认同一个基本观点:安全必须是车辆的基础功能,而不是可有可无的附加功能。
多年来,关于汽车安全的讨论主要集中在功能安全方面。换句话说,目标是确保车辆系统正常运行,并将潜在故障带来的风险完全消除或降低到可接受的水平。ISO 26262 标准“道路车辆——功能安全” 正是为了应对这一挑战而制定的,并作为汽车行业的基准。
然而,现代联网汽车是一个复杂的网络物理系统,它存储和处理海量数据,包括敏感信息。这导致了一些新的基本需求的出现。如果用马斯洛需求层次理论中的两个层次来类比,现代汽车必须:
满足“尊重”的需求——这意味着它必须安全可靠地存储用户个人资料数据,例如帐户凭证、生物识别数据、支付详情等。
满足用户的认知需求——这意味着它必须提供安全的互联网连接、传输车辆遥测数据,并发送定期或紧急维护提醒。
这一切都意味着车辆需要配备各种各样的接口——远程信息处理、蓝牙、Wi-Fi、蜂窝网络连接、OTA更新和V2X—— 这也为远程攻击打开了方便之门。因此,不仅要确保车辆的功能安全,还要确保其信息安全。为此,大多数国家都制定了专门的行业标准来应对汽车网络安全挑战。关键的国际标准包括 ISO/SAE 21434《道路车辆——网络安全工程》 、 UNECE R155 和 UNECE R156 。
中国的法规也在不断发展。2024年,中国发布了国家标准 GB 44495-2024《车辆网络安全技术要求》 ,该标准于2026年1月1日生效。该文件对车辆网络安全提出了强制性要求,包括通信保护、安全事件管理、威胁监控以及车辆与外部基础设施的安全交互。
理解和应用这些标准变得至关重要。 研究表明,网络安全风险与日俱增,其对功能安全的影响有时会引发比内部系统故障更危险的事件。如果攻击者获得了自动驾驶卡车的远程控制系统访问权限,或者在未经授权的诊断会话期间设法刷新了关键的电子控制单元,会发生什么?
缓解这些情况的关键组件之一是安全网关,它根据重要性将车辆架构隔离到不同的域中,同时提供安全的路由、过滤和流量控制。开发此类软件解决方案正是我们团队的重点,我们正在基于 KasperskyOS 构建 Kaspersky Automotive Secure Gateway 。
卡巴斯基汽车安全网关 (KASG) 的主要目的是保障车辆 CAN 域的安全。CAN 总线承担着海量关键控制指令的传输,覆盖车内近 80% 的电子控制单元(ECU),包括发动机管理、制动系统以及车身电子等关键功能。基于此,我们采用“安全感知型网络安全”方法——一种融合功能安全与网络安全要求的统一架构,确保在不影响车辆安全性的前提下,实现全面而可靠的防护。
例如,标准的端到端保护机制(E2E)通常用于降低 CAN 报文丢失、乱序或数据损坏所带来的风险。然而,这些机制最初并非为应对定向网络攻击而设计。如果攻击者设法构建符合所需 E2E 格式的恶意帧,系统可能会将其视为有效帧。
这就引入了一个新的因素:不仅要验证信息是否正确送达,还要确保信息确实由可信的电子控制单元 (ECU) 生成,并且在传输过程中未被篡改。这一点对于传输控制指令(例如发送至车辆制动系统的指令)或实现无钥匙进入 (NFC) 系统尤为重要。
为了应对这一挑战,车辆架构中集成了安全车载通信 (SecOC) 机制。这些机制采用加密方法来验证消息的真实性和完整性,从而保护系统免受信息伪造和重放攻击。KASG 成功实现了这些机制,除了消息验证之外,这些机制还执行集中式密钥管理的关键功能。这使得加密密钥可以从车辆内部的单一位置进行分发和更新,从而降低了成本,并减轻了参与 SecOC 支持的数据交换的 ECU 的处理负载。
然而,在复杂的系统中,仅仅对单个消息或独立的网络段应用安全机制已远远不够。必须提供全车范围的监控和控制,跟踪行为异常、不寻常的跨域交互以及未经授权的篡改尝试。在IT领域,这被称为入侵检测系统(IDS)。汽车行业也已成功采用了这些系统。
同时,必须认识到,对于现代车辆而言,入侵检测系统 (IDS) 并非单一的数据采集和分析点;车辆需要的是分布式监控系统。监控在不同的架构层级进行,包括域内监控、单个控制器层级监控以及网络边界监控。
由于所有跨域交互都必须经过安全网关,因此它成为关键的监控点。此外,该网关还能提供车辆网络不同部分之间数据交换的可见性。它的作用是检测异常行为并生成安全事件。
在 KASG 中实施的 CAN 域监控方面,IDS 会根据以下标准进行流量分析:
然而,在实际应用中,一个重要的局限性逐渐显现:即便部署了车载入侵检测系统(IDS),仍需要更多上下文信息,才能准确判定攻击的具体特征。此外,在高度自动驾驶车辆的运行场景下——尤其是需要进行车队范围内监控时——这种孤立的分析方式在本质上已难以满足需求。
多对象监控、数据关联与数据分析等能力,更适合在车外侧高效完成——具体而言,可由 SIEM(Security Information and Event Management,安全信息与事件管理)系统承担。这类系统传统上应用于企业与工业网络安全运营中心(SOC)。因此,在车队范围内部署并使用 SIEM,是一个顺理成章的选择,使得以下能力成为可能:
在与外部SIEM系统集成时,需要重点解决若干关键任务:包括确保连接的安全性、优化安全事件的传输机制,以及建立用于事件处理与关联分析的基线规则。我们正以自有的SIEM系统——卡巴斯基统一监控与分析平台——作为参考蓝本,持续推进上述各项挑战的解决。
尽管如此,仍有诸多问题有待进一步攻克。本文仅介绍了KASG在保障车辆安全与网络安全方面所采用方法中的一小部分。然而,即便是这一部分内容,也足以说明:汽车网络安全无法通过解决单一问题或依赖单一机制来实现。要真正达成这一目标,需要一种能够支持系统化架构设计的方法,在车辆功能性、安全性与可靠性等多重要求之间实现平衡。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念,卡巴斯基致力于推动行业创新,保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止,已有超过十亿台设备受到卡巴斯基的保护。
卡巴斯基确保“忠于业务”的网络安全,专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织(从小型企业到大型企业)的创新解决方案和服务,将经过验证的 AI 驱动防护技术与简单的管理和专家支持相结合。
卡巴斯基广受独立测试机构认可,并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应,并以更大的信心和自由度开展业务,从而保护客户最核心的价值。
了解更多详情,可访问卡巴斯基官方网站。
10个月宝宝每天需要喝多少奶粉?
