鄔江興

(中國(guó)工程院,北京 100088)

0 引 言

汽車行業(yè)正在經(jīng)歷前所未有的數(shù)字化轉(zhuǎn)型,逐漸成為5G、人工智能、C-V2X、大數(shù)據(jù)、云計(jì)算等先進(jìn)科技和應(yīng)用創(chuàng)新的集大成者,造就復(fù)雜而典型的新一代信息物理系統(tǒng)(cyber-physical system,CPS)——智能網(wǎng)聯(lián)汽車。未來(lái),億萬(wàn)規(guī)模的車、智慧協(xié)同的路、高效計(jì)算的云、可靠通信的網(wǎng)、遍布各處的充電設(shè)施等,將構(gòu)建前所未有、規(guī)模巨大的新型網(wǎng)絡(luò)空間。

在這個(gè)新型網(wǎng)絡(luò)空間中,車的安全、路的安全和網(wǎng)的安全高度耦合,大量軟硬件漏洞/后門使攻擊者大有可乘之機(jī),帶來(lái)信息泄露、勒索、盜竊、大規(guī)模車輛惡意操控等風(fēng)險(xiǎn)。而且,隨著數(shù)字化、智能化、網(wǎng)聯(lián)化的加速,這一新型網(wǎng)絡(luò)空間的規(guī)模和滲透率將持續(xù)擴(kuò)大,暴露的攻擊面也會(huì)隨之增大,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隨之急劇推高。知名汽車網(wǎng)絡(luò)安全公司在調(diào)查報(bào)告[1]中指出：①2010年至2019年,全球汽車網(wǎng)絡(luò)安全事故數(shù)量急劇增長(zhǎng),其中2019年較2016年增長(zhǎng)7倍,較2018年增長(zhǎng)約1倍;②2019年的汽車網(wǎng)絡(luò)安全事故中,由黑帽黑客引發(fā)的汽車網(wǎng)絡(luò)安全事故數(shù)量占比已超過(guò)白帽黑客;③2010—2019年間的汽車安全事件中,汽車遠(yuǎn)程攻擊逐步超過(guò)了物理接觸攻擊,且2019年遠(yuǎn)程攻擊的占比達(dá)到了驚人的82%,遠(yuǎn)程攻擊已成為主要攻擊手段。網(wǎng)絡(luò)安全正成為智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)及相關(guān)服務(wù)產(chǎn)業(yè)安全健康發(fā)展的基礎(chǔ)。

傳統(tǒng)汽車軟硬件主要關(guān)注功能安全,重點(diǎn)聚焦解決汽車軟硬件出現(xiàn)隨機(jī)性或系統(tǒng)性失效導(dǎo)致的安全問(wèn)題。網(wǎng)絡(luò)安全問(wèn)題隨智能網(wǎng)聯(lián)汽車發(fā)展逐步浮現(xiàn)之后,不僅隨機(jī)和系統(tǒng)性失效導(dǎo)致的功能安全問(wèn)題仍然存在,而且出現(xiàn)了網(wǎng)絡(luò)攻擊導(dǎo)致的新質(zhì)功能安全問(wèn)題。換言之,智能網(wǎng)聯(lián)汽車軟硬件既存在因隨機(jī)性或自然因素引發(fā)不確定性擾動(dòng)而導(dǎo)致的系統(tǒng)功能不可靠風(fēng)險(xiǎn),也存在因人為網(wǎng)絡(luò)攻擊導(dǎo)致的系統(tǒng)非正常功效風(fēng)險(xiǎn);而且,這兩種風(fēng)險(xiǎn)交織疊加,催生了新的功能安全問(wèn)題。已有的功能安全標(biāo)準(zhǔn)ISO 26262[2]和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)ISO/SAE 21434[3]也未曾對(duì)該交織疊加問(wèn)題給出什么有效的解決辦法。

本文探究了這一問(wèn)題的根本原因——智能網(wǎng)聯(lián)汽車內(nèi)生安全問(wèn)題,提出了“不完全交集”原理和基于動(dòng)態(tài)異構(gòu)冗余(DHR)架構(gòu)的智能網(wǎng)聯(lián)汽車內(nèi)生安全構(gòu)造方法,為一體化解決智能網(wǎng)聯(lián)汽車功能安全和網(wǎng)絡(luò)安全交織疊加難題提供了新路徑。

1 智能網(wǎng)聯(lián)汽車的內(nèi)生安全問(wèn)題

智能網(wǎng)聯(lián)汽車內(nèi)生安全問(wèn)題是網(wǎng)絡(luò)內(nèi)生安全問(wèn)題在汽車領(lǐng)域的一個(gè)投影,也是CPS功能安全與網(wǎng)絡(luò)安全交織疊加的一個(gè)例證。

1.1 網(wǎng)絡(luò)內(nèi)生安全問(wèn)題

正如德國(guó)哲學(xué)家黑格爾認(rèn)為,一切事物都是自在的矛盾,矛盾是一切運(yùn)動(dòng)和生命力的根源。任何一個(gè)人工設(shè)計(jì)制造的系統(tǒng)很難是“完美無(wú)缺”的,除設(shè)計(jì)的期望功能之外,總存在伴生或衍生的副作用或暗功能,或者系統(tǒng)內(nèi)總存在由構(gòu)造決定的互為依存又有矛盾關(guān)系的“內(nèi)生或內(nèi)源性因素”,稱為內(nèi)生安全問(wèn)題。

網(wǎng)絡(luò)安全問(wèn)題與內(nèi)生安全問(wèn)題的關(guān)系如圖1所示,根據(jù)矛盾是否可分割的屬性將網(wǎng)絡(luò)安全問(wèn)題劃分為非內(nèi)生安全問(wèn)題和內(nèi)生安全問(wèn)題,根據(jù)問(wèn)題存在的范圍將內(nèi)生安全問(wèn)題又劃分為共性問(wèn)題和個(gè)性問(wèn)題。其中共性問(wèn)題涉及面大影響范圍廣,通常需要尋找普適解,而個(gè)性問(wèn)題往往需要特殊解。

圖1 網(wǎng)絡(luò)空間安全問(wèn)題域Fig.1 Composition of cybersecurity problem domain

1.2 智能網(wǎng)聯(lián)汽車內(nèi)生安全共性問(wèn)題

近年來(lái),“軟件定義”之風(fēng)席卷科技界。在移動(dòng)出行時(shí)代,汽車逐漸由機(jī)械驅(qū)動(dòng)的物理系統(tǒng)向軟件驅(qū)動(dòng)的信息物理系統(tǒng)過(guò)渡,軟件開(kāi)始成為車企打造差異化汽車的核心要素,汽車行業(yè)逐漸邁向軟件定義汽車的時(shí)代。

按照軟件定義汽車的發(fā)展思路,軟件深度參與汽車論證、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、應(yīng)用、維護(hù)各個(gè)環(huán)節(jié),汽車架構(gòu)也轉(zhuǎn)變?yōu)橐攒浖楹诵?在模塊化和通用化硬件平臺(tái)的支撐下決定整車功能。軟件定義下的智能網(wǎng)聯(lián)汽車成為包含車、路、云一體的復(fù)雜信息系統(tǒng),實(shí)現(xiàn)了物理世界與數(shù)字世界的跨界融合交匯。云端、路側(cè)單元、通信設(shè)備、邊緣計(jì)算設(shè)備和汽車本身包含了大量的軟硬件。博世發(fā)布的信息顯示[4],2010年,一輛汽車包含大約1 000萬(wàn)行軟件代碼,而如今部分智能車輛的軟件已經(jīng)達(dá)到1億行代碼,相比之下,哈勃太空望遠(yuǎn)鏡大約有200萬(wàn)行軟件代碼,當(dāng)前的個(gè)人電腦操作系統(tǒng)有2 000萬(wàn)到5 000萬(wàn)行左右的代碼,未來(lái)的自動(dòng)化車輛預(yù)期將需要3億至5億行代碼。《軟件評(píng)估、基準(zhǔn)和最佳實(shí)踐》認(rèn)為,在不同能力成熟度模型下,每1 000代碼內(nèi)部的平均BUG數(shù)是1 到7 個(gè)不等[5]?？上攵?在人類現(xiàn)階段科技發(fā)展和認(rèn)知水平下,徹查如此大規(guī)模軟硬件系統(tǒng)的缺陷和漏洞是不可能實(shí)現(xiàn)的。而且,智能網(wǎng)聯(lián)汽車龐大復(fù)雜的供應(yīng)鏈,也很難確保軟硬件后門問(wèn)題完全杜絕,正是這些軟硬件的漏洞/后門形成了智能網(wǎng)聯(lián)汽車的內(nèi)生安全共性問(wèn)題。

基于漏洞/后門的網(wǎng)絡(luò)攻擊,可以直接帶來(lái)勒索、盜竊、大規(guī)模車輛惡意操控的風(fēng)險(xiǎn);可以“繞過(guò)”加密認(rèn)證等防護(hù)技術(shù),造成數(shù)據(jù)泄露等安全事件。若軟硬件系統(tǒng)內(nèi)生的漏洞/后門問(wèn)題不解決,系統(tǒng)“自身難?！?就很難奢談系統(tǒng)安全之上的數(shù)據(jù)安全、應(yīng)用安全等。

1.3 內(nèi)生安全共性問(wèn)題的交織影響

作為典型的物理信息系統(tǒng),智能網(wǎng)聯(lián)汽車實(shí)現(xiàn)了信息世界和物理世界的深度融合,其所面臨的安全問(wèn)題已經(jīng)由單純的功能安全演進(jìn)為功能安全(Safety)與網(wǎng)絡(luò)安全(Security)交織疊加的復(fù)合問(wèn)題,如圖2所示。一方面,單純的功能安全問(wèn)題和網(wǎng)絡(luò)安全問(wèn)題仍然存在,例如隨機(jī)性硬件失效、系統(tǒng)故障等導(dǎo)致的功能安全問(wèn)題;另一方面,網(wǎng)絡(luò)安全問(wèn)題和功能安全問(wèn)題又會(huì)相互影響,帶來(lái)新的安全挑戰(zhàn)。比如,漏洞/后門作為網(wǎng)絡(luò)安全威脅資源被利用,會(huì)導(dǎo)致系統(tǒng)軟硬件出現(xiàn)故障,引發(fā)功能安全問(wèn)題。再比如,功能安全中的軟硬件故障可能會(huì)危害網(wǎng)絡(luò)安全防御措施,從而使系統(tǒng)面臨更加嚴(yán)峻的安全威脅。這種雙重安全相互疊加、相互交織,可能會(huì)帶來(lái)更強(qiáng)的不確定性和破壞力。

圖2 內(nèi)生安全共性問(wèn)題的交織Fig.2 Interaction of endogenous security common problem

智能網(wǎng)聯(lián)汽車功能安全與網(wǎng)絡(luò)安全交織疊加使得傳統(tǒng)功能安全理論與實(shí)踐規(guī)范正面臨全新挑戰(zhàn)：既存在因隨機(jī)性或自然因素引發(fā)不確定性擾動(dòng)而導(dǎo)致的系統(tǒng)功能不可靠表現(xiàn),也存在因漏洞/后門等內(nèi)生安全問(wèn)題被外部或人為蓄意利用導(dǎo)致的系統(tǒng)非正常功效表現(xiàn)。本文將自然或非人為因素引發(fā)的故障所導(dǎo)致的功能安全問(wèn)題以及蓄意網(wǎng)絡(luò)攻擊所引發(fā)的功能安全新問(wèn)題,合并稱為功能安全和網(wǎng)絡(luò)安全交織問(wèn)題(security and safety intertwine problems,SSIP),簡(jiǎn)稱廣義功能安全問(wèn)題,如圖3所示。

圖3 廣義功能安全Fig.3 Generalized functional safety

網(wǎng)絡(luò)安全與功能安全問(wèn)題的交織疊加性質(zhì),使得智能網(wǎng)聯(lián)汽車必須同時(shí)具有應(yīng)對(duì)隨機(jī)性擾動(dòng)和人為或非人為的不確定擾動(dòng)能力,需要具備一體化解決功能安全和網(wǎng)絡(luò)安全交織問(wèn)題的廣義功能安全屬性。否則,難以滿足網(wǎng)絡(luò)攻擊條件下服務(wù)功能或性能的“彈性或韌性”要求。

2 現(xiàn)有安全防御范式的局限性

當(dāng)前,汽車行業(yè)已經(jīng)逐漸意識(shí)到網(wǎng)絡(luò)安全問(wèn)題的重要性,正逐步將傳統(tǒng)互聯(lián)網(wǎng)安全防御技術(shù)引入汽車及車聯(lián)網(wǎng)中?？傮w來(lái)說(shuō),主要的安全技術(shù)范式及其局限性如下。

1)基于冗余配置與大數(shù)表決的安全技術(shù),以主備、冗余、負(fù)載均衡等技術(shù)為代表。通過(guò)在關(guān)鍵路徑/通道、節(jié)點(diǎn)/部件以及體系架構(gòu)層面引入冗余架構(gòu),應(yīng)用半定量表達(dá)和大數(shù)或擇多表決機(jī)制進(jìn)行可靠性設(shè)計(jì),重點(diǎn)解決系統(tǒng)軟硬件物理或邏輯性失效問(wèn)題,常見(jiàn)的如自動(dòng)駕駛系統(tǒng)中攝像頭、雷達(dá)等多種傳感器軟硬件的冗余配置,其優(yōu)點(diǎn)是能夠有效增強(qiáng)系統(tǒng)感知的可靠性,但通常未對(duì)人為因素導(dǎo)致的網(wǎng)絡(luò)攻擊加以考量。

2)基于加密與認(rèn)證的授權(quán)安全技術(shù),以加密算法、認(rèn)證等技術(shù)為代表。基于密碼工程理論和密鑰分配方法,通過(guò)授權(quán)管理和加密認(rèn)證保護(hù)合法用戶安全地使用軟硬件設(shè)施、信息服務(wù)、數(shù)據(jù)資源。典型的方案有基于TLS的車內(nèi)以太網(wǎng)密碼方案、基于消息認(rèn)證碼和新鮮值的CAN/CAN-FD安全認(rèn)證方案等。其優(yōu)點(diǎn)在于工程實(shí)踐中無(wú)需任何先驗(yàn)知識(shí),但通常無(wú)法應(yīng)對(duì)基于加密認(rèn)證算法宿主系統(tǒng)漏洞/后門發(fā)起的“內(nèi)外協(xié)同或里應(yīng)外合”式的網(wǎng)絡(luò)攻擊。

3)基于檢測(cè)與分析的網(wǎng)絡(luò)安全技術(shù),以入侵檢測(cè)、防火墻、態(tài)勢(shì)感知等技術(shù)為代表。通過(guò)攻擊特征畫像、攻擊行為感知等方法實(shí)現(xiàn)威脅和攻擊的早期預(yù)警,提升攻擊鏈建立的難度,防御可能的網(wǎng)絡(luò)攻擊。包括在車端部署輕量化防火墻、入侵檢測(cè)等防御設(shè)備,或者在關(guān)鍵通信路徑上部署黑白名單、訪問(wèn)控制和CAN報(bào)文檢測(cè)等安全技術(shù)等。值得注意的是,由于高度依賴先驗(yàn)知識(shí),必須知道網(wǎng)絡(luò)攻擊的特征才能形成針對(duì)性的防御方案。

總體來(lái)看,現(xiàn)有安全防御范式多依賴先驗(yàn)知識(shí),以明確漏洞/后門的成因及攻擊機(jī)理為基本前提,其“亡羊補(bǔ)牢”式的安全防御策略雖能有效防御已知網(wǎng)絡(luò)攻擊,但無(wú)法有效應(yīng)對(duì)基于未知漏洞/后門的未知網(wǎng)絡(luò)安全威脅和攻擊。而且,使用“封門補(bǔ)漏”打補(bǔ)丁的方法來(lái)解決網(wǎng)絡(luò)安全問(wèn)題,其安全性只能做到“盡力而為”,既無(wú)法確定是否會(huì)引入新的安全漏洞,也無(wú)法實(shí)現(xiàn)安全性的可量化設(shè)計(jì)與驗(yàn)證度量。

為突破這一窘境,亟需跳出現(xiàn)行安全防御范式,必須認(rèn)識(shí)到網(wǎng)絡(luò)安全問(wèn)題的本質(zhì)多由內(nèi)生性矛盾所致,而矛盾只可能演化或和解,不可能通過(guò)任何修修補(bǔ)補(bǔ)的方式徹底消除。在此基礎(chǔ)上需要研究新的普適性理論、建立新的實(shí)踐規(guī)范、開(kāi)辟新的技術(shù)路徑,從而構(gòu)建一種全新的安全防御范式。

3 智能網(wǎng)聯(lián)汽車內(nèi)生安全理論與技術(shù)架構(gòu)

3.1 不完全交集原理

從網(wǎng)絡(luò)攻擊的角度來(lái)看,網(wǎng)絡(luò)攻擊的成功嚴(yán)重依賴于目標(biāo)系統(tǒng)的確定性、靜態(tài)性和相似性,攻擊鏈任何環(huán)節(jié)的變化都有可能導(dǎo)致攻擊目的無(wú)法達(dá)成。因此,對(duì)于網(wǎng)絡(luò)防御來(lái)說(shuō),能否改變目標(biāo)系統(tǒng)的確定性、靜態(tài)性和相似性,使得攻擊者無(wú)法建立起有效的攻擊鏈,是實(shí)現(xiàn)成功防御的關(guān)鍵,換言之,動(dòng)態(tài)性/隨機(jī)性(dynamics/randomness,D)、多樣性/異構(gòu)性(variety/heterogeneity,V)、冗余性(redundancy,R)是構(gòu)建網(wǎng)絡(luò)安全防御3個(gè)關(guān)鍵要素。

當(dāng)前,功能安全與網(wǎng)絡(luò)安全業(yè)界已經(jīng)認(rèn)識(shí)到三要素的重要性,但并未建立起如何利用三要素的組合關(guān)系有效防范未知威脅和破壞的系統(tǒng)性理論。本文運(yùn)用“不可能三角”分析模型[6]和三元交集描述,提出了不完全交集原理(incomplete intersection principle,IIP),嘗試為利用網(wǎng)絡(luò)安全防御三要素防范未知威脅提供理論分析基礎(chǔ),如圖4所示。

圖4 未知安全問(wèn)題防范不可能三角Fig.4 Unknown security problem prevention impossible triangle

不完全交集原理：如果D、V、R域不存在任何交集或只存在任意兩兩的交集,則不能應(yīng)對(duì)基于目標(biāo)對(duì)象內(nèi)部未知漏洞/后門的網(wǎng)絡(luò)攻擊。換言之,在不依賴先驗(yàn)知識(shí)的條件下,只要DVR三者間不完全相交,就無(wú)法防范網(wǎng)絡(luò)空間未知安全威脅問(wèn)題。

D域、R域和V域分別代表三要素中的動(dòng)態(tài)性/隨機(jī)性、多樣性/異構(gòu)性和冗余性。當(dāng)D域、R域和V域各自單獨(dú)存在時(shí),D域?qū)](méi)有作用對(duì)象或只有單一作用對(duì)象的動(dòng)態(tài)性無(wú)工程應(yīng)用意義,R域?qū)谖粗材Ｂ┒?后門的攻擊或共因故障無(wú)效,而V域在欠缺調(diào)度機(jī)制時(shí)沒(méi)有實(shí)際應(yīng)用效果。

DV域即動(dòng)態(tài)性與多樣性的連接,在安全技術(shù)領(lǐng)域的典型技術(shù)為移動(dòng)目標(biāo)防御(moving target defense,MTD)。其防御網(wǎng)絡(luò)攻擊的前提條件為存在功能等價(jià)的多樣化的執(zhí)行體,且任何執(zhí)行體中的漏洞對(duì)防御方而言是未知的,隨機(jī)性地變化提供當(dāng)前服務(wù)功能的執(zhí)行體,使得利用或發(fā)現(xiàn)漏洞具有不確定性[7]。這種模式最大的問(wèn)題是多樣化執(zhí)行體中只要存在一個(gè)防御者未知的攻擊者后門,通過(guò)內(nèi)外配合方式,攻擊者仍然可以達(dá)成里應(yīng)外合的網(wǎng)絡(luò)攻擊。

DR域即動(dòng)態(tài)性與冗余性的連接,在安全技術(shù)領(lǐng)域的典型技術(shù)為動(dòng)態(tài)同構(gòu)冗余。其防御網(wǎng)絡(luò)攻擊的前提條件和防御的原理為目標(biāo)對(duì)象由多個(gè)完全相同的執(zhí)行體構(gòu)成,判決或判識(shí)機(jī)制能夠識(shí)別差模表現(xiàn)執(zhí)行體,動(dòng)態(tài)調(diào)度機(jī)制可以切換或移除差模表現(xiàn)的執(zhí)行體,從而達(dá)到只要目標(biāo)對(duì)象中存在差模表現(xiàn)的執(zhí)行體都可以被識(shí)別和移除的效果。但是,如果目標(biāo)對(duì)象執(zhí)行體間存在未知的共模漏洞/后門或共因故障,那么防御機(jī)理不成立。

從以上分析可以看出,如果一個(gè)防御系統(tǒng)不能實(shí)現(xiàn)動(dòng)態(tài)性(D)、多樣性(V)和冗余性(R)完全相交的話,該系統(tǒng)就不具備應(yīng)對(duì)防范未知安全威脅和破壞的能力。

3.2 具有內(nèi)生安全性的動(dòng)態(tài)異構(gòu)冗余架構(gòu)

基于上小節(jié)提出的不完全交集原理及定性分析,提出了內(nèi)生安全存在性定理,或稱DVR完全交集定理,即如果一個(gè)目標(biāo)對(duì)象同時(shí)具備動(dòng)態(tài)性、多樣性和冗余性功能,則即使在缺乏先驗(yàn)知識(shí)條件下,也能有效應(yīng)對(duì)任何未知的網(wǎng)絡(luò)安全或功能安全威脅(詳細(xì)的證明過(guò)程見(jiàn)文獻(xiàn)[8])。內(nèi)生安全存在性定理表明,如果能夠?qū)⒒谖粗獌?nèi)生安全共性問(wèn)題的人為或非人為攝動(dòng)轉(zhuǎn)換為DVR域內(nèi)差?；蚬材Ｐ再|(zhì)的擾動(dòng),則內(nèi)生安全在理論上存在。

本文根據(jù)內(nèi)生安全存在性定理,發(fā)明了一種DVR完全相交的架構(gòu)：“動(dòng)態(tài)異構(gòu)冗余”(dynamic heterogeneous redundancy,DHR)架構(gòu),如圖5所示。在DHR構(gòu)造中,周圍一圈為其反饋控制回路,里面的部分為可重構(gòu)的異構(gòu)冗余執(zhí)行系統(tǒng),Si間互為異構(gòu)但具有等價(jià)功能Pi,這兩部分構(gòu)成了一個(gè)DVR完全相交一體化的控制環(huán)路。DHR架構(gòu)自然地引入動(dòng)態(tài)性、多樣性和冗余性等安全防御要素,使得基于構(gòu)造的運(yùn)行場(chǎng)景具有防范未知威脅的能力。進(jìn)一步地,該架構(gòu)能夠?qū)⒉煌再|(zhì)、不同功能和不同擾動(dòng)方式的錯(cuò)誤失效或網(wǎng)絡(luò)攻擊轉(zhuǎn)變?yōu)镈HR空間二類性質(zhì)相對(duì)單調(diào)的差模和共模問(wèn)題,為應(yīng)用成熟的容錯(cuò)理論與自動(dòng)控制技術(shù)解決或規(guī)避這些問(wèn)題提供了基礎(chǔ)性的支撐,從而能夠?qū)SIP中網(wǎng)絡(luò)攻擊帶來(lái)的不確定性失效與軟硬件隨機(jī)性失效歸一化為可用概率表達(dá)的廣義魯棒控制問(wèn)題,使安全性指標(biāo)達(dá)到可量化設(shè)計(jì)和可驗(yàn)證度量的程度[9]。理論上,完全DHR構(gòu)造能夠在不依賴(可融合)外部先驗(yàn)知識(shí)和附加防御措施的情況下,100%的抑制構(gòu)造內(nèi)以差模形態(tài)呈現(xiàn)的不確定擾動(dòng),并能使共模逃逸概率可控[8]。

圖5 動(dòng)態(tài)異構(gòu)冗余架構(gòu)Fig.5 Dynamic heterogeneous redundant architecture

3.3 面向智能網(wǎng)聯(lián)汽車SSIP的DHR架構(gòu)分析

智能網(wǎng)聯(lián)汽車的關(guān)鍵軟硬件部件中,例如高級(jí)駕駛輔助系統(tǒng)(advanced driver assistance system,ADAS)等部件,既面臨著軟硬件故障帶來(lái)的駕駛安全風(fēng)險(xiǎn),也面臨網(wǎng)絡(luò)攻擊導(dǎo)致的安全風(fēng)險(xiǎn),是一種功能安全與網(wǎng)絡(luò)安全交織的關(guān)鍵組件,因此,可以被稱為一種SSIP組件。

對(duì)這一類部件的理想安全保障方案是一體化增強(qiáng),既能增強(qiáng)功能安全,又能同時(shí)增強(qiáng)網(wǎng)絡(luò)安全,然而實(shí)際上卻是很難二者兼顧。主要原因在于,對(duì)這類SSIP組件來(lái)說(shuō),其功能安全和網(wǎng)絡(luò)安全保障措施往往具有非常復(fù)雜的多重關(guān)系,二者既有相互獨(dú)立、相互依賴、相互增強(qiáng)的時(shí)候,也有相互矛盾的時(shí)候。尤其是相互矛盾關(guān)系,將使二者面臨“顧此失彼”的窘境。例如,將防火墻、入侵檢測(cè)等經(jīng)典網(wǎng)絡(luò)安全措施部署到SSIP組件上,的確能夠大幅增強(qiáng)其網(wǎng)絡(luò)安全防御能力,但從功能安全角度來(lái)看,這些防御措施本質(zhì)上屬于“附加式”措施,它們的部署并沒(méi)有為組件的本征功能帶來(lái)增強(qiáng),也沒(méi)有為組件的可靠性和性能進(jìn)行提升,反而會(huì)帶來(lái)新的故障隱患,例如,防火墻的嚴(yán)重故障能夠造成組件通信中斷,帶來(lái)嚴(yán)重的功能安全(Safety)事故,或者防火墻過(guò)高的處理時(shí)延可能會(huì)給實(shí)時(shí)性要求高的SSIP組件帶來(lái)功能安全風(fēng)險(xiǎn)。

即使沒(méi)有上述的矛盾性問(wèn)題,防火墻、入侵檢測(cè)等經(jīng)典“附加式”網(wǎng)絡(luò)安全技術(shù)囿于基于先驗(yàn)知識(shí)和已知特征的防御本質(zhì),也無(wú)法實(shí)時(shí)有效地應(yīng)對(duì)基于未知漏洞/后門等“未知”網(wǎng)絡(luò)安全威脅或破壞,很難為智能網(wǎng)聯(lián)汽車這種高安全性需求載體提供所需的確定性網(wǎng)絡(luò)安全保障。

公開(kāi)文獻(xiàn)查證表明,DHR架構(gòu)是目前唯一能夠從構(gòu)造層面融合實(shí)現(xiàn)動(dòng)態(tài)性(D)、多樣性(V)和冗余性(R)的新型安全架構(gòu),能夠賦能系統(tǒng)本征功能始終收斂于一個(gè)可有效應(yīng)對(duì)當(dāng)前不確定網(wǎng)絡(luò)攻擊和隨機(jī)性失效影響的運(yùn)行環(huán)境,具備對(duì)未知安全威脅的有效防范能力,表現(xiàn)出安全性可“量化設(shè)計(jì)、驗(yàn)證度量”的“彈性”。

DHR架構(gòu)為智能網(wǎng)聯(lián)汽車的SSIP組件一體化安全保障開(kāi)辟了新路徑。DHR架構(gòu)不僅“天生”具有“異構(gòu)、冗余”特性帶來(lái)的高可靠性,能支撐功能安全需求,而且基于輸出反饋機(jī)制的“動(dòng)態(tài)”特性的引入及其與“異構(gòu)、冗余”特性的融合,還能有效應(yīng)對(duì)未知漏洞、后門等網(wǎng)絡(luò)空間不確定威脅,為破解SSIP提供全新的解決方案。DHR架構(gòu)可以很好地兼容各類經(jīng)典安全技術(shù),本質(zhì)上是用一個(gè)技術(shù)架構(gòu)以融合方式為各類CPS的SSIP組件提供了一體化的高可靠、高可信和高可用性能保障。不僅如此,基于DHR架構(gòu)賦能的智能網(wǎng)聯(lián)汽車SSIP組件,還可以極大地降低系統(tǒng)維護(hù)門檻和全生命周期運(yùn)行成本,具有顯著的效費(fèi)比優(yōu)勢(shì)。

與防火墻、入侵檢測(cè)等經(jīng)典“附加式”網(wǎng)絡(luò)安全技術(shù)相比,DHR架構(gòu)固有屬性決定其具有承受、恢復(fù)和適應(yīng)各種故障、攻擊的“彈性”能力,具有“構(gòu)造決定安全”的內(nèi)生性安全機(jī)理。內(nèi)生安全DHR架構(gòu)可以成為智能網(wǎng)聯(lián)汽車和車聯(lián)網(wǎng)設(shè)施網(wǎng)絡(luò)彈性工程的“鋼筋骨架”,天然可以接納各種附加或傳統(tǒng)安全技術(shù),如果將加密認(rèn)證、防火墻、區(qū)塊鏈、人工智能、大數(shù)據(jù)、入侵檢測(cè)等經(jīng)典防御措施,當(dāng)作“混凝土砼料”加到DHR架構(gòu)中,則能使車聯(lián)網(wǎng)基礎(chǔ)設(shè)施或智能網(wǎng)聯(lián)汽車獲得“鋼筋混凝土”般的廣義功能安全質(zhì)地。

4 內(nèi)生安全理論的技術(shù)實(shí)踐

從2013年基于內(nèi)生安全機(jī)制的網(wǎng)絡(luò)空間擬態(tài)防御概念提出伊始[10],到《網(wǎng)絡(luò)空間擬態(tài)防御導(dǎo)論》[11]、《網(wǎng)絡(luò)空間擬態(tài)防御原理—內(nèi)生安全與廣義魯棒控制》[9]《網(wǎng)絡(luò)空間內(nèi)生安全—擬態(tài)防御與廣義魯棒控制》[8]《Cyberspace mimic defense：generalized robust control and endogenous security》[12]等4部中英文專著的陸續(xù)出版,標(biāo)志著網(wǎng)絡(luò)內(nèi)生安全理論體系從創(chuàng)建逐步走向了成熟與完善。與此同時(shí),內(nèi)生安全技術(shù)也逐步走向?qū)嵺`與應(yīng)用。2018年,擬態(tài)構(gòu)造的路由器/交換機(jī)、防火墻、web服務(wù)器、文件管理系統(tǒng)等系列化內(nèi)生安全產(chǎn)品上線使用。

2018年,紫金山實(shí)驗(yàn)室創(chuàng)建了面向全球開(kāi)放的網(wǎng)絡(luò)內(nèi)生安全試驗(yàn)場(chǎng),如圖6所示。開(kāi)創(chuàng)內(nèi)生安全產(chǎn)品網(wǎng)絡(luò)安全“黑盒、白盒、登頂”眾測(cè)新模式,通過(guò)設(shè)立“賞金獵人”挑戰(zhàn)賽,驗(yàn)證內(nèi)生安全產(chǎn)品的安全性。同時(shí),從2018年首屆“強(qiáng)網(wǎng)”擬態(tài)防御國(guó)際精英挑戰(zhàn)賽開(kāi)始,連續(xù)5屆比賽,大量國(guó)內(nèi)外知名“白帽黑客”戰(zhàn)隊(duì)紛紛向內(nèi)生安全系列產(chǎn)品發(fā)起了挑戰(zhàn)。各款內(nèi)生安全產(chǎn)品至今沒(méi)有被任何一支戰(zhàn)隊(duì)實(shí)現(xiàn)體系化的破擊,充分驗(yàn)證了這種網(wǎng)絡(luò)安全防御新范式的有效性、普適性和先進(jìn)性。

圖6 網(wǎng)絡(luò)內(nèi)生安全綜合實(shí)驗(yàn)場(chǎng)景Fig.6 Comprehensive experiment scenarios of network endogenous security

近年來(lái),內(nèi)生安全理論與技術(shù)賦能的行業(yè)門類逐年增加,智能網(wǎng)聯(lián)汽車就是其中一個(gè)典型代表。毋庸置疑,隨著汽車智能化、網(wǎng)聯(lián)化的加速,汽車的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將隨之不斷攀升,功能安全、網(wǎng)絡(luò)安全甚至信息安全已經(jīng)逐步成為了汽車設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)、應(yīng)用、運(yùn)營(yíng)、維護(hù)等全生命周期活動(dòng)中不可或缺的關(guān)鍵要素。在此過(guò)程中,廣義功能安全問(wèn)題(SSIP)正日益加劇,成為新時(shí)代智能網(wǎng)聯(lián)汽車發(fā)展的重要特征。而現(xiàn)實(shí)情況是,功能安全與網(wǎng)絡(luò)安全長(zhǎng)期各自獨(dú)立“生長(zhǎng)”,兩個(gè)學(xué)科方向、兩種機(jī)理與成因、兩類風(fēng)險(xiǎn)和技術(shù)、兩種文化與兩方力量的協(xié)同都處在初級(jí)階段,急需一體化安全的基礎(chǔ)理論與核心技術(shù)支撐。

我國(guó)正在建立智能網(wǎng)聯(lián)汽車內(nèi)生安全的整套理論和技術(shù)體系,為一體化解決功能安全和網(wǎng)絡(luò)安全問(wèn)題提供了新路徑[13]。在實(shí)踐層面,我國(guó)已研制出國(guó)際首套內(nèi)生安全ADAS控制系統(tǒng),如圖7所示;首臺(tái)內(nèi)生安全車載網(wǎng)聯(lián)T-BOX,如圖8所示。并在宇通客車和廈門金旅自動(dòng)駕駛客車上完成了原理驗(yàn)證。在紫金山實(shí)驗(yàn)室舉辦的第四屆“強(qiáng)網(wǎng)”擬態(tài)防御國(guó)際精英挑戰(zhàn)賽中,內(nèi)生安全ADAS控制系統(tǒng)經(jīng)受住了48支精英國(guó)際戰(zhàn)隊(duì)72小時(shí)內(nèi)發(fā)起的50余萬(wàn)次網(wǎng)絡(luò)攻擊。在第五屆比賽中,內(nèi)生安全車載網(wǎng)聯(lián)T-BOX經(jīng)受住了國(guó)內(nèi)外60支精英戰(zhàn)隊(duì)在72小時(shí)內(nèi)發(fā)起的近40萬(wàn)次的網(wǎng)絡(luò)攻擊。這有效證明,內(nèi)生安全理論與技術(shù)可以為智能網(wǎng)聯(lián)汽車行業(yè)提供一套切實(shí)可行的防御新理論、新范式、新方法。

圖7 內(nèi)生安全ADAS控制系統(tǒng)Fig.7 Endogenous security ADAS control system

圖8 內(nèi)生安全車載網(wǎng)聯(lián)T-BOXFig.8 Endogenous security vehicle connected T-BOX

5 結(jié)束語(yǔ)

內(nèi)生安全技術(shù)賦能智能網(wǎng)聯(lián)汽車及其相關(guān)基礎(chǔ)設(shè)施,能夠滿足相關(guān)行業(yè)從軟硬件系統(tǒng)到網(wǎng)絡(luò)空間各層面功能安全與網(wǎng)絡(luò)安全一體化部署之需求,提供可量化設(shè)計(jì)、可驗(yàn)證度量的一體化網(wǎng)絡(luò)彈性能力。理論和實(shí)踐都已經(jīng)證明,“開(kāi)放性與安全性、先進(jìn)性與可靠性、自主可控與安全可信、功能安全與網(wǎng)絡(luò)安全”的矛盾,能夠在內(nèi)生安全技術(shù)架構(gòu)內(nèi)得到高度的統(tǒng)一。

面對(duì)汽車行業(yè)正在經(jīng)歷的智能化、網(wǎng)聯(lián)化變革大潮,要將軟硬件故障失效和網(wǎng)絡(luò)攻擊引發(fā)的SSIP問(wèn)題一體化破解,不僅需要打破常規(guī)的解題思路,提出創(chuàng)新的理論體系、技術(shù)架構(gòu)、關(guān)鍵技術(shù)、管理模式等,也需要敢于開(kāi)創(chuàng)中國(guó)安全技術(shù)引領(lǐng)行業(yè)全面發(fā)展的產(chǎn)業(yè)決心和動(dòng)能。