左 政，王云鵬，麻 斌，2，鄒博松，曹耀光，楊世春

（1. 北京航空航天大學(xué)交通科學(xué)與工程學(xué)院，北京 102206；2. 吉林大學(xué)通信工程學(xué)院，長春 130022；3. 中國軟件評測中心，北京 100038；4. 北京航空航天大學(xué)前沿科學(xué)技術(shù)創(chuàng)新研究院，北京 102206）

前言

現(xiàn)代汽車工業(yè)正在朝著智能和網(wǎng)聯(lián)的方向飛速發(fā)展，在為人類出行方式和城市交通體系帶來積極而深遠(yuǎn)變革的同時(shí)，汽車網(wǎng)絡(luò)安全問題也日益凸顯［1-2］。為此，國內(nèi)外學(xué)者和研究人員針對智能網(wǎng)聯(lián)汽車信息安全問題進(jìn)行了大量的研究［3-5］。

汽車內(nèi)部電子電氣架構(gòu)由大量ECU 組成，這些ECU 執(zhí)行傳感、計(jì)算、驅(qū)動(dòng)等特定任務(wù)，為駕乘人員提供安全、舒適的出行體驗(yàn)。ECU 以分布式處理方式實(shí)現(xiàn)各類功能，并通過異構(gòu)網(wǎng)絡(luò)系統(tǒng)（CAN、LIN、以太網(wǎng)等）進(jìn)行通信。一旦某一網(wǎng)絡(luò)節(jié)點(diǎn)遭到破壞，將對整個(gè)車載網(wǎng)絡(luò)系統(tǒng)造成嚴(yán)重的安全風(fēng)險(xiǎn)。因此，為保障車載網(wǎng)絡(luò)系統(tǒng)整體架構(gòu)的信息安全，需要在汽車電子電氣架構(gòu)設(shè)計(jì)時(shí)，根據(jù)整體網(wǎng)絡(luò)拓?fù)銽ARA 分析，包括評估每個(gè)有信息安全需求的組件可能遭受攻擊的路徑及各組件在該網(wǎng)絡(luò)特征下的安全風(fēng)險(xiǎn)，并將評估結(jié)果作為信息安全設(shè)計(jì)的依據(jù)［6-8］。

現(xiàn)有面向汽車電子電氣架構(gòu)的TARA 方法包括HEAVENSE （healing vulnerabilities to enhance software security and safety）、EVITA（e-safety vehicle intrusion protected applications）［9-10］等 理論。其中，EVITA 方法是基于ISO26262［11］的功能安全評價(jià)體系對車載網(wǎng)絡(luò)組件安全性進(jìn)行評估，針對功能安全、隱私、財(cái)產(chǎn)和操作4 個(gè)評估維度定義出5 類安全等級。而HEAVENSE 方法首先采用微軟公司提出的STRIDE威脅識(shí)別模型［12-13］，分別對網(wǎng)絡(luò)組件是否存在欺騙（snoofing）、篡改（tampering）、否認(rèn)（repudiation）、信息披露（information disclosure）、拒絕服務(wù)（denial of service）、權(quán)限提升（elevation of privilege）6 個(gè)維度的威脅進(jìn)行評估分析，再對網(wǎng)絡(luò)組件的安全屬性需求與威脅分析結(jié)果建立聯(lián)系，定義網(wǎng)絡(luò)組件的風(fēng)險(xiǎn)程度，最后對網(wǎng)絡(luò)組件的安全目標(biāo)與風(fēng)險(xiǎn)程度建立聯(lián)系，評估得出威脅的潛在影響。上述方法雖然可以有效地評估出車載網(wǎng)絡(luò)各組件在不同環(huán)境下的風(fēng)險(xiǎn)程度，但是無法計(jì)算出精確的風(fēng)險(xiǎn)差異值，且無法對安全防護(hù)技術(shù)的效用進(jìn)行評估，進(jìn)而導(dǎo)致其為車載網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)提供的參考作用受限。

為實(shí)現(xiàn)車載網(wǎng)絡(luò)架構(gòu)安全性的精確量化評估，本文中提出了一種基于攻擊和修復(fù)結(jié)合的威脅分析與風(fēng)險(xiǎn)評估方法，首先通過對車載電子電氣架構(gòu)特征進(jìn)行分析，針對有安全性需求的組件，評估其可能遭受的攻擊路徑及可能采用的漏洞修復(fù)路徑，并結(jié)合連續(xù)時(shí)間馬爾科夫鏈將攻擊路徑和修復(fù)路徑轉(zhuǎn)化為AFC-TARA 模型。其次通過CVSS和ASIL估算出攻擊路徑內(nèi)各組件在固定周期內(nèi)被破解以及漏洞被修復(fù)的頻次。最終計(jì)算出有安全性需求的組件的風(fēng)險(xiǎn)率，并通過對攻擊路徑內(nèi)各組件的安全策略進(jìn)行優(yōu)化，對比優(yōu)化后安全性需求組件的最終風(fēng)險(xiǎn)率，從而評估不同安全策略的優(yōu)劣性。

1 風(fēng)險(xiǎn)率量化評估分析方法

由于汽車電子電氣架構(gòu)是由許多不同種類組件組成的高度異構(gòu)系統(tǒng)，不同組件在安全性方面的差異很大［4，14］，且存在多種潛在攻擊路徑［15-17］，因此需從系統(tǒng)層面對重要組件和網(wǎng)絡(luò)架構(gòu)進(jìn)行建模。本文以典型域集中式電子電氣架構(gòu)為基礎(chǔ)，基于AFCTARA 對架構(gòu)中有信息安全需求的組件進(jìn)行風(fēng)險(xiǎn)率量化評估分析，該評估方法的核心為連續(xù)馬爾科夫鏈模型構(gòu)建。評估流程如圖1所示，主要包括3個(gè)步驟：馬爾科夫鏈模型安全狀態(tài)定義、風(fēng)險(xiǎn)與修復(fù)轉(zhuǎn)移速率計(jì)算、組件風(fēng)險(xiǎn)率量化評估。

圖1 基于AFC-TARA的汽車電子電氣架構(gòu)組件風(fēng)險(xiǎn)率量化評估分析流程

1.1 馬爾科夫鏈模型安全狀態(tài)定義

為構(gòu)建用于車載網(wǎng)絡(luò)組件風(fēng)險(xiǎn)率量化評估的連續(xù)馬爾科夫鏈模型，需完成安全狀態(tài)及狀態(tài)轉(zhuǎn)移速率的定義和計(jì)算。

本小節(jié)定義安全狀態(tài)，首先將網(wǎng)絡(luò)架構(gòu)中各組件抽象為數(shù)學(xué)表達(dá)式。分別對車載網(wǎng)絡(luò)中的電子控制單元e∈E、通信總線b∈B和ECU 的各式接口Ie建立組件集，具體可表示為某個(gè)ECU 通過某種接口ib∈Ie接入一種總線網(wǎng)絡(luò)b∈Be或一種外部通信網(wǎng)絡(luò)。按照此種表述形式，可將ECU 組件定義為e={Ie，Be}；將總線網(wǎng)絡(luò)定義為b={Eb}，其中Eb表示為總線b上的所有ECU 的集合。其次，關(guān)于車載網(wǎng)絡(luò)中的消息m，可將ECU發(fā)送的消息定義為Sm，將ECU接收到的消息定義為Rm，將總線B上傳輸?shù)南定義為Bm，則m={Sm，Rm，Bm}。此外，網(wǎng)絡(luò)中各組件在任意時(shí)間點(diǎn)的最大有風(fēng)險(xiǎn)資源的數(shù)量可定義為nmax，組件從狀態(tài)x1到x2的轉(zhuǎn)移速率定義為ξ，轉(zhuǎn)換關(guān)系可通過式x1→ξx2表達(dá)。

基于上述基本數(shù)學(xué)表達(dá)式抽象，進(jìn)一步給出馬爾科夫鏈模型安全狀態(tài)的定義。

首先基于對外接口對各ECU 組件的安全狀態(tài)進(jìn)行定義。各ECU 組件根據(jù)包含的接口類型進(jìn)行分類。其中接口類型ib的風(fēng)險(xiǎn)點(diǎn)可定義為ε(ib) ≥0。隨著這種接口的風(fēng)險(xiǎn)值ηib增加，則有風(fēng)險(xiǎn)點(diǎn)的數(shù)量也隨之增大，具體轉(zhuǎn)換關(guān)系可表示為

除了接口中的風(fēng)險(xiǎn)點(diǎn)ε(i)外，車載網(wǎng)絡(luò)中還包括ECU 組件的風(fēng)險(xiǎn)點(diǎn)ε(e)、消息組件的風(fēng)險(xiǎn)點(diǎn)ε(m)。參數(shù)nmax表示車載網(wǎng)絡(luò)中風(fēng)險(xiǎn)點(diǎn)的總數(shù)量。與風(fēng)險(xiǎn)值相反，參數(shù)φib代表總線接口的修復(fù)值，表示網(wǎng)絡(luò)中接口ib的風(fēng)險(xiǎn)點(diǎn)被修復(fù)，具體轉(zhuǎn)換關(guān)系可表示為

此外，車載網(wǎng)絡(luò)中各ECU 的風(fēng)險(xiǎn)點(diǎn)與該ECU 擁有的接口數(shù)量相關(guān)，具體關(guān)系可表示為

其次根據(jù)連接于總線的ECU 狀態(tài)進(jìn)行總線安全狀態(tài)定義。車載網(wǎng)絡(luò)中各總線的風(fēng)險(xiǎn)點(diǎn)與該總線上連接的所有ECU 的風(fēng)險(xiǎn)點(diǎn)總和相關(guān)。一條CAN總線可定義為bc，其風(fēng)險(xiǎn)點(diǎn)可表示為

本文重點(diǎn)研究域集中式電子電氣架構(gòu)，將車載以太網(wǎng)定義為bEth。除需關(guān)注域控制器的風(fēng)險(xiǎn)點(diǎn)外，還需考慮中央網(wǎng)關(guān)的風(fēng)險(xiǎn)點(diǎn)ε(gw)。車載以太網(wǎng)的風(fēng)險(xiǎn)點(diǎn)可表示為

若車載網(wǎng)絡(luò)中某一組件與互聯(lián)網(wǎng)直連，如TBOX 通過4G 移動(dòng)網(wǎng)絡(luò)接入移動(dòng)互聯(lián)網(wǎng)，則該組件將被認(rèn)為長期處于風(fēng)險(xiǎn)狀態(tài)，即該組件隨時(shí)可能被攻擊者非法控制。因此，該組件的有風(fēng)險(xiǎn)點(diǎn)被定義為常數(shù)1，具體關(guān)系可表示為

最后，根據(jù)總線安全狀態(tài)對車載網(wǎng)絡(luò)中的消息進(jìn)行安全狀態(tài)定義。消息m的安全性需求包括可用性A、完整性G 和機(jī)密性C 3 類。其中可用性高度依賴于消息傳遞的通信網(wǎng)絡(luò)的負(fù)載情況，而完整性和機(jī)密性主要與消息所采用的密碼防護(hù)策略相關(guān)，如采用何種加密散列或?qū)ΨQ加密算法對消息進(jìn)行加密處理。對于CAN 總線網(wǎng)絡(luò)，如用于傳輸消息的總線被攻擊者利用，則整個(gè)總線網(wǎng)絡(luò)的可用性需求將無法得到有效保證，具體關(guān)系可表示為

為保證車載網(wǎng)絡(luò)通信的實(shí)時(shí)性，通常采用對稱加密技術(shù)保障消息的機(jī)密性和完整性。對稱加密技術(shù)需要將密鑰同時(shí)存儲(chǔ)于發(fā)送和接收消息的ECU內(nèi)，若發(fā)送或接收消息的ECU 處于風(fēng)險(xiǎn)狀態(tài)，即使消息采用加密傳輸，也無法保證消息的機(jī)密性和完整性。

以機(jī)密性安全策略為例對消息組件的安全狀態(tài)進(jìn)行轉(zhuǎn)換。如果發(fā)送方或接收方處于有風(fēng)險(xiǎn)狀態(tài)，則消息m的機(jī)密性無法得到保障，該狀態(tài)可表示為

此外，如消息m在總線上傳輸，則與總線直接相連的任意ECU 都有能力破壞消息m的機(jī)密性。這種攻擊發(fā)生的概率取決于消息m使用的加密算法的強(qiáng)度。總線上消息m的機(jī)密性被總線上其他ECU破壞的狀態(tài)轉(zhuǎn)換關(guān)系可定義為

因此，只有當(dāng)傳輸消息m的總線上所有連接的ECU 都處于無風(fēng)險(xiǎn)狀態(tài)時(shí)，則消息m處于無風(fēng)險(xiǎn)狀態(tài)。

與式（9）的風(fēng)險(xiǎn)值轉(zhuǎn)換關(guān)系描述相反，如對消息m機(jī)密性安全策略的漏洞進(jìn)行修復(fù)，狀態(tài)轉(zhuǎn)換關(guān)系可表示為

利用上述安全狀態(tài)定義可對車載網(wǎng)絡(luò)架構(gòu)中各組件的安全性進(jìn)行分析，并得出連續(xù)時(shí)間馬爾科夫模型中各組件安全狀態(tài)的轉(zhuǎn)換關(guān)系。

1.2 風(fēng)險(xiǎn)與修復(fù)轉(zhuǎn)移速率計(jì)算

在前述安全狀態(tài)定義的基礎(chǔ)上，本小節(jié)進(jìn)一步給出狀態(tài)轉(zhuǎn)移概率（即風(fēng)險(xiǎn)值η和修復(fù)值φ）的估算方法。

關(guān)于風(fēng)險(xiǎn)值，所提出AFC-TARA 采用ISO21434標(biāo)準(zhǔn)風(fēng)險(xiǎn)評估中推薦的通用漏洞評分系統(tǒng)（common vulnerability scoring system，CVSS） 3.1 版本［18］作為基礎(chǔ)計(jì)算模型，并對此模型進(jìn)行標(biāo)準(zhǔn)化修正，將分值轉(zhuǎn)換為具有物理意義的頻次，從而估算出組件由安全狀態(tài)轉(zhuǎn)換為風(fēng)險(xiǎn)狀態(tài)的轉(zhuǎn)移速率，即風(fēng)險(xiǎn)值η。CVSS通常用于評估軟件系統(tǒng)漏洞，由美國國家標(biāo)準(zhǔn)與技術(shù)研究所（national institute of standards and technology，NIST）維護(hù)。通過對組件的網(wǎng)絡(luò)特征、軟件特性、安全策略等維度進(jìn)行評估，計(jì)算出組件的可利用性評分，CVSS的評分標(biāo)準(zhǔn)見表1。

表1 CVSS的評分標(biāo)準(zhǔn)

車載組件風(fēng)險(xiǎn)值的具體估算流程包括3 個(gè)步驟，分別為確定可利用度分值、確定影響度修正分、車載組件得分標(biāo)準(zhǔn)化修正。其中，可利用度分值的計(jì)算方法如式（11）所示。

式中：參數(shù)AV、AC、PR、UI須根據(jù)車載組件的實(shí)際表現(xiàn)情況對應(yīng)表1 進(jìn)行取值。此外，影響度修正分的計(jì)算方法如式（12）所示。

式中：CF、CR、AB分別代表組件針對機(jī)密性、完整性、可用性所采取的實(shí)際安全策略的強(qiáng)度；CR、IR、AR分別代表組件在車載網(wǎng)絡(luò)中對機(jī)密性、完整性、可用性的安全防護(hù)需求程度的權(quán)重值。

由于連續(xù)時(shí)間馬爾科夫模型的狀態(tài)轉(zhuǎn)移速率與時(shí)間緊密相關(guān)。因此需要對車載組件得分進(jìn)行標(biāo)準(zhǔn)化修正，使最終結(jié)果具有時(shí)間物理意義，具體計(jì)算方法如式（13）所示。

首先，軟件版本迭代所需的最小開發(fā)周期限制了修復(fù)值的上限。其次，如果軟件升級包的內(nèi)容與汽車功能安全相關(guān)，則軟件升級包的發(fā)布相較于其他常規(guī)功能還需要進(jìn)行大量額外測試。因此，所提出AFC-TARA 根據(jù)行業(yè)內(nèi)車載組件軟件發(fā)版的普遍周期特性，結(jié)合ISO26262 標(biāo)準(zhǔn)中汽車安全完整性等級（ASIL）特征［19］，對組件的修復(fù)值進(jìn)行估算，具體映射關(guān)系見表2。

表2 ASIL評級示例與修復(fù)值關(guān)系

采用上述與時(shí)間周期相關(guān)的風(fēng)險(xiǎn)值和修復(fù)值作為連續(xù)時(shí)間馬爾科夫鏈模型狀態(tài)轉(zhuǎn)移速率的評估參數(shù)，可以有效估算出有安全需求的組件在特定時(shí)間周期內(nèi)被惡意利用的風(fēng)險(xiǎn)率。

其二，建立新型農(nóng)業(yè)經(jīng)營主體與農(nóng)戶相結(jié)合的模式，使其在新型農(nóng)業(yè)經(jīng)營主體與農(nóng)戶間產(chǎn)生鄰里效應(yīng)。政府應(yīng)加大對“新型農(nóng)業(yè)經(jīng)營主體+農(nóng)戶”模式的扶持力度,推動(dòng)合作社農(nóng)業(yè)保險(xiǎn)和龍頭企業(yè)農(nóng)業(yè)保險(xiǎn)的大力發(fā)展。一方面，應(yīng)增強(qiáng)對農(nóng)戶的認(rèn)知培訓(xùn)，實(shí)現(xiàn)新型農(nóng)業(yè)經(jīng)營主體和農(nóng)戶的有效對接；另一方面，應(yīng)提供良好的對接環(huán)境，建立相關(guān)的法律法規(guī)，使農(nóng)戶在對接過程中能享有與新型農(nóng)業(yè)經(jīng)營主體平等的地位，從而提高農(nóng)戶參與合作社的意愿，使農(nóng)戶與合作社形成緊密的利益共同體，且在條件允許的情況下，擴(kuò)大合作社規(guī)模，形成合作聯(lián)社，發(fā)揮農(nóng)戶之間的聯(lián)動(dòng)效應(yīng)。

1.3 組件風(fēng)險(xiǎn)率量化評估

利用前述安全狀態(tài)及狀態(tài)轉(zhuǎn)移速率的定義，即可構(gòu)建用于評估組件風(fēng)險(xiǎn)率的連續(xù)馬爾科夫鏈模型，并評估鏈條內(nèi)某個(gè)組件轉(zhuǎn)換為某一狀態(tài)的概率，即進(jìn)行組件風(fēng)險(xiǎn)率評估。

穩(wěn)態(tài)分析是馬爾科夫鏈模型的常用分析方式，但穩(wěn)態(tài)評估結(jié)果對車載網(wǎng)絡(luò)架構(gòu)的安全性評估并沒有較高的實(shí)際意義。車載網(wǎng)絡(luò)架構(gòu)模型更關(guān)注某個(gè)車載組件在固定時(shí)間周期內(nèi)可能被惡意利用的概率。例如，某個(gè)有機(jī)密性安全需求的消息組件在一年內(nèi)被破解的概率。為此，所提出AFC-TARA 量化方法參照文獻(xiàn)［20］，對固定時(shí)間間隔內(nèi)連續(xù)時(shí)間馬爾科夫模型的狀態(tài)發(fā)生概率進(jìn)行計(jì)算，即只考察目標(biāo)組件在某一固定時(shí)間間隔內(nèi)進(jìn)入風(fēng)險(xiǎn)狀態(tài)的概率。

將風(fēng)險(xiǎn)率量化評估的特性定義為時(shí)間間隔t與風(fēng)險(xiǎn)狀態(tài)向量ρ的關(guān)系，即φ={ρ，t}，將車載網(wǎng)絡(luò)中需要量化評估分析的組件定義為c∈C。風(fēng)險(xiǎn)狀態(tài)向量ρ的長度與網(wǎng)絡(luò)模型中由攻擊鏈路產(chǎn)生的風(fēng)險(xiǎn)狀態(tài)的總數(shù)相等，即|ρ|=|S|。模型中每個(gè)組件的安全子狀態(tài)可用s(n，c)表示，如果該子狀態(tài)為風(fēng)險(xiǎn)狀態(tài)，則該狀態(tài)所處的向量ρ的分量為1，如為安全狀態(tài)，則分量為0，具體可表示為

轉(zhuǎn)移速率矩陣Q中的元素由各狀態(tài)間的轉(zhuǎn)移速率（即風(fēng)險(xiǎn)值和修復(fù)值）決定，其中轉(zhuǎn)移速率R(x，y)代表矩陣Q中坐標(biāo)(x，y)，即安全狀態(tài)從x到y(tǒng)的轉(zhuǎn)移速率。如兩個(gè)狀態(tài)間不存在直接轉(zhuǎn)移關(guān)系，則矩陣Q中這類轉(zhuǎn)移關(guān)系的元素為0。由于矩陣Q須保證每行元素之和為0，則坐標(biāo)(x，x)的值等于該行其他元素和的相反數(shù)，矩陣Q可表達(dá)為

基于上述定義，計(jì)算時(shí)間間隔t內(nèi)組件的風(fēng)險(xiǎn)率。

首先，需對矩陣Q進(jìn)行標(biāo)準(zhǔn)化處理。將矩陣Q除以q，其中q為矩陣中元素絕對值的最大值。由于AFC-TARA 模型中的轉(zhuǎn)移速率皆為正值，因此q≤0的情況不需要被考慮。

根據(jù)文獻(xiàn)［20］中定義12 的結(jié)果可得到式（16）所示的矩陣：

式中：I為單位矩陣；Punif表示在連續(xù)時(shí)間馬爾科夫模型中嵌入的均勻離散時(shí)間馬爾科夫鏈。Punif考慮了單個(gè)時(shí)間步長的所有轉(zhuǎn)移速率，而(Punif)m考慮了m個(gè)時(shí)間步長狀態(tài)間的所有轉(zhuǎn)移速率。

其次，為了計(jì)算轉(zhuǎn)移模型，可將連續(xù)時(shí)間馬爾科夫模型假設(shè)為指數(shù)分布。為對這種指數(shù)行為進(jìn)行建模，對每一步采用泊松分布(γ)。泊松分布的參數(shù)為λ=q·t和k=m，從而對以q為參數(shù)的速率分布進(jìn)行建模，在時(shí)間t內(nèi)觸發(fā)m次。而累積泊松概率的計(jì)算需要對指數(shù)行為進(jìn)行建模。

由于式（17）無法直接求得經(jīng)過t時(shí)間后某一狀態(tài)的概率，需要引入向量ρ并將希望量化評估的狀態(tài)分量設(shè)為1。計(jì)算方法可參照文獻(xiàn)［20］中的命題4，即

最終，組件在固定時(shí)間間隔內(nèi)風(fēng)險(xiǎn)狀態(tài)的量化評估結(jié)果可定義為

2 風(fēng)險(xiǎn)率計(jì)算與討論

本節(jié)以圖2 中所示的典型域集中式電子電氣架構(gòu)為研究對象，使用前述AFC-TARA 方法進(jìn)行風(fēng)險(xiǎn)評估與威脅分析。具體研究場景為底盤域控制器向信息娛樂域控制器實(shí)時(shí)傳遞車速信息，所涉及子系統(tǒng)包括車載中央網(wǎng)關(guān)、底盤域控制器（chassis domain controller，CDC）、外 部 通 信 域 控 制 器（connected domain controller）、信息娛樂域控制器（in-vehicle infotainment domain controller，IVI DC）及安全防護(hù)域控制器（safety & security controller，SSC），如圖中紅色虛線框所示。評估結(jié)果將輸出組件在不同安全防護(hù)策略下的風(fēng)險(xiǎn)率，以量化評估不同安全防護(hù)策略對車載網(wǎng)絡(luò)安全防護(hù)能力的提升程度。所使用建模工具為Matlab 2020b，風(fēng)險(xiǎn)率評估工具為PRISM V4.6［21］。

圖2 風(fēng)險(xiǎn)率評估參考子系統(tǒng)架構(gòu)

子系統(tǒng)可轉(zhuǎn)換為如圖3 所示的連續(xù)時(shí)間馬爾科夫鏈模型。模型中每個(gè)組件的安全子狀態(tài)可用s(n，c)表示，如果該子狀態(tài)為風(fēng)險(xiǎn)狀態(tài)，則該狀態(tài)所處的向量ρ的分量為1，如為安全狀態(tài)，則分量為0。

圖3 子系統(tǒng)馬爾科夫鏈模型

2.1 網(wǎng)絡(luò)架構(gòu)評估

為驗(yàn)證ARC-TARA 量化評估的可行性，本文對防護(hù)方和攻擊方進(jìn)行如下前提假設(shè)。

（1）攻擊方基于移動(dòng)通信網(wǎng)絡(luò)作為切入點(diǎn)對子系統(tǒng)發(fā)起攻擊，并選擇底盤域控制器向信息娛樂域控制器傳遞的車速信息組件作為攻擊對象，即攻擊目標(biāo)為使智能儀表無法實(shí)時(shí)顯示正確的車速信息。具體攻擊路徑為先通過移動(dòng)通信網(wǎng)絡(luò)獲取TBOX 的控制權(quán)限，隨后破解中央網(wǎng)關(guān)的安全防護(hù)機(jī)制，最后破解底盤域控制器與信息娛樂域控制器之間的安全通信加密機(jī)制，即可偽裝身份將惡意報(bào)文通過中央網(wǎng)關(guān)轉(zhuǎn)發(fā)至信息娛樂域控制器，最終展示錯(cuò)誤的車速信息。

（2）如1.1 小節(jié)所述，認(rèn)為TBOX 和外網(wǎng)連接控制器完全暴露在開放互聯(lián)網(wǎng)環(huán)境中，在整個(gè)攻防對抗中完全不設(shè)防。

（3）防護(hù)方從兩個(gè)方面對車速消息組件進(jìn)行安全防護(hù)，包括中央網(wǎng)關(guān)提供的安全防護(hù)與車速消息組件加密傳輸提供的安全防護(hù)。

基于上述假設(shè)，依據(jù)中央網(wǎng)關(guān)是否采用入侵檢測系統(tǒng)與安全通信防御機(jī)制，共給出4 種不同的子系統(tǒng)變體，如圖4 所示，圖中分別用藍(lán)色和紅色箭頭標(biāo)注了車速信息的正常傳遞路徑和攻擊路徑。圖4（a）中央網(wǎng)關(guān)無任何防護(hù)機(jī)制。圖4（b）中央網(wǎng)關(guān)配置了入侵檢測系統(tǒng)，攻擊者通過標(biāo)準(zhǔn)攻擊路徑發(fā)起攻擊時(shí)，將觸發(fā)中央網(wǎng)關(guān)入侵檢測系統(tǒng)的預(yù)警機(jī)制。預(yù)警平臺(tái)接收到入侵行為后，將針對入侵行為進(jìn)行漏洞風(fēng)險(xiǎn)分析并開發(fā)升級補(bǔ)丁，通過遠(yuǎn)程升級的模式修復(fù)漏洞。為此，攻擊者需要在漏洞被修復(fù)前，實(shí)現(xiàn)對智能儀表加密機(jī)制的破解。圖4（c）中央網(wǎng)關(guān)內(nèi)集成了安全認(rèn)證功能，攻擊者如延用上述攻擊路徑，需要破解中央網(wǎng)關(guān)的身份認(rèn)證機(jī)制。圖4（d）由于中央網(wǎng)關(guān)內(nèi)同時(shí)配置并集成了入侵檢測系統(tǒng)與安全認(rèn)證功能，攻擊者須同時(shí)破解中央網(wǎng)關(guān)的入侵檢測機(jī)制和安全通信機(jī)制，并在漏洞修復(fù)前，實(shí)現(xiàn)對智能儀表的攻擊。

圖4 4種典型車載電子電氣架構(gòu)子系統(tǒng)拓?fù)鋱D

根據(jù)CVSS 3.1 評分標(biāo)準(zhǔn)、ASIL 等級劃分及式（13），對子系統(tǒng)中TBOX、中央網(wǎng)關(guān)及車速消息3 個(gè)組件的風(fēng)險(xiǎn)值和修復(fù)值進(jìn)行評估。需要指出，在評估過程中除了考慮中央網(wǎng)關(guān)提供的安全防護(hù)與車速消息組件加密傳輸提供的安全防護(hù)外，還須考慮車速消息組件本身的安全需求，包括同時(shí)滿足機(jī)密性和完整性、僅滿足機(jī)密性、僅滿足可用性3 種。另外車速消息組件可以采用的加密傳輸方式包括無加密、HMAC 及AEAD 3 種。評估結(jié)果如表3 所示，可以看到，中央網(wǎng)關(guān)使用不同的安全防護(hù)策略，其對應(yīng)的風(fēng)險(xiǎn)值與修復(fù)值隨之相應(yīng)變化。而針對不同安全需求，車速消息3 種不同的加密傳輸方式也體現(xiàn)出不同的風(fēng)險(xiǎn)值。

表3 網(wǎng)絡(luò)組件轉(zhuǎn)移速率評估值

在獲得子系統(tǒng)內(nèi)不同組件的風(fēng)險(xiǎn)值與修復(fù)值后，即可根據(jù)建立的連續(xù)馬爾科夫鏈模型對消息組件的風(fēng)險(xiǎn)率進(jìn)行求解。最終計(jì)算所得消息組件在不同安全需求與不同防護(hù)措施條件下的風(fēng)險(xiǎn)率如圖5所示。

圖5 風(fēng)險(xiǎn)率量化評估分析結(jié)果

圖5（a）針對信息娛樂域控制器的消息組件須同時(shí)滿足機(jī)密性和完整性的安全需求場景，若中央網(wǎng)關(guān)無安全機(jī)制且信息娛樂域控制器的消息組件無加密機(jī)制，固定時(shí)間周期模型屬性定義為1 年，則車速消息組件的風(fēng)險(xiǎn)率為1.7%。若采用HMAC 加密機(jī)制，則車速消息組件的風(fēng)險(xiǎn)率降至1.23%。若采用AEAD 加密機(jī)制，則車速消息組件的風(fēng)險(xiǎn)率降至0.57%，安全性提升約3 倍。這是由于HMAC 加密機(jī)制僅能滿足完整性需求，而AEAD 加密機(jī)制可同時(shí)滿足完整性和機(jī)密性需求。當(dāng)中央網(wǎng)關(guān)配置入侵檢測系統(tǒng)后，車速消息組件的安全性提升約1.7 倍，采用3 種加密機(jī)制的風(fēng)險(xiǎn)率分別為1.00%、0.72%和0.33%。當(dāng)中央網(wǎng)關(guān)集成安全通信機(jī)制后，車速消息組件相較于無安全機(jī)制安全性提升約為3.3倍，相較于僅配置入侵檢測系統(tǒng)的安全性提升約為2 倍。當(dāng)中央網(wǎng)關(guān)同時(shí)采用入侵檢測系統(tǒng)與安全通信防御機(jī)制，車速消息組件相較于無安全機(jī)制安全性提升約為5.2倍。

圖5（b）針對車速消息組件僅須滿足完整性的安全需求場景，當(dāng)車速消息組件未采用任何加密機(jī)制，車速消息組件的風(fēng)險(xiǎn)率與同時(shí)滿足機(jī)密性和完整性安全需求的結(jié)果相同。此外，由于HMAC 加密機(jī)制與AEAD 加密機(jī)制都能滿足數(shù)據(jù)完整性安全需求，因此車速消息組件采用HMAC 或AEAD 所得的風(fēng)險(xiǎn)率相等，結(jié)果與同時(shí)滿足機(jī)密性和完整性安全需求場景相同。

圖5（c）針對車速消息組件僅須滿足可用性的安全需求場景，車速消息組件采用任何加密機(jī)制都無法影響車載智能儀表上車速消息組件的風(fēng)險(xiǎn)率，這是由于攻擊者只要與目標(biāo)域控制器建立通信，即可影響目標(biāo)網(wǎng)絡(luò)的可用性。為此，可通過采用入侵檢測系統(tǒng)或安全通信防御機(jī)制提升中央網(wǎng)關(guān)的防御能力，降低攻擊者接入目標(biāo)網(wǎng)絡(luò)的概率，才能提升消息組件的可用性安全需求，從而降低消息組件的風(fēng)險(xiǎn)率。

綜上，基于密碼學(xué)的安全通信機(jī)制可有效降低域集中式電子電氣架構(gòu)中車載網(wǎng)絡(luò)組件的風(fēng)險(xiǎn)率，實(shí)現(xiàn)組件安全性提升。其次，車載網(wǎng)絡(luò)采用入侵檢測系統(tǒng)同樣對降低組件的風(fēng)險(xiǎn)率有一定的幫助，但在面臨同樣強(qiáng)度攻擊時(shí)該方法降低風(fēng)險(xiǎn)率的幅度弱于基于密碼學(xué)的安全通信機(jī)制，因此入侵檢測系統(tǒng)可作為提升網(wǎng)絡(luò)組件安全性的重要補(bǔ)充。最后，在計(jì)算資源允許的條件下，可同時(shí)采用基于密碼學(xué)的靜態(tài)防御機(jī)制和基于入侵檢測系統(tǒng)的動(dòng)態(tài)防御機(jī)制，更大幅度地提升網(wǎng)絡(luò)組件的安全性。

2.2 轉(zhuǎn)移速率的變化趨勢

為了評估不同風(fēng)險(xiǎn)值和修復(fù)值對組件風(fēng)險(xiǎn)率的影響，以指導(dǎo)防護(hù)方進(jìn)行合理的安全防護(hù)策略設(shè)計(jì)，以圖4（a）的子系統(tǒng)模型為參考架構(gòu)，分析車速消息組件風(fēng)險(xiǎn)率的變化趨勢與子系統(tǒng)中其他組件的風(fēng)險(xiǎn)值和修復(fù)值的聯(lián)系。由于TBOX 組件作為子系統(tǒng)的主要攻擊入口，車速消息組件的風(fēng)險(xiǎn)率主要取決于TBOX 組件的風(fēng)險(xiǎn)值和修復(fù)值。為易于驗(yàn)證，本實(shí)驗(yàn)將TBOX 組件風(fēng)險(xiǎn)值和修復(fù)值的取值范圍定義為0.1～8 760之間，該取值范圍轉(zhuǎn)換到時(shí)間維度分別表示為組件發(fā)現(xiàn)并修復(fù)風(fēng)險(xiǎn)漏洞的時(shí)間周期為10 年至1 h。如將風(fēng)險(xiǎn)值設(shè)為變量，則修復(fù)值固定為φ=52，即固定每周修復(fù)一次。如將修復(fù)值設(shè)為變量，則風(fēng)險(xiǎn)值固定為η= 2，即半年發(fā)現(xiàn)一次可利用的漏洞。

車速消息組件風(fēng)險(xiǎn)率的變化趨勢如圖6 所示，其中圖6（a）為TBOX 組件的風(fēng)險(xiǎn)值對車速消息組件風(fēng)險(xiǎn)率的影響，圖6（b）為TBOX 組件的修復(fù)值對車速組件風(fēng)險(xiǎn)率的影響。可以發(fā)現(xiàn)，隨著軟件版本迭代周期的縮短，組件風(fēng)險(xiǎn)率隨之降低。當(dāng)更新頻率達(dá)到φ= 71，即約5.14 天修復(fù)一次后，車速消息組件的風(fēng)險(xiǎn)率降至1%以下。如同樣以1%作為風(fēng)險(xiǎn)率的閾值，則在固定修復(fù)值的情況下，風(fēng)險(xiǎn)值的最大值為η= 1.1，即發(fā)現(xiàn)TBOX 組件的可利用漏洞的時(shí)間需大于331.8天。

圖6 風(fēng)險(xiǎn)值或修復(fù)值變化對組件風(fēng)險(xiǎn)率的影響

通過對轉(zhuǎn)移速率的變化趨勢進(jìn)行評估，可估算出為滿足組件安全標(biāo)準(zhǔn)所需要的風(fēng)險(xiǎn)值與修復(fù)值閾值。風(fēng)險(xiǎn)值可用于指導(dǎo)組件設(shè)計(jì)方對組件進(jìn)行不同程度的加固防護(hù)，以改善組件的風(fēng)險(xiǎn)值。修復(fù)值可用于為組件安排安全合理的更新迭代頻率。

3 結(jié)論

為解決傳統(tǒng)威脅分析與風(fēng)險(xiǎn)評估無法實(shí)現(xiàn)對信息安全防護(hù)技術(shù)效用進(jìn)行量化評估的問題，本文提出了一種同時(shí)考慮攻擊與防護(hù)效用的改進(jìn)威脅分析與風(fēng)險(xiǎn)評估方法。首先，結(jié)合組件的攻擊變量和防御變量特征，對ECU、網(wǎng)絡(luò)、消息信號等組件的安全狀態(tài)轉(zhuǎn)換邏輯進(jìn)行了分析，并利用連續(xù)時(shí)間馬爾科夫鏈對車載組件的安全狀態(tài)轉(zhuǎn)換邏輯進(jìn)行了建模。其次，在所構(gòu)建的連續(xù)時(shí)間馬爾科夫鏈模型中，通過將單一組件的安全評估結(jié)果與鏈條中其他組件的安全狀態(tài)、攻擊變量、防御變量的變動(dòng)相關(guān)聯(lián)，由此實(shí)現(xiàn)系統(tǒng)或整車級的安全分析與評估。最后，建立了安全狀態(tài)標(biāo)準(zhǔn)化轉(zhuǎn)換模型，將CVSS 漏洞評估與ASIL 評估得到的可利用度分值和安全等級轉(zhuǎn)換為與時(shí)間頻次相關(guān)的風(fēng)險(xiǎn)值與修復(fù)值，并將這兩個(gè)指標(biāo)作為馬爾科夫鏈模型的轉(zhuǎn)移速率；建立了安全狀態(tài)檢測器，實(shí)現(xiàn)對固定時(shí)間周期內(nèi)系統(tǒng)架構(gòu)中各組件風(fēng)險(xiǎn)率的精確評估。

選取了典型域集中式電子電氣架構(gòu)中底盤域控制器向信息娛樂域控制器實(shí)時(shí)傳遞車速信息的場景進(jìn)行安全分析和方法有效性驗(yàn)證。評估結(jié)果顯示：（1）中央網(wǎng)關(guān)、底盤域控制器和信息娛樂域控制器均不采用任何防護(hù)措施的條件下，車速信息在一年內(nèi)被惡意利用的風(fēng)險(xiǎn)率為1.70%；若中央網(wǎng)關(guān)同時(shí)采用密碼學(xué)防護(hù)措施與入侵檢測系統(tǒng)、底盤域控制器及信息娛樂域控制器采用AEAD 加解密防護(hù)手段，則車速信息在一年內(nèi)被惡意利用的風(fēng)險(xiǎn)率降為0.11%，下降超15 倍。（2）底盤域控制器及信息娛樂域控制器不采用任何防護(hù)措施的條件下，中央網(wǎng)關(guān)僅采用密碼學(xué)防護(hù)手段時(shí)車速信息在一年內(nèi)被惡意利用的風(fēng)險(xiǎn)率為0.51%，而僅采用入侵檢測系統(tǒng)時(shí)車速信息在一年內(nèi)被惡意利用的風(fēng)險(xiǎn)率為1.00%，證明在此場景下密碼學(xué)防護(hù)手段相較入侵檢測系統(tǒng)能提供更高的安全性。

本文提出的AFC-TARA 方法相較傳統(tǒng)TARA 方法具有同時(shí)考慮攻擊側(cè)與防護(hù)側(cè)效用、支持系統(tǒng)或整車級安全分析、支持安全風(fēng)險(xiǎn)量化評估的優(yōu)點(diǎn)，可以為域控電子電氣架構(gòu)或其他車載網(wǎng)絡(luò)架構(gòu)的信息安全設(shè)計(jì)和優(yōu)化提供基礎(chǔ)支撐。