飛馳中的一億行代碼:智能汽車如何安全上路?
在當今的汽車產業中,軟件定義汽車、汽車電氣化、網聯及自動駕駛已經受到越來越多的關注。得益于更加先進且復雜的軟件,汽車產業可以提供更強勁的安全功能、更便利的操作以及更佳的用戶體驗。但不可忽視的一點是,漏洞風險也隨之增加,攻擊面更廣。
當前,汽車行業正在設法提升用戶體驗,不僅要兼顧性能和智能,還要將軟件代碼安全貫穿于產品的全生命周期。因為,軟件正在成為現代汽車行業發展不可或缺的一部分。一輛現代智能網聯汽車擁有150個電子控制單元,所包含的軟件代碼已接近1億行,超越了一個普通操作系統包括的代碼量,并且到2030年這一數字還將有望突破3億行。汽車產業的發展可謂千里之行,始于安全。
多年來,新思科技幫助車企管理整個軟件開發生命周期(SDLC)和供應鏈的風險,支持在智能網聯汽車中構建軟件安全性及可靠性,并獲得業界的普遍認可。同時,新思科技也會分享經驗和觀察,為智能車企業提供有價值的借鑒,助力加強其產品在SDLC的每個階段和整個軟件供應鏈中的軟件安全狀況。
網絡安全趨勢和標準
近年來,全球汽車行業引入了多項新標準和法規,包括ISO/SAE 21434網絡安全工程、面向網絡安全的汽車SPICE以及UN-R155網絡安全和網絡安全管理系統。隨著越來越多的機構為產品開發制定網絡安全政策、流程和活動,汽車行業網絡安全的成熟度逐步提高。
現代汽車的威脅和安全挑戰
現代汽車通常具備這幾個特點:軟件定義汽車、汽車電氣化、網聯及自動駕駛。面向這些特性,主要有四個方面的威脅和安全挑戰需要考慮。
-
無線接口,包括Wi-Fi、藍牙、蜂窩通信和V2X (Vehicle to Everything)。此外,自動駕駛汽車可以包含40多個攝像頭和傳感器,包括前置攝像頭、環視攝像頭、側攝像頭、后視攝像頭、前置雷達、后置雷達、激光雷達和多個超聲波傳感器。
-
有線接口,包括常見的攻擊媒介,即車輛中的診斷端口。對于電動汽車,充電端口是一個額外的攻擊媒介。
-
網聯汽車的目標系統包括面向外部的系統,例如車載信息娛樂系統、遠程信息處理控制單元和V2X連接單元。此外,系統可能包含有價值的資產,例如個人身份信息和加密密鑰/憑證。還有控制重要或關鍵功能的系統,例如無鑰匙進入系統(通過車身控制模塊)、被動地進入被動啟動系統和電池管理系統。對于自動駕駛汽車,目標系統包括與高級駕駛員輔助系統和自動駕駛相關的安全關鍵系統。這些系統負責轉向、加速和制動等功能。
-
生態系統涉及其它車輛、用戶的移動設備、OEM 后端、云解決方案和無線更新平臺。對于電動汽車,生態系統還涉及充電站、智能家居和電網等V2G (Vehicle to Grid)實體。除了保護汽車本身外,還必須確保生態系統中所有安全關鍵實體的安全。
克服挑戰并減少現代汽車安全漏洞
汽車企業應遵循最佳實踐并根據ISO/SAE 21434等標準制定網絡安全政策和流程,包括部署適當的應用安全測試工具以建立安全的軟件開發生命周期。
為了確定產品中的關鍵風險,車企應以項目級活動為重點,進行威脅分析和風險評估。在產品開發過程中,應對軟件進行安全漏洞測試。比如執行靜態應用安全測試(SAST)以檢測源代碼中的問題;此外,還要執行軟件組成分析(SCA)以檢測通信庫或加密庫等常用庫中易受攻擊的開源軟件組件;而且應在高風險無線和有線接口上執行模糊測試,以檢測實施問題和安全漏洞;應對生態系統中的軟件(例如網絡應用和移動應用)執行動態應用安全測試(DAST)和滲透測試。
近年來一直熱議的AI技術,同樣需要謹慎區分利與弊。隨著AI技術的蓬勃發展,汽車行業可以抓住新機遇。例如ChatGPT,一款于2022年11月發布的人工智能聊天機器人,并在兩個月內達到了1億用戶。基于這些強大的AI語言模型,汽車制造商可以構建數字助理,并使用汽車特定信息訓練AI模型。比如使用Linux和Unix手冊頁以及C和Python編程語言對ChatGPT進行訓練的方式。可以想象一家汽車制造商使用汽車用戶手冊中的信息以及有關如何支持常見用例的信息來訓練數字助理,包括路線規劃、與智能家居和設備的集成、充電等。這將使得用戶輕松詢問有關儀表盤上閃爍的警告燈的問題、規劃前往機場的有效路線、打開車庫門或連接用戶設備、查找和預訂充電點等,而無需翻閱大量用戶手冊或使用和管理多個設備或系統。
但是風險呢?車企需要考慮使用哪種類型的訓練數據,以及應用定義允許使用哪種類型的信息進行何種響應的策略。這些非常重要。不法分子在早期可利用有限限制的ChatGPT編寫惡意軟件和黑客工具或獲取可用于惡意目的的信息。同樣,汽車中的數字助理也可能被濫用以獲取某些私密信息,例如如何克隆密鑰或運行未經授權的命令。這可能導致汽車失竊等。
總而言之,雖然在汽車中部署數字助理會帶來很多好處,并會改善用戶體驗。但考慮風險也很重要。因此,車企必須研究使用哪些培訓數據,并考慮對響應內容提供某種類型的限制,以防止濫用或惡意行為。
-
新思科技
+關注
關注
5文章
808瀏覽量
50424
原文標題:飛馳中的一億行代碼:智能汽車如何安全上路?
文章出處:【微信號:Synopsys_CN,微信公眾號:新思科技】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
豐田汽車一行到訪中汽中心
賦能智能汽車 | ISO 26262和ISO 21448雙重安全保障
地平線榮獲2024年智能網聯汽車功能安全應用典型案例
中國首推汽車智能安全評價體系,助力自動駕駛汽車安全性評估
上汽紅巖入選國家級智能網聯汽車準入和上路通行試點
SDV三大關鍵應用的安全考慮因素
上汽成功入選全國首批智能網聯汽車準入和上路通行試點名單
廣汽獲批進入智能網聯汽車準入和上路通行試點
比亞迪入選成為國內首批智能網聯汽車準入和上路通行試點名單
美行科技通過ISO26262:2018汽車功能安全ASIL D流程認證
全球首款四端口 SSD 將如何推動智能汽車架構變革
為旌科技榮獲ISO 26262汽車功能安全ASIL-D認證,推動智能駕駛發展
專家訪談 | AI如何助力汽車功能安全?(汽車安全②:功能安全)
工商網監
評論