汽车安全措施的基本思考方式

汽车车身中，汽车外部通信作为受到安全攻击的攻击面(Attack surface)，最容易成为攻击的目标。可能成为攻击点的外部通信设备，包含如图1所示的汽车中的4G/LTE、V2X等无线通信设备，以及OBD-Ⅱ等有线通信设备。

站在想要加强安全这方的立场上，普遍认为分层级实施安全的多层防御装置安装措施是最为有效的，这一看法在IT领域中也有共通性。至于多层防御层级的结构和数量等，各公司颇有争议，一般说来，四个层级就较为完善。如图2所示，本专题采用的是有4个层级的模型。第一个层级由地面上的整个行驶环境构成，第二个层级由车身构成，第三个层级由车载网关以下的车内网络构成，第四个层级由ECU等组件构成。

图1  汽车外部通信示例

图2  安全的层级结构

要确保汽车的安全性，就需要从大量的使用案例中找出解决措施。要获得基于多方面见解的共通性基础技术，又需要开发共同评估技术，以及推进基于上述评估得出的结论等的共享进程。但是，安全技术的效果和评估很难予以数据化，所以客观验证单个汽车安全措施的合理性也就很难着手。另一方面，针对共通性基本系统问题的措施要点、针对该要点解决方式的评估方法和基准等，各个企业间不应该形成竞争关系，而是应该将其视为汽车行业的共同课题加以研究，并分享各自的见解等。

我们旨在构建一个以客观性评估的思考方式、具体实施，以及知识的共享为目标的框架。

本文主要研究对象为图2所示第2阶层以下，即车辆内部的安全。但是我假设了在第1阶层发生的安全危险通过外部通信（V2X,Wi-Fi，智能手机等）进入第2阶层以下。

具体来说，制定了「自动驾驶共通模型的构建，基于其的危险分析，安全条件及对策研究」「应对车辆攻击的评价手法·标准的研究」「有关V2X通信的署名验证简化的研究」三个主题。以下说明各自的实施内容。

自动驾驶共通模型的构建，威胁分析、

安全对策的重要要素技术之一就是危险分析。危险分析是为了明确存在怎样的危险、什么是适当的应对危险的对策（安全要求）、是否充分降低了预想的风险而实施的。

危险分析一般基于以下要素实施：

· 系统架构·用例（假定使用例）

· 危险分析手法

· 风险评估的标准

· 应对方案(安全要求)的制作

在此，我对国内外项目中的危险分析的实施案例进行了调查，并将图3所示的模型设定为汽车的车内系统架构案例。

图3 设定的车内系统架构

另外,进行危险分析时,首先要构建危险分析共通平台，营造一个可以统一危险分析所需的各种方法及方法论的工具环境。在此，对危险分析共通平台进行概要说明。

1.危险分析共通平台

假设对图2第2阶层以下，包括ECU等级为止的对象实施危险分析，基于以上假设构建了本平台。（图4）

图4 威胁分析的目标系统

图5 威胁分析共通平台的构成

本平台是作为某公司的EA (Enterprise Architect)的追加功能开发的，在系统工程编写语言SysML中进行了一部分安全扩展，如果要学习系统工程和SysML，可以参加牛喀学城举办的MBSE高级培训班，会具体介绍MBSE和安全设计的结合应用。

本平台的功能如图5所示。图中，上方部分是现有工具的扩展，以及新开发的内容。

2.风险评估

实施包括系统等级在内的危险分析时，设计了递减模型和内部潜伏模型来作为新的多段攻击·多层防御方面的风险评估模型，并安装于本平台。

假设：递减模型采用多层防御，因此，按照安全区域划分的区域越多，整体风险就越低；内部潜伏模型的情况下，一旦潜入到内部，就会提高风险。

使用安装了上述模型的危险分析共通平台，今后将实施以图3所示的车内系统架构为题材的危险分析。

对攻击车辆的评价方法及基准的探讨

以关于车辆安全性的评价技术、评价基准作为研究目的，本主题的研究对象分为几个层级设定，对“车辆全体”、“车内系统”、“组件”的实物的使用的攻击手法、评价方法进行了研究。

关于“车内系统”、“组件”的评价，开发了由一个或多个ECU组成的评价系统，对设置的脆弱性进行了易攻击性的验证。

同时也进行了车辆模拟系统的构建工作，该系统由基于图3所示的车内系统体系结构“TCU⇌网关⇌仿ECU”作为整个车辆的主要构件进行的模拟评价环境。

1.组件水平、车内系统水平评价

在汽车行业对组件（ECU等）的评价标准研究中，有必要量化对组件发生攻击的可能性。

为此，开发了着眼于评价对组件重要功能—软件更新功能（重新编程）的攻击的评价系统。这个评价系统为允许重新编程不同安全等级的脆弱性准备了随机的安全认证，并进行定量的评价。另外，利用该评价系统对CAN中的消息认证进行了脆弱性评价

组件的评价系统如图6所示。通过对ECU发出的信号进行处理，将信号读入PC端，再由PC进行处理。

图6 概念的评估系统

· 对认证密钥攻击的随机数的熵的假设

对于消息认证的密钥的攻击脚本的代表性例子是循环攻击。用密钥生成的随机数的熵的比来预测攻击成功的时间。

针对消息认证密钥的攻击脚本可被解释为针对明文和密文的熵空间内的循环攻击。循环攻击，用暗号解读一种方法，能尝试所有可能的组合。将攻击成功率设为50％时，意味着熵的一半攻击成功。也就是说，熵为的情况下，通过次的运算处理找到攻击密钥。表1表示了通过计算每个场合攻击成功的时间所需的最小熵值。

由此可见，要想在设定的车辆生命周期（年）以内不成功攻击认证密钥，熵64bit以上是最理想的。

在采用评价系统的评价中，在随机的熵强度和随机的初始化、无组合地进行多个安全等级的设定之上进行实验，在脆弱性存在的情况下成功完成攻击评价。

· 关于信息认证系统评价的研究

在汽车行业内，信息认证正在作为车内系统的安全措施进行研究。攻击信息认证的例子有，通过加密密钥入手解密生成并注入不正当的信息。

要想解决在现实的时间内成功入手并解读加密密钥，以及加密密钥的管理和运用不当等问题，如果没有确定的密钥信息就会非常困难。

因此，作为评价参数，我们假设了由于开发人员设计错误导致的信息认证脆弱性的事例，并在评价系统上实现了这种脆弱性。（图7）

图7 信息认证评估系统

这里，作为MAC（MessageAuthentication Code）验证的设定错误，原因是存在不进行MAC验证的ID,并进行了用于初始化FV（FreshnessValue）同步消息的时间间隔比FV计数器的饱和时间长的脆弱性实验。

通过脆弱性的利用，在攻击评价中，无论是不正当的消息的注入还是消息的再次攻击都取得了成功。

在采用评价系统进行的攻击评价中，虽然所有的攻击案例均获得成功，但都发现了攻击准备阶段的脆弱性，从而确认了正确采取安全措施的重要性。

2.车辆模拟系统的开发

在车载系统安全方面，重点在于脆弱性信息的共享等智能系统的构建以及评价方法的研究和人才培养等工作。但是，评价，单独的ECU水平，存在着如果不使用实际的汽车系统就无法实施的限制。另外，使用汽车系统的情况下，根据车型不同架构和接口不同等，出现了汽车评价结果不能再现的课题。为了解决这个课题，很多单位和工程师都可以使用的车辆水平的评价环境的构建被认为是有效的。

· 测试台架的整体构成和机能

测试台架的结构如图8，全体外观如图9所示，测试台架上安装了与车辆外部进行通信的TCU（Tele Communication Unit），接收车辆外部通信数据的车载Gateway（C-Gateway），控制车辆“行驶、拐弯、停驶”的各ECU，以及各ECU的控制系统，同时模拟并简化了车内系统。另外还安装了TCU以外用于车外通信的WIFI，和相当于自我诊断机能OBD-II端口的有线通信机能。并且，设置了用于监控评价环境内部情况的CAN端口，可以用于输出错误信息的检测结果。

图8 试验台的结构图

图9 试验台的外观真实图

装备了这些机能后，以“联网汽车”为对象，实现了可进行基本安全评价与研究的环境。

· 安全功能

以下对测试台架具备的安全功能的代表性部分进行说明。

（1）CAN的加密化

比之前更为理解CAN的易攻击性，因而对策是当务之急。

本研究中采用的对策即具有实绩的车载软件AUTOSAR，依照其标准，今后可以实现与上市车辆几乎相等的安全功能，也可以进行更接近产品的评价。

（2）Ethernet的加密化

连接TCU和C-Gateway的Ethernet，虽然采用了IP Base的通信，但前提是大致用于以下两种用途：

• 构建安全的车外环境：Web服务，OTA(Over The Air)等。

• 构建安全的车内通信：控制信号，OTA的数据等。

另外，设想车外通信环境的疑似服务器，以及和TCU的通信，均采用TLS1.2。

（3）安全启动机能

车载ECU，采用的安全启动机能，其使用的是开放标准（TCG:Trusted Computer Group）的TPM（Trusted Platform Module）。

试验台内安装的安全机能如下表的分类所示。

              · 测试台架的活用

测试台架是作为开放式平台进行开发的，其中所使用的通信协议、密码等，都采用了公开的标准规格。这些方法，都是为了使利用测试台架的研究更为广泛，或用于人才培样。因而面向研究活动等的参与者进行公布已成为了前提。在中国，智能网联汽车培训服务提供商牛喀学城开发了专业的信息安全工程师认证培训课程，并结合各种通讯工具进行实例教学，比较实用。可在文末了解详情。

今后，牛喀网将会研究出使参与者们共享研究活动成果的计划。

关于简化V2X通信的签名认证的研究

V2X车载器的概念图如图10所示。与汽车外部的通信，例如，使用手机网络的通信，Wi-Fi、蓝牙等，各种通信方式中都配备了安全功能。然而，对于V2X通信，汽车业界必须对于其安全功能构造进行自行规定，因而为此进行了研究与开发。

图10 试验台的外观真实图

在欧美，推进实用化的V2X通信，为了防止冒充等问题，所有的信息都附有签名。签名认证的基本步骤是，对信息进行处理，收到的所有信息会被验证。然而，信息的验证处理问题上，例如签名认证处理等，因需要较长的时间，发送信息较多的情况下，V2X车载器会发生无法处理所有信息的情况。

在中国，智能网联汽车产业发展非常快速，也有自己大力推广的C-V2X标准，并正在上海，江苏，湖南等多个城市的测试示范基地开展示范应用。虽然标准不同，但这些应用将要参考的安全机制类似，中国知名的产业培训服务提供商牛喀学城开发了专业的信息安全工程师认证培训课程，对V2X安全问题也进行了探讨，并结合各种通讯工具进行实例教学，比较实用。可在文末了解详情。

1 简化方式的提案

针对上述的问题，美国提出了Verify-on-Demand方式（以下简称VD方式）这一简化方式。所谓VD方式，是在信息验证前，对于是否需要验证信息进行判断。是否判定处理时，被判断为不需要验证的信息将被破坏，判断为需要验证的信息将按照接收顺序进行验证。设想认为VD方式的弱点在于，无法抵抗发送大量需要验证信息的DoS攻击。因此，本研究提出了，针对DoS攻击，比VD方式更具备高度可应对性的，信息度优先验证方式（图11）。

图11 优先级附加信息验证方式流程

信息度优先验证方式，是根据优先度的判断以及队列控制，使优先级别高的信息不受接收顺序的影响，就可以进行验证。另外，根据队列控制的方式，针对车辆状态和负荷问题的信息验证，进行动态顺序的变更和取消验证也成为可能。

2 评价结果

在此，设定多个在V2X普及的情况下通信增加的用例，使用评价用的模拟系统，针对简化方式（VD方式、信息度优先验证方式）的实时性和安全性进行了评价。结果，关于实时性，可以得出信息度优先验证方式的有效性。关于安全性，根据重放攻击检测可以得出，简化方式对于单纯的DoS攻击，以及较复杂的重放攻击都可以抵抗。今后，有必要针对复杂的Dos攻击进行更进一步的研究。

总结

本文对威胁分析，安全评估技术和V2X通信签名验证简略化三个相关主题进行了研究。但这些仅仅是车辆信息安全中的一部分而已，因为制造商正在采用更多技术，例如自动驾驶，5G通信等，向客户引入新功能。然而，这些新技术带来了新的安全漏洞，黑客可利用这些漏洞发起精心策划的攻击，不仅针对机密信息，物理资源，也包括安全关键组件。鉴于这种状况，汽车网络安全在不久的将来会成为保护车辆免受网络攻击的重要领域。对汽车专业人员有独特的需求，在汽车网络安全领域高效的工作，包括规划，分析，设计，实施，测试，安装，操作，故障排除，维护和维修任务等。网络安全任务的范围很广，而且正在变得更广！