汽车网络由大量的ECU组成，每个ECU有专门的任务，比如执行传感、计算或运行等功能。功能采用分布式的方式，需要通过不同的共享总线系统（如CAN和FlexRay）进行通信。但如果系统受损，通过共享总线使用预定义的通信和未加密的报文流就会成为大问题。

一般来说，汽车领域的组件或功能是独立开发的。独立开发完成后，再将各个独立组件集成到架构中。虽然在子系统级的开发过程中可能会考虑到安全方面的问题，但往往忽视了系统级的脆弱性。为了解决这个问题，SAAN作为一种补救措施，用于回答设计和集成期间的以下问题：

1. 组件漏洞对具体功能的安全性有什么影响？

2. 在安全性方面，与其他架构设计相比，某种架构设计的决定是否更有优势？

3. 在运行组件的过程中，应在多大层度上来考虑信息安全问题？

请注意，本文考虑的对象是系统级别的信息安全，我们抽象了安全启动、密钥存储等ECU内部安全的各个方面。

由于汽车架构是由许多不同组件组成的高度异构系统，因此必须在系统级对所有重要方面进行建模。例如，在支持安全方面，汽车中使用的通信系统会有很大的不同，特别是在可用性方面。因此，需要给这些通信系统建立适当的模型。ECU也可能因连接到多条通信总线上而导致攻击概率会因潜在攻击路径的不同而不同。最后，为了描述ECU和其他组件信息安全的特性，有必要先量化ECU被利用的速度，以及ECU被修补的速度。为此，在对系统进行建模时，应考虑到安全评估和汽车安全完整性等级（ASIL）值。

图1.2概述了我们对汽车架构的安全分析方法，包括三个步骤：模型转换、组件评估和属性定义。最后，通过概率模型检查器确定架构的安全性。

图1.2

1）模型转换

就信息安全而言，为了能对架构进行处理，我们将其分解为相关的组件。组件包括总线、ECU、消息、接口等。

对于每个组件，我们利用马尔科夫模型确定其可利用性和补丁率。最后，将马尔科夫模型组合成一个系统，实现概率模型检查。根据所实验的系统，可以灵活地扩展或调整这种转换。在后续更新的文章中，我们提出了一种具体的转换方法。

2）组件部分评估

与架构的转变相对应，我们有必要评估各个组件的可利用性和补丁率。这些值决定了Markov模型的转换率。对于可利用性，我们建议根据一个既定的标准[148]，采用通用脆弱评分系统(CVSS)来评估组件的脆弱性。

也可以在调整后使用类似的通用原则标准。我们观察到，鉴于组件的ASIL值，在很大程度上，补丁率取决于组件的功能安全要求。如果软件发生变化，则需要高成本来重新测试和验证。这些速率可以由用户根据开发流程和现有数据调整。虽然评估最好是在结合ECU信息安全元素的基础上的子组件级别上进行，但在此实验中，我们使用了一种简化的基于组件的方法。SAAN 的粒度可以放大到所需的水平。在后续更新的文章中有将详细说明使用CVSS和ASIL的组件评估。

3）属性定义

通过确定特定的属性，我们能够从安全性方面研究架构的某些方面。稳态分析是系统在某个时间点收敛到稳定状态的一种分析方法，与稳态分析相比，本文的分析方法功能明显更强大。因此，属性可以是在10年内某个功能被利用的累计时间。关于属性的定义，在下篇文章中说明。