隨著汽車技術的發(fā)展，功能安全和信息安全也逐步成為了汽車研發(fā)的熱點，同樣是安全，那它們到底有哪些區(qū)別呢？是否可以完美的融合在系統(tǒng)開發(fā)過程中？筆者有幸于此撰文描述，期待拋磚引玉，能夠引出更為深刻的行業(yè)探討。

1  發(fā)展歷史不同

1.1  功能安全的歷史

功能安全肇始于20世紀70年代美國阿波羅計劃后電子工業(yè)對于非合理風險的管控，同時因切爾諾貝利核泄漏而加強的核工業(yè)安全，可看到如下Farmer曲線：


Note:圖片源至BING搜索

Farmer曲線表明，人對風險有一條紅色接受曲線，橫軸是嚴重度，縱軸是風險概率，當事件點（嚴重度，發(fā)生概率）在曲線上時，人是臨界風險接受狀態(tài)，而當事件點（嚴重度，發(fā)生概率）高于曲線時，人是不能接受該事件，如果事件點低于該曲線，則人可以接受該事件。

沿著該思路，IEEE協(xié)會將其運用在電子工業(yè)上，于2000年代生成第一版IEC61508，并定義了安全完整性等級（Safety Integrity Level），而隨后的汽車電子工業(yè)從2008年開始致力于IEC61508在汽車上的運用，并最終于2011年，完成了ISO26262的正式誕生。

ISO26262的誕生，其ASIL矩陣如下，我們稍微改變組合，數(shù)軸變成E和C的組合，而橫向為S值，此處我們可以得到Farmer曲線在紅色部分。紅色曲線上方的ASIL級別在ASILA或以上，而紅色曲線下方的ASIL級別是QM，非安全相關。






汽車功能安全在Farmer曲線定義之后，其技術上有兩個假設前提：

- 人不是完美的，是肯定會犯錯，所以存在系統(tǒng)性失效

- 物質本身不是完美的，所以存在硬件隨機性失效

以上兩個前提也是汽車功能安全所需要考慮的兩大失效類型。

1.2  汽車預期功能安全的歷史

伴隨著汽車智能化浪潮，隨著SAE在2016年對智能汽車分級以來，汽車的預期功能安全隨之誕生，這個概念源之于

- 電子電器系統(tǒng)自身性能缺陷

- 電子電器系統(tǒng)自身功能局限

- 或

- 人的非合理誤用

而引起的非合理風險，在正式發(fā)布的ISO PAS 21448版本中，其本身主要將風險劃分為四個區(qū)域：



ZONE 1: 已知安全場景
ZONE 2: 已知不安全場景
ZONE 3: 未知不安全場景
ZONE 4: 未知安全場景

如上四個區(qū)域，預期功能安全的目標是將ZONE2和ZONE的風險降低到可以接受的低水平。從目前主流的方法來說，預期功能安全主要的做法是：

-增強單個電子電器系統(tǒng)的可靠性
-增強單個電子電器系統(tǒng)的質量
-增強場景的仿真、虛擬、模擬路試等
-增強人工智能等非線性算法的應用，降低誤報率（這塊可以參考關于人工智能算法或神經(jīng)網(wǎng)絡分析文章）
-增強人機交互系統(tǒng)可信性及人誤用概率降低
-etc

1.3  信息安全的歷史

信息安全本身存在的有兩個前提：

-世界上存在有攻擊資產(chǎn)的人：系統(tǒng)外或資產(chǎn)外肯定存在外部威脅和攻擊（可以有形和無形）

-資產(chǎn)保護體系不能100%防御：資產(chǎn)所在系統(tǒng)內(nèi)在防控設計體系不完美

上述兩個假定是整個信息安全的前提，而信息安全的歷史可以追溯到公元前古羅馬愷撒大帝時期，彼時出現(xiàn)的愷撒密碼是一種替換加密的技術，明文中的所有字母都在字母表上向后（或向前）按照一個固定數(shù)目進行偏移后被替換成密文。例如，當偏移量是3的時候，所有的字母A將被替換成D，B變成E，以此類推。



由于上述單表密碼通過概率的方式及其容易就被破解，16世紀時，亨利3世改進了單表加密的愷撒密碼體制，形成了維吉尼亞密碼體制，這以后密碼正式進入了多表密碼體制的時代，在隨后的美國南北戰(zhàn)爭，多表替代體制大放異彩，Vigenere密碼和Beaufort密碼是多表代替密碼的典型例子。與此同時，密碼破譯技術也在飛速進步。W.Firedman在1918年所做的使用重合指數(shù)破譯多表密碼成為密碼學上的里程碑。在1949年C.Shannon的《保密系統(tǒng)的通信理論》發(fā)表在了貝爾系統(tǒng)雜志上，一方面把密碼學從藝術提升到了科學，另一方面也標志著表替代體制密碼的結束。

在上述文章發(fā)布25年后，1977年美國國家標準局首次公布了數(shù)據(jù)加密標準DES用于非軍事的國家機關，在當時這一體制是牢不可破的，1984年，美國總統(tǒng)頒布法令，NSA每隔5年來重新評定DES安全性。1998年，NSA正式放棄DESS加密算法，而征求AES加密算法。

與此同時，在70年代中期Diff-Hellman率先提出公鑰密碼的構想，之后Ron Rivest、Adishamirh和LenAdleman 3人開創(chuàng)了RSA算法為公鑰體系打下堅實基礎。在這之后幾十年，以RSA為起點，密碼學已經(jīng)不僅僅是通訊加密的研究，也逐步擴展到數(shù)據(jù)完整性、數(shù)據(jù)簽名等研究，同時數(shù)據(jù)安全也越來越成為信息安全的核心內(nèi)容。

時間進入現(xiàn)代，人們對信息安全的需求不僅僅是密碼信息保護了。1992年8月Ronald L.Rivest向IEIF提交了一份重要文件，其中說明了信息數(shù)字簽名的看法，并且提出了MD5，此后MD5廣泛應用于文件完整性檢查諸如下載文件的完整性檢查等，然而隨著碰撞技巧提升，2004年王小云證明MD5數(shù)字簽名算法可以產(chǎn)生碰撞。而2007年，Marc Stevens等人進一步指出通過偽造軟件簽名，可重復性攻擊MD5算法。從而MD5-128分組已被攻破，此時NIST開始公布SHA的算法，使得分組達到160位最小。

現(xiàn)代計算機網(wǎng)絡安全已經(jīng)逐步形成了數(shù)字簽名、網(wǎng)絡防欺騙、訪問控制等多種安全體制和安全服務。由于IP正要過度到IPV6，因而安全問題還將不斷出現(xiàn)在人們的面前，人們會越來越明白計算機很脆弱。

近年來，隨著時間推移，與計算機網(wǎng)絡發(fā)展相對應的，汽車行業(yè)網(wǎng)聯(lián)化趨勢愈演愈烈后，汽車信息安全的需求和框架標準也呼之欲出。

汽車信息安全的元年顯然是2015年吉普自由光的事件，自此汽車信息安全也逐步出現(xiàn)在汽車研發(fā)人員的視野里面，但目前依然處于起步階段。我們可以從標準角度來評估當前的發(fā)展水平。

從2016年SAE發(fā)布的J3061到如今即將發(fā)布的ISO/SAE 21434(預計2020年底或2021年初發(fā)布)，其本身只提供了汽車信息安全流程管理框架，信息安全防護的作用的是充分保護道路車及車內(nèi)電子電器組件相關的資產(chǎn)及功能免受威脅的情況。

從ISO 21434標準目前DIS版本可以看到，相關章節(jié)為信息安全CAL等級的定義提供了參考：



其真正含義是，當某種威脅的攻擊和影響的組合超過我們所定義的CAL等級之后，信息安全人員需要采取防御措施或風險轉移、分享等手段降低風險閾值，從而達到威脅的攻擊影響組合低于某CAL等級。

2  技術要點不同

汽車功能安全及信息安全的開發(fā)要點對比

關于汽車功能安全與信息安全，在 J3061里面其實有詳細的描述，盡管框架基本相同，但是關鍵的技術要點上，還是有所不同，為了方便大家理解，我們整理其中要點作為對比，具體表格內(nèi)容如下：




3  案例分析：激光雷達

功能安全分析：ISO 26262

安全目標：防止激光雷達錯誤輸出至下游模塊
安全ASIL：B
FTTI：10s
安全狀態(tài)：一旦激光雷達出現(xiàn)異常輸出，則直接進入待機模式，并進行輸出值與機器學習典型值比較，如果與典型性類似，則在之后恢復激光雷達功能

預期功能安全分析：ISO 21448

造成激光雷達異常輸出的原因可能有
小目標1：環(huán)境因素
小目標2：器件可靠性因素
小目標3:安全規(guī)格書不足
小目標4：性能不足或功能缺陷
小目標5：信息安全類攻擊

以上去找尋各個可能，舉例子，查出因為環(huán)境因素因為天氣原因及環(huán)境因素欠佳，造成此類異常，而后分解到硬件傳感器的時間，這一塊不要和功能安全耦合在一起，分開獨立進行，降低sotif風險即可，和ftti關系不大。

信息安全分析：ISO 21434

黑客攻擊激光雷達，明顯完整性和保密性做的不好。然而雖然激光雷達是safety相關，但等級不高，整車上域控制器前端做重點防護即可，在激光雷達上用速度比較快的加密算法以及通訊以太網(wǎng)app層，datalink層增加即可。
硬件上做好HSM很關鍵，最重要也有增加trustedanchor，來自美國的做法，難度在器件升級，以及響應速度，基本是做在內(nèi)存以及cpu主通道防護。這些影響的是hw的速度。


4  最后的總結

1. 功能安全與信息安全技術視角不同，前者是為了保障功能按照設計要求正常進行，盡量減少因系統(tǒng)設計問題導致的功能失效，同時也盡可能的保證功能按照預期功能實現(xiàn)。。

2. 信息安全主要防止外界攻擊更注重于在外界攻擊情況下，可以抵御外界攻擊，使得系統(tǒng)正常運行，不產(chǎn)生財產(chǎn)損失，同時不會對個人的隱私和安全造成一定的影響。

3. 成熟度不同，汽車功能安全的發(fā)揮已經(jīng)有數(shù)十年的積累，而汽車信息安全隨著汽車技術發(fā)展，如今依然處于學術研究和白帽研究攻擊的階段。