在現(xiàn)代汽車中，信息娛樂(lè)高性能計(jì)算（HPC）系統(tǒng)通過(guò)提供音樂(lè)、導(dǎo)航、通信、娛樂(lè)等高級(jí)功能，在增強(qiáng)駕駛員和乘客體驗(yàn)方面發(fā)揮著至關(guān)重要的作用。該系統(tǒng)利用 Wi-Fi、蜂窩網(wǎng)絡(luò)、NFC、藍(lán)牙等技術(shù)確保持續(xù)的互聯(lián)網(wǎng)連接以獲取信息。然而，車輛信息技術(shù)連接的日益復(fù)雜引發(fā)了網(wǎng)絡(luò)安全擔(dān)憂，包括數(shù)據(jù)泄露和敏感信息泄露。為了提高汽車信息娛樂(lè)系統(tǒng)的安全性，本研究使用微軟的 STRIDE（欺騙、篡改、抵賴、信息泄露、拒絕服務(wù)和特權(quán)提升）工具在組件級(jí)別進(jìn)行威脅建模，并使用 SAHARA（安全感知危害分析和風(fēng)險(xiǎn)評(píng)估）和 DREAD（損害、可重復(fù)性、可利用性、受影響用戶和可發(fā)現(xiàn)性）方法進(jìn)行風(fēng)險(xiǎn)評(píng)估，以評(píng)估相關(guān)風(fēng)險(xiǎn)。它提供了威脅、相關(guān)風(fēng)險(xiǎn)和應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊的通用緩解策略的系統(tǒng)表示。通過(guò)威脅建模過(guò)程，識(shí)別出 34 個(gè)潛在的安全威脅。該研究還提供了一個(gè)比較分析，以計(jì)算威脅的風(fēng)險(xiǎn)值，以便優(yōu)先處理。在將信息娛樂(lè) HPC 系統(tǒng)部署到現(xiàn)實(shí)世界的汽車中之前，需要考慮這些已識(shí)別的威脅和相關(guān)風(fēng)險(xiǎn)，以避免潛在的網(wǎng)絡(luò)攻擊。

01、引言

信息娛樂(lè) HPC 系統(tǒng)集成了信息和技術(shù)，以增強(qiáng)汽車駕駛員和乘客的安全性和便利性。這種集成包括各種因素，如乘客的移動(dòng)設(shè)備、周圍車輛、遠(yuǎn)程服務(wù)器、駕駛員、交通基礎(chǔ)設(shè)施、環(huán)境等。據(jù)預(yù)測(cè)，到 2035 年，幾乎所有新車都將具備互聯(lián)網(wǎng)連接。這種集成可以提供許多優(yōu)勢(shì)，例如，由于車輛始終連接到互聯(lián)網(wǎng)，因此可以訪問(wèn)各種信息。但問(wèn)題是該系統(tǒng)容易受到來(lái)自對(duì)手的網(wǎng)絡(luò)攻擊。汽車與更廣泛服務(wù)的互聯(lián)增加了安全漏洞，汽車黑客事件的報(bào)道也越來(lái)越頻繁。所有這些事實(shí)都促使人們重視汽車領(lǐng)域的安全研究。

汽車的信息娛樂(lè)系統(tǒng)與復(fù)雜網(wǎng)絡(luò)緊密連接，形成了一個(gè)增強(qiáng)駕駛體驗(yàn)的復(fù)雜生態(tài)系統(tǒng)。這些系統(tǒng)與各種網(wǎng)絡(luò)無(wú)縫集成，包括互聯(lián)網(wǎng)、連接電子控制單元（ECU）的車內(nèi)局域網(wǎng)（VAN）、汽車傳感器以及 Wi-Fi 等無(wú)線技術(shù)，如圖 1 所示?；ヂ?lián)網(wǎng)連接可實(shí)現(xiàn)實(shí)時(shí)導(dǎo)航更新、流媒體服務(wù)和空中軟件更新。內(nèi)部 VAN 確保不同車輛組件之間的高效數(shù)據(jù)交換，而 Wi-Fi 連接可實(shí)現(xiàn)與智能手機(jī)的免提通話和媒體流傳輸。遠(yuǎn)程信息處理系統(tǒng)利用蜂窩網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程診斷和車輛跟蹤，連接到云并使用 GPS 訪問(wèn)位置相關(guān)信息。這種網(wǎng)絡(luò)連接還促進(jìn)了與其他車輛、設(shè)備和個(gè)人的通信。這種復(fù)雜的異構(gòu)網(wǎng)絡(luò)連接不僅為駕駛員和乘客提供了許多功能，也帶來(lái)了網(wǎng)絡(luò)安全挑戰(zhàn)，促使人們不斷努力保護(hù)聯(lián)網(wǎng)車輛免受潛在威脅。

圖1:汽車信息娛樂(lè)HPC系統(tǒng)的異構(gòu)連接

車載信息娛樂(lè)（IVI）系統(tǒng)除了傳統(tǒng)的導(dǎo)航、收音機(jī)播放和多媒體功能等遠(yuǎn)程功能外，還使用包括 Wi-Fi 連接在內(nèi)的車載網(wǎng)絡(luò)服務(wù)，在車輛與外部世界之間建立鏈接。由于這些遠(yuǎn)程接口和互聯(lián)服務(wù)的存在，系統(tǒng)可能容易受到潛在漏洞的影響。對(duì)手可能試圖通過(guò)遠(yuǎn)程進(jìn)行未經(jīng)授權(quán)的操作來(lái)利用系統(tǒng)的弱點(diǎn)]。在文獻(xiàn)中，檢測(cè)到 IVI 系統(tǒng)服務(wù)存在漏洞，因?yàn)楣粽咴噲D通過(guò) Wi-Fi 接口獲得 root 權(quán)限并建立遠(yuǎn)程訪問(wèn)。這種訪問(wèn)可能導(dǎo)致系統(tǒng)配置的操縱，攻擊者可能獲得敏感用戶信息。由于用戶在駕駛時(shí)可以通過(guò)藍(lán)牙訪問(wèn)個(gè)人信息，這也可能成為攻擊者的攻擊面?，F(xiàn)有的對(duì)策可能不足以應(yīng)對(duì)這些形式的攻擊。

車載應(yīng)用可能面臨安全挑戰(zhàn)，尤其是與組件間通信（ICC）相關(guān)的挑戰(zhàn)已在文獻(xiàn)中受到關(guān)注。據(jù)發(fā)現(xiàn)，惡意應(yīng)用可能能夠操縱或欺騙系統(tǒng)，導(dǎo)致潛在的敏感用戶數(shù)據(jù)暴露于未經(jīng)授權(quán)的訪問(wèn)。控制器局域網(wǎng)（CAN）總線存在一個(gè)漏洞，由于網(wǎng)絡(luò)的總線拓?fù)浣Y(jié)構(gòu)，廣播傳輸面臨風(fēng)險(xiǎn)。 ECU 之間在整個(gè)網(wǎng)絡(luò)中交換消息時(shí)無(wú)需身份驗(yàn)證或加密，這構(gòu)成了嚴(yán)重威脅。CAN 總線中的這一漏洞可能被攻擊者利用，導(dǎo)致潛在的車輛攻擊，甚至通過(guò)傳輸欺騙性消息完全接管 ECU。為應(yīng)對(duì)這些挑戰(zhàn)，研究人員開(kāi)發(fā)了旨在緩解這些安全風(fēng)險(xiǎn)的框架。

攻擊者可以繞過(guò)車輛中的安全關(guān)鍵系統(tǒng)，控制汽車功能，并可能損害駕駛性能。Khan 等人引入了一種基于微軟 STRIDE 的信息物理系統(tǒng)框架，該框架側(cè)重于組件漏洞及其相互依賴關(guān)系，從而增強(qiáng)安全性。然而，解決每個(gè)組件中的漏洞對(duì)于防止整個(gè)安全系統(tǒng)失控至關(guān)重要。威脅分析和風(fēng)險(xiǎn)評(píng)估（TARA）的納入變得至關(guān)重要，通過(guò)分析潛在威脅并實(shí)施相應(yīng)的緩解策略來(lái)維持可接受的風(fēng)險(xiǎn)水平。值得注意的是，該框架主要在概念設(shè)計(jì)階段進(jìn)行理論威脅分析，而不是在車輛發(fā)布后的安全評(píng)估階段?；谶@些研究，需要解決這些問(wèn)題以增強(qiáng)現(xiàn)代汽車的安全性。

為了提高 IVI 系統(tǒng)的安全性，本文側(cè)重于使用微軟威脅建模工具 STRIDE 在組件級(jí)別識(shí)別安全漏洞和威脅。它還側(cè)重于使用風(fēng)險(xiǎn)評(píng)估方法，特別是 SAHARA 和 DREAD 來(lái)計(jì)算風(fēng)險(xiǎn)值，以確定威脅的潛在風(fēng)險(xiǎn)。它提供了兩種方法的比較分析，基于此，可以很容易地理解哪些威脅需要首先優(yōu)先緩解。最后，提供了通用的緩解策略，最終導(dǎo)致 IVI 系統(tǒng)安全性的整體提高。

02、方法論

本研究的動(dòng)機(jī)是進(jìn)行威脅建模、風(fēng)險(xiǎn)評(píng)估，并提供緩解策略以應(yīng)對(duì) IVI 系統(tǒng)的潛在威脅。這是通過(guò)采用圖 2 所示的方法來(lái)實(shí)現(xiàn)的。

圖2:循序漸進(jìn)的研究方法

在該過(guò)程中，用例場(chǎng)景解釋了對(duì)手可能通過(guò)何種方式發(fā)動(dòng)攻擊?？紤]擬議開(kāi)發(fā)信息娛樂(lè)系統(tǒng)的組件非常重要。為了實(shí)現(xiàn)研究目標(biāo)，第一步包括識(shí)別和概述系統(tǒng)組件，然后創(chuàng)建數(shù)據(jù)流圖（DFD）。隨后，使用 STRIDE 進(jìn)行威脅建模，生成威脅報(bào)告，概述已識(shí)別的威脅。此外，使用 SAHARA 和 DREAD 方法進(jìn)行風(fēng)險(xiǎn)評(píng)估，從而計(jì)算風(fēng)險(xiǎn)值。根據(jù)已識(shí)別的威脅，提出了通用防御機(jī)制以增強(qiáng)安全性。

2.1 用例場(chǎng)景

車載計(jì)算機(jī)控制汽車信息娛樂(lè)系統(tǒng)中發(fā)生的所有操作。駕駛員可以使用近場(chǎng)通信（NFC）、藍(lán)牙、Wi-Fi 和蜂窩網(wǎng)絡(luò)（3G/4G/5G）傳輸數(shù)據(jù)和信息。車載計(jì)算機(jī)使用 CAN 總線與汽車的子系統(tǒng)進(jìn)行通信。在與外界通信或傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)路徑可能會(huì)受到對(duì)手的攻擊，如圖 3 所示。攻擊者是指任何從事不利行為以破壞、暴露、禁用、竊取、未經(jīng)授權(quán)訪問(wèn)或以其他方式濫用資源的個(gè)人、團(tuán)體或?qū)嶓w。本文僅將 NFC、藍(lán)牙、Wi-Fi 和蜂窩網(wǎng)絡(luò)以及 CAN 總線視為攻擊面，但其他表面也可能成為攻擊者的攻擊點(diǎn)。

圖3:汽車信息娛樂(lè)HPC系統(tǒng)研究范圍的用例場(chǎng)景

2.2 擬議的系統(tǒng)組件

汽車信息娛樂(lè)系統(tǒng)的關(guān)鍵組件及其功能和交互如圖 4 所示。每個(gè)組件接收輸入并生成輸出以執(zhí)行特定操作。該系統(tǒng)包括車載計(jì)算機(jī)、NFC、視頻緩沖區(qū)、觸摸屏控制器、觸摸屏、后屏幕、帶麥克風(fēng)和揚(yáng)聲器的汽車音頻系統(tǒng)、攝像頭、Wi-Fi 和蜂窩網(wǎng)絡(luò)、數(shù)字收音機(jī)、藍(lán)牙、USB 接口、便攜式媒體播放器、CAN 總線、汽車自動(dòng)化網(wǎng)絡(luò)、GPS 和溫度傳感器。

圖4:設(shè)計(jì)IVI HPC系統(tǒng)所需的擬議系統(tǒng)組件

典型的 IVI 系統(tǒng)以車載計(jì)算機(jī)為中心，車載計(jì)算機(jī)是系統(tǒng)的處理器，所有其他系統(tǒng)元件都通過(guò)物理或無(wú)線方式連接到該處理器。核心人機(jī)界面（HMI）包括放置在儀表板上的大型觸摸屏，方便駕駛員操作。NFC 支持設(shè)備之間的無(wú)線通信，允許通過(guò)簡(jiǎn)單的觸摸進(jìn)行安全交易和設(shè)備連接。視頻緩沖涉及預(yù)加載流媒體視頻內(nèi)容的數(shù)據(jù)段，這些數(shù)據(jù)段存儲(chǔ)在內(nèi)存的保留部分中。觸摸屏控制器是將觸摸屏傳感器連接到觸摸屏設(shè)備的電路。如果車輛配備了后座，乘客可以在前排座椅頭枕后面的顯示器上播放來(lái)自各種來(lái)源的媒體，其功能類似于智能電視。視頻緩沖區(qū)、觸摸屏控制器和后屏幕都連接到觸摸屏和車載計(jì)算機(jī)，允許車載計(jì)算機(jī)進(jìn)行數(shù)據(jù)處理，并通過(guò)觸摸屏進(jìn)行輸入控制。

汽車的音頻系統(tǒng)配備有麥克風(fēng)和揚(yáng)聲器，用于用戶的音頻輸入和輸出，允許進(jìn)行多媒體播放和免提通話。攝像頭捕獲視覺(jué)數(shù)據(jù)，用于后視顯示和駕駛員輔助等功能。Wi-Fi 和蜂窩網(wǎng)絡(luò)提供無(wú)線連接，用于數(shù)據(jù)通信和互聯(lián)網(wǎng)訪問(wèn)，使駕駛員在駕駛時(shí)能夠訪問(wèn)網(wǎng)頁(yè)內(nèi)容、流媒體和電子郵件。數(shù)字收音機(jī)接收和處理數(shù)字信號(hào)以進(jìn)行音頻播放。藍(lán)牙支持與智能手機(jī)等外部設(shè)備的無(wú)線通信，而 USB 接口允許數(shù)據(jù)傳輸和設(shè)備充電。

便攜式媒體播放器播放來(lái)自外部設(shè)備的多媒體內(nèi)容。CAN 總線促進(jìn)車輛中不同 ECU 之間的通信，而汽車自動(dòng)化網(wǎng)絡(luò)則促進(jìn)不同車輛系統(tǒng)之間的通信，以實(shí)現(xiàn)自動(dòng)化和控制。最后，GPS 和溫度傳感器提供位置和溫度數(shù)據(jù)，用于導(dǎo)航和氣候控制功能。總體而言，擬議的信息娛樂(lè)系統(tǒng)包括廣泛的組件，這些組件協(xié)同工作，為車內(nèi)用戶提供更好的信息娛樂(lè)體驗(yàn)。

2.3 數(shù)據(jù)流圖（DFD）

在圖 5 中，DFD 全面描述了所有系統(tǒng)組件及其相應(yīng)的數(shù)據(jù)流。流程，如車載計(jì)算機(jī)、NFC、觸摸屏控制器、后屏幕、汽車音頻系統(tǒng)、藍(lán)牙、Wi-Fi 和蜂窩網(wǎng)絡(luò)、USB 接口、CAN 總線和汽車自動(dòng)化網(wǎng)絡(luò)，被用來(lái)說(shuō)明它們?nèi)绾谓邮蛰斎霐?shù)據(jù)、執(zhí)行操作和生成輸出。圖中描述的數(shù)據(jù)流表示不同系統(tǒng)組件之間的信息傳輸。視頻緩沖區(qū)被表示為數(shù)據(jù)存儲(chǔ)，負(fù)責(zé)臨時(shí)存儲(chǔ)視頻數(shù)據(jù)。外部實(shí)體，包括觸摸屏、揚(yáng)聲器、麥克風(fēng)、攝像頭、數(shù)字收音機(jī)、便攜式媒體播放器、GPS 和溫度傳感器，被描述為進(jìn)入或離開(kāi)系統(tǒng)的信息的來(lái)源或目的地。流程用圓圈表示，數(shù)據(jù)流用箭頭表示，數(shù)據(jù)存儲(chǔ)用空心矩形表示，外部實(shí)體用矩形表示。

圖5：DFD基于IVI HPC系統(tǒng)的組件（考慮的組件：車載計(jì)算機(jī)、NFC、Wi-Fi和蜂窩網(wǎng)絡(luò)、藍(lán)牙、CAN總線）

2.4 使用 STRIDE 進(jìn)行威脅建模

威脅建模是識(shí)別、分類和優(yōu)先排序危險(xiǎn)的方法，有助于開(kāi)發(fā)針對(duì)威脅的有效防御措施。簡(jiǎn)單地說(shuō)，它旨在解決以下問(wèn)題：“系統(tǒng)可能在哪些方面容易受到威脅？”、“哪些威脅最重要？” 以及 “系統(tǒng)的弱點(diǎn)在哪里？” 根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的特別文件，威脅模型包括解決邏輯實(shí)體（無(wú)論是數(shù)據(jù)、主機(jī)、應(yīng)用程序、系統(tǒng)還是環(huán)境）的進(jìn)攻和防御維度的能力。

盡管存在各種威脅建模模型，如 PASTA、攻擊樹(shù)、CVSS等，但本文使用了 STRIDE 威脅建模工具。這一選擇是基于該工具在學(xué)術(shù)界和工業(yè)界的廣泛接受，以及它在組件級(jí)別識(shí)別威脅的能力。它是微軟提供的開(kāi)源工具，免費(fèi)使用。它專門側(cè)重于識(shí)別應(yīng)用程序安全中的漏洞和弱點(diǎn)。

微軟 STRIDE 是一種識(shí)別網(wǎng)絡(luò)安全威脅的工具，利用一個(gè)首字母縮寫詞，涵蓋六個(gè)不同的威脅類別：欺騙、篡改、抵賴、信息泄露、拒絕服務(wù)和特權(quán)提升。這些類別與真實(shí)性、完整性、不可抵賴性、機(jī)密性、可用性和授權(quán)一致。信息娛樂(lè)系統(tǒng)的每個(gè)組件都可以通過(guò) STRIDE 方法進(jìn)行分析，并容易受到每個(gè)類別中的一個(gè)或多個(gè)威脅。表 1 概述了與特定威脅類別相關(guān)的安全屬性。如表 1 所示，外部實(shí)體面臨兩個(gè)威脅類別，流程容易受到所有六個(gè)威脅類別的影響，單向數(shù)據(jù)流涉及三個(gè)威脅類別，數(shù)據(jù)存儲(chǔ)容易受到三個(gè)威脅類別的影響。值得注意的是，一個(gè)組件可能在單個(gè)類別中面臨多個(gè)威脅。

表1:對(duì)每個(gè)DFD元素的威脅進(jìn)行分類

STRIDE 工具通過(guò)展示 DFD 啟動(dòng)威脅建模過(guò)程。隨后，基于該 DFD 生成威脅報(bào)告，包括威脅類別、威脅描述和建議的緩解策略。圖 6 說(shuō)明了涉及 STRIDE、NFC 到車載計(jì)算機(jī)（NFC_to_OBC）的交互。根據(jù) STRIDE 工具，為這種交互識(shí)別了三種不同的威脅 —— 拒絕服務(wù)、信息泄露和篡改。當(dāng)數(shù)據(jù)從 NFC 流向車載計(jì)算機(jī)時(shí)，它可能以這些方式成為攻擊者的目標(biāo)。同樣，為信息娛樂(lè)系統(tǒng)的其他交互生成威脅報(bào)告。

圖6:在數(shù)據(jù)流上實(shí)現(xiàn)STRIDE

2.5 風(fēng)險(xiǎn)評(píng)估方法

現(xiàn)代車輛的復(fù)雜架構(gòu)可能容易受到網(wǎng)絡(luò)攻擊，因?yàn)檎麄€(gè)系統(tǒng)是每個(gè)互聯(lián)組件相關(guān)風(fēng)險(xiǎn)的組合。最近，研究人員發(fā)現(xiàn)各種寶馬系列的信息娛樂(lè)系統(tǒng)中存在 14 個(gè)漏洞。這凸顯了在整個(gè)開(kāi)發(fā)過(guò)程中解決與威脅相關(guān)的風(fēng)險(xiǎn)的緊迫性。根據(jù) NIST 的定義，風(fēng)險(xiǎn)被定義為 “一個(gè)實(shí)體受到潛在情況或事件威脅的程度的衡量標(biāo)準(zhǔn)，通常是以下因素的函數(shù)：（i）如果情況或事件發(fā)生，將產(chǎn)生的不利影響；（ii）發(fā)生的可能性”。同時(shí)，風(fēng)險(xiǎn)評(píng)估被解釋為 “識(shí)別、估計(jì)和優(yōu)先排序?qū)M織運(yùn)營(yíng)（包括任務(wù)、職能、形象或聲譽(yù)）、組織資產(chǎn)、個(gè)人和其他組織的風(fēng)險(xiǎn)的過(guò)程，這些風(fēng)險(xiǎn)是由系統(tǒng)的運(yùn)行引起的”。

2.5.1 SAHARA

SAHARA 方法將汽車 HARA（危害分析和風(fēng)險(xiǎn)評(píng)估）方法與面向安全的 STRIDE 框架相結(jié)合。SAHARA 方法采用 HARA 方法的一個(gè)基本要素，即汽車安全完整性等級(jí)（ASIL）的定義，來(lái)評(píng)估 STRIDE 分析的結(jié)果。威脅是根據(jù) ASIL 量化來(lái)評(píng)估的，考慮到執(zhí)行威脅所需的資源（R）和專業(yè)知識(shí)（K），以及其威脅臨界性（T）?？赡芪＜鞍踩繕?biāo)（T=3）的安全威脅可以交給 HARA 流程進(jìn)行進(jìn)一步的安全分析。

表 2 提供了 K、R 和 T 值的每個(gè)量化等級(jí)的資源、專業(yè)知識(shí)和威脅級(jí)別的示例]。這三個(gè)因素共同定義了一個(gè)安全級(jí)別（SecL），如表 3 所示 。該 SecL 有助于確定應(yīng)考慮的適當(dāng)數(shù)量的對(duì)策。

表2：說(shuō)明安全威脅的K、R和T值分類的示例

表3:SecL確定矩陣-通過(guò)評(píng)估R、K和T的值來(lái)推導(dǎo)安全級(jí)別

2.5.2 DREAD

DREAD 是一種風(fēng)險(xiǎn)評(píng)估方法，其名稱對(duì)應(yīng)于五個(gè)評(píng)估標(biāo)準(zhǔn)：損害、可重復(fù)性、可利用性、受影響用戶和可發(fā)現(xiàn)性。DREAD 有可能對(duì)系統(tǒng)設(shè)計(jì)進(jìn)行更全面的分析。DREAD 首字母縮寫詞的含義如下：

• 損害（D）：表示攻擊的潛在影響。

• 可重復(fù)性（R）：表示攻擊的容易復(fù)制程度。

• 可利用性（E）：評(píng)估執(zhí)行攻擊所需的努力。

• 受影響用戶（A）：將受到影響的人數(shù)。

• 可發(fā)現(xiàn)性（D）：衡量識(shí)別威脅的容易程度。

如表 4 所示，DREAD 方法對(duì)每個(gè)威脅的評(píng)級(jí)方案涉及從 1 到 3 分配點(diǎn)數(shù)，累計(jì) 15 點(diǎn)表示最嚴(yán)重的風(fēng)險(xiǎn)。

表4:DREAD模型評(píng)級(jí)方案（3代表高風(fēng)險(xiǎn)，2代表中等風(fēng)險(xiǎn)，1代表低風(fēng)險(xiǎn)）

DREAD 風(fēng)險(xiǎn)可以計(jì)算如下

在對(duì)分?jǐn)?shù)進(jìn)行求和后，結(jié)果可能在 5-15 范圍內(nèi)變化。隨后，威脅可以分類為：總評(píng)級(jí)為 12-15 的被視為高風(fēng)險(xiǎn)，評(píng)級(jí)為 8-11 的表示中等風(fēng)險(xiǎn)，評(píng)級(jí)為 5-7 的被視為低風(fēng)險(xiǎn)。

03

威脅評(píng)估和風(fēng)險(xiǎn)評(píng)級(jí)

本節(jié)概述了對(duì)威脅和與威脅相關(guān)的風(fēng)險(xiǎn)的評(píng)估。

3.1 分析威脅

進(jìn)行威脅建模是為了評(píng)估與 DFD 中的主要數(shù)據(jù)流和流程相關(guān)的網(wǎng)絡(luò)攻擊的可能性。假設(shè)信任邊界中標(biāo)記的兩側(cè)是安全的。然而，并非 DFD 的所有組件都被分析潛在威脅。信息和命令通過(guò) NFC、Wi-Fi 和蜂窩網(wǎng)絡(luò)以及藍(lán)牙傳輸，而 CAN 總線負(fù)責(zé)與車輛中的 ECU 通信。因此，這些點(diǎn)可能成為對(duì)手未經(jīng)授權(quán)訪問(wèn)的潛在目標(biāo)。這種未經(jīng)授權(quán)的訪問(wèn)可能使他們能夠操縱信息娛樂(lè)系統(tǒng)、訪問(wèn)個(gè)人數(shù)據(jù)、控制車輛組件或破壞正常系統(tǒng)操作。因此，必須承認(rèn)汽車信息娛樂(lè)系統(tǒng)中存在安全問(wèn)題的可能性。

威脅建模未在視頻緩沖區(qū)、觸摸屏控制器、后屏幕、觸摸屏、汽車音頻系統(tǒng)、揚(yáng)聲器、攝像頭、麥克風(fēng)、數(shù)字收音機(jī)、GPS 和溫度傳感器上進(jìn)行，因?yàn)檫@些組件沒(méi)有數(shù)據(jù)或文件傳輸功能。此外，USB 接口和便攜式媒體播放器也未進(jìn)行威脅建模，因?yàn)樗鼈儽仨毼锢聿迦胂到y(tǒng)。僅考慮跨越信任邊界的威脅，即車載計(jì)算機(jī)、NFC 到車載計(jì)算機(jī)（NFC_to_OBC）、車載計(jì)算機(jī)到 Wi-Fi 和蜂窩網(wǎng)絡(luò)（OBC_to_Wi-Fi）、Wi-Fi 和蜂窩網(wǎng)絡(luò)到車載計(jì)算機(jī)（Wi-Fi_to_OBC）、車載計(jì)算機(jī)到藍(lán)牙（OBC_to_Bluetooth）、藍(lán)牙到車載計(jì)算機(jī)（Bluetooth_to_OBC）、車載計(jì)算機(jī)到 CAN 總線（OBC_to_CB）和 CAN 總線到車載計(jì)算機(jī)（CB_to_OBC）。

3.2 識(shí)別的威脅

通過(guò)利用 STRIDE 威脅建模工具，組織可以通過(guò)分析每個(gè)類別來(lái)有效識(shí)別潛在威脅，因?yàn)樗w了六個(gè)類別。這使組織能夠評(píng)估每個(gè)類別中攻擊的可能性和影響，優(yōu)先考慮安全工作。有了這些信息，組織可以制定可能的緩解策略，以保護(hù)其系統(tǒng)和網(wǎng)絡(luò)免受各種潛在威脅。

3.3 威脅評(píng)級(jí)

前面討論的 SAHARA 方法滿足汽車開(kāi)發(fā)早期階段（概念級(jí)別）分析安全威脅的要求。盡管它側(cè)重于單個(gè)車輛開(kāi)發(fā)，并在初始開(kāi)發(fā)階段識(shí)別安全威脅和安全風(fēng)險(xiǎn)，但該方法的相互依賴性值得注意。通過(guò)電池管理系統(tǒng)用例展示了 SAHARA 方法在符合 ISO 26262 的開(kāi)發(fā)中的適用性，與傳統(tǒng) HARA 方法相比，識(shí)別危險(xiǎn)情況的數(shù)量增加了 34%。因此，本工作集成了 SAHARA 方法進(jìn)行風(fēng)險(xiǎn)評(píng)估。

因此，采用另一種風(fēng)險(xiǎn)評(píng)估方法 DREAD 來(lái)量化威脅。通過(guò)根據(jù)威脅的相關(guān)風(fēng)險(xiǎn)對(duì)威脅進(jìn)行量化，將優(yōu)先考慮風(fēng)險(xiǎn)級(jí)別最高的威脅。這種策略通過(guò)首先解決影響最大的威脅來(lái)優(yōu)化風(fēng)險(xiǎn)管理。這就是為什么采用 DREAD 分類方案，該方案在促進(jìn)對(duì)系統(tǒng)設(shè)計(jì)進(jìn)行更復(fù)雜的分析方面顯示出潛力。

SAHARA 分析通過(guò)常規(guī)流程進(jìn)行，包括確定 SecL。此外，采用 DREAD 方法來(lái)對(duì)比這兩種評(píng)級(jí)系統(tǒng)之間的差異。值得注意的是，調(diào)整后的 DREAD 威脅分類方案被證明更適合評(píng)估遠(yuǎn)程網(wǎng)絡(luò)安全攻擊和影響整個(gè)車輛運(yùn)行的攻擊。這種適用性源于其與潛在損害和對(duì)受影響用戶的影響相關(guān)的分類因素。盡管存在許多風(fēng)險(xiǎn)評(píng)估方法，但本文選擇使用 SAHARA 和 DREAD，因?yàn)樗鼈兡軌蛟谙到y(tǒng)級(jí)別量化對(duì)安全相關(guān)汽車開(kāi)發(fā)的安全影響。這些方法特別適合評(píng)估可能影響車輛運(yùn)行的遠(yuǎn)程網(wǎng)絡(luò)安全攻擊。

SAHARA 方法為威脅 1 的風(fēng)險(xiǎn)值計(jì)算指定了 K 值為 2（表示中等要求）和 R 值為 2（表示中等資源）。然而，由于 T 值為 3，對(duì)手欺騙車載計(jì)算機(jī)上進(jìn)程的威脅導(dǎo)致高臨界性水平。累積值導(dǎo)致 SecL 值為 1，表示高優(yōu)先級(jí)。

同時(shí)，D、R、E 和 A 均獲得 DREAD 值 3（表示高影響），而 D 獲得值 2（表示中等影響）。累計(jì)得分達(dá)到 13，將其歸類為高優(yōu)先級(jí)威脅。使用 SAHARA 和 DREAD 方法計(jì)算的所有威脅的風(fēng)險(xiǎn)值如表 5 所示。

表5：使用SAHARA和DREAD威脅評(píng)級(jí)方法對(duì)威脅進(jìn)行分類

04、結(jié)果與討論

本節(jié)討論了將 STRIDE 威脅模型應(yīng)用于 DFD 以及將風(fēng)險(xiǎn)評(píng)估方法 SAHARA 和 DREAD 應(yīng)用于威脅后產(chǎn)生的威脅和風(fēng)險(xiǎn)。此外，還概述了針對(duì) STRIDE 威脅類別的擬議防御機(jī)制。

4.1 產(chǎn)生的威脅和風(fēng)險(xiǎn)

在識(shí)別網(wǎng)絡(luò)安全威脅的過(guò)程中，微軟 STRIDE 工具被應(yīng)用于 DFD 中選定的組件、數(shù)據(jù)流、數(shù)據(jù)存儲(chǔ)和外部實(shí)體。這些工作導(dǎo)致識(shí)別出總共 34 個(gè)威脅，系統(tǒng)地分為六個(gè) STRIDE 類別。

需要注意的是，從用例場(chǎng)景中得出的所有已識(shí)別威脅都可能是主觀的，并且在不同場(chǎng)景中可能會(huì)有所不同。在將信息娛樂(lè) HPC 系統(tǒng)部署到現(xiàn)實(shí)世界的汽車中之前，必須考慮這些已識(shí)別的威脅，以確保系統(tǒng)的安全性。

為了對(duì)已識(shí)別的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，同時(shí)使用了 SAHARA 和 DREAD 方法。風(fēng)險(xiǎn)值按優(yōu)先級(jí)分類，包括高、中、低。使用 SAHARA 方法，29 個(gè)威脅被歸類為高優(yōu)先級(jí)，沒(méi)有威脅屬于中等風(fēng)險(xiǎn)，5 個(gè)威脅被歸類為低優(yōu)先級(jí)。使用 DREAD 方法，31 個(gè)威脅被識(shí)別為高優(yōu)先級(jí)，3 個(gè)為中等優(yōu)先級(jí)，沒(méi)有低優(yōu)先級(jí)威脅。兩種方法中需要立即關(guān)注的高優(yōu)先級(jí)威脅數(shù)量幾乎相似。具有重要風(fēng)險(xiǎn)值的高優(yōu)先級(jí)威脅被強(qiáng)調(diào)為首要任務(wù)，需要立即實(shí)施對(duì)策。

4.2 針對(duì) STRIDE 的通用防御機(jī)制

為了確保系統(tǒng)的安全性和完整性并保護(hù)其免受潛在危害，應(yīng)實(shí)施一系列防御機(jī)制。具體而言，在處理與欺騙相關(guān)的威脅時(shí)，實(shí)施多因素身份驗(yàn)證或生物特征身份驗(yàn)證方法被證明在緩解系統(tǒng)內(nèi)的這些威脅方面非常有效。為了應(yīng)對(duì)篡改攻擊，必須采用加密和數(shù)字簽名技術(shù)，這可以增強(qiáng)系統(tǒng)對(duì)未經(jīng)授權(quán)的更改和數(shù)據(jù)操縱的抵抗力。

05、結(jié)論

汽車行業(yè)中安全與安?？剂康娜诤辖o信息娛樂(lè) HPC 系統(tǒng)帶來(lái)了潛在威脅。防范網(wǎng)絡(luò)安全和隱私泄露需要為汽車系統(tǒng)開(kāi)發(fā)適當(dāng)?shù)耐{檢測(cè)和恢復(fù)方法。解決這些問(wèn)題對(duì)系統(tǒng)的實(shí)際實(shí)施很重要。我們的研究利用 STRIDE 威脅建模工具，承擔(dān)了識(shí)別、分類和列舉信息娛樂(lè) HPC 系統(tǒng)的 34 個(gè)網(wǎng)絡(luò)安全威脅的任務(wù)。還對(duì)產(chǎn)生的威脅進(jìn)行了風(fēng)險(xiǎn)評(píng)估方法（SAHARA 和 DREAD），并計(jì)算了風(fēng)險(xiǎn)值以確定其優(yōu)先級(jí)。針對(duì)威脅和風(fēng)險(xiǎn)類別，提供了緩解技術(shù)，旨在加強(qiáng)汽車領(lǐng)域安全與安?？剂恐g的平衡，同時(shí)確保汽車內(nèi)信息娛樂(lè) HPC 系統(tǒng)的安全性。

在未來(lái)的工作中，可以對(duì)與道路車輛連接的硬件組件進(jìn)行威脅建模。遵循 ISO/SAE 21434 道路車輛網(wǎng)絡(luò)安全標(biāo)準(zhǔn)可能能夠識(shí)別更多威脅，從而增強(qiáng)汽車的整體安全性。