1、第 卷第 期重庆邮电大学学报(自然科学版).年 月 ().:./.智能网联汽车内生安全问题与对策收稿日期:修订日期:通讯作者:邬江兴 .基金项目:国家自然科学基金():()邬江兴(中国工程院北京)摘 要:智能网联汽车正成为新一代典型信息物理系统面临着传统功能安全与现实网络安全甚至严峻信息安全等二重乃至三重交织问题复合叠加影响导致这一现象的根本原因之一是智能网联汽车的内生安全问题软件定义汽车趋势下的软硬件代码设计缺陷、漏洞/后门等问题 在分析智能网联汽车内生安全问题和现有网络安全防御局限性的基础上提出了“不完全交集”原理和基于动态异构冗余架构的智能网联汽车内生安全理论和方法通过将网络攻击带来的不
2、确定性失效与软硬件随机性失效归一化为可用概率表达的广义鲁棒控制问题使安全性指标达到可量化设计和可验证度量的程度为一体化解决智能网联汽车网络安全和功能安全(信息安全)交织叠加难题提供了新路径赋能智能网联汽车及车联网基础设施构建数字安全底座关键词:智能网联汽车内生安全动态异构冗余架构中图分类号:文献标志码:文章编号:()(.):().(./.)().()().().:引 言汽车行业正在经历前所未有的数字化转型逐渐成为、人工智能、大数据、云计算等先进科技和应用创新的集大成者造就复杂而典型的新一 代 信 息 物 理 系 统()智能网联汽车 未来亿万规模的车、智慧协同的路、高效计算的云、可靠通信的网、遍
3、布各处的充电设施等将构建前所未有、规模巨大的新型网络空间在这个新型网络空间中车的安全、路的安全和网的安全高度耦合大量软硬件漏洞/后门使攻击者大有可乘之机带来信息泄露、勒索、盗窃、大规模车辆恶意操控等风险 而且随着数字化、智能化、网联化的加速这一新型网络空间的规模和渗透率将持续扩大暴露的攻击面也会随之增大网络安全风险随之急剧推高 知名汽车网络安全公司在调查报告中指出:年至 年全球汽车网络安全事故数量急剧增长其中 年较 年增长 倍较 年增长约 倍 年的汽车网络安全事故中由黑帽黑客引发的汽车网络安全事故数量占比已超过白帽黑客 年间的汽车安全事件中汽车远程攻击逐步超过了物理接触攻击且 年远程攻击的占比
4、达到了惊人的远程攻击已成为主要攻击手段 网络安全正成为智能网联汽车、车联网及相关服务产业安全健康发展的基础传统汽车软硬件主要关注功能安全重点聚焦解决汽车软硬件出现随机性或系统性失效导致的安全问题 网络安全问题随智能网联汽车发展逐步浮现之后不仅随机和系统性失效导致的功能安全问题仍然存在而且出现了网络攻击导致的新质功能安全问题 换言之智能网联汽车软硬件既存在因随机性或自然因素引发不确定性扰动而导致的系统功能不可靠风险也存在因人为网络攻击导致的系统非正常功效风险而且这两种风险交织叠加催生了新的功能安全问题 已有的功能安全标准 和网络安全标准/也未曾对该交织叠加问题给出什么有效的解决办法本文探究了这一
5、问题的根本原因 智能网联汽车内生安全问题提出了“不完全交集”原理和基于动态异构冗余()架构的智能网联汽车内生安全构造方法为一体化解决智能网联汽车功能安全和网络安全交织叠加难题提供了新路径 智能网联汽车的内生安全问题智能网联汽车内生安全问题是网络内生安全问题在汽车领域的一个投影也是 功能安全与网络安全交织叠加的一个例证.网络内生安全问题正如德国哲学家黑格尔认为一切事物都是自在的矛盾矛盾是一切运动和生命力的根源 任何一个人工设计制造的系统很难是“完美无缺”的除设计的期望功能之外总存在伴生或衍生的副作用或暗功能或者系统内总存在由构造决定的互为依存又有矛盾关系的“内生或内源性因素”称为内生安全问题网络
6、安全问题与内生安全问题的关系如图 所示根据矛盾是否可分割的属性将网络安全问题划分为非内生安全问题和内生安全问题根据问题存在的范围将内生安全问题又划分为共性问题和个性问题 其中共性问题涉及面大影响范围广通常需要寻找普适解而个性问题往往需要特殊解图 网络空间安全问题域.智能网联汽车内生安全共性问题近年来“软件定义”之风席卷科技界 在移动出行时代汽车逐渐由机械驱动的物理系统向软件驱动的信息物理系统过渡软件开始成为车企打造差异化汽车的核心要素汽车行业逐渐迈向软件定义汽车的时代按照软件定义汽车的发展思路软件深度参与汽车论证、设计、开发、测试、应用、维护各个环节汽车架构也转变为以软件为核心在模块化和通用化
7、硬件平台的支撑下决定整车功能 软件定义下的智能网联汽车成为包含车、路、云一体的复杂信息系统实现了物理世界与数字世界的跨界融合交汇云端、路侧单元、通信设备、边缘计算设备和汽车本身包含了大量的软硬件 博世发布的信息显示 年一辆汽车包含大约 万行软件代码而 重 庆 邮 电 大 学 学 报(自然科学版)第 卷如今部分智能车辆的软件已经达到 亿行代码相比之下哈勃太空望远镜大约有 万行软件代码当前的个人电脑操作系统有 万到 万行左右的代码未来的自动化车辆预期将需要 亿至 亿行代码 软件评估、基准和最佳实践认为在不同能力成熟度模型下每 代码内部的平均 数是 到 个不等 可想而知在人类现阶段科技发展和认知水平
8、下彻查如此大规模软硬件系统的缺陷和漏洞是不可能实现的 而且智能网联汽车庞大复杂的供应链也很难确保软硬件后门问题完全杜绝正是这些软硬件的漏洞/后门形成了智能网联汽车的内生安全共性问题基于漏洞/后门的网络攻击可以直接带来勒索、盗窃、大规模车辆恶意操控的风险可以“绕过”加密认证等防护技术造成数据泄露等安全事件若软硬件系统内生的漏洞/后门问题不解决系统“自身难保”就很难奢谈系统安全之上的数据安全、应用安全等.内生安全共性问题的交织影响作为典型的物理信息系统智能网联汽车实现了信息世界和物理世界的深度融合其所面临的安全问题已经由单纯的功能安全演进为功能安全()与网络安全()交织叠加的复合问题如图 所示 一
9、方面单纯的功能安全问题和网络安全问题仍然存在例如随机性硬件失效、系统故障等导致的功能安全问题另一方面网络安全问题和功能安全问题又会相互影响带来新的安全挑战比如漏洞/后门作为网络安全威胁资源被利用会导致系统软硬件出现故障引发功能安全问题 再比如功能安全中的软硬件故障可能会危害网络安全防御措施从而使系统面临更加严峻的安全威胁这种双重安全相互叠加、相互交织可能会带来更强的不确定性和破坏力智能网联汽车功能安全与网络安全交织叠加使得传统功能安全理论与实践规范正面临全新挑战:既存在因随机性或自然因素引发不确定性扰动而导致的系统功能不可靠表现也存在因漏洞/后门等内生安全问题被外部或人为蓄意利用导致的系统非正
10、常功效表现 本文将自然或非人为因素引发的故障所导致的功能安全问题以及蓄意网络攻击所引发的功能安全新问题合并称为功能安全和网络安全交织 问 题()简称广义功能安全问题如图 所示图 内生安全共性问题的交织.图 广义功能安全.网络安全与功能安全问题的交织叠加性质使得智能网联汽车必须同时具有应对随机性扰动和人为或非人为的不确定扰动能力需要具备一体化解决功能安全和网络安全交织问题的广义功能安全属性 否则难以满足网络攻击条件下服务功能或性能的“弹性或韧性”要求 现有安全防御范式的局限性当前汽车行业已经逐渐意识到网络安全问题的重要性正逐步将传统互联网安全防御技术引入汽车及车联网中 总体来说主要的安全技术范式
11、及其局限性如下)基于冗余配置与大数表决的安全技术以主备、冗余、负载均衡等技术为代表 通过在关键路径/通道、节点/部件以及体系架构层面引入冗余架构应用半定量表达和大数或择多表决机制进行可靠性设计重点解决系统软硬件物理或逻辑性失效问题常见的如自动驾驶系统中摄像头、雷达等多种传感器软硬件的冗余配置其优点是能够有效增强系统感知的可靠性但通常未对人为因素导致的网络攻击加以考量)基于加密与认证的授权安全技术以加密算法、认证等技术为代表 基于密码工程理论和密钥第 期 邬江兴等:智能网联汽车内生安全问题与对策分配方法通过授权管理和加密认证保护合法用户安全地使用软硬件设施、信息服务、数据资源 典型的方案有基于
12、的车内以太网密码方案、基于消息认证码和新鲜值的/安全认证方案等 其优点在于工程实践中无需任何先验知识但通常无法应对基于加密认证算法宿主系统漏洞/后门发起的“内外协同或里应外合”式的网络攻击)基于检测与分析的网络安全技术以入侵检测、防火墙、态势感知等技术为代表 通过攻击特征画像、攻击行为感知等方法实现威胁和攻击的早期预警提升攻击链建立的难度防御可能的网络攻击 包括在车端部署轻量化防火墙、入侵检测等防御设备或者在关键通信路径上部署黑白名单、访问控制和 报文检测等安全技术等 值得注意的是由于高度依赖先验知识必须知道网络攻击的特征才能形成针对性的防御方案总体来看现有安全防御范式多依赖先验知识以明确漏洞
13、/后门的成因及攻击机理为基本前提其“亡羊补牢”式的安全防御策略虽能有效防御已知网络攻击但无法有效应对基于未知漏洞/后门的未知网络安全威胁和攻击 而且使用“封门补漏”打补丁的方法来解决网络安全问题其安全性只能做到“尽力而为”既无法确定是否会引入新的安全漏洞也无法实现安全性的可量化设计与验证度量为突破这一窘境亟需跳出现行安全防御范式必须认识到网络安全问题的本质多由内生性矛盾所致而矛盾只可能演化或和解不可能通过任何修修补补的方式彻底消除 在此基础上需要研究新的普适性理论、建立新的实践规范、开辟新的技术路径从而构建一种全新的安全防御范式 智能网联汽车内生安全理论与技术架构.不完全交集原理从网络攻击的角
14、度来看网络攻击的成功严重依赖于目标系统的确定性、静态性和相似性攻击链任何环节的变化都有可能导致攻击目的无法达成因此对于网络防御来说能否改变目标系统的确定性、静态性和相似性使得攻击者无法建立起有效的攻击链是实现成功防御的关键换言之动态性/随机性(/)、多样性/异构性(/)、冗余性()是构建网络安全防御 个关键要素当前功能安全与网络安全业界已经认识到三要素的重要性但并未建立起如何利用三要素的组合关系有效防范未知威胁和破坏的系统性理论 本文运用“不可能三角”分析模型和三元交集描述提出了不完全交集原理()尝试为利用网络安全防御三要素防范未知威胁提供理论分析基础如图 所示图 未知安全问题防范不可能三角.
15、不完全交集原理:如果、域不存在任何交集或只存在任意两两的交集则不能应对基于目标对象内部未知漏洞/后门的网络攻击 换言之在不依赖先验知识的条件下只要 三者间不完全相交就无法防范网络空间未知安全威胁问题 域、域和 域分别代表三要素中的动态性/随机性、多样性/异构性和冗余性 当 域、域和 域各自单独存在时 域将没有作用对象或只有单一作用对象的动态性无工程应用意义 域对基于未知共模漏洞/后门的攻击或共因故障无效而 域在欠缺调度机制时没有实际应用效果 域即动态性与多样性的连接在安全技术领域的典型技术为移动目标防御()其防御网络攻击的前提条件为存在功能等价的多样化的执行体且任何执行体中的漏洞对防御方而言是
16、未知的随机性地变化提供当前服务功能的执行体使得利用或发现漏洞具有不确定性 这种模式最大的问题是多样化执行体中只要存在一个防御者未知的攻击者后门通过内外配合方式攻击者仍然可以达成里应外合的网络攻击 域即动态性与冗余性的连接在安全技术 重 庆 邮 电 大 学 学 报(自然科学版)第 卷领域的典型技术为动态同构冗余 其防御网络攻击的前提条件和防御的原理为目标对象由多个完全相同的执行体构成判决或判识机制能够识别差模表现执行体动态调度机制可以切换或移除差模表现的执行体从而达到只要目标对象中存在差模表现的执行体都可以被识别和移除的效果 但是如果目标对象执行体间存在未知的共模漏洞/后门或共因故障那么防御机理
17、不成立 域即多样性与冗余性的连接安全技术领域的典型技术为非相似余度架构 其防御网络攻击的前提条件为目标对象由多个功能等价非相似的执行体构成通过多个执行体以择多判决机制并行工作一旦发现差模表现的执行体不论差模问题原委一概在不中断当前服务情况下移除从而达到对于任何差模表现的执行体都可以被识别和移除的效果 但是由于其架构的静态性如果多个执行体上存在攻击者已知、防御者未知的漏洞/后门攻击者可以采用逐个击破方式使当前尚存执行体的数量无法满足择多判决的最低条件()为冗余执行体数量)而进入宕机状态从以上分析可以看出如果一个防御系统不能实现动态性()、多样性()和冗余性()完全相交的话该系统就不具备应对防范未
18、知安全威胁和破坏的能力.具有内生安全性的动态异构冗余架构基于上小节提出的不完全交集原理及定性分析提出了内生安全存在性定理或称 完全交集定理即如果一个目标对象同时具备动态性、多样性和冗余性功能则即使在缺乏先验知识条件下也能有效应对任何未知的网络安全或功能安全威胁(详细的证明过程见文献)内生安全存在性定理表明如果能够将基于未知内生安全共性问题的人为或非人为摄动转换为 域内差模或共模性质的扰动则内生安全在理论上存在本文根据内生安全存在性定理发明了一种 完全相交的架构:“动态异构冗余”()架构如图 所示在 构造中周围一圈为其反馈控制回路里面的部分为可重构的异构冗余执行系统间互为异构但具有等价功能 这两
19、部分构成了一个 完全相交一体化的控制环路 架构自然地引入动态性、多样性和冗余性等安全防御要素使得基于构造的运行场景具有防范未知威胁的能力 进一步地该架构能够将不同性质、不同功能和不同扰动方式的错误失效或网络攻击转变为 空间二类性质相对单调的差模和共模问题为应用成熟的容错理论与自动控制技术解决或规避这些问题提供了基础性的支撑从而能够将 中网络攻击带来的不确定性失效与软硬件随机性失效归一化为可用概率表达的广义鲁棒控制问题使安全性指标达到可量化设计和可验证度量的程度 理论上完全 构造能够在不依赖(可融合)外部先验知识和附加防御措施的情况下的抑制构造内以差模形态呈现的不确定扰动 并能使共模逃逸概率可控
20、图 动态异构冗余架构.面向智能网联汽车 的 架构分析智能网联汽车的关键软硬件部件中例如高级驾驶辅助系统()等部件既面临着软硬件故障带来的驾驶安全风险也面临网络攻击导致的安全风险是一种功能安全与网络安全交织的关键组件因此可以被称为一种 组件对这一类部件的理想安全保障方案是一体化增强既能增强功能安全又能同时增强网络安全然而实际上却是很难二者兼顾 主要原因在于对这类 组件来说其功能安全和网络安全保障措施往往具有非常复杂的多重关系二者既有相互独立、相互依赖、相互增强的时候也有相互矛盾的时候尤其是相互矛盾关系将使二者面临“顾此失彼”的窘境 例如将防火墙、入侵检测等经典网络安全措施部署到 组件上的确能够大
21、幅增强其网络安全防御能力但从功能安全角度来看这些防御措施本质上属于“附加式”措施它们的部署并没有为组件的本征功能带来增强也没有为组件的可靠性和第 期 邬江兴等:智能网联汽车内生安全问题与对策性能进行提升反而会带来新的故障隐患例如防火墙的严重故障能够造成组件通信中断带来严重的功能安全()事故或者防火墙过高的处理时延可能会给实时性要求高的 组件带来功能安全风险即使没有上述的矛盾性问题防火墙、入侵检测等经典“附加式”网络安全技术囿于基于先验知识和已知特征的防御本质也无法实时有效地应对基于未知漏洞/后门等“未知”网络安全威胁或破坏很难为智能网联汽车这种高安全性需求载体提供所需的确定性网络安全保障公开文
22、献查证表明 架构是目前唯一能够从构造层面融合实现动态性()、多样性()和冗余性()的新型安全架构能够赋能系统本征功能始终收敛于一个可有效应对当前不确定网络攻击和随机性失效影响的运行环境具备对未知安全威胁的有效防范能力表现出安全性可“量化设计、验证度量”的“弹性”架构为智能网联汽车的 组件一体化安全保障开辟了新路径 架构不仅“天生”具有“异构、冗余”特性带来的高可靠性能支撑功能安全需求而且基于输出反馈机制的“动态”特性的引入及其与“异构、冗余”特性的融合还能有效应对未知漏洞、后门等网络空间不确定威胁为破解 提供全新的解决方案 架构可以很好地兼容各类经典安全技术本质上是用一个技术架构以融合方式为各
23、类 的 组件提供了一体化的高可靠、高可信和高可用性能保障 不仅如此基于 架构赋能的智能网联汽车 组件还可以极大地降低系统维护门槛和全生命周期运行成本具有显著的效费比优势与防火墙、入侵检测等经典“附加式”网络安全技术相比 架构固有属性决定其具有承受、恢复和适应各种故障、攻击的“弹性”能力具有“构造决定安全”的内生性安全机理 内生安全 架构可以成为智能网联汽车和车联网设施网络弹性工程的“钢筋骨架”天然可以接纳各种附加或传统安全技术如果将加密认证、防火墙、区块链、人工智能、大数据、入侵检测等经典防御措施当作“混凝土砼料”加到 架构中则能使车联网基础设施或智能网联汽车获得“钢筋混凝土”般的广义功能安全
24、质地 内生安全理论的技术实践从 年基于内生安全机制的网络空间拟态防御概念提出伊始到网络空间拟态防御导论、网络空间拟态防御原理内生安全与广义鲁棒控制网络空间内生安全拟态防御与广义鲁棒控制 :等 部中英文专著的陆续出版标志着网络内生安全理论体系从创建逐步走向了成熟与完善 与此同时内生安全技术也逐步走向实践与应用 年拟态构造的路由器/交换机、防火墙、服务器、文件管理系统等系列化内生安全产品上线使用 年紫金山实验室创建了面向全球开放的网络内生安全试验场如图 所示 开创内生安全产品网络安全“黑盒、白盒、登顶”众测新模式通过设立“赏金猎人”挑战赛验证内生安全产品的安全性 同时从 年首届“强网”拟态防御国际
25、精英挑战赛开始连续 届比赛大量国内外知名“白帽黑客”战队纷纷向内生安全系列产品发起了挑战 各款内生安全产品至今没有被任何一支战队实现体系化的破击充分验证了这种网络安全防御新范式的有效性、普适性和先进性近年来内生安全理论与技术赋能的行业门类逐年增加智能网联汽车就是其中一个典型代表毋庸置疑随着汽车智能化、网联化的加速汽车的网络安全风险将随之不断攀升功能安全、网络安全甚至信息安全已经逐步成为了汽车设计、开发、生产、应用、运营、维护等全生命周期活动中不可或缺的关键要素 在此过程中 广义功能安全问题()正日益加剧成为新时代智能网联汽车发展的重要特征 而现实情况是功能安全与网络安全长期各自独立“生长”两个
26、学科方向、两种机理与成因、两类风险和技术、两种文化与两方力量的协同都处在初级阶段急需一体化安全的基础理论与核心技术支撑我国正在建立智能网联汽车内生安全的整套理论和技术体系为一体化解决功能安全和网络安全问题提供了新路径 在实践层面我国已研制出国际首套内生安全 控制系统如图 所示首台内生安全车载网联 如图 所示 并在宇通客车和厦门金旅自动驾驶客车上完成了原理验证 在紫金山实验室举办的第四届“强网”拟态防 重 庆 邮 电 大 学 学 报(自然科学版)第 卷御国际精英挑战赛中内生安全 控制系统经受住了 支精英国际战队 小时内发起的 余万次网络攻击 在第五届比赛中内生安全车载网联 经受住了国内外 支精英
27、战队在 小时内发起的近 万次的网络攻击 这有效证明内生安全理论与技术可以为智能网联汽车行业提供一套切实可行的防御新理论、新范式、新方法图 网络内生安全综合实验场景.图 内生安全 控制系统.图 内生安全车载网联.结束语内生安全技术赋能智能网联汽车及其相关基础设施能够满足相关行业从软硬件系统到网络空间各层面功能安全与网络安全一体化部署之需求提供可量化设计、可验证度量的一体化网络弹性能力理论和实践都已经证明“开放性与安全性、先进性与可靠性、自主可控与安全可信、功能安全与网络安全”的矛盾能够在内生安全技术架构内得到高度的统一面对汽车行业正在经历的智能化、网联化变革大潮要将软硬件故障失效和网络攻击引发的
28、 问题一体化破解不仅需要打破常规的解题思路提出创新的理论体系、技术架构、关键技术、管理模式等也需要敢于开创中国安全技术引领行业全面发展的产业决心和动能参考文献:./.:/./.:.:./:.:.第 期 邬江兴等:智能网联汽车内生安全问题与对策 .:/.:/./.北京:高等教育出版社.:.高玉伟.金融政策目标的“不可能三角”.人民日报(第十版).().:.():.邬江兴.网络空间内生安全 拟态防御与广义鲁棒控制.北京:科学出版社.:.:.邬江兴.网络空间拟态防御原理 内生安全与广义鲁棒控制.北京:科学出版社.:.:.新华网.做网络空间游戏规则的改变者 拟态防御理论问世的台前幕后/.:/./.:.
29、:/./.邬江兴.网络空间拟态防御导论.北京:科学出版社.:.:.:.():.作者简介:邬江兴()男汉族浙江嘉兴人中国工程院院士中国国家数字交换系统工程技术研究中心()主任“网络通信与交换技术”国家科技进步奖创新团队带头人国际知名网络交换专家和我国信息通信领域产业跨越式发展的引领者 获国家科技进步奖创新团队奖 项国家科技进步一等奖 项、二等奖 项国家教学成果一等奖 项何梁何利基金科学与技术成就奖 项 获评全国优秀科技工作者国家 计划突出贡献者国家科技攻关计划突出贡献者国家有突出贡献中青年专家 荣立个人一等功、二等功各 次主要研究领域为信息技术与网络安全等:.(编辑:张 勇)重 庆 邮 电 大 学 学 报(自然科学版)第 卷