Cruise:如何設(shè)定自動駕駛車型的安全優(yōu)先級?
C&C的專長是實施遠程攻擊并獲取車輛系統(tǒng)的物理控制權(quán)。基于自身經(jīng)驗加上借鑒其他團隊的研究成果,他們?yōu)镃ruise自動駕駛車型設(shè)計了一套防護策略,戰(zhàn)略性地利用現(xiàn)有資源,有針對性地提升關(guān)鍵攻擊難度。
2015年,Chris Valasek和Charlie Miller(自稱C&C組合)成功入侵某友商車型,在黑客圈一戰(zhàn)成名。后來他們被通用汽車旗下自動駕駛技術(shù)公司Cruise收入麾下,主導(dǎo)建立了Cruise的安全團隊。近期,他們透露了設(shè)定自動駕駛車型安全優(yōu)先級的方法和思路。
C&C在加入Cruise十幾個月時間里,他們最重要的任務(wù)是打造有史以來最安全的車型(注:這里的“安全secure”指的是系統(tǒng)安全)。最近幾個論壇上頻頻出現(xiàn)的話題就是安全,包括27日的Auto-E2019中國汽車技術(shù)青年學者論壇上,國家市場監(jiān)管總局缺陷產(chǎn)品管理中心肖凌云博士就自動駕駛汽車安全問題,展開廣泛的討論。那么面對自動駕駛汽車集成的大量硬件和軟件系統(tǒng),面對這些可能存在的bug,面對搭載的數(shù)百萬行代碼,面對沒有方向盤和制動踏板的自動駕駛車輛,自動駕駛安全如何保證?而就職于Cruise的C&C又是如何設(shè)定自動駕駛安全項目優(yōu)先級的呢?
背景閱讀
Cruise自動駕駛車型與外界的溝通方式
首先,要先了解Cruise自動駕駛車型與外界的溝通方式,才能更好的理解他們自動駕駛安全優(yōu)先級設(shè)定。
每輛Cruise自動駕駛汽車都會配備一個通信電子控制單元(electronic control unit簡稱ECU),負責與內(nèi)部的基礎(chǔ)設(shè)施實現(xiàn)通信。該通信電子控制單元ECU同時也與車輛的主計算機模塊保持通信,該計算機模塊就像是自動駕駛車型的「大腦」。
對于安全從業(yè)者來說,這樣的結(jié)構(gòu)關(guān)系看上去可能有點驚人,但C&C設(shè)計的多層級安全控制機制能夠有效降低持續(xù)入侵和獲取車輛物理控制權(quán)的可能性。
網(wǎng)絡(luò)層面,他們使用專有的APNs和IPSec通道。并且,他們的自動駕駛系統(tǒng)底層架構(gòu)可以確保即便外部攻擊者能夠看到他們的信息流,也仍然可以保證車輛處于安全狀態(tài)。
現(xiàn)實威脅模型Realistic Threat Model
C&C的專長是實施遠程攻擊并獲取車輛系統(tǒng)的物理控制權(quán)。基于自身經(jīng)驗加上借鑒其他團隊的研究成果,他們?yōu)镃ruise自動駕駛車型設(shè)計了一套防護策略,戰(zhàn)略性地利用現(xiàn)有資源,有針對性地提升關(guān)鍵攻擊難度。
此文章將從以下三個方面,詳解分析。第一,哪些攻擊類型的影響和規(guī)模級別最高?第二,執(zhí)行這些攻擊的難易程度如何?第三,不同攻擊類型可能對自動駕駛車輛的物理控制產(chǎn)生何種影響?
C&C判斷當下的工作重點是那些可能獲取車輛物理控制權(quán)的遠程攻擊上。更具體來說,他們會著重防御那些可以遠距離實施的攻擊類型,因為它們的影響范圍可能擴展到整個車隊。
主動防御
首先,他們會確保車輛只建立出站鏈接(Outbound connections),也就是說Cruise自動駕駛系統(tǒng)只會主動發(fā)起與外界建立鏈接,而不會對入站鏈接(Inbound connections)做出響應(yīng)。同時,他們還移除了包括藍牙和Wi-Fi在內(nèi)可能成為潛在攻擊對象的車載功能。
通過減少可能遭受攻擊的代碼數(shù)量,他們消除了對潛在惡意入站數(shù)據(jù)代碼固有風險的擔憂,提升了自動駕駛車型的整體安全等級。如果后期在投放應(yīng)用時仍需搭載藍牙和Wi-Fi,他們會為這些功能構(gòu)建獨立的網(wǎng)絡(luò)和設(shè)備。
除此之外,他們采用的安全啟動(和更新)機制以及只讀文件系統(tǒng)能夠確保通信設(shè)備抵御那些成功發(fā)起的外部攻擊。過往的黑客職業(yè)生涯(專黑那些看起來功不可破的系統(tǒng))教會他們一件事——不可能完全消除網(wǎng)聯(lián)設(shè)備受侵入的風險。然而,當侵入事件發(fā)生時,他們必須確保入侵者無法實現(xiàn)持續(xù)性攻擊。
那么,如何保障自動駕駛車型主計算機模塊和車載通信單元之間的通信安全呢?
這個是個好問題。總的來說,自動駕駛車型的主計算機模塊默認不信任所有通信電子控制單元(ECU),僅向其開放最基礎(chǔ)的權(quán)限。即便是他們自己的通信設(shè)備,主計算機模塊也不允許來自它們的入站通信(inbound communication)。二者間的通信將全部由自動駕駛車型的主計算機模塊發(fā)起,由此確保通信設(shè)備難以向控制車輛的關(guān)鍵模塊發(fā)出單邊指令。
自動駕駛車型的安全不能一刀切,幫助自動駕駛車型抵御外界入侵遠不止設(shè)置一個防火墻這么簡單。事實上,他們會通過分層策略(layered approach)確保以下兩件事:
1. 通過蜂窩網(wǎng)絡(luò)遠程侵入他們的車型是及其困難的;
2. 即便發(fā)生侵入事件,攻擊者也難以獲取車輛的實際控制權(quán)。
任何針對Cruise自動駕駛車型的攻擊都必須繞過他們構(gòu)建的多層防御機制。
值得一提的是,C&C稱,他們時常收到人們轉(zhuǎn)發(fā)的關(guān)于GPS欺騙干擾(GPS spoofing)或激光雷達欺騙干擾(LIDAR spoofing)的文章,并詢問如何確保Cruise自動駕駛車型能夠抵御這類攻擊。其中不少文章認為由于自動駕駛車型使用了GPS和激光雷達等技術(shù),所以自然成為了這類攻擊的高風險對象,可能導(dǎo)致其被截停甚至發(fā)生碰撞事故。Cruise表示,這類攻擊目前不會影響他們車輛的正常運行,不過,從長遠來看,考慮到攻擊方式的不斷演進,他們將來會把這類攻擊列入考慮范圍。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
最新活動更多
-
即日-11.13立即報名>>> 【在線會議】多物理場仿真助跑新能源汽車
-
11月28日立即報名>>> 2024工程師系列—工業(yè)電子技術(shù)在線會議
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
即日-12.26火熱報名中>> OFweek2024中國智造CIO在線峰會
-
即日-2025.8.1立即下載>> 《2024智能制造產(chǎn)業(yè)高端化、智能化、綠色化發(fā)展藍皮書》
-
精彩回顧立即查看>> 【限時免費下載】TE暖通空調(diào)系統(tǒng)高效可靠的組件解決方案
推薦專題
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市