Cruise：如何設定自動駕駛車型的安全優先級？汽車頭條網

2019-05-08 10:08:03 智車科技

C&C的專長是實施遠程攻擊並獲取車輛系統的物理控制權。基於自身經驗加上借鑑其他團隊的研究成果，他們為Cruise自動駕駛車型設計了一套防護策略，戰略性地利用現有資源，有針對性地提升關鍵攻擊難度。

2015年，Chris Valasek和Charlie Miller（自稱C&C組合）成功入侵某友商車型，在黑客圈一戰成名。後來他們被通用汽車旗下自動駕駛技術公司Cruise收入麾下，主導建立了Cruise的安全團隊。近期，他們透露了設定自動駕駛車型安全優先級的方法和思路。

C&C在加入Cruise十幾個月時間裡，他們最重要的任務是打造有史以來最安全的車型（注：這裡的“安全secure”指的是系統安全）。最近幾個論壇上頻頻出現的話題就是安全，包括27日的Auto-E2019中國汽車技術青年學者論壇上，國家市場監管總局缺陷產品管理中心肖凌雲博士就自動駕駛汽車安全問題，展開廣泛的討論。那麼面對自動駕駛汽車集成的大量硬件和軟件系統，面對這些可能存在的bug，面對搭載的數百萬行代碼，面對沒有方向盤和制動踏板的自動駕駛車輛，自動駕駛安全如何保證？而就職於Cruise的C&C又是如何設定自動駕駛安全項目優先級的呢？

背景閱讀

Cruise自動駕駛車型與外界的溝通方式

首先，要先了解Cruise自動駕駛車型與外界的溝通方式，才能更好的理解他們自動駕駛安全優先級設定。

每輛Cruise自動駕駛汽車都會配備一個通信電子控制單元（electronic control unit簡稱ECU），負責與內部的基礎設施實現通信。該通信電子控制單元ECU同時也與車輛的主計算機模塊保持通信，該計算機模塊就像是自動駕駛車型的「大腦」。

對於安全從業者來說，這樣的結構關係看上去可能有點驚人，但C&C設計的多層級安全控制機制能夠有效降低持續入侵和獲取車輛物理控制權的可能性。

網絡層面，他們使用專有的APNs和IPSec通道。並且，他們的自動駕駛系統底層架構可以確保即便外部攻擊者能夠看到他們的信息流，也仍然可以保證車輛處於安全狀態。

現實威脅模型Realistic Threat Model

此文章將從以下三個方面，詳解分析。第一，哪些攻擊類型的影響和規模級別最高？第二，執行這些攻擊的難易程度如何？第三，不同攻擊類型可能對自動駕駛車輛的物理控制產生何種影響？

C&C判斷當下的工作重點是那些可能獲取車輛物理控制權的遠程攻擊上。更具體來說，他們會著重防禦那些可以遠距離實施的攻擊類型，因為它們的影響範圍可能擴展到整個車隊。

主動防禦

首先，他們會確保車輛只建立出站鏈接（Outbound connections），也就是說Cruise自動駕駛系統只會主動發起與外界建立鏈接，而不會對入站鏈接（Inbound connections）做出響應。同時，他們還移除了包括藍牙和Wi-Fi在內可能成為潛在攻擊對象的車載功能。

通過減少可能遭受攻擊的代碼數量，他們消除了對潛在惡意入站數據代碼固有風險的擔憂，提升了自動駕駛車型的整體安全等級。如果後期在投放應用時仍需搭載藍牙和Wi-Fi，他們會為這些功能構建獨立的網絡和設備。

除此之外，他們採用的安全啟動（和更新）機制以及只讀文件系統能夠確保通信設備抵禦那些成功發起的外部攻擊。過往的黑客職業生涯（專黑那些看起來功不可破的系統）教會他們一件事——不可能完全消除網聯設備受侵入的風險。然而，當侵入事件發生時，他們必須確保入侵者無法實現持續性攻擊。

那麼，如何保障自動駕駛車型主計算機模塊和車載通信單元之間的通信安全呢？

這個是個好問題。總的來說，自動駕駛車型的主計算機模塊默認不信任所有通信電子控制單元（ECU），僅向其開放最基礎的權限。即便是他們自己的通信設備，主計算機模塊也不允許來自它們的入站通信（inbound communication）。二者間的通信將全部由自動駕駛車型的主計算機模塊發起，由此確保通信設備難以向控制車輛的關鍵模塊發出單邊指令。

自動駕駛車型的安全不能一刀切，幫助自動駕駛車型抵禦外界入侵遠不止設置一個防火牆這麼簡單。事實上，他們會通過分層策略（layered approach）確保以下兩件事：

1. 通過蜂窩網絡遠程侵入他們的車型是及其困難的；

2. 即便發生侵入事件，攻擊者也難以獲取車輛的實際控制權。

任何針對Cruise自動駕駛車型的攻擊都必須繞過他們構建的多層防禦機制。

值得一提的是，C&C稱，他們時常收到人們轉發的關於GPS欺騙干擾（GPS spoofing）或激光雷達欺騙干擾（LIDAR spoofing）的文章，並詢問如何確保Cruise自動駕駛車型能夠抵禦這類攻擊。其中不少文章認為由於自動駕駛車型使用了GPS和激光雷達等技術，所以自然成為了這類攻擊的高風險對象，可能導致其被截停甚至發生碰撞事故。Cruise表示，這類攻擊目前不會影響他們車輛的正常運行，不過，從長遠來看，考慮到攻擊方式的不斷演進，他們將來會把這類攻擊列入考慮範圍。

【歡迎大家提供行業新聞熱點，商業合作請聯繫：18562613430】