Francesco Fiaschi, 網絡安全專家, Littelfuse Inc.

不斷推進的法規和新興技術如何重塑汽車網絡安全

隨著汽車行業經歷深刻的數字化轉型，互聯、電氣化和軟件定義功能的融合重新定義了汽車的設計、制造和運營方式。互聯汽車和電動汽車(EV)越來越依賴于通信網絡、車載計算平臺和基于云的服務，這使得數字攻擊面大幅擴大。隨著空中升級、自動駕駛功能和車對萬物(V2X)通信的日益普及，網絡威脅不再是假設，而是真實、持久和日益復雜的威脅。因此，網絡安全現在已成為核心設計支柱，而不是生產后的附加物。確保在整個車輛生命周期(從最初的設計和生產到運行和最終退役)內提供強大的保護已變得至關重要。

隨著監管機構收緊合規性要求，業界采用新的加密標準來應對高級威脅，這一點變得尤為重要。汽車制造商、一級供應商和系統工程師必須通力合作，采取積極主動、面向未來的網絡安全戰略，以保護汽車及其周邊基礎設施免遭惡意入侵和數據泄露。

“網絡安全不再是可有可無的，而是現代汽車設計和基礎設施的基礎支柱。”

1汽車生命周期中的全面網絡安全

如今的汽車不再是孤立的機器，而是由嵌入式控制單元、高速連接和云連接服務組成的復雜互聯系統。因此，汽車網絡安全的范圍必須遠遠超出保護信息娛樂系統或遠程信息處理系統。攻擊者可能會利用從固件到無線通信協議中的各種漏洞，影響車輛性能、用戶安全或對關鍵系統的訪問。在這個由部件、供應商和基礎設施組成的龐大網絡中，一個薄弱環節就可能導致連鎖后果。

此外，現代汽車涉及一個龐大的利益相關者生態系統--原始設備制造商、一級和二級供應商、軟件開發商、基礎設施提供商和云服務平臺。每個實體都為網絡攻擊者提供了潛在的切入點，因此整個供應鏈的協作和安全標準化至關重要。威脅有多種形式：利用未打補丁的ECU、欺騙V2X通信、篡改無線軟件更新，甚至將電動汽車充電器作為訪問載體。

更復雜的是，如今的車輛在設計時考慮到了越來越高的自主性和電氣化，這使得必須保護的接口和相互依存關系的數量成倍增加。例如，在自動駕駛系統中，必須保護傳感器融合模塊和基于人工智能的決策組件免受敵意干擾。同樣，電動汽車中的電池管理系統和電力電子設備也需要嚴格保護，以防物理和數字攻擊破壞車輛功能或用戶安全。消費電子產品的安全問題主要集中在軟件更新和數據保護上，而汽車行業則不同，它要求從開發到退役的端到端網絡安全性。

在開發階段，優先考慮功能有時會導致安全疏忽，例如在軟件中使用默認的身份驗證憑據。一旦車輛進入生產階段，為防止未經授權的訪問，確保身份驗證流程的安全就變得至關重要。

當車輛的使用壽命結束時，必須進行適當的退役或數據清理，以清除存儲的憑證和認證證書。如果忽視這一步驟，退役車輛即使在退役后也很容易受到網絡威脅。通過將網絡安全融入每個設計階段，制造商可以在車輛的整個運行壽命期間保持安全性。

2嚴格監管行業的合規性

隨著汽車越來越以軟件為中心并實現互聯，合規性已成為一種技術需要和業務要求。汽車網絡安全已不再是最佳實踐或競爭優勢的問題 -- 正式的國際標準和國家法規已開始對其進行管理。框架的設計可確保針對不斷變化的網絡威脅提供一致、可衡量和可執行的保護。

世界各國政府和監管機構要求更嚴格的風險管理和驗證流程，特別是當軟件更新、空中下載(OTA)功能和V2X通信成為現代汽車的標準功能時。合規性不僅僅是走過場;它涉及在整個開發、制造和上市后階段的持續評估、漏洞監控和文檔記錄。

汽車行業正在圍繞幾個關鍵標準進行調整，以滿足這些日益增長的需求。ISO 26262長期以來一直規范著汽車設計中的功能安全，而網絡安全要求目前正通過ISO 21434實現標準化。該標準在保護聯網汽車方面發揮著舉足輕重的作用，就像ISO 26262在安全方面的作用一樣。

安全也是自動駕駛汽車應用不可或缺的一部分，在這種應用中，安全和網絡安全必須相互配合。此外，保護充電站等電動汽車基礎設施也日益受到關注。開放充電樁協議(OCPP)1.6J依靠傳輸層安全(TLS)v1.x實現安全通信，目前仍在廣泛使用。不過，OCPP 2.0.1引入了增強的安全措施，但其缺乏向后兼容性給集成帶來了挑戰。即將推出的OCPP 2.1旨在彌補這些不足，同時加強雙向電力傳輸的安全性，使未來的車對網(V2G)和車對物(V2X)應用成為可能。

“現在，軟件正在推動汽車創新，確保代碼、數據和連接的安全至關重要。”

盡管取得了這些進步，但電動汽車基礎設施的網絡安全仍未得到足夠重視。隨著車輛與電網連接的擴大，工程師必須將安全原則延伸到車輛之外，以確保整個移動生態系統的彈性。

3量子計算的挑戰： 為后量子世界做準備

隨著汽車系統的互聯性和對安全通信加密技術的依賴性越來越強，汽車行業面臨著一個新出現的潛在破壞性威脅：量子計算。與使用二進制比特的經典計算機不同，量子計算機使用的量子比特(量子比特)可以同時以多種狀態存在。這使得量子系統能夠以遠遠超過當今計算機的速度解決復雜問題，包括支撐廣泛使用的加密算法安全性的問題。

研究人員已經證明，RSA等傳統數字簽名方法在量子計算機上運行的量子算法面前可能不堪一擊。這些傳統方法構成了當前數字安全的支柱 -- 用于從車對物(V2X)身份驗證到安全軟件更新等一切領域。在汽車領域，如果這些系統遭到破壞，惡意行為者就可以欺騙命令、安裝未經授權的固件或干擾電動汽車充電和電網基礎設施。

為了積極應對這一挑戰，美國國家標準與技術研究院(NIST)在其后量子密碼學(PQC)標準化進程中最終確定了一套抗量子算法。開發人員專門設計了這些抗量子計算機的下一代加密方法，以確保數據的長期保密性和完整性。這些方法包括：

FIPS-203：ML-KEM(密鑰封裝機制)- 這種基于格的加密算法可在不安全通道上安全地交換對稱加密密鑰。ML-KEM以Kyber算法為基礎，可有效抵御量子攻擊，同時確保快速的性能和緊湊的密鑰大小。對于需要安全建立密鑰的場景，如V2X驗證和OTA軟件更新，它是必不可少的。

FIPS-204：ML-DSA(數字簽名算法)- ML-DSA也是基于晶格密碼學并衍生自Dilithium算法，提供抗量子的數字簽名。該標準可確保數字信息和軟件更新的真實性和完整性，在安全車輛通信和身份驗證方面發揮著至關重要的作用。

FIPS-205：SLH-DSA(基于哈希的簽名)- SLH-DSA基于SPHINCS+哈希算法，以其保守的設計和強大的量子威脅抵抗力而著稱。它不依賴于數論假設，因此特別適合長期安全需求，如汽車系統中的安全固件簽名和長期證書。

遷移到這些新的加密標準至關重要，尤其是對于V2X和V2G通信(車輛自主驗證和交換授權數據)而言。這與ISO 15118 Plug & Charge功能尤其相關，該功能可實現安全的電動汽車自動充電會話。“未來的移動性取決于整個生態系統中積極主動、量子就緒的網絡安全戰略。”

4安全移動的未來

隨著車輛互聯技術的不斷發展，網絡安全必須同步提升—不僅要防范新興威脅，還要增強消費者對日益自主化和軟件驅動型車輛的信任。未來出行方式的成敗取決于數字信任，而數字信任又依賴于確保全球供應鏈中通信的安全性、軟件更新的安全性以及硬件組件的完整性。

積極主動的多層次安全策略至關重要。這包括利用能夠抵御當前和未來攻擊的加密技術，實施實時威脅檢測和軟件補丁，以及不僅對車輛而且對其支持基礎設施采用安全最佳實踐。隨著汽車系統越來越依賴V2X、云連接和人工智能驅動的功能，攻擊面也在不斷擴大，因此恢復能力成為一個不可或缺的設計目標。

制造商必須從系統層面出發，將網絡安全從概念植入到退役。這意味著要在設計階段建立威脅模型，在工程設計過程中采用安全的開發實踐，在生產過程中實施強大的訪問控制，并在報廢時進行安全退役。正如功能安全已成為不容妥協的問題一樣，汽車制造商現在也必須將網絡安全放在同等重要的位置。

5未來發展方向的關鍵要點

網絡安全在汽車生命周期的每個階段都至關重要;

ISO 21434等標準和后量子加密技術為安全設計提供了必要的保障;

隨著V2G和自主系統的發展，基礎設施安全必須與車輛安全相匹配;

量子計算是未來對傳統加密技術的真正威脅;

積極主動的分層防御策略對于保護下一代移動性是必不可少的。

通過將網絡安全嵌入汽車設計的每個階段并預測新出現的威脅，汽車行業可以促進未來的安全、智能和彈性交通。這包括采用多層次的方法，包括加密保障措施、持續的軟件補丁、威脅監控，以及調整整個移動生態系統的安全策略 -- 從單個ECU到V2X通信和更廣泛的能源網。總之，保護下一代互聯汽車需要將創新與警惕性相結合的前瞻性戰略。

關于作者：Francesco Fiaschi是Littelfuse公司網絡安全專家，擁有豐富的嵌入式軟件、工程和產品管理經驗。在加入Littelfuse之前，Francesco曾在WindRiver、Harman&Becker、英飛凌和英特爾等國際知名企業工作，獲得專業項目經理(PMP)證書。曾在電信、工業、軍事、航空、汽車、物聯網、醫療和安全生產制造等多個領域工作過，最近的工作重點是網絡安全。Francesco擁有意大利電子學碩士學位。聯系方式：FFiaschi@Littelfuse.com。