开源和汽车安全关键系统浅谈
Samuel WENG
原文章:
https://mp.weixin.qq.com/s/YIEttf37nDyLSUXgPfKveA
FIRST: 感想:
开源操作系统不可能作为汽车关键系统的直接使用。
1.信息安全评级上,涉及国计民生,特别高精地图涉及国防安全,个人隐私数据涉及隐私保护
2.技术评级上,功能安全领域,有可能在低asil上做成符合关键系统,但高等级的困难较大,后面进行讨论。
3.无人驾驶系统与机器人差别在于中枢控制系统,后续十年到2035年,ai也会有初步推理,初步自我意识产生,这样的后果,是机器人领域的安全和汽车安全进行重叠,我们现在说的网络安全后续对接口管控更严。
ELISA组织目前对于linux safety的探索,还在初期阶段,反倒是开源系统的信息安全,走得更前面,以android为例子,其自身信息安全代码至架构设计,OTA等已经成熟,而汽车上的OTA正处于制定阶段,无外乎类似于握手协议,但不会采用SSH,而会专门的backend asymmetry key,涉及到的明显是担心加解密技术,以及租车时,信息安全管理问题。
归根到底,开源系统在汽车safety上,最难的点
1.任何软件行为需要变得有序且遵守规则,而这是和secure部分相悖的
2.数据处理,共享,存储算法难度的利用不能被开放社区所知,而这会
3.社会工程学难题,资深信息安全人员都懂,你的汽车只是一个简单肉鸡,你的汽车只是简单的一个局域网,只是我需要考虑汽车级的攻破。攻防上难度没企业级那么高,就说一点,你汽车上用AI来筛查了没有?我可以把你的网关突成筛子,在我黑客严重,今晚的篮筐像大海一样辽阔。
4.汽车开源软件关键系统,会成为部分封闭化,这是必然的趋势,部分群组的黑盒,黑盒的边界是每个软件工作组自身。
只要汽车不是租车的,还有私人购买,就不会有开源软件直接成为关键系统的可能,这也是,我们不能直接说linux是SEOOC的原因之一。
SECOND:software safety的未来
一周内敏捷模型利用,safety的未来也是迭代的设计与关键安全机制实现的把控,fmea中s和o值会成为筛选失效模式优先级的前提,而d值,只能一轮一轮迭代,功能安全的kpi是慢慢爬坡的,内容必须是失效模式的处理,而这种处理和客户需求高度相关。
封闭系统qnx的软件已经固定化,果冻的思路也是一种基础,关键在于rtos,快速响应的部件,不能承载过高的安全评级和asil,我们通常说call,但更本质的instruction set执行还是需要在更底层中执行,这一块上,autosar定义了一些好的基础,app层继续弱化关于底层操作的参与,只保留功能块,而rtos中快速响应的,本身机制,适用于信息输入端和输出端,中间的判断处理决策块还是用果冻状。
很多专家说到多个os行为,此时rtos承载的功能简单,要求快速,很明确的用开源软件执行,与其交互的api,abi都用信息安全严格定义与重新配置,走26262-8流程。而rtos本身,请务必asil低,同时增强鲁棒性与可靠性,软件可靠性可用性更为关键,这两个,我们在后续详细讨论。
Third:谈嵌入式软件信息安全与云端后台的信息安全
嵌入式软件本质process,操作模式,硬件承载,与传统汽车电子开发流程一脉相承,信息安全当在此上生根发芽。
云端后台包括边缘计算,采用通讯手法,直接用以往通讯行业SOTA。
限于能力,无法深入,请各位大佬斧正。
- 用户评论
