紫金山實(shí)驗(yàn)室李玉峰：國(guó)產(chǎn)車控OS與中國(guó)原創(chuàng)安全技術(shù)相結(jié)合是提升汽車軟件安全新路徑

近日，在2022云棲大會(huì)智能汽車產(chǎn)業(yè)峰會(huì)上，上海大學(xué)教授、紫金山實(shí)驗(yàn)室車聯(lián)網(wǎng)內(nèi)生安全學(xué)術(shù)帶頭人、上海市智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同創(chuàng)新主任李玉峰就“汽車軟件內(nèi)生安全問(wèn)題與廣義魯棒控制技術(shù)”進(jìn)行主題演講。

就智能網(wǎng)聯(lián)汽車軟件而言，李玉峰指出，汽車工業(yè)發(fā)展至今，依然是承載生命的交通工具，因此，“軟件定義汽車”新趨勢(shì)下，新軟件“上車”依然必須堅(jiān)持為生命服務(wù)、為生命負(fù)責(zé)。

根據(jù)普華永道的預(yù)測(cè)，到2030年，汽車軟件占汽車總價(jià)值的比例將會(huì)達(dá)到60%以上。作為汽車的基礎(chǔ)軟件，操作系統(tǒng)既是智能汽車的“新引擎”，又是“軟件定義汽車”的起點(diǎn)。在汽車操作系統(tǒng)中，既有面向信息娛樂(lè)和智能座艙的車載操作系統(tǒng)，也有對(duì)實(shí)時(shí)性、安全性、可靠性等方面要求極高的“車控”操作系統(tǒng)。

李玉峰指出，汽車沒(méi)有聯(lián)網(wǎng)前，可以說(shuō)沒(méi)有網(wǎng)絡(luò)安全(Security)問(wèn)題。網(wǎng)聯(lián)化為汽車發(fā)展帶來(lái)了新的動(dòng)能，但世界上任何事物都有兩面性，網(wǎng)聯(lián)化也使得汽車行業(yè)不得不面臨網(wǎng)絡(luò)安全問(wèn)題的新威脅，而且，隨著網(wǎng)聯(lián)化的深入，功能安全網(wǎng)絡(luò)安全之間的界限正逐步“坍塌”：網(wǎng)聯(lián)化使許多跟駕駛安全直接相關(guān)的E/E部件變成網(wǎng)絡(luò)攻擊可達(dá)。設(shè)計(jì)缺陷帶來(lái)的故障和基于漏洞的網(wǎng)絡(luò)攻擊交織，使得傳統(tǒng)上單純的功能安全(Safety)問(wèn)題演變?yōu)镾afety&Security (S&S) 交織后的安全問(wèn)題：旨在破壞物理過(guò)程的網(wǎng)絡(luò)攻擊與設(shè)計(jì)缺陷導(dǎo)致的功能故障一樣，都能造成事故。而且攻擊者能夠利用相同漏洞后門同時(shí)造成大規(guī)模車輛事故。

李玉峰強(qiáng)調(diào)，“車控”系統(tǒng)作為一種跟人身安全高度相關(guān)的系統(tǒng)，既要滿足網(wǎng)絡(luò)安全要求，還必須滿足功能安全要求。操作系統(tǒng)作為硬件資源的管理者和應(yīng)用軟件的服務(wù)提供者，是整個(gè)“車控”系統(tǒng)的核心和基石。當(dāng)前，車控操作系統(tǒng)大都被QNX等國(guó)外商業(yè)實(shí)時(shí)操作系統(tǒng)(RTOS)所壟斷。

據(jù)了解，包括斑馬智行在內(nèi)的國(guó)內(nèi)企業(yè)正在向“車控”操作系統(tǒng)開(kāi)展國(guó)產(chǎn)化攻堅(jiān)，并已經(jīng)取得了非常積極的成果。斑馬智行首席信息安全專家李斕告訴記者，在這條攻堅(jiān)道路上，面臨許多的挑戰(zhàn)，其中之一就在于實(shí)時(shí)性的功能安全與網(wǎng)絡(luò)安全一體化保障難題。斑馬智行正在跟國(guó)內(nèi)安全團(tuán)隊(duì)積極研討，期望用中國(guó)原創(chuàng)的安全技術(shù)與自主可控的車控操作系統(tǒng)結(jié)合，探索一條車控操作系統(tǒng)安全新路徑;李斕說(shuō)，這是一個(gè)可以實(shí)現(xiàn)的目標(biāo)，也是一個(gè)巨大機(jī)會(huì)，有望能夠在復(fù)雜的智能網(wǎng)聯(lián)汽車安全世界中成為領(lǐng)先者。

談及功能安全與網(wǎng)絡(luò)安全的關(guān)系，李玉峰認(rèn)為，功能安全與網(wǎng)絡(luò)安全的交織問(wèn)題非常復(fù)雜，二者之間既有相互獨(dú)立、相互依賴、相互補(bǔ)充的關(guān)系，還有相互沖突的關(guān)系。以相互沖突為例，加密、認(rèn)證、防火墻、入侵檢測(cè)等經(jīng)典“附加式”技術(shù)措施引入到車內(nèi)網(wǎng)后，顯然能夠提升網(wǎng)絡(luò)安全的防御水平，但是，這類“附加式”措施卻可能會(huì)損害功能安全。比如，加密和認(rèn)證技術(shù)能夠提升網(wǎng)絡(luò)安全水平，但同時(shí)必然會(huì)給通信增加延遲，這對(duì)實(shí)時(shí)性要求極高的“車控”類信息來(lái)說(shuō)可能就會(huì)影響功能安全性;再比如，防火墻、入侵檢測(cè)加入車內(nèi)網(wǎng)后，能在一定程度上有效抵御外部攻擊，但防火墻、入侵檢測(cè)本身的可靠性可能就會(huì)影響車控系統(tǒng)的整體可靠性，為功能安全帶來(lái)新風(fēng)險(xiǎn)。

李玉峰進(jìn)一步指出，學(xué)術(shù)界和產(chǎn)業(yè)界已經(jīng)開(kāi)始關(guān)注和聚焦這一問(wèn)題，總體來(lái)說(shuō)，功能安全與網(wǎng)絡(luò)安全領(lǐng)域的專家已經(jīng)認(rèn)識(shí)到需要對(duì)二者并案處理之。當(dāng)前的許多研究正在圍繞與推進(jìn)ISO26262(功能安全標(biāo)準(zhǔn))和ISO21434(網(wǎng)絡(luò)安全標(biāo)準(zhǔn))兩個(gè)流程的疊加整合上，但現(xiàn)實(shí)情況是兩種風(fēng)險(xiǎn)，兩種基本機(jī)理和成因，兩類技術(shù)措施，兩種文化，兩方力量都在處于互相協(xié)同的初級(jí)階段，許多基礎(chǔ)理論缺失，各個(gè)階段的許多支撐性的前沿技術(shù)待突破。研究發(fā)現(xiàn)，ISO26262與ISO21434的V模型“疊加”解決方案，并不能完全解決功能安全與網(wǎng)絡(luò)安全交織問(wèn)題。因?yàn)椋豢梿?wèn)題顯然有“加法”效應(yīng)：兩個(gè)領(lǐng)域原來(lái)各自解決不了的問(wèn)題，疊加后還是解決不了;而且，交織區(qū)域新產(chǎn)生了“乘法”效應(yīng)，各自流程中存在的問(wèn)題會(huì)因交織“涌現(xiàn)”出新問(wèn)題、新風(fēng)險(xiǎn)，尤其是二者的沖突問(wèn)題，依靠“兩張皮”疊加的方案很難解決它，需要一體化的融合解決方案才有可能完全破解之。

李玉峰告訴記者，針對(duì)這一行業(yè)難題，我國(guó)學(xué)界提出的內(nèi)生安全-廣義魯棒控制技術(shù)，能夠通過(guò)動(dòng)態(tài)、異構(gòu)、冗余的廣義魯棒控制新構(gòu)造，在提供高可靠性的同時(shí)，還能有效應(yīng)對(duì)基于軟件未知漏洞、未知后門的網(wǎng)絡(luò)攻擊，給出了一種智能網(wǎng)聯(lián)汽車功能安全和網(wǎng)絡(luò)安全一體化內(nèi)生保障的新方法。未來(lái)，加快國(guó)產(chǎn)車控OS與中國(guó)原創(chuàng)安全技術(shù)相結(jié)合是提升汽車軟件安全新路徑。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）