谈谈汽车信息安全与功能安全的区别

随着汽车技术的发展，功能安全和信息安全也逐步成为了汽车研发的热点，同样是安全，那它们到底有哪些区别呢？是否可以完美的融合在系统开发过程中？笔者有幸于此撰文描述，期待抛砖引玉，能够引出更为深刻的行业探讨。

1  发展历史不同

1.1  功能安全的历史

功能安全肇始于20世纪70年代美国阿波罗计划后电子工业对于非合理风险的管控，同时因切尔诺贝利核泄漏而加强的核工业安全，可看到如下Farmer曲线：


Note:图片源至BING搜索

Farmer曲线表明，人对风险有一条红色接受曲线，横轴是严重度，纵轴是风险概率，当事件点（严重度，发生概率）在曲线上时，人是临界风险接受状态，而当事件点（严重度，发生概率）高于曲线时，人是不能接受该事件，如果事件点低于该曲线，则人可以接受该事件。

沿着该思路，IEEE协会将其运用在电子工业上，于2000年代生成第一版IEC61508，并定义了安全完整性等级（Safety Integrity Level），而随后的汽车电子工业从2008年开始致力于IEC61508在汽车上的运用，并最终于2011年，完成了ISO26262的正式诞生。

ISO26262的诞生，其ASIL矩阵如下，我们稍微改变组合，数轴变成E和C的组合，而横向为S值，此处我们可以得到Farmer曲线在红色部分。红色曲线上方的ASIL级别在ASILA或以上，而红色曲线下方的ASIL级别是QM，非安全相关。






汽车功能安全在Farmer曲线定义之后，其技术上有两个假设前提：

- 人不是完美的，是肯定会犯错，所以存在系统性失效

- 物质本身不是完美的，所以存在硬件随机性失效

以上两个前提也是汽车功能安全所需要考虑的两大失效类型。

1.2  汽车预期功能安全的历史

伴随着汽车智能化浪潮，随着SAE在2016年对智能汽车分级以来，汽车的预期功能安全随之诞生，这个概念源之于

- 电子电器系统自身性能缺陷

- 电子电器系统自身功能局限

- 或

- 人的非合理误用

而引起的非合理风险，在正式发布的ISO PAS 21448版本中，其本身主要将风险划分为四个区域：



ZONE 1: 已知安全场景
ZONE 2: 已知不安全场景
ZONE 3: 未知不安全场景
ZONE 4: 未知安全场景

如上四个区域，预期功能安全的目标是将ZONE2和ZONE的风险降低到可以接受的低水平。从目前主流的方法来说，预期功能安全主要的做法是：

-增强单个电子电器系统的可靠性
-增强单个电子电器系统的质量
-增强场景的仿真、虚拟、模拟路试等
-增强人工智能等非线性算法的应用，降低误报率（这块可以参考关于人工智能算法或神经网络分析文章）
-增强人机交互系统可信性及人误用概率降低
-etc

1.3  信息安全的历史

信息安全本身存在的有两个前提：

-世界上存在有攻击资产的人：系统外或资产外肯定存在外部威胁和攻击（可以有形和无形）

-资产保护体系不能100%防御：资产所在系统内在防控设计体系不完美

上述两个假定是整个信息安全的前提，而信息安全的历史可以追溯到公元前古罗马恺撒大帝时期，彼时出现的恺撒密码是一种替换加密的技术，明文中的所有字母都在字母表上向后（或向前）按照一个固定数目进行偏移后被替换成密文。例如，当偏移量是3的时候，所有的字母A将被替换成D，B变成E，以此类推。



由于上述单表密码通过概率的方式及其容易就被破解，16世纪时，亨利3世改进了单表加密的恺撒密码体制，形成了维吉尼亚密码体制，这以后密码正式进入了多表密码体制的时代，在随后的美国南北战争，多表替代体制大放异彩，Vigenere密码和Beaufort密码是多表代替密码的典型例子。与此同时，密码破译技术也在飞速进步。W.Firedman在1918年所做的使用重合指数破译多表密码成为密码学上的里程碑。在1949年C.Shannon的《保密系统的通信理论》发表在了贝尔系统杂志上，一方面把密码学从艺术提升到了科学，另一方面也标志着表替代体制密码的结束。

在上述文章发布25年后，1977年美国国家标准局首次公布了数据加密标准DES用于非军事的国家机关，在当时这一体制是牢不可破的，1984年，美国总统颁布法令，NSA每隔5年来重新评定DES安全性。1998年，NSA正式放弃DESS加密算法，而征求AES加密算法。

与此同时，在70年代中期Diff-Hellman率先提出公钥密码的构想，之后Ron Rivest、Adishamirh和LenAdleman 3人开创了RSA算法为公钥体系打下坚实基础。在这之后几十年，以RSA为起点，密码学已经不仅仅是通讯加密的研究，也逐步扩展到数据完整性、数据签名等研究，同时数据安全也越来越成为信息安全的核心内容。

时间进入现代，人们对信息安全的需求不仅仅是密码信息保护了。1992年8月Ronald L.Rivest向IEIF提交了一份重要文件，其中说明了信息数字签名的看法，并且提出了MD5，此后MD5广泛应用于文件完整性检查诸如下载文件的完整性检查等，然而随着碰撞技巧提升，2004年王小云证明MD5数字签名算法可以产生碰撞。而2007年，Marc Stevens等人进一步指出通过伪造软件签名，可重复性攻击MD5算法。从而MD5-128分组已被攻破，此时NIST开始公布SHA的算法，使得分组达到160位最小。

现代计算机网络安全已经逐步形成了数字签名、网络防欺骗、访问控制等多种安全体制和安全服务。由于IP正要过度到IPV6，因而安全问题还将不断出现在人们的面前，人们会越来越明白计算机很脆弱。

近年来，随着时间推移，与计算机网络发展相对应的，汽车行业网联化趋势愈演愈烈后，汽车信息安全的需求和框架标准也呼之欲出。

汽车信息安全的元年显然是2015年吉普自由光的事件，自此汽车信息安全也逐步出现在汽车研发人员的视野里面，但目前依然处于起步阶段。我们可以从标准角度来评估当前的发展水平。

从2016年SAE发布的J3061到如今即将发布的ISO/SAE 21434(预计2020年底或2021年初发布)，其本身只提供了汽车信息安全流程管理框架，信息安全防护的作用的是充分保护道路车及车内电子电器组件相关的资产及功能免受威胁的情况。

从ISO 21434标准目前DIS版本可以看到，相关章节为信息安全CAL等级的定义提供了参考：



其真正含义是，当某种威胁的攻击和影响的组合超过我们所定义的CAL等级之后，信息安全人员需要采取防御措施或风险转移、分享等手段降低风险阈值，从而达到威胁的攻击影响组合低于某CAL等级。

2  技术要点不同

汽车功能安全及信息安全的开发要点对比

关于汽车功能安全与信息安全，在 J3061里面其实有详细的描述，尽管框架基本相同，但是关键的技术要点上，还是有所不同，为了方便大家理解，我们整理其中要点作为对比，具体表格内容如下：




3  案例分析：激光雷达

功能安全分析：ISO 26262

安全目标：防止激光雷达错误输出至下游模块
安全ASIL：B
FTTI：10s
安全状态：一旦激光雷达出现异常输出，则直接进入待机模式，并进行输出值与机器学习典型值比较，如果与典型性类似，则在之后恢复激光雷达功能

预期功能安全分析：ISO 21448

造成激光雷达异常输出的原因可能有
小目标1：环境因素
小目标2：器件可靠性因素
小目标3:安全规格书不足
小目标4：性能不足或功能缺陷
小目标5：信息安全类攻击

以上去找寻各个可能，举例子，查出因为环境因素因为天气原因及环境因素欠佳，造成此类异常，而后分解到硬件传感器的时间，这一块不要和功能安全耦合在一起，分开独立进行，降低sotif风险即可，和ftti关系不大。

信息安全分析：ISO 21434

黑客攻击激光雷达，明显完整性和保密性做的不好。然而虽然激光雷达是safety相关，但等级不高，整车上域控制器前端做重点防护即可，在激光雷达上用速度比较快的加密算法以及通讯以太网app层，datalink层增加即可。
硬件上做好HSM很关键，最重要也有增加trustedanchor，来自美国的做法，难度在器件升级，以及响应速度，基本是做在内存以及cpu主通道防护。这些影响的是hw的速度。


4  最后的总结

1. 功能安全与信息安全技术视角不同，前者是为了保障功能按照设计要求正常进行，尽量减少因系统设计问题导致的功能失效，同时也尽可能的保证功能按照预期功能实现。。

2. 信息安全主要防止外界攻击更注重于在外界攻击情况下，可以抵御外界攻击，使得系统正常运行，不产生财产损失，同时不会对个人的隐私和安全造成一定的影响。

3. 成熟度不同，汽车功能安全的发挥已经有数十年的积累，而汽车信息安全随着汽车技术发展，如今依然处于学术研究和白帽研究攻击的阶段。