车载信息娱乐系统的TARA分析

在现代汽车中，信息娱乐高性能计算（HPC）系统通过提供音乐、导航、通信、娱乐等高级功能，在增强驾驶员和乘客体验方面发挥着至关重要的作用。该系统利用 Wi-Fi、蜂窝网络、NFC、蓝牙等技术确保持续的互联网连接以获取信息。然而，车辆信息技术连接的日益复杂引发了网络安全担忧，包括数据泄露和敏感信息泄露。为了提高汽车信息娱乐系统的安全性，本研究使用微软的 STRIDE（欺骗、篡改、抵赖、信息泄露、拒绝服务和特权提升）工具在组件级别进行威胁建模，并使用 SAHARA（安全感知危害分析和风险评估）和 DREAD（损害、可重复性、可利用性、受影响用户和可发现性）方法进行风险评估，以评估相关风险。它提供了威胁、相关风险和应对网络安全攻击的通用缓解策略的系统表示。通过威胁建模过程，识别出 34 个潜在的安全威胁。该研究还提供了一个比较分析，以计算威胁的风险值，以便优先处理。在将信息娱乐 HPC 系统部署到现实世界的汽车中之前，需要考虑这些已识别的威胁和相关风险，以避免潜在的网络攻击。

01、引言

信息娱乐 HPC 系统集成了信息和技术，以增强汽车驾驶员和乘客的安全性和便利性。这种集成包括各种因素，如乘客的移动设备、周围车辆、远程服务器、驾驶员、交通基础设施、环境等。据预测，到 2035 年，几乎所有新车都将具备互联网连接。这种集成可以提供许多优势，例如，由于车辆始终连接到互联网，因此可以访问各种信息。但问题是该系统容易受到来自对手的网络攻击。汽车与更广泛服务的互联增加了安全漏洞，汽车黑客事件的报道也越来越频繁。所有这些事实都促使人们重视汽车领域的安全研究。

汽车的信息娱乐系统与复杂网络紧密连接，形成了一个增强驾驶体验的复杂生态系统。这些系统与各种网络无缝集成，包括互联网、连接电子控制单元（ECU）的车内局域网（VAN）、汽车传感器以及 Wi-Fi 等无线技术，如图 1 所示。互联网连接可实现实时导航更新、流媒体服务和空中软件更新。内部 VAN 确保不同车辆组件之间的高效数据交换，而 Wi-Fi 连接可实现与智能手机的免提通话和媒体流传输。远程信息处理系统利用蜂窝网络进行远程诊断和车辆跟踪，连接到云并使用 GPS 访问位置相关信息。这种网络连接还促进了与其他车辆、设备和个人的通信。这种复杂的异构网络连接不仅为驾驶员和乘客提供了许多功能，也带来了网络安全挑战，促使人们不断努力保护联网车辆免受潜在威胁。

图1:汽车信息娱乐HPC系统的异构连接

车载信息娱乐（IVI）系统除了传统的导航、收音机播放和多媒体功能等远程功能外，还使用包括 Wi-Fi 连接在内的车载网络服务，在车辆与外部世界之间建立链接。由于这些远程接口和互联服务的存在，系统可能容易受到潜在漏洞的影响。对手可能试图通过远程进行未经授权的操作来利用系统的弱点]。在文献中，检测到 IVI 系统服务存在漏洞，因为攻击者试图通过 Wi-Fi 接口获得 root 权限并建立远程访问。这种访问可能导致系统配置的操纵，攻击者可能获得敏感用户信息。由于用户在驾驶时可以通过蓝牙访问个人信息，这也可能成为攻击者的攻击面。现有的对策可能不足以应对这些形式的攻击。

车载应用可能面临安全挑战，尤其是与组件间通信（ICC）相关的挑战已在文献中受到关注。据发现，恶意应用可能能够操纵或欺骗系统，导致潜在的敏感用户数据暴露于未经授权的访问。控制器局域网（CAN）总线存在一个漏洞，由于网络的总线拓扑结构，广播传输面临风险。 ECU 之间在整个网络中交换消息时无需身份验证或加密，这构成了严重威胁。CAN 总线中的这一漏洞可能被攻击者利用，导致潜在的车辆攻击，甚至通过传输欺骗性消息完全接管 ECU。为应对这些挑战，研究人员开发了旨在缓解这些安全风险的框架。

攻击者可以绕过车辆中的安全关键系统，控制汽车功能，并可能损害驾驶性能。Khan 等人引入了一种基于微软 STRIDE 的信息物理系统框架，该框架侧重于组件漏洞及其相互依赖关系，从而增强安全性。然而，解决每个组件中的漏洞对于防止整个安全系统失控至关重要。威胁分析和风险评估（TARA）的纳入变得至关重要，通过分析潜在威胁并实施相应的缓解策略来维持可接受的风险水平。值得注意的是，该框架主要在概念设计阶段进行理论威胁分析，而不是在车辆发布后的安全评估阶段。基于这些研究，需要解决这些问题以增强现代汽车的安全性。

为了提高 IVI 系统的安全性，本文侧重于使用微软威胁建模工具 STRIDE 在组件级别识别安全漏洞和威胁。它还侧重于使用风险评估方法，特别是 SAHARA 和 DREAD 来计算风险值，以确定威胁的潜在风险。它提供了两种方法的比较分析，基于此，可以很容易地理解哪些威胁需要首先优先缓解。最后，提供了通用的缓解策略，最终导致 IVI 系统安全性的整体提高。

02、方法论

本研究的动机是进行威胁建模、风险评估，并提供缓解策略以应对 IVI 系统的潜在威胁。这是通过采用图 2 所示的方法来实现的。

图2:循序渐进的研究方法

在该过程中，用例场景解释了对手可能通过何种方式发动攻击。考虑拟议开发信息娱乐系统的组件非常重要。为了实现研究目标，第一步包括识别和概述系统组件，然后创建数据流图（DFD）。随后，使用 STRIDE 进行威胁建模，生成威胁报告，概述已识别的威胁。此外，使用 SAHARA 和 DREAD 方法进行风险评估，从而计算风险值。根据已识别的威胁，提出了通用防御机制以增强安全性。

2.1 用例场景

车载计算机控制汽车信息娱乐系统中发生的所有操作。驾驶员可以使用近场通信（NFC）、蓝牙、Wi-Fi 和蜂窝网络（3G/4G/5G）传输数据和信息。车载计算机使用 CAN 总线与汽车的子系统进行通信。在与外界通信或传输数据时，数据路径可能会受到对手的攻击，如图 3 所示。攻击者是指任何从事不利行为以破坏、暴露、禁用、窃取、未经授权访问或以其他方式滥用资源的个人、团体或实体。本文仅将 NFC、蓝牙、Wi-Fi 和蜂窝网络以及 CAN 总线视为攻击面，但其他表面也可能成为攻击者的攻击点。

图3:汽车信息娱乐HPC系统研究范围的用例场景

2.2 拟议的系统组件

汽车信息娱乐系统的关键组件及其功能和交互如图 4 所示。每个组件接收输入并生成输出以执行特定操作。该系统包括车载计算机、NFC、视频缓冲区、触摸屏控制器、触摸屏、后屏幕、带麦克风和扬声器的汽车音频系统、摄像头、Wi-Fi 和蜂窝网络、数字收音机、蓝牙、USB 接口、便携式媒体播放器、CAN 总线、汽车自动化网络、GPS 和温度传感器。

图4:设计IVI HPC系统所需的拟议系统组件

典型的 IVI 系统以车载计算机为中心，车载计算机是系统的处理器，所有其他系统元件都通过物理或无线方式连接到该处理器。核心人机界面（HMI）包括放置在仪表板上的大型触摸屏，方便驾驶员操作。NFC 支持设备之间的无线通信，允许通过简单的触摸进行安全交易和设备连接。视频缓冲涉及预加载流媒体视频内容的数据段，这些数据段存储在内存的保留部分中。触摸屏控制器是将触摸屏传感器连接到触摸屏设备的电路。如果车辆配备了后座，乘客可以在前排座椅头枕后面的显示器上播放来自各种来源的媒体，其功能类似于智能电视。视频缓冲区、触摸屏控制器和后屏幕都连接到触摸屏和车载计算机，允许车载计算机进行数据处理，并通过触摸屏进行输入控制。

汽车的音频系统配备有麦克风和扬声器，用于用户的音频输入和输出，允许进行多媒体播放和免提通话。摄像头捕获视觉数据，用于后视显示和驾驶员辅助等功能。Wi-Fi 和蜂窝网络提供无线连接，用于数据通信和互联网访问，使驾驶员在驾驶时能够访问网页内容、流媒体和电子邮件。数字收音机接收和处理数字信号以进行音频播放。蓝牙支持与智能手机等外部设备的无线通信，而 USB 接口允许数据传输和设备充电。

便携式媒体播放器播放来自外部设备的多媒体内容。CAN 总线促进车辆中不同 ECU 之间的通信，而汽车自动化网络则促进不同车辆系统之间的通信，以实现自动化和控制。最后，GPS 和温度传感器提供位置和温度数据，用于导航和气候控制功能。总体而言，拟议的信息娱乐系统包括广泛的组件，这些组件协同工作，为车内用户提供更好的信息娱乐体验。

2.3 数据流图（DFD）

在图 5 中，DFD 全面描述了所有系统组件及其相应的数据流。流程，如车载计算机、NFC、触摸屏控制器、后屏幕、汽车音频系统、蓝牙、Wi-Fi 和蜂窝网络、USB 接口、CAN 总线和汽车自动化网络，被用来说明它们如何接收输入数据、执行操作和生成输出。图中描述的数据流表示不同系统组件之间的信息传输。视频缓冲区被表示为数据存储，负责临时存储视频数据。外部实体，包括触摸屏、扬声器、麦克风、摄像头、数字收音机、便携式媒体播放器、GPS 和温度传感器，被描述为进入或离开系统的信息的来源或目的地。流程用圆圈表示，数据流用箭头表示，数据存储用空心矩形表示，外部实体用矩形表示。

图5：DFD基于IVI HPC系统的组件（考虑的组件：车载计算机、NFC、Wi-Fi和蜂窝网络、蓝牙、CAN总线）

2.4 使用 STRIDE 进行威胁建模

威胁建模是识别、分类和优先排序危险的方法，有助于开发针对威胁的有效防御措施。简单地说，它旨在解决以下问题：“系统可能在哪些方面容易受到威胁？”、“哪些威胁最重要？” 以及 “系统的弱点在哪里？” 根据美国国家标准与技术研究院（NIST）的特别文件，威胁模型包括解决逻辑实体（无论是数据、主机、应用程序、系统还是环境）的进攻和防御维度的能力。

尽管存在各种威胁建模模型，如 PASTA、攻击树、CVSS等，但本文使用了 STRIDE 威胁建模工具。这一选择是基于该工具在学术界和工业界的广泛接受，以及它在组件级别识别威胁的能力。它是微软提供的开源工具，免费使用。它专门侧重于识别应用程序安全中的漏洞和弱点。

微软 STRIDE 是一种识别网络安全威胁的工具，利用一个首字母缩写词，涵盖六个不同的威胁类别：欺骗、篡改、抵赖、信息泄露、拒绝服务和特权提升。这些类别与真实性、完整性、不可抵赖性、机密性、可用性和授权一致。信息娱乐系统的每个组件都可以通过 STRIDE 方法进行分析，并容易受到每个类别中的一个或多个威胁。表 1 概述了与特定威胁类别相关的安全属性。如表 1 所示，外部实体面临两个威胁类别，流程容易受到所有六个威胁类别的影响，单向数据流涉及三个威胁类别，数据存储容易受到三个威胁类别的影响。值得注意的是，一个组件可能在单个类别中面临多个威胁。

表1:对每个DFD元素的威胁进行分类

STRIDE 工具通过展示 DFD 启动威胁建模过程。随后，基于该 DFD 生成威胁报告，包括威胁类别、威胁描述和建议的缓解策略。图 6 说明了涉及 STRIDE、NFC 到车载计算机（NFC_to_OBC）的交互。根据 STRIDE 工具，为这种交互识别了三种不同的威胁 —— 拒绝服务、信息泄露和篡改。当数据从 NFC 流向车载计算机时，它可能以这些方式成为攻击者的目标。同样，为信息娱乐系统的其他交互生成威胁报告。

图6:在数据流上实现STRIDE

2.5 风险评估方法

现代车辆的复杂架构可能容易受到网络攻击，因为整个系统是每个互联组件相关风险的组合。最近，研究人员发现各种宝马系列的信息娱乐系统中存在 14 个漏洞。这凸显了在整个开发过程中解决与威胁相关的风险的紧迫性。根据 NIST 的定义，风险被定义为 “一个实体受到潜在情况或事件威胁的程度的衡量标准，通常是以下因素的函数：（i）如果情况或事件发生，将产生的不利影响；（ii）发生的可能性”。同时，风险评估被解释为 “识别、估计和优先排序对组织运营（包括任务、职能、形象或声誉）、组织资产、个人和其他组织的风险的过程，这些风险是由系统的运行引起的”。

2.5.1 SAHARA

SAHARA 方法将汽车 HARA（危害分析和风险评估）方法与面向安全的 STRIDE 框架相结合。SAHARA 方法采用 HARA 方法的一个基本要素，即汽车安全完整性等级（ASIL）的定义，来评估 STRIDE 分析的结果。威胁是根据 ASIL 量化来评估的，考虑到执行威胁所需的资源（R）和专业知识（K），以及其威胁临界性（T）。可能危及安全目标（T=3）的安全威胁可以交给 HARA 流程进行进一步的安全分析。

表 2 提供了 K、R 和 T 值的每个量化等级的资源、专业知识和威胁级别的示例]。这三个因素共同定义了一个安全级别（SecL），如表 3 所示 。该 SecL 有助于确定应考虑的适当数量的对策。

表2：说明安全威胁的K、R和T值分类的示例

表3:SecL确定矩阵-通过评估R、K和T的值来推导安全级别

2.5.2 DREAD

DREAD 是一种风险评估方法，其名称对应于五个评估标准：损害、可重复性、可利用性、受影响用户和可发现性。DREAD 有可能对系统设计进行更全面的分析。DREAD 首字母缩写词的含义如下：

• 损害（D）：表示攻击的潜在影响。

• 可重复性（R）：表示攻击的容易复制程度。

• 可利用性（E）：评估执行攻击所需的努力。

• 受影响用户（A）：将受到影响的人数。

• 可发现性（D）：衡量识别威胁的容易程度。

如表 4 所示，DREAD 方法对每个威胁的评级方案涉及从 1 到 3 分配点数，累计 15 点表示最严重的风险。

表4:DREAD模型评级方案（3代表高风险，2代表中等风险，1代表低风险）

DREAD 风险可以计算如下

在对分数进行求和后，结果可能在 5-15 范围内变化。随后，威胁可以分类为：总评级为 12-15 的被视为高风险，评级为 8-11 的表示中等风险，评级为 5-7 的被视为低风险。

03

威胁评估和风险评级

本节概述了对威胁和与威胁相关的风险的评估。

3.1 分析威胁

进行威胁建模是为了评估与 DFD 中的主要数据流和流程相关的网络攻击的可能性。假设信任边界中标记的两侧是安全的。然而，并非 DFD 的所有组件都被分析潜在威胁。信息和命令通过 NFC、Wi-Fi 和蜂窝网络以及蓝牙传输，而 CAN 总线负责与车辆中的 ECU 通信。因此，这些点可能成为对手未经授权访问的潜在目标。这种未经授权的访问可能使他们能够操纵信息娱乐系统、访问个人数据、控制车辆组件或破坏正常系统操作。因此，必须承认汽车信息娱乐系统中存在安全问题的可能性。

威胁建模未在视频缓冲区、触摸屏控制器、后屏幕、触摸屏、汽车音频系统、扬声器、摄像头、麦克风、数字收音机、GPS 和温度传感器上进行，因为这些组件没有数据或文件传输功能。此外，USB 接口和便携式媒体播放器也未进行威胁建模，因为它们必须物理插入系统。仅考虑跨越信任边界的威胁，即车载计算机、NFC 到车载计算机（NFC_to_OBC）、车载计算机到 Wi-Fi 和蜂窝网络（OBC_to_Wi-Fi）、Wi-Fi 和蜂窝网络到车载计算机（Wi-Fi_to_OBC）、车载计算机到蓝牙（OBC_to_Bluetooth）、蓝牙到车载计算机（Bluetooth_to_OBC）、车载计算机到 CAN 总线（OBC_to_CB）和 CAN 总线到车载计算机（CB_to_OBC）。

3.2 识别的威胁

通过利用 STRIDE 威胁建模工具，组织可以通过分析每个类别来有效识别潜在威胁，因为它涵盖了六个类别。这使组织能够评估每个类别中攻击的可能性和影响，优先考虑安全工作。有了这些信息，组织可以制定可能的缓解策略，以保护其系统和网络免受各种潜在威胁。

3.3 威胁评级

前面讨论的 SAHARA 方法满足汽车开发早期阶段（概念级别）分析安全威胁的要求。尽管它侧重于单个车辆开发，并在初始开发阶段识别安全威胁和安全风险，但该方法的相互依赖性值得注意。通过电池管理系统用例展示了 SAHARA 方法在符合 ISO 26262 的开发中的适用性，与传统 HARA 方法相比，识别危险情况的数量增加了 34%。因此，本工作集成了 SAHARA 方法进行风险评估。

因此，采用另一种风险评估方法 DREAD 来量化威胁。通过根据威胁的相关风险对威胁进行量化，将优先考虑风险级别最高的威胁。这种策略通过首先解决影响最大的威胁来优化风险管理。这就是为什么采用 DREAD 分类方案，该方案在促进对系统设计进行更复杂的分析方面显示出潜力。

SAHARA 分析通过常规流程进行，包括确定 SecL。此外，采用 DREAD 方法来对比这两种评级系统之间的差异。值得注意的是，调整后的 DREAD 威胁分类方案被证明更适合评估远程网络安全攻击和影响整个车辆运行的攻击。这种适用性源于其与潜在损害和对受影响用户的影响相关的分类因素。尽管存在许多风险评估方法，但本文选择使用 SAHARA 和 DREAD，因为它们能够在系统级别量化对安全相关汽车开发的安全影响。这些方法特别适合评估可能影响车辆运行的远程网络安全攻击。

SAHARA 方法为威胁 1 的风险值计算指定了 K 值为 2（表示中等要求）和 R 值为 2（表示中等资源）。然而，由于 T 值为 3，对手欺骗车载计算机上进程的威胁导致高临界性水平。累积值导致 SecL 值为 1，表示高优先级。

同时，D、R、E 和 A 均获得 DREAD 值 3（表示高影响），而 D 获得值 2（表示中等影响）。累计得分达到 13，将其归类为高优先级威胁。使用 SAHARA 和 DREAD 方法计算的所有威胁的风险值如表 5 所示。

表5：使用SAHARA和DREAD威胁评级方法对威胁进行分类

04、结果与讨论

本节讨论了将 STRIDE 威胁模型应用于 DFD 以及将风险评估方法 SAHARA 和 DREAD 应用于威胁后产生的威胁和风险。此外，还概述了针对 STRIDE 威胁类别的拟议防御机制。

4.1 产生的威胁和风险

在识别网络安全威胁的过程中，微软 STRIDE 工具被应用于 DFD 中选定的组件、数据流、数据存储和外部实体。这些工作导致识别出总共 34 个威胁，系统地分为六个 STRIDE 类别。

需要注意的是，从用例场景中得出的所有已识别威胁都可能是主观的，并且在不同场景中可能会有所不同。在将信息娱乐 HPC 系统部署到现实世界的汽车中之前，必须考虑这些已识别的威胁，以确保系统的安全性。

为了对已识别的威胁进行风险评估，同时使用了 SAHARA 和 DREAD 方法。风险值按优先级分类，包括高、中、低。使用 SAHARA 方法，29 个威胁被归类为高优先级，没有威胁属于中等风险，5 个威胁被归类为低优先级。使用 DREAD 方法，31 个威胁被识别为高优先级，3 个为中等优先级，没有低优先级威胁。两种方法中需要立即关注的高优先级威胁数量几乎相似。具有重要风险值的高优先级威胁被强调为首要任务，需要立即实施对策。

4.2 针对 STRIDE 的通用防御机制

为了确保系统的安全性和完整性并保护其免受潜在危害，应实施一系列防御机制。具体而言，在处理与欺骗相关的威胁时，实施多因素身份验证或生物特征身份验证方法被证明在缓解系统内的这些威胁方面非常有效。为了应对篡改攻击，必须采用加密和数字签名技术，这可以增强系统对未经授权的更改和数据操纵的抵抗力。

05、结论

汽车行业中安全与安保考量的融合给信息娱乐 HPC 系统带来了潜在威胁。防范网络安全和隐私泄露需要为汽车系统开发适当的威胁检测和恢复方法。解决这些问题对系统的实际实施很重要。我们的研究利用 STRIDE 威胁建模工具，承担了识别、分类和列举信息娱乐 HPC 系统的 34 个网络安全威胁的任务。还对产生的威胁进行了风险评估方法（SAHARA 和 DREAD），并计算了风险值以确定其优先级。针对威胁和风险类别，提供了缓解技术，旨在加强汽车领域安全与安保考量之间的平衡，同时确保汽车内信息娱乐 HPC 系统的安全性。

在未来的工作中，可以对与道路车辆连接的硬件组件进行威胁建模。遵循 ISO/SAE 21434 道路车辆网络安全标准可能能够识别更多威胁，从而增强汽车的整体安全性。

 

来源：谈思实验室