紫金山實(shí)驗(yàn)室李玉峰：國產(chǎn)車控OS與中國原創(chuàng)安全技術(shù)相結(jié)合是提升汽車軟件安全新路徑

近日，在2022云棲大會智能汽車產(chǎn)業(yè)峰會上，上海大學(xué)教授、紫金山實(shí)驗(yàn)室車聯(lián)網(wǎng)內(nèi)生安全學(xué)術(shù)帶頭人、上海市智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同創(chuàng)新主任李玉峰就“汽車軟件內(nèi)生安全問題與廣義魯棒控制技術(shù)”進(jìn)行主題演講。

就智能網(wǎng)聯(lián)汽車軟件而言，李玉峰指出，汽車工業(yè)發(fā)展至今，依然是承載生命的交通工具，因此，“軟件定義汽車”新趨勢下，新軟件“上車”依然必須堅(jiān)持為生命服務(wù)、為生命負(fù)責(zé)。

根據(jù)普華永道的預(yù)測，到2030年，汽車軟件占汽車總價值的比例將會達(dá)到60%以上。作為汽車的基礎(chǔ)軟件，操作系統(tǒng)既是智能汽車的“新引擎”，又是“軟件定義汽車”的起點(diǎn)。在汽車操作系統(tǒng)中，既有面向信息娛樂和智能座艙的車載操作系統(tǒng)，也有對實(shí)時性、安全性、可靠性等方面要求極高的“車控”操作系統(tǒng)。

李玉峰指出，汽車沒有聯(lián)網(wǎng)前，可以說沒有網(wǎng)絡(luò)安全(Security)問題。網(wǎng)聯(lián)化為汽車發(fā)展帶來了新的動能，但世界上任何事物都有兩面性，網(wǎng)聯(lián)化也使得汽車行業(yè)不得不面臨網(wǎng)絡(luò)安全問題的新威脅，而且，隨著網(wǎng)聯(lián)化的深入，功能安全網(wǎng)絡(luò)安全之間的界限正逐步“坍塌”：網(wǎng)聯(lián)化使許多跟駕駛安全直接相關(guān)的E/E部件變成網(wǎng)絡(luò)攻擊可達(dá)。設(shè)計(jì)缺陷帶來的故障和基于漏洞的網(wǎng)絡(luò)攻擊交織，使得傳統(tǒng)上單純的功能安全(Safety)問題演變?yōu)镾afety&Security (S&S) 交織后的安全問題：旨在破壞物理過程的網(wǎng)絡(luò)攻擊與設(shè)計(jì)缺陷導(dǎo)致的功能故障一樣，都能造成事故。而且攻擊者能夠利用相同漏洞后門同時造成大規(guī)模車輛事故。

李玉峰強(qiáng)調(diào)，“車控”系統(tǒng)作為一種跟人身安全高度相關(guān)的系統(tǒng)，既要滿足網(wǎng)絡(luò)安全要求，還必須滿足功能安全要求。操作系統(tǒng)作為硬件資源的管理者和應(yīng)用軟件的服務(wù)提供者，是整個“車控”系統(tǒng)的核心和基石。當(dāng)前，車控操作系統(tǒng)大都被QNX等國外商業(yè)實(shí)時操作系統(tǒng)(RTOS)所壟斷。

據(jù)了解，包括斑馬智行在內(nèi)的國內(nèi)企業(yè)正在向“車控”操作系統(tǒng)開展國產(chǎn)化攻堅(jiān)，并已經(jīng)取得了非常積極的成果。斑馬智行首席信息安全專家李斕告訴記者，在這條攻堅(jiān)道路上，面臨許多的挑戰(zhàn)，其中之一就在于實(shí)時性的功能安全與網(wǎng)絡(luò)安全一體化保障難題。斑馬智行正在跟國內(nèi)安全團(tuán)隊(duì)積極研討，期望用中國原創(chuàng)的安全技術(shù)與自主可控的車控操作系統(tǒng)結(jié)合，探索一條車控操作系統(tǒng)安全新路徑;李斕說，這是一個可以實(shí)現(xiàn)的目標(biāo)，也是一個巨大機(jī)會，有望能夠在復(fù)雜的智能網(wǎng)聯(lián)汽車安全世界中成為領(lǐng)先者。

談及功能安全與網(wǎng)絡(luò)安全的關(guān)系，李玉峰認(rèn)為，功能安全與網(wǎng)絡(luò)安全的交織問題非常復(fù)雜，二者之間既有相互獨(dú)立、相互依賴、相互補(bǔ)充的關(guān)系，還有相互沖突的關(guān)系。以相互沖突為例，加密、認(rèn)證、防火墻、入侵檢測等經(jīng)典“附加式”技術(shù)措施引入到車內(nèi)網(wǎng)后，顯然能夠提升網(wǎng)絡(luò)安全的防御水平，但是，這類“附加式”措施卻可能會損害功能安全。比如，加密和認(rèn)證技術(shù)能夠提升網(wǎng)絡(luò)安全水平，但同時必然會給通信增加延遲，這對實(shí)時性要求極高的“車控”類信息來說可能就會影響功能安全性;再比如，防火墻、入侵檢測加入車內(nèi)網(wǎng)后，能在一定程度上有效抵御外部攻擊，但防火墻、入侵檢測本身的可靠性可能就會影響車控系統(tǒng)的整體可靠性，為功能安全帶來新風(fēng)險。

李玉峰進(jìn)一步指出，學(xué)術(shù)界和產(chǎn)業(yè)界已經(jīng)開始關(guān)注和聚焦這一問題，總體來說，功能安全與網(wǎng)絡(luò)安全領(lǐng)域的專家已經(jīng)認(rèn)識到需要對二者并案處理之。當(dāng)前的許多研究正在圍繞與推進(jìn)ISO26262(功能安全標(biāo)準(zhǔn))和ISO21434(網(wǎng)絡(luò)安全標(biāo)準(zhǔn))兩個流程的疊加整合上，但現(xiàn)實(shí)情況是兩種風(fēng)險，兩種基本機(jī)理和成因，兩類技術(shù)措施，兩種文化，兩方力量都在處于互相協(xié)同的初級階段，許多基礎(chǔ)理論缺失，各個階段的許多支撐性的前沿技術(shù)待突破。研究發(fā)現(xiàn)，ISO26262與ISO21434的V模型“疊加”解決方案，并不能完全解決功能安全與網(wǎng)絡(luò)安全交織問題。因?yàn)?，交織問題顯然有“加法”效應(yīng)：兩個領(lǐng)域原來各自解決不了的問題，疊加后還是解決不了;而且，交織區(qū)域新產(chǎn)生了“乘法”效應(yīng)，各自流程中存在的問題會因交織“涌現(xiàn)”出新問題、新風(fēng)險，尤其是二者的沖突問題，依靠“兩張皮”疊加的方案很難解決它，需要一體化的融合解決方案才有可能完全破解之。

李玉峰告訴記者，針對這一行業(yè)難題，我國學(xué)界提出的內(nèi)生安全-廣義魯棒控制技術(shù)，能夠通過動態(tài)、異構(gòu)、冗余的廣義魯棒控制新構(gòu)造，在提供高可靠性的同時，還能有效應(yīng)對基于軟件未知漏洞、未知后門的網(wǎng)絡(luò)攻擊，給出了一種智能網(wǎng)聯(lián)汽車功能安全和網(wǎng)絡(luò)安全一體化內(nèi)生保障的新方法。未來，加快國產(chǎn)車控OS與中國原創(chuàng)安全技術(shù)相結(jié)合是提升汽車軟件安全新路徑。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）