随着汽车技术的发展,功能安全和信息安全也逐步成为了汽车研发的热点,同样是安全,那它们到底有哪些区别呢?是否可以完美的融合在系统开发过程中?笔者有幸于此撰文描述,期待抛砖引玉,能够引出更为深刻的行业探讨。
Part 1发展历史不同
1.1 功能安全的历史
功能安全肇始于20世纪70年代美国计划后电子工业对于非合理风险的管控,同时因切尔诺贝利核泄漏而加强的核工业安全,可看到如下Farmer曲线:
Note:图片源至BING搜索
Farmer曲线表明,人对风险有一条红接受曲线,横轴是严重度,纵轴是风险概率,当事件点(严重度,发生概率)在曲线上时,人是临界风险接受状态,而当事件点(严重度,发生概率)高于曲线时,人是不能接受该事件,如果事件点低于该曲线,则人可以接受该事件。
沿着该思路,IEEE协会将其运用在电子工业上,于2000年代生成第一版IEC61508,并定义了安全完整性等级(Safety Integrity Level),而随后的汽车电子工业从2008年开始致力于IEC61508在汽车上的运用,并最终于2011年,完成了ISO26262的正式诞生。
ISO26262的诞生,其ASIL矩阵如下,我们稍微改变组合,数轴变成E和C的组合,而横向为S值,此处我们可以得到Farmer曲线在红部分。红曲线上方的ASIL级别在ASILA或以上,而红曲线下方的ASIL级别是QM,非安全相关。
汽车功能安全在Farmer曲线定义之后,其技术上有两个假设前提:
- 人不是完美的,是肯定会犯错,所以存在系统性失效
- 物质本身不是完美的,所以存在硬件随机性失效
以上两个前提也是汽车功能安全所需要考虑的两大失效类型。
1.2 汽车预期功能安全的历史
伴随着汽车智能化浪潮,随着SAE在2016年对智能汽车分级以来,汽车的预期功能安全随
之诞生,这个概念源之于
- 电子电器系统自身性能缺陷
- 电子电器系统自身功能局限
- 或
- 人的非合理误用
而引起的非合理风险,在正式发布的ISO PAS 21448版本中,其本身主要将风险划分为四个区域:
ZONE 1: 已知安全场景
ZONE 2: 已知不安全场景
ZONE 3: 未知不安全场景
ZONE 4: 未知安全场景
如上四个区域,预期功能安全的目标是将ZONE2和ZONE的风险降低到可以接受的低水平。从目前主流的方法来说,预期功能安全主要的做法是:
-增强单个电子电器系统的可靠性
汽车-增强单个电子电器系统的质量
-增强场景的仿真、虚拟、模拟路试等
-
增强人机交互系统可信性及人误用概率降低
-etc
1.3 信息安全的历史
信息安全本身存在的有两个前提:
-世界上存在有攻击资产的人:系统外或资产外肯定存在外部威胁和攻击(可以有形和无形)
-资产保护体系不能100%防御:资产所在系统内在防控设计体系不完美
上述两个假定是整个信息安全的前提,而信息安全的历史可以追溯到公元前古罗马恺撒大帝时期,彼时出现的恺撒密码是一种替换加密的技术,明文中的所有字母都在字母表上向后(或向前)按照一个固定数目进行偏移后被替换成密文。例如,当偏移量是3的时候,所有的字母A将被替换成D,B变成E,以此类推。
由于上述单表密码通过概率的方式及其容易就被破解,16世纪时,亨利3世改进了单表加密的恺撒密码体制,形成了维吉尼亚密码体制,这以后密码正式进入了多表密码体制的时代,在随后的美国南北战争,多表替代体制大放异彩,Vigenere密码和Beaufort密码是多表代替密码的典型例子。与此同时,密码破译技术也在飞速进步。W.Firedman在1918年所做的使用重合指数破译多表密码成为密码学上的里程碑。在1949年C.Shannon的《保密系统的通信理论》发表在了贝尔系统杂志上,一方面把密码学从艺术提升到了科学,另一方面也标志着表替代体制密码的结束。
在上述文章发布25年后,1977年美国国家标准局首次公布了数据加密标准DES用于非军事的国家机关,在当时这一体制是牢不可破的,1984年,美国总统颁布法令,NSA每隔5年来重新评定DES安全性。1998年,NSA正式放弃DESS加密算法,而征求AES加密算法。
与此同时,在70年代中期Diff-Hellman率先提出公钥密码的构想,之后Ron Rivest、Adishamirh和LenAdleman 3人开创了RSA算法为公钥体系打下坚实基础。在这之后几十年,以RSA为起点,密码学已经不仅仅是通讯加密的研究,也逐步扩展到数据完整性、数据签名等研究,同时数据安全也越来越成为信息安全的核心内容。
时间进入现代,人们对信息安全的需求不仅仅是密码信息保护了。1992年8月Ronald L.Rivest向IEIF提交了一份重要文件,其中说明了信息数字签名的看法,并且提出了MD5,此后MD5广泛应用于文件完整性检查诸如下载文件的完整性检查等,然而随着碰撞技巧提升,2004年王小云证明MD5数字签名算法可以产生碰撞。而2007年,Marc Stevens等人进一步指出通过伪造软件签名,可重复性攻击MD5算法。从而MD5-128分组已被攻破,此时NIST开始公布SHA的算法,使得分组达到160位最小。
现代计算机网络安全已经逐步形成了数字签名、网络防欺骗、访问控制等多种安全体制和安全服务。由于IP正要过度到IPV6,因而安全问题还将不断出现在人们的面前,人们会越来越明白计算机很脆弱。
近年来,随着时间推移,与计算机网络发展相对应的,汽车行业网联化趋势愈演愈烈后,
汽车信息安全的需求和框架标准也呼之欲出。
汽车信息安全的元年显然是2015年吉普自由光的事件,自此汽车信息安全也逐步出现在汽车研发人员的视野里面,但目前依然处于起步阶段。我们可以从标准角度来评估当前的发展水平。从2016年SAE发布的J3061到如今即将发布的ISO/SAE 21434(预计2020年底或2021年初发布),其本身只提供了汽车信息安全流程管理框架,信息安全防护的作用的是充分保护道路车及车内电子电器组件相关的资产及功能免受威胁的情况。
发布评论