基于AFC-TARA的车载网络组件风险率量化评估分析.pdf

《基于AFC-TARA的车载网络组件风险率量化评估分析.pdf》由会员分享，可在线阅读，更多相关《基于AFC-TARA的车载网络组件风险率量化评估分析.pdf（10页珍藏版）》请在咨信网上搜索。

1、2023 年（第 45 卷）第 9 期汽车工程Automotive Engineering2023（Vol.45 ）No.9基于AFC-TARA的车载网络组件风险率量化评估分析*左政1，王云鹏1，麻斌1，2，邹博松3，曹耀光4，杨世春1（1.北京航空航天大学交通科学与工程学院，北京102206；2.吉林大学通信工程学院，长春130022；3.中国软件评测中心，北京100038；4.北京航空航天大学前沿科学技术创新研究院，北京102206）摘要 信息安全设计的首要步骤是威胁分析与风险评估（threat analysis and risk assessment，TARA），以此确定安全需求和目标，

2、为信息安全正向开发及安全漏洞修复提供依据。然而，当前TARA分析仅能对恶意攻击及安全漏洞的影响进行评估，即不支持对防护策略效用的量化评估。为此，本文提出了一种攻击和修复相结合的威胁分析与风险评估（attack and fix combined threat analysis and risk assessment，AFC-TARA）方法。通过将系统级车载网络架构的安全状态转换为连续时间马尔科夫链模型，并将转移速率与漏洞挖掘、漏洞修复及安全防护策略相关联，进而实现综合考虑攻击变量与防御变量的系统级车载网络架构安全分析与评估。关键词：信息安全；智能网联汽车；威胁分析与风险评估；马尔科夫链模型；恶意

3、攻击；安全防护Quantitative Evaluation and Analysis of On-board Network Components Risk Rate Based on AFC-TARAZuo Zheng1，Wang Yunpeng1，Ma Bin1，2，Zou Bosong3，Cao Yaoguang4&Yang Shichun11.School of Transportation Science and Engineering，Beihang University，Beijing102206；2.College of Communication Engineering，J

4、ilin University，Changchun130022；3.China Software Testing Center，Beijing100038；4.Research Institute for Frontier Science，Beihang University，Beijing102206Abstract The first step of information security design is threat analysis and risk assessment（TARA），which determines security requirements and objec

5、tives，and provides a basis for the forward development of information security and the repair of security vulnerabilities.However，the current TARA can only evaluate the impact of malicious attack and security vulnerabilities，which can t support quantitative evaluation of the effectiveness of protect

6、ion strategies.Therefore，an attack and fix combined threat analysis and risk assessment（AFC-TARA）method is proposed in this paper.By converting the security state of the system-level on-board network architecture into a continuous-time Markov chain model，and associating the vulnerability mining，vuln

7、erability repair and security defense strategy with the transition rate，a system-level on-board network architecture security assessment and analysis that comprehensively considers attack variables and defense variables are finally realized.Keywords：information security；intelligent connected vehicle

8、s；threat analysis and risk assessment；Markov model；malicious attack；security protection doi：10.19562/j.chinasae.qcgc.2023.ep.004*河北省重点研发计划项目（20310801D）和国家重点研发计划（2017YFB0102502）资助。原稿收到日期为 2022 年 09 月 08 日，修改稿收到日期为 2022 年 10 月 09 日。通信作者：杨世春，教授，博士生导师，E-mail：。汽车工程2023 年（第 45 卷）第 9 期前言现代汽车工业正在朝着智能和网联的方向飞

9、速发展，在为人类出行方式和城市交通体系带来积极而深远变革的同时，汽车网络安全问题也日益凸显1-2。为此，国内外学者和研究人员针对智能网联汽车信息安全问题进行了大量的研究3-5。汽车内部电子电气架构由大量ECU组成，这些ECU执行传感、计算、驱动等特定任务，为驾乘人员提供安全、舒适的出行体验。ECU以分布式处理方式实现各类功能，并通过异构网络系统（CAN、LIN、以太网等）进行通信。一旦某一网络节点遭到破坏，将对整个车载网络系统造成严重的安全风险。因此，为保障车载网络系统整体架构的信息安全，需要在汽车电子电气架构设计时，根据整体网络拓扑TARA分析，包括评估每个有信息安全需求的组件可能遭受攻击的

10、路径及各组件在该网络特征下的安全 风 险，并 将 评 估 结 果 作 为 信 息 安 全 设 计 的依据6-8。现有面向汽车电子电气架构的TARA方法包括HEAVENSE（healing vulnerabilities to enhance software security and safety）、EVITA（e-safety vehicle intrusion protected applications）9-10等理论。其中，EVITA 方法是基于 ISO2626211的功能安全评价体系对车载网络组件安全性进行评估，针对功能安全、隐私、财产和操作 4个评估维度定义出 5类安全等级。而HE

11、AVENSE方法首先采用微软公司提出的STRIDE威胁识别模型 12-13，分别对网络组件是否存在欺骗（snoofing）、篡改（tampering）、否认（repudiation）、信息披露（information disclosure）、拒绝服务（denial of service）、权限提升（elevation of privilege）6个维度的威胁进行评估分析，再对网络组件的安全属性需求与威胁分析结果建立联系，定义网络组件的风险程度，最后对网络组件的安全目标与风险程度建立联系，评估得出威胁的潜在影响。上述方法虽然可以有效地评估出车载网络各组件在不同环境下的风险程度，但是无法计算出精确

12、的风险差异值，且无法对安全防护技术的效用进行评估，进而导致其为车载网络架构安全设计提供的参考作用受限。为实现车载网络架构安全性的精确量化评估，本文中提出了一种基于攻击和修复结合的威胁分析与风险评估方法，首先通过对车载电子电气架构特征进行分析，针对有安全性需求的组件，评估其可能遭受的攻击路径及可能采用的漏洞修复路径，并结合连续时间马尔科夫链将攻击路径和修复路径转化为AFC-TARA模型。其次通过CVSS和ASIL估算出攻击路径内各组件在固定周期内被破解以及漏洞被修复的频次。最终计算出有安全性需求的组件的风险率，并通过对攻击路径内各组件的安全策略进行优化，对比优化后安全性需求组件的最终风险率，从而

13、评估不同安全策略的优劣性。1风险率量化评估分析方法由于汽车电子电气架构是由许多不同种类组件组成的高度异构系统，不同组件在安全性方面的差异很大4，14，且存在多种潜在攻击路径15-17，因此需从系统层面对重要组件和网络架构进行建模。本文以典型域集中式电子电气架构为基础，基于 AFC-TARA对架构中有信息安全需求的组件进行风险率量化评估分析，该评估方法的核心为连续马尔科夫链模型构建。评估流程如图1所示，主要包括3个步骤：马尔科夫链模型安全状态定义、风险与修复转移速率计算、组件风险率量化评估。1.1马尔科夫链模型安全状态定义为构建用于车载网络组件风险率量化评估的连续马尔科夫链模型，需完成安全状态及

14、状态转移速率的定义和计算。本小节定义安全状态，首先将网络架构中各组件抽象为数学表达式。分别对车载网络中的电子控制单元e E、通信总线b B和 ECU 的各式接口Ie建立组件集，具体可表示为某个ECU通过某种接口ib Ie接入一种总线网络b Be或一种外部通信网络。按照此种表述形式，可将 ECU 组件定义为e=Ie，Be；将总线网络定义为b=Eb，其中Eb表示为总线b上的所有ECU的集合。其次，关于车载网络中的消息m，可将ECU发送的消息定义为Sm，将ECU接收到的消息定义为Rm，将总线B上传输的消息m定义为Bm，则m=Sm，Rm，Bm。此外，网络中各组件在任意时间点的最大有风险资源的数量可定义

15、为nmax，组件从状态x1到x2的转移速率定义为，转换关系可通过式x1x2表达。基于上述基本数学表达式抽象，进一步给出马尔科夫链模型安全状态的定义。15542023（Vol.45）No.9左政，等：基于AFC-TARA的车载网络组件风险率量化评估分析首先基于对外接口对各 ECU 组件的安全状态进行定义。各ECU组件根据包含的接口类型进行分 类。其 中 接 口 类 型ib的 风 险 点 可 定 义 为(ib)0。随着这种接口的风险值ib增加，则有风险点的数量也随之增大，具体转换关系可表示为(ib)=n ib(ib)=n+1，当(b)0且ib Ie，0 n nmax（1）除了接口中的风险点(i)外

16、，车载网络中还包括 ECU 组件的风险点(e)、消息组件的风险点(m)。参数nmax表示车载网络中风险点的总数量。与风险值相反，参数ib代表总线接口的修复值，表示网络中接口ib的风险点被修复，具体转换关系可表示为(ib)=n+1ib(ib)=n，当(b)0且ib Ie，0 n nmax（2）此外，车载网络中各ECU的风险点与该ECU拥有的接口数量相关，具体关系可表示为(e)=i Ie(i)（3）其次根据连接于总线的 ECU 状态进行总线安全状态定义。车载网络中各总线的风险点与该总线上连接的所有ECU的风险点总和相关。一条CAN总线可定义为bc，其风险点可表示为(bc)=e Ebc(e)（4）本

17、文重点研究域集中式电子电气架构，将车载以太网定义为bEth。除需关注域控制器的风险点外，还需考虑中央网关的风险点(gw)。车载以太网的风险点可表示为(bEth)=e EbEth(e)(gw)（5）若车载网络中某一组件与互联网直连，如TBOX通过4G移动网络接入移动互联网，则该组件将被认为长期处于风险状态，即该组件随时可能被攻击者非法控制。因此，该组件的有风险点被定义为常数1，具体关系可表示为(b4G)=1（6）最后，根据总线安全状态对车载网络中的消息进行安全状态定义。消息m的安全性需求包括可用性A、完整性G和机密性C 3类。其中可用性高度依赖于消息传递的通信网络的负载情况，而完整性和机密性主要

18、与消息所采用的密码防护策略相关，如采用何种加密散列或对称加密算法对消息进行加密处理。对于CAN总线网络，如用于传输消息的总线被攻击者利用，则整个总线网络的可用性需求将无法得到有效保证，具体关系可表示为A(m)=b Bm(b)（7）为保证车载网络通信的实时性，通常采用对称加密技术保障消息的机密性和完整性。对称加密技术需要将密钥同时存储于发送和接收消息的 ECU内，若发送或接收消息的ECU处于风险状态，即使消息采用加密传输，也无法保证消息的机密性和完整性。以机密性安全策略为例对消息组件的安全状态进行转换。如果发送方或接收方处于有风险状态，则消息m的机密性无法得到保障，该状态可表示为C(m)=e S

19、m，Rm(e)（8）此外，如消息m在总线上传输，则与总线直接相连的任意 ECU都有能力破坏消息m的机密性。这 AFC-TARA风险率量化评估结果无安全机制入侵检测安全通信入侵检测+安全通信入侵检测安全通信入侵检测+安全通信无安全机制 AFC-TARA 风险率量化评估模型汽车域集中电子电气架构ECUECUECUECUECUECUECUECU中央网关GATEWAY域控制器1域控制器2域控制器3域控制器4CVSS&ASIL马尔可夫模型安全状态定义风险&修复转移速率计算组件风险率量化评估风险与修复值评估方法无加密HMACAEADS0=(0,0,0)S1=(1,1,0)S2=(1,1,1)TBOXmeg

20、megTBOXTBOX图1基于AFC-TARA的汽车电子电气架构组件风险率量化评估分析流程 1555汽车工程2023 年（第 45 卷）第 9 期种攻击发生的概率取决于消息m使用的加密算法的强度。总线上消息m的机密性被总线上其他 ECU破坏的状态转换关系可定义为C(m)=1CC(m)=0，当b Bm(b)=1时（9）因此，只有当传输消息m的总线上所有连接的ECU 都处于无风险状态时，则消息m处于无风险状态。与式（9）的风险值转换关系描述相反，如对消息m机密性安全策略的漏洞进行修复，状态转换关系可表示为C(m)=0 CC(m)=1，当b Bm(b)=1时（10）利用上述安全状态定义可对车载网络架

21、构中各组件的安全性进行分析，并得出连续时间马尔科夫模型中各组件安全状态的转换关系。1.2风险与修复转移速率计算在前述安全状态定义的基础上，本小节进一步给出状态转移概率（即风险值和修复值）的估算方法。关于风险值，所提出AFC-TARA采用ISO21434标准风险评估中推荐的通用漏洞评分系统（common vulnerability scoring system，CVSS）3.1 版本18作为基础计算模型，并对此模型进行标准化修正，将分值转换为具有物理意义的频次，从而估算出组件由安全状态转换为风险状态的转移速率，即风险值。CVSS通常用于评估软件系统漏洞，由美国国家标准与 技 术 研 究 所（na

22、tional institute of standards and technology，NIST）维护。通过对组件的网络特征、软件特性、安全策略等维度进行评估，计算出组件的可利用性评分，CVSS的评分标准见表1。车载组件风险值的具体估算流程包括 3 个步骤，分别为确定可利用度分值、确定影响度修正分、车载组件得分标准化修正。其中，可利用度分值的计算方法如式（11）所示。E=8.2AVACPRUI（11）式中：参数AV、AC、PR、UI须根据车载组件的实际表现情况对应表1进行取值。此外，影响度修正分的计算方法如式（12）所示。ER=6.42(1-(1-CFCR)()1-IGIR (1-ABAR)

23、(12)式中：CF、CR、AB分别代表组件针对机密性、完整性、可用性所采取的实际安全策略的强度；CR、IR、AR分别代表组件在车载网络中对机密性、完整性、可用性的安全防护需求程度的权重值。由于连续时间马尔科夫模型的状态转移速率与时间紧密相关。因此需要对车载组件得分进行标准化修正，使最终结果具有时间物理意义，具体计算方法如式（13）所示。module=E+ER-2.3（13）首先，软件版本迭代所需的最小开发周期限制了修复值的上限。其次，如果软件升级包的内容与汽车功能安全相关，则软件升级包的发布相较于其他常规功能还需要进行大量额外测试。因此，所提出 AFC-TARA 根据行业内车载组件软件发版的普

24、遍周期特性，结合ISO26262标准中汽车安全完整性等级（ASIL）特征19，对组件的修复值进行估算，具体映射关系见表2。采用上述与时间周期相关的风险值和修复值作为连续时间马尔科夫链模型状态转移速率的评估参表1CVSS的评分标准衡量标准攻击向量（AV）攻击复杂度（AC）权限要求（PR）用户交互（UI）机密性（CF）完整性（IG）可用性（AB）机密性需求（CR）完整性需求（IR）可用性需求（AR）衡量指标网络邻居本地物理低高无低高不需要需要无低高未定义低中高指标权重0.850.620.550.20.770.440.850.620.270.850.6200.220.5610.511.5表2ASIL

25、评级示例与修复值关系ASIL等级ABCD修复值52（1周）12（1个月）6（2个月）3（4个月）组件名称TBOX车灯倒车影像中央网关 15562023（Vol.45）No.9左政，等：基于AFC-TARA的车载网络组件风险率量化评估分析数，可以有效估算出有安全需求的组件在特定时间周期内被恶意利用的风险率。1.3组件风险率量化评估利用前述安全状态及状态转移速率的定义，即可构建用于评估组件风险率的连续马尔科夫链模型，并评估链条内某个组件转换为某一状态的概率，即进行组件风险率评估。稳态分析是马尔科夫链模型的常用分析方式，但稳态评估结果对车载网络架构的安全性评估并没有较高的实际意义。车载网络架构模型更

26、关注某个车载组件在固定时间周期内可能被恶意利用的概率。例如，某个有机密性安全需求的消息组件在一年内被破解的概率。为此，所提出AFC-TARA量化方法参照文献 20，对固定时间间隔内连续时间马尔科夫模型的状态发生概率进行计算，即只考察目标组件在某一固定时间间隔内进入风险状态的概率。将风险率量化评估的特性定义为时间间隔t与风险状态向量的关系，即=，t，将车载网络中需要量化评估分析的组件定义为c C。风险状态向量的长度与网络模型中由攻击链路产生的风险状态的总数相等，即|=|S|。模型中每个组件的安全子状态可用s()n，c表示，如果该子状态为风险状态，则该状态所处的向量的分量为1，如为安全状态，则分量

27、为0，具体可表示为 =s1sn，sn Ssn=1，c C s()n，c 00，其他（14）转移速率矩阵Q中的元素由各状态间的转移速率（即风险值和修复值）决定，其中转移速率R(x，y)代表矩阵Q中坐标(x，y)，即安全状态从x到y的转移速率。如两个状态间不存在直接转移关系，则矩阵Q中这类转移关系的元素为0。由于矩阵Q须保证每行元素之和为0，则坐标(x，x)的值等于该行其他元素和的相反数，矩阵Q可表达为Q(x，y)=R()x，y，x y-i xR()x，i，x=y（15）基于上述定义，计算时间间隔t内组件的风险率。首先，需对矩阵Q进行标准化处理。将矩阵Q除以q，其中q为矩阵中元素绝对值的最大值。由

28、于AFC-TARA模型中的转移速率皆为正值，因此q 0的情况不需要被考虑。根据文献 20 中定义 12的结果可得到式（16）所示的矩阵：Punif=I+Qq（16）式中：I为单位矩阵；Punif表示在连续时间马尔科夫模型中嵌入的均匀离散时间马尔科夫链。Punif考虑了单个时间步长的所有转移速率，而(Punif)m考虑了m个时间步长状态间的所有转移速率。其次，为了计算转移模型，可将连续时间马尔科夫模型假设为指数分布。为对这种指数行为进行建模，对每一步采用泊松分布()。泊松分布的参数为=qt和k=m，从而对以q为参数的速率分布进行建模，在时间t内触发m次。而累积泊松概率的计算需要对指数行为进行建模

29、。通过计算与时间t相关的转移矩阵可表示为t=m=0 m，qt(Punif)m（17）由于式（17）无法直接求得经过t时间后某一状态的概率，需要引入向量并将希望量化评估的状态分量设为 1。计算方法可参照文献 20 中的命题4，即t=m=0 m，qt(Punif)m（18）其中：m，qt=1q(1-j=mmj，qt)（19）最终，组件在固定时间间隔内风险状态的量化评估结果可定义为Et=m=01q(1-m，qt)(Punif)m（20）2风险率计算与讨论本节以图2中所示的典型域集中式电子电气架构为研究对象，使用前述AFC-TARA方法进行风险评估与威胁分析。具体研究场景为底盘域控制器向信息娱乐域控制

30、器实时传递车速信息，所涉及子系统 包 括 车 载 中 央 网 关、底 盘 域 控 制 器（chassis domain controller，CDC）、外 部 通 信 域 控 制 器（connected domain controller）、信息娱乐域控制器（in-vehicle infotainment domain controller，IVI DC）及安 全 防 护 域 控 制 器（safety&security controller，SSC），如图中红色虚线框所示。评估结果将输出组 1557汽车工程2023 年（第 45 卷）第 9 期件在不同安全防护策略下的风险率，以量化评估不同安全

31、防护策略对车载网络安全防护能力的提升程度。所使用建模工具为 Matlab 2020b，风险率评估工具为PRISM V4.621。子系统可转换为如图3所示的连续时间马尔科夫链模型。模型中每个组件的安全子状态可用s()n，c表示，如果该子状态为风险状态，则该状态所处的向量的分量为1，如为安全状态，则分量为0。2.1网络架构评估为验证ARC-TARA量化评估的可行性，本文对防护方和攻击方进行如下前提假设。（1）攻击方基于移动通信网络作为切入点对子系统发起攻击，并选择底盘域控制器向信息娱乐域控制器传递的车速信息组件作为攻击对象，即攻击目标为使智能仪表无法实时显示正确的车速信息。具体攻击路径为先通过移动

32、通信网络获取TBOX的控制权限，随后破解中央网关的安全防护机制，最后破解底盘域控制器与信息娱乐域控制器之间的安全通信加密机制，即可伪装身份将恶意报文通过中央网关转发至信息娱乐域控制器，最终展示错误的车速信息。（2）如1.1小节所述，认为TBOX和外网连接控制器完全暴露在开放互联网环境中，在整个攻防对抗中完全不设防。（3）防护方从两个方面对车速消息组件进行安全防护，包括中央网关提供的安全防护与车速消息组件加密传输提供的安全防护。基于上述假设，依据中央网关是否采用入侵检测系统与安全通信防御机制，共给出4种不同的子系统变体，如图4所示，图中分别用蓝色和红色箭头标注了车速信息的正常传递路径和攻击路径。

33、图4（a）中央网关无任何防护机制。图4（b）中央网关配置了入侵检测系统，攻击者通过标准攻击路径发起攻击时，将触发中央网关入侵检测系统的预警机制。预警平台接收到入侵行为后，将针对入侵行为进行漏洞风险分析并开发升级补丁，通过远程升级的模式修复漏洞。为此，攻击者需要在漏洞被修复前，实现对智能仪表加密机制的破解。图4（c）中央网关内集成了安全认证功能，攻击者如延用上述攻击路径，需要破解中央网关的身份认证机制。图4（d）由于中央网关内同时配置并集成了入侵检测系统与安全认证功能，攻击者须同时破解中央网关的入侵检测机制和安全通信机制，并在漏洞修复前，实现对智能仪表的攻击。根据 CVSS 3.1 评分标准、A

34、SIL 等级划分及式（13），对子系统中TBOX、中央网关及车速消息3个组件的风险值和修复值进行评估。需要指出，在评估过程中除了考虑中央网关提供的安全防护与车速 T-BOXCAN/CANFD中央网关车身域控制器底盘域控制器辅助驾驶域控制器动力域控制器外网连接控制器信息娱乐域控制器安全防护控制器 (SSC)OBD外围设备互联（PCI）EthEthWifi/USBV2X控制器车载雷达摄像头电池管理系统(BMS)变速器控制单元(TCU)EthEthEth图2风险率评估参考子系统架构图3子系统马尔科夫链模型 15582023（Vol.45）No.9左政，等：基于AFC-TARA的车载网络组件风险率量化

35、评估分析消息组件加密传输提供的安全防护外，还须考虑车速消息组件本身的安全需求，包括同时满足机密性和完整性、仅满足机密性、仅满足可用性3种。另外车速消息组件可以采用的加密传输方式包括无加密、HMAC及AEAD 3种。评估结果如表3所示，可以看到，中央网关使用不同的安全防护策略，其对应的风险值与修复值随之相应变化。而针对不同安全需求，车速消息3种不同的加密传输方式也体现出不同的风险值。在获得子系统内不同组件的风险值与修复值后，即可根据建立的连续马尔科夫链模型对消息组件的风险率进行求解。最终计算所得消息组件在不同安全需求与不同防护措施条件下的风险率如图5所示。图5（a）针对信息娱乐域控制器的消息组件

36、须同时满足机密性和完整性的安全需求场景，若中央网关无安全机制且信息娱乐域控制器的消息组件无加密机制，固定时间周期模型属性定义为1年，则车速消息组件的风险率为1.7%。若采用HMAC加密机制，则车速消息组件的风险率降至1.23%。若采用AEAD 加密机制，则车速消息组件的风险率降至0.57%，安全性提升约 3倍。这是由于 HMAC 加密机制仅能满足完整性需求，而AEAD加密机制可同时满足完整性和机密性需求。当中央网关配置入侵检测系统后，车速消息组件的安全性提升约1.7倍，采用 3 种加密机制的风险率分别为 1.00%、0.72%和0.33%。当中央网关集成安全通信机制后，车速表3网络组件转移速率

37、评估值组件TBOX中央网关智能仪表中的消息m须满足机密性和完整性智能仪表中的消息m仅须满足完整性智能仪表中的消息m仅须满足可用性特征4G/以太网无任何防护仅IDS仅安全认证IDS和安全通信无加密HMACAEAD无加密HMACAEAD无加密HMACAEAD风险值2.05.75.71.81.85.74.01.85.71.81.85.75.75.7修复值52352352666666666 EthEthEthEth消息传输路径攻击路径无防护组件带防护策略组件风险组件信息娱乐域控制器底盘域控制器外网连接控制器T-BOX中央网关(a)中央网关无任何防护 EthEthEthEth信息娱乐域控制器外网连接控制

38、器T-BOX底盘域控制器中央网关(含入侵检测系统)(b)中央网关安装入侵检测系统(SSC)EthT-BOXEthEthEthEth中央网关信息娱乐域控制器外网连接控制器底盘域控制器安全防护控制器(c)中央网关增加安全通信机制(SSC)EthT-BOXEthEthEthEth信息娱乐域控制器外网连接控制器底盘域控制器中央网关（含入侵检测系统）安全防护控制器(d)中央网关安装入侵检测系统且增加安全通信机制图44种典型车载电子电气架构子系统拓扑图 1559汽车工程2023 年（第 45 卷）第 9 期消息组件相较于无安全机制安全性提升约为 3.3倍，相较于仅配置入侵检测系统的安全性提升约为2倍。当中

39、央网关同时采用入侵检测系统与安全通信防御机制，车速消息组件相较于无安全机制安全性提升约为5.2倍。图 5（b）针对车速消息组件仅须满足完整性的安全需求场景，当车速消息组件未采用任何加密机制，车速消息组件的风险率与同时满足机密性和完整性安全需求的结果相同。此外，由于HMAC加密机制与AEAD加密机制都能满足数据完整性安全需求，因此车速消息组件采用HMAC或AEAD所得的风险率相等，结果与同时满足机密性和完整性安全需求场景相同。图5（c）针对车速消息组件仅须满足可用性的安全需求场景，车速消息组件采用任何加密机制都无法影响车载智能仪表上车速消息组件的风险率，这是由于攻击者只要与目标域控制器建立通信，

40、即可影响目标网络的可用性。为此，可通过采用入侵检测系统或安全通信防御机制提升中央网关的防御能力，降低攻击者接入目标网络的概率，才能提升消息组件的可用性安全需求，从而降低消息组件的风险率。综上，基于密码学的安全通信机制可有效降低域集中式电子电气架构中车载网络组件的风险率，实现组件安全性提升。其次，车载网络采用入侵检测系统同样对降低组件的风险率有一定的帮助，但在面临同样强度攻击时该方法降低风险率的幅度弱于基于密码学的安全通信机制，因此入侵检测系统可作为提升网络组件安全性的重要补充。最后，在计算资源允许的条件下，可同时采用基于密码学的静态防御机制和基于入侵检测系统的动态防御机制，更大幅度地提升网络组

41、件的安全性。2.2转移速率的变化趋势为了评估不同风险值和修复值对组件风险率的影响，以指导防护方进行合理的安全防护策略设计，以图4（a）的子系统模型为参考架构，分析车速消息组件风险率的变化趋势与子系统中其他组件的风险值和修复值的联系。由于TBOX组件作为子系统的主要攻击入口，车速消息组件的风险率主要取决于TBOX组件的风险值和修复值。为易于验证，本实验将TBOX组件风险值和修复值的取值范围定义为0.18 760之间，该取值范围转换到时间维度分别表示为组件发现并修复风险漏洞的时间周期为10年至1 h。如将风险值设为变量，则修复值固定为=52，即固定每周修复一次。如将修复值设为变量，则图5风险率量化

42、评估分析结果 15602023（Vol.45）No.9左政，等：基于AFC-TARA的车载网络组件风险率量化评估分析风险值固定为=2，即半年发现一次可利用的漏洞。车速消息组件风险率的变化趋势如图6所示，其中图6（a）为TBOX组件的风险值对车速消息组件风险率的影响，图6（b）为TBOX组件的修复值对车速组件风险率的影响。可以发现，随着软件版本迭代周期的缩短，组件风险率随之降低。当更新频率达到=71，即约 5.14天修复一次后，车速消息组件的风险率降至1%以下。如同样以1%作为风险率的阈值，则在固定修复值的情况下，风险值的最大值为=1.1，即发现TBOX组件的可利用漏洞的时间需大于331.8天。

43、通过对转移速率的变化趋势进行评估，可估算出为满足组件安全标准所需要的风险值与修复值阈值。风险值可用于指导组件设计方对组件进行不同程度的加固防护，以改善组件的风险值。修复值可用于为组件安排安全合理的更新迭代频率。3结论为解决传统威胁分析与风险评估无法实现对信息安全防护技术效用进行量化评估的问题，本文提出了一种同时考虑攻击与防护效用的改进威胁分析与风险评估方法。首先，结合组件的攻击变量和防御变量特征，对ECU、网络、消息信号等组件的安全状态转换逻辑进行了分析，并利用连续时间马尔科夫链对车载组件的安全状态转换逻辑进行了建模。其次，在所构建的连续时间马尔科夫链模型中，通过将单一组件的安全评估结果与链条

44、中其他组件的安全状态、攻击变量、防御变量的变动相关联，由此实现系统或整车级的安全分析与评估。最后，建立了安全状态标准化转换模型，将 CVSS 漏洞评估与ASIL评估得到的可利用度分值和安全等级转换为与时间频次相关的风险值与修复值，并将这两个指标作为马尔科夫链模型的转移速率；建立了安全状态检测器，实现对固定时间周期内系统架构中各组件风险率的精确评估。选取了典型域集中式电子电气架构中底盘域控制器向信息娱乐域控制器实时传递车速信息的场景进行安全分析和方法有效性验证。评估结果显示：（1）中央网关、底盘域控制器和信息娱乐域控制器均不采用任何防护措施的条件下，车速信息在一年内被恶意利用的风险率为1.70%

45、；若中央网关同时采用密码学防护措施与入侵检测系统、底盘域控制器及信息娱乐域控制器采用AEAD加解密防护手段，则车速信息在一年内被恶意利用的风险率降为0.11%，下降超15倍。（2）底盘域控制器及信息娱乐域控制器不采用任何防护措施的条件下，中央网关仅采用密码学防护手段时车速信息在一年内被恶意利用的风险率为0.51%，而仅采用入侵检测系统时车速信息在一年内被恶意利用的风险率为1.00%，证明在此场景下密码学防护手段相较入侵检测系统能提供更高的安全性。本文提出的AFC-TARA方法相较传统TARA方法具有同时考虑攻击侧与防护侧效用、支持系统或整车级安全分析、支持安全风险量化评估的优点，可以为域控电子

46、电气架构或其他车载网络架构的信息安全设计和优化提供基础支撑。图6风险值或修复值变化对组件风险率的影响 1561汽车工程2023 年（第 45 卷）第 9 期参考文献 1 GUAN T，HAN Y，KANG N，et al.An overview of vehicular cybersecurity for intelligent connected vehiclesJ.Sustainability，2022，14（9）：5211.2 MILLER C，VALASEK C.A survey of remote automotive attack surfaces J.Black Hat USA，

47、2014：94.3 章嘉彦，李飞，李如翔，等.V2X 通信中基于椭圆曲线加密算法的身份认证研究 J.汽车工程，2020，42（1）：27-32.ZHANG J，LI F，LI R，et al.Research on identity authentication in V2X communications based on elliptic curve encryption algorithm J.Automotive Engineering，2020，42（1）：27-32.4 CHOW M C，MA M，PAN Z.Attack models and countermeasures for

48、 autonomous vehicles M.Intelligent Technologies for Internet of Vehicles.Springer，Cham，2021：375-401.5 HAN M，WAN A，ZHANG F，et al.An attribute-isolated secure communication architecture for intelligent connected vehicles J.IEEE Transactions on Intelligent Vehicles，2020，5（4）：545-555.6 PARK J S，KIM D H，

49、SUH I H.Design and implementation of security function according to routing method in automotive gatewayJ.International Journal of Automotive Technology，2021，22（1）：19-25.7 MURVAY P S，GROZA B.Security shortcomings and countermeasures for the SAE J1939 commercial vehicle bus protocol J.IEEE Transactio

50、ns on Vehicular Technology，2018，67（5）：4325-4339.8 ZHU H，ZHOU W，LI Z，et al.Requirements-driven automotive electrical/electronic architecture：a survey and prospective trendsJ.IEEE Access，2021，9：100096-100112.9 LAUTENBACH A，ALMGREN M，OLOVSSON T.Proposing HEAVENS 2.0-an automotive risk assessment modelC