在現代汽車中，信息娛樂高性能計算（HPC）系統通過提供音樂、導航、通信、娛樂等高級功能，在增強駕駛員和乘客體驗方面發揮著至關重要的作用。該系統利用 Wi-Fi、蜂窩網絡、NFC、藍牙等技術確保持續的互聯網連接以獲取信息。然而，車輛信息技術連接的日益復雜引發了網絡安全擔憂，包括數據泄露和敏感信息泄露。為了提高汽車信息娛樂系統的安全性，本研究使用微軟的 STRIDE（欺騙、篡改、抵賴、信息泄露、拒絕服務和特權提升）工具在組件級別進行威脅建模，并使用 SAHARA（安全感知危害分析和風險評估）和 DREAD（損害、可重復性、可利用性、受影響用戶和可發現性）方法進行風險評估，以評估相關風險。它提供了威脅、相關風險和應對網絡安全攻擊的通用緩解策略的系統表示。通過威脅建模過程，識別出 34 個潛在的安全威脅。該研究還提供了一個比較分析，以計算威脅的風險值，以便優先處理。在將信息娛樂 HPC 系統部署到現實世界的汽車中之前，需要考慮這些已識別的威脅和相關風險，以避免潛在的網絡攻擊。

信息娛樂 HPC 系統集成了信息和技術，以增強汽車駕駛員和乘客的安全性和便利性。這種集成包括各種因素，如乘客的移動設備、周圍車輛、遠程服務器、駕駛員、交通基礎設施、環境等。據預測，到 2035 年，幾乎所有新車都將具備互聯網連接。這種集成可以提供許多優勢，例如，由于車輛始終連接到互聯網，因此可以訪問各種信息。但問題是該系統容易受到來自對手的網絡攻擊。汽車與更廣泛服務的互聯增加了安全漏洞，汽車黑客事件的報道也越來越頻繁。所有這些事實都促使人們重視汽車領域的安全研究。

汽車的信息娛樂系統與復雜網絡緊密連接，形成了一個增強駕駛體驗的復雜生態系統。這些系統與各種網絡無縫集成，包括互聯網、連接電子控制單元（ECU）的車內局域網（VAN）、汽車傳感器以及 Wi-Fi 等無線技術，如圖 1 所示。互聯網連接可實現實時導航更新、流媒體服務和空中軟件更新。內部 VAN 確保不同車輛組件之間的高效數據交換，而 Wi-Fi 連接可實現與智能手機的免提通話和媒體流傳輸。遠程信息處理系統利用蜂窩網絡進行遠程診斷和車輛跟蹤，連接到云并使用 GPS 訪問位置相關信息。這種網絡連接還促進了與其他車輛、設備和個人的通信。這種復雜的異構網絡連接不僅為駕駛員和乘客提供了許多功能，也帶來了網絡安全挑戰，促使人們不斷努力保護聯網車輛免受潛在威脅。

圖1:汽車信息娛樂HPC系統的異構連接

車載信息娛樂（IVI）系統除了傳統的導航、收音機播放和多媒體功能等遠程功能外，還使用包括 Wi-Fi 連接在內的車載網絡服務，在車輛與外部世界之間建立鏈接。由于這些遠程接口和互聯服務的存在，系統可能容易受到潛在漏洞的影響。對手可能試圖通過遠程進行未經授權的操作來利用系統的弱點]。在文獻中，檢測到 IVI 系統服務存在漏洞，因為攻擊者試圖通過 Wi-Fi 接口獲得 root 權限并建立遠程訪問。這種訪問可能導致系統配置的操縱，攻擊者可能獲得敏感用戶信息。由于用戶在駕駛時可以通過藍牙訪問個人信息，這也可能成為攻擊者的攻擊面?，F有的對策可能不足以應對這些形式的攻擊。

車載應用可能面臨安全挑戰，尤其是與組件間通信（ICC）相關的挑戰已在文獻中受到關注。據發現，惡意應用可能能夠操縱或欺騙系統，導致潛在的敏感用戶數據暴露于未經授權的訪問?？刂破骶钟蚓W（CAN）總線存在一個漏洞，由于網絡的總線拓撲結構，廣播傳輸面臨風險。 ECU 之間在整個網絡中交換消息時無需身份驗證或加密，這構成了嚴重威脅。CAN 總線中的這一漏洞可能被攻擊者利用，導致潛在的車輛攻擊，甚至通過傳輸欺騙性消息完全接管 ECU。為應對這些挑戰，研究人員開發了旨在緩解這些安全風險的框架。

攻擊者可以繞過車輛中的安全關鍵系統，控制汽車功能，并可能損害駕駛性能。Khan 等人引入了一種基于微軟 STRIDE 的信息物理系統框架，該框架側重于組件漏洞及其相互依賴關系，從而增強安全性。然而，解決每個組件中的漏洞對于防止整個安全系統失控至關重要。威脅分析和風險評估（TARA）的納入變得至關重要，通過分析潛在威脅并實施相應的緩解策略來維持可接受的風險水平。值得注意的是，該框架主要在概念設計階段進行理論威脅分析，而不是在車輛發布后的安全評估階段。基于這些研究，需要解決這些問題以增強現代汽車的安全性。

為了提高 IVI 系統的安全性，本文側重于使用微軟威脅建模工具 STRIDE 在組件級別識別安全漏洞和威脅。它還側重于使用風險評估方法，特別是 SAHARA 和 DREAD 來計算風險值，以確定威脅的潛在風險。它提供了兩種方法的比較分析，基于此，可以很容易地理解哪些威脅需要首先優先緩解。最后，提供了通用的緩解策略，最終導致 IVI 系統安全性的整體提高。

本研究的動機是進行威脅建模、風險評估，并提供緩解策略以應對 IVI 系統的潛在威脅。這是通過采用圖 2 所示的方法來實現的。

圖2:循序漸進的研究方法

在該過程中，用例場景解釋了對手可能通過何種方式發動攻擊。考慮擬議開發信息娛樂系統的組件非常重要。為了實現研究目標，第一步包括識別和概述系統組件，然后創建數據流圖（DFD）。隨后，使用 STRIDE 進行威脅建模，生成威脅報告，概述已識別的威脅。此外，使用 SAHARA 和 DREAD 方法進行風險評估，從而計算風險值。根據已識別的威脅，提出了通用防御機制以增強安全性。

2.1 用例場景

車載計算機控制汽車信息娛樂系統中發生的所有操作。駕駛員可以使用近場通信（NFC）、藍牙、Wi-Fi 和蜂窩網絡（3G/4G/5G）傳輸數據和信息。車載計算機使用 CAN 總線與汽車的子系統進行通信。在與外界通信或傳輸數據時，數據路徑可能會受到對手的攻擊，如圖 3 所示。攻擊者是指任何從事不利行為以破壞、暴露、禁用、竊取、未經授權訪問或以其他方式濫用資源的個人、團體或實體。本文僅將 NFC、藍牙、Wi-Fi 和蜂窩網絡以及 CAN 總線視為攻擊面，但其他表面也可能成為攻擊者的攻擊點。

圖3:汽車信息娛樂HPC系統研究范圍的用例場景

2.2 擬議的系統組件

汽車信息娛樂系統的關鍵組件及其功能和交互如圖 4 所示。每個組件接收輸入并生成輸出以執行特定操作。該系統包括車載計算機、NFC、視頻緩沖區、觸摸屏控制器、觸摸屏、后屏幕、帶麥克風和揚聲器的汽車音頻系統、攝像頭、Wi-Fi 和蜂窩網絡、數字收音機、藍牙、USB 接口、便攜式媒體播放器、CAN 總線、汽車自動化網絡、GPS 和溫度傳感器。

圖4:設計IVI HPC系統所需的擬議系統組件

典型的 IVI 系統以車載計算機為中心，車載計算機是系統的處理器，所有其他系統元件都通過物理或無線方式連接到該處理器。核心人機界面（HMI）包括放置在儀表板上的大型觸摸屏，方便駕駛員操作。NFC 支持設備之間的無線通信，允許通過簡單的觸摸進行安全交易和設備連接。視頻緩沖涉及預加載流媒體視頻內容的數據段，這些數據段存儲在內存的保留部分中。觸摸屏控制器是將觸摸屏傳感器連接到觸摸屏設備的電路。如果車輛配備了后座，乘客可以在前排座椅頭枕后面的顯示器上播放來自各種來源的媒體，其功能類似于智能電視。視頻緩沖區、觸摸屏控制器和后屏幕都連接到觸摸屏和車載計算機，允許車載計算機進行數據處理，并通過觸摸屏進行輸入控制。

汽車的音頻系統配備有麥克風和揚聲器，用于用戶的音頻輸入和輸出，允許進行多媒體播放和免提通話。攝像頭捕獲視覺數據，用于后視顯示和駕駛員輔助等功能。Wi-Fi 和蜂窩網絡提供無線連接，用于數據通信和互聯網訪問，使駕駛員在駕駛時能夠訪問網頁內容、流媒體和電子郵件。數字收音機接收和處理數字信號以進行音頻播放。藍牙支持與智能手機等外部設備的無線通信，而 USB 接口允許數據傳輸和設備充電。

便攜式媒體播放器播放來自外部設備的多媒體內容。CAN 總線促進車輛中不同 ECU 之間的通信，而汽車自動化網絡則促進不同車輛系統之間的通信，以實現自動化和控制。最后，GPS 和溫度傳感器提供位置和溫度數據，用于導航和氣候控制功能。總體而言，擬議的信息娛樂系統包括廣泛的組件，這些組件協同工作，為車內用戶提供更好的信息娛樂體驗。

2.3 數據流圖（DFD）

在圖 5 中，DFD 全面描述了所有系統組件及其相應的數據流。流程，如車載計算機、NFC、觸摸屏控制器、后屏幕、汽車音頻系統、藍牙、Wi-Fi 和蜂窩網絡、USB 接口、CAN 總線和汽車自動化網絡，被用來說明它們如何接收輸入數據、執行操作和生成輸出。圖中描述的數據流表示不同系統組件之間的信息傳輸。視頻緩沖區被表示為數據存儲，負責臨時存儲視頻數據。外部實體，包括觸摸屏、揚聲器、麥克風、攝像頭、數字收音機、便攜式媒體播放器、GPS 和溫度傳感器，被描述為進入或離開系統的信息的來源或目的地。流程用圓圈表示，數據流用箭頭表示，數據存儲用空心矩形表示，外部實體用矩形表示。

圖5：DFD基于IVI HPC系統的組件（考慮的組件：車載計算機、NFC、Wi-Fi和蜂窩網絡、藍牙、CAN總線）

2.4 使用 STRIDE 進行威脅建模

威脅建模是識別、分類和優先排序危險的方法，有助于開發針對威脅的有效防御措施。簡單地說，它旨在解決以下問題：“系統可能在哪些方面容易受到威脅？”、“哪些威脅最重要？” 以及 “系統的弱點在哪里？” 根據美國國家標準與技術研究院（NIST）的特別文件，威脅模型包括解決邏輯實體（無論是數據、主機、應用程序、系統還是環境）的進攻和防御維度的能力。

盡管存在各種威脅建模模型，如 PASTA、攻擊樹、CVSS等，但本文使用了 STRIDE 威脅建模工具。這一選擇是基于該工具在學術界和工業界的廣泛接受，以及它在組件級別識別威脅的能力。它是微軟提供的開源工具，免費使用。它專門側重于識別應用程序安全中的漏洞和弱點。

微軟 STRIDE 是一種識別網絡安全威脅的工具，利用一個首字母縮寫詞，涵蓋六個不同的威脅類別：欺騙、篡改、抵賴、信息泄露、拒絕服務和特權提升。這些類別與真實性、完整性、不可抵賴性、機密性、可用性和授權一致。信息娛樂系統的每個組件都可以通過 STRIDE 方法進行分析，并容易受到每個類別中的一個或多個威脅。表 1 概述了與特定威脅類別相關的安全屬性。如表 1 所示，外部實體面臨兩個威脅類別，流程容易受到所有六個威脅類別的影響，單向數據流涉及三個威脅類別，數據存儲容易受到三個威脅類別的影響。值得注意的是，一個組件可能在單個類別中面臨多個威脅。

表1:對每個DFD元素的威脅進行分類

STRIDE 工具通過展示 DFD 啟動威脅建模過程。隨后，基于該 DFD 生成威脅報告，包括威脅類別、威脅描述和建議的緩解策略。圖 6 說明了涉及 STRIDE、NFC 到車載計算機（NFC_to_OBC）的交互。根據 STRIDE 工具，為這種交互識別了三種不同的威脅 —— 拒絕服務、信息泄露和篡改。當數據從 NFC 流向車載計算機時，它可能以這些方式成為攻擊者的目標。同樣，為信息娛樂系統的其他交互生成威脅報告。

圖6:在數據流上實現STRIDE

2.5 風險評估方法

現代車輛的復雜架構可能容易受到網絡攻擊，因為整個系統是每個互聯組件相關風險的組合。最近，研究人員發現各種寶馬系列的信息娛樂系統中存在 14 個漏洞。這凸顯了在整個開發過程中解決與威脅相關的風險的緊迫性。根據 NIST 的定義，風險被定義為 “一個實體受到潛在情況或事件威脅的程度的衡量標準，通常是以下因素的函數：（i）如果情況或事件發生，將產生的不利影響；（ii）發生的可能性”。同時，風險評估被解釋為 “識別、估計和優先排序對組織運營（包括任務、職能、形象或聲譽）、組織資產、個人和其他組織的風險的過程，這些風險是由系統的運行引起的”。

2.5.1 SAHARA

SAHARA 方法將汽車 HARA（危害分析和風險評估）方法與面向安全的 STRIDE 框架相結合。SAHARA 方法采用 HARA 方法的一個基本要素，即汽車安全完整性等級（ASIL）的定義，來評估 STRIDE 分析的結果。威脅是根據 ASIL 量化來評估的，考慮到執行威脅所需的資源（R）和專業知識（K），以及其威脅臨界性（T）。可能危及安全目標（T=3）的安全威脅可以交給 HARA 流程進行進一步的安全分析。

表 2 提供了 K、R 和 T 值的每個量化等級的資源、專業知識和威脅級別的示例]。這三個因素共同定義了一個安全級別（SecL），如表 3 所示 。該 SecL 有助于確定應考慮的適當數量的對策。

表2：說明安全威脅的K、R和T值分類的示例

表3:SecL確定矩陣-通過評估R、K和T的值來推導安全級別

2.5.2 DREAD

DREAD 是一種風險評估方法，其名稱對應于五個評估標準：損害、可重復性、可利用性、受影響用戶和可發現性。DREAD 有可能對系統設計進行更全面的分析。DREAD 首字母縮寫詞的含義如下：

• 損害（D）：表示攻擊的潛在影響。

  
  

• 可重復性（R）：表示攻擊的容易復制程度。

  
  

• 可利用性（E）：評估執行攻擊所需的努力。

  
  

• 受影響用戶（A）：將受到影響的人數。

  
  

• 可發現性（D）：衡量識別威脅的容易程度。

如表 4 所示，DREAD 方法對每個威脅的評級方案涉及從 1 到 3 分配點數，累計 15 點表示最嚴重的風險。

表4:DREAD模型評級方案（3代表高風險，2代表中等風險，1代表低風險）

DREAD 風險可以計算如下

在對分數進行求和后，結果可能在 5-15 范圍內變化。隨后，威脅可以分類為：總評級為 12-15 的被視為高風險，評級為 8-11 的表示中等風險，評級為 5-7 的被視為低風險。

本節概述了對威脅和與威脅相關的風險的評估。

3.1 分析威脅

進行威脅建模是為了評估與 DFD 中的主要數據流和流程相關的網絡攻擊的可能性。假設信任邊界中標記的兩側是安全的。然而，并非 DFD 的所有組件都被分析潛在威脅。信息和命令通過 NFC、Wi-Fi 和蜂窩網絡以及藍牙傳輸，而 CAN 總線負責與車輛中的 ECU 通信。因此，這些點可能成為對手未經授權訪問的潛在目標。這種未經授權的訪問可能使他們能夠操縱信息娛樂系統、訪問個人數據、控制車輛組件或破壞正常系統操作。因此，必須承認汽車信息娛樂系統中存在安全問題的可能性。

威脅建模未在視頻緩沖區、觸摸屏控制器、后屏幕、觸摸屏、汽車音頻系統、揚聲器、攝像頭、麥克風、數字收音機、GPS 和溫度傳感器上進行，因為這些組件沒有數據或文件傳輸功能。此外，USB 接口和便攜式媒體播放器也未進行威脅建模，因為它們必須物理插入系統。僅考慮跨越信任邊界的威脅，即車載計算機、NFC 到車載計算機（NFC_to_OBC）、車載計算機到 Wi-Fi 和蜂窩網絡（OBC_to_Wi-Fi）、Wi-Fi 和蜂窩網絡到車載計算機（Wi-Fi_to_OBC）、車載計算機到藍牙（OBC_to_Bluetooth）、藍牙到車載計算機（Bluetooth_to_OBC）、車載計算機到 CAN 總線（OBC_to_CB）和 CAN 總線到車載計算機（CB_to_OBC）。

3.2 識別的威脅

通過利用 STRIDE 威脅建模工具，組織可以通過分析每個類別來有效識別潛在威脅，因為它涵蓋了六個類別。這使組織能夠評估每個類別中攻擊的可能性和影響，優先考慮安全工作。有了這些信息，組織可以制定可能的緩解策略，以保護其系統和網絡免受各種潛在威脅。

3.3 威脅評級

前面討論的 SAHARA 方法滿足汽車開發早期階段（概念級別）分析安全威脅的要求。盡管它側重于單個車輛開發，并在初始開發階段識別安全威脅和安全風險，但該方法的相互依賴性值得注意。通過電池管理系統用例展示了 SAHARA 方法在符合 ISO 26262 的開發中的適用性，與傳統 HARA 方法相比，識別危險情況的數量增加了 34%。因此，本工作集成了 SAHARA 方法進行風險評估。

因此，采用另一種風險評估方法 DREAD 來量化威脅。通過根據威脅的相關風險對威脅進行量化，將優先考慮風險級別最高的威脅。這種策略通過首先解決影響最大的威脅來優化風險管理。這就是為什么采用 DREAD 分類方案，該方案在促進對系統設計進行更復雜的分析方面顯示出潛力。

SAHARA 分析通過常規流程進行，包括確定 SecL。此外，采用 DREAD 方法來對比這兩種評級系統之間的差異。值得注意的是，調整后的 DREAD 威脅分類方案被證明更適合評估遠程網絡安全攻擊和影響整個車輛運行的攻擊。這種適用性源于其與潛在損害和對受影響用戶的影響相關的分類因素。盡管存在許多風險評估方法，但本文選擇使用 SAHARA 和 DREAD，因為它們能夠在系統級別量化對安全相關汽車開發的安全影響。這些方法特別適合評估可能影響車輛運行的遠程網絡安全攻擊。

SAHARA 方法為威脅 1 的風險值計算指定了 K 值為 2（表示中等要求）和 R 值為 2（表示中等資源）。然而，由于 T 值為 3，對手欺騙車載計算機上進程的威脅導致高臨界性水平。累積值導致 SecL 值為 1，表示高優先級。

同時，D、R、E 和 A 均獲得 DREAD 值 3（表示高影響），而 D 獲得值 2（表示中等影響）。累計得分達到 13，將其歸類為高優先級威脅。使用 SAHARA 和 DREAD 方法計算的所有威脅的風險值如表 5 所示。

表5：使用SAHARA和DREAD威脅評級方法對威脅進行分類

本節討論了將 STRIDE 威脅模型應用于 DFD 以及將風險評估方法 SAHARA 和 DREAD 應用于威脅后產生的威脅和風險。此外，還概述了針對 STRIDE 威脅類別的擬議防御機制。

4.1 產生的威脅和風險

在識別網絡安全威脅的過程中，微軟 STRIDE 工具被應用于 DFD 中選定的組件、數據流、數據存儲和外部實體。這些工作導致識別出總共 34 個威脅，系統地分為六個 STRIDE 類別。

需要注意的是，從用例場景中得出的所有已識別威脅都可能是主觀的，并且在不同場景中可能會有所不同。在將信息娛樂 HPC 系統部署到現實世界的汽車中之前，必須考慮這些已識別的威脅，以確保系統的安全性。

為了對已識別的威脅進行風險評估，同時使用了 SAHARA 和 DREAD 方法。風險值按優先級分類，包括高、中、低。使用 SAHARA 方法，29 個威脅被歸類為高優先級，沒有威脅屬于中等風險，5 個威脅被歸類為低優先級。使用 DREAD 方法，31 個威脅被識別為高優先級，3 個為中等優先級，沒有低優先級威脅。兩種方法中需要立即關注的高優先級威脅數量幾乎相似。具有重要風險值的高優先級威脅被強調為首要任務，需要立即實施對策。

4.2 針對 STRIDE 的通用防御機制

為了確保系統的安全性和完整性并保護其免受潛在危害，應實施一系列防御機制。具體而言，在處理與欺騙相關的威脅時，實施多因素身份驗證或生物特征身份驗證方法被證明在緩解系統內的這些威脅方面非常有效。為了應對篡改攻擊，必須采用加密和數字簽名技術，這可以增強系統對未經授權的更改和數據操縱的抵抗力。

汽車行業中安全與安保考量的融合給信息娛樂 HPC 系統帶來了潛在威脅。防范網絡安全和隱私泄露需要為汽車系統開發適當的威脅檢測和恢復方法。解決這些問題對系統的實際實施很重要。我們的研究利用 STRIDE 威脅建模工具，承擔了識別、分類和列舉信息娛樂 HPC 系統的 34 個網絡安全威脅的任務。還對產生的威脅進行了風險評估方法（SAHARA 和 DREAD），并計算了風險值以確定其優先級。針對威脅和風險類別，提供了緩解技術，旨在加強汽車領域安全與安?？剂恐g的平衡，同時確保汽車內信息娛樂 HPC 系統的安全性。

在未來的工作中，可以對與道路車輛連接的硬件組件進行威脅建模。遵循 ISO/SAE 21434 道路車輛網絡安全標準可能能夠識別更多威脅，從而增強汽車的整體安全性。