本系列博客包括6个专栏,分别为:《自动驾驶技术概览》、《自动驾驶汽车平台技术基础》、《自动驾驶汽车定位技术》、《自动驾驶汽车环境感知》、《自动驾驶汽车决策与控制》、《自动驾驶系统设计及应用》,笔者不是自动驾驶领域的专家,只是一个在探索自动驾驶路上的小白,此系列丛书尚未阅读完,也是边阅读边总结边思考,欢迎各位小伙伴,各位大牛们在评论区给出建议,帮笔者这个小白挑出错误,谢谢!
此专栏是关于《自动驾驶技术概览》书籍的笔记。
4.安全解决方案
概述:自动驾驶汽车的安全问题涉及的层级,包括:传感器、操作系统、控制系统、车联网系统等;
- 针对传感器的攻击简单直接,通过外界环境干扰威胁车辆行驶安全;
- 针对自动驾驶操作系统攻击,将造成系统崩溃,信息泄露等问题;
- 针对自动驾驶控制系统攻击,车辆底层机械部件将完全受制于非法人员,严重威胁行车安全;
- 针对车联网系统攻击,直接关系车队通信安全;
4.1 潜在威胁与对应方案
- 传感器安全。
- GNSS信号容易受到附近大功率假GNSS信号的干扰;
- 强磁场干扰IMU的测量;
- 强反光物通过影响激光发射时间干扰激光雷达的工作;
- 环境中的干扰目标容易影响计算机视觉的检测效果;
- 通过多传感器融合技术,检测传感器数据的一致性,保障传感器层级的安全性、可靠性;
- 操作系统安全。
- 当其中一个节点被劫持,可以通过不断分配内存导致系统崩溃;可以使用容器机制,如:LXC,用来隔离进程和资源;
- 当某个主题或服务被劫持,非法入侵者可以伪造消息,造成系统异常;可以采用通信加密算法,如:DES加密算法,对ROS节点间的通信进行加密处理,保障自动驾驶操作系统的安全;
- 控制系统安全。
车辆的CAN总线连接着车内所有电子控制单元,一旦CAN总线被破解并非法入侵,将严重威胁驾驶安全;对车载电子控制单元的通信进行加密认证,目前的解决方案:TLS安全协议、TESLA安全协议、LASAN安全协议等; - 车联网系统安全。
车联网通信机制(V2X)包含各种车辆通信的情景,如:车与车通信V2V、车与路通信V2I、车与人通信V2P等;硬件方面:提出了设计安全存储硬件以及使用ASIC硬件加速加解密;软件方面:提供了一整套开源软件栈,包含加密解密软件库电子证书认证库等;为了确保信息来源于可信设备,可使用受信任的证书颁发机构提供的安全证书与密钥;
4.2 Apollo安全方案
百度Apollo提出自动驾驶汽车全生命周期的4S信息安全解决方案:Scan、Shield、See、Save;
- Scan:在车辆生产环节为车辆提供全面扫描,检测安全漏洞;在这环节将提供安全评估报告并提供修复方案;
- Shield:基于隔离和可信的体系,提供完善的安全框架及系统组件,以避免网络入侵,保障用户隐私和汽车信息安全;
- See:基于车端预装的安全防御产品,时刻监控车辆的安全状态及处理状况;通过百度的智慧数据与云端能力,提供威胁趋势预测和监护;
- Save:当新型攻击出现时,Apollo平台可以提供及时的应急处理服务,紧急修复漏洞,云端升级系统,使得车辆在免于召回的情况下得到安全巩固;
防御措施:
- 车辆入侵检测防御系统。
车辆入侵检测防御系统(IDPS)通过检测系统合法性、阻止恶意或未经授权的软件安装、检测可疑的应用连接和隐私数据访问,来保障车辆娱乐系统及通信系统的安全性;该系统可以阻断非受信软件的安装和执行,防止受信软件被卸载和篡改;基于硬件可信,保证每个环节所执行代码的可信度;可以对系统异常行为进行检测,抵御越权攻击;该系统具有CAN指令过滤能力,可识别风险控车指令; - 车载防火墙。
车载防火墙(Car FireWall)通过部署在车载网关上,监控整个网络通信,发现并阻止异常的网络行为及非可信车辆的操作指令,保证车载网络安全;这种方案通过区域隔离实现车载网络和因特网的安全隔离;同时,防火墙支持IP、Port访问控制,支持基于App的网络访问控制;基于协议识别的应用层可以安全过滤协议通信;基于实时网络异常流量的检测、告警、阻断,阻止网络异常;基于内核驱动技术实现日志落盘,安全审计功能; - 安全升级套件。
安全升级套件(Sec-OTA)保证升级的安全可靠;该套件支持Android、Linux系统,支持Python、Java、C++接口,支持Android recovery模式;其提供车端及云端SDK及运营工具,简单易用、易于运营、集成部署,支持业务数据电子信封传输,不依赖TLS实现数据安全传输;支持安装包分片校验,减小内存占用,节省硬件成本;支持网络升级及USB离线升级; - 芯片级ECU信息安全解决方案。
Apollo在Gateway、ECU内集成CAN防火墙,提供芯片级安全启动、安全升级、通信安全、接入认证、入侵检测防御系统,终端黑客入侵,保护车内网络安全;可实现软硬一体,深入芯片层保障控车安全;通信加密可实现微秒级响应,无须更改电路、无须更改原有软件架构,可部署在网关或相关ECU上。