嘿，查理米勒！让我们谈谈保护自动驾驶汽车

最近一篇关于查理米勒（因远程黑客和控制吉普车而臭名昭著）的文章声称“公司之间的公开对话和合作”是构建安全自动驾驶汽车的必要先决条件。当如此多的公司竞相主宰曾经几乎已死但又重新复苏（还记得三巨头的救助计划吗？）汽车行业的未来时，这似乎有些牵强。尽管文章的那部分内容听起来很幼稚，但真正让我大吃一惊的是，重新设计安全性的答案完全取决于自动驾驶汽车行业。

安全的概念并非孤立于自动驾驶汽车所以假装是这样没有任何好处。每个 IIoT 行业都在努力解决类似的问题，并且出人意料地愿意分享他们的发现。我并不是说 Miller 需要通过所有其他行业进行启蒙之旅，以创建理想的安全解决方案。我是说这已经为我们完成了，这是工业互联网联盟 (IIC) 的赞美。

IIC 由来自多个行业的 250 多家公司组成——包括博世、电装和 TTTech 等汽车供应商——在平衡安全性、安全性、性能，当然还有其连接系统的成本方面存在相同的基本问题。如果有线 和米勒正在寻找公开的对话——它正在 IIC 发生。 IIC 发布了工业互联网参考架构，每个人都可以免费使用——就像“免费啤酒”一样，尤其是当汽车为你开车时！本文档的扩展是工业互联网连接框架 (IICF) 和工业互联网安全框架 (IISF)。这些文档从业务角度一直到实施提供指导，IISF 特别适用，因为它解决了Wired 简要提及保护连接端点和在它们之间传递的数据。

跟我一起走一趟，看看我们可以如何修改联网汽车的架构以抵御潜在的对手。由于我们没有任何已知的针对汽车的恶意攻击，我们可以从米勒的 Jeep hack 开始。由于 Harmon Kardon 主机中的后门“功能”，米勒能够非常轻松地执行未受保护的远程命令。通过这个最初的利用，他能够重新编程连接到 CAN 总线的芯片。从那里，他几乎完全控制了汽车。您在想，“只需删除那个未受保护的界面”，对吗？

米勒不会停在那里，所以我们也不会。假设我们仍然可以找到一个漏洞，允许我们重新编程 ARM 芯片，那么 Wired's 文章正确地建议建立一个经过身份验证的应用程序——也许从底层内核的安全启动开始，利用 ARM Trust Zone 进行下一阶段的关键软件，并为更高级别的操作系统和应用程序进程实施某种身份验证。您的设备端点可能开始看起来像一个受信任的应用程序堆栈（下面的图 1）。我现在只能猜测这个主机的成本是多少，但公平地说，这些都是运行受信任应用程序的有效考虑因素。现在的问题是我们实际上还没有连接到任何东西，更不用说安全了。放心，我不会把你丢在路边的。

许多这些受信任的应用程序直接连接到 CAN 总线，这可以说将攻击面扩展到车辆控制。在这些应用程序之间传递的数据不受未经授权的数据写入者和读取者的保护。对于自动驾驶出租车，如有线 指出，潜在的黑客现在可以物理访问他们的目标，增加了他们接管应用程序或引入冒名顶替者的机会。现在问题变成了：应用程序能否相互信任以及 CAN 总线上的数据？仪表盘如何信任外部温度数据？真的需要吗？也许不是，没关系。但是，我很确定车辆控制需要信任激光雷达、雷达、摄像头等。任何人最不想担心的事情是黑客远程驾驶汽车兜风。

我们真正谈论的是数据真实性和访问控制：这两项规定可以进一步降低米勒黑客攻击的风险。保护遗留应用程序是一个很好的步骤，但让我们考虑将未经授权的数据生产者引入系统的场景。这个侵入者可以在 CAN 总线上注入命令——控制转向和制动的消息。 CAN 总线不会阻止未经授权的数据发布者，也不会确保数据来自经过验证的生产者。我并不是建议替换 CAN 总线是前进的方向——尽管我不反对用更以数据为中心的解决方案替换它的想法。实际上，通过像数据分发服务 (DDS) 这样的框架，我们可以创建一个以 IISF 为指导的分层架构（下图 2）。 CAN 总线和关键驱动组件实际上是遗留系统，可以通过创建 DDS 数据总线屏障来降低安全风险。然后可以使用 DDS 安全地集成新组件，而不会进一步影响您的车辆控制。那么什么是 DDS？它如何帮助保护我的车辆？很高兴你问。

想象一个由汽车传感器、控制器和其他点对点通信的“参与者”组成的网络。每个参与者只从另一个参与者那里接收它需要的数据，反之亦然。通过点对点，该网络中的参与者可以相互验证，如果我们的可信应用程序支持，我们的可信连接也支持。我们如何保护这些点对点连接？ TLS，对吧？可能，但由于保护我们车辆的复杂性，我们希望灵活地在性能和安全性之间进行权衡并应用访问控制机制。

让我们稍微备份一下，重新回顾一下我们关于 IICF 的对话，它为工业控制系统的连接性提供了指导。 IICF 识别现有的开放标准，并将其简明地归因于工业物联网系统的精确功能。从本质上讲，自动驾驶汽车虽然听起来很酷，但它只是一个工业物联网系统，采用时尚的空气动力学车身，可选配真皮座椅。那么，IICF 对集成工业物联网系统软件，或更具体地说，自治系统的软件有何建议？你猜对了！ DDS：对象管理组 (OMG) 通过公开对话设计和记录的一组开放标准。利用 DDS 的理想汽车解决方案允许系统应用程序仅发布和订阅它们需要的消息（请参见下面的图 3，了解我们对自主架构的看法）。通过这种以数据为中心的方法，我们可以根据安全性的重要性或数据完整性的需求在架构上分解消息。

现在我们已经为我们的自动驾驶汽车建立了连接解决方​​案，我们可以回到讨论安全性和我们的 TLS 替代方案：以数据为中心的消息传递框架的以数据为中心的安全解决方案。借助 DDS 安全性，工业物联网系统架构师可以使用安全插件来微调安全性和性能权衡，这是 TLS 不提供的必要功能（下图 4）。仅对选择的数据主题进行身份验证，而不再进行身份验证？查看。只加密敏感信息而不加密？查看。实际上，还有更多。抛开中心化代理不谈，DDS Security 提供分布式访问控制机制，规定参与者可以在没有单点漏洞的情况下发布或订阅某些主题。这意味着米勒未经授权的应用程序将被拒绝发布控制制动或转向的命令。或者，如果米勒泄露了动态数据，数据订阅者可以对消息进行加密验证并丢弃任何与既定策略不匹配的内容。我们能说我们的自动驾驶汽车现在是完全安全的吗？不，因为米勒说得很清楚，我们仍然需要更多的对话。但是，我们可以肯定地说，DDS 和 DDS 安全提供了帮助连接和保护自治系统所需的前瞻性灵活性。

因此，对于 Charlie Miller 先生（当然还有 Chris Valasek 先生），您的工作令人惊叹且富有远见，但我认为如果您愿意，您需要跨行业查看公开谈论重新设计汽车架构。当您和世界上所有其他查理米勒想要进行公开对话时，请来敲我们的门。在 RTI，我们准备好与您讨论自动驾驶、工业物联网、安全和安保以及您认为应该定义未来汽车的其他一切。