摘要

本文提出了一種新穎的汽車架構系統級安全性分析方法。隨著汽車中軟件數量的增加和聯網程度的提高，汽車領域正面臨著日益凸顯的安全挑戰。我們提出的方法能夠對不同架構變體的安全性進行評估，可為設計過程中的決策者提供參考。首先，基于每個組件的參數（包括通過自動或手動評估得出的可利用性評分和補丁更新率），對汽車電子控制單元（ECUs）和網絡進行系統級建模。對于任何特定的架構變體，構建連續時間馬爾可夫鏈（CTMC）模型，并利用概率模型檢測方法從機密性、完整性和可用性三個維度進行分析。所引入的案例研究驗證了該方法的實用性，例如，可為電子控制單元制造商確定補丁更新率目標等參數提供依據。

1、引言與相關工作

在過去二十年中，汽車系統中的電子設備和軟件數量迅速增長。如今，高端車輛最多可包含 100 個電子控制單元（ECUs）和多個異構總線系統，實現了從舒適性功能到主動安全功能的各類應用。

雖然功能和安全要求一直是汽車架構設計中的核心考量因素，但對于許多新興應用而言，安全性正成為一項重大挑戰。消費者和汽車制造商認識到車載云連接服務帶來的諸多益處，這些服務使現代信息娛樂系統、自適應路線規劃或軟件空中下載更新等功能成為可能。然而，人們也清楚地意識到，這些應用存在遭受黑客攻擊的漏洞風險。

在現有方法中，車輛網絡通過外部接口處的防火墻來保障安全性，但內部安全性往往未被納入考慮范圍。一旦防火墻被攻破，攻擊者便可自由訪問整個網絡。圖 1 展示了這樣一個潛在的攻擊場景。

圖 1、汽車架構中可能存在的漏洞利用示意圖。正常運行狀態下，泊車輔助系統（PA）會通過網關（GW）發送消息流 m，以此實現對動力轉向系統（PS）的控制。若遠程信息處理模塊（3G）遭遇黑客攻擊（-），攻擊者可發送一條標識符與 m 完全相同（ID (m) = ID (m′)）的消息流 m′，進而實現對轉向系統的控制

研究表明，傳統汽車架構在設計時未充分考慮安全性，因此具有極高的脆弱性。特別是，對安全關鍵控制功能的黑客攻擊可能會導致嚴重甚至致命的后果。文獻對不同攻擊及其對控制功能的影響進行了建模，結果表明，如果駕駛輔助功能的通信未得到安全保護，攻擊者可輕易篡改這些功能。目前已出現一些整合安全性與安全性的新技術，用于保護車載通信網絡，如控制器局域網（CAN）和 FlexRay。在汽車領域，需高效實現內部總線的加密和認證功能，文獻提出了一種認證方法。

現有汽車系統安全性的主流方法多針對單個組件，而本文提出的方法則聚焦于系統級分析。在系統分析方面，模型檢測已被應用于計算機網絡和協議的驗證。但這些方法僅在對每個組件的漏洞都進行建模的情況下，才能檢測出系統漏洞。然而，在設計階段往往無法預知所有漏洞，因此，文獻中提出的一種基于攻擊成本的概率模型檢測方法（用于拒絕服務（DoS）攻擊分析）可對這種不確定性進行抽象。相比之下，本文的方法基于底層汽車架構，對包括協議 DoS 攻擊在內的所有通信流量的安全性進行量化分析。

本文的貢獻：本文提出了一種汽車架構系統級安全性分析方法。利用設計階段已知的電子控制單元拓撲結構、通信網絡和消息流信息，通過概率模型檢測技術，能夠從機密性、完整性和可用性三個維度對汽車架構的安全性進行量化評估。

第 2 節概述了所提出的框架，該框架包括以下三個步驟：

1. 將所考慮的汽車架構轉換為馬爾可夫模型；

2. 對組件進行評估，確定馬爾可夫模型的轉移率；

3. 為模型檢測器定義屬性，以確定相應的安全值。

借助完整的馬爾可夫模型和定義的屬性，概率模型檢測器可得出所分析架構的安全值。

第 3 節詳細描述了該方法。我們將被測架構的粒度細化到子模塊級別，涵蓋所有網絡接口、總線系統、電子控制單元和消息。將這些子模塊轉換為馬爾可夫模型，從而將架構轉化為一個圖結構。圖中的邊通過概率率進行加權，這些概率率代表每個子模塊的可利用性和補丁更新率。我們建議通過對每個子模塊進行標準化安全評估來確定這些速率。利用帶有指定速率的馬爾可夫模型，定義評估架構的屬性。我們的框架允許為架構中的任何子模塊定義屬性，從而能夠在考慮整個架構的同時，評估所有相關的安全方面。

第 4 節展示了對一組示例架構的分析結果。我們獲取并比較了三種架構變體的分析結果，同時展示了針對特定架構探索不同可利用性和補丁更新率的可能性。最后，在第 5 節總結之前，討論了所提出方法的普遍適用性和可擴展性。

2、架構

以下首先對分析方法進行概述，在問題描述之后，詳細解釋分析流程的主要步驟。

2.1 問題描述

汽車網絡由大量執行特定任務（如傳感、計算或驅動）的電子控制單元組成。功能以分布式方式實現，需要通過 CAN 和 FlexRay 等不同的共享總線系統進行通信。特別是，一旦系統受到威脅，通過共享總線傳輸的預定義且通常未加密的消息流將成為主要安全隱患。

在汽車領域，組件或功能通常是獨立開發的，之后再集成到架構中。雖然在子系統級的用例中可能會考慮安全性方面，但系統級的漏洞往往被忽視。為解決這一問題，所提出的框架旨在在設計和集成階段回答以下問題：

· 組件漏洞對特定功能的安全性有何影響？

· 就安全性而言，某一架構設計決策相比替代方案是否更具優勢？

· 在特定組件的實現過程中，應投入多少精力考慮安全性？

需要注意的是，本文關注的是系統級安全性，并未涉及電子控制單元內部的安全性方面，如安全啟動、密鑰存儲等。

由于汽車架構是由眾多不同組件組成的高度異構系統，因此必須在系統級對所有重要方面進行建模。例如，車輛中使用的通信系統在安全性支持方面存在很大差異，尤其是在可用性方面，因此需要為這些通信系統建立合適的模型。電子控制單元可能連接到多個通信總線，導致存在不同概率的潛在攻擊路徑。最后，為了表征電子控制單元和其他組件的安全屬性，需要量化它們被利用的速率以及相應的補丁更新速度。為此，在系統建模時應考慮安全評估結果和汽車安全完整性等級（ASIL）值。

2.2 分析流程

汽車架構的安全性分析方法如圖 2 所示，包括三個步驟：模型轉換、組件評估和屬性定義。最后，通過概率模型檢測器確定架構的安全性。

圖 2、所提框架示意圖：（1）將架構轉換為馬爾可夫模型；（2）通過對每個組件的安全性評估確定轉移率；（3）為模型檢測器定義屬性。最終，概率模型檢測器會返回量化結果，為系統級決策提供支持

2.2.1 模型轉換

為了能夠從安全性角度處理架構，需將其分解為相關組件，包括總線、電子控制單元、消息、接口等。對于每個組件，通過馬爾可夫模型定義其可利用性和補丁更新率。最后，將這些馬爾可夫模型組合成一個單一系統，以便進行概率模型檢測。根據所考慮的系統，這種轉換可以靈活地擴展或調整。第 3.1 節將詳細介紹一種具體的轉換方法。

2.2.2 組件評估

與架構轉換相對應，需要對各個組件的可利用性和補丁更新率進行評估，這些值將決定馬爾可夫模型的轉移率。對于可利用性，我們建議采用通用漏洞評分系統（CVSS），基于已建立的標準對組件的漏洞進行評估。考慮到組件的 ASIL 值，我們發現補丁更新率在很大程度上取決于組件的安全要求 —— 軟件更改可能需要昂貴的重新測試和驗證。用戶可以根據開發流程和現有數據調整這些速率。理想情況下，評估應在子組件級別進行，并納入電子控制單元的安全元素，但本文采用了一種簡化的基于組件的方法。該方法的粒度可以根據需要進行調整（見第 5 節）。第 3.2 節將詳細介紹基于 CVSS 和 ASIL 的組件評估方法。

2.2.3 屬性定義

通過定義特定屬性，可以從安全性角度研究架構的特定方面。與穩態分析（分析系統在某個時間點收斂到穩態的情況）相比，這種分析更具優勢。例如，某一屬性可以是某一功能在 10 年內可被利用的累計時間。第 3.3 節將詳細介紹如何定義合適的屬性。

3、方法

本節將詳細描述從架構創建馬爾可夫模型（第 3.1 節）、通過組件評估為模型的邊加權（第 3.2 節）以及定義屬性以分析模型（第 3.3 節）的具體步驟。

在從架構創建模型時，我們根據存在的漏洞數量對電子控制單元和接口進行建模。新漏洞的發現速率為 η（例如，由安全研究人員發現），漏洞的補丁修復速率為 φ（例如，通過空中下載（OTA）更新）。網絡和總線被視為被動組件，其安全性取決于所有連接的電子控制單元中最不安全的狀態。消息則基于機密性、完整性和可用性這三個安全原則進行建模：

· 機密性：防止未授權實體讀取消息；

· 完整性：防止消息被創建或修改；

· 可用性：防止消息被中斷或刪除。

每個原則都將根據消息的保護方式（無保護、加密哈希、加密）和傳輸所使用的通信網絡分別進行分析。

示例：為了說明這一過程，考慮一個簡單的架構 —— 遠程信息處理電子控制單元（3G）連接到 CAN 總線（參見圖 1 中的 3G）。CAN 總線用于傳輸消息 m，該消息既不由遠程信息處理電子控制單元發送，也不被其接收。將該架構轉換為馬爾可夫模型后，得到如圖 3 所示的模型。這是一個非常簡化的轉換，未考慮所有電子控制單元、接口或消息狀態，且每個模塊僅考慮一個漏洞。

圖 3、簡化馬爾可夫模型示意圖，用于分析圖 1 架構中消息 m 的機密性可利用性（nmax=1）。狀態由 s = (s?G, s_CAN1, s_mconf) 構成，每個原子狀態 s?代表組件 3G、CAN1 和消息 m（機密性維度）存在的漏洞數量

分析該模型可知，從安全狀態 s?=(0,0,0) 開始，遠程信息處理單元被發現存在漏洞的速率為 η?G。一旦發現漏洞，CAN 總線立即被視為可被利用（狀態 s?=(1,1,0)）。遠程信息處理單元可以通過速率 φ?G 進行補丁修復。如果未及時修復，且用于保護消息 m 的漏洞（遠程信息處理電子控制單元沒有相關密鑰）被發現（速率為 η_mc），則系統進入狀態 s?=(1,1,1)，此時消息 m 可被利用。從此時起，消息 m 的內容不再具有機密性，因為其內容可能已被篡改。為解決這一問題，需要對消息保護機制和遠程信息處理單元進行補丁修復，在示例模型中，對應的修復速率分別為 φ_mc 和 φ?G。或者，也可以限制攻擊者的訪問權限。

這是一個非常簡化的示例，僅使用了我們提出的建模技術的一小部分。接下來，將詳細解釋完整的轉換規則、組件評估以及利用概率屬性進行模型分析的方法。

3.1 模型轉換

為了能夠利用概率方法分析汽車通信架構，需要將其轉換為馬爾可夫模型。我們的轉換過程考慮了所有通信參與者（即電子控制單元）和互連（如總線系統和網絡）。此外，為了分析不同通信系統的影響，我們將每個電子控制單元按其對應的通信系統拆分為多個接口。同時，我們還會對系統中傳輸的消息進行分析。

3.1.1 術語定義

為了對架構進行安全性分析建模，我們需要定義以下集合：所有電子控制單元 e∈E、所有內部總線 b∈B，以及每個電子控制單元 e 的所有接口集合 I_c。接口 i_b∈I_c 將電子控制單元 e 與總線或外部網絡 b∈B_c 連接起來。因此，電子控制單元可定義為 e={I_c, B_c}，總線定義為 b={E_b}（其中 E_b 是總線上的電子控制單元集合）。為了分析消息 m，需要明確發送電子控制單元 s_m、接收電子控制單元集合 R_m 以及消息傳輸所經過的總線集合 B_m，因此消息 m 可定義為 m={s_m, R_m, B_m}。這些數據可從架構設計中獲取，包括完整的消息調度集合。每個模塊在某一時刻考慮的最大漏洞數量定義為 n_max。

3.1.2 電子控制單元與接口

為了對架構進行建模，需要將每個電子控制單元拆分為多個接口。對于每個接口 i_b，基于概率可利用性速率 η_i_b 單獨分析其可利用性 ε(i_b)≥0—— 如果總線可被利用，則漏洞數量 n 會增加：

電子控制單元的可利用性 ε(e) 基于其所有接口的可利用性：

接口 i_b 的安全漏洞補丁修復基于補丁更新率 φ_i_b，其與上述關系相反：如果 ε(b)>0，且 i_b∈I_c，0≤n<n_max，則：

3.1.3 總線與網絡

類似地，CAN 總線 b_c 的可利用性 ε(b_c) 取決于所有連接的電子控制單元的可利用性：

如果使用 FlexRay 總線 b_f，則在電子控制單元 e 能夠在總線上自由傳輸之前，還需要先利用總線守護者 i_bg：

直接連接到互聯網的網絡或總線（如 3G）始終被視為可被利用，因為攻擊者可以持續訪問這些網絡或總線。我們將其可利用性值恒定設為 1 以建模這一特性：

3.1.4 消息

消息的可利用性分為可用性 A、完整性 G 和機密性 C 三個影響類別。可用性在很大程度上取決于所使用的通信系統，而完整性和機密性則基于消息的保護方式。具體而言，加密哈希和加密技術分別針對這些類別提供保護。當使用 CAN 總線時，如果消息傳輸所經過的任何總線被利用，則無法保證可用性：

即使消息經過加密，如果發送或接收電子控制單元被利用，也無法保證消息 m 的機密性和完整性。為了確保實時性能，我們假設采用對稱加密，因此消息加密密鑰同時存儲在發送和接收電子控制單元中。本文未分析安全密鑰存儲，但可將其作為子模塊集成到電子控制單元模塊中。機密性 C 和完整性 G 的行為類似，但取決于消息 m 所使用的保護機制。在本節的其余部分，將展示機密性的轉換規則。對于消息完整性，只需將公式中的 C (m)/η_C/φ_C 替換為 G (m)/η_G/φ_G 即可，規則同樣適用。

如果發送方或接收方可被利用，則消息的機密性可能會受到破壞：

此外，任何位于消息 m 傳輸所經過的總線上的電子控制單元都可能對機密性發起攻擊。此類攻擊的概率取決于所使用的加密算法的強度及其實現方式。為描述這一行為，我們定義以下關系：

因此，只有當所有傳輸網絡上的所有電子控制單元都不可被利用時，消息才不可被利用。

上述操作的逆過程描述了消息加密 / 哈希中漏洞的補丁修復：

至此，完成了將架構轉換為馬爾可夫模型狀態的過程。

3.2 組件評估

為了能夠分析上一節生成的馬爾可夫模型，需要為模型的邊分配權重。這些速率表示設備隨時間被利用的概率以及設備的補丁修復速率。

3.2.1 可利用性速率

在本文中，我們通過調整后的通用漏洞評分系統（CVSS）來確定速率。CVSS 是一種開放標準，用于評估軟件系統中的漏洞，由美國國家標準與技術研究院（NIST）維護。它可以基于多個子評分和類別的評估結果，生成組件的安全評分。可利用性子評分中使用的標準與汽車領域接口所需的標準相似。我們利用可利用性子評分（見表 1）并進一步調整以適應汽車領域。基于子類別評分，計算可利用性評分 σ：

我們將可利用性速率標準化為 1 年。

表 1、CVSS 可利用性子評分的類別及其在汽車網絡中的解釋

示例：以遠程信息處理電子控制單元的 3G 接口評估為例。由于該設備連接到互聯網，訪問向量為跨多個網絡（AV=1）。由于其暴露面較廣，我們假設該設備經過加固以抵御攻擊，因此訪問復雜度為高（AC=0.35）。此外，假設訪問該設備需要多個認證步驟（Au=0.45）。根據公式（11），計算得出 σ=3.15。基于公式（12），可利用性速率 η=1.85。

在本文的其余部分，我們將基于 CVSS 的評估結果用于所有電子控制單元的接口。

3.2.2 補丁更新率

向車輛提供補丁的數量和速率取決于多種因素。首先，補丁的開發時間為補丁更新率設定了上限。此外，如果需要修改與安全相關的功能以實現安全補丁，則可能需要進行大量測試。因此，我們基于待補丁功能的 ASIL 等級來分配補丁更新率。與 ASIL 等級相關的補丁更新率如表 2 所示。與安全相關的設備（如網關（GW））只能在相對較長的時間間隔內進行補丁更新，而非安全相關功能（如遠程信息處理單元（3G））則可以在較短的時間間隔內進行補丁更新，因為所需的測試較少。

表 2、可利用性速率和補丁更新率的安全評估結果。網關、遠程信息處理單元和 FlexRay 總線守護者等設備經過專門加固以抵御攻擊。消息評估取決于所評估的模式（完整性、機密性）。消息可用性通過底層總線系統保障

在馬爾可夫模型中使用此類轉移率，可以基于時間維度進行分析，從而形成連續時間馬爾可夫鏈（CTMC）。

3.3 屬性定義

在根據架構創建 CTMC 模型并按照上一節的討論分配轉移率后，需要定義分析目標。這些目標被定義為模型的屬性。CTMC 模型的一個常見評估屬性是穩態分析，通過傳統的矩陣運算可以計算出在任意采樣時間點處于每個狀態的概率。以圖 3 中的示例為例，假設速率 φ?G=φ_mc=52（每周一次），η?G=η_mc=2（每兩年一次），則轉移率矩陣為：

注意，矩陣對角線上的值是該行速率之和的負數。穩態解 πQ=0 得出平穩分布。因此，在任意給定時間點，系統處于消息 m 可被利用的狀態 s?的概率為 0.0699%。然而，這種穩態信息對于實際的安全問題分析并不充分。例如，我們可能關心模型在一年內至少達到狀態 s?一次的概率。為了在 CTMC 中表達這一屬性，需要定義基于獎勵的屬性，對該狀態的每次出現進行計數。我們遵循文獻中的語法，定義：

為了評估此類屬性，需要應用模型檢測算法。利用這些算法，可以分析上述步驟生成的每個子模塊的每個狀態的可達性或概率。傳統模型驗證中使用的可達性約束只能以絕對術語定義安全性（例如，P=?[F ECU1>0] 或 ECU1 是否在任何時間點可被利用？）。然而，安全性不能以絕對術語來定義，假設任何設備具有絕對安全性是不現實的。因此，我們必須定義能夠基于模型的時間維度得出結論的屬性。

關于累積概率的示例問題：消息 m 在一年內可能遭受可用性攻擊的時間有多長？對于這個問題，我們需要計算所有 A (m) 出現的累積時間，通過獎勵來表示：

4、實驗結果

本節將討論實驗設置，并通過將該框架應用于基于圖 4 所示三種架構的案例研究，展示分析方法的潛力。利用第 3 節介紹的方法對架構進行建模后，使用概率模型檢測工具 PRISM 進行分析。

在配備 3.2 GHz 英特爾至強四核處理器的傳統臺式計算機上，對于 n_max=2 的架構，單個屬性的計算需要 15 分鐘至 1.5 小時。每個 PRISM 計算以單個進程運行，內存占用可忽略不計。運行時間與生成的馬爾可夫模型的狀態數量相關。圖 4 中示例架構的模型狀態數量在 400,000 至 120 萬之間。所有結果均以消息 m 在一年內可被利用的時間百分比表示。

圖 4、用于比較不同安全方案的三種架構。架構 1 中，消息 m 與遠程信息處理單元（3G）在同一條總線上傳輸；架構 2 為消息 m 增設了專用連接；架構 3 引入 FlexRay 總線用于消息 m 的傳輸

4.1 架構評估

我們對三種基于實際系統的不同架構進行了評估。僅考慮完整車輛架構中的相關子系統，如圖 4 所示。所考慮的架構包括通過網關連接的兩個總線系統、一個遠程信息處理單元以及一個自動泊車輔助應用（包含 2 個電子控制單元）。自動泊車輔助系統簡化為一條在泊車輔助控制器和車輛動力轉向系統之間傳輸的消息流。

4.1.1 架構與組件評估

架構 1 與圖 1 中的示例類似。由于假設該系統的安全性并非最優，我們還考慮了兩種替代架構。在架構 2 中，消息流 m 通過 CAN?上的額外專用連接發送，避免了消息流在直接連接到遠程信息處理單元的總線上暴露。在架構 3 中，我們將 CAN 總線替換為時間觸發的 FlexRay 總線，在設計階段定義調度表，為每個設備分配固定的時隙。

示例中的可利用性速率和補丁更新率如表 2 所示。我們假設關鍵電子控制單元（如網關和遠程信息處理單元）經過專門加固以抵御攻擊。消息 m 的可利用性速率取決于所使用的安全特性。我們考慮三種變體：未加密、128 位密鑰的基于密碼的消息認證碼（CMAC）以及 128 位密鑰的高級加密標準（AES）。未加密消息可立即被利用，CMAC 保護的消息可提供完整性，而 AES 保護的消息可確保機密性。

所有設備的補丁更新率基于 ASIL 評估結果，具體數值如表 2 所示。

4.1.2 結果

分析結果如圖 5 所示。可以觀察到，使用 128 位 CMAC 的加密哈希僅在完整性方面提高了安全性，而使用 128 位 AES 的加密在完整性和機密性方面均有效。這驗證了我們的結果 —— 加密哈希僅能防止消息被創建，而加密還能防止消息被讀取。

圖 5、圖 4 所示架構的分析結果。我們針對三種架構，結合不同的保護機制（未加密、128 位 CMAC、128 位 AES），從機密性、完整性和可用性三個維度對消息 m 進行了分析。結果清晰表明，更優質的加密方式和設計更嚴謹的架構具有更低的被利用風險；而在可用性方面，需要總線系統的支持才能確保合理的安全性

總體而言，無論是加密哈希還是加密，都未顯著提高安全值。這一結果與直覺相反，原因如下：通過黑客攻擊泊車輔助系統（PA），加密哈希和加密機制會被破解，從而失去有效性。特別是由于泊車輔助系統（PA）的 ASIL 值導致其補丁更新率相對較低，使得該設備的可利用性較高。

此外，還可以觀察到，與架構 1 相比，架構 2 的安全性并未顯著提高，在某些情況下甚至更差。這是因為泊車輔助系統（PA）和網關（GW）的低補丁更新率導致這些設備的可利用性較高，從而使 CAN?總線暴露。同時，架構 2 中的泊車輔助系統（PA）連接到兩條總線，導致其可利用性更高。將泊車輔助系統（PA）連接到 CAN?總線甚至可能引發進一步的安全問題，因為該設備可能被用作攻擊其他功能的橋梁，這將導致架構 2 中僅在 CAN?總線上實現的功能的安全值顯著降低。

在 FlexRay 總線中，現有帶寬以時間觸發的方式分配。設備只能在其分配的時隙內傳輸數據，總線守護者會阻止設備在其他時隙內傳輸。這一安全措施也具有顯著的安全影響，因為設備無法在其他時隙內惡意傳輸消息。這使得攻擊面整體減小，因為攻擊者需要滲透到通信相關的設備或總線守護者才能攻擊消息 m。

4.2 參數探索

為了評估不同可利用性速率和補丁更新率的影響，我們分析了架構 1 中消息 m 的可利用性對入口點電子控制單元 3G 的這些速率的敏感性。由于 3G 電子控制單元是架構的入口點，消息 m 的可利用性在很大程度上取決于 3G 電子控制單元的可利用性速率和補丁更新率。我們獨立分析了可利用性速率和補丁更新率在每十年一次（η?G=φ?G=0.1）到每小時一次（η?G=φ?G=8760）之間的變化。當改變可利用性速率時，補丁更新率設定為 φ?G=52；當改變補丁更新率時，可利用性速率設定為 η?G=1.9。結果如圖 6 所示，呈現出指數特性。因此，我們可以得出結論：在可利用性抵抗能力 / 補丁更新率的較低范圍內進行改進，對系統的影響較大，而較高的速率并不會顯著有助于優化安全性。假設可利用性閾值為 0.5%，對于沒有其他訪問方式的聯網電子控制單元，合理的補丁更新率約為 φ=6（每 2 個月一次）。如果通過進一步加固設備降低可利用性速率，則需要確保最大可利用性速率 η=12（每月一次），才能將可利用性控制在 0.5% 以下。

這種分析可以針對架構中的每個元素進行。因此，根據架構的不同，制造商可以選擇加固設備以抵御攻擊，或者在原始設備制造商（OEM）和供應商之間通過合同約定補丁更新率。

圖 6、參數探索示意圖，用于評估（參數）對整個架構安全性的影響。（a）中對入口點的補丁更新率進行了調整；（b）中為構成車輛攻擊起點的遠程信息處理電子控制單元（3G）采用了不同強度的安全防護措施

4.3 可擴展性

在驗證方法中，由于狀態空間的指數增長特性，模型大小通常是一個限制因素。然而，我們的研究表明，通過對涉及相關組件和單一消息流的功能進行適當抽象，能夠在合理的時間內評估實際的汽車架構。

雖然涉及更多設備和組件的更復雜功能會導致更大的狀態空間和更長的運行時間，但仍有很大潛力顯著降低這些數值。目前，我們使用的 PRISM 模型檢測器不會合并具有瞬時轉移的狀態。這些轉移是在從組件子模型構建系統模型時產生的，在現實世界中并不存在，因此可以安全地移除。在預處理步驟中檢測可合并的狀態可以進一步降低復雜性，因為在概率模型檢測中，狀態數量與運行時間密切相關。總之，我們的研究表明，概率模型檢測是一種可行的汽車架構安全性量化分析方法，未來的工作將致力于解決該方法的可擴展性問題。

5、結論

本文提出了一種汽車通信架構安全性分析方法。通過在設計階段對系統級架構進行分析，可以從機密性、完整性和可用性三個維度量化每個元素的安全性。該分析結果可為整體架構的設計決策和組件安全性能的優化提供支持。首次實現了確定單個組件對架構整體安全性的影響。我們通過生成相應的馬爾可夫模型來分析架構，通過組件的安全評估確定邊權重，定義安全屬性并利用概率模型檢測器對模型進行分析。結果表明，該方法能夠發現組件級或子系統級無法識別的架構安全漏洞。

未來的工作將通過實現針對性的模型檢測器來解決可擴展性問題。隨著性能的提升，我們將能夠分析更精細的模型和更復雜的系統（例如包含以太網的系統）。此外，基于安全性分析結果，我們將能夠生成一套汽車架構的最佳實踐方案。計劃將安全性和可靠性分析相結合，并整合電子控制單元內部的安全措施。

（添加微信號NewCarRen咨詢）