自动驾驶汽车与利益相关者互动的功能安全与网络安全分析方法

网联自动驾驶汽车（CAVs）正成为一种全球性现象，并逐步融入我们的社会。随着车辆系统自动化和联网水平的提升，人们对技术的依赖程度不断增加，这降低了人类在车辆动态驾驶任务中的影响。这一发展使得人车交互设计的性质从 “控制” 显著转变为 “监控式控制”。网联自动驾驶汽车的最终目标是实现无人驾驶出行（SAE 4-5 级），在这一阶段，各类利益相关者（乘客、服务提供商、保险公司等）将在车辆生命周期的后期阶段（开发后阶段）产生互动。网联自动驾驶汽车易受安全威胁和网络安全攻击，一次成功的攻击可能导致安全、运营、财务和隐私等多方面的损失。本文旨在提出一种基于网联自动驾驶汽车与各类利益相关者互动的功能安全与网络安全分析方法，该方法符合汽车网络安全标准 ISO/SAE 21434。ISO/SAE 21434 标准仅针对车辆系统层面提供了风险管理指南，而本文提出的方法将对该标准进行补充，基于网联自动驾驶汽车 - 利益相关者互动模型开展功能安全与网络安全分析，并探究网络安全事件对各类利益相关者的影响。本文所提出的方法整合了功能安全与网络安全领域的已知技术知识。研究成果包括构建互动模型、识别互动资产及其漏洞与威胁，此外，还通过攻击后果分析来展示攻击对各类利益相关者的影响。该方法可应用于网联自动驾驶汽车生命周期的任意开发后阶段，如运营、维护和报废阶段。

数字技术（如物联网、人工智能和电力通信网络）的快速发展，使现代汽车变得更加智能、互联。如今，汽车行业正朝着将完全自动驾驶汽车推向市场的方向发展。随着自动化水平的提高，人们对技术的依赖程度也随之增加，这降低了人类在车辆动态驾驶任务中的影响。这一发展使人车交互从 “控制” 显著转变为 “监控式控制”。汽车工程师协会（SAE）在 J3016 标准中定义了不同级别的车辆自动化，从 0 级（无驾驶自动化）到 5 级（完全自动化）。网联自动驾驶汽车（CAVs）的最终目标是让无人驾驶车辆（SAE 4-5 级）融入社会。

随着车辆自动化和联网水平的提升，网联自动驾驶汽车变得更加脆弱，面临着前所未有的网络攻击。文献表明，网联自动驾驶汽车易遭受网络攻击。在为网联自动驾驶汽车的安全提供有效解决方案之前，风险评估被视为实现汽车网络安全的重要基础。2021 年，《ISO/SAE 21434 道路车辆 - 网络安全工程》标准强调了在整个车辆生命周期内对车辆安全风险进行管理（ISO/SAE 21434:2021，2021）。因此，现在可以预期，汽车企业将被要求按照 ISO/SAE 21434 标准的指南开展威胁分析与风险评估（TARA）。

目前已有多种风险评估框架和方法被提出，用于解决车辆系统层面的风险问题，包括 EVITA、STPA、SAHARA和 THARA，这些方法能够识别可能被攻击者利用的系统漏洞。然而，目前尚无能够考虑网联自动驾驶汽车与利益相关者之间的互动，并探究网络安全事件对这些利益相关者影响的功能安全与网络安全分析方法。网联自动驾驶汽车系统的安全故障可能会威胁人身安全、侵犯隐私，还可能导致车辆损坏和经济损失。因此，有必要以更系统的方式处理人机技术关系，仅依靠技术解决方案无法完全解决网络安全问题。

本研究旨在通过提出一种聚焦利益相关者互动的功能安全与网络安全分析方法，填补上述空白。该方法符合 ISO/SAE 21434 网络安全标准的指南，并考虑了网联自动驾驶汽车生命周期的开发后阶段。根据 ISO/SAE 21434 标准，开发后阶段指车辆的运营、维护和报废阶段（ISO/SAE 21434:2021，2021）。图 1 展示了在网联自动驾驶汽车生命周期开发后阶段，各类利益相关者与网联自动驾驶汽车的互动情况。网联自动驾驶汽车与利益相关者之间的互动，指的是利益相关者与网联自动驾驶汽车系统之间的信息和数据交换。这种互动能让利益相关者了解车辆的运行状态、使用车辆的功能，并对网联自动驾驶汽车进行监控式控制。网联自动驾驶汽车系统负责支持和实现这种互动。如图 1 所示，参与这一过程的利益相关者可能包括乘客、服务提供商、网约车服务平台、保险公司以及维修服务商等。

图1、网联自动驾驶汽车-利益相关者互动——车辆开发后阶段

该方法有望完善风险评估方式，因为它在网络安全背景下纳入了人为因素，以探究网络安全事件对各类利益相关者的影响。

本节将阐述安全可靠互动（SSI）方法的整体框架（见图 2）。所提出的 SSI 方法针对 SAE 4-5 级自动驾驶车辆，其应用范围不局限于特定场景，涵盖了车辆生命周期的开发后阶段。

图2、基于利益相关者互动的网联自动驾驶汽车功能安全与网络安全分析方法——符合ISO/SAE 21434标准）

2.1 方法概述

所提出的 SSI 方法整合了流程建模技术、威胁驱动方法以及来自功能安全与网络安全领域的工具支持。其目的是识别与网联自动驾驶汽车 - 利益相关者互动相关的风险，并确保该方法符合 ISO/SAE 21434 网络安全标准的指南。该方法会系统地构建网联自动驾驶汽车 - 利益相关者互动模型、识别资产与威胁，并开展攻击后果分析。

在构建网联自动驾驶汽车 - 利益相关者互动流程模型时，采用了业务流程模型与符号（BPMN）。这是一种流程建模工具，能够以活动、任务及它们之间的信息数据流网络形式直观地呈现流程。使用 BPMN 的目的是提供一种以流程为导向的方法，让业务和技术领域的利益相关者都能轻松理解。BPMN 允许从业务视角呈现流程，有助于弥合业务需求与技术实施之间的差距。

该方法采用控制结构图（CSD）来识别流程中的互动资产。控制结构图是系统理论流程分析（STPA）中的一种实用工具，有助于识别可能导致系统故障的不安全控制行为。

在识别互动资产的潜在威胁时，采用了威胁驱动方法。文献中存在多种威胁建模技术可用于识别潜在威胁和攻击。ISO/SAE 21434 标准推荐了多种威胁建模方法，包括 EVITA、PASTA和 STRIDE，这些方法均可用于识别互动资产面临的威胁。

蝴蝶结分析（BTA）用于分析攻击后果，并展示攻击对互动流程中所有利益相关者的影响。蝴蝶结分析是一种在多个行业广泛应用的风险评估工具，用于识别潜在危害及相关风险。该工具通过一个类似 “蝴蝶结” 的模型，直观地呈现潜在风险、风险成因及后果。蝴蝶结分析主要用于安全风险管理，融合了故障树分析和事件树分析的元素。在蝴蝶结模型中，中心节点代表潜在风险或危害 / 事件，模型左侧为风险成因，右侧为风险后果。本研究构建了一个扩展的蝴蝶结模型，能够模拟攻击对各类利益相关者的后果，并从安全、隐私、财务和运营角度评估影响。该扩展模型有助于识别攻击对这些关键领域的潜在影响，为风险管理和缓解策略提供依据。

此外，蝴蝶结模型中识别的各类场景将用于开展硬件在环（HIL）仿真，以验证和检验所提出的方法。通过在基于仿真的结果中纳入人为因素，该方法能实现更全面、有效的分析。而且，分析结果还可作为输入，用于按照 ISO/SAE 21434 标准的威胁分析与风险评估（TARA）要求进行风险计算。

所提出的方法包含五个关键步骤：

2.1.1 步骤 1：构建互动模型

构建互动模型时，需以描述性形式完整阐述网联自动驾驶汽车 - 利益相关者的互动流程，涵盖流程的起点至终点。这有助于明确流程的范围、背景和具体内容。

· 确定互动流程中的内部和外部利益相关者。

· 明确网联自动驾驶汽车 - 利益相关者互动流程中的主要步骤。

· 明确网联自动驾驶汽车与利益相关者之间交换的信息数据类型。

· 确定流程中的主要活动和任务，并明确负责执行这些活动和任务的利益相关者。

根据上述描述，利用 BPMN 构建互动模型。构建该模型的目的是直观呈现网联自动驾驶汽车 - 利益相关者的互动流程，尤其聚焦流程中的信息数据交换。这些信息数据对于开展全面的功能安全与网络安全分析至关重要。该互动模型将作为功能安全与网络安全分析的输入依据。

2.1.2 步骤 2：确定安全分析范围

本步骤将基于互动模型确定安全分析的范围。为缩小安全分析的范围，将从完整的互动流程模型中选取部分内容进行详细分析。

2.1.3 步骤 3：识别互动资产

根据 ISO/SAE 21434 网络安全标准的定义，资产指任何支持信息相关活动、且可能影响流程网络安全属性（保密性、完整性、可用性，即 CIA 三元组）的数据、组件和 / 或设备。基于这一定义，本研究中的互动资产指在网联自动驾驶汽车 - 利益相关者互动流程中传输或接收的数据，这些数据可能成为攻击目标，进而导致互动流程中断。在本步骤中，将基于控制结构图（CSD）识别互动资产。

控制结构图包含主要控制元素以及控制器与受控系统之间的控制行为。控制结构图是根据网联自动驾驶汽车 - 利益相关者互动模型推导得出的。在该模型中，利益相关者被视为控制器，流程中的信息交换被视为控制行为。若控制行为失效导致流程中断，则相关数据或组件将被认定为互动资产。

接下来，确定互动资产的网络安全属性。资产的网络安全标准由网络安全目标界定，即确保资产的保密性、完整性和可用性（CIA 三元组）免受威胁。CIA 三元组是描述资产网络安全属性的核心标准。

ISO/SAE 21434 标准的输入要求：识别出互动资产后，下一步需识别针对这些资产的网络威胁和攻击。攻击者通常会利用系统资产（如车载信息娱乐系统（IVI）、远程信息处理控制单元（TCU））中的漏洞发起攻击。这些系统资产为互动资产提供支持，负责互动资产的存储、生成和传递。在 ISO/SAE 21434 标准的威胁分析与风险评估（TARA）中，推荐了多种方法用于识别系统资产面临的潜在威胁和攻击，可采用其中任意一种方法进行识别。此外，文献中还有其他可用于威胁和攻击识别的方法，如 CAPEC和攻击树。

2.1.4 步骤 4：攻击分析

本步骤将基于上一步骤识别出的潜在威胁和攻击清单开展攻击分析。首先，列出上一步骤中通过威胁建模（如 STRIDE 方法）识别出的所有潜在威胁和攻击（如图 2 所示）。随后，将这些攻击整合到网联自动驾驶汽车 - 利益相关者互动模型中，以直观展示攻击对资产的影响，以及攻击与其他活动和信息数据流之间的关联。本研究采用 BPMN 网络安全扩展将攻击者纳入模型。基于攻击者模型，识别网联自动驾驶汽车 - 利益相关者互动流程中受到影响的活动和信息数据流。

2.1.5 步骤 5：攻击后果分析

在方法的最后一步，将采用蝴蝶结分析识别攻击对各类利益相关者的潜在后果。本研究提出的扩展蝴蝶结模型包含七个要素，有助于识别与攻击相关的潜在风险。蝴蝶结模型的主要要素如下：

· 顶事件：首先需确定顶事件。顶事件是模型的核心，代表一种不良事件 / 事故。例如，顶事件可以是互动资产的网络安全属性遭到破坏。互动资产的网络安全属性在方法的步骤 2（识别互动资产）中已确定，并在本模型中被视为顶事件。

· 成因：确定顶事件后，下一步需识别可能导致不良事件（顶事件）发生的潜在成因（威胁和攻击）。在方法的步骤 3（攻击分析）中，已识别出可能导致资产 CIA 属性被破坏（顶事件）的威胁和攻击清单，这些已识别的威胁和攻击将被视为本模型中的成因。

· 受影响流程：确定网络攻击影响的流程部分，即互动流程中哪些环节受到攻击影响。

· 受影响利益相关者：确定流程中所有可能受到影响的利益相关者。本步骤将参考方法第一步构建的互动模型，该模型已明确识别出各类利益相关者。

· 场景类型：本步骤需确定场景类型，即可能发生的攻击场景有哪些？是隐蔽攻击（即用户未察觉的攻击，如个人数据被泄露但受害者并不知情），还是显性攻击（即用户能够察觉的攻击，如勒索软件攻击，攻击者加密受害者的个人数据并索要赎金）。

· 后果类型：基于不同场景，确定顶事件（不良事件）对受影响利益相关者造成的后果。这些后果可能包括人员受伤、个人数据丢失、设备损坏、服务中断、信任丧失、经济损失甚至人员死亡。

· 影响类别：蝴蝶结模型的最后一步是按照 ISO/SAE 21434 标准的建议，将后果对利益相关者的影响划分为安全、财务、运营和隐私（S、F、O、P）四类。

图 3 展示了蝴蝶结模型，顶事件左侧为成因，右侧为受影响流程、受影响利益相关者、场景类型、后果类型和影响类别。

图3、扩展蝴蝶结模型——不良事件对利益相关者的后果

蝴蝶结模型中识别的不同场景将用于开展硬件在环（HIL）仿真（如图 2 所示），目的是完善攻击后果分析。该分析的输出结果是网联自动驾驶汽车互动过程中不良事件对各类利益相关者的潜在后果。这些结果将用于计算影响等级和风险评估（如图 2 所示）。

所提出的 SSI 方法通过综合考虑安全、保障和人为因素，为分析不良事件的潜在后果提供了一种全面的思路。该方法严格遵循 ISO/SAE 21434 网络安全标准的指南，且不局限于特定场景，涵盖了车辆生命周期的开发后阶段。

目前有多种方法可用于确定攻击可行性等级，如基于攻击潜力的方法和基于通用漏洞评分系统（CVSS）的方法，但尚无用于确定攻击影响等级的方法。因此，SSI 方法提供了一种全面的攻击影响确定方法，有望对 ISO/SAE 21434 标准的威胁分析与风险评估（TARA）流程中的风险评估部分起到补充作用。

本研究的主要目标是提出一种基于网联自动驾驶汽车与各类利益相关者互动的功能安全与网络安全分析方法。文献表明，网联自动驾驶汽车易受网络攻击，黑客可利用这些漏洞非法访问车辆系统。因此，在为网联自动驾驶汽车提供有效的网络安全解决方案之前，有必要在车辆生命周期的各个阶段对汽车网络安全进行全面的风险评估。目前已提出的多种风险评估方法均针对车辆系统层面的风险，而本研究提出了一种新的方法，将网联自动驾驶汽车 - 利益相关者互动风险评估纳入其中。

本研究考虑了 SAE 4-5 级网联自动驾驶汽车生命周期的开发后阶段，提出了一种整合功能安全与网络安全领域技术、并与 ISO/SAE 21434 标准结合使用的方法。该方法包括多个步骤，如构建互动模型、识别资产、识别攻击以及分析攻击后果。分析结果将作为输入，用于计算影响等级和风险评估。

在未来的研究中，我们将通过硬件在环仿真探究网络攻击对各类利益相关者的影响。所提出方法的攻击后果分析中识别的不同场景将用于开展该仿真。仿真反馈将用于完善该方法，并为风险等级计算提供支持。