紫金山实验室李玉峰：国产车控OS与中国原创安全技术相结合是提升汽车软件安全新路径

　　近日，在2022云栖大会智能汽车产业峰会上，上海大学教授、紫金山实验室车联网内生安全学术带头人、上海市智能网联汽车网络安全产业协同创新主任李玉峰就“汽车软件内生安全问题与广义鲁棒控制技术”进行主题演讲。

　　就智能网联汽车软件而言，李玉峰指出，汽车工业发展至今，依然是承载生命的交通工具，因此，“软件定义汽车”新趋势下，新软件“上车”依然必须坚持为生命服务、为生命负责。

　　根据普华永道的预测，到2030年，汽车软件占汽车总价值的比例将会达到60%以上。作为汽车的基础软件，操作系统既是智能汽车的“新引擎”，又是“软件定义汽车”的起点。在汽车操作系统中，既有面向信息娱乐和智能座舱的车载操作系统，也有对实时性、安全性、可靠性等方面要求极高的“车控”操作系统。

　　李玉峰指出，汽车没有联网前，可以说没有网络安全(Security)问题。网联化为汽车发展带来了新的动能，但世界上任何事物都有两面性，网联化也使得汽车行业不得不面临网络安全问题的新威胁，而且，随着网联化的深入，功能安全网络安全之间的界限正逐步“坍塌”：网联化使许多跟驾驶安全直接相关的E/E部件变成网络攻击可达。设计缺陷带来的故障和基于漏洞的网络攻击交织，使得传统上单纯的功能安全(Safety)问题演变为Safety&Security (S&S) 交织后的安全问题：旨在破坏物理过程的网络攻击与设计缺陷导致的功能故障一样，都能造成事故。而且攻击者能够利用相同漏洞后门同时造成大规模车辆事故。

　　李玉峰强调，“车控”系统作为一种跟人身安全高度相关的系统，既要满足网络安全要求，还必须满足功能安全要求。操作系统作为硬件资源的管理者和应用软件的服务提供者，是整个“车控”系统的核心和基石。当前，车控操作系统大都被QNX等国外商业实时操作系统(RTOS)所垄断。

　　据了解，包括斑马智行在内的国内企业正在向“车控”操作系统开展国产化攻坚，并已经取得了非常积极的成果。斑马智行首席信息安全专家李斓告诉记者，在这条攻坚道路上，面临许多的挑战，其中之一就在于实时性的功能安全与网络安全一体化保障难题。斑马智行正在跟国内安全团队积极研讨，期望用中国原创的安全技术与自主可控的车控操作系统结合，探索一条车控操作系统安全新路径;李斓说，这是一个可以实现的目标，也是一个巨大机会，有望能够在复杂的智能网联汽车安全世界中成为领先者。

　　谈及功能安全与网络安全的关系，李玉峰认为，功能安全与网络安全的交织问题非常复杂，二者之间既有相互独立、相互依赖、相互补充的关系，还有相互冲突的关系。以相互冲突为例，加密、认证、防火墙、入侵检测等经典“附加式”技术措施引入到车内网后，显然能够提升网络安全的防御水平，但是，这类“附加式”措施却可能会损害功能安全。比如，加密和认证技术能够提升网络安全水平，但同时必然会给通信增加延迟，这对实时性要求极高的“车控”类信息来说可能就会影响功能安全性;再比如，防火墙、入侵检测加入车内网后，能在一定程度上有效抵御外部攻击，但防火墙、入侵检测本身的可靠性可能就会影响车控系统的整体可靠性，为功能安全带来新风险。

　　李玉峰进一步指出，学术界和产业界已经开始关注和聚焦这一问题，总体来说，功能安全与网络安全领域的专家已经认识到需要对二者并案处理之。当前的许多研究正在围绕与推进ISO26262(功能安全标准)和ISO21434(网络安全标准)两个流程的叠加整合上，但现实情况是两种风险，两种基本机理和成因，两类技术措施，两种文化，两方力量都在处于互相协同的初级阶段，许多基础理论缺失，各个阶段的许多支撑性的前沿技术待突破。研究发现，ISO26262与ISO21434的V模型“叠加”解决方案，并不能完全解决功能安全与网络安全交织问题。因为，交织问题显然有“加法”效应：两个领域原来各自解决不了的问题，叠加后还是解决不了;而且，交织区域新产生了“乘法”效应，各自流程中存在的问题会因交织“涌现”出新问题、新风险，尤其是二者的冲突问题，依靠“两张皮”叠加的方案很难解决它，需要一体化的融合解决方案才有可能完全破解之。

　　李玉峰告诉记者，针对这一行业难题，我国学界提出的内生安全-广义鲁棒控制技术，能够通过动态、异构、冗余的广义鲁棒控制新构造，在提供高可靠性的同时，还能有效应对基于软件未知漏洞、未知后门的网络攻击，给出了一种智能网联汽车功能安全和网络安全一体化内生保障的新方法。未来，加快国产车控OS与中国原创安全技术相结合是提升汽车软件安全新路径。