【谦川解读】如何保证汽车“黑匣子”—EDR数据安全

3月21日下午，广西应急厅指挥中心称：一架搭载132人的从昆明长水飞往广州白云国际机场的波音737客机于梧州上空突然失联。随后，央视新闻官方证实该客机在广西梧州藤县发生事故，并引发山火。经过6日的全力搜寻，国家应急处置指挥部26日晚确认，东方航空公司MU5735航班上人员已全部遇难。

在此期间，为尽快调查失事原因，救援人员竭尽全力进行搜寻工作，时隔两天，3月27日，东航失事飞机的第二个“黑匣子”终于被找到。据现场救援人员介绍，由于飞机坠毁在环境复杂的山林间，针对黑匣子的搜寻主要是依靠无人机以及人力进行搜寻，很大程度上增加了黑匣子搜寻的难度。但广西消防官兵们带着决不放弃的信念，为还原最终真相始终努力着。

01到底什么是“黑匣子”

“黑匣子”是飞行信息记录系统的俗称，是飞机专用的电子记录设备之一，此次肇事的波音737-800型号飞机装有两个美国霍尼韦尔公司生产的飞行记录器：一个是驾驶舱话音记录器（CVR，Cockpit Voice Recorder），另一个是飞行数据记录器（FDR，Flight Data Recorder）。 最近找到的第二个“黑匣子”是飞行数据记录器，此前寻得的第一个“黑匣子”是驾驶舱话音记录器。

黑匣子分工不同，数据对事故调查尤为重要。据《航空知识》主编、北京航空航天大学航空专家王亚男介绍：

1） 驾驶舱语音记录器安装在货仓尾部，会录制舱内所有的声音，包括飞行员间的对话、飞行员与地面空管的交流，也包括所有舱内的背景音。声音的数据采集，能够及时还原飞行员当时飞行状态的反馈，了解其操纵意图。

2） 飞行数据记录器安装在客舱尾部，会采集飞行过程中所有关键系统、关键设备的工作参数。飞行数据记录器从数据的角度，再现飞机当时的技术状态和飞行状态。

两个黑匣子数据综合在一起，就能够推断飞行员当时的飞行评价是否符合事实、对于飞行操作的意图是否得到实现等，对还原事故当时情景提供最有力的佐证。

02EDR又是什么呢

EDR-汽车的“黑匣子”

作为飞机失事后的一个重要的分析工具，“黑匣子”可以用来还原事故原因、查明事故的真相，作用日益凸显，因此后发展至其他交通工具（轮船、列车等）上。通用汽车于1974年首次在选定的车型中引入了EDR(即：Event Data Recorder system)，主要用于控制和记录安全气囊的展开。尤其是随着汽车智能化的发展，车联网及智能座舱的普及，汽车也逐步安装上类似飞机“黑匣子”的系统——EDR系统。

EDR工作原理图，来源于网络

EDR成为智能汽车必备品

相比于飞机，汽车出现事故的几率要高很多，特别是在自动驾驶场景之下，车辆对驾驶员的依赖程度逐渐降低，而对自动化技术的依赖程度越来越高，因此“黑匣子”也成为智能汽车上必备品。特别是对于汽车的智能网联及ADAS系统，如果开启了有关功能，发生碰撞事故之后，及时、准确、全面的提取碰撞前后的车辆运行数据，更是事故分析的重要依据。随着汽车行业的发展，配置的电子设备越来越多，使得车内软硬件系统变得更加复杂。如果没有可靠的安全监控数据记录系统，事故究竟是驾驶员的操作失误导致的，还是因为某个电子设备失灵造成的事故或是汽车本身设计的缺陷产生的就变得难以分析。常常见到双方驾驶人各执一词，喋喋不休争辩，去年特斯拉刹车事件被吵的沸沸扬扬也是因为EDR本身的数据问题引发的。EDR在一定程度上也促进了智能化产业的健全，能够让车企获取真实可靠而全面的事故时器件状态的数据，快速寻找出汽车设计的不足，为后续设计进行改善，增强汽车可靠性。

03EDR真的这么安全可靠吗

但是，被网络安全业界和企业寄予厚望的EDR解决方案真的无懈可击吗/strong>当今市场上最顶级的EDR产品面对高级持续威胁和勒索软件攻击技术的表现如何/p>

近日，希腊比雷埃夫斯大学的一个团队测试了当今26家顶级网络安全公司的EDR产品（去年八月首次测试了18个产品），发现许多产品未能检测到高级持续威胁攻击者（例如国家黑客）和勒索软件团伙最常用的攻击技术，结果表明，只有两款受测EDR产品完全覆盖了所有攻击媒介。比雷埃夫斯大学的研究者指出：“我们的结果表明，由于最先进的EDR也无法预防和记录测试中使用的大部分攻击，因此（此类产品）仍有很大的改进空间。”研究小组认为，不能覆盖所有攻击媒介意味着攻击者有机会关闭EDR，或者至少能够禁用其遥测功能，从而能够在受感染系统上为所欲为，并着手对本地网络的进一步攻击。

（An Empirical Assessment of Endpoint Security Systems Against Advanced Persistent Threats Attack Vectors，作者：George Karantzas, Constantinos Patsakis，论文地址：https://arxiv.org/abs/2108.10422）

04如何保证EDR的数据安全/strong>

那既然EDR并不是坚不可摧的，作为抵御复杂恶意软件和其他恶意威胁的第一道防线，一旦EDR里的数据被篡改或是造成数据丢失，后果不堪设想。对此，欧盟委员会最近发布了“黑匣子”设备的最终技术规范，该规范禁止从设备中检索包含位置、日期和时间信息的数据，从“黑匣子”中检索到的所有数据都承诺匿名。

根据工业和信息化部装备工业发展中心于2021年4月9日发布的《关于实施GB 7258-2017第2号修改单相关事项的通知》，“乘用车应配备符合GB 39732规定的事件数据记录系统(EDR)；若配备了符合GB/T 38892规定的车载视频行驶记录系统，应视为满足要求”。该政策自2022年1月1日起对新生产的车辆实施，强制性国家标准的发布实施不仅促进了EDR的使用，在总体要求上也规定了“事件发生后，EDR记录的数据应能被提取，且应防止数据被篡改或删除。”也就是说，保证EDR无坚不摧是整个汽车行业的重中之重。

那如何保证它的数据安全以及数据的隐私保护呢/strong>

在通常情况下，EDR使用专用的数据提取接口，但要想使EDR变成金刚不坏之身就需要在其外面套上一身“铁布衫”：在基于CAN总线传输链路上实现EDR数据的安全传输，为其打造一套安全的备份方案，同时定义并应用数据采集及存储的相关技术要求。

而谦川在基于CAN总线传输链路上实现EDR数据的安全传输，为EDR打造一套安全的备份方案，其定义并应用了数据采集及存储的相关技术要求。谦川V-Trust+Secure SOA 解决方案在EDR设备原有安全方案基础上，利用智能座舱芯片可信执行环境，构建一套满足EDR数据防篡改、可审计及远程数据传输解决方案。

相比于传统的TEE可信执行环境（Trusted Execution Environment），谦川V-Trust是基于Nebula“云核”打造的满足市场需求的产品。以Nebula安全微内核为底层基础，增加市场需求等方面的重要功能，既有Nebula的多核支持、多线程特性，也满足市场安全需求，如支付安全，数据存储安全，通讯安全，生物识别（人脸/指纹）等。

其作为可信执行环境，以安全微内核为底层基础，是整个系统的安全基石，当V-Trust Driver连到Secure SOA API后，由Secure SOA API向外提供的服务，最后再由Secure SOA去分发具体工作，比如EDR记录车辆事件数据，同时保护EDR安全。

Secure SOA是如何给EDR数据安全上的双保险呢/strong>

SOA（即Service-Oriented Architecture），是一项面向服务的架构，IBM将SOA定义为“一种可通过服务接口复用软件组件的方法”。对于汽车而言，SOA更多的是一种架构指导，帮助传统分布式汽车架构转变为先进的电子架构。同时，将车辆上的硬件功能、系统功能、软件功能以服务的形式对外提供，让汽车从多个软件独立体整合成一套统一的软硬件体系。

而谦川打造的Secure SOA解决方案是一款基于V-Trust构建的高强度可信安全中间件架构，一方面充分利用谦川科技在微内核操作系统、硬件微隔离以及形式化验证技术，构建基于硬件的底层安全能力；另一方面通过对智能网联汽车业务、网络安全风险以及合规要求的深度理解，将高级别安全隔离区域（TEE或可信虚拟机）中的基础安全能力重构为安全微服务，通过中间件层为非安全隔离区域（Linux/Android）或车载总线上的其他零部件提供安全服务。比如EDR需要存储车辆关键行驶数据，通过V-Trust解决方案可以实现该数据的防泄漏、防篡改、可审计等需求。同时，基于Secure SOA提供灵活易用的服务订阅接口，帮助车企实现安全可信的远程数据分析、审计及事故鉴证需求。除了构建基于硬件的底层安全能力及提供零部件的内部服务，Secure SOA还会通过中间件层为车载总线上的其他零部件提供安全服务，实现产品高效融合和信息安全交互。

以SOA安全框架提供开放接口，谦川Secure SOA利用智能座舱的EDR数据安全管理服务，对总线上的EDR专用设备做数据交叉验证。谦川V-Trust+Secure SOA 解决方案不仅可以识别EDR数据是否被篡改，也可以通过远程的方式对EDR数据进行实时处理分析。构建云端与终端、终端与终端、云端与云端之间信任链，实现万物互融、万物互信的安全生态体系。

原文链接：【谦川解读】如何保证汽车“黑匣子”—EDR数据安全

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树首页概览22347 人正在系统学习中

来源：GoldenRiver2018