ANALISIS DE RIESGOS DE CIBERSEGURIDAD ENARQUITECTURA DE VEHICULOS AUTOMATIZADOS

1,2Leonardo Gonzalez, 2Myriam Vaca, 2Ray Lattarulo, 1Isidro Calvo, 2Joshue Perez, 2Alejandra Ruiz{leonardo.gonzalez , myriam.vaca, ray.lattarulo, joshue.perez, alejandra.ruiz}@tecnalia.com,

isidro.calvo@ehu.eus1Universidad del Paıs Vasco

2Tecnalia Research and Innovation

Resumen

Los vehıculos conectados y automatizados hansido recientemente concebidos como entes ci-berfısicos, estrechamente relacionados con lared del Internet de las cosas (IoT). Este hechosupone un incremento en la superficie de ataquedel vehıculo, que junto a la creciente tendenciahacia vehıculos automatizados, hacen que estosriesgos de ciberseguridad puedan tener conse-cuencias catastroficas en seguridad vial. En elpresente trabajo se expone un analisis de riesgosde ciberseguridad en el marco de una arquitecturade vehıculos automatizados. Este analisis previose realiza en el contexto de dos escenarios deestudio en maniobras cooperativas. Inicialmentese presenta un estado del arte de la ciberseguridaden automocion, ası como tambien su repercusionen entornos automatizados, haciendo especialenfasis en las comunicaciones entre vehıculosy con infraestructura. Ademas, se analizan dosmaniobras cooperativas, y se ilustran una serie deposibles ataques en la plataforma.

Palabras clave: ciberseguridad, vehıculosautomatizados, seguridad, maniobras cooperati-vas.

1. Introduccion

Las tecnologıas de informacion y comunicacion li-deran el avance en la era digital, ası mismo for-man parte importante del desarrollo de sistemasinteligentes de transporte (SIT). Los SIT ofrecenla oportunidad de mejorar la seguridad de trans-porte, reducir el impacto ambiental y favorecer laproductividad y eficiencia a traves de la integra-cion de sistemas de comunicacion y percepcion envehıculos inteligentes.

El desarrollo de sistemas de comunicaciones envehıculos para la mejora de la eficiencia y la mo-dernizacion de la infraestructura de transporte hasido un foco importante en el area automotriz. Sinembargo, recientemente con el auge del vehıculoautomatizado, la comunicacion vehicular suponetambien un agregado de seguridad a estos siste-mas, previendo obstaculos no visibles para un co-

che, o previniendo de eventualidades en la vıa,invisibles al rango de vision de la sensorica delvehıculo.

En la actualidad la mayorıa de los fabricantes yaofrecen algun nivel de automatizacion a traves deuna serie de sistemas ADAS (Advanced Driver-assistance Systems). Estos disminuyen los riesgosen la vıa mediante la automatizacion de algunastareas de conduccion y prevencion de colisiones, ypueden ser considerados sistemas nivel 2, de acuer-do al estandar SAE J3016.

Los vehıculos conectados son un ente ciberfısico;una red de elementos interconectados, con multi-ples unidades de control electronico (ECU) con co-municacion intra-vehicular, comunicaciones exter-nas con infraestructura inteligente, otros vehıculose inclusive Internet. Esta expansion en las capa-cidades de comunicacion del vehıculo genera unincremento en la superficie de ataque, en cuanto ariesgos de seguridad informatica se refiere.

En este trabajo se presenta un estudio breve so-bre ciberseguridad en los vehıculos automatizadosy conectados, y su repercusion en el riesgo vial.Ademas, se realiza un analisis mas detallado deestos riesgos sobre la arquitectura de vehıculosautomatizados propuesta en [1]. Adicionalmentese proponen dos casos de estudio de maniobrascooperativas.

El resto del artıculo esta distribuido de la siguien-te forma: en la seccion 2 se realiza un resumendel estado del arte en la ciberseguridad y la rela-cion con riesgos en vehıculos automatizados. En laseccion 3 se presenta la arquitectura mencionadaantes junto a su respectivo analisis en el entornode ciberseguridad y se describe la plataforma depruebas. En la seccion 4 se explican los casos deestudio propuestos en conduccion cooperativa pa-ra validar la arquitectura de vehıculos automati-zados, y se ilustran posibles escenarios de ataque.Finalmente, en la seccion 5 se presentan las con-clusiones del trabajo realizado y posibles trabajosfuturos.

Actas de las XXXIX Jornadas de Automática, Badajoz, 5-7 de Septiembre de 2018

838

2. Estado del arte

2.1. Riesgo en vehıculos automatizados

La gestion de riesgos constituye una parte impor-tante de la arquitectura de un vehıculo inteligente,y asegurar el correcto funcionamiento de sus par-tes permanece como un reto en las metodologıasde validacion y verificacion. Esto conlleva que enla actualidad las simulaciones de situaciones com-plejas en escenarios de conduccion cooperativa [2]supongan un foco de estudio importante.

Sin embargo la habilidad de un coche para eva-luar en tiempo de ejecucion riesgos en la vıa se havuelto un punto importante de investigacion [3].En [4] se comparan diferentes indicadores de ries-gos, y se asocian con la capacidad del sistema deestimar correctamente estados futuros.

La estimacion de estados futuros, se traduce en lacapacidad predictiva del vehıculo, la cual provie-ne de un concepto de modelo de sı mismo, y delos demas participantes en la vıa. Dicho modelo,puede ser un modelo fısico en base a una serie decaracterısticas, o un modelo estadıstico provenien-te de datos experimentales [5]. Recientemente sehan estudiado una serie de colisiones provenientesde vehıculos automatizados, haciendo analisis deinformes de fabricantes, y sistemas de conduccionasistida en [6]

2.2. Riesgo en vehıculos conectados

Los vehıculos conectados, si bien proporcionan alvehıculo mejor capacidad predictiva incrementanel riesgo del vehıculo ante un ciberataque, al in-tegrar datos fuera del rango de la sensorica. Es-te riesgo de seguridad, puede tener repercusionesgraves, respecto de los riesgos en la vıa.

Este nuevo vector de ataque, debe ser manejadode forma apropiada, para reducir la superficie vul-nerable a un ciberataque. Para ello es necesariodesde un punto de vista de diseno, disponer deun perfil de posible atacante, y un plan basado enmejores practicas para ciberseguridad.

Esta relacion entre seguridad del vehıculo y susfunciones, y ciberseguridad (safety and cybersecu-rity), ha sido estudiada previamente en [7]. En [8]se implementan pseudonimos con la finalidad deproteger la privacidad en la red y su impacto so-bre las aplicaciones V2X (del ingles vehicle-to-everything, que se refiere a las comunicaciones en-tre un vehıculo y cualquier otra entidad.).

2.3. Relacion entre cybersecurity y safety

Los vehıculos son sistemas de seguridad crıtica(Safety critical systems ) siendo ası los riesgos aso-ciados a estos sistemas de grave repercusion pa-ra las personas o el ambiente, y pudiendo causardano irreparable. Al ser este tipo de sistemas cadavez mas interconectados, la ciberseguridad tieneun papel relevante en asegurar que el sistema searobusto ante posibles ataques. En [9] se hace unestudio de la dualidad entre safety y cybersecurityen entornos industriales, se comparan los metodosutilizados para el desarrollo de ambas disciplinas ysu clasificacion. Al momento de disenar estos siste-mas, independientemente de la metodologıa utili-zada, identifican la ciberseguridad y la seguridad,como ramas interdependientes.

En [10], la Sociedad de Ingenieros de Automocion(SAE) presenta una guıa para el desarrollo de ci-berseguridad en vehıculos. El foco principal delpresente trabajo, se encuentra en el punto comunde estas ramas de estudio; la ciberseguridad, y laseguridad del vehıculo (safety), y es importanterecalcar que no todas las amenazas de cibersegu-ridad suponen riesgos en sistemas crıticamente se-guros, por ejemplo; un posible ataque al sistema ,no supone un riesgo para el vehıculo, pero sı con-cierne a la privacidad del conductor.

Una serie de posibles ataques han sido estudia-dos en vehıculos automatizados, en [11] se presen-ta un resumen de una serie de ataques potencialessobre infraestructura en la vıa, sensorica, mapasinternos del vehıculo, comunicaciones internas delvehıculo (CAN principalmente) y comunicacionescon otros entes en entornos cooperativos. Ademas,las consecuencias y clasificacion de estos ataquesse presentan en forma de riesgos altos, medios ybajos.

2.4. Ciberseguridad en vehıculos

La seguridad en el vehıculo moderno toma cadavez mas relevancia con el incremento de sus capa-cidades de comunicacion. Sin embargo, las redesinternas de los vehıculos son un foco importanteal momento de analizar los riesgos de seguridad.En [12] se realiza un analisis teniendo en cuentalos principales buses de comunicacion entre ECUs.Un estudio sobre el impacto de posibles ataques deseguridad en vehıculos automatizados es presenta-do en [11].

Vulnerabilidades

Las vulnerabilidades en la red vehicular puedenser clasificadas de acuerdo a su ubicacion en laarquitectura de la red, la infraestructura que su-fre el ataque y el atacante. En [13] se dividen en

839

funcion de la capa: ataques en capa de aplicacion,red y sistema. En [11] estos ataques se clasificande acuerdo a la arquitectura en particular afecta-da, y se hace una diferenciacion entre vehıculosautomatizados y conectados.

Atacante

Definir una serie de propiedades de un posible per-fil de atacante, es util al momento de crear estrate-gias de seguridad. En el caso de redes vehicularesen [14] se identifican cuatro dimensiones: ubica-cion, intenciones, alcance y actividad. La ubica-cion se refiere a si el atacante es externo o internoa la red. Las intenciones tienen que ver con la pre-dictibilidad del atacante y pueden ser racionaleso maliciosas. El alcance puede ser local o globaldependiendo de los entes afectados, y finalmente,el atacante puede ser activo o pasivo, en funcionde su actividad en la red.

En un informe publicado por Intel en [15], se iden-tifican ademas una serie de posibles grupos, concaracterısticas similares a las descritas anterior-mente. Adicionalmente en [16] se anade a las di-mensiones anteriores la adaptabilidad de un ata-cante, siendo este estatico o adaptativo y se pro-pone una posible clasificacion del atacante.

Definicion de escenario

La superficie de ataque en un vehıculo moderno in-cluye comunicaciones internas y externas. El tra-bajo realizado por [17], detalla una serie de es-trategias destinadas a cubrir posibles ataques enambos frentes. Sin embargo, el entorno cooperati-vo supone una serie de riesgos asociados directa-mente a la maniobra cooperativa. Cada maniobracooperativa debe ser identificada y asociada a unaserie de estados seguros, ante la eventualidad deun posible ataque.

En [13] se analiza el caso de un CACC (del inglesCooperative Automated Control Cruise) ante ata-ques de seguridad al canal de comunicacion, y sepresenta una serie de posibles estrategias para re-mediar y minimizar el impacto de estos.

3. Plataforma y Arquitectura

La actual plataforma tiene como foco la realiza-cion y desarrollo de herramientas para la conduc-cion automatizada. Se encuentra estructurada enuna serie de bloques que proporcionan modulari-dad al sistema y permiten abstraer funcionalida-des, para mantener el sistema escalable y adapta-ble.

Actualmente la arquitectura propuesta, se consti-tuye de 6 bloques: Adquisicion, percepcion, deci-

sion, control, actuacion y comunicaciones [1]. Ca-da uno de estos bloques a su vez tiene una serie deresponsabilidades, sobre la funcionalidad final delvehıculo, y mantiene comunicacion con los demasbloques del sistema.

En el marco del estudio de riesgos provenientes deredes de vehıculos, los bloques mas relevantes sondecision y comunicaciones. El bloque de comuni-caciones debe hacer uso de una serie de protocolos,que permitan la correcta inferencia del estado dela vıa, y que sirvan para alertar al conductor, deotros vehıculos ası como de eventualidades. Todoello sin exponer el vehıculo a posibles ataques ovulnerabilidades de privacidad.

Las comunicaciones pueden ser vistas, de esta for-ma como complementarias a los sistemas de per-cepcion que provee la sensorica, con la ventaja,de que su percepcion espacial no se encuentra tanlimitada, pudiendo establecer ası comunicacionescon vehıculos sin necesidad de tener lınea de vista.

Esta ventaja de los sistemas de comunicacion ha-ce que sean muy valiosos para la consecucion devehıculos automatizados de alto nivel. Ademas losvehıculos conectados pueden ser percibidos comoun sistema distinto, el cual permite el estableci-miento de maniobras cooperativas. Ello quiere de-cir que, dadas las condiciones correctas, un sis-tema de vehıculos conectados podrıan establecermaniobras cooperativas que por seguridad serıanimposibles de realizar en un entornos sin comuni-caciones.

Por ejemplo en el caso de platooning se podrıancorregir las consecuencias del llamado efecto deacordeon y se reducirıan las distancias (espacial otemporal) de seguridad entre coches, sin aumentarel riesgo que a ello supone en entornos solo basadosen percepcion.

Sin embargo, anadir conectividad al coche, haceque la superficie de ataque crezca. El vehıculo mo-derno, es una plataforma ciberfısica, con multiplesECUs comunicandose entre sı, sistemas de infor-macion, buses de control de bajo nivel, entre otros.Esta arquitectura de red interna, se ve incremen-tada ahora, por la comunicacion con una red devehıculos (V2V) e infraestructura (V2I).

3.1. Plataforma de pruebas

A continuacion se realizara una presentacion delvehıculo real, el sistema de simulacion que se uti-lizara para la implementacion de los casos de uso,la arquitectura en la que se basan y la estacioncentral.

El vehıculo real se corresponde a un RenaultTwizy 80 electrico, cuya maxima velocidad

840

Figura 1: Arquitectura de comunicaciones.

es de 80Km/h. Su instrumentacion permi-te el control automatico del vehıculo contro-lando los principales actuadores, el volantey los pedales de acelerador y freno, median-te una red de Bus CAN por un Controladorde Logica Programable (PLC). Una descrip-cion detallada de como esta implementada laarquitectura del vehıculo se puede encontraren [18]. Ademas, el vehıculo esta equipado conun DGPS-RTK para el posicionamiento, sen-sores laser para reconocimiento de obstaculosy camaras para deteccion de senales y pea-tones. Ası mismo, consta de inteligencia inte-grada para la planificacion de rutas en tiemporeal y controladores laterales y longitudinales;y de dispositivos de comunicacion para V2X.Por ultimo, consta de un ordenador a bordoencargado de correr los algoritmos y gestionarlas comunicaciones.

Para la simulacion del vehıculo se utilizaDynacar, una herramienta desarrollada porTecnalia Research and Innovation (ver Figu-ra 2). Este simulador proporciona un mode-lo de alta precision de un vehıculo, con unmarco integrado en un entorno de simula-cion Matlab/Simulink para la ejecucion entiempo real de funcionalidades automatiza-das. Se centra principalmente en la dinamicabasandose en un modelo de vehıculo multi-cuerpo combinado con el modelo de neumati-co Pacejka y submodelos para elementos co-mo motor, transmision, sistema de direccion,sistema de frenado, etc. Ademas, Dynacarpermite una buena definicion de trayectorias,maniobras cooperativas y validacion virtualcon varios y diferentes tipos de vehıculos en

escenarios complejos y personalizables [1].

Figura 2: Herramienta de simulacion Dynacar

El marco general de la estructura utilizadapara la conduccion automatizada se basa enuna arquitectura modular formada por seisbloques correspondientes a Adquisicion, Per-cepcion, Comunicacion, Control, Decision yActuacion. Este marco se ha utilizado en elpasado para varias aplicaciones de manejo au-tomatizado tales como: validacion de contro-ladores longitudinales [18], comparacion decontroladores laterales [1], maniobras de ade-lantamiento [19] y diferentes enfoques de pla-nificador de velocidad [20]. Ası pues, a con-tinuacion se describiran solo los bloques queinterfieren directamente.

� Comunicacion: Ofrece un flujo de infor-macion bidireccional con plataformas ex-ternas como vehıculos (V2V), infraes-tructura (V2I) y otro tipo de dispositivostecnologicos (V2X), para alcanzar un en-torno de manejo cooperativo que permita

841

maniobras mas seguras y comodas. Estacomunicacion se lleva a cabo medianteredes W-Lan.

� Decision: Este modulo decide el compor-tamiento dinamico del vehıculo, es decir,se encarga de calculos tales como: plani-ficadores de velocidad longitudinal, tra-yectos libres de obstaculos y activacionde maniobras seguras (adelantamiento,frenado de emergencia, etc). Esto permi-te reaccionar ante situaciones inespera-das que generalmente afectan el escena-rio de conduccion predefinido.

Por ultimo, la estacion central esta destinadaa controlar el comportamiento de los vehıcu-los en todo momento procesando la informa-cion que se recibe de ellos, y envıa las ins-trucciones correspondientes a cada vehıculopara controlar la ejecucion de la maniobra.Esta estacion consta de informacion de basede GPS diferencial, HMI para vigilancia, co-bertura WiFi, un dispositivo de comunicacionV2X y una computadora en la que se ejecu-tara Dynacar.

3.2. Riesgo en la Arquitectura deVehıculos Automatizados

En la arquitectura de vehıculos automatizadospresentada en [1], se reconocen los bloques de ad-quisicion y comunicaciones como los principalesbloques susceptibles de recibir un ataque. Por suparte, el bloque de decision al ser responsable delplan a realizar por el vehıculo y la realizacion dediferentes maniobras, es el principal encargado deprevenir posibles fallos y establecer estados segu-ros ante un posible mal-funcionamiento.

En el bloque de adquisicion, las vulnerabilidadesse encuentran en la sensorica, siendo esta suscep-tible a ataques de denegacion de acceso (DoS),los cuales para sensores de odometrıa pueden seratacados a traves de campos magneticos y, en elcaso de sensores opticos, la utilizacion de materialreflectivo o absorbente. Ademas, este bloque tam-bien comprende la comunicacion con buses dentrodel vehıculo, intervenciones en el protocolo CAN atraves del puerto OBD, pudiendo inyectar o modi-ficar la estructura de mensajes directamente rela-cionados con el control de las ECU en el vehıculo.

Estos ataques dependiendo de la robustez de lossistemas y la sensorica del vehıculo pudieran tenerrepercusiones graves en la seguridad, inhabilitan-do ası su capacidad de percibir obstaculos, o gene-rando obstaculos que no se encuentran en la vıa,enviando comandos errados o simplemente entor-peciendo las comunicaciones entre ECUs.

Sin embargo la superficie de ataque mas extendi-da, y que supone mayor riesgo, es la de las comu-nicaciones. En el caso de ataque en el bloque deadquisicion, la presencia fısica del ente atacantees casi siempre necesaria, no ası en un vehıculoperteneciente a una red vehıcular, o directamenteconectado al Internet.

La modificacion de informacion satelital prove-niente de GPS supone un riesgo elevado dentrode esta categorıa, comprometiendo la capacidaddel coche de localizarse. Las comunicaciones V2X,suponen un incremento en la seguridad vial al pro-veer de redundancia y constante posicionamientode sus actores, sin embargo, desde el punto de vis-ta de ciberseguridad suponen una serie de retos.El constante envıo en modo broadcast de mensa-jes en la vıa, hace que la privacidad del vehıculose vea comprometida. Algunas soluciones se hanpropuesto respecto del uso de pseudonimos, sa-crificando algunos beneficios de seguridad [8]. Unmensaje V2V errado o proveniente de un vehıcu-lo inexistente podrıa poner en peligro al vehıculoreceptor, al realizar una maniobra incorrecta. Deigual forma en el caso de mensajes V2I, la incorrec-ta interpretacion de una senalizacion, o un ataquede denegacion de acceso, debe considerarse comoun riesgo crıtico.

4. Casos de Estudio

A continuacion se presenta el caso de uso en elmarco del proyecto europeo, SerIoT (Safety andSecurity for the Internet of Things). En este caso,se refiere al analisis y definicion de soluciones deseguridad para aplicaciones de SIT integradas enel amplio contexto de las ciudades inteligentes (Smart Cities). Una de las principales actividadesde estandarizacion en SIT es la especificacion de lacomunicacion V2X, para que se intercambie infor-macion de manera segura siguiendo el protocoloITS-G5 en Europa.

Los escenarios presentados en este artıculo ha-cen uso de un vehıculo automatizado, una esta-cion central, y una serie de entidades simuladas,con la finalidad de validar maniobras cooperativas,en concreto, un platooning, y un cruce inteligen-te como se muestran en la figura 3. Ası pues, suactuacion se basa en el intercambio de informa-cion entre vehıculos (Vehicle-to-Vehicle communi-cation, V2V) o con una estacion central(Vehicle-to-Infrastructure communication, V2I). Esta es-tacion central monitoriza el comportamiento delvehıculo en todo momento, procesando la infor-macion recibida y enviando las instrucciones co-rrespondientes para cada vehıculo y controlandola ejecucion de la maniobra.

842

(a) Cruce inteligente

(b) textitPlatooning basado en CACC.

Figura 3: Caso(s) de uso. Platooning y cruce.

En este contexto, es importante el desarrollo deuna comunicacion V2X robusta y segura contra ci-berataques y amenazas, asegurando ası que la evo-lucion de los SIT se realiza sin riesgos de seguridado vulnerabilidades. Con ello ademas, se garantizala seguridad de los pasajeros ya que, una violacionde seguridad puede generar no solo perdida de da-tos, sino tambien accidentes de trafico que llevena consecuencias graves.

En el caso del platooning, se desarrollara con unvehıculo lıder que circula en modo manual. Estedefinira el perfil de velocidad, acelerando y frenan-do de forma no regular. Se anadiran uno o variosvehıculos, que se corresponden a coches simuladoscirculando en modo semiautomatico, que seguiranal vehıculo lıder en cadena a una distancia de se-guridad definida.

Por lo tanto, la estacion central podra simular dife-rentes situaciones complejas y de riesgo en las queun vehıculo virtual no respeta la distancia mıni-ma de seguridad con respecto a los otros vehıcu-los, la aparicion de obstaculos, etc. Ası pues, ca-da vehıculo puede transmitir y recibir informacionhacia y desde el resto y la estacion central.

Para el cruce inteligente, la base central mandarainformacion sobre el estado de los semaforos co-rrespondientes para cada vehıculo, de tal formaque, cada uno modifique el perfil de velocidad y serealice el cruce de forma segura sin necesidad deque ninguno de los vehıculo deba detenerse. Es-

ta maniobra se ejecutara con un coche real y unosimulado.

Al ser la estacion central el principal ente de con-trol en ambas maniobras, los vectores de ataquea estudiar se focalizan sobre esta. En principioun posible ataque podrıa modificar la integridaddel mensaje, o incrementar la latencia de respues-ta, dificultando el establecimiento de maniobrascooperativa. Para ello la caracterizacion del pro-tocolo de comunicacion, permitirıa reconocer pa-trones relacionados con la maniobra, y prevenirposibles intervenciones.

Cabe destacar que cada mensaje V2X debe re-cibirse con una cierta periodicidad, cumpliendola frecuencia mınima especificada en el EstandarETSI TR 102 638 [21], y con una latencia dentrodel tiempo de latencia maxima especificado tam-bien en [21]. De lo contrario, la estacion centralgenerara un mensaje de advertencia.

La estacion central analizara la informacion pro-veniente de los vehıculos y los nodos implemen-tados en la red SerIoT, gestionando la deteccionde las diferentes situaciones anormales que pro-vocan que la maniobra seleccionada no este fun-cionando como se esperaba, por ejemplo, que ladistancia mınima de seguridad entre los vehıculosno se mantiene o que la velocidad en el cruce nose regula correctamente. Ası mismo se verifica queninguna de las comunicaciones basadas en V2Xeste siendo pirateada.

Si el ataque o fallo es detectado y confirmado, laestacion informa de la situacion y actua en conse-cuencia con la solucion que crea conveniente paraalcanzar un modo de conduccion segura. En el ca-so de que la maniobra no se corresponda con laesperada, la estacion modifica los parametros deconfiguracion de los vehıculos y corrige la manio-bra. Por otro lado, si se refiere a un ataque, sedeshabilita la maniobra y se ignora la informacionrecibida posterior al ataque hasta que sea neutra-lizado. Mientras eso pasa, los vehıculos proceden arealizar una maniobra para alcanzar un estado deconduccion seguro, por ejemplo, re-planificacionde rutas o de velocidad, frenado de emergencia,cambio en el perfil de velocidad, entre otras solu-ciones.

Los objetivos a alcanzar con estos casos de uso sonlos siguientes:

1. Facilitar la deteccion temprana de fallos y/oerrores al verificar minuciosa y repetidamenteciertos casos sin restriccion de tiempo o per-turbaciones ambientales.

2. Minimizar los efectos de los ciberataques y lasamenazas mediante el uso de la solucion de se-

843

guridad IoT propuesta en el proyecto SerIoT,garantizando ası comunicaciones seguras y ro-bustas basadas en V2X.

3. Validar diferentes maniobras cooperativas en-tre vehıculos, basados en comunicacionesV2V y V2I y evaluar el impacto que el es-quema de seguridad de SerIoT tenga sobreestas.

5. Conclusion y trabajos futuros

Las nuevas tecnologıas de comunicacion vehicularen conjunto con el avance de vehıculos automatiza-dos, trae consigo una serie de problematicas desdeel punto de vista de seguridad. Vulnerabilidadessobre vehıculos conectados han sido demostradaspreviamente, teniendo consecuencias economicasimportante sobre los fabricantes en el pasado. Sinembargo, el potencial de explotar vulnerabilidadessobre vehıculos altamente automatizados suponenuevos riesgos.

El presente trabajo realiza una revision sobre elestado del arte, y los ataques reportados de formapublica en los ultimos anos, y presenta un analisisde riesgos de ciberseguridad en una arquitecturade vehıculos automatizados.

A su vez se exponen algunas de las posibles vulne-rabilidades, y un caso de estudio experimental queincluye dos escenarios de maniobras cooperativas.Este trabajo es un estudio preliminar, con la fina-lidad de validar y verificar maniobras seguras enel marco de un posible ataque de ciberseguridad.

En futuros trabajos, se buscara establecer una ar-quitectura de red, que permita en el marco de IoT,asegurar la comunicacion en redes vehıculares deentes externos, su verificacion a traves de entor-nos de simulacion y su validacion en plataformasreales. Tambien es necesaria la caracterizacion deun protocolo y mejores practicas en el entorno dela ciberseguridad, ası como la caracterizacion demaniobras especıficas relacionadas con posibles fa-llos o ataques, para garantizar un sistema robusto.

Agradecimientos

Los autores quieren agradecer al proyecto H2020SerIoT (numero de subvencion 780139) por brin-dar los recursos para el desarrollo del siguienteartıculo.

English summary

CYBERSECURITY RISK ANALY-SIS IN AUTOMATED VEHICLEARCHITECTURE

Abstract

Connected and automated vehicles havebeen recently categorized as cybephysicalentities, tightly related with a part of theInternet of Things (IoT) network. As aconsequence the attack surface of a modernvehicle is increased, which added to the au-tomation trend, makes cibersecurity risksa higher threat in the road. In this work aframework for automated vehicles is des-cribed, with the objective of validating se-curity strategies when performing coopera-tive maneuvers. A review of the state of theart in automotive cibersecurity is presen-ted, along its effect in automated vehicles,making special emphasis in inter-vehicle(V2V) communication and to the infras-tructure (V2I). Moreover, two maneuversare studied and a series of safety factors,taking into consideration the posible inter-vention of external malicious agents.

Keywords: cybersecurity, automatedvehicles , safety, cooperative maneuvers.

Referencias

[1] R. Lattarulo, J. Perez, and M. Dendaluce, “Acomplete framework for developing and tes-ting automated driving controllers,” IFAC-PapersOnLine, vol. 50, pp. 258–263, jul 2017.

[2] I. Jemaa, P. Cincilla, A. Kaiser, and B. Lonc,“An Overview of Security Ongoing Work inCooperative ITS,” jun 2017.

[3] C. Katrakazas, M. Quddus, W.-H. Chen, andL. Deka, “Real-time motion planning met-hods for autonomous on-road driving: State-of-the-art and future research directions,”Transportation Research Part C: EmergingTechnologies, vol. 60, pp. 416–442, 2015.

[4] S. Lefevre, D. Vasquez, and C. Laugier, “Asurvey on motion prediction and risk assess-ment for intelligent vehicles,” ROBOMECHJournal, vol. 1, no. 1, p. 1, 2014.

[5] M. Althoff and A. Mergel, “Comparison ofMarkov chain abstraction and Monte Carlosimulation for the safety assessment of auto-nomous cars,” IEEE Transactions on Intelli-gent Transportation Systems, vol. 12, no. 4,pp. 1237–1247, 2011.

844

[6] F. M. Favaro, N. Nader, S. O. Eurich,M. Tripp, and N. Varadaraju, “Examiningaccident reports involving autonomous vehi-cles in California,” PLOS ONE, vol. 12,p. e0184952, sep 2017.

[7] J. Nilsson, C. Bergenhem, J. Jacobson,R. Johansson, and J. Vinter, “Functional Sa-fety for Cooperative Systems,” SAE Techni-cal Papers, vol. 2, no. April, 2013.

[8] S. Lefevre, J. Petit, R. Bajcsy, C. Laugier,and F. Kargl, “Impact of V2X privacy strate-gies on Intersection Collision Avoidance sys-tems,” IEEE Vehicular Networking Confe-rence, VNC, pp. 71–78, 2013.

[9] S. Kriaa, L. Pietre-Cambacedes, M. Bouis-sou, and Y. Halgand, “A survey of approachescombining safety and security for industrialcontrol systems,” Reliability Engineering andSystem Safety, vol. 139, pp. 156–178, 2015.

[10] SAE, “ Cybersecurity Guidebook for Cyber-Physical Vehicle Systems ,” standard, Societyof Automotive Engineers, Jan. 2016.

[11] J. Petit and S. E. Shladover, “Potential Cy-berattacks on Automated Vehicles,” IEEETransactions on Intelligent TransportationSystems, vol. 16, no. 2, pp. 546–556, 2015.

[12] M. Wolf, A. Weimerskirch, and C. Paar, “Se-curity in Automotive Bus Systems,” Procee-dings of the Workshop on Embedded Securityin Cars, no. July, pp. 1–13, 2004.

[13] M. Amoozadeh, A. Raghuramu, C.-n. Chuah,D. Ghosal, H. M. Zhang, J. Rowe, and K. Le-vitt, “Security vulnerabilities of connectedvehicle streams and their impact on coope-rative driving,” IEEE Communications Ma-gazine, vol. 53, pp. 126–132, jun 2015.

[14] M. Raya, M. Raya, J. Hubaux, and J. Hu-baux, “Securing vehicular ad hoc networks,”Journal of Computer Security, vol. 15,pp. 39–68, 2007.

[15] Intel, “Automotive Security Best Practices,”Whitepaper, p. 19, 2015.

[16] A. Panchenko and L. Pimenidis, “TowardsPractical Attacker Classification for RiskAnalysis in Anonymous Communication,”pp. 240–251, 2006.

[17] C. Bernardini, M. R. Asghar, and B. Crispo,“Security and privacy in vehicular communi-cations: Challenges and opportunities,” Vehi-cular Communications, vol. 10, pp. 13–28, oct2017.

[18] M. Marcano, J. A. Matute, R. Lattarulo,E. Martı, and J. Perez, “Low Speed Longi-tudinal Control Algorithms for AutomatedVehicles in Simulation and Real Platforms,”Complexity, vol. 2018, pp. 1–12, mar 2018.

[19] R. Lattarulo, M. Marcano, and J. Perez,“Overtaking Maneuver for Automated Dri-ving Using Virtual Environments,” pp. 446–453, 2018.

[20] R. Lattarulo, E. Marti, M. Marcano, J. Matu-te, and J. Perez, “A Speed Planner ApproachBased On Bezier Curves Using Vehicle Dy-namic Constrains and Passengers Comfort,”2018.

[21] “INTELLIGENT TRANSPORT SYSTEMS(ITS); VEHICULAR COMMUNICATIONS;BASIC SET OF APPLICATIONS; DEFINI-TIONS,” standard, ETSI TR 102 638, 2009.

© 2018 by the authors.Submitted for possibleopen access publication

under the terms and conditions of the Creati-ve Commons Attribution CC-BY-NC 3.0 license(http://creativecommons.org/licenses/by-nc/3.0/).

845