內容目錄：

0 引言

1 智能網聯汽車信息安全問題

1.1 間接物理攻擊面研究

1.2 短距離無線攻擊面研究

1.3 遠距離無線攻擊面研究

2 智能網聯汽車信息安全邏輯架構

2.1 網聯汽車智能終端安全問題研究

2.2 車聯網通信安全問題研究

2.3 車聯網服務平臺安全問題研究

3 信息安全測試技術研究

3.1 測評意義及目標

3.2 測試內容研究

3.3 智能網聯汽車感知信源層測試研究

3.4 網絡傳輸層測試研究

3.5 應用服務層測試

4 未來研究方向

5 結語

00 引言

智能汽車，就是把智能技術和互聯網技術運用于汽車中，把互聯、網聯與汽車集合，形成一個智能網聯汽車生態系統。隨著智能汽車和車聯網技術的發展，汽車電控系統越來越多， 汽車將不再是一個孤立的單元，而是成為可移動的智能網絡終端。以車內網、車際網和車云網為基礎，按照既定的通信協議和數據交換標準，在車、路、云、人之間進行無線通信數據交換， 構建智能交通管理、信息服務和車輛智能化控制的互聯體系。然而，互聯互通在帶來便利高效體驗的同時，也帶來越來越嚴重的信息安全隱患。智能汽車的信息安全問題已經成為網絡安全的重要組成部分，例如：可接入汽車控制端的移動終端APP、復雜的多傳感器融合車內網絡系統、ECU代碼與軟件漏洞都有可能成為新的攻擊向量，現今，黑客也開始針對汽車發起攻擊。汽車信息安全繼主動安全、被動安全、功能安全之后將成為汽車領域中的第四大安全問題。

自2019年以來，黑客已成功利用信息篡改、病毒入侵和其他手段進行汽車攻擊。特別是近年來頻繁的汽車信息安全召回事件引起了業界的廣泛關注。智能汽車的信息安全不僅構成企業的經濟損失和個人隱私的泄漏，而且還可能對人身安全造成嚴重后果，甚至引起威脅國家的公共安全問題。但是，目前智能汽車信息安全技術的研究還很不成熟，特別是相關的統一標準尚未形成。它是整個生命周期安全必不可少的部分，因此需要對其進行充分研究，以為智能汽車開發過程中的測試和評估活動提供參考。

01 智能網聯汽車信息安全問題

信息安全是一個需要從系統層面進行保護的體系。像木桶原理一樣，沒有任何一個環節可以出錯。因為智能汽車已經與當前的通信和網絡技術集成在一起，并且具有諸如復雜的環境融合感知、智能決策和協作控制等功能，所以智能汽車的攻擊向量是多方面的。汽車信息安全問題的分析可以從兩個方面入手：一方面是技術能力，攻擊者了解目標車輛，并且攻擊者具有開發出針對目標車輛的惡意利用的能力；另一方面是可操作性，它是指攻擊者在攻擊面上發起攻擊時需要克服的條件限制，例如攻擊OBD（車載診斷）接口需要物理進入汽車。研究智能車輛信息安全攻擊對構建完整的車輛防御體系結構具有重要意義。

總體來看，目前智能網聯汽車信息安全面臨的主要問題有：

（1）針對智能汽車的信息安全風險測評方法和技術方案與飛速發展的產業環境不相匹配，可借鑒參考的成熟案例經驗過少，各方都處于探索階段；

（2）智能汽車信息安全涉及的云、管、端各方面復雜性高，傳統IT 安全技術與汽車通信與控制技術相融合，存在跨學科研究；

（3）汽車整體從研發、生產、交付使用、維修到報廢整個生命周期相較于傳統終端要長很多，怎樣保證全生命周期的安全是重要研究方向；

（4）智能汽車安全被攻擊后需承擔的后果更為嚴重，可能涉及財產生命安全及公共安全，因此需要比傳統信息安全提出更高的要求標準。

1.1 間接物理攻擊面研究

間接物理攻擊面是眾多攻擊面中最普遍的攻擊方式，通常涉及對與這些攻擊面進行交互的設備、媒介進行攻擊。OBD在線診斷接口是汽車上最重要的一個物理接口，可通過接口讀取汽車的運行狀態數據、進行主動測試等功能，但是攻擊者也可以通過這個接口直接訪問車內 CAN總線進而完全控制物理功能并造成威脅。同時有些OBD設備可通過4G網絡與服務器通信，或者利用藍牙或WiFi技術與手機通信進而通過手機將數據上傳服務器。這些鏈路如果被攻擊同樣會使攻擊者獲得OBD權限，進而對汽車發起攻擊。

1.2 短距離無線攻擊面研究

短距離無線攻擊要更加靈活，對比操作復雜、無法控制攻擊時間的間接物理攻擊要更具有威脅性。智能汽車的短距離攻擊面包括藍牙、WiFi、無線智能鑰匙、RFID(Radio Frequency Identification)、胎壓管理系統等，對于這些攻擊方法，攻擊者可以利用相應的有效設備在汽車附近收發數據。作為車載終端設備的藍牙已成為現代汽車的標配，有研究表明可以使用定向天線及信號放大器等增加傳輸距離，進而利用藍牙漏洞對車輛發起攻擊；無線智能鑰匙通過433Hz、125Hz、315Hz的無線頻段實現遙控與認證，信號基于Keeloq加密算法，通過遙控密鑰的泄露或破解ECU找到密鑰或利用信號驗證代碼漏洞進行滲透都可對車輛造成不同程度的負面影響；胎壓管理系統將采集到的數據通過短距離無線通信傳遞給管理模塊，工作頻率在315MHz左右，但是大多數信號并沒有進行加密安全處理，可被篡改或者偽造進而影響接收的ECU解析代碼造成對車輛的損害。

1.3 遠距離無線攻擊面研究

智能汽車上的遠距離攻擊向量包括GPS（Global Position System）、衛星、數字廣播等公用的通信鏈路，也包括蜂窩網絡、遠程協助系統及遠程控制系統等專用通信鏈路。這些遠距離攻擊向量對汽車是最大的威脅，攻擊者可以在任何地方發起攻擊。如黑洞攻擊（Black Hole Attack）是一種典型的網絡層DoS攻擊方式，由已經被授權的網絡內部惡意節點發起的一種攻擊方式，利用路由協議中的設計缺陷形成專門吸收數據的黑洞，從而使網絡中重要的數據丟失甚至造成篡改；女巫攻擊（Sybil）也存在于智能汽車通信中的典型攻擊方式，通過偽造車輛身份標識來創建錯誤的目的地址，從而使原本合法車輛標識失去真實性，達到破壞路由算法機制、改變數據整合結果的目的。

02 智能網聯汽車信息安全邏輯架構

“智能網聯”是指借助新一代網絡通信技術，在固定場景下實現車、人、路和云的全方位網絡互聯。新的互聯形式為用戶提供了智能、舒適、安全和高效的全面服務體驗。整體邏輯框架以“端管云”模式為整體構架，道路設施為補充設備，包括智能網聯汽車、新一代通信環境、移動智能終端、車聯網數據云控平臺等對象，涉及五種基本的互聯應用場景：車間通信、車載通信、人車互聯、車路互聯和車云互聯。

智能網聯汽車信息安全架構基于保障“云—管—端”三層架構安全暢通的運行，保證其較好的防御能力及高效的響應與恢復。從防護對象來看，智能網聯的邏輯架構應重點關注車內網絡安全、移動智能終端安全、車聯網數據云控平臺安全、通信環境安全，同時保證貫穿于整個系統所產生數據的隱私性和安全性。智能網聯汽車復雜的應用場景和還處于探索階段的信息安全技術手段都使其實現高效的防御保障存在較多挑戰，需要采取綜合手段來防護，本章將結合上述的智能網聯互聯互通概念，說明基于“云—管—端”邏輯架構的信息安全技術研究方向及研究現狀。

2.1 網聯汽車智能終端安全問題研究

智能網聯汽車車載終端安全是整個安全邏輯架構的核心，也是行業關注的重點，目前研究重點圍繞“黑盒”防御機制，逐步建立以全生命周期安全防護為基礎理念，縱深防御體系為技術藍圖，軟硬件安全防護為保障的防護體系來保護智能網聯汽車安全。

首先，在開發階段實施安全開發全生命周期管理已成為智能車端信息安全的必要手段，美國 SAE 協會也于 2016 年發布J3061指南，其中把信息安全防護融入車輛研發、生成、測試、安全響應整個生命周期，為識別和評估威脅提供指導。

其次，硬件芯片嵌入到汽車控制系統中已成為抵御攻擊的重要載體，通過硬件安全芯片中內置的加密算法、訪問控制管理系統、信息完整性檢查系統都得以提升智能汽車的安全級別。相應的軟件保護方法也成為智能網聯汽車安全保護的有效補充。在硬件安全芯片部署成本高的前提下，軟件安全也成為一種有效的選擇，包括 OTA(Over The Air) 遠程更新服務，針對車載操作系統或硬件固件進行升級更新和安全修復；以軟件形式部署防火墻，針對訪問地址、通信接口和通信協議的訪問控制安全進行保護。軟硬件協同的防御部署在一定程度上提高了攻擊的難度，增強了智能網聯汽車的網絡安全保護水平。

智能網聯汽車中的智能車載終端 T-BOX（Telematics Box）主要用于車端與外界的通信。T-BOX 不僅可以與 CAN 總線通信以實現命令信號傳輸，還可以使用其內置解調功能與云服務平臺進行交互，以獲取網絡數據、語音及其他消息。基于其強大的通信功能，T-box將面臨各種信息安全威脅，如逆向工程、針對秘鑰管理獲取密鑰用于竊聽或篡改數據、通過硬件預留的調試接口調取內部數據用于攻擊預分析等。

OBD 是用于將智能汽車的外部設備連接到 CAN 總線的重要接口。OBD 接口可以收發診斷命令并與總線系統交互以執行故障診斷。因 OBD 接口可以與 CAN 總線交互并具有可讀和可寫的權限，因此它也面臨信息安全風險，包括攻擊者可以通過接口破解總線協議以解析 ECU 指令來控制車輛的行為；連接到 OBD 接口的設備具有攜帶攻擊代碼的隱患，接入后有可能會影響到CAN 總線傳輸，對汽車控制系統構成威脅；當前的 OBD 接口缺少用于識別攻擊和惡意消息的身份驗證機制，這將給汽車帶來更大的風險。其他重要車載部件（例如 ECU）可能會面臨硬件和軟件設計或證書認證漏洞等風險；車載操作系統可能具有來自繼承的操作系統或代碼遷移過程的已知漏洞。上述多種車載終端部件面臨著不同程度的信息安全領域挑戰。

2.2 車聯網通信安全問題研究

車聯網通信在整個智能網聯汽車安全體系中占據重要地位，已成為車聯網攻擊的主要方式，其中主要威脅是中間人攻擊（Man-in-the- middle），攻擊者可以通過偽造通信基站進行DNS 劫持等方法監聽通信信道進而破解通信協議或者竊取用戶敏感數據。車間通信的直連模式或將成為未來車聯網體系通信應用場景的重要模式。同時，智能網聯汽車將成為頻繁接入與退出的網絡節點，若其中存在惡意節點入侵， 則存在阻斷、偽造、篡改通信信息的風險，影響信息的真實性，破壞路況信息的傳遞。部署在智能聯網車輛中的多種短距離無線通信接口也有遭受攻擊者攻擊的危險。

當前的車聯網通信安全保護主要針對“車云”通信，用于加強訪問控制、傳輸數據加密、設備標識以及進行異常流量監控。現階段智能網聯汽車通常配備兩個 APN 接入網絡，一個負責車內通信，主要傳輸汽車控制總線的命令和相關的敏感數據信息；另一個負責信息服務域通信，主要訪問與互聯網相關的公共資源，通信對象是公共云或第三方服務器。

T-BOX 和 IVI 系統通常連接到公共網絡域，因此對車載網和信息服務域使用網絡隔離來增強安全控制管理是最有效的方法，形成兩個具有不同安全級別的訪問控制域，以避免未經授權的訪問。此外， 在車載網中使控制單元和非控制單元被安全地分開，并且為控制單元模塊建立更高級別的訪問控制策略也是行之有效的方法。增加訪問 IP 白名單以避免干擾也是加強網絡訪問控制的有效方法。

傳輸數據的加密與 PKI 認證體系也是增強車聯網通信安全性的有效手段。一方面，該體系可為車輛提供數字證書用于身份認證，授權方將發布受信任的證書，并將其寫入車輛的安全芯片，以確保只有經過身份驗證的車輛才能與私有云進行通信。與傳統的車輛編碼綁定相比更不易被偽造。另一方面，車端通過證書加密，進行密鑰驗證并加密通信數據，增加了攻擊者進行竊聽和破解的難度，提高了安全性。

2.3 車聯網服務平臺安全問題研究

車聯網云控服務平臺當前是基于傳統的云計算技術構建。因此，云計算本身的安全性問題也將引入車聯網服務平臺中，面臨的安全威脅主要包括：平臺中特定操作系統的漏洞威脅或虛擬資源控制問題；應用面臨 SQL（Structured Query Language 結構化查詢語言）注入，跨站點腳本安全攻擊等問題；訪問控制還面臨賬號驗證權限和秘鑰泄露等安全問題，并且云控服務平臺中還存在傳統的拒絕服務攻擊。智能汽車數據接入至云平臺并由平臺進行數據交互與調度控制，因此平臺需要很高的操作權限，并且需要完善的訪問控制策略來實現與智能汽車的互連，以確保用戶敏感信息的私密性。

但是，許多管理平臺的訪問控制策略在此階段相對較弱，僅通過固定憑據進行的身份訪問控制無法滿足較強的控制需求，攻擊者可以通過偽造憑據來準備進一步的滲透，從而異常地訪問管理平臺。根據云平臺控制指令功能以及數據的匯聚存儲，可以參考成熟的云平臺安全保障技術，以確保車聯網云控服務平臺的安全。通過部署網絡防火墻、入侵檢測、監視和防御系統等保障手段，并覆蓋多個層面，例如系統，網絡和應用程序。現今云平臺的功能逐步增強，已部署了多種類型的云安全組件，以增強云平臺的集中管理和控制能力，包括：安全檢測服務，分析特定車型的云端交互數據和車輛日志數據，檢測智能終端是否異常、數據是否泄漏等；改進遠程 OTA 更新，加強更新驗證和簽名認證，減少召回成本和漏洞暴露時間；建立用于權鑒認證的證書，為用戶的加密密鑰和登錄憑證提供安全管理，都是云控平臺加強智能汽車安全保護的有效手段。

03 信息安全測試技術研究

3.1 測評意義及目標

隨著社會信息化的依賴性越來越強，網絡和信息系統的安全性變得愈發重要。確保基本網絡和通用信息系統的安全，更好地維護國家安全，保障社會和經濟的穩定，是信息化發展中必須要解決的問題，對于開展信息安全評估也具有重要意義。總體而言，我國的信息安全工作尚處于起步階段，信息安全的形式十分嚴峻，網上斗爭變得越來越尖銳復雜，已成為當前最難把握的安全問題之一。

因此，根據國家或行業信息安全相關的技術標準和規范管理，對信息系統進行測試和評估非常重要。通過評估，一是可以了解信息系統的安全狀況，排查信息系統的隱患和薄弱環節，明確信息系統的安全建設和整改需要；二是可以衡量信息系統的安全保護管理措施和技術措施是否滿足信息安全保護的基本要求。

為了確保智能網聯汽車的信息安全，我們不僅要從國家政策層面采取行動，構建智能網聯汽車安全測試平臺，完善智能網聯汽車自主研發體系，制定智能網聯汽車和其他設備信息安全預防措施，以形成智能網聯汽車的信息安全審查功能。同時，還應該從測試和評估的角度進行研究測試，并開發相關測評工具，協助政府進行不同環節的安全審查工作。建立智能網聯汽車的關鍵零部件、操作系統、通信環境和信息服務系統四個方向的信息安全測試平臺，對產品可能存在的缺陷進行挖掘，并輔助汽車行業開發用于汽車系統及設備的智能網聯測試和評估服務。

3.2 測試內容研究

根據上文所述的基于“端—管—云”的整體邏輯架構，來劃分智能網聯汽車測評對象，分為感知信源層、網絡傳輸層及應用服務層。通過研究信息安全共性技術，針對汽車不同產品、不同模塊的測評需求，開展安全分析、檢測、滲透、掃描及評估技術研究。建立產品的安全威脅模型分析環境，對整車或關鍵零部件進行缺陷分析、脆弱性分析；完善產品的安全測試環境，針對產品可能存在的缺陷和脆弱性進行檢測、挖掘與驗證；建設全生命周期的安全評估環境，對已驗證的安全隱患進行評估，評定相應信息系統的安全等級。

運用安全分析、檢測、評估技術，搭建模擬、硬件在環分析、實物平臺測試評價環境，并從設備感知層的多類型傳感器、泛在通信終端、網絡或尋址可信標識等能力設備，從網絡鏈路層的 V2X 技術的互聯互通，從應用層的云構架信息平臺、多種下游車輛服務產業等三大方面開展對智能網聯汽車信息安全的測試與評價。

3.3 智能網聯汽車感知信源層測試研究

感知層是智能汽車的多傳感器融合，負責收集和獲取車輛的智能信息，感知駕駛障礙物和環境，是具有車載通信、車間通信和車云通信的通信終端，同時使車輛具備尋址和網絡可信標識等能力。感知層主要由一系列關鍵電子單元組成，例如感應、控制和執行等功能。感知層的信息安全相關測試的主要關注點是針對電子單元的相關測試。代碼審計是首要應關注的測評方向，ECU中的代碼漏洞測試主要有兩種評估技術：靜態檢測技術和動態檢測技術。靜態檢測技術用于掃描電子控制單元的源代碼或二進制格式，直接分析程序的特征，并進行漏洞掃描和模糊分析；動態檢測技術是運行電子控制單元程序以檢測運行結果與預期之間的差異，從而分析運行效率和魯棒性。評估內容包括代碼審計、固件漏洞、接口、存儲安全性等。

3.4 網絡傳輸層測試研究

智能網聯汽車的網絡傳輸層主要應用場景為 V2X 的互聯互通，在功能和性能上保證實時性、可服務性和網絡泛在性。所有通信皆通過車載 CAN 網絡、V2X 無線通信網絡和 LTE 蜂窩網絡形成一個智能的車路協同互聯互通系統。對于網絡傳輸層的信息安全測試，主要是測試智能網聯汽車中通信網絡協議的安全性。

目前協議相關的大多數漏洞都與其健壯性有關，協議安全性體現在可以正確地處理或拒絕畸形的PDU（Protocol Data Unit 協議數據單元）并且不會引起漏洞或故障性失效。在此前提下，網絡層有代表性的三種安全測試方法包括：車輛通信協議隨機測試、變異語法注入測試方法、錯誤注入方法和車輛通信協議漏洞測試，測試內容包括在智能網聯汽車和智慧交通系統的網絡傳輸層中設計的通信協議的安全檢查、傳輸保密性、邊界安全性評估、設備標識等。

3.5 應用服務層測試

智能網聯汽車的應用服務層主要從汽車信息服務系統的綜合評估中進行。其生態鏈包括物流、貨運、汽車維修租賃、車輛管理、保險及救援等。整個系統圍繞車輛的數據聚合、計算、調度、監視、管理應用程序和其他方面，涵蓋遠程信息服務終端（T-box：Telematics Box）的安全性測試、汽車遠程服務提供商的安全性評估（TSP：Telematics Services Provider）、手機應用測評、車輛操作系統測試等。T-BOX的安全檢測內容是服務接口滲透、終端應用非法注入及檢測；TSP 的安全檢測內容為服務器高危漏洞檢測、服務器操作系統安全評估、服務器系統服務的安全評估。應用服務層的關鍵測試內容包括汽車信息服務終端的通信認證、數據傳輸安全、身份鑒別和安全審計。

同時，智能網聯汽車的車載操作系統具有很強的抽象性，在安全操作系統的設計中把機密性、完整性、可用性和抗抵抗性作為基本的安全需求。安全操作系統模型抽象出安全策略所表達的安全需求，描述了安全策略所對應的安全機制，進而體現出安全機制在操作系統中的具體表現。

操作系統整體安全檢測流程包括形式化分析、滲透性測試、安全功能測試漏洞掃描，首先根據車載操作系統的安全需求分析安全策略進而建立安全模型，根據需要實現的機制進行安全功能檢測，最后進行車載操作系統的風險評估。車載操作系統的安全測試重點包括：基于安全模型的形式化系統分析、系統信息安全功能化分析、系統滲透測試、安全漏洞掃描等，測試內容包括：訪問控制權限測試、身份鑒別測試、數據保護、管理權限驗證等。

04 未來研究方向

由于汽車電動化、智能化和網聯化的發展趨勢，特殊的多場景使用狀態和研發、生產、使用、維修、報廢全生命周期的現狀，相較于傳統的信息安全體系，智能網聯汽車的信息安全研究方向需要解決：如何進行高可靠的入侵檢測和防護，防止對車輛控制單元的直接控制造成生命財產方面的損失；如何保障復雜通信環境信息安全，提升車輛的防護能力；如何采取高效可靠的響應和回復方案等。強調構建以“檢測— 保護—響應—恢復”為體系的全生命周期智能網聯汽車信息安全體系以及針對智能汽車的不同安全等級的響應機制和恢復策略是未來智能汽車信息安全的主要發展方向。

（1）構建全生命周期層次分明的縱深防御體系，涵蓋產品的設計、研發、生產、維修和報廢全階段，覆蓋車載智能終端、移動智能終端、車聯網服務平臺及多模式的網絡通信協議的分級多域防護系統，運用安全分級、訪問控制、加密安全、入侵檢測技術和安全審計保障技術；

（2）從單點或被動防御方法向動態感知安全檢測和主動安全管理相結合的綜合防御系統轉變，借助大數據、人工智能等技術，實現自動識別、風險管理和攻擊溯源；

（3）借助密碼技術和可信計算體系，逐步完善車聯網的可信環境，從本質上提高安全水平，增強對未知威脅的防御能力和效率。

05 結語

本文通過研究智能網聯汽車信息安全問題、信息安全邏輯架構、測試評價技術，指出了在未來的智能網聯汽車發展中，全生命周期的縱深防御體系是智能網聯汽車信息安全的核心所在，前景廣闊。智能網聯汽車安全是保障車聯網體系與車路協同理念能否得到廣泛應用與推廣的基本前提，本文提出針對當下環境的研究方向建議，并對智能網聯汽車所存在的多角度攻擊向量展開分析，探討了基于“端—管—云”的邏輯架構防護思路，提出了智能網聯汽車測試評價技術是提高整體安全性的必要手段，有助于整個安全系數的增強。望上述幾點能為我國車聯網發展提供參考與借鑒。

作者簡介 >>>

宋昊辰（1992—），男，碩士，工程師，主要研究方向為車載以太網測試技術及車輛信息安全技術；

楊林（1965—），女，碩士，高級工程師，主要研究方向為智能電子產品的檢測認證；

徐華偉（1982—），男，博士，高級工程師，主要研究方向為車聯網相關技術可靠性測試技術；

楊珺婕（1994—），女， 碩士，工程師，主要研究方向為商用密碼測試驗證技術；

胡堅耀（1989—），男， 碩士，工程師，主要研究方向為車聯網自動駕駛安全測試驗證技術；

陳超英（1989—），男，碩士，工程師，主要研究方向為車聯網V2X 安全測試驗證技術。

來源：信息安全與通信保密