域集中式架構的汽車(chē)車(chē)載通信安全方案探究

目前，智能化、網(wǎng)聯(lián)化、電動(dòng)化是汽車(chē)發(fā)展的大趨勢，各大汽車(chē)企業(yè)與互聯(lián)網(wǎng)公司積極開(kāi)展合作，共同開(kāi)啟云端新時(shí)代。與此同時(shí)，針對智能網(wǎng)聯(lián)汽車(chē)的攻擊事件卻頻繁發(fā)生，使得汽車(chē)網(wǎng)絡(luò )信息安全問(wèn)題日益凸顯。

針對汽車(chē)網(wǎng)絡(luò )信息安全問(wèn)題，梅賽德斯-奔馳汽車(chē)公司于 2017 年便與 360 集團建立了合作關(guān)系，360 集團智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗室 Sky-Go 團隊發(fā)現了梅賽德斯-奔馳智能網(wǎng)聯(lián)汽車(chē)存在的 19 個(gè)安全漏洞并加以修復。在 2018 年比亞迪全球開(kāi)發(fā)者大會(huì )上，比亞迪與 360 集團正式簽訂戰略合作協(xié)議，共同探討解決智能汽車(chē)的信息安全與網(wǎng)絡(luò )安全問(wèn)題。Ju 等研究了以太網(wǎng)在汽車(chē)車(chē)載網(wǎng)絡(luò )的應用以及對未來(lái)汽車(chē)電子電氣（E/E）體系結構的預期。Wampler 等針對 CAN 總線(xiàn)提出了相應的通用安全解決方案。Lee 等通過(guò)對汽車(chē)進(jìn)行攻擊實(shí)驗，驗證了汽車(chē)的網(wǎng)絡(luò )脆弱性以及建立安全解決方案的緊迫性。Chen 等參照傳統信息系統的分類(lèi)安全防護評估標準，建立了車(chē)輛信息系統分類(lèi)安全防護評估系統。Haas 等研究利用人工神經(jīng)網(wǎng)絡(luò )建立聯(lián)網(wǎng)汽車(chē)入侵檢測模型，實(shí)現對攻擊數據的過(guò)濾。

上述研究均是針對汽車(chē)網(wǎng)絡(luò )信息安全展開(kāi)的，但是針對智能網(wǎng)聯(lián)汽車(chē)系統的網(wǎng)絡(luò )信息安全防護方案尚未提出。本文從汽車(chē)車(chē)載網(wǎng)絡(luò )信息安全的角度出發(fā)，提出一種汽車(chē)車(chē)載網(wǎng)絡(luò )通信安全架構方案，該方案通過(guò)構建多域分層入侵檢測模型，實(shí)現預防—檢測—預警的完整安全防護體系。

域集中式電子電氣架構

如今，智能網(wǎng)聯(lián)汽車(chē)的功能越來(lái)越豐富，相應搭載的電子控制單元（electronic control unit，ECU）的數量也隨之增多，繼而與云端、第三方 APP 等信息交互的遠程通信也在增多，這也使得利用云端、第三方軟件實(shí)施攻擊的可能性增大。如果采用傳統汽車(chē)分布式電子電氣架構，數量過(guò)多的 ECU 不僅會(huì )產(chǎn)生復雜的線(xiàn)束設計和邏輯控制問(wèn)題，同樣也給汽車(chē)網(wǎng)絡(luò )信息安全增添隱患。這些問(wèn)題的出現，都說(shuō)明了現代汽車(chē)分布式電子電氣架構需要進(jìn)行改革。美國汽車(chē)工程師學(xué)會(huì )推出了 J3061TM《信息物理融合系統網(wǎng)絡(luò )安全指南》，旨在通過(guò)統一全球標準，推動(dòng)汽車(chē)電氣系統與其他互聯(lián)系統之間安全流程的建立。本文參照《車(chē)輛傳統系統功能安全標準 ISO26262》定義的流程，制定車(chē)輛信息安全架構圖如圖 1 所示。

圖 1 車(chē)輛信息安全架構圖

車(chē)輛信息安全架構主要由信息安全管理、核心信息安全工程活動(dòng)以及支持過(guò)程3大部分構成。信息安全管理包括綜合管理和生命周期各階段的信息安全管理。核心信息安全工程活動(dòng)包括了概念階段，整車(chē)系統、軟硬件層面的開(kāi)發(fā)階段及生產(chǎn)運營(yíng)階段等。在概念階段制定整個(gè)安全項目計劃，包括識別網(wǎng)絡(luò )安全邊界、系統外部依賴(lài)關(guān)系、系統潛在威脅分析以及評估。在開(kāi)發(fā)階段，對整車(chē)系統的脆弱性和威脅性進(jìn)行風(fēng)險分析，制定信息安全需求與策略，在開(kāi)發(fā)階段完成后進(jìn)行滲透測試，完成最終的安全審計。生產(chǎn)運營(yíng)階段主要對產(chǎn)品進(jìn)行現場(chǎng)監控、事件響應以及之后的時(shí)間跟蹤管理。支持過(guò)程階段主要對以上階段進(jìn)行輔助支持，包括相應的配置管理、文檔管理和供應鏈管理等。

車(chē)輛信息安全開(kāi)發(fā)框架如圖 2 所示。系統開(kāi)發(fā)設計階段是車(chē)輛信息安全實(shí)現的基礎，而車(chē)輛信息安全系統設計又依附于汽車(chē)電子電氣架構（electronics/ electrical，E/E）系統設計。因此，應對汽車(chē)網(wǎng)絡(luò )信息安全漏洞進(jìn)行排查，包括與外部環(huán)境（如云服務(wù)器、其他車(chē)輛和基礎設施）的連接、與車(chē)載網(wǎng)絡(luò )的連接、與 ECU 級別的連接和單個(gè)組件的連接等，構建安全級別更高的 E/E 系統，從系統層面提高安全性。在測試階段，對車(chē)輛信息安全功能檢查測試，進(jìn)行安全評估，驗證車(chē)輛信息安全架構的安全性。在整體車(chē)輛信息安全開(kāi)發(fā)過(guò)程中，應當將硬件設計和軟件設計協(xié)調開(kāi)發(fā)，同時(shí)考慮到軟硬件的安全可靠性，共同實(shí)現網(wǎng)絡(luò )安全。

圖 2 車(chē)輛信息安全開(kāi)發(fā)框架圖

以特斯拉汽車(chē)為例，分析汽車(chē) E/E 架構方案。特斯拉汽車(chē)作為汽車(chē) E/E 架構變革的帶頭人，Model 3 的電子電氣架構分為 3 大部分：中央計算模塊（CCM）、左車(chē)身控制模塊（BCM_LH） 和右車(chē)身控制模塊（BCM_RH）。CCM 直接整合了駕駛輔助系統（ADAS） 和信息娛樂(lè )系統（IVI）2 大功能域，同時(shí)包括對外通信和車(chē)內系統域通信的功能；BCM_LH 和 BCM_RH 分別負責車(chē)身與便利系統、底盤(pán)與安全系統和部分動(dòng)力系統的功能。3大模塊均采用高性能處理器，能夠滿(mǎn)足功能域內的大量計算需求，域內其余 ECU 僅控制汽車(chē)外圍設備，域內各系統通過(guò)局域網(wǎng)進(jìn)行通信， 而模塊之間通過(guò)總線(xiàn)進(jìn)行通信，實(shí)現了基本的安全隔離。

汽車(chē)域集中式電子電氣架構的出現，為信息安全以及算力不足的問(wèn)題提供了解決方案。汽車(chē)域集中式電子電氣架構指的是將汽車(chē)根據功能劃分為若干個(gè)功能塊，每個(gè)功能塊以域控制器為主導搭建，各個(gè)功能域內部通信可根據不同功能的通信速率需求采用不同種類(lèi)的通信總線(xiàn)，如 CAN、LIN、FLEXRAY、MOST 等總線(xiàn)，各個(gè)功能域之間的通信通過(guò)傳輸速率更高的以太網(wǎng)實(shí)現信息交換，域集中式電子電氣架構圖如圖 3 所示。域控制器主要負責傳遞域與云、域與域以及域內部的通信。域內 ECU 僅負責相應執行器件的操作指令，采用帶有通信功能的控制器即可。

圖 3 域集中式電子電氣架構圖

根據我國國情，智能網(wǎng)聯(lián)汽車(chē)域集中式電子電氣架構結合了智能化、網(wǎng)聯(lián)化、電動(dòng)化3大部分的應用。

相較于以前的汽車(chē)分布式電子電氣架構，針對算力不足方面，域控制器作為每個(gè)域的獨立控制器，其內部需匹配一個(gè)核心運算力強的處理器，以滿(mǎn)足智能網(wǎng)聯(lián)汽車(chē)對算力的要求，目前業(yè)內有 NVIDIA、華為、瑞薩、NXP、TI、Mobileye、賽靈思、地平線(xiàn)等多個(gè)品牌方案。在安全防護方面，域集中式架構將車(chē)輛根據功能及通信速率要求分為若干個(gè)獨立功能模塊，若攻擊者想要通過(guò)某一功能對整車(chē)進(jìn)行攻擊，該功能所在的域控制器可以及時(shí)監測并排除隱患，不會(huì )影響其他功能域，有效減少了攻擊面擴大的可能性。

智能網(wǎng)聯(lián)汽車(chē)面臨的信息安全威脅分析

隨著(zhù)車(chē)輛連通性功能的極大擴展，導航定位、自動(dòng)泊車(chē)、遠程控制及診斷等功能已逐漸成為汽車(chē)的標配。這些功能帶給人們極大便利的同時(shí)，也帶來(lái)了更多安全隱患。

根據遭受攻擊的方式不同，智能網(wǎng)聯(lián)汽車(chē)安全隱患由遠及近可劃分為以下 4 個(gè)方面：

（1）云端層安全隱患。云平臺存儲著(zhù)汽車(chē)關(guān)鍵信息，能夠給汽車(chē)提供路況信息、定位導航、報警、遠程控制等，如果云平臺遭到黑客攻擊，大量重要數據外泄，后果不堪設想。

（2）網(wǎng)絡(luò )傳輸層安全隱患。智能網(wǎng)聯(lián)汽車(chē)通過(guò)無(wú)線(xiàn)通信的方式實(shí)現與云平臺、移動(dòng)端 APP、其他車(chē)輛、交通狀況等數據的信息交互，而無(wú)線(xiàn)通信方式可能存在著(zhù)身份認證、數據信息加密、協(xié)議等安全問(wèn)題，因此汽車(chē)也有相應的安全隱患。

（3）車(chē)載通信層安全隱患。隨著(zhù)車(chē)輛外部接口的增多，車(chē)輛內部通信過(guò)程中電子控制單元固件的安全隱患、數據傳輸過(guò)程中的安全隱患也隨之增多。

（4）外部接口安全隱患。目前市場(chǎng)上有很多第三方 APP，APP 種類(lèi)繁雜，其安全防護也是消除隱患的重要一環(huán)。如果黑客入侵 APP，甚至可以直接遠程操控汽車(chē)。除此之外，電動(dòng)汽車(chē)的充電槍與充電樁之間通信接口也存在安全隱患，一旦遭到攻擊，電動(dòng)汽車(chē)的能源系統遭到破壞，可能會(huì )帶來(lái)生命危險。

汽車(chē)車(chē)載信息安全隱患分析

（1）車(chē)載智能終端（車(chē)載 T-BOX）攻擊

車(chē)載 T-BOX 主要用于車(chē)與車(chē)聯(lián)網(wǎng)服務(wù)平臺的通信，具有車(chē)輛遠程控制、遠程查詢(xún)、報警等功能。正常情況下，車(chē)載 T-BOX 通過(guò)讀取車(chē)載內部 CAN 通信數據信息，并通過(guò)無(wú)線(xiàn)通信方式將信息傳遞至云平臺或 APP。車(chē)載 T-BOX 的安全隱患主要有 3 個(gè)方面：一是固件逆向，攻擊者通過(guò)逆向解析車(chē)載 T-BOX 固件，獲取密鑰，解密通信協(xié)議；二是通過(guò)車(chē)載 T-BOX 的預留調試接口讀取內部數據并進(jìn)行分析，解密通信協(xié)議；三是通過(guò)仿冒云平臺的控制指令，將指令發(fā)送到汽車(chē)內部，實(shí)現對汽車(chē)的遠程控制。

（2）車(chē)載信息娛樂(lè )系統（IVI）攻擊

車(chē)載信息娛樂(lè )系統用于導航、路況播報、車(chē)輛信息、通訊、輔助駕駛、CD/收音機等的應用。由于車(chē)載信 息娛樂(lè )系統的功能豐富，攻擊者既可以通過(guò) USB、藍牙、Wi-Fi 等通信方式進(jìn)行攻擊，也可以通過(guò)軟件升級獲得訪(fǎng)問(wèn)權限對系統進(jìn)行攻擊。

（3）診斷接口 OBD-Ⅱ攻擊

汽車(chē)診斷接口 OBD-Ⅱ是汽車(chē) ECU 與外部進(jìn)行交互的接口，其主要功能是讀取車(chē)輛的數據信息和故障碼，用以車(chē)輛維修。OBD-Ⅱ接口一旦遭到攻擊，不僅可以通過(guò)該接口破解汽車(chē)內部通信協(xié)議，而且還可 以通過(guò)植入惡意硬件發(fā)送控制指令實(shí)現對車(chē)輛的控制。

（4）傳感器攻擊

智能網(wǎng)聯(lián)汽車(chē)擁有大量的傳感器設備，用于車(chē)與車(chē)、車(chē)與人、車(chē)與路、車(chē)與云的通信。如果傳感器遭受惡意信息注入、竊聽(tīng)等攻擊，高自動(dòng)化車(chē)輛可能會(huì )無(wú)法正確判斷周?chē)h(huán)境行為，造成嚴重后果。

（5）車(chē)內網(wǎng)絡(luò )傳輸攻擊

汽車(chē)內部網(wǎng)絡(luò )通信大多采用 CAN 總線(xiàn)傳輸，CAN總線(xiàn)具有成本低、通信速率適中、抗電磁干擾能力強等特點(diǎn)，因此被廣泛應用于汽車(chē)電控系統。但 CAN 總線(xiàn)采用非破壞性總線(xiàn)仲裁方式，具有校驗簡(jiǎn)單、一發(fā)多讀等特點(diǎn)，安全防護措施薄弱，攻擊者若通過(guò) CAN 總線(xiàn)進(jìn)行報文重放、拒絕服務(wù)、篡改等方式進(jìn)行攻擊， 將導致駕駛員控制指令失效、汽車(chē)無(wú)法正常行駛的后果。

汽車(chē)車(chē)載通信安全解決方案

在智能網(wǎng)聯(lián)汽車(chē)信息安全防護方面，根據攻擊發(fā)生的不同過(guò)程，分別建立主動(dòng)防護、入侵監測、應急處理的系統安全防護措施，保障汽車(chē)的信息安全。在攻擊發(fā)生前，做好主動(dòng)防護，對汽車(chē)的通信數據進(jìn)行篩查過(guò)濾，對常見(jiàn)的攻擊方法有效防范。攻擊發(fā)生后，持續監測汽車(chē)通信狀態(tài)的變化，及時(shí)對攻擊點(diǎn)采取應急措施并及時(shí)更新，防止危險的發(fā)生。

根據目前對汽車(chē)信息安全技術(shù)適用性模型的分析，結合全新的汽車(chē)域集中式電子電氣架構，構建車(chē)載多域分層入侵檢測模型，針對云端層、域控制器層、ECU 層、車(chē)內網(wǎng)絡(luò )傳輸層進(jìn)行分層入侵檢測，采取對應的主動(dòng)防護措施，以達到精準防護的效果。多域分層入侵檢測示意如圖 4 所示。

圖 4 多域分層入侵檢測示意圖

（1）域控制器層

新架構方案中，域控制器既是整個(gè)域的計算集成平臺，也是域與域、域與云端之間進(jìn)行信息交流的網(wǎng)關(guān)。域控制器作為汽車(chē)內外網(wǎng)絡(luò )信息交互的安全邊界，是汽車(chē)車(chē)載網(wǎng)絡(luò )安全防護的重點(diǎn)。因此，在安全邊 界建立安全防火墻，對數據信息進(jìn)行安全檢測、訪(fǎng)問(wèn)限制、日志記錄等安全性檢測，以實(shí)現安全防護。

汽車(chē)的通信報文由 ID、數據信息、校驗位等部分組成。ID 確定報文的傳輸優(yōu)先級和目的地址，數據信息確定操作指令，校驗位確保傳輸的數據信息完整。

安全防火墻的主要作用是實(shí)現訪(fǎng)問(wèn)控制功能，汽車(chē)安全防火墻框架圖如圖 5 所示。

圖 5 安全防火墻框架圖

防火墻訪(fǎng)問(wèn)控制功能的實(shí)現主要基于建立汽車(chē)通信報文的白名單數據庫，一旦檢測到報文請求，將報文 ID 與白名單數據庫進(jìn)行比對，匹配成功則通過(guò)，失敗則丟棄。

防火墻的異常檢測技術(shù)有多種，常見(jiàn)的檢測技術(shù)包括入侵異常檢測方法，基于神經(jīng)網(wǎng)絡(luò )、聚類(lèi)、遺傳算法，基于信息熵、關(guān)聯(lián)規則等。入侵異常檢測方法主要通過(guò)對大量正常行駛的汽車(chē)的通信數據進(jìn)行分析，構建汽車(chē)通信網(wǎng)絡(luò )安全模型，并用該模型監視用戶(hù)及系統的行為，分析是否存在異常的非法數據活動(dòng)，并向用戶(hù)報警記錄。汽車(chē)報文分為周期報文和事件觸發(fā)報文，入侵異常檢測技術(shù)可以根據不同情況建立模型。周期報文是通過(guò)設定報文周期閾值構建入侵檢測模型，將報文周期與閾值對比進(jìn)行判定；事件觸發(fā)報文沒(méi)有固定的發(fā)送周期，但多數報文的操作指令相互關(guān)聯(lián)，如汽車(chē)的車(chē)速信號與剎車(chē)信號存在負相關(guān)關(guān)系，油門(mén)踏板信號與車(chē)信號存在正相關(guān)關(guān)系。因此， 通過(guò)大量的數據分析構建通信報文正/負相關(guān)入侵檢測模型，一旦報文關(guān)聯(lián)出現較大的偏差，則判定為入侵行為并報警。由于汽車(chē)車(chē)載芯片的計算能力不足以同時(shí)實(shí)現安全性與實(shí)時(shí)性的最大化，因此現采用的入侵檢測的方法需要在保證實(shí)時(shí)性的基礎上，對入侵進(jìn)行有效檢測，目前針對汽車(chē)車(chē)載報文流量監測是最為有效的辦法。安全防火墻中訪(fǎng)問(wèn)控制、通信標準檢測、異常分析的入侵檢測流程如 6 所示。

圖 6 入侵檢測流程

（2）車(chē)內網(wǎng)絡(luò )層

每個(gè)域內網(wǎng)絡(luò )傳輸安全是安全防護機制的第二道防線(xiàn)。根據功能域所需要的通信要求的不同，采用的車(chē)載傳輸網(wǎng)絡(luò )也有所不同。目前，除了信息娛樂(lè )系統以外，大都采用 CAN 總線(xiàn)通信。CAN 總線(xiàn)的廣播特性、非破壞性總線(xiàn)仲裁方式等導致安全防護薄弱，因此需要制定通信安全協(xié)議。

通信安全協(xié)議的設計主要由 ECU 節點(diǎn)的校驗和傳輸數據信息的加密 2 部分組成。在汽車(chē)行駛前，域控制器隨機分配每個(gè) ECU 的身份，ECU 要向域控制器發(fā)送認證請求，進(jìn)行身份認證，從而保證節點(diǎn)的合法性，完成 ECU 節點(diǎn)的校驗。汽車(chē)行駛過(guò)程中，車(chē)載網(wǎng)絡(luò )的通信信息需要加密，以防攻擊者竊聽(tīng)、偽裝。結合汽車(chē)對實(shí)時(shí)性要求高的特點(diǎn)，數據加密采用 AES 對稱(chēng)加密算法。ECU 身份認證流程如圖 7 所示，CAN 通信加密報文格式如圖 8 所示。

圖 7 ECU 身份認證流程

圖 8 CAN 通信加密報文格式

對稱(chēng)加密計算量小、速度快，適用于汽車(chē)大數據通信。對稱(chēng)加密算法中，加密方和解密方事先都必須知道加密的密鑰，發(fā)送和接收雙方都使用該密鑰對數據進(jìn) 行加密和解密?；趯ζ?chē)數據的安全性和實(shí)時(shí)性的 要求，可以根據已校驗成功的 ECU ID 以及數據發(fā)送 ECU 和接收 ECU，建立獨立的加密表作為密鑰對數據進(jìn)行加密，并根據對汽車(chē)實(shí)時(shí)性的驗證，相應調整加密表的加密難易度，最大化地保證數據的安全。

（3）ECU 層

ECU 層面的安全防護主要是固件防護，實(shí)現防止固件刷寫(xiě)、外界訪(fǎng)問(wèn)、惡意更改等功能?？紤]到成本問(wèn)題，根據不同功能的 ECU 需分配不同等級的安全防護措施。硬件安全模塊是一種用于保護和管理強認證系統所使用的密鑰，并同時(shí)提供相關(guān)密碼學(xué)操作的計算機硬件設備。車(chē)身域 ECU 采用輕量級硬件安全模塊，動(dòng)力域 ECU、信息娛樂(lè )域 ECU、輔助駕駛域均采用中量級硬件安全模塊，而車(chē)身域控制器、動(dòng)力域控制器、信息娛樂(lè )域控制器和輔助駕駛域控制器均采用重量級硬件安全模塊。

結語(yǔ)

本文從智能網(wǎng)聯(lián)汽車(chē)的發(fā)展出發(fā)，聚焦了智能網(wǎng)聯(lián)汽車(chē)的信息安全隱患問(wèn)題，對汽車(chē)車(chē)載網(wǎng)絡(luò )信息安全的防護進(jìn)行了分析，建立汽車(chē)域集中式電子電氣架構，提出了從防護到入侵檢測、從數據加密到硬件加密的完整信息安全防護模型的初步可行性方案架構，未來(lái)仍需通過(guò)實(shí)例對方案進(jìn)行更進(jìn)一步的論證。

審核編輯 ：李倩