一文帶你了解智慧汽車車載網路通訊安全架構

目前，智慧化、網路連線、電動化是汽車發展的大趨勢，各大汽車企業與網路公司積極開展合作，共同開啟雲端新時代。同時，針對智慧網聯汽車的攻擊事件卻頻繁發生，使得汽車網路資訊安全問題日益凸顯。

針對汽車網路資訊安全問題，梅賽德斯-賓士汽車公司於2017 年便與360 集團建立了合作關係，360 集團智慧網聯汽車安全實驗室Sky- Go 團隊發現了梅賽德斯-奔馳智慧網聯汽車存在的19 個安全漏洞並加以修復。在 2018 年比亞迪全球開發者大會上，比亞迪與 360 集團正式簽訂策略合作協議，共同探討解決智慧汽車的資訊安全與網路安全問題。 Ju 等研究了乙太網路在汽車車載網路的應用以及對未來汽車電子電氣（E/E）體系結構的預期。 Wampler 等針對 CAN 總線提出了相應的通用安全解決方案。 Lee 等透過對汽車進行攻擊實驗，驗證了汽車的網路脆弱性以及建立安全解決方案的迫切性。 Chen 等參考傳統資訊系統的分類安全防護評估標準，建立了車輛資訊系統分類安全防護評估系統。 Haas 等研究利用人工神經網路建立連網汽車入侵偵測模型，實現攻擊資料的過濾。

上述研究皆是針對汽車網路資訊安全展開的，但是針對智慧網路汽車系統的網路資訊安全防護方案尚未提出。本文從汽車車載網路資訊安全的角度出發，提出汽車車載網路通訊安全架構方案，該方案透過建構多域分層入侵偵測模型，實現預防—偵測—預警的完整安全防護體系。

1 域集中式電子電氣架構

#如今，智慧網聯汽車的功能越來越豐富，對應搭載的電子控制單元（electronic control unit，ECU）的數量也隨之增多，繼而與雲端、第三方APP 等資訊互動的遠端通訊也在增多，這也使得利用雲端、第三方軟體實施攻擊的可能性增大。如果採用傳統汽車分散式電子電氣架構，數量過多的 ECU 不僅會產生複雜的線束設計和邏輯控制問題，同樣也為汽車網路資訊安全增添隱患。這些問題的出現​​，都說明了現代汽車分散式電子電氣架構需要改革。美國汽車工程師學會推出了 J3061TM《資訊物理融合系統網路安全指南》，旨在透過統一全球標準，推動汽車電氣系統與其他連網系統之間安全流程的建立。本文參考《車輛傳統系統功能安全標準 ISO26262》定義的流程，制定車輛資訊安全架構圖如圖 1 所示。

圖1 車輛資訊安全架構圖

車輛資訊安全架構主要由資訊安全管理、核心資訊安全工程活動、支援過程3大部分構成。資訊安全管理包括綜合管理和生命週期各階段的資訊安全管理。核心資訊安全工程活動包括了概念階段，整車系統、軟硬體層面的開發階段及生產營運階段等。在概念階段製定整個安全項目計劃，包括識別網路安全邊界、系統外部依賴關係、系統潛在威脅分析以及評估。在開發階段，對整車系統的脆弱性和威脅性進行風險分析，制定資訊安全需求與策略，在開發階段完成後進行滲透測試，完成最終的安全審計。生產營運階段主要對產品進行現場監控、事件回應以及之後的時間追蹤管理。支援過程階段主要對以上階段進行輔助支持，包括對應的組態管理、文件管理和供應鏈管理等。

車輛資訊安全開發架構如圖 2 所示。系統開發設計階段是車輛資訊安全實現的基礎，而車輛資訊安全系統設計又依附於汽車電子電氣架構（electronics/ electrical，E/E）系統設計。因此，應對汽車網路資訊安全漏洞進行排查，包括與外部環境（如雲端伺服器、其他車輛和基礎設施）的連接、與車載網路的連接、與ECU 級別的連接和單一組件的連接等，建置安全級別更高的E/E 系統，從系統層面提升安全性。在測試階段，對車輛資訊安全功能檢查測試，進行安全評估，以驗證車輛資訊安全架構的安全性。在整體車輛資訊安全開發過程中，應將硬體設計和軟體設計協調開發，同時考慮到軟硬體的安全可靠性，共同實現網路安全。

#圖2 車輛資訊安全開發框架圖

#以特斯拉汽車為例，分析汽車E/E 架構方案。特斯拉汽車作為汽車 E/E 架構變革的領導者，Model 3 的電子電氣架構分為 3 大部分：中央運算模組（CCM）、左車身控制模組（BCM_LH） 和右車身控制模組（BCM_RH）。 CCM 直接整合了駕駛輔助系統（ADAS） 和資訊娛樂系統（IVI）2 大功能域，同時包括對外通訊和車內系統域通訊的功能；BCM_LH 和BCM_RH 分別負責車身與便利系統、底盤與安全系統和部分動力系統的功能。 3大模組均採用高性能處理器，能夠滿足功能域內的大量計算需求，域內其餘ECU 僅控制汽車外圍設備，域內各系統通過局域網進行通信， 而模組之間通過總線進行通信，實現了基本的安全隔離。

汽車域集中式電子電氣架構的出現，為資訊安全以及算力不足的問題提供了解決方案。汽車域集中式電子電氣架構指的是將汽車依功能劃分為若干個功能塊，每個功能塊以域控制器為主導搭建，各個功能域內部通信可根據不同功能的通信速率需求採用不同種類的通訊匯流排，如CAN、LIN、FLEXRAY、MOST 等匯流排，各功能域之間的通訊透過傳輸速率更高的乙太網路實現資訊交換，域集中式電子電氣架構圖如圖3 所示。網域控制器主要負責傳遞網域與雲端、網域與網域、網域內部的通訊。域內 ECU 僅負責對應執行元件的操作指令，採用具有通訊功能的控制器即可。

圖3 域集中式電子電氣架構圖

根據我國國情，智慧網聯汽車域集中式電子電氣架構結合了智慧化、網聯化、電動化3大部分的應用。

相較於先前的汽車分散式電子電氣架構，針對算力不足方面，域控制器作為每個域的獨立控制器，其內部需匹配一個核心運算力強的處理器，以滿足智慧網路對算力的要求，目前業界有NVIDIA、華為、瑞薩、NXP、TI、Mobileye、賽靈思、地平線等多個品牌方案。在安全防護方面，域集中式架構將車輛依功能及通訊速率需求分為若干個獨立功能模組，若攻擊者想要透過某一功能對整車進行攻擊，此功能所在的網域控制站可以及時監控並排除隱患，不會影響其他功能域，有效減少了攻擊面擴大的可能性。

2 智慧網聯汽車面臨的資訊安全威脅分析

隨著車輛連通性功能的極大擴展，導航定位、自動泊車、遠端控制及診斷等功能已逐漸成為汽車的標準配備。這些功能帶給人們極大便利的同時，也帶來了更多安全隱憂。

根據遭受攻擊的方式不同，智慧網路系統汽車安全隱患由遠及近可劃分為以下4 個面向：

（1）雲端層安全性隱憂

#

雲端平台儲存著汽車關鍵訊息，能夠提供汽車路況資訊、定位導航、警報、遠端控制等，如果雲端平台遭到駭客攻擊，大量重要資料外洩，後果不堪設想。

（2）網路傳輸層安全隱患

智慧型網路連線汽車透過無線通訊的方式實現與雲平台、行動裝置APP、其他車輛、交通狀況等資料的資訊交互，而無線通訊方式可能有身分認證、資料資訊加密、協定等安全問題，因此汽車也有相應的安全隱患。

（3）車載通訊層安全隱患

隨著車輛外部介面的增多，車輛內部通訊過程中電子控制單元韌體的安全隱患、資料傳輸過程中的安全隱患也隨之增加。

（4）外部介面安全隱憂

目前市面上有許多第三方APP，APP 種類繁雜，其安全防護也是消除隱憂的重要一環。如果駭客入侵 APP，甚至可以直接遠端操控汽車。除此之外，電動車的充電槍與充電樁之間通訊介面也存在安全隱患，一旦遭到攻擊，電動車的能源系統遭到破壞，可能會帶來生命危險。

3 汽車車載資訊安全隱患分析

#（1）車載智慧終端機（車載T-BOX）攻擊

#車載T-BOX 主要用於車與車聯網服務平台的通信，具有車輛遠端控制、遠端查詢、警報等功能。正常情況下，車載 T-BOX 透過讀取車載內部 CAN 通訊資料訊息，並透過無線通訊方式將訊息傳遞至雲端平台或 APP。車載T-BOX 的安全隱患主要有3 個面向：一是固件逆向，攻擊者透過逆向解析車載T-BOX 固件，取得金鑰，解密通訊協定；二是透過車載T-BOX 的預留調試介面讀取取內部資料並進行分析，解密通訊協定；三是透過仿冒雲平台的控制指令，將指令傳送到汽車內部，實現對汽車的遠端控制。

（2）車載資訊娛樂系統（IVI）攻擊

#車載資訊娛樂系統用於導航、路況播報、車輛資訊、通訊、輔助駕駛、CD/收音機等的應用。由於車載信 息娛樂系統的功能豐富，攻擊者既可以透過 USB、藍牙、Wi-Fi 等通訊方式進行攻擊，也可以透過軟體升級取得存取權限對系統進行攻擊。

（3）診斷介面OBD-Ⅱ攻擊

汽車診斷介面OBD-Ⅱ是汽車ECU 與外部進行互動的接口，其主要功能是讀取車輛的資料資訊和故障碼，用以車輛維修。 OBD-Ⅱ介面一旦遭到攻擊，不僅可以透過該介面破解汽車內部通訊協議，而且還可  以透過植入惡意硬體發送控制指令來實現對車輛的控制。

（4）感測器攻擊

#智慧網聯汽車擁有大量的感測器設備，用於車與車、車與人、車與路、車與雲的通訊。如果感測器遭受惡意訊息注入、竊聽等攻擊，高自動化車輛可能無法正確判斷周圍環境行為，造成嚴重後果。

（5）車內網路傳輸攻擊

#汽車內部網路通訊多採用CAN 總線傳輸，CAN總線具有成本低、通訊速率適中、抗電磁幹擾能力強等特點，因此廣泛應用於汽車電控系統。但CAN 總線採用非破壞性匯流排仲裁方式，具有校驗簡單、一發多讀等特點，安全防護措施薄弱，攻擊者若透過CAN 總線進行封包重播、拒絕服務、篡改等方式進行攻擊， 將導致駕駛員控制指令失效、汽車無法正常行駛的後果。

4 汽車車載通訊安全解決方案

在智慧網聯汽車資訊安全防護方面，根據攻擊發生的不同過程，分別建立主動防護、入侵監控、緊急處理的系統安全防護措施，保障汽車的資訊安全。在攻擊發生前，做好主動防護，對汽車的通訊資料進行篩選過濾，對常見的攻擊方法有效防範。攻擊發生後，持續監測汽車通訊狀態的變化，及時對攻擊點採取緊急措施並及時更新，防止危險的發生。

根據目前對汽車資訊安全技術適用性模型的分析，結合全新的汽車域集中式電子電氣架構，建構車載多域分層入侵偵測模型，針對雲端層、網域控制站層、ECU 層、車內網路傳輸層進行分層入侵偵測，採取對應的主動防護措施，以達到精準防護的效果。多域分層入侵偵測示意如圖 4 所示。

#圖4 多域分層入侵偵測示意圖

#（1）網域控制站層

新架構方案中，網域控制器既是整個網域的運算整合平台，也是網域與網域、網域與雲端之間進行資訊交流的網關。域控制器作為汽車內外網路資訊互動的安全邊界，是汽車車載網路安全防護的重點。因此，在安全邊 界建立安全防火牆，對資料資訊進行安全偵測、存取限制、日誌記錄等安全性偵測，以達到安全防護。

汽車的通訊封包由 ID、資料資訊、校驗位等部分組成。 ID 決定封包的傳輸優先權和目的位址，資料資訊決定操作指令，校驗位確保傳輸的資料資訊完整。

安全防火牆的主要作用是實現存取控制功能，汽車安全防火牆框架圖如圖 5 所示。

#圖5 安全防火牆框架圖

防火牆存取控制功能的實現主要基於建立汽車通訊封包的白名單資料庫，一旦偵測到封包請求，將封包ID 與白名單資料庫進行比對，配對成功則通過，失敗則丟棄。

防火牆的異常檢測技術有多種，常見的檢測技術包括入侵異常檢測方法，基於神經網路、聚類、遺傳演算法，基於資訊熵、關聯規則等。入侵異常偵測方法主要透過對大量正常行駛的汽車的通訊資料進行分析，建構汽車通訊網路安全模型，並用該模型監視使用者及系統的行為，分析是否有異常的非法資料活動，並向使用者警報記錄。汽車報文分為週期封包和事件觸發封包，入侵異常偵測技術可依不同情況建立模型。

週期報文是透過設定報文週期閾值來建立入侵偵測模型，將封包週期與門檻比較進行判定；事件觸發封包沒有固定的發送週期，但多數封包的操作指令相互關聯，如汽車的車速訊號與煞車訊號呈負相關關係，油門踏板訊號與車訊號呈正相關關係。因此， 透過大量的資料分析建構通訊訊息正/負相關入侵偵測模型，一旦訊息關聯出現較大的偏差，則判定為入侵行為並警報。

###由於汽車車載晶片的運算能力不足以同時實現安全性與即時性的最大化，因此現採用的入侵偵測的方法需要在保證實時性的基礎上，對入侵進行有效偵測，目前針對汽車車載報文流量監測是最有效的辦法。安全防火牆中存取控制、通訊標準偵測、異常分析的入侵偵測流程如 6 所示。 ######

圖6 入侵偵測流程

（2）車內網路層

每個域內網路傳輸安全性是安全防護機制的第二道防線。根據功能域所需的通訊要求的不同，採用的車載傳輸網路也有所不同。目前，除了資訊娛樂系統以外，大都採用 CAN 總線通訊。 CAN 總線的廣播特性、非破壞性匯流排仲裁方式等導致安全防護薄弱，因此需要製定通訊安全協定。

通訊安全協定的設計主要由 ECU 節點的校驗和傳輸資料資訊的加密 2 部分組成。在汽車行駛前，網域控制器隨機分配每個 ECU 的身份，ECU 要向網域控制站發送認證請求，進行身份認證，從而確保節點的合法性，完成 ECU 節點的校驗。汽車行駛過程中，車載網路的通訊資訊需要加密，以防攻擊者竊聽、偽裝。結合汽車對即時性要求高的特點，資料加密採用 AES 對稱加密演算法。 ECU 身分認證流程如圖 7 所示，CAN 通訊加密封包格式如圖 8 所示。

圖7 ECU 認證流程

圖8 CAN 通訊加密封包格式

#對稱加密運算量小、速度快，適用於汽車大數據通訊。對稱加密演算法中，加密方和解密方事先都必須知道加密的金鑰，發送和接收雙方都使用該金鑰對資料進 行加密和解密。基於對汽車資料的安全性和即時性的要求，可以根據已校驗成功的ECU ID 以及資料發送ECU 和接收ECU，建立獨立的加密表作為密鑰對資料進行加密，並根據對汽車即時性的驗證，相應調整加密表的加密難易度，最大化地確保資料的安全。

（3）ECU 層

#ECU 層面的安全防護主要是韌體防護，以實現防止韌體刷寫、外界存取、惡意變更等功能。考慮成本問題，根據不同功能的 ECU 需分配不同等級的安全防護措施。硬體安全模組是一種用於保護和管理強認證系統所使用的金鑰，並同時提供相關密碼學操作的電腦硬體設備。車身域ECU 採用輕量硬體安全模組，動力域ECU、資訊娛樂域ECU、輔助駕駛域均採用中量級硬體安全模組，而車身域控制器、動力域控制器、資訊娛樂網域控制器及輔助駕駛域控制器均採用重量級硬體安全模組。

5 結論

#本文從智慧網聯汽車的發展出發，聚焦了智慧網聯汽車的訊息安全隱患問題，對汽車車載網路資訊安全的防護進行了分析，建立汽車域集中式電子電氣架構，提出了從防護到入侵檢測、從資料加密到硬體加密的完整資訊安全防護模型的初步可行性方案架構，未來仍需透過實例對方案進行更進一步的論證。

以上是一文帶你了解智慧汽車車載網路通訊安全架構的詳細內容。更多資訊請關注PHP中文網其他相關文章！