智能汽車網絡安全防護技術及研發流程

摘要

隨著汽車產業在智能化網聯化方向深入發展，新型汽車產品已逐步成為車輪上的數據中心，車載軟硬件配備也變得更加復雜。其網絡安全問題至關重要，本文從汽車面臨的網絡安全風險、網絡法規開始介紹，再基于以太網的E/E架構講解網絡安全防護技術，最后談一談整車網絡安全研發流程。

汽車面臨日益嚴峻的網絡安全風險

在汽車新四化的發展趨勢下，汽車的智能化、聯網化程度越來越高，汽車已經變成名副其實的萬物互聯時代的智能終端設備。在智能網聯汽車的場景下，衍生出了如車聯網技術、無人駕駛汽車技術、智能無線傳感器技術等一系列創新技術。然而，消費者在體驗智能技術的同時，卻承擔著極大的安全風險。智能網聯汽車消除了黑客攻擊車輛的地域和距離限制，給黑客遠程批量攻擊目標車輛提供了可能，使得車輛面臨的網絡安全風險顯著增加。智能汽車網絡安全問題已成為行業關注的重點。

網絡安全法規

法規體系是一個行業發展的基礎，是否完善決定了該行業未來的發展空間。近年來，我國依據智能汽車產業發展的現狀和趨勢，陸續出臺了多部法規，對于行業規范化發展有著極為重要的作用。

2019年10月，全國人大常委會發布《中華人民共和國密碼法》（以下簡稱《密碼法》），并于2020年1月正式施行。《密碼法》規范了密碼應用及管理，明確了核心密碼、商用密碼、普通密碼的管理要求。

2016年11月，全國人大常委會發布《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），并于2017年6月正式施行。《網絡安全法》規范網絡安全監督管理，包含網絡安全支持促進、網絡運行安全(網絡安全等級保護、關鍵基礎設施保護)、網絡信息安全、監測預警及處置等內容。

隨著《中華人民共和國數據安全法》的頒布和出臺，汽車數據全生命周期從創建到銷毀的整個過程，包括采集、存儲、處理、應用、流動和銷毀等環節都更加規范和有法可依，為企業數據經營合規以及進一步的數據資產化治理與發展提供指引。

《中華人民共和國個人信息保護法》主要圍繞個人信息的處理展開。從處理規則、跨境提供、個人權利、處理者義務、保護職責部門以及法律責任等不同角度確立了相應規則，并且針對敏感個人信息和國家機關處理活動強調了特別規則。

《汽車數據安全管理若干規定（試行）》定位于若干規范要求，聚焦汽車領域個人信息和重要數據的安全風險，明確汽車數據處理者的責任和義務，規范汽車數據處理活動，有利于促進汽車數據依法合理有效利用和汽車行業健康有序發展。

《車聯網（智能網聯汽車）網絡安全標準體系建設指南》（征求意見稿）的建設目標是計劃到2023年底，初步構建起車聯網（智能網聯汽車）網絡安全標準體系，重點研究基礎共性、終端與設施安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等重點行業標準和國家標準。

網絡安全防護

基于以太網的E/E架構網絡安全防護

接口與網絡安全：劃分區域/限制訪問

隨著V2X (vehicle to everything)的發展，智能網聯車不再是一個獨立的電子系統，而是一個大型的移動終端，為實現車與X(例如車、路、人、云等)的信息交換，必須配備豐富的連接接口，例如4G/5G、Wi-Fi、藍牙、 GPS、NFC等。與此同時，通信需求增加和對外接口豐富將導致網絡攻擊入口和形式的多樣化。

重點防護與外部有訪問點的接口設備

接口設備采用狀態防火墻，診斷通信不直接與ECU交互；基于中央網關，且與中央網關之間采用基于TLS的安全通信

把網絡劃分為多個不同的安全區域，區域之間采用受限通信方式安全區域劃分：限制具有外部訪問點的ECU數量；功能安全等級合法、授權數據可以跨域：VLAN通信；物理隔離。

數據傳輸安全

身份真實性、數據完整性、數據保密性、抗重放

防火墻/入侵檢測/防御系統(IDS /IPS)

防火墻用于過濾和阻止異常的數據流。過濾器有很多種類，從按起點或目的地進行簡單過濾開始，逐漸擴大到對有效負載的深入檢查。單個ECU的防火墻通常通過CANID 過濾接收消息。對于網關等大容量通道，這些防火墻以及路由邏輯通常會對性能產生影響。與后端服務器的無線連接使用相同的過濾機制，因此只接收某些確定的服務。傳統車內ECU中的防火墻功能通常沒有日志記錄機制。但是也有部分可能會在后續增加，例如VCU轉變為動力域的域控制器，運行linux或qnx系統，具有面向服務的通信能力。

IDS /IPS是類似防火墻的系統，但與防火墻不同的是，它不位于網絡邊界，而是在網絡內部，通過監控/控制網絡流量來確保安全。入侵檢測系統監視系統/網絡，并將日志發送到后端系統進行進一步分析。IDS/IPS的檢測規則是依賴后端進行動態更新的，但是在網速慢的時候，更新時間需要數天或更長時間。

IDS/IPS可以在基于主機和網絡域中進行區分，也就是說可以針對單個ECU，也可以針對某個網絡域。它們可以作為單獨的硬件組件實現，也可以在現有主機上的軟件中實現。

另外 IPS可能會對安全相關功能產生負面影響，其有可能出現誤檢，例如，在碰撞之前檢測到大量的制動信號，這可能被 IPS 解釋為攻擊。就未來的機器學習IPS算法而言，這方面將變得更加關鍵。這意味著無論何時使用 IPS，都需要一條備份路徑來監督所有IPS解釋，這將對性能和責任方面產生影響。IDS 則不會有這種擔憂，因為檢測規則將由人類預先定義，當然，在定義此類 IDS 規則時仍然存在人為錯誤的可能性，但可以使用定義明確的更新過程和嚴格的測試將這些錯誤降至最低。

整車網絡安全研發流程

整車網絡安全研發流程為V模型，遵循 ISO21434標準。首先項目開始時，要有網絡安全規劃，根據車型確定要達到的安全目標、安全計劃。在安全規劃的指導下，對整車進行識別，查看有多少安全資產，以及潛在的攻擊路徑，做出相應的組織策略和安全目標。再將安全目標整合成整車安全概念。接下來進行車輛功能網絡安全概念設計，承接整車和系統分解下來的功能，組合起來就是零部件網絡安全需求。在零部件網絡安全開發過程中，可通過CIA協議來進行約束和管控。

做完零部件網絡安全開發，再進行零部件網絡安全功能測試及零部件網絡安全確認，下一步進行車輛安全功能滲透測試、整車滲透測試，然后進行網絡安全確認，與最開始的目標進行核對，最后進行網絡安全生產發布。到此整個研發過程主體結束，但還需要全生命周期的網絡安全運營進行運營跟蹤，因為不可能一次性開發完，漏洞會層出不窮地出現，要靠運營來定期OTA等。

就智能網聯汽車的網絡安全解決方案，將前面的分享進行歸納總結，其實就是三件事：

事前-網絡安全需求

需求核心為威脅分析，再進行相應的需求定義。

事中-網絡安全開發

設計分層的縱深防御網絡安全架構，目前行業內比較普遍的是4、5、6層的安全防御。

事后-網絡安全運營

進行全生命周期、全天候車輛安全態勢感知及應急響應。

總體來看，目前及將來短時間內，政府對網絡安全的管控需求大于消費者對安全的需求。所以安全治理首先要做的是安全合規，其目的就是確保資產安全，手段是縱深防御，全要素覆蓋。通過構建由車外接口保護、車輛跨域安全、車輛通信安全至車內控制傳感層級的層次化、逐層深入的安全防御體系，保護車聯網安全。覆蓋車輛、云服務、移動終端、路邊單元，解決真實性；完整性；機密性；可用性；防抵賴；可授權等安全問題。還需要OEM車端及云端部門的協作來進行車云協同。通過打造全面的網絡安全解決方案，為智能網聯汽車保駕護航，促進智能網聯汽車的健康發展。

總結

網絡安全是一個系統問題：多層次縱深防御

面對智能網聯汽車高速的發展趨勢，迫切需要建立完整有效的智能網聯汽車信息安全防護體系，以應對未來可能大規模爆發的黑客攻擊。現階段較為可行的是在車廠內部，構建網絡安全體系能力，多層次展開縱深防御，己應對未來汽車智能業務發展的需求。通過體系化的管理，持續的改進智能網聯汽車的安全防護等級。

未來，中國的汽車行業將掌握自動駕駛總體技術及各項關鍵技術，而智能網聯汽車是風險與利益并存的產品，通過技術的進步和創新，不斷豐富和完善智能網聯汽車的安全策略，才可以提供更安全、節能、環保、舒適的出行方式。