目前,智能化、网联化、电动化是汽车发展的大趋势。各大车企与互联网企业积极合作,共同开启云新时代。与此同时,针对智能网联汽车的攻击事件频发,车联网信息安全问题日益突出。针对汽车网络信息安全问题,奔驰于2017年与360集团建立合作关系,360集团智能网联汽车安全实验室Sky-Go团队发现,奔驰-19安全梅赛德斯-奔驰智能网联汽车存在漏洞并进行修复。在2018比亚迪全球开发者大会上,比亚迪与360集团正式签署战略合作协议,共同探讨解决智能汽车的信息安全和网络安全问题。朱等人。研究以太网在汽车车载网络中的应用以及对未来汽车电气电子(E/E)架构的期望。万普勒等人。提出了相应的CAN总线通用安全解决方案。李等。通过对车辆进行攻击实验,验证了车辆的网络脆弱性和建立安全解决方案的紧迫性。Chen等人参照传统信息系统分级安全防护评价标准,建立了车载信息系统分级安全防护评价体系。哈斯等人。使用人工神经网络建立联网的汽车入侵检测模型来过滤攻击数据。上述研究均针对车载网络信息安全,但目前尚未提出针对智能网联汽车系统的网络信息安全保护方案。本文从车车网络信息安全的角度,提出车车网络通信安全架构方案,通过构建多域分层入侵检测模型,实现预防-检测-预警的完整安全防护体系。1领域集中式电子电气架构如今,智能网联汽车的功能越来越丰富,相应的电子控制单元(electroniccontrolunit,ECUs)的数量也越来越多,进而与云端进行交互,第三-一方APP等信息远程通信也越来越多,这也增加了利用云端和第三方软件进行攻击的可能性。如果采用传统的汽车分布式电子电气架构,过多的ECU不仅会造成复杂的线束设计和逻辑控制问题,还会给汽车网络信息安全增加隐患。这些问题的出现表明,现代汽车的分布式电子电气架构亟待改革。美国汽车工程师学会推出J3061TM《信息物理融合系统网络安全指南》,旨在通过全球统一标准,推动汽车电气系统与其他互联系统之间建立安全流程。本文参照《车辆传统系统功能安全标准 ISO26262》定义的流程,制定了车辆信息安全架构图,如图1所示。图1车辆信息安全架构图车辆信息安全架构主要由信息安全管理、核心信息安全工程活动、支撑流程三部分组成。信息安全管理包括生命周期各阶段的综合管理和信息安全管理。核心信息安全工程活动包括概念阶段、整车系统开发阶段、软硬件层面、生产运营阶段。在概念阶段制定整个安全项目计划,包括网络安全边界的识别、系统的外部依赖性、潜在系统威胁的分析和评估。在开发阶段,对车载系统的脆弱性和威胁进行风险分析,制定信息安全要求和策略,开发阶段完成后进行渗透测试,完成最终的安全审计。生产运营阶段主要对产品进行现场监控、事件响应和后续时间跟踪管理。支持流程阶段主要为以上阶段提供辅助支持,包括相应的配置管理、文档管理和供应链管理。车载信息安全开发框架如图2所示,系统开发设计阶段是实现车载信息安全的基础,车载信息安全系统设计依附于汽车电子/电气(E/E)系统设计。因此,应排查车联网信息安全漏洞,包括与外部环境(如云服务器、其他车辆和基础设施)的连接、与车联网的连接、与ECU级的连接以及各个部件的连接等,构建安全级别更高的E/E系统,从系统层面提升安全性。测试阶段,对车辆信息安全功能进行检查测试,进行安全评估,验证车辆信息安全架构的安全性。在整车信息安全发展过程中,硬件设计和软件设计应协调发展,考虑软硬件的安全性和可靠性,共同实现网络安全。图2车辆信息安全发展框架图以特斯拉汽车为例,分析车辆E/E架构方案。特斯拉汽车公司是汽车E/E架构变革的领导者。Model3的电子电气架构分为3个部分:中央计算模块(CCM)、左车身控制模块(BCM_LH)和右车身控制模块(BCM_RH)。CCM直接集成了驾驶辅助系统(ADAS)和信息娱乐系统(IVI)两大功能域,包括对外通信和车载系统域通信的功能;BCM_LH和BCM_RH分别负责车身和便利系统、底盘和安全系统以及部分动力总成功能。三大模块均采用高性能处理器,可满足功能域的大量计算需求。域中其余的ECU只控制汽车的外围设备。域内系统通过局域网进行通信,各模块通过总线进行通信,实现基本的安全性。隔离。汽车领域集中式电子电气架构的出现,为信息安全和计算能力不足等问题提供了解决方案。汽车领域集中式电子电气架构是指将汽车按照功能划分为若干个功能块。通信总线,如CAN、LIN、FLEXRAY、MOST等总线,通过以太网以更高的传输速率在各个功能域之间进行通信,实现信息交换。域集中式电气电子架构图如图3所示。域控制器主要负责域到云、域到域和域内的通信。域内的ECU只负责执行设备的操作指令,可以使用具有通信功能的控制器。图3领域集中式电子电气架构图根据我国国情,智能网联汽车领域集中式电子电气架构结合了智能化、网联化、电动化三大应用。相较于以往汽车的分布式电子电气架构,由于计算能力的不足,域控制器作为每个域的独立控制器,需要配备具有强大核心计算能力的处理器来满足智能网联的需求汽车。对于算力需求,目前业界有NVIDIA、华为、瑞萨、NXP、TI、Mobileye、Xilinx、Horizo??n等多个品牌方案。在安全防护方面,域集中式架构根据功能和通信速度要求,将整车划分为多个独立的功能模块。如果攻击者想通过某个功能对整车进行攻击,该功能所在的域控制器可以及时对车辆进行监控。并且消除隐患,不会影响其他功能域,有效降低攻击面扩大的可能性。2智能网联汽车面临的信息安全威胁分析随着车辆互联功能的极大拓展,导航定位、自动泊车、远程控制和诊断等功能逐渐成为车辆的标配。这些功能在给人们带来极大便利的同时,也带来了更多的安全隐患。根据攻击方式的不同,智能网联汽车的安全风险由远及近可分为以下四个方面:(1)云层安全风险。、报警、远程控制等。如果云平台遭到黑客攻击,将导致大量重要数据泄露,后果不堪设想。(2)网络传输层存在安全隐患。智能网联汽车通过无线通信实现与云平台、手机APP、其他车辆、路况等数据的信息交互,无线通信方式可以进行身份??认证和数据信息加密。、协议等安全问题,因此汽车也存在相应的安全隐患。(3)车辆通信层的安全隐患随着车辆外部接口的增多,车辆内部通信过程中电控单元固件的安全隐患和数据传输过程中的安全隐患也随之而来。增加。(4)对外接口的安全风险目前市场上第三方APP较多,种类繁多。他们的安全防护也是消除隐患的重要一环。如果黑客攻入APP,甚至可以直接远程控制汽车。此外,电动汽车充电枪与充电桩的通信接口也存在安全隐患。一旦受到攻击,电动汽车的能源系统将被破坏,可能带来生命危险。3车载信息安全隐患分析(1)车载智能终端(车载T-BOX)攻击车载T-BOX。主要用于车辆与车联网服务平台之间的通信,具有车辆远程控制、远程查询、报警等功能。正常情况下,车载T-BOX读取车内CAN通讯数据信息,通过无线通讯将信息传输至云平台或APP。车载T-BOX主要存在三大安全隐患:一是固件逆向,攻击者通过对车载T-BOX固件进行逆向分析,获取密钥并解密通信协议;获取内部数据并进行分析,解密通信协议;三是通过伪造云平台的控制命令,将命令发送到车内,实现对汽车的远程控制。(2)车载信息娱乐系统(In-VehicleInfotainmentSystem,IVI)攻击车载信息娱乐系统在导航、交通广播、车辆信息、通信、辅助驾驶、CD/收音机等方面的应用。由于车载信息娱乐系统的功能丰富,攻击者可以通过USB、蓝牙、Wi-Fi等通信方式对系统进行攻击,也可以通过软件升级获取访问权限。(3)诊断接口OBD-II攻击汽车诊断接口OBD-II是汽车ECU与外界交互的接口,主要功能是读取车辆的数据信息和故障代码,进行车辆维修。一旦OBD-II接口遭到攻击,不仅可以通过该接口破解汽车内部通信协议,还可以通过植入恶意硬件发送控制命令,实现对车辆的控制。(4)传感器攻击智能网联汽车拥有大量的传感器设备,用于车与车、车与人、车与路、车与云的通信。如果传感器受到恶意信息注入、窃听等攻击,高度自动化的车辆可能无法正确判断周围环境的行为,造成严重后果。(5)车内网络传输攻击车内大部分内部网络通信都是通过CAN总线传输的。CAN总线具有成本低、通信速度适中、抗电磁干扰能力强等特点,因此在汽车电子控制系统中得到广泛应用。但CAN总线采用无损总线仲裁方式,具有校验简单、一次发送多次读取等特点,安全防护措施薄弱。导致驾驶员控制指令失灵,汽车无法正常行驶的后果。4车辆车载通信安全解决方案在智能网联汽车安全防护方面,根据攻击过程的不同,分别建立主动防护、入侵监测、应急响应等系统安全防护措施,保障车辆信息安全。在攻击发生前,做好主动防护,对车内通信数据进行屏蔽过滤,有效防范常见的攻击手段。攻击发生后,持续监测车辆通信状态变化,采取应急措施,及时更新攻击点,杜绝危险发生。根据目前汽车信息安全技术适用模型分析,结合汽车领域新型集中式电子电气架构,针对云层、域控层构建车载多域分层入侵检测模型,ECU层,以及车载网络传输。逐层进行入侵检测,并采取相应的主动防护措施,达到精准防护的效果。多域分级入侵检测示意图如图4所示。图4多域分级入侵检测示意图(1)在新的域控制器层架构方案中,域控制器不仅仅是计算集成整个域的平台,也是域与域之间、域与云之间信息交互的网关。域控制器作为车内外网络信息交互的安全边界,是车联网安全防护的重点。因此,在安全边界建立安全防火墙,对数据信息进行安全测试、访问限制、日志记录等,实现安全防护??。汽车的通信报文由ID、数据信息、校验位等部分组成。ID决定报文的传输优先级和目的地址,数据信息决定操作指令,校验位保证传输数据信息的完整性。安全防火墙的主要功能是实现访问控制功能。汽车安全防火墙的框架图如图5所示。图5安全防火墙框架防火墙访问控制功能的实现主要基于车辆通信报文白名单数据库的建立。一旦检测到消息请求,消息ID将与白名单数据库进行比较。如果匹配成功,则通过;丢弃。防火墙的异常检测技术有很多。常见的检测技术包括基于神经网络、聚类、遗传算法、信息熵和关联规则的入侵异常检测方法。入侵异常检测方法主要通过分析大量正常行驶车辆的通信数据,构建车辆通信网络安全模型,利用该模型监测用户和系统的行为,分析是否存在异常的非法数据活动,以及报警记录给用户。车辆消息分为周期性消息和事件触发消息。入侵异常检测技术可以根据不同情况建立模型。周期消息通过设置消息周期阈值建立入侵检测模型,将消息周期与阈值进行比较判断;事件触发的消息没有固定的发送周期,但是大部分消息的操作指令都是相互关联的,比如汽车的速度信号和刹车信号是负相关的,而正相关的加速踏板信号和汽车信号之间的相关性。因此,通过大量的数据分析,建立了通信报文的正负相关入侵检测模型。一旦消息关联度出现较大偏差,则判定为入侵行为,并发出告警。由于车载芯片的计算能力不足以同时最大限度地提高安全性和实时性,目前的入侵检测方法需要在保证实时性的基础上有效检测入侵行为。监控是最有效的方法。安全防火墙中的访问控制、通信标准检测、异常分析等入侵检测流程如图6所示。图6入侵检测流程(2)车内网络层各域网络传输安全是第二道防线的安全保护机制。根据功能域所需的通信需求,所采用的车载传输网络也不同。目前,除信息娱乐系统外,多采用CAN总线通信。CAN总线的广播特性和无损总线仲裁方式导致安全防护薄弱,因此有必要制定通信安全协议。通信安全协议的设计主要由两部分组成:ECU节点的验证和传输数据信息的加密。在汽车行驶前,域控制器随机分配每个ECU的身份,ECU向域控制器发送身份认证请求进行身份认证,从而保证节点的合法性,完成对ECU节点的验证。汽车在行驶过程中,需要对车载网络的通信信息进行加密,以防止攻击者窃听和伪装。结合汽车对实时性要求高,数据加密采用AES对称加密算法。ECU身份认证流程如图7所示,CAN通信加密报文格式如图8所示。图7.ECU身份认证流程图。8CAN通信加密报文格式。对称加密计算量小,速度快,适用于汽车大数据通信。在对称加密算法中,加密方和解密方都必须事先知道加密密钥,发送方和接收方都使用该密钥对数据进行加密和解密。基于对车辆数据安全性和实时性的要求,可以根据验证成功的ECUID和数据发送ECU和接收ECU,建立独立的加密表作为密钥对数据进行加密。验证并相应调整加密表的加密难度,以最大限度地提高数据安全性。(3)ECU层ECU层的安全保护主要是固件保护,实现防止固件刷写、外部访问、恶意修改等功能。考虑到成本问题,需要为不同功能的ECU分配不同级别的安全保护措施。硬件安全模块是一种计算机硬件设备,用于保护和管理强认证系统中使用的密钥,同时提供相关的密码操作。车身域ECU采用轻量级硬件安全模块,动力域ECU、信息娱乐域ECU、辅助驾驶域均采用中量级硬件安全模块,车身域控制器、电源域控制器、信息娱乐域控制器和辅助驾驶域控制器全部采用重量级硬件安全模块。5结语本文从智能网联汽车的发展出发,针对智能网联汽车信息安全隐患,分析车载网络信息安全防护,建立汽车领域集中式电子电气架构,并从防护方面提出解决方案到入侵检测,从数据加密到硬件加密的完整信息安全保护模型的初步可行性方案架构,未来还需要通过实例进一步论证方案。
