内容提要：本文所描述的有关车载网络的核心思想，可作为自动驾驶和V2X通信安全的深入分析的资源。

引言

到2030年，欧洲和美国的汽车保有量将略有下降，但与此同时，全球行业利润将大幅增长。发生这一现象的主要原因是移动即服务（MaaS）的概念，代价就是个人不再享有汽车所有权，在中国，汽车所有权的比例预计将从90%下降到52%。从这个角度来看，"智能网联汽车 "和 "自动驾驶"将是这个新模式的主要关键词 。

所有的汽车创新都有一个共同点，那就是信息技术。汽车行业正在经历一个重大转变：OEM 的 “机械世界”正在向IT公司的“信息世界”靠拢。在此背景下，只有解决了信息安全问题，才能解决现代车辆的安全问题，这两者密切相关。

本文首先列出了汽车设计中的制约因素，然后描述了内部网络的主要标准和相关的信息安全漏洞。此外，还介绍了针对车辆的网络攻击的各种目标以及攻击策略。最后，介绍了新架构的推荐解决方案。

01汽车网络

A. 汽车设计中的制约因素

-硬件限制 在汽车中，所谓ECU，实际上就是一部带单片机的嵌入式系统，有自己的处理器、I/O设备和存储器，能独立控制汽车的某一系统。ECU的计算能力和内存有很大的硬件限制，即计算能力和内存都很低。这种限制意味着一些信息安全解决方案，如加密方案，可能无法完全实现。此外，ECU的运行需要很苛刻的条件（如低/高温、冲击、振动、电磁干扰），并且，在设计时，必须尽量减少ECU对车辆的尺寸和重量的影响。这就是为什么一般会采用总线拓扑结构，因为和星形拓扑结构相比，总线拓扑结构需要的导线数量要少得多。

这些限制使得汽车整车厂对部件成本很敏感，从而无法激起汽车整车厂的创新欲望。

-定时 一些ECU必须执行一些安全关键型的固定实时约束任务。因此，与任何安全信息相关的措施，都不能影响这些关键型任务的执行。

-自主性 由于驾驶员必须专注于驾驶，所以在保护机制发生时，汽车应尽可能地能自主判断。

-生命周期 汽车的生命周期比传统的消费电子产品要长得多，因此需要耐用的硬件和易于更新的软件（特别是与安全相关的软件）。

-供应商集 成为了保护知识产权，供应商通常提供的是没有源代码的（软件）组件；想要修改供应商代码来提高安全性就比较困难。

B. 主要通信标准

目前汽车中有几种不同类型的网络，这种网络可以让几十个 ECU 进行通信。通常，适合于特定领域和相关要求的主要标准有：LIN、MOST、FlexRay 和 CAN；CAN 代表了整个网络的主干，所以 CAN 是理解汽车网络安全中的关键点的最具解释性的协议。值得注意的是，由于处于工业过渡阶段，拓扑结构和标准都将发生变化。CAN和汽车以太网的主要特征如下：

-CAN 控制器区域网络是最常用的车内网络协议。CAN发布于1986年，多年来已经开发了几个演变版本和标准。CAN中有一个低速版本，速度可以达到125Kb/s，高速版本可以达到1Mb/s；第一个版本适用于车身领域，另一个版本用于 "动力系统"（发动机或变速器控制）和 "底盘"（悬挂、转向或制动）领域。CAN网络是采用双绞线，是网络拓扑结构，该结构是一个总线线路。尽管目前的设计正过渡到有一个域控制器（DC）的一个稍微不同的环境（图1），域控制器（DC）用于每个域（即功能）管理不同的子网络，但设计的主要思路仍然是CAN总线作为主干，所有的数据以广播模式传播到整个网络。

图1 现代汽车的主要域

-车载以太网 虽然以太网的应用还有限，但以太网对下一代汽车网络有着至关重要的作用；在IT领域，以太网是常见的标准，其高带宽是现代汽车的理想特性。但是，以太网的成本和重量并不适合汽车，因此需要为汽车”量身定做“一个特有的"车载以太网"：过去的几年，出现了各种各样的协议，其中，出现了Broad com的 "BroadR-Reach"另一个版本，现在 IEEE 已经标准化这个方案（802.3bp和802.3bw）；此外，其他的版本正在由 ISO 开发。该标准目前由单对以太网络（OPEN）联盟指导。

与标准以太网相比，车载以太网的主要区别在于使用了独特的非屏蔽双绞线，这种方式能让成本、尺寸和重量大大降低，但同时不会牺牲带宽（100或1000Mb/s）。

在继续描述这些设计的漏洞之前，很有必要先介绍一下诊断的一个基本标准：OBD。OBD 是车载诊断系统的缩写，包括一个物理端口，对美国和欧洲的车辆来说，OBD是强制性的，能够实现自我诊断能力，以检测并向车主或技术人员发出信号，说明某一特定部件存在故障。通过 OBD 可以直接访问 CAN 总线，攻击者能对车辆造成严重的安全威胁。此外，任何人都可以购买到用于 OBD 端口的廉价加密狗，然后攻击者就能利用智能手机应用程序等方式提取车辆数据并读取数据。

C. 脆弱性

如上文 A 中所描述的一些限制，比如降低网络成本和规模影响等，再加上过去车内数据并没有暴露在外部网络中，这导致（CAN）主干网中存在以下的设计漏洞：

-广播式传输 由于总线拓扑结构，ECU之间传播到整个网络的报文对车辆造成了严重的威胁：访问网络的一个部分（例如OBD端口）意味着能向整个网络发送报文，或者能够窃听所发送的通信。

-无认证 帧的来源无认证，这意味着有可以从网络的每个部分发送假报文。

-未加密 能非常容易地分析或记录报文，从而搞清楚部件的功能。基于ID的优先级方案每个CAN帧都包含一个标识符和一个优先级字段；高优先级帧的传输会导致低优先级的帧后退，从而实现拒绝服务（DoS）攻击。

02 车辆入侵的目的

-偷盗车辆 这是个攻击者直接攻击车辆的理由。

-车辆改进 指的是软件修改，特别是因车主要求的修改。其目的可能是为了降低车辆的里程数，调整发动机设置或在信息娱乐系统中安装非官方软件。

-勒索 可通过类似勒索软件的策略来实现，即封锁受害者的汽车，直到车主支付费用后才能解锁。

-”炫技“ 攻击者攻击车辆只是为了展示自己的”黑客技术“。

-知识产权盗窃 指的是征集源代码等工业间谍活动。

-数据盗窃 该攻击呈泛滥趋势，是网联汽车新模式不得不面对的问题。可供窃取的数据有不同类型，如：

车牌、保险和税收数据；

位置痕迹；

来自与智能手机连接的数据，如联系人、短信、社交媒体数据、银行记录。

将这些数据综合后，攻击者能发现受害者的习惯和兴趣点，受害人就会面临入室盗窃或类似的攻击。

03 攻击场景

一般的攻击方法中包括初始阶段，即利用物理（如OBD）或无线（如蓝牙）汽车接口以访问车载网络。访问车辆的最常见的接口是OBD，但有也有案例是利用了不同的入口点的情况。例如，通过刻录在CD上的修改过的WMA音频文件发送了一个任意CAN帧；CAN 标准中存在的漏洞，这些漏洞可能导致攻击者能通过USB连接的智能手机控制内部CAN总线；轮胎压力监测系统（TPMS）的中存在的潜在漏洞；无钥匙进入汽车系统，攻击者可以克隆遥控钥匙，获得对车辆的未经授权的访问。

一旦攻击者选定了接口方式，就会采用以下方法来准备和实施对车辆的攻击。

-帧嗅探 利用广播传输和网络中缺乏加密技术的特点，攻击者可以窃听帧并发现其功能。一般情况下，这是第一步，是为后续的攻击做准备的。

-框架伪造 一旦攻击者知道了CAN框架的细节，就有可能会利用错误的数据创建假信息，以误导 ECU 或驾驶员，例如，用错误的速度表读数。

-帧注入 攻击者把适当ID设置的假帧注入到CAN总线中，以锁定一个特定的节点；之所以攻击者这么做能成功，是因为帧缺乏认证。米勒等人对2014年款的吉普车切诺基的信息娱乐系统进行了一次示例攻击，该攻击案例在当时震惊业界。该系统含有通过Sprint的蜂窝网络通信能力，以提供车载Wifi、实时交通更新和其他服务。这种远程攻击可以实现控制转向和制动等网络物理机制。因为此信息娱乐系统漏洞，FCA公司召回了140万辆汽车。

-重复动作攻击 在这种情况下，攻击者能在适当的时候向总线发送一系列记录的有效帧，通过这种攻击方式，攻击者可以反复解锁车辆、启动发动机和打开车灯。

-DoS攻击 攻击者可以用最高优先级的帧充斥网络，使ECU无法定期发送报文，因此造成拒绝服务。

04 安全对策

A. 要求

"CIA三要素"是帮助开发安全架构的一个典型模式，该模式需要保证的最大限度的三个条件是：保密性、完整性和可用性。这三个条件中没有一个是通过目前的参考主干线 - CAN总线 - 而得到内在保证的。

对策和方法如下：

-专用硬件 为了解决ECU计算能力不足并能同时满足实时限制的问题，我们有必要整合专门为信息安全功能设计的硬件平台。例如，在 EVITA 和 HIS 项目中已经采用了这种方法，该方法被称为硬件信息安全模块（HSM）或信息安全硬件扩展（SHE）。

-加密 加密可以确保保密性和完整性。但实施加密技术并非易事，因为低计算能力可能使汽车整车厂无法实现拥有强大计算能力的算法，因此，加密技术，在这种情况下，可能会起到反作用。

-认证 由于不同的ECU之间会互相影响，因此，了解每个传入报文的发件人是最基本的问题。

访问控制每个部件都必须经过授权后才能进入其他部件。建议采用最小权限原则，即通过该策略，每个用户（在此情况下为每个ECU）应具有最低级别的权限去执行其任务。

-隔离/分片 这种加固措施旨在防止攻击者破坏整个网络。例如，攻击者可以通过将驾驶系统与其他网络（如信息娱乐系统）隔离，或通过采用访问控制机制的中央网关来实现这一攻击目的。

-入侵检测 入侵检测系统（IDS）监测网络中的活动，寻找恶意或异常的行为。

-安全更新 OTA一方面是增加了车辆受攻击的风险；另一方面，OTA也是快速修复被发现的漏洞的途径（增加新服务的除外）。

-事故响应和恢复 确保对事故作出适当的响应，降低故障造成的影响，并能恢复标准车辆功能，这是事故响应和恢复所必须做到的。

想要实现上述方面，就应从车辆信息安全开发生命周期（SDL）的角度来考虑，并以数据保护和隐私为优先为原则。建议在行业参与者之间进行测试和信息共享。欢迎加入牛喀网信息安全交流群，共同交流汽车信息安全技术。

B. 主要项目

过去十年里，业界提出了一些研究建议，相关标准ISO 21434也将于2021年年底正式发行，其目的是有机地发展和整合本文前一节的想法；图2给出了这些相关标准的演变图。

图2 车内和车外的安全措施标准

在这些项目中，2016年定稿的SAE J3061是一个车辆开发指南，该指南规定了从车辆基本原则到设计工具的网络安全的开发过程。新的国际标准ISO/SAE 21434 旨在（a）描述风险管理的要求（b）定义一个管理这些要求的框架，不指出具体的技术，而是提供一个参考，这个参考对法律方面也有帮助。

此外，目前由 AUTOSAR 等来指导实施这些准则和过渡到新的车内网络结构。该组织在2003年创建的，其目的是通过软件模块的重复使用和交换来改善E/E架构的管理；具体而言，是使ECU的软件架构标准化。当前该项目依然在不断发展中，目前该项目主要侧重于自动驾驶和V2X应用。该项目涵盖了网络安全到诊断、安全和通信等不同的功能。AUTOSAR还支持不同的软件标准，如GENIVI。GENIVI是另一个重要的联盟，旨在为车载信息娱乐（IVI）系统开发开放式软件解决方案。

05 讨论

图3 汽车信息安全对策

图3说明了在实践中是如何实现信息安全原则的。我们认为，未来车载网络骨干网的主要协议将是汽车以太网。另外，这些实对策能让我们看到，业界对安全是特别关注的：每个构件都是一个研究活动，旨在提出一个为汽车领域量身定做的解决方案。

本文说明了安全内部网络的核心要素和关注点；然而，值得讨论的重点是：关于如何将这些信息安全要素应用到汽车的人工智能和V2X等新领域？

例如，如何开展车队活动？车队以协调和自动的方式一起旅行，但是，这种在享受先进智能服务的同时，车辆也会面临更多的威胁。

人工智能关注的是自动驾驶方面，其中深度学习是主要的使能技术。发展全自动无人驾驶汽车本身很复杂，除此之外，一些研究表明，基于机器学习的算法其实非常脆弱，也就是说，攻击者精心设计的输入很容易欺骗分类器，导致车辆将停止标志视为限速标志而产生危险。这些问题来源于对抗性学习研究课题。

此外，机器学习应用不仅限于计算机视觉，还包括IDS网络安全软件以及瞌睡和分心检测器等安全系统。因此，利用适当的技术是很重要的，以实现 a）避免性能的持续下降 b）使攻击者不容易避开分类器 c）考虑到第二节A中描述的限制，将算法的复杂性保持在一个可接受的水平。最终的目的是这些问题能得到解决。

06 总结

在本文中，我们预测了汽车行业的数字化进程，OEM 正在向IT公司靠拢，汽车正在成为 "车轮上的智能手机"，但由于原始设计，即车内网络不与外部世界互动所遗留下来的安全缺陷，因此，车辆的数字化进程遇到了严重的网络安全问题。在"移动即服务"的方式中，因车辆被过度连接，反而更容易受到网络威胁。

在车辆向数字化过渡阶段，我们也注意到了车企在开发越来越复杂的安全关键方面所作的努力。在硬件和实时约束等方面，这些平台有严格的要求。由于这些原因，工业界和研究人员都希望能利用其他领域的通用IT方法为汽车领域量身定制。想要实现这个目标并非易事，84%的汽车整车厂和其供应商专业人员都担心汽车的网络安全实践跟不上不断发展的技术。

本文所描述的有关车载网络的核心思想，可作为自动驾驶和V2X通信安全的深入分析的资源。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！