域集中式架构的汽车车载通信安全方案探究

谈思汽车 2023-03-21 11:38

点击上方蓝字谈思汽车

获取更多汽车网络安全资讯



目前,智能化、网联化、电动化是汽车发展的大趋势,各大汽车企业与互联网公司积极开展合作,共同开启云端新时代。与此同时,针对智能网联汽车的攻击事件却频繁发生,使得汽车网络信息安全问题日益凸显。

针对汽车网络信息安全问题,梅赛德斯-奔驰汽车公司于 2017 年便与 360 集团建立了合作关系,360 集团智能网联汽车安全实验室 Sky-Go 团队发现了梅赛德斯-奔驰智能网联汽车存在的 19 个安全漏洞并加以修复。在 2018 年比亚迪全球开发者大会上,比亚迪与 360 集团正式签订战略合作协议,共同探讨解决智能汽车的信息安全与网络安全问题。Ju 等研究了以太网在汽车车载网络的应用以及对未来汽车电子电气(E/E)体系结构的预期。Wampler 等针对 CAN 总线提出了相应的通用安全解决方案。Lee 等通过对汽车进行攻击实验,验证了汽车的网络脆弱性以及建立安全解决方案的紧迫性。Chen 等参照传统信息系统的分类安全防护评估标准,建立了车辆信息系统分类安全防护评估系统。Haas 等研究利用人工神经网络建立联网汽车入侵检测模型,实现对攻击数据的过滤。
上述研究均是针对汽车网络信息安全展开的,但是针对智能网联汽车系统的网络信息安全防护方案尚未提出。本文从汽车车载网络信息安全的角度出发,提出一种汽车车载网络通信安全架构方案,该方案通过构建多域分层入侵检测模型,实现预防—检测—预警的完整安全防护体系。

域集中式电子电气架构
如今,智能网联汽车的功能越来越丰富,相应搭载的电子控制单元(electronic control unit,ECU)的数量也随之增多,继而与云端、第三方 APP 等信息交互的远程通信也在增多,这也使得利用云端、第三方软件实施攻击的可能性增大。如果采用传统汽车分布式电子电气架构,数量过多的 ECU 不仅会产生复杂的线束设计和逻辑控制问题,同样也给汽车网络信息安全增添隐患。这些问题的出现,都说明了现代汽车分布式电子电气架构需要进行改革。美国汽车工程师学会推出了 J3061TM《信息物理融合系统网络安全指南》,旨在通过统一全球标准,推动汽车电气系统与其他互联系统之间安全流程的建立。本文参照《车辆传统系统功能安全标准 ISO26262》定义的流程,制定车辆信息安全架构图如图 1 所示。
图 1 车辆信息安全架构图
车辆信息安全架构主要由信息安全管理、核心信息安全工程活动以及支持过程3大部分构成。信息安全管理包括综合管理和生命周期各阶段的信息安全管理。核心信息安全工程活动包括了概念阶段,整车系统、软硬件层面的开发阶段及生产运营阶段等。在概念阶段制定整个安全项目计划,包括识别网络安全边界、系统外部依赖关系、系统潜在威胁分析以及评估。在开发阶段,对整车系统的脆弱性和威胁性进行风险分析,制定信息安全需求与策略,在开发阶段完成后进行渗透测试,完成最终的安全审计。生产运营阶段主要对产品进行现场监控、事件响应以及之后的时间跟踪管理。支持过程阶段主要对以上阶段进行辅助支持,包括相应的配置管理、文档管理和供应链管理等。
车辆信息安全开发框架如图 2 所示。系统开发设计阶段是车辆信息安全实现的基础,而车辆信息安全系统设计又依附于汽车电子电气架构(electronics/ electrical,E/E)系统设计。因此,应对汽车网络信息安全漏洞进行排查,包括与外部环境(如云服务器、其他车辆和基础设施)的连接、与车载网络的连接、与 ECU 级别的连接和单个组件的连接等,构建安全级别更高的 E/E 系统,从系统层面提高安全性。在测试阶段,对车辆信息安全功能检查测试,进行安全评估,验证车辆信息安全架构的安全性。在整体车辆信息安全开发过程中,应当将硬件设计和软件设计协调开发,同时考虑到软硬件的安全可靠性,共同实现网络安全。
图 2 车辆信息安全开发框架图
以特斯拉汽车为例,分析汽车 E/E 架构方案。特斯拉汽车作为汽车 E/E 架构变革的带头人,Model 3 的电子电气架构分为 3 大部分:中央计算模块(CCM)、左车身控制模块(BCM_LH) 和右车身控制模块(BCM_RH)。CCM 直接整合了驾驶辅助系统(ADAS) 和信息娱乐系统(IVI)2 大功能域,同时包括对外通信和车内系统域通信的功能;BCM_LH 和 BCM_RH 分别负责车身与便利系统、底盘与安全系统和部分动力系统的功能。3大模块均采用高性能处理器,能够满足功能域内的大量计算需求,域内其余 ECU 仅控制汽车外围设备,域内各系统通过局域网进行通信, 而模块之间通过总线进行通信,实现了基本的安全隔离。
汽车域集中式电子电气架构的出现,为信息安全以及算力不足的问题提供了解决方案。汽车域集中式电子电气架构指的是将汽车根据功能划分为若干个功能块,每个功能块以域控制器为主导搭建,各个功能域内部通信可根据不同功能的通信速率需求采用不同种类的通信总线,如 CAN、LIN、FLEXRAY、MOST 等总线,各个功能域之间的通信通过传输速率更高的以太网实现信息交换,域集中式电子电气架构图如图 3 所示。域控制器主要负责传递域与云、域与域以及域内部的通信。域内 ECU 仅负责相应执行器件的操作指令,采用带有通信功能的控制器即可。
图 3 域集中式电子电气架构图
根据我国国情,智能网联汽车域集中式电子电气架构结合了智能化、网联化、电动化3大部分的应用。
相较于以前的汽车分布式电子电气架构,针对算力不足方面,域控制器作为每个域的独立控制器,其内部需匹配一个核心运算力强的处理器,以满足智能网联汽车对算力的要求,目前业内有 NVIDIA、华为、瑞萨、NXP、TI、Mobileye、赛灵思、地平线等多个品牌方案。在安全防护方面,域集中式架构将车辆根据功能及通信速率要求分为若干个独立功能模块,若攻击者想要通过某一功能对整车进行攻击,该功能所在的域控制器可以及时监测并排除隐患,不会影响其他功能域,有效减少了攻击面扩大的可能性。

智能网联汽车面临的信息安全威胁分析
随着车辆连通性功能的极大扩展,导航定位、自动泊车、远程控制及诊断等功能已逐渐成为汽车的标配。这些功能带给人们极大便利的同时,也带来了更多安全隐患。
根据遭受攻击的方式不同,智能网联汽车安全隐患由远及近可划分为以下 4 个方面:
(1)云端层安全隐患。云平台存储着汽车关键信息,能够给汽车提供路况信息、定位导航、报警、远程控制等,如果云平台遭到黑客攻击,大量重要数据外泄,后果不堪设想。
(2)网络传输层安全隐患。智能网联汽车通过无线通信的方式实现与云平台、移动端 APP、其他车辆、交通状况等数据的信息交互,而无线通信方式可能存在着身份认证、数据信息加密、协议等安全问题,因此汽车也有相应的安全隐患。
(3)车载通信层安全隐患。随着车辆外部接口的增多,车辆内部通信过程中电子控制单元固件的安全隐患、数据传输过程中的安全隐患也随之增多。
(4)外部接口安全隐患。目前市场上有很多第三方 APP,APP 种类繁杂,其安全防护也是消除隐患的重要一环。如果黑客入侵 APP,甚至可以直接远程操控汽车。除此之外,电动汽车的充电枪与充电桩之间通信接口也存在安全隐患,一旦遭到攻击,电动汽车的能源系统遭到破坏,可能会带来生命危险。

汽车车载信息安全隐患分析
(1)车载智能终端(车载 T-BOX)攻击
车载 T-BOX 主要用于车与车联网服务平台的通信,具有车辆远程控制、远程查询、报警等功能。正常情况下,车载 T-BOX 通过读取车载内部 CAN 通信数据信息,并通过无线通信方式将信息传递至云平台或 APP。车载 T-BOX 的安全隐患主要有 3 个方面:一是固件逆向,攻击者通过逆向解析车载 T-BOX 固件,获取密钥,解密通信协议;二是通过车载 T-BOX 的预留调试接口读取内部数据并进行分析,解密通信协议;三是通过仿冒云平台的控制指令,将指令发送到汽车内部,实现对汽车的远程控制。
(2)车载信息娱乐系统(IVI)攻击
车载信息娱乐系统用于导航、路况播报、车辆信息、通讯、辅助驾驶、CD/收音机等的应用。由于车载信 息娱乐系统的功能丰富,攻击者既可以通过 USB、蓝牙、Wi-Fi 等通信方式进行攻击,也可以通过软件升级获得访问权限对系统进行攻击。
(3)诊断接口 OBD-Ⅱ攻击
汽车诊断接口 OBD-Ⅱ是汽车 ECU 与外部进行交互的接口,其主要功能是读取车辆的数据信息和故障码,用以车辆维修。OBD-Ⅱ接口一旦遭到攻击,不仅可以通过该接口破解汽车内部通信协议,而且还可  以通过植入恶意硬件发送控制指令实现对车辆的控制。
(4)传感器攻击
智能网联汽车拥有大量的传感器设备,用于车与车、车与人、车与路、车与云的通信。如果传感器遭受恶意信息注入、窃听等攻击,高自动化车辆可能会无法正确判断周围环境行为,造成严重后果。
(5)车内网络传输攻击
汽车内部网络通信大多采用 CAN 总线传输,CAN总线具有成本低、通信速率适中、抗电磁干扰能力强等特点,因此被广泛应用于汽车电控系统。但 CAN 总线采用非破坏性总线仲裁方式,具有校验简单、一发多读等特点,安全防护措施薄弱,攻击者若通过 CAN 总线进行报文重放、拒绝服务、篡改等方式进行攻击, 将导致驾驶员控制指令失效、汽车无法正常行驶的后果。

汽车车载通信安全解决方案
在智能网联汽车信息安全防护方面,根据攻击发生的不同过程,分别建立主动防护、入侵监测、应急处理的系统安全防护措施,保障汽车的信息安全。在攻击发生前,做好主动防护,对汽车的通信数据进行筛查过滤,对常见的攻击方法有效防范。攻击发生后,持续监测汽车通信状态的变化,及时对攻击点采取应急措施并及时更新,防止危险的发生。
根据目前对汽车信息安全技术适用性模型的分析,结合全新的汽车域集中式电子电气架构,构建车载多域分层入侵检测模型,针对云端层、域控制器层、ECU 层、车内网络传输层进行分层入侵检测,采取对应的主动防护措施,以达到精准防护的效果。多域分层入侵检测示意如图 4 所示。
图 4 多域分层入侵检测示意图
(1)域控制器层
新架构方案中,域控制器既是整个域的计算集成平台,也是域与域、域与云端之间进行信息交流的网关。域控制器作为汽车内外网络信息交互的安全边界,是汽车车载网络安全防护的重点。因此,在安全边 界建立安全防火墙,对数据信息进行安全检测、访问限制、日志记录等安全性检测,以实现安全防护。
汽车的通信报文由 ID、数据信息、校验位等部分组成。ID 确定报文的传输优先级和目的地址,数据信息确定操作指令,校验位确保传输的数据信息完整。
安全防火墙的主要作用是实现访问控制功能,汽车安全防火墙框架图如图 5 所示。
图 5 安全防火墙框架图
防火墙访问控制功能的实现主要基于建立汽车通信报文的白名单数据库,一旦检测到报文请求,将报文 ID 与白名单数据库进行比对,匹配成功则通过,失败则丢弃。
防火墙的异常检测技术有多种,常见的检测技术包括入侵异常检测方法,基于神经网络、聚类、遗传算法,基于信息熵、关联规则等。入侵异常检测方法主要通过对大量正常行驶的汽车的通信数据进行分析,构建汽车通信网络安全模型,并用该模型监视用户及系统的行为,分析是否存在异常的非法数据活动,并向用户报警记录。汽车报文分为周期报文和事件触发报文,入侵异常检测技术可以根据不同情况建立模型。周期报文是通过设定报文周期阈值构建入侵检测模型,将报文周期与阈值对比进行判定;事件触发报文没有固定的发送周期,但多数报文的操作指令相互关联,如汽车的车速信号与刹车信号存在负相关关系,油门踏板信号与车信号存在正相关关系。因此, 通过大量的数据分析构建通信报文正/负相关入侵检测模型,一旦报文关联出现较大的偏差,则判定为入侵行为并报警。由于汽车车载芯片的计算能力不足以同时实现安全性与实时性的最大化,因此现采用的入侵检测的方法需要在保证实时性的基础上,对入侵进行有效检测,目前针对汽车车载报文流量监测是最为有效的办法。安全防火墙中访问控制、通信标准检测、异常分析的入侵检测流程如 6 所示。
图 6 入侵检测流程
(2)车内网络层
每个域内网络传输安全是安全防护机制的第二道防线。根据功能域所需要的通信要求的不同,采用的车载传输网络也有所不同。目前,除了信息娱乐系统以外,大都采用 CAN 总线通信。CAN 总线的广播特性、非破坏性总线仲裁方式等导致安全防护薄弱,因此需要制定通信安全协议。
通信安全协议的设计主要由 ECU 节点的校验和传输数据信息的加密 2 部分组成。在汽车行驶前,域控制器随机分配每个 ECU 的身份,ECU 要向域控制器发送认证请求,进行身份认证,从而保证节点的合法性,完成 ECU 节点的校验。汽车行驶过程中,车载网络的通信信息需要加密,以防攻击者窃听、伪装。结合汽车对实时性要求高的特点,数据加密采用 AES 对称加密算法。ECU 身份认证流程如图 7 所示,CAN 通信加密报文格式如图 8 所示。
图 7 ECU 身份认证流程
图 8 CAN 通信加密报文格式
对称加密计算量小、速度快,适用于汽车大数据通信。对称加密算法中,加密方和解密方事先都必须知道加密的密钥,发送和接收双方都使用该密钥对数据进 行加密和解密。基于对汽车数据的安全性和实时性的 要求,可以根据已校验成功的 ECU ID 以及数据发送 ECU 和接收 ECU,建立独立的加密表作为密钥对数据进行加密,并根据对汽车实时性的验证,相应调整加密表的加密难易度,最大化地保证数据的安全。
(3)ECU 层
ECU 层面的安全防护主要是固件防护,实现防止固件刷写、外界访问、恶意更改等功能。考虑到成本问题,根据不同功能的 ECU 需分配不同等级的安全防护措施。硬件安全模块是一种用于保护和管理强认证系统所使用的密钥,并同时提供相关密码学操作的计算机硬件设备。车身域 ECU 采用轻量级硬件安全模块,动力域 ECU、信息娱乐域 ECU、辅助驾驶域均采用中量级硬件安全模块,而车身域控制器、动力域控制器、信息娱乐域控制器和辅助驾驶域控制器均采用重量级硬件安全模块。

结语
本文从智能网联汽车的发展出发,聚焦了智能网联汽车的信息安全隐患问题,对汽车车载网络信息安全的防护进行了分析,建立汽车域集中式电子电气架构,提出了从防护到入侵检测、从数据加密到硬件加密的完整信息安全防护模型的初步可行性方案架构,未来仍需通过实例对方案进行更进一步的论证。
来源:智驾最前沿

码上报名

2023第六届无人驾驶及智能驾舱中国峰会

5月11-12日,上海



码上报名

AutoSec 7周年年会暨中国汽车网络安全与数据安全合规峰会,5月11-12日,上海


谈思汽车社群目前已覆盖


自动驾驶、信息安全、网络安全、车联网……

谈思汽车 智能汽车安全新媒体
评论 (0)
  • 光耦合器在确保电路不同部分之间的电气隔离方面起着至关重要的作用。它们对于保护系统免受高压影响、确保信号完整性以及防止敏感应用中的灾难性故障至关重要。鉴于其关键作用,光耦合器中的任何故障都可能造成严重后果,尤其是在汽车、医疗和工业系统等安全敏感领域。然而,由于制造实践的差异,导致性能不一致,质量和可靠性问题仍然是一个问题。本文深入探讨了保持光耦合器质量和可靠性的挑战,并探讨了制造商的潜在解决方案。光耦合器可靠性的重要性在现代电子系统中,光耦合器通常用于通过将输入与输出隔离来保护电路,确保高压尖峰或
    腾恩科技-彭工 2024-10-11 16:31 72浏览
  • 2024年10月12日 调研机构Global Info Research出版了《全球全身超声设备行业总体规模、主要厂商及IPO上市调研报告,2024-2030》。本报告主要分析全球全身超声设备总体规模,主要地区规模,主要企业规模和份额,主要产品分类规模,下游主要应用规模等。规模分析包括收入和市场份额等。深入分析了全球范围内主要企业竞争态势,收入和市场份额等,同时也重点分析全球市场主要厂商(品牌)产品特点、产品规格、收入、毛利率及市场份额、及发展动态。历史数据为2019至2023年,预测数据为20
    GIRtina 2024-10-12 10:29 53浏览
  •  在很多的应用场景都有电池供电,同时也有充电器同时存在的场景,这种供电系统希望在没有充电器的时候,为了保证充电头不带电就需要防止电流倒灌的产品比如肖特基或者是理想二极管,通常在小电流情况下比如1A以及一下的场景,肖特基便宜,不在乎功耗,但是当充电电流比较大的时候,肖特基压降明显的降低了效率,产生了很大的热损耗,给工程师散热造成了很大的挑战,这时候就需要用到理想二极管。无锡明芯微提供了多种选择的理想二极管控制和模块,覆盖不同的电压需求。 当有充电器在的时候,为了不让电池供电,提高电池的使
    王萌 2024-10-12 14:34 107浏览
  • 2024年10月12日 Global Info Research调研机构发布了《全球射频识别 (RFID) 手术海绵计数系统行业总体规模、主要厂商及IPO上市调研报告,2024-2030》。本报告研究全球射频识别 (RFID) 手术海绵计数系统总体规模,主要地区规模,主要企业规模和份额,主要产品分类规模,下游主要应用规模等。统计维度包括收入和市场份额等。不仅全面分析全球范围内主要企业竞争态势,收入和市场份额等。同时也重点分析全球市场主要厂商(品牌)产品特点、产品规格、收入、毛利率及市场份额、及发
    GIRtina 2024-10-12 09:18 58浏览
  • 2024年10月12日  Global Info Research行业调研机构发布的《全球线性压电平台行业总体规模、主要厂商及IPO上市调研报告,2024-2030》分析了全球线性压电平台总体规模,主要地区规模,主要企业规模和份额,主要产品分类规模,下游主要应用规模等。统计维度包括收入和市场份额等。不仅全面分析全球范围内主要企业竞争态势,收入和市场份额等。同时也重点分析全球市场主要厂商(品牌)产品特点、产品规格、收入、毛利率及市场份额、及发展动态。历史数据为2019至2023年,预测数
    GIRtina 2024-10-12 11:31 52浏览
  • 2024年10月12日  Global Info Research行业调研机构发布的《全球无人机自动机库行业总体规模、主要厂商及IPO上市调研报告,2024-2030》分析了全球无人机自动机库总体规模,主要地区规模,主要企业规模和份额,主要产品分类规模,下游主要应用规模等。统计维度包括收入和市场份额等。不仅全面分析全球范围内主要企业竞争态势,收入和市场份额等。同时也重点分析全球市场主要厂商(品牌)产品特点、产品规格、收入、毛利率及市场份额、及发展动态。历史数据为2019至2023年,预
    GIRtina 2024-10-12 11:17 62浏览
  • 近年来,国产光耦在技术和市场覆盖方面都取得了长足进步。随着半导体制造和隔离技术的进步,国产光耦已成为汽车电子、工业自动化、电力系统和医疗设备等行业的关键部件。这些部件因其可靠性、价格合理性和在各种应用中的增强性能而受到关注。本文深入探讨了国产光耦的实际应用和市场进展,展示了它们在推动多个行业技术创新方面的作用。国产光耦的实际应用1.工业自动化:增强控制和安全性工业自动化系统依靠高效的信号传输和隔离来确保组件之间的无缝通信。国产光耦广泛应用于可编程逻辑控制器(PLC)、电机驱动器和工厂自动化设备,
    克里雅半导体科技 2024-10-11 16:39 92浏览
  • 2024年10月12日 Global Info Research调研机构发布了《全球热封式托盘封口机行业总体规模、主要厂商及IPO上市调研报告,2024-2030》。本报告研究全球热封式托盘封口机总体规模,主要地区规模,主要企业规模和份额,主要产品分类规模,下游主要应用规模等。统计维度包括收入和市场份额等。不仅全面分析全球范围内主要企业竞争态势,收入和市场份额等。同时也重点分析全球市场主要厂商(品牌)产品特点、产品规格、收入、毛利率及市场份额、及发展动态。历史数据为2019至2023年,预测数据
    GIRtina 2024-10-12 10:33 60浏览
  • 滚柱导轨是一种重要的传动元件,它由滚柱作为滚动体。用于连接机床的运动部件和床身基座,其设计旨在提供高承载能力和高刚度,适用于重型机床和精密仪器,而滚柱导轨的适配方法对于确保机械设备的高精度运行至关重要。 滚柱导轨的适配方法主要包括安装和调试,首先,选择合适的规格和精度匹配是确保滚柱导轨正常工作的基础,规格的选择应根据具体的应用场景和需求来确定。此外,还需要进行前期的准备。 ①在安装滚柱导轨前,要对滚柱导轨及其安装面进行仔细检查,确保无毛刺、伤痕和杂物。②使用油石或适当的工具清
    高技传动 2024-10-11 17:56 88浏览
  • 随着电动自行车市场的蓬勃发展,如何提升其安全性、可靠性和智能化水平已成为行业关注的焦点。在众多关键元件中,光电耦合器(简称光耦)正以其独特的功能,成为电动自行车设计中的关键角色。下面,让我们一同探索光耦在电动自行车中的主要应用:电池管理系统(BMS)的隔离与保护电动自行车的心脏是其电池组,而BMS则扮演着保护电池、延长寿命和优化性能的重要角色。光耦在BMS中发挥了隔离高压电池电路与低压控制电路的关键作用,有效防止电气过载、短路等潜在问题,从而提升了电动自行车的安全性,确保了控制系统的稳定运行。控
    晶台光耦 2024-10-12 10:33 63浏览
  • 在电力系统中,高电压和高电流很常见,电气隔离对于保护设备和人员至关重要。光耦合器,也称为光隔离器,在提供这种隔离的同时,确保电力系统不同部分之间的信号平稳传输,起着至关重要的作用。近年来,国产光耦合器由于性能、可靠性和价格的提高,在电力应用中越来越普遍。本文探讨了国产光耦合器在电力系统中的实际应用,强调了它们在提高安全性、确保运行效率和支持新能源技术发展方面的作用。国产光耦合器在电力系统中的实际应用1.电网监控和控制系统电网需要持续的监控和控制,以保持稳定性并防止停电。国产光耦合器通常用于电网监
    克里雅半导体科技 2024-10-11 16:42 97浏览
我要评论
0
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦