域集中式架构的汽车车载通信安全方案探究

谈思汽车 2023-03-21 11:38 349浏览 0评论 0点赞

点击上方蓝字谈思汽车

获取更多汽车网络安全资讯

目前，智能化、网联化、电动化是汽车发展的大趋势，各大汽车企业与互联网公司积极开展合作，共同开启云端新时代。与此同时，针对智能网联汽车的攻击事件却频繁发生，使得汽车网络信息安全问题日益凸显。

针对汽车网络信息安全问题，梅赛德斯-奔驰汽车公司于 2017 年便与 360 集团建立了合作关系，360 集团智能网联汽车安全实验室 Sky-Go 团队发现了梅赛德斯-奔驰智能网联汽车存在的 19 个安全漏洞并加以修复。在 2018 年比亚迪全球开发者大会上，比亚迪与 360 集团正式签订战略合作协议，共同探讨解决智能汽车的信息安全与网络安全问题。Ju 等研究了以太网在汽车车载网络的应用以及对未来汽车电子电气（E/E）体系结构的预期。Wampler 等针对 CAN 总线提出了相应的通用安全解决方案。Lee 等通过对汽车进行攻击实验，验证了汽车的网络脆弱性以及建立安全解决方案的紧迫性。Chen 等参照传统信息系统的分类安全防护评估标准，建立了车辆信息系统分类安全防护评估系统。Haas 等研究利用人工神经网络建立联网汽车入侵检测模型，实现对攻击数据的过滤。

上述研究均是针对汽车网络信息安全展开的，但是针对智能网联汽车系统的网络信息安全防护方案尚未提出。本文从汽车车载网络信息安全的角度出发，提出一种汽车车载网络通信安全架构方案，该方案通过构建多域分层入侵检测模型，实现预防—检测—预警的完整安全防护体系。

域集中式电子电气架构

如今，智能网联汽车的功能越来越丰富，相应搭载的电子控制单元（electronic control unit，ECU）的数量也随之增多，继而与云端、第三方 APP 等信息交互的远程通信也在增多，这也使得利用云端、第三方软件实施攻击的可能性增大。如果采用传统汽车分布式电子电气架构，数量过多的 ECU 不仅会产生复杂的线束设计和逻辑控制问题，同样也给汽车网络信息安全增添隐患。这些问题的出现，都说明了现代汽车分布式电子电气架构需要进行改革。美国汽车工程师学会推出了 J3061TM《信息物理融合系统网络安全指南》，旨在通过统一全球标准，推动汽车电气系统与其他互联系统之间安全流程的建立。本文参照《车辆传统系统功能安全标准 ISO26262》定义的流程，制定车辆信息安全架构图如图 1 所示。

图 1 车辆信息安全架构图

车辆信息安全架构主要由信息安全管理、核心信息安全工程活动以及支持过程3大部分构成。信息安全管理包括综合管理和生命周期各阶段的信息安全管理。核心信息安全工程活动包括了概念阶段，整车系统、软硬件层面的开发阶段及生产运营阶段等。在概念阶段制定整个安全项目计划，包括识别网络安全边界、系统外部依赖关系、系统潜在威胁分析以及评估。在开发阶段，对整车系统的脆弱性和威胁性进行风险分析，制定信息安全需求与策略，在开发阶段完成后进行渗透测试，完成最终的安全审计。生产运营阶段主要对产品进行现场监控、事件响应以及之后的时间跟踪管理。支持过程阶段主要对以上阶段进行辅助支持，包括相应的配置管理、文档管理和供应链管理等。

车辆信息安全开发框架如图 2 所示。系统开发设计阶段是车辆信息安全实现的基础，而车辆信息安全系统设计又依附于汽车电子电气架构（electronics/ electrical，E/E）系统设计。因此，应对汽车网络信息安全漏洞进行排查，包括与外部环境（如云服务器、其他车辆和基础设施）的连接、与车载网络的连接、与 ECU 级别的连接和单个组件的连接等，构建安全级别更高的 E/E 系统，从系统层面提高安全性。在测试阶段，对车辆信息安全功能检查测试，进行安全评估，验证车辆信息安全架构的安全性。在整体车辆信息安全开发过程中，应当将硬件设计和软件设计协调开发，同时考虑到软硬件的安全可靠性，共同实现网络安全。

图 2 车辆信息安全开发框架图

以特斯拉汽车为例，分析汽车 E/E 架构方案。特斯拉汽车作为汽车 E/E 架构变革的带头人，Model 3 的电子电气架构分为 3 大部分：中央计算模块（CCM）、左车身控制模块（BCM_LH）和右车身控制模块（BCM_RH）。CCM 直接整合了驾驶辅助系统（ADAS）和信息娱乐系统（IVI）2 大功能域，同时包括对外通信和车内系统域通信的功能；BCM_LH 和 BCM_RH 分别负责车身与便利系统、底盘与安全系统和部分动力系统的功能。3大模块均采用高性能处理器，能够满足功能域内的大量计算需求，域内其余 ECU 仅控制汽车外围设备，域内各系统通过局域网进行通信，而模块之间通过总线进行通信，实现了基本的安全隔离。

汽车域集中式电子电气架构的出现，为信息安全以及算力不足的问题提供了解决方案。汽车域集中式电子电气架构指的是将汽车根据功能划分为若干个功能块，每个功能块以域控制器为主导搭建，各个功能域内部通信可根据不同功能的通信速率需求采用不同种类的通信总线，如 CAN、LIN、FLEXRAY、MOST 等总线，各个功能域之间的通信通过传输速率更高的以太网实现信息交换，域集中式电子电气架构图如图 3 所示。域控制器主要负责传递域与云、域与域以及域内部的通信。域内 ECU 仅负责相应执行器件的操作指令，采用带有通信功能的控制器即可。

图 3 域集中式电子电气架构图

根据我国国情，智能网联汽车域集中式电子电气架构结合了智能化、网联化、电动化3大部分的应用。

相较于以前的汽车分布式电子电气架构，针对算力不足方面，域控制器作为每个域的独立控制器，其内部需匹配一个核心运算力强的处理器，以满足智能网联汽车对算力的要求，目前业内有 NVIDIA、华为、瑞萨、NXP、TI、Mobileye、赛灵思、地平线等多个品牌方案。在安全防护方面，域集中式架构将车辆根据功能及通信速率要求分为若干个独立功能模块，若攻击者想要通过某一功能对整车进行攻击，该功能所在的域控制器可以及时监测并排除隐患，不会影响其他功能域，有效减少了攻击面扩大的可能性。

智能网联汽车面临的信息安全威胁分析

随着车辆连通性功能的极大扩展，导航定位、自动泊车、远程控制及诊断等功能已逐渐成为汽车的标配。这些功能带给人们极大便利的同时，也带来了更多安全隐患。

根据遭受攻击的方式不同，智能网联汽车安全隐患由远及近可划分为以下 4 个方面：

（1）云端层安全隐患。云平台存储着汽车关键信息，能够给汽车提供路况信息、定位导航、报警、远程控制等，如果云平台遭到黑客攻击，大量重要数据外泄，后果不堪设想。

（2）网络传输层安全隐患。智能网联汽车通过无线通信的方式实现与云平台、移动端 APP、其他车辆、交通状况等数据的信息交互，而无线通信方式可能存在着身份认证、数据信息加密、协议等安全问题，因此汽车也有相应的安全隐患。

（3）车载通信层安全隐患。随着车辆外部接口的增多，车辆内部通信过程中电子控制单元固件的安全隐患、数据传输过程中的安全隐患也随之增多。

（4）外部接口安全隐患。目前市场上有很多第三方 APP，APP 种类繁杂，其安全防护也是消除隐患的重要一环。如果黑客入侵 APP，甚至可以直接远程操控汽车。除此之外，电动汽车的充电枪与充电桩之间通信接口也存在安全隐患，一旦遭到攻击，电动汽车的能源系统遭到破坏，可能会带来生命危险。

汽车车载信息安全隐患分析

（1）车载智能终端（车载 T-BOX）攻击

车载 T-BOX 主要用于车与车联网服务平台的通信，具有车辆远程控制、远程查询、报警等功能。正常情况下，车载 T-BOX 通过读取车载内部 CAN 通信数据信息，并通过无线通信方式将信息传递至云平台或 APP。车载 T-BOX 的安全隐患主要有 3 个方面：一是固件逆向，攻击者通过逆向解析车载 T-BOX 固件，获取密钥，解密通信协议；二是通过车载 T-BOX 的预留调试接口读取内部数据并进行分析，解密通信协议；三是通过仿冒云平台的控制指令，将指令发送到汽车内部，实现对汽车的远程控制。

（2）车载信息娱乐系统（IVI）攻击

车载信息娱乐系统用于导航、路况播报、车辆信息、通讯、辅助驾驶、CD/收音机等的应用。由于车载信息娱乐系统的功能丰富，攻击者既可以通过 USB、蓝牙、Wi-Fi 等通信方式进行攻击，也可以通过软件升级获得访问权限对系统进行攻击。

（3）诊断接口 OBD-Ⅱ攻击

汽车诊断接口 OBD-Ⅱ是汽车 ECU 与外部进行交互的接口，其主要功能是读取车辆的数据信息和故障码，用以车辆维修。OBD-Ⅱ接口一旦遭到攻击，不仅可以通过该接口破解汽车内部通信协议，而且还可以通过植入恶意硬件发送控制指令实现对车辆的控制。

（4）传感器攻击

智能网联汽车拥有大量的传感器设备，用于车与车、车与人、车与路、车与云的通信。如果传感器遭受恶意信息注入、窃听等攻击，高自动化车辆可能会无法正确判断周围环境行为，造成严重后果。

（5）车内网络传输攻击

汽车内部网络通信大多采用 CAN 总线传输，CAN总线具有成本低、通信速率适中、抗电磁干扰能力强等特点，因此被广泛应用于汽车电控系统。但 CAN 总线采用非破坏性总线仲裁方式，具有校验简单、一发多读等特点，安全防护措施薄弱，攻击者若通过 CAN 总线进行报文重放、拒绝服务、篡改等方式进行攻击，将导致驾驶员控制指令失效、汽车无法正常行驶的后果。

汽车车载通信安全解决方案

在智能网联汽车信息安全防护方面，根据攻击发生的不同过程，分别建立主动防护、入侵监测、应急处理的系统安全防护措施，保障汽车的信息安全。在攻击发生前，做好主动防护，对汽车的通信数据进行筛查过滤，对常见的攻击方法有效防范。攻击发生后，持续监测汽车通信状态的变化，及时对攻击点采取应急措施并及时更新，防止危险的发生。

根据目前对汽车信息安全技术适用性模型的分析，结合全新的汽车域集中式电子电气架构，构建车载多域分层入侵检测模型，针对云端层、域控制器层、ECU 层、车内网络传输层进行分层入侵检测，采取对应的主动防护措施，以达到精准防护的效果。多域分层入侵检测示意如图 4 所示。

图 4 多域分层入侵检测示意图

（1）域控制器层

新架构方案中，域控制器既是整个域的计算集成平台，也是域与域、域与云端之间进行信息交流的网关。域控制器作为汽车内外网络信息交互的安全边界，是汽车车载网络安全防护的重点。因此，在安全边界建立安全防火墙，对数据信息进行安全检测、访问限制、日志记录等安全性检测，以实现安全防护。

汽车的通信报文由 ID、数据信息、校验位等部分组成。ID 确定报文的传输优先级和目的地址，数据信息确定操作指令，校验位确保传输的数据信息完整。

安全防火墙的主要作用是实现访问控制功能，汽车安全防火墙框架图如图 5 所示。

图 5 安全防火墙框架图

防火墙访问控制功能的实现主要基于建立汽车通信报文的白名单数据库，一旦检测到报文请求，将报文 ID 与白名单数据库进行比对，匹配成功则通过，失败则丢弃。

防火墙的异常检测技术有多种，常见的检测技术包括入侵异常检测方法，基于神经网络、聚类、遗传算法，基于信息熵、关联规则等。入侵异常检测方法主要通过对大量正常行驶的汽车的通信数据进行分析，构建汽车通信网络安全模型，并用该模型监视用户及系统的行为，分析是否存在异常的非法数据活动，并向用户报警记录。汽车报文分为周期报文和事件触发报文，入侵异常检测技术可以根据不同情况建立模型。周期报文是通过设定报文周期阈值构建入侵检测模型，将报文周期与阈值对比进行判定；事件触发报文没有固定的发送周期，但多数报文的操作指令相互关联，如汽车的车速信号与刹车信号存在负相关关系，油门踏板信号与车信号存在正相关关系。因此，通过大量的数据分析构建通信报文正/负相关入侵检测模型，一旦报文关联出现较大的偏差，则判定为入侵行为并报警。由于汽车车载芯片的计算能力不足以同时实现安全性与实时性的最大化，因此现采用的入侵检测的方法需要在保证实时性的基础上，对入侵进行有效检测，目前针对汽车车载报文流量监测是最为有效的办法。安全防火墙中访问控制、通信标准检测、异常分析的入侵检测流程如 6 所示。

图 6 入侵检测流程

（2）车内网络层

每个域内网络传输安全是安全防护机制的第二道防线。根据功能域所需要的通信要求的不同，采用的车载传输网络也有所不同。目前，除了信息娱乐系统以外，大都采用 CAN 总线通信。CAN 总线的广播特性、非破坏性总线仲裁方式等导致安全防护薄弱，因此需要制定通信安全协议。

通信安全协议的设计主要由 ECU 节点的校验和传输数据信息的加密 2 部分组成。在汽车行驶前，域控制器随机分配每个 ECU 的身份，ECU 要向域控制器发送认证请求，进行身份认证，从而保证节点的合法性，完成 ECU 节点的校验。汽车行驶过程中，车载网络的通信信息需要加密，以防攻击者窃听、伪装。结合汽车对实时性要求高的特点，数据加密采用 AES 对称加密算法。ECU 身份认证流程如图 7 所示，CAN 通信加密报文格式如图 8 所示。

图 7 ECU 身份认证流程

图 8 CAN 通信加密报文格式

对称加密计算量小、速度快，适用于汽车大数据通信。对称加密算法中，加密方和解密方事先都必须知道加密的密钥，发送和接收双方都使用该密钥对数据进行加密和解密。基于对汽车数据的安全性和实时性的要求，可以根据已校验成功的 ECU ID 以及数据发送 ECU 和接收 ECU，建立独立的加密表作为密钥对数据进行加密，并根据对汽车实时性的验证，相应调整加密表的加密难易度，最大化地保证数据的安全。

（3）ECU 层

ECU 层面的安全防护主要是固件防护，实现防止固件刷写、外界访问、恶意更改等功能。考虑到成本问题，根据不同功能的 ECU 需分配不同等级的安全防护措施。硬件安全模块是一种用于保护和管理强认证系统所使用的密钥，并同时提供相关密码学操作的计算机硬件设备。车身域 ECU 采用轻量级硬件安全模块，动力域 ECU、信息娱乐域 ECU、辅助驾驶域均采用中量级硬件安全模块，而车身域控制器、动力域控制器、信息娱乐域控制器和辅助驾驶域控制器均采用重量级硬件安全模块。