智能网联汽车信息安全技术风险识别分析和解决措施

王思涵 李溳 杨陆峰

（沙龙智行科技有限公司 北京 100000）

在新兴技术与产业融合创新中，智能网联汽车是最重要的组成部分，且汽车已经不再是孤立的单元，逐渐成为各个系统的重要载体和节点，尤其是智能交通系统、智慧能源系统和智慧城市系统，一定程度上将其视为可移动智能网络终端。在人工智能和信息通信技术迅速发展的背景下，出现各种智能网联汽车与外界交互的手段。比起传统汽车几乎完全封闭的通信环境，智能网联汽车在向互联网敞开大门的同时，实现大量的网联增值服务，极大可能出现人身伤亡、财产损失、企业名誉受损、国家重要数据泄露等一系列严重的后果。因此，高度重视智能网汽车信息系统安全问题，充分识别到各种可能发生的信息安全风险，并采取有效措施加以防护势在必行。

1 智能网联汽车面临的信息安全威胁和风险

1.1 信息安全定义以及信息安全、功能安全、硬件安全的区别和关系

首先，需要清楚信息安全、功能安全以及硬件安全的区别和关系。ISO 26262 将功能安全定义为避免因电气∕电子故障而导致的不合理风险，其中，硬件安全是功能安全保护对象的一部分。ISO 27000 对信息安全定义是为数据处理系统建立而采取的技术和管理的保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。从相关定义可以看出，信息安全、功能更安全以及硬件安全没有十分明确的界限，但却有着较强的相关性［1］。比如，发生信息安全风险，可能导致功能安全和硬件安全风险的发生。硬件安全缺陷可能导致信息安全风险和功能安全风险发生。因此，信息安全的保护对汽车功能安全的保护和硬件安全的保护都有着十分重要的意义。

1.2 智能网联汽车面临的信息安全风险威胁

传统汽车的安全主要关注汽车在发生事故以后对车内外人员的保护、自如平稳地操控汽车以及车内电控系统的安全，车内系统几乎封闭独立且功能简单，很少涉及汽车信息安全问题（当然，汽车同时存在OBD等外接接口直连车内CAN总线且不一定有访问控制机制，事实上仍然存在高风险）。而随着移动互联网技术向汽车领域的不断渗透，汽车看上去更像是奔跑在路上的互联网终端，未来的汽车互联还将扩展到车辆与车辆之间、车辆与基础设施之间。因此，汽车网联化带来了越来越多的信息安全威胁，网络安全犯罪、地下黑产针对网联汽车的攻击事件也呈现愈演愈烈的态势［2］。

网联汽车面临的信息安全威胁，根据通信的方式，分为如下4 类：直接访问网联汽车而产生的信息安全威胁、网联汽车近程通信而产生的信息安全威胁、网联汽车远控信息安全威胁以及网联汽车自动驾驶安全。

（1）直接访问产生信息安全威胁是通过USB（通用串行总线）、OBD（车载自诊断系统）、CD盒子等车机提供物理接口直连到车内电子通信系统。攻击者可以将带有病毒的程序直接植入到车内应用系统之中，从而达到包括也可以实现车控、数据泄露以及破坏的目的。

（2）网联汽车近程通信产生信息安全威胁是通过Wi-Fi（无线局域网）、Bluetooth（蓝牙连接）、Keyless（汽车无钥匙系统）等车机提供连接方式连接到车内电子通信系统。攻击者通过协议逆向破解、嗅探窃听、数据破坏、中间人攻击以及拒绝服务攻击等方式攻击目标车辆。

（3）网联汽车远控信息安全威胁是通过Radio（收音机）、T-box（车联网通信终端）、Gateway（车载网关）、TGU（远程信息网关）、OTA（空中下载技术）、APP（手机应用）、TSP（远程服务平台）、GPS（全球定位系统）、TPMS（胎压监测系统）、IC（智能座舱）、IVI（车载信息娱乐系统）等远程连接的方式攻击目标车辆。

（4）智能汽车自动驾驶安全威胁主要是两点：第一点是由于自动驾驶设计和开发缺陷导致的逻辑安全威胁，包含通过人工智能、视觉计算、雷达、监控装置、传感器、控制器、执行器和GPS协同合作实现V2X信息交换导致车辆环境感知错误导致的风险；另一点是由于攻击者利用红外线照射、路牌遮挡修改、伪造障碍物、专业雷达干扰设备等对外部环境进行有效干扰，由于智能汽车无法有效识别和抵抗攻击者干扰，从而造成后果严重的交通事故。

1.3 智能网联汽车脆弱性和风险

这些安全威胁很可能对车内软硬件和信息系统带来信息安全风险，如安全气囊、车控、高中低速诸如CAN（控制器局域网）、Flexray、MOST总线、ECU（车内电子控制单元）、蓝牙数字钥匙系统、TGU、GW、T-box、TPMS、IC等开发集成系统安全漏洞，如ABS（车轮防抱死）、ASR（驱动防滑系统）、ESP（电子稳定程序系统）、EBD（电子制动力分配系统）、LDWS（车道偏离预警系统）、ACC（自适应巡航控制系统）、APS（自动泊车系统）等辅助驾驶系统，从而导致网联速度变慢、高速路上刹车失灵、半夜汽车鸣笛、汽车失窃、车门打不开、重要人物汽车位置实时暴露以及数据泄露等不同程度的后果。

2 智能网联汽车信息安全防护的有效措施

2.1 优化整车安全架构设计

整车安全架构设计包含车载内外网设计和特殊功能垂直安全架构设计。智能网联汽车相比较于传统汽车应用了大量的电子控制模块ECU，这使得人们对模块间互相通信的传输速率、可靠性、便利性以及经济性提出更高的要求，由此带来汽车网络架构的巨大变革。同时，由于汽车总线系统和以太网底层原理和传输有着天然的相似性，那么，把成熟的以太网安全架构设计解决方案引入到车载总线中凸显出其高耦合性的优势，因此，传统的基于集中式以及扁平式的汽车架构逐步转换成基于域控、访问控制甚至IPS（车载入侵防御系统）的设计架构。在车机网联出口处，需要加强网关自身的安全性的同时，也要保证整体网联的高可靠和可用性，对研发、成本、用户体验以及安全合规都有巨大的挑战［3］。

整车PKI（公钥共享系统）、蓝牙数字钥匙、OTA等垂直解决方案：可通过公开渠道参见信标委《信息安全技术公钥基础设施PKI系统安全技术要求》和《信息安全技术公钥基础设施PKI 系统安全测评方法》两项国家标准。虽然目前处于征求意见稿阶段，各个车企可以用该标准去测量开发安全质量。蓝牙数字钥匙没有相关国家标准，可参考互联网金融身份认证联盟发布的标准号：T∕IFAA 2001—2019《数字车钥匙系统技术规范》，从而保证车主与汽车交互中所传递信息、数据的完整性、安全性和有效性，构建起人与车之间可信的识别和链接体系。OTA截至发稿前没有相关的信息安全合规标准。但中华人民共和国市场监管总局质量发展局正在组织相关单位加强汽车OTA 安全监管技术研究，探索建立OTA 监管数据平台，组织开展OTA 安全技术评估工作。

2.2 建立健全整车信息安全目标、治理和风险模型

整车信息安全威风险模型的建立主要参考ISO∕SAE DIS 21434的主体结构。主要从安全整体管理、风险评估、产品开发和迭代、运维、服务商支持、标准化技术测试、合规测评监管等方面统筹管理［4］。

（1）在整体安全管理上，需要统筹考虑组织架构、责任、任务、范围、相关性、安全目标和业务目标等一致性等内容。

（2）需要考虑信息安全风险评估，主要包括信息安全技术评估、信息安全管理流程风险评估、信息安全项目（工程）风险评估、隐私协议和功能风险评估、合规符合化风险评估、开发流程安全技术、流程、工具和审计风险评估、产品操作风险评估、运维风险评估等。

（3）明确服务商、零部件提供商、整车制造商、母公司、跨国分公司、软件开发商等各类法务实体的责任、工作边界、内外部流程、沟通接口人等达成数据处理、安全合规、法务条款、技术分享、项目目标一致性等。落地达标要求所有的目标全部落实到具体的管理规定中，做到所有落地动作都有法有规所依，规范所有信息安全合规活动的目标。

（4）统筹车辆信息安全、功能安全、硬件安全等相关合规事务，根据国家法律法规要求进行申报、实验、测评等工作，根据测评发现的风险及时整改和复测。

2.3 重视整车信息系统安全威胁靶向渗透测试

通过参考WP.29 的R155 法规和ISO∕SAE-21434、《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》、20191065-T-339《汽车信息安全通用技术要求》、20191069-T-339《车载信息交互系统信息安全技术要求》、GB∕T 34975-2017《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法应用》等国内外标准，以及2020年12月发布的智能网联汽车安全渗透白皮书，得出渗透测试的相关指标。设计整车各种攻击场景并开展信息安全威胁分析，参考基于现有的渗透技术和汽车信息安全测试工具，寻找攻击路径，识别网联汽车的安全技术风险。

2.4 强化数据安全专项防护

整车信息安全是智能网联汽车发展的重要一环，而智能网联汽车的数据安全又是重中之重。当前，政策层面对于网络安全的重视程度空前，数据已成为核心生产要素。为加强个人信息和重要数据保护，规范汽车数据处理活动，企业在遵守三部法律要求的同时，国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定（征求意见稿）》，目前正在面向社会公开征求意见，其中，要求企业每年12月15日之前需要向所在市接口的网信办报送年度汽车数据安全管理情况。监管和报审主要内容包括以下几个方面［5-6］。

（1）车内数据安全管理情况。①传输安全性：采集正当性、车内处理情况（该点目前争议较大，不同企业不同类型都需要单独讨论）、传输通道CIA（抓包和重放攻击测试）。②存储安全性：机密、真实和完整性，特别需要说明其私钥保存、应用系统访问权限和数据日志存储审计。

（2）车外环境数据安全管理情况。①车外数据采集和处理：智能网联汽车的摄像头、雷达等传感器采集的道路、建筑、地形、路标、交通参与人和物等情况以及设备精度的情况以及数据脱敏和匿名化情况。②车外环境数据传输：比起车内数据传输性偏向于访问控制，车外环境数据传输安全更偏向于在互联网传输通道上的安全如何保证其私密性、完整性以及可用性。③车外环境数据存储：在保证存储机密、真实和完整性的基础上重点考虑比如TSP等云平台安全性。

（3）个人敏感信息安全管理情况。特别需要注意的是，关注车内人脸、视频、音频、个人健康监测、个人敏感信息收集等数据种类，是否收集最小必须原则、是否是车内处理原则、是否脱敏和匿名化、是否采集授权同意、是否合规告知、是否做好访问控制、是否需要和三方共享且已告知、是否清晰准确描述、是否位置轨迹数据存储云端、是否提供数据销毁功能等。

（4）汽车数据出境情况。针对需要出境的数据，是否有内部评审以及出境之前到网信办进行评估报备。

（5）汽车数据合规安全生态建设。特别是最近一两年，接连出现的智能汽车用户信息泄露事件把汽车数据安全问题推上了舆论的风口浪尖。据Upstream Security此前发布的2020年《汽车信息安全报告》显示，2016—2020年，4年时间里汽车信息安全事件的数量增长了605%，其中，仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到155 起，较之于2018年的80起增加了近一倍。

3 结语

总之，要注重智能网联汽车信息安全问题，并充分考虑到有可能面临的风险，采取有效的措施加以防护，不断提高智能网联汽车信息安全水平，避免信息泄露。