基于网络协议的汽车信息安全研究

摘要：随着汽车技术的快速发展，车载网络通信系统作为汽车内部各个系统之间的桥梁，发挥着至关重要的作用，但随之而来的信息安全问题也日益突出。因此，从汽车信息安全的角度出发，设计安全合理的车载网络通信架构至关重要。安全合理的车载网络系统架构的设计，需要从网络协议的理论基础出发才能设计出灵活、高效和安全性的车载网络通信系统。

关键词：车载网络通信系统；汽车信息安全；7层网络协议；安全研究

中图分类号：U461 收稿日期：2024-07-20

DOI：10.19999/j.cnki.1004-0226.2024.11.017

1 前言

随着整车电子电气架构的集中化演进，基于V2X的车路云一体化方案的落地实施，以及智能驾驶系统的推广，目前的智能网联汽车可以实时地采集大量的车辆内外环境数据，不仅涉及用户的个人隐私，而且还涉及国家安全与公共秩序安全。应对日益严峻的安全态势，智能网联汽车的安全监测、防御及管理面临更大的挑战。

2022年7月，联合国世界车辆法规协调论坛（简称UN/WP.29）发布的汽车网络安全法规R155和软件升级法规R156开始在欧盟正式实施，明确要求整车企业的产品开发体系需满足网络安全管理体系（CSMS）的要求，并取得了整车形式认证（WVTA）才能在欧盟上市销售。这是世界汽车发展史上具有里程碑意义的事件。它是第一次将网络安全作为一个汽车生产企业及汽车产品市场准入的强制性法规条件。

七层网络模型一般指开放系统互连参考模型（Open System Interconnect ，OSI），该模型是国际标准化组织（ISO）和国际电报电话咨询委员会（CCITT）联合制定的开放系统互连参考模型，为开放式互连信息系统提供了一种功能结构的框架。它从低到高分为七层，分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层[1]。

2 七层网络模型协议

OSI参考模型的全称是开放系统互连参考模型，是由国际标准化组织ISO在20世纪80年代初提出来的。它最大的特点是开放性，也就是说，任何遵循OSI标准的系统，只要物理上连接起来，它们之间都可以互相通信。OSI参考模型定义了开放系统的层次结构和各层所提供的服务。OSI参考模型的一个成功之处在于，它清晰地分开了服务、接口和协议这3个容易混淆的概念。服务描述了每一层的功能，接口定义了某层提供的服务如何被高层访问，而协议是每一层功能的实现方法。通过区分这些抽象概念，OSI参考模型将功能定义与实现细节区分开来，概括性高，使它具有普遍的适应能力[2]。

OSI七层网络协议是网络中各种设备相互通信的规则和约定，它定义了数据如何在不同的网络层次之间传输和处理。按照OSI（开放系统互连）模型，每层都有特定的功能，并与其他层协同工作，确保数据在复杂的网络环境中能够准确、安全地传输。其网络协议模型如图1所示。

OSI七层网络模型具有如下优点。

a.分工合作，责任明确。

性质相似的工作划分在同一层，性质不同的工作则划分到不同层，这样每一层的功能都是明确的，每一层都有其负责的工作范围，一旦出现问题，很容易找到问题所在的层，仅对此层加以改善即可。

b.对等交谈。

计算机通过网络进行通信时，按照对等交谈的原则，即同一层找同层，通过各对等层的协议来进行通信，比如，两个对等的网络层使用网络协议通信。

c.逐层处理，层层负责。

在OSI中，两个实体通信必须涉及下一层，只有相邻层之间可以通信，下层向上层提供服务，上层通过接口调用下层的服务，层间不能有越级调用关系，每层功能的实现都是在下层提供服务的基础上完成的。即每一层都是利用下层提供的服务来完成本层功能，并在此基础上为上层提供进一步的服务[3]。

汽车局域网要传输的信息大多是传感器、执行器和开关信息，数据较短，同时由于网络多采用总线型，所以车载网络的协议体系结构相对简单一些，主要有应用层、数据链层和物理层。

3 汽车整车网络

目前汽车电子技术高速发展和智能网联汽车的广泛普及，越来越多的控制系统广泛地应用于现代汽车，致使汽车整车的通信网络越来越复杂。如何将汽车上配置的上百个控制单元合理、有效的布局在汽车内部通信网络上，实现快速，安全、即时的通信，合理的整车网络拓扑的结构对于汽车通信系统是十分重要的。它直接关系到汽车内部通信系统的稳定性和可扩展性，对车辆信息处理的及时性也有重要的影响，进而关系到整车的控制系统的布局，控制信号的处理等，更会在影响整车质量、安全与开发成本等，在汽车初期的产品开发阶段，整车通信网络的设计是非常重要的一个关键环节。

3.1 汽车网络标准

随着汽车电子技术和客户需求的发展，各种新的、不同的车载网络协议不断产生，以满足汽车各种功能的需求。表1为目前车辆广泛采用的车载网络性能概括情况。

3.2 汽车网络设计原则

考虑到智能网联汽车未来的发展，为了将来智能网联汽车功能的可扩展性，现在智能网联汽车的整车网络遵循如下的原则。

a.平台化。

汽车主机厂在产品的开发设计阶段采用平台化设计是目前的主流发展趋势，车载通信网络设计在考虑汽车产品系列化的时候，也需要平台化的设计方案。即根据每个控制模块的功能定义、控制策略和通信策略，每个控制模块应处在网络拓扑中与其联系最为紧密的地方，在逻辑控制中处在最优的位置。平台化网络拓扑设计同时也要控制模块硬件具备最具扩展的空间，从长远角度来讲，对汽车主机厂的新产品的开发及供应商新产品的迭代都有一定的好处。

b.可拓展性强。

目前随着汽车电子技术的快速发展，整车通信网络设计要有较强的拓展性。即在不改变基本网络拓扑的基础上，能够方便地增减新的控制单元，也可以方便地将具备新功能的控制单元快速地迭代在车载信息通信网络中。在保持原有网络结构的同时，满足市场的需求，并降低开发的成本。

c.简约化。

随着汽车电子技术的发展，车载通信技术越来越向模块化、功能化发展。在车载网络中采用域控制器，车载网络可以按照底盘控制域、动力总成域、车身控制域、舒适域、娱乐域、辅助驾驶域等模块进行逻辑层的分割。这样既保障了车辆信息安全，又提高模块内部的高速有效的处理，还可以根据各个域的实际情况采用不同的通信总线技术，为车辆的开发和拓展带来极大的便利性。

根据如上的汽车网络设计的规划，目前采用混合组网将成为未来发展的主流，这类整车网络的网络拓扑图参考图2。

3.3 汽车网络拓扑

自从智能网联汽车大力推广以来，汽车网络拓扑结构就成为一个研究的热点。汽车网络体系结构已经发生了天翻地覆的变化，车载网络从车辆电子单元的高速稳定的控制向大数据量、高速通信、智能化和舒适化的功能方向发展。车载总线也从低速CAN（控制器区域网络）逐渐演变为高速CAN、LIN（局域网）、FlexRay和车载以太网等新技术发展。因此，汽车网络结构从分散的、不统一的系统发展成为许多互连的子系统，成为一种复杂的、分层次、相互关联的架构。

这些新技术的采用，为汽车网络提供了更高速的数据传输、更严格的安全要求和更高的可靠性数据质量，也为汽车的自动驾驶、车联网、智能驾驶等新技术的发展提供了网络方面的性能保障。

图2为目前智能网联汽车采用的主流车载网络拓扑图，该拓扑图有以下优点：

a.在车身控制域，采用低速CAN和LIN总线结构，可以将成熟的灯光、空调、电动座椅、电动门窗、安全气囊等可靠性高的控制系统，安全地平移到智能网联汽车上，既能节约成本，又能保障行车安全。

b.在动力总成控制域，采用高速CAN总线结构，可以将成熟的发动机控制单元、变速器控制单元、排放控制单元等控制系统，在智能网联汽车上直接采用，既能节约开发成本，保障行车安全，又能够满足控制需求。

c.在信息娱乐总成控制域，采用高速MOST（Media Oriented Systems Transport）总线结构。MOST总线的特点是数据传输速率最高，采用光纤POF（Plastic Optical Fiber）作为物理层的传输介质，速率达24.8 Mbit/s，而且没有电磁干扰，对整车EMC具备很好的技术支撑。同时MOST总线结构灵活、性能可靠和易于扩展，支持“即插即用”方式，对于车主的使用具备很好的亲和性。MOST总线可连接汽车音响系统、视频导航系统、车载电视、高保真音频放大器、车载电话、多碟CD播放器等模块，具有方便简洁的应用系统界面。

d.在底盘总成控制域，采用高速FlexRay总线结构，这种控制领域需要大量的数据交换，FlexRay总线提供了一个高速、可靠、大容量的数据传输通道。它主要用于线控转向和线控刹车等需要高实时安全性的车身控制系统系统中，在ABS控制单元、悬架控制单元等也可以采用。

e.在辅助驾驶系统领域，采用车载以太网总线结构，将驾驶辅助和诊断界面结合在一起，融合了传感器、全景摄像头及雷达等多种数据。以太网以其通用性、开放性、高带宽、易扩展、易互联等特性，可以保证更高的带宽和更低的延迟，在涉及安全方面的应用，摄像头可以使用更高分辨率的未压缩的数据传输，从而避免如压缩失真等导致障碍物检测失败的问题。同时以太网还可以传输高精度雷达数据来保障辅助驾驶对大数据量的需求，以太网可以使娱乐系统传输视频和音频数据的质量得以大幅度的提高。

4 汽车网络模型协议

4.1 CAN总线的网络模型

为了提高网络通信的可靠性和实时性，CAN总线只有物理层、数据链路层和应用层。其中数据链路层和物理层的协议分别由CAN控制器和CAN收发器硬件自动完成，因此在CAN总线应用系统设计时，主要任务是对其应用层程序进行设计。

为了说明CAN协议的物理层和数据链路层的功能，可以参考OSI 7层网络协议来了解CAN ISO网络协议的功能，其网络模型图如图3所示。

CAN总线的协议结构包括以下4个层次：

a.物理层：定义了数据传输的物理介质、速率和接口。

b.数据链路层：处理网络内节点之间的数据传输。

c.传输层：负责网络内的消息路由和调度。

d.应用层：定义了在CAN总线网络上的各种应用服务。

在CAN参考模型中，数据链路层分为媒体访问控制子层和逻辑链路控制子层，媒体访问控制子层是CAN协议的核心部分，它定义了信息通信的发送、应答、帧结构、错误检测及冲突仲裁机制等关键的协议。车载CAN通信协议主要采用了OSI参考模型的数据链路层的协议功能，也采用了OSI参考模型的传输层中的信息再发送控制的协议，属于一个简化的现场控制局域网的概念。

在CAN参考模型的物理层，定义了信号的发送方式、位时序、位的编码方式及同步的步骤。但具体的信号电平、通信速率、采样点、驱动器和总线的电器特性，以及连接器的形态等均未定义。这些是由主机厂根据自己的车载总线的特性来确定的。

在车载网络的总线中，低速/高速CAN、LIN（局域网）、FlexRay的总线方式的网络模型均采用这种网络模型。

4.2 车载以太网总线的网络模型

随着汽车一系列的高级辅助驾驶功能喷涌而出和人们对汽车多媒体以及影音系统的需求越来越高，车载以太网应运而生。

以太网能支持多种网络介质，信息的传输和物理介质与协议无关，这是其优势之一。因此，其在汽车领域可以做相应的调整与拓展，形成一整套车载以太网协议，该协议能满足汽车信息在高带宽、低延时的情况下实现相互交互的功能。

车载以太网和传统以太网在使用环境及传输内容上有所不同。车载以太网在协议和OSI网络模型上做出了相应的调整来适应车辆使用的场景，主要是在视频传输、辅助驾驶的环境感知分析方面做出了相应的规范和标准。图4清晰地给出了车载以太网和OSI传统以太网在这些内容方面的不同。

从图4中可以看出，车载以太网和传统IT网络除了物理层、AVB、SOME/IP、SD这5个模块为车载以太网技术协议规范之外，其余均为传统以太网协议模块。

a.在物理层，车载以太网采用单对差分电压传输的双绞线，100 M/s以太网可以通过回音消除技术来实现全双工通信；而传统以太网则需要使用RJ45连接器连接。

b.AVB全称是以太网音视频桥接技术（Ethernet Audio/Video Bridging），又称“Ethernet AVB”，是一项基于IEEE 802标准的技术。传统以太网络的通信是没有QoS保障的通信，同时针对时间的要求也不是很高。为了满足持各种面向音频、视频的网络多媒体应用的客户体验，在传统以太网络的基础上，通过保障带宽、限制延迟和精确时钟同步技术，研发一种满足客户需要的新型以太网通信技术。

c.Some/IP（Scalable service-Oriented MiddlewarE over IP），Service Discovery为服务发现协议，该协议的主要任务是在车内通信中传达称为服务的功能实体的可用性，以及控制事件消息的发送行为。这允许仅向需要它们的接收方发送事件消息，解决方案也称为SOME/IP-SD（基于IP的可扩展面向服务的中间件，服务发现）。SOME/IP-SD主要用于定位服务实例，并检测服务实例是否正在运行，然后实现发布/订阅处理。这种信号的发送机制有别于CAN总线的发送机制。

5 汽车网络信息安全分析

目前汽车信息安全面临云端、车载网络系统及各ECU单元的攻击，覆盖了从远端、车身到各控制单元潜在攻击，并且这三类攻击均有实际的案例发生。经过仔细分析发现，对汽车信息安全进行攻击主要是通过车载网络的途径，寻求突破点来达到获取汽车信息数据是目前最为主要的攻击方式。

根据上述通过OSI协议和车载网络协议的分析不难发现，目前车载网络的协议模型中，通信的过程是面向信号的，是一种根据信息发送者需求实现的通信过程（SOME/IP-SD例外），并且在信息发送者将信息发送后，并没有相应的信息合法性、有效性及QoS保障。这种通信方式有别于电信系统中控制信息和业务信息分层管理的理念，并在协议模型中缺乏SCCP（Signaling Connection Control Part，信令连接控制）部分，这就从车载网络通信的协议底层基础上造成了容易受到传统IT黑客如下类型的攻击：死亡之Ping、ICMP泛洪攻击、UDP泛洪攻击、TCP SYN 攻击、Teardrop攻击、ARP欺骗攻击、IP欺骗攻击、ICMP Smurf攻击、IP地址扫描、端口扫描（Port scan）、CAN数据帧泛洪攻击、CANID伪造、CAN数据帧重放攻击、CAN网络扫描、ECU认证破解、UDS服务攻击。

针对传统IT网络的这些攻击类型，防火墙的应用是一种普遍采用的防御方式。根据汽车车载网络拓扑结构，在车载网络的网关单元加入防火墙的功能，是可以大幅减少网络攻击风险的一种有效手段。

车载网关是一个中央路由器或者IP交换机，它是在不同体系结构或协议的网络之间进行互通时，用于提供协议转换、数据交换等网络兼容功能的设备。车载网关可以安全可靠地在车载信息网络的多个不同控制域内互连和传输数据。车载网关通过物理隔离的方式，可以隔离动力总成域、底盘控制域、车身控制域与信息娱乐域、辅助驾驶域、外部接口的数据通信，确保有关车辆行驶安全控制部分与其他部分在逻辑或者物理层面的分离，避免因车载信息安全因素导致车辆行驶出现安全事故。加强车载网关安全机制，越来越受到车企和供应商的重视，严格控制从外部网络（如互联网）到车辆内部网络访问的安全性，有效屏蔽外部攻击，成为车载网关越来越重要的功能需求。

安全网关具备域隔离、信息加密等功能。域隔离功能是在不同功能域之间建立隔离，使相互隔离的域之间不能相互影响，即使一个域受到攻击，不会影响到其他的域，这样就可以将车载网络不同总线，不同的功能域之间建立起安全的防火通道。信息加密功能是指采用嵌入式硬件安全模块（HSM），对传输的信息进行实时完整性检查机制，确保代码真实、可信、未经篡改，并为重要的传输信息进行加密和安全密钥管理功能。

6 结语

随着汽车电子化和数码化的不断发展，车载网络的连接设备和终端越来越多，数据通信的方式也越来越多样化，通信带宽也越来越宽，导致车载网络越来越复杂，为汽车信息安全带来的隐患也越来越多。大家不仅仅要在汽车信息安全的车载端认真做好安全防护，还需要引起全社会针对汽车信息安全的重视，需要在法律法规，整车企业对信息安全的重视，汽车用户的信息安全教育，以及各种车载APP应用企业的数据采集等各个方面加强引导。

总之，汽车信息安全是一个随着信息技术进步不断需要改进的长期的工作，希望随着技术的不断演进，能够从车载网络底层的协议出发，开发出一套适合长期智能网联汽车发展的车载网络通信系统，能够为汽车信息安全保驾护航。

参考文献：

[1]刘永华.计算机网络原理及应用［M］.北京：中国铁道出版社，北京：2011.

[2]海涛，杨磊，张镱议，等.计算机网络通信技术［M］.重庆：重庆大学出版社，2015.

[3]史红梅，苏树强，温伟刚.动车组网络控制［M］.北京：北京交通大学出版社，2013.

作者简介

王后正，男，1981年生，工程师，研究方向为整车测试。