智能網(wǎng)聯(lián)汽車信息安全安全白皮書-

1、PAGE2智能網(wǎng)聯(lián)汽車信息安全白皮書（2016）顧問委員會(huì)主 任李 駿委 員張進(jìn)華 李克強(qiáng) 公維潔 李 斌 闞志剛謝 飛 王 兆 李紅建 劉法旺 陳曉東編寫委員會(huì)主 任王云鵬委 員余貴珍 盧佐華 秦洪懋 吳新開 羅瓔珞 劉 丁 彭建芬李 磊 葉林華 劉建行 許 慶 胡滿江 孫海鵬 冀浩杰王朋成 周云水前 言自從 1886 年第一輛汽車誕生以來，便捷性與安全性之間的矛盾就在愈演愈烈。2015 年 7 月，“白帽黑客”查理米勒(Charlie Miller)和克里斯瓦拉塞克(Chris Valasek)演示了如何通過入侵克萊斯勒公司 Uconnect 車載系統(tǒng)，以遠(yuǎn)程指令方式“劫持”正在行駛中的

2、Jeep 自由光，并最終導(dǎo)致其“翻車”。一連串對智能網(wǎng)聯(lián)汽車的攻擊破解，使得人們對其安全性畫上了一個(gè)大大的問號(hào)。而在 2017 年上映的速度與激情 8里，黑客通過入侵智能網(wǎng)聯(lián)汽車自動(dòng)駕駛系統(tǒng)，控制上千輛無人汽車組成了一支龐大的“僵尸車”軍團(tuán)，其超強(qiáng)的破壞能力不僅令人印象深刻，更加速了人們對于智能網(wǎng)聯(lián)汽車信息安全問題的深入審視。早在 2015 年國務(wù)院印發(fā)的中國制造 2025里，就已經(jīng)將無人駕駛汽車作為汽車產(chǎn)業(yè)未來轉(zhuǎn)型升級(jí)的重要方向之一，“十三五”規(guī)劃中更是提出要積極發(fā)展智能網(wǎng)聯(lián)汽車的目標(biāo)。2017 年 4 月，由工業(yè)和信息化部、國家發(fā)展和改革委員會(huì)、科技部聯(lián)合印發(fā)的汽車產(chǎn)業(yè)中長期發(fā)展規(guī)劃中，明

3、確提出到 2020 年，要培育形成若干家進(jìn)入世界前十的新能源汽車企業(yè)，智能網(wǎng)聯(lián)汽車與國際同步發(fā)展；到2025 年，新能源汽車骨干企業(yè)在全球的影響力和市場份額進(jìn)一步提升，智能網(wǎng)聯(lián)汽車進(jìn)入世界先進(jìn)行列。有調(diào)查數(shù)據(jù)顯示，2015 年中國乘用車銷量達(dá) 2114.6 萬臺(tái)，預(yù)計(jì)到 2020 年銷量將達(dá) 2773.3 萬臺(tái)。2015 年中國智能駕駛乘用車滲透率為 15%，預(yù)計(jì)到 2019 年這一數(shù)據(jù)將上升至 50%。而 2015 年中國智能駕駛的市場規(guī)模已經(jīng)達(dá)到 353 億元人民幣，預(yù)計(jì)到 2020 年中國智能駕駛市場規(guī)模將超過千億人民幣大關(guān)。智能網(wǎng)聯(lián)汽車的未來發(fā)展態(tài)勢十分明確，那么如何才能解決日益凸顯的

4、便捷性與安全性之間的矛盾就顯得極為重要了。作為物聯(lián)網(wǎng)重要節(jié)點(diǎn)之一的智能網(wǎng)聯(lián)汽車，具有十分顯著的終端設(shè)備屬性。智能網(wǎng)聯(lián)汽車內(nèi)部包含了車載傳感器、控制器、執(zhí)行器等裝置，融合了現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，能夠?qū)崿F(xiàn)車與 X（車、路、人、云等）的智能信息交換、共享，能夠感知周邊復(fù)雜環(huán)境即時(shí)做出智能決策，幫助駕駛?cè)藛T達(dá)成對智能網(wǎng)聯(lián)汽車自身的協(xié)同控制，并最終可替代人實(shí)現(xiàn)“安全、高效、舒適、節(jié)能”的自動(dòng)化智能駕駛。于 2017 年 6 月 1 日正式施行的中華人民共和國網(wǎng)絡(luò)安全法要求智能網(wǎng)聯(lián)汽車制造廠商、車聯(lián)網(wǎng)運(yùn)營商“采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)

5、網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。”而在 2016 年 11 月美國國家公路交通安全管理局所發(fā)布的汽車最佳網(wǎng)絡(luò)安全指南里也明確指出，要對智能網(wǎng)聯(lián)汽車實(shí)施廣泛的網(wǎng)絡(luò)安全測試，防止汽車接入未授權(quán)的網(wǎng)絡(luò)，保護(hù)關(guān)鍵安全系統(tǒng)和個(gè)人數(shù)據(jù)。同時(shí)還需要智能網(wǎng)聯(lián)汽車具有能夠從網(wǎng)絡(luò)攻擊中快速恢復(fù)的能力。近兩年，隨著人們對于智能網(wǎng)聯(lián)汽車安全性重視的提升，國內(nèi)外各類相關(guān)安全白皮書紛紛發(fā)布，并從智能網(wǎng)聯(lián)汽車安全技術(shù)、車聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題等角度進(jìn)行了探索。人們在不斷對傳統(tǒng)信息安全與智能網(wǎng)聯(lián)汽車信息安全之間的異同進(jìn)行剖析，并借鑒傳統(tǒng)信息安全思路探尋構(gòu)建更適于智能網(wǎng)聯(lián)汽車的信息安全思維模式與組織框架。本次所撰寫的白皮書會(huì)更為深

6、入地探討智能網(wǎng)聯(lián)汽車的本質(zhì)安全問題所在，構(gòu)筑能夠?qū)χ悄芫W(wǎng)聯(lián)汽車未來信息安全起到核心支撐作用的方法論，描繪出智能網(wǎng)聯(lián)汽車整體信息安全框架。本白皮書將綜合分析國內(nèi)外智能網(wǎng)聯(lián)汽車安全產(chǎn)業(yè)現(xiàn)狀與發(fā)展趨勢，解析智能網(wǎng)聯(lián)汽車所面臨的安全威脅，提出智能網(wǎng)聯(lián)汽車信息安全方法論，構(gòu)建智能網(wǎng)聯(lián)汽車安全保障體系。并深入探討智能網(wǎng)聯(lián)汽車關(guān)鍵安全防護(hù)技術(shù)，繪制典型智能網(wǎng)聯(lián)汽車攻擊路徑圖。希望白皮書的編撰能夠?yàn)檐嚶?lián)網(wǎng)與智能網(wǎng)聯(lián)汽車的安全發(fā)展提供科學(xué)決策依據(jù)，促進(jìn)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的健康成長。目 錄一、國內(nèi)外智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)現(xiàn)狀和發(fā)展趨勢 11.1 智能網(wǎng)聯(lián)汽車信息安全發(fā)展態(tài)勢 11.2 國內(nèi)外車企信息安全現(xiàn)狀 21.3 國

7、內(nèi)外汽車信息安全標(biāo)準(zhǔn)規(guī)范現(xiàn)狀 3二、智能網(wǎng)聯(lián)汽車面臨的信息安全威脅和挑戰(zhàn) 62.1 車載終端節(jié)點(diǎn)層安全威脅分析 72.1.1 終端節(jié)點(diǎn)層安全威脅 72.1.2 車內(nèi)網(wǎng)絡(luò)傳輸安全威脅 112.1.3 車載終端架構(gòu)安全威脅 122.2 網(wǎng)絡(luò)傳輸安全威脅 122.3 云平臺(tái)安全威脅142.4 外部互聯(lián)生態(tài)安全威脅 152.4.1 移動(dòng) App 安全威脅 152.4.2 充電樁信息安全威脅 152.5 智能網(wǎng)聯(lián)汽車信息安全威脅總結(jié)分析 16三、智能網(wǎng)聯(lián)汽車信息安全方法論 18四、智能網(wǎng)聯(lián)汽車安全保障體系 22五、智能網(wǎng)聯(lián)汽車關(guān)鍵安全防護(hù)技術(shù) 265.1 車輛安全防護(hù)技術(shù) 265.1.1 可信操作系統(tǒng)安

8、全 265.1.2 固件安全 275.1.3 數(shù)據(jù)安全 285.1.4 密鑰安全 295.1.5 FOTA 305.2 網(wǎng)絡(luò)安全防護(hù)技術(shù) 305.2.1 網(wǎng)絡(luò)傳輸安全 305.2.2 網(wǎng)絡(luò)邊界安全 325.3 云平臺(tái)安全防護(hù)技術(shù) 335.3.1 云平臺(tái)安全 335.3.2 云平臺(tái)可視化管理 345.4 新興外部生態(tài)安全防護(hù)技術(shù)之移動(dòng) App 安全355.5 智能網(wǎng)聯(lián)汽車生態(tài)安全檢測 37六、典型智能網(wǎng)聯(lián)汽車攻擊路徑圖 396.1 竊取車輛 GPS 軌跡數(shù)據(jù)396.2 攻擊主動(dòng)剎車功能 42七、結(jié)束語46智能網(wǎng)聯(lián)汽車信息安全白皮書一、國內(nèi)外智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)現(xiàn)狀和發(fā)展趨勢1.1 智能網(wǎng)聯(lián)汽車信息安

9、全發(fā)展態(tài)勢當(dāng)今世界，在互聯(lián)網(wǎng)多模式發(fā)展和工業(yè)智能化趨勢的背景下，傳統(tǒng)制造業(yè)逐漸向“智能制造”轉(zhuǎn)型升級(jí)。在此背景下，汽車產(chǎn)業(yè)在移動(dòng)互聯(lián)、大數(shù)據(jù)及云計(jì)算等技術(shù)的推動(dòng)下向智能化、網(wǎng)聯(lián)化發(fā)展的趨勢愈發(fā)明顯。智能網(wǎng)聯(lián)汽車作為創(chuàng)新發(fā)展的新方向，將汽車產(chǎn)業(yè)帶入到多領(lǐng)域、大系統(tǒng)融合的高速發(fā)展時(shí)期，整車廠、零部件廠商、互聯(lián)網(wǎng)公司等都在積極開展相關(guān)技術(shù)研發(fā)和產(chǎn)業(yè)布局，并不斷推出互聯(lián)智能汽車、自動(dòng)駕駛汽車、共享汽車、車聯(lián)網(wǎng)等概念和技術(shù)。2017 年 4 月，由工業(yè)和信息化部、國家發(fā)展和改革委員會(huì)、科技部印發(fā)的汽車產(chǎn)業(yè)中長期發(fā)展規(guī)劃更是將智能網(wǎng)聯(lián)汽車作為汽車產(chǎn)業(yè)的戰(zhàn)略目標(biāo)之一。據(jù)中國產(chǎn)業(yè)信息網(wǎng)預(yù)測，至 2020年，智

10、能網(wǎng)聯(lián)汽車市場規(guī)模可達(dá) 1000 億元以上。可以預(yù)見，智能網(wǎng)聯(lián)汽車在未來必將推動(dòng)汽車產(chǎn)業(yè)的轉(zhuǎn)型升級(jí)與結(jié)構(gòu)優(yōu)化。而隨著汽車智能化、網(wǎng)聯(lián)化和電動(dòng)化程度的不斷提高，智能網(wǎng)聯(lián)汽車信息安全問題日益嚴(yán)峻，信息篡改、病毒入侵等手段已成功被黑客應(yīng)用于汽車攻擊中，特別是近年來不斷頻發(fā)的汽車信息安全召回事件更是引發(fā)行業(yè)的高度關(guān)注。智能網(wǎng)聯(lián)汽車的信息安全危機(jī)不僅能夠造成個(gè)人隱私、企業(yè)經(jīng)濟(jì)損失，還能造成車毀人亡的嚴(yán)重后果，甚至上升成為國家公共安全問題。盡管當(dāng)前智能網(wǎng)聯(lián)汽車的安全漏洞尚未被廣泛利用，但是據(jù)統(tǒng)計(jì)，有 56%的消費(fèi)者表示信息安全和隱私保護(hù)將成為他們未來購買車輛時(shí)主要考慮的因素。由此可見，智能網(wǎng)聯(lián)汽車信息安全

11、已經(jīng)成為汽車產(chǎn)業(yè)甚至社會(huì)關(guān)注的焦點(diǎn)。1智能網(wǎng)聯(lián)汽車信息安全白皮書1.2 國內(nèi)外車企信息安全現(xiàn)狀信息安全問題是汽車智能化和網(wǎng)聯(lián)化發(fā)展的必然產(chǎn)物，各個(gè)汽車產(chǎn)業(yè)強(qiáng)國在發(fā)展智能汽車過程中不同程度地意識(shí)到信息安全的潛在危害，特別是整車廠和零部件廠商均在研發(fā)不同的應(yīng)對策略。歐美日等國家因?yàn)閿?shù)十年的工業(yè)積累擁有先天的資源優(yōu)勢，尤其在核心芯片、關(guān)鍵零部件、研發(fā)系統(tǒng)、技術(shù)規(guī)范等方面。其中美國在汽車網(wǎng)聯(lián)化技術(shù)、智能化技術(shù)和芯片技術(shù)方面優(yōu)勢明顯，提倡汽車從全生命周期各個(gè)流程考慮信息安全因素，主張標(biāo)準(zhǔn)和技術(shù)規(guī)范先行；歐洲擁有強(qiáng)大的整車及零部件企業(yè)，側(cè)重于交通一體化建設(shè)，在信息安全方面更多關(guān)注于車內(nèi)關(guān)鍵零部件安全、智能

12、交通安全和 V2X 通信安全，并已完成相關(guān)產(chǎn)品研發(fā)和技術(shù)推廣應(yīng)用；日本在汽車智能化發(fā)展較為領(lǐng)先，信息安全方面更多側(cè)重于自動(dòng)駕駛汽車。2015 年 2 月，美國麻州參議員愛德華馬基針對智能網(wǎng)聯(lián)技術(shù)的普及程度、車企現(xiàn)階段的黑客安防措施、個(gè)人數(shù)據(jù)收集儲(chǔ)存和管理、數(shù)據(jù)防惡意攻擊安全措施等問題，調(diào)研了包括寶馬、克萊斯勒、大眾、本田、現(xiàn)代、奔馳、豐田、沃爾沃等在內(nèi)的 16 家車企。調(diào)研結(jié)果發(fā)現(xiàn)：大多數(shù)車企尚未意識(shí)到信息安全威脅，現(xiàn)有的安全保護(hù)措施未標(biāo)準(zhǔn)化且較隨意，大多數(shù)車企不能實(shí)時(shí)或者主動(dòng)應(yīng)對安全入侵，車企當(dāng)前收集的用戶數(shù)據(jù)沒有保護(hù)措施且用途不明。近年來特斯拉、寶馬、克萊斯勒、豐田等國外眾多汽車品牌信息安

13、全漏洞頻頻曝光，這也凸顯了國外汽車行業(yè)當(dāng)前信息安全防護(hù)能力依然不足的嚴(yán)峻問題。在國內(nèi)，汽車信息安全問題近兩年來才逐漸受到關(guān)注，但是行業(yè)普遍缺乏系統(tǒng)認(rèn)知，安全技術(shù)參差不齊。為此，2016 年底工信部委托車載信息服務(wù)產(chǎn)業(yè)聯(lián)盟網(wǎng)絡(luò)安全委員會(huì)對我國自主及在華外資車企、終端、零部件廠商等 15 家單位展開調(diào)研。通過調(diào)研發(fā)現(xiàn)存在國內(nèi)整車廠基本沒有專門信息安全管理機(jī)構(gòu)，現(xiàn)有 TSP 供應(yīng)商2智能網(wǎng)聯(lián)汽車信息安全白皮書在服務(wù)平臺(tái)信息安全建設(shè)方面較為初級(jí)且缺乏系統(tǒng)性解決方案，車主用戶數(shù)據(jù)管理體系缺失，車輛系統(tǒng)安全漏洞修復(fù)機(jī)制匱乏，網(wǎng)聯(lián)車輛用戶實(shí)名認(rèn)證無法保證等問題。1.3 國內(nèi)外汽車信息安全標(biāo)準(zhǔn)規(guī)范現(xiàn)狀智能網(wǎng)聯(lián)

14、汽車信息安全標(biāo)準(zhǔn)規(guī)范研究方面，歐美日等世界汽車強(qiáng)國都在積極推動(dòng)相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范制定工作。美國在谷歌、蘋果、微軟等互聯(lián)網(wǎng)巨頭以及福特、通用、特斯拉等汽車制造商的大力支持下，政府和行業(yè)對汽車信息安全關(guān)注較早。2016 年 1 月，美國汽車工程師學(xué)會(huì)(SAE)率先推出了全球首部汽車信息安全指南SAE J3061，為汽車產(chǎn)業(yè)提供了參考和建議。同年 10 月份，美國 NHTSA 發(fā)布了現(xiàn)代汽車信息安全最佳實(shí)踐，針對快速發(fā)展的智能網(wǎng)聯(lián)汽車信息安全及隱私保護(hù)等問題推出了最佳實(shí)踐框架結(jié)構(gòu)。歐洲依托強(qiáng)大的汽車制造商和零部件廠商，專注于汽車零部件及網(wǎng)絡(luò)通信安全。歐盟委員會(huì)自 2008 年開始分別開展了 EVIT

15、A、OVERSEE、PRESERVE 等項(xiàng)目，從汽車硬件安全、車輛通信系統(tǒng)架構(gòu)、V2X 通信安全等方面提出了解決方案和技術(shù)規(guī)范，部分技術(shù)成果已實(shí)現(xiàn)產(chǎn)業(yè)化應(yīng)用。另外，歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)針對智能網(wǎng)聯(lián)汽車與智能交通系統(tǒng)(ITS)制定了系列信息安全標(biāo)準(zhǔn)，涉及 ITS 安全服務(wù)架構(gòu)、ITS 通信安全架構(gòu)與安全管理、可信與隱私管理、訪問控制和保密服務(wù)等方面。日本作為全球網(wǎng)聯(lián)車輛的先行者，政府很早就開始重視智能網(wǎng)聯(lián)汽車的信息安全問題，并且制訂了相關(guān)對策和管理方針。2013 年，日本信息處理推進(jìn)機(jī)構(gòu)(IPA)根 據(jù)國 內(nèi)汽車 行業(yè)調(diào) 研情 況推出 汽車 信息安 全指 南 (Approaches fo

16、r VehicleInformation Security)，該指南從汽車可靠性角度出發(fā)，通過對汽車安全的攻擊方式和途徑分析定義了一種汽車信息安全模型“IPA Car”，并提出了汽車生命周期安全保護(hù)措施。3智能網(wǎng)聯(lián)汽車信息安全白皮書國際上，世界車輛法規(guī)協(xié)調(diào)論壇(UN/WP.29)于 2014 年 12 月成立了智能交通與自動(dòng)駕駛非正式工作組 ITS/AD，同時(shí)將汽車信息安全標(biāo)準(zhǔn)納入?yún)f(xié)調(diào)范圍，并于 2016年 12 月組建了信息安全標(biāo)準(zhǔn)制定任務(wù)組，圍繞汽車網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)及軟件升級(jí)三部分內(nèi)容開展相關(guān)國際法規(guī)及標(biāo)準(zhǔn)制定工作。2016 年 10 月，ISO/TC22 道路車輛技術(shù)委員會(huì)與美國 SA

17、E 以聯(lián)合工作組的形式成立了 ISO/SAE/JWG AutomotiveSecurity 信息安全工作組，正式啟動(dòng)了 ISO 層面的國際標(biāo)準(zhǔn)法規(guī)制定工作。國內(nèi)近兩年也開始重視智能網(wǎng)聯(lián)汽車的信息安全問題，在以政府引導(dǎo)、產(chǎn)業(yè)聯(lián)盟推動(dòng)、標(biāo)準(zhǔn)委員會(huì)執(zhí)行的模式下積極開展汽車信息安全系列標(biāo)準(zhǔn)制定工作。政府引導(dǎo)方面，國務(wù)院在 2015 年推出的中國制造 2025中提出建立智能制造標(biāo)準(zhǔn)體系和信息安全保障體系，首次將汽車信息安全納入到國家重大發(fā)展戰(zhàn)略當(dāng)中。2016年 11 月 7 日，國家發(fā)布了中華人民共和國網(wǎng)絡(luò)安全法，明確要求包括車廠、車聯(lián)網(wǎng)運(yùn)營商在內(nèi)的網(wǎng)絡(luò)運(yùn)營者需“履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，應(yīng)當(dāng)依照法律、行政

18、法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性?！痹摲ㄓ?2017 年 6 月 1 日起正式施行，客觀上對網(wǎng)聯(lián)車輛運(yùn)營者提升網(wǎng)絡(luò)安全意識(shí)、積極采取網(wǎng)絡(luò)安全防護(hù)措施具有重要意義。產(chǎn)業(yè)聯(lián)盟推動(dòng)方面，2016 年 7 月在長春，由中國一汽集團(tuán)和北京航空航天大學(xué)發(fā)起，依托于中國汽車工程學(xué)會(huì)成立的國內(nèi)首個(gè)汽車信息安全委員會(huì)，主要致力于推動(dòng)行業(yè)資源融合、標(biāo)準(zhǔn)立項(xiàng)、技術(shù)推廣等內(nèi)容。同年 11 月，由車載信息服務(wù)產(chǎn)業(yè)應(yīng)用聯(lián)盟(TIAA)發(fā)起，國家互聯(lián)網(wǎng)應(yīng)急中心、工信部情報(bào)研究所、中國電科第3

19、0 研究所等成員單位牽頭在成都正式成立了車載信息服務(wù)產(chǎn)業(yè)應(yīng)用聯(lián)盟網(wǎng)絡(luò)安全委員會(huì)，主要立足于電子信息技術(shù)與汽車、交通行業(yè)的深度融合，推動(dòng)網(wǎng)絡(luò)安全技術(shù)體系和核心技術(shù)標(biāo)準(zhǔn)形成，構(gòu)建安全、和諧的車載信息服務(wù)應(yīng)用環(huán)境。2017 年 2月，TIAA 在第六屆車載信息服務(wù)產(chǎn)業(yè)年會(huì)期間發(fā)布了2016 年車聯(lián)網(wǎng)網(wǎng)絡(luò)安全白4智能網(wǎng)聯(lián)汽車信息安全白皮書皮書和車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)指南細(xì)則（討論稿），介紹了我國當(dāng)前車聯(lián)網(wǎng)網(wǎng)絡(luò)安全政策、法規(guī)、標(biāo)準(zhǔn)、產(chǎn)品、應(yīng)用等方面的實(shí)際情況與現(xiàn)實(shí)需求，總結(jié)了當(dāng)前我國車聯(lián)網(wǎng)的網(wǎng)絡(luò)安全發(fā)展情況。標(biāo)準(zhǔn)制定方面，全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡稱“汽標(biāo)委”）于 2016 年推出了智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系建

20、設(shè)方案（第 1 版），信息安全標(biāo)準(zhǔn)體系(204)作為其重要組成部分，支撐著智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系的整體架構(gòu)。2016 年底，汽標(biāo)委 ADAS標(biāo)準(zhǔn)工作組組織行業(yè)內(nèi)外汽車信息安全相關(guān)技術(shù)機(jī)構(gòu)、企事業(yè)單位專家組成了汽車信息安全標(biāo)準(zhǔn)任務(wù)組，開展了國內(nèi)汽車信息安全標(biāo)準(zhǔn)制定及聯(lián)合國、ISO 等層面國際汽車信息安全標(biāo)準(zhǔn)法規(guī)協(xié)調(diào)的工作。5智能網(wǎng)聯(lián)汽車信息安全白皮書二、智能網(wǎng)聯(lián)汽車面臨的信息安全威脅和挑戰(zhàn)隨著網(wǎng)絡(luò)通信技術(shù)的不斷發(fā)展，汽車的網(wǎng)絡(luò)化程度也在不斷提高。人們借助各種網(wǎng)絡(luò)通信技術(shù)實(shí)現(xiàn)了對汽車的更多控制，例如導(dǎo)航定位，“車、人、路”三方通信等功能。智能網(wǎng)聯(lián)汽車的發(fā)展為人們生活帶來了各種便利，但也暴露出汽車容易

21、被遠(yuǎn)程攻擊、惡意控制的安全隱患，甚至存在入網(wǎng)車輛被大批量操控，造成重大社會(huì)事件的巨大風(fēng)險(xiǎn)。智能網(wǎng)聯(lián)汽車目前面臨的主要風(fēng)險(xiǎn)威脅如下圖所示：圖 1 智能網(wǎng)聯(lián)汽車的 4 層威脅+12 大風(fēng)險(xiǎn)6智能網(wǎng)聯(lián)汽車信息安全白皮書2.1 車載終端節(jié)點(diǎn)層安全威脅分析2.1.1 終端節(jié)點(diǎn)層安全威脅 T-BOX 安全威脅T-BOX（Telematics BOX，簡稱 T-BOX）在汽車內(nèi)部扮演“Modem”角色，實(shí)現(xiàn)車內(nèi)網(wǎng)和車際網(wǎng)之間的通信，負(fù)責(zé)將數(shù)據(jù)發(fā)送到云服務(wù)器。T-BOX 是實(shí)現(xiàn)智能化交通管理、智能動(dòng)態(tài)信息服務(wù)和車輛智能化控制不可或缺的部分。某種程度上來說，T-BOX 的網(wǎng)絡(luò)安全系數(shù)決定了汽車行駛和整個(gè)智能交通

22、網(wǎng)絡(luò)的安全，是車聯(lián)網(wǎng)發(fā)展的核心技術(shù)之一，T-BOX 系統(tǒng)架構(gòu)圖如下：圖 2 T-BOX 系統(tǒng)架構(gòu)圖常規(guī)條件下，汽車消息指令在 T-BOX 內(nèi)部生成，并且在傳輸層面對指令進(jìn)行加密處理，無法直接看到具體信息內(nèi)容。但惡意攻擊者通過分析固件內(nèi)部代碼能夠輕易獲取加密方法和密鑰，實(shí)現(xiàn)對消息會(huì)話內(nèi)容的破解。尤其是有些 T-BOX 出廠時(shí)會(huì)預(yù)留調(diào)試接口，如果完整分析 T-BOX 的硬件結(jié)構(gòu)、調(diào)試引腳、Wi-Fi 系統(tǒng)、串7智能網(wǎng)聯(lián)汽車信息安全白皮書口通信、MCU 固件、CAN 總線數(shù)據(jù)、T-BOX 指紋特征等研究點(diǎn)，攻破 T-BOX 的軟硬件安全防護(hù)將非常容易。而一旦 ARM 和 MCU 單片機(jī)之間的串口協(xié)議

23、數(shù)據(jù)被惡意劫持，攻擊者就能夠?qū)f(xié)議傳輸數(shù)據(jù)進(jìn)行篡改，進(jìn)而可以修改用戶指令或者發(fā)送偽造命令到 CAN 控制器中，實(shí)現(xiàn)對車輛的本地控制與遠(yuǎn)程操控。 IVI 安全威脅車載信息娛樂系統(tǒng)（In-Vehicle Infotainment，簡稱 IVI），是采用車載專用中央處理器，基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務(wù)形成的車載綜合信息娛樂系統(tǒng)。IVI 能夠?qū)崿F(xiàn)包括三維導(dǎo)航、實(shí)時(shí)路況、IPTV、輔助駕駛、故障檢測、車輛信息、車身控制、移動(dòng)辦公、無線通訊、基于在線的娛樂功能及 TSP 服務(wù)等一系列應(yīng)用，極大地提升了車輛電子化、網(wǎng)絡(luò)化和智能化水平。但車載綜合娛樂系統(tǒng)的高集成度使其所有接口都可能成為黑客的攻擊節(jié)點(diǎn)，因此 I

24、VI 的被攻擊面將比其他任何車輛部件都多。攻擊者既可以借助軟件升級(jí)的特殊時(shí)期獲得訪問權(quán)限進(jìn)入目標(biāo)系統(tǒng)，也可以將 IVI從目標(biāo)車上“拆”下來，分解 IVI 單元連接，通過對電路、接口進(jìn)行逆向分析獲得內(nèi)部源代碼。例如，2016 年寶馬車載娛樂系統(tǒng) ConnectedDrive 所曝出的遠(yuǎn)程操控 0day 漏洞里，其中就包含會(huì)話漏洞，惡意攻擊者可以借助這個(gè)會(huì)話漏洞繞過 VIN（車輛識(shí)別號(hào)）會(huì)話驗(yàn)證獲取另一用戶的 VIN，然后利用 VIN 接入訪問編輯其他用戶的汽車設(shè)置。 終端升級(jí)安全威脅智能網(wǎng)聯(lián)汽車如果不能及時(shí)升級(jí)更新，就會(huì)由于潛在安全漏洞而遭受各方面（如 4G、USB、SD 卡 、OBD 等渠道）

25、的惡意攻擊，導(dǎo)致車主個(gè)人隱私泄露、車載軟件及數(shù)據(jù)被竊取或車輛控制系統(tǒng)遭受惡意攻擊等安全問題。特斯拉、Jeep 等就曾因類似信息安全事件而不得不實(shí)施汽車召回。8智能網(wǎng)聯(lián)汽車信息安全白皮書因此，智能網(wǎng)聯(lián)汽車需要通過 OTA 升級(jí)的方式來增強(qiáng)自身安全防護(hù)能力。但OTA 升級(jí)過程中也面臨著各種威脅風(fēng)險(xiǎn)，包括：（1）升級(jí)過程中，篡改升級(jí)包控制系統(tǒng)，或者升級(jí)包被分析發(fā)現(xiàn)安全漏洞；（2）傳輸過程中，升級(jí)包被劫持，實(shí)施中間人攻擊；（3）生成過程中，云端服務(wù)器被攻擊，OTA 成為惡意軟件源頭。另外 OTA 升級(jí)包還存在被提權(quán)控制系統(tǒng)、ROOT 設(shè)備等隱患。因此車載終端對更新請求應(yīng)具備自我檢查能力，車載操作系統(tǒng)在

26、更新自身分區(qū)或向其他設(shè)備傳輸更新文件和更新命令時(shí)，應(yīng)能夠及時(shí)聲明自己身份和權(quán)限，也就是對設(shè)備端合法性進(jìn)行認(rèn)證。同時(shí)，升級(jí)操作應(yīng)能正確驗(yàn)證服務(wù)器身份，識(shí)別出偽造服務(wù)器，或者是高風(fēng)險(xiǎn)鏈接鏈路。升級(jí)包在傳輸過程中，應(yīng)借助報(bào)文簽名和加密等措施防篡改、防偽造。如果升級(jí)失敗，系統(tǒng)要能夠自動(dòng)回滾，以便恢復(fù)至升級(jí)前的狀態(tài)。 車載 OS 安全威脅車聯(lián)網(wǎng)時(shí)代，汽車通過車載電腦系統(tǒng)可與智能終端、互聯(lián)網(wǎng)等進(jìn)行連接，實(shí)現(xiàn)娛樂、導(dǎo)航、交通信息等服務(wù)。車載電腦系統(tǒng)常采用嵌入式 Linux、QNX、Android等作為操作系統(tǒng)，由于操作系統(tǒng)代碼龐大且存在不同程度的安全漏洞，操作系統(tǒng)自身的安全脆弱性將直接導(dǎo)致業(yè)務(wù)應(yīng)用系統(tǒng)的安全

27、智能終端面臨被惡意入侵、控制的風(fēng)險(xiǎn)。另外，由于車聯(lián)網(wǎng)應(yīng)用系統(tǒng)復(fù)雜多樣，某一種特定的安全技術(shù)不能完全解決應(yīng)用系統(tǒng)的所有安全問題。一些通用的應(yīng)用程序如 Web Server 程序、FTP 服務(wù)程序、E-mail 服務(wù)程序、瀏覽器和 Office 辦公軟件等自身的安全漏洞及由于配置不當(dāng)所造成的安全隱患都會(huì)導(dǎo)致車載網(wǎng)絡(luò)整體安全性下降。除此之外，智能終端還存在被入侵、控制的風(fēng)險(xiǎn)，一旦智能終端被植入惡意代9智能網(wǎng)聯(lián)汽車信息安全白皮書碼，用戶在使用智能終端與車載系統(tǒng)互連時(shí)，智能終端里的惡意軟件就會(huì)利用車載電腦系統(tǒng)可能存在的安全漏洞，實(shí)施惡意代碼植入、攻擊或傳播，從而導(dǎo)致車載電腦系統(tǒng)異常甚至接管控制汽車。如果

28、類似“永恒之藍(lán) WannaCry”的勒索軟件病毒感染了車載電腦系統(tǒng)，其將鎖定智能網(wǎng)聯(lián)汽車的操控界面，對處于正常狀態(tài)下的車輛造成干擾，甚至導(dǎo)致駕駛者失去車輛的控制權(quán)。如果“失控”車輛正好處于高速行駛狀態(tài)，那么車毀人亡慘劇發(fā)生的幾率將會(huì)極高。 接入風(fēng)險(xiǎn)：基于車載診斷系統(tǒng)接口(OBD)的攻擊現(xiàn)在的智能網(wǎng)聯(lián)汽車內(nèi)部都會(huì)有十幾個(gè)到幾十個(gè)不等的 ECU，不 同 ECU 控制不同的模塊。OBD 接口是汽車 ECU 與外部進(jìn)行交互的唯一接口，它具備以下功能：(1)能夠讀取汽車 ECU 的信息，比如 17 位 VIN 碼、ECU 硬件信息等；(2)能夠讀取汽車的當(dāng)前狀態(tài)，比如當(dāng)前車速、胎壓等等；(3)能夠讀取汽

29、車的故障碼，快速定位汽車故障位置，并且清除故障碼；(4)能夠?qū)ζ囶A(yù)設(shè)置動(dòng)作行為進(jìn)行測試，比如車窗升降、引擎關(guān)閉等；(5)除上述基本的診斷功能之外，還可能具備刷動(dòng)力、里程表修改等復(fù)雜的特殊功能。OBD 接口作為總線上的一個(gè)節(jié)點(diǎn)，不僅能監(jiān)聽總線上面的消息，而且還能偽造消息（如傳感器消息）來欺騙 ECU，從而達(dá)到改變汽車行為狀態(tài)的目的。通過在汽車 OBD 接口植入具有無線收發(fā)功能的惡意硬件，攻擊者可遠(yuǎn)程向該硬件發(fā)送惡意 ECU 控制指令，強(qiáng)制讓處于高速行駛狀態(tài)下的車輛發(fā)動(dòng)機(jī)熄火、惡意轉(zhuǎn)動(dòng)方向盤等，從而達(dá)到車毀人亡的目的。 車內(nèi)無線傳感器安全威脅智能網(wǎng)聯(lián)汽車為確保其便捷性和安全性，使用了大量傳感器網(wǎng)

30、絡(luò)通信設(shè)備。但10智能網(wǎng)聯(lián)汽車信息安全白皮書是傳感器也存在通訊信息被竊聽、被中斷、被注入等潛在威脅，甚至通過干擾傳感器通信設(shè)備還會(huì)造成無人駕駛汽車偏行、緊急停車等危險(xiǎn)動(dòng)作。例如，汽車智能無鑰匙進(jìn)入系統(tǒng)(PKE)，是由發(fā)射器、遙控中央鎖控制模塊、駕駛授權(quán)系統(tǒng)控制模塊三個(gè)接收器及相關(guān)線束組成的控制系統(tǒng)。這種系統(tǒng)采用RFID（無線射頻識(shí)別）技術(shù)，通常情況下，當(dāng)車主走近車輛大約一米以內(nèi)距離時(shí)，門鎖就會(huì)自動(dòng)打開并解除防盜；當(dāng)離開車輛時(shí)，門鎖會(huì)自動(dòng)鎖上并進(jìn)入防盜狀態(tài)。但是黑客可以通過尋找無線發(fā)射器信號(hào)規(guī)律、挖掘安全漏洞等方式著手，進(jìn)行破解，最終達(dá)到非授權(quán)條件下的開門。2016 年就曾爆出黑客通過對 PKE

31、 無線信號(hào)進(jìn)行“錄制重放”的方法破解了特斯拉 Model S 車型的 PKE 系統(tǒng)。2.1.2 車內(nèi)網(wǎng)絡(luò)傳輸安全威脅汽車內(nèi)部相對封閉的網(wǎng)絡(luò)環(huán)境看似安全，但其中存在很多可被攻擊的安全缺口，如胎壓監(jiān)測系統(tǒng)、Wi-Fi、藍(lán)牙等短距離通信設(shè)備等。車載網(wǎng)絡(luò)通信協(xié)議安全防護(hù)措施較弱，如 CAN 和 LIN 由于應(yīng)用在相對封閉環(huán)境，加之傳感器計(jì)算能力有限，采用的安全防護(hù)措施薄弱，除簡單校驗(yàn)外未作更多機(jī)密性保護(hù)動(dòng)作，不能抵御攻擊者針對性的傳感器信息采集、攻擊報(bào)文構(gòu)造、報(bào)文協(xié)議分析和報(bào)文重放等攻擊。而車內(nèi)的 ECU 單元又是通過 CAN、LIN 等網(wǎng)絡(luò)進(jìn)行連接，如果黑客攻入了車內(nèi)網(wǎng)絡(luò)則可以任意控制 ECU，或者

32、通過發(fā)送大量錯(cuò)誤報(bào)文導(dǎo)致 CAN 總線失效，進(jìn)而致使 ECU 失效。由此可見，車內(nèi)網(wǎng)絡(luò)傳輸安全極為重要。11智能網(wǎng)聯(lián)汽車信息安全白皮書圖 3 車內(nèi)網(wǎng)絡(luò)傳輸概況2.1.3 車載終端架構(gòu)安全威脅現(xiàn)在每輛智能網(wǎng)聯(lián)汽車基本上都裝有五六十個(gè) ECU 來實(shí)現(xiàn)移動(dòng)互聯(lián)的不同功能，甚至是車與車之間的自由“交流”，操作系統(tǒng)生態(tài)數(shù)據(jù)的無縫交換等。因此，智能網(wǎng)聯(lián)汽車的信息安全需要考慮車載終端架構(gòu)的安全問題。傳統(tǒng)車載軟件僅需處理 ECU 通過傳感器或其他電控單元接收的數(shù)據(jù)即可。然而，ECU 設(shè)計(jì)之初并不具備檢測每個(gè) CAN 上傳數(shù)據(jù)包的功能，進(jìn)入智能網(wǎng)聯(lián)汽車時(shí)代后，其接收的數(shù)據(jù)不僅包含從云端下載的內(nèi)容，還有可能接收到

33、那些通過網(wǎng)絡(luò)連接端口植入的惡意軟件，因此大大增加了智能網(wǎng)聯(lián)汽車被“黑”的風(fēng)險(xiǎn)。2.2 網(wǎng)絡(luò)傳輸安全威脅車聯(lián)網(wǎng)系統(tǒng)由平臺(tái)、網(wǎng)絡(luò)、車載和終端等多個(gè)子系統(tǒng)組成，在平臺(tái)層還與多個(gè)12智能網(wǎng)聯(lián)汽車信息安全白皮書App 服務(wù)商的子系統(tǒng)連接。“車-X”（人、車、路、互聯(lián)網(wǎng)等）通過 Wi-Fi、移動(dòng)通信網(wǎng)(2.5G/3G/4G 等)、DSRC 等無線通信手段與其它車輛、交通專網(wǎng)、互聯(lián)網(wǎng)等進(jìn)行連接。上述無線通信方式自身就存在網(wǎng)絡(luò)加密、認(rèn)證等方面的安全問題，因而“車-X”網(wǎng)絡(luò)也繼承了上述通信網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)。此外車聯(lián)網(wǎng)的互聯(lián)網(wǎng)應(yīng)用平臺(tái)作為互聯(lián)網(wǎng)上的服務(wù)，不可避免地面臨因互聯(lián)網(wǎng)服務(wù)應(yīng)用漏洞帶來的安全威脅。網(wǎng)絡(luò)傳

34、輸安全威脅指車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)中心的雙向數(shù)據(jù)傳輸安全威脅，主要存在三大安全風(fēng)險(xiǎn)：（1）認(rèn)證風(fēng)險(xiǎn)：沒有驗(yàn)證發(fā)送者的身份信息、偽造身份、動(dòng)態(tài)劫持等；（2）傳輸風(fēng)險(xiǎn)：車輛信息沒有加密或強(qiáng)度不夠、密鑰信息暴露、所有車型使用相同的對稱密鑰；（3）協(xié)議風(fēng)險(xiǎn)：通信流程偽裝，把一種協(xié)議偽裝成另一種協(xié)議。在自動(dòng)駕駛情況下，汽車會(huì)按照 V2X 通信內(nèi)容判斷行駛路線，攻擊者可以利用偽消息誘導(dǎo)車輛發(fā)生誤判，影響車輛自動(dòng)控制，促發(fā)交通事故。從如下來源于美國交通運(yùn)輸省的一張圖片上可以比較清晰地看出 V2X 通信的潛在威脅。13智能網(wǎng)聯(lián)汽車信息安全白皮書圖 4 V2X 通信潛在威脅2.3 云平臺(tái)安全威脅智能網(wǎng)聯(lián)汽車管控中心的

35、云平臺(tái)同樣面臨著各種惡意威脅，除了需要病毒防護(hù)、中間件安全防護(hù)以及訪問控制防護(hù)外，還需要重視數(shù)據(jù)安全防護(hù)問題，防止車主存儲(chǔ)到云端的數(shù)據(jù)（特別是隱私數(shù)據(jù)）意外丟失，或被別人竊取訪問、非法利用。目前大部分車聯(lián)網(wǎng)數(shù)據(jù)使用分布式技術(shù)進(jìn)行存儲(chǔ)，主要面臨的安全威脅包括黑客對數(shù)據(jù)惡意竊取和篡改、敏感數(shù)據(jù)被非法訪問等，目前云平臺(tái)數(shù)據(jù)安全問題主要面臨以下三大挑戰(zhàn)：（1）數(shù)據(jù)的隱私性：通過智能終端 GID 或 OBD 設(shè)備采集上傳到云平臺(tái)中的數(shù)據(jù)，會(huì)涉及到車主車輛相關(guān)的私密數(shù)據(jù)，如何保證車云平臺(tái)存儲(chǔ)的用戶隱私信息不被泄露？（2）數(shù)據(jù)的完整性：數(shù)據(jù)的完整性是車聯(lián)網(wǎng)大數(shù)據(jù)研究的基礎(chǔ)，如何保證存14智能網(wǎng)聯(lián)汽車信息安全

36、白皮書儲(chǔ)在云端的用戶數(shù)據(jù)完整性不被破壞？（3）數(shù)據(jù)的可恢復(fù)性：用戶對存儲(chǔ)在車云平臺(tái)的數(shù)據(jù)進(jìn)行訪問時(shí)，服務(wù)商需要無差錯(cuò)響應(yīng)用戶的請求，如遇到安全攻擊事件，服務(wù)商如何保證出錯(cuò)數(shù)據(jù)的可恢復(fù)性？未來，隨著智能網(wǎng)聯(lián)汽車持續(xù)發(fā)展，數(shù)據(jù)安全、訪問控制等風(fēng)險(xiǎn)威脅也會(huì)越來越多，云端安全威脅不容忽視。2.4 外部互聯(lián)生態(tài)安全威脅2.4.1 移動(dòng) App 安全威脅目前，市場上大多數(shù)智能網(wǎng)聯(lián)汽車遠(yuǎn)程控制 App 甚至連最基礎(chǔ)的軟件防護(hù)和安全保障都不具備。黑客只需對那些沒有進(jìn)行保護(hù)的 App 進(jìn)行逆向分析挖掘，就可以直接看到 TSP（遠(yuǎn)程服務(wù)提供商）的接口、參數(shù)等信息。即使某些車輛遠(yuǎn)程控制 App 采取了一定安全防護(hù)措

37、施，但由于安全強(qiáng)度不夠，黑客只需具備一定的技術(shù)功底，仍然可以輕松發(fā)現(xiàn) App 內(nèi)的核心內(nèi)容，包括存放在 App 中的密鑰、重要控制接口等。2017 年 2 月，卡巴斯基爆出多款汽車 App 存在安全漏洞。目前許多遠(yuǎn)程控制App 的車主個(gè)人隱私信息都是以未加密形態(tài)簡單儲(chǔ)存于車主手機(jī)中，黑客只需ROOT 用戶手機(jī)，就能以根用戶名義將用戶信息發(fā)送到后臺(tái)主機(jī)。黑客還可以誘導(dǎo)用戶下載惡意程序，竊取登錄信息，或者通過其他惡意軟件進(jìn)行“覆蓋”攻擊，在用戶啟動(dòng) App 的同時(shí)創(chuàng)建一個(gè)偽造登錄界面誘導(dǎo)用戶登錄，實(shí)現(xiàn)對用戶信息的竊取。此外黑客亦可進(jìn)行多重覆蓋攻擊，理論上可以竊取用戶的全部個(gè)人信息。2.4.2 充電

38、樁信息安全威脅充電樁是電動(dòng)汽車服務(wù)運(yùn)營的重要基礎(chǔ)設(shè)施，其輸入端與交流電網(wǎng)直接連接，15智能網(wǎng)聯(lián)汽車信息安全白皮書輸出端裝有充電插頭用于為電動(dòng)汽車充電。由充電樁組成的網(wǎng)絡(luò)稱之為“樁聯(lián)網(wǎng)”，目前很多“樁聯(lián)網(wǎng)”解決方案都是承載在傳統(tǒng)以太網(wǎng)或者是無線傳輸網(wǎng)絡(luò)當(dāng)中。人們可以在充電樁提供的人機(jī)交互操作界面上刷卡，進(jìn)行相應(yīng)的充電方式、充電時(shí)間、費(fèi)用數(shù)據(jù)打印等操作，充電樁顯示屏能顯示充電量、費(fèi)用、充電時(shí)間等數(shù)據(jù)?！皹堵?lián)網(wǎng)”在為大家出行帶去便利的同時(shí)，也面臨著各種信息安全問題。在充電樁網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息可能遭到截獲、竊取、破譯、被動(dòng)攻擊或者非法冒充、惡意篡改等惡意威脅，而且充電樁內(nèi)部網(wǎng)絡(luò)基本上沒有采取任何安全

39、防護(hù)措施，一旦黑客通過互聯(lián)網(wǎng)入侵到“樁聯(lián)網(wǎng)”，就可以控制充電樁的電壓，甚至可以隨意修改充電金額等數(shù)據(jù)，對充電樁的健康發(fā)展造成無法彌補(bǔ)的影響。2.5 智能網(wǎng)聯(lián)汽車信息安全威脅總結(jié)分析從整體趨勢來看，車載終端類型和數(shù)量的不斷增多，導(dǎo)致車載終端所面臨的安全威脅類型也在不斷增多，終端的節(jié)點(diǎn)層、車內(nèi)傳輸層、終端架構(gòu)層的安全風(fēng)險(xiǎn)將持續(xù)增大。車載終端的信息安全問題必須得到足夠重視。以智能網(wǎng)聯(lián)汽車信息安全方法論為指導(dǎo)，系統(tǒng)分析漏洞與威脅風(fēng)險(xiǎn)，實(shí)施有針對性的安全防護(hù)策略，并部署相關(guān)安全解決方案，才能保證整體安全防護(hù)的有效性及科學(xué)執(zhí)行。同時(shí)，智能網(wǎng)聯(lián)汽車在移動(dòng)終端、移動(dòng)通信網(wǎng)絡(luò)、移動(dòng)接入管理和業(yè)務(wù)平臺(tái)之間的網(wǎng)絡(luò)傳

40、輸風(fēng)險(xiǎn)也需引起足夠重視，尤其是車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)中心的雙向數(shù)據(jù)傳輸安全威脅。除此之外，未來隨著智能網(wǎng)聯(lián)汽車地持續(xù)發(fā)展，云端安全威脅不容忽視?？紤]到車聯(lián)網(wǎng)中的數(shù)據(jù)采集上傳方式和云端平臺(tái)的海量數(shù)據(jù)存儲(chǔ)處理特性，需要盡快找尋更為適合的智能網(wǎng)聯(lián)汽車云平臺(tái)數(shù)據(jù)安全解決方案。最后，智能網(wǎng)聯(lián)汽車的快速發(fā)展，使得越來越多的操控 App、充電樁等外部生態(tài)組件開始頻繁接入汽車，而每個(gè)接入點(diǎn)都意味著新風(fēng)險(xiǎn)點(diǎn)的引入。考慮到智能網(wǎng)16智能網(wǎng)聯(lián)汽車信息安全白皮書聯(lián)汽車外聯(lián)設(shè)備組件獲取成本低及安全防護(hù)能力不足的特性，其必將成為黑客的攻擊重點(diǎn)，更應(yīng)該引起人們重視。17三、智能網(wǎng)聯(lián)汽車信息安全方法論與傳統(tǒng)信息安全相同的是，針對智

41、能網(wǎng)聯(lián)汽車的各類入侵攻擊依然需要利用其自身各個(gè)維度、層面的安全漏洞方可實(shí)施，這意味著封堵軟件（各類智能網(wǎng)聯(lián)汽車控制代碼）、硬件（各類智能網(wǎng)聯(lián)汽車構(gòu)成物理組件）與生態(tài)系統(tǒng)等維度層面的安全漏洞是當(dāng)前解決智能網(wǎng)聯(lián)汽車信息安全的核心重點(diǎn)。然而智能網(wǎng)聯(lián)汽車典型的智能終端屬性特征，又使得對其的安全防護(hù)不能直接采用傳統(tǒng)安全解決方案，需要依照智能網(wǎng)聯(lián)汽車的系統(tǒng)架構(gòu)特性，實(shí)施更具針對性的安全保護(hù)，從智能網(wǎng)聯(lián)汽車的生命周期著手，既要深入到智能網(wǎng)聯(lián)汽車內(nèi)部的小微生態(tài)環(huán)境中，更要結(jié)合其所處場景環(huán)境。智能網(wǎng)聯(lián)汽車擁有諸多功能模塊，需要考慮將這些模塊按照功能屬性進(jìn)行劃分，實(shí)施不同的防御策略。而當(dāng)智能網(wǎng)聯(lián)汽車遭遇惡意攻擊后

42、，如何應(yīng)急響應(yīng)、如何升級(jí)防護(hù)也十分重要。這里有一點(diǎn)需要特別強(qiáng)調(diào)：智能網(wǎng)聯(lián)汽車由于智能性的極大提升，雖然使得駕駛者能夠享受更多便捷，但其復(fù)雜度也在變得更高。駕駛者對于智能網(wǎng)聯(lián)汽車操控使用的正確與否，將直接左右智能網(wǎng)聯(lián)汽車信息安全問題變得更為糟糕或者更為穩(wěn)固。所以，“人”這個(gè)要素也需要在智能網(wǎng)聯(lián)汽車信息安全方法論里予以考量。本白皮書首次建立智能網(wǎng)聯(lián)汽車信息安全方法論，用于指導(dǎo)智能網(wǎng)聯(lián)汽車信息安全建設(shè)工作的全面展開。1、智能網(wǎng)聯(lián)汽車信息安全生命周期融合化18智能網(wǎng)聯(lián)汽車信息安全白皮書智能網(wǎng)聯(lián)汽車生命周期可以劃分為：策劃設(shè)計(jì)階段、生產(chǎn)階段、交付使用階段、廢棄階段這四個(gè)部分。智能網(wǎng)聯(lián)汽車的信息安全防護(hù)需

43、要完整貫穿全生命周期，并能夠與之徹底融合，實(shí)現(xiàn)全生命周期的智能網(wǎng)聯(lián)汽車信息安全防護(hù)。策劃設(shè)計(jì)階段：在新款智能網(wǎng)聯(lián)汽車策劃設(shè)計(jì)伊始，就需要將信息安全作為必選項(xiàng)予以考慮。需要汽車工業(yè)設(shè)計(jì)人員與信息安全人員，分別從智能網(wǎng)聯(lián)汽車自身安全性與其信息安全性兩方面實(shí)施聯(lián)合可行性論證。在具體功能模塊設(shè)計(jì)過程中，要綜合考慮該模塊的功能、性能與信息安全，制定相關(guān)威脅模型、安全防護(hù)模型以及應(yīng)對防御策略模型。通過多層面的安全檢測，驗(yàn)證整體設(shè)計(jì)方案的正確性、安全性與可行性。生產(chǎn)階段：在開發(fā)生產(chǎn)樣車過程中，要嚴(yán)格遵循信息安全開發(fā)準(zhǔn)則，避免此階段新安全隱患問題的意外引入。同時(shí)要展開階段性的安全測評工作，隨時(shí)發(fā)現(xiàn)安全漏洞，隨

44、時(shí)進(jìn)行整改。當(dāng)進(jìn)入批量生產(chǎn)階段時(shí)，更需要執(zhí)行嚴(yán)格的智能網(wǎng)聯(lián)汽車信息安全檢測、監(jiān)控、驗(yàn)證工作。交付使用階段：威脅情報(bào)分析預(yù)警、智能網(wǎng)聯(lián)汽車安全運(yùn)營、安全事件應(yīng)急響應(yīng)三者緊密關(guān)聯(lián)，做到嚴(yán)密監(jiān)控、提前防御、平穩(wěn)運(yùn)營、響應(yīng)及時(shí)、應(yīng)對精準(zhǔn)。廢棄階段：當(dāng)智能網(wǎng)聯(lián)汽車進(jìn)入最后的廢棄階段時(shí)，需要提前將各模塊里的數(shù)據(jù)信息進(jìn)行徹底擦除，對重要信息進(jìn)行備份。2、分域隔離、縱深防御現(xiàn)在智能網(wǎng)聯(lián)汽車內(nèi)部一般會(huì)有十幾個(gè)到數(shù)十個(gè)不等的 ECU，不 同 ECU 控制不同功能模塊?！爸悄芑弊鳛橹悄芫W(wǎng)聯(lián)汽車的核心要素，使得其內(nèi)部功能模塊增多，惡意攻擊面變大，安全防護(hù)難度增加。隨著汽車智能化和網(wǎng)聯(lián)化程度的提升，汽車內(nèi)部的 ECU

45、 模塊越來越多。為便于控制和節(jié)省空間，相同功能或類似功能的ECU 會(huì)逐漸進(jìn)行集成，車輛內(nèi)部網(wǎng)絡(luò)將逐步采用“域控制”的集成控制方式。根據(jù)19信息安全保護(hù)思想，在智能車輛內(nèi)部的感知域、控制域、決策域等不同域之間需實(shí)行物理隔離或軟件分割，從而達(dá)到分域保護(hù)的信息安全理念。目前對于智能網(wǎng)聯(lián)汽車的信息安全防護(hù)集中在車載端，主要依靠具備信息安全防護(hù)功能的 T-BOX 或 IVI 保護(hù)智能車輛，而依據(jù)信息安全防護(hù)理念，單獨(dú)的車載端防護(hù)根本無法實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車的整體安全，參考傳統(tǒng)信息安全的縱深防御思路，必須構(gòu)建智能網(wǎng)聯(lián)汽車“架構(gòu)層-傳輸層-節(jié)點(diǎn)層”的多層縱深防御體系，覆蓋智能網(wǎng)聯(lián)汽車的 T-BOX 邊界、安全網(wǎng)

46、關(guān)、ECU 認(rèn)證、域控制器、車內(nèi)/外網(wǎng)絡(luò)監(jiān)控等層面，形成多維度全聯(lián)合的深度防御體系。架構(gòu)層上，在汽車車內(nèi)電子電器架構(gòu)的 V 型開發(fā)過程中，融合信息安全的基本理念，實(shí)現(xiàn)電子電氣架構(gòu)開發(fā)的信息安全評估、等級(jí)保護(hù)、安全審計(jì)和測試認(rèn)證；傳輸層上，實(shí)現(xiàn)車內(nèi)傳輸網(wǎng)絡(luò)結(jié)構(gòu)安全、訪問控制、權(quán)限管理、可信平臺(tái)和安全網(wǎng)關(guān)控制；節(jié)點(diǎn)層上，實(shí)現(xiàn)輕量化加解密、數(shù)據(jù)簽名、身份認(rèn)證和可信認(rèn)證。3、車內(nèi)小微生態(tài)環(huán)境安全防御細(xì)粒化雖然智能網(wǎng)聯(lián)汽車的自身體積很大，但具體到其內(nèi)部信息系統(tǒng)處理模塊的體積卻很小。同時(shí)，由于其內(nèi)部包含了車載傳感器、控制器、執(zhí)行器等裝置，形成了一個(gè)車內(nèi)小微生態(tài)環(huán)境。所以，需要安全防護(hù)實(shí)現(xiàn)對車內(nèi)小微生態(tài)環(huán)境

47、的覆蓋，需要每個(gè)功能模塊上的安全能力具有足夠的細(xì)粒度，并且能夠應(yīng)對該小微生態(tài)環(huán)境里各類復(fù)雜的安全問題。另外需要注意的是，具有足夠細(xì)粒度的安全能力還要能夠延伸至智能網(wǎng)聯(lián)汽車的內(nèi)網(wǎng)區(qū)域以及各個(gè)節(jié)點(diǎn)之間。4、場景化信息安全防御智能網(wǎng)聯(lián)汽車在停止與行駛狀態(tài)下會(huì)處于不同場景之中，這意味著其將面臨不同的惡意威脅。所以，要結(jié)合智能網(wǎng)聯(lián)汽車所處場景環(huán)境特征，實(shí)施與之對應(yīng)的安全防御策略，做到場景化的信息安全防御。例如在高速網(wǎng)絡(luò)隊(duì)列控制時(shí)，減小駕駛20智能網(wǎng)聯(lián)汽車信息安全白皮書員的控制權(quán)限，提升隊(duì)列整體的安全控制能力。5、培訓(xùn)提升駕駛者安全強(qiáng)度“人”是智能網(wǎng)聯(lián)汽車系統(tǒng)生態(tài)中的重要組成要素之一，人對于智能網(wǎng)聯(lián)汽車的

48、錯(cuò)誤配置、由外部帶來的有問題存儲(chǔ)介質(zhì)，都容易引發(fā)智能網(wǎng)聯(lián)汽車的安全問題。因此，需要將“人”作為智能網(wǎng)聯(lián)汽車信息安全防護(hù)的重要環(huán)節(jié)，通過培訓(xùn)提升駕駛者的安全意識(shí)、安全操作能力，增強(qiáng)“人”這一智能網(wǎng)聯(lián)汽車關(guān)鍵要素的安全強(qiáng)度，降低由人引入惡意威脅的可能性。6、強(qiáng)可控性應(yīng)急響應(yīng)與安全升級(jí)相結(jié)合當(dāng)遭遇惡意攻擊事件后，需對智能網(wǎng)聯(lián)汽車實(shí)施強(qiáng)可控性應(yīng)急響應(yīng)，壓制惡意攻擊在車聯(lián)網(wǎng)絡(luò)內(nèi)部的擴(kuò)散傳播，安全策略強(qiáng)調(diào)限制為主。對問題固件的升級(jí)，不僅要第一時(shí)間彌補(bǔ)安全漏洞，更要注意升級(jí)自身的安全性，杜絕二次惡意威脅的引入。21智能網(wǎng)聯(lián)汽車信息安全白皮書四、智能網(wǎng)聯(lián)汽車安全保障體系智能網(wǎng)聯(lián)汽車是以車聯(lián)網(wǎng)為信息傳輸載體，通

49、過搭載先進(jìn)的車載傳感器、控制器、執(zhí)行器等裝置，使車輛具備復(fù)雜環(huán)境感知、智能化決策與控制功能，能綜合實(shí)現(xiàn)安全、節(jié)能、環(huán)保及舒適行駛的新一代智能汽車。而車聯(lián)網(wǎng)主要包括車內(nèi)網(wǎng)、車際網(wǎng)和車載移動(dòng)互聯(lián)網(wǎng)，具體而言，車內(nèi)網(wǎng)是指通過應(yīng)用成熟總線技術(shù)建立的標(biāo)準(zhǔn)化整車網(wǎng)絡(luò)，車載移動(dòng)互聯(lián)網(wǎng)是指車載終端通過 3G/4G 等通信技術(shù)與互聯(lián)網(wǎng)進(jìn)行無線連接，車際網(wǎng)是指基于 DSRC 技術(shù)和 IEEE 802.11 系列無線局域網(wǎng)協(xié)議的動(dòng)態(tài)網(wǎng)絡(luò)。圖 5 車聯(lián)網(wǎng)、智能汽車及智能交通系統(tǒng)關(guān)系圖由于汽車電動(dòng)化、智能化和網(wǎng)聯(lián)化的發(fā)展趨勢，傳統(tǒng)車內(nèi)電子電氣架構(gòu)及Telematics 的信息安全隱患愈發(fā)突出。目前國內(nèi)外對智能網(wǎng)聯(lián)汽車信

50、息安全體系的研究尚處于研發(fā)階段，美國 SAE、歐 洲 EVITA 都開始重點(diǎn)研究汽車信息安全體系，例如美國 SAEJ3061 號(hào)文件就涉及汽車信息安全完整性等級(jí)、測試方法和測試工具等方面。與此同時(shí)，IEEE 通信與網(wǎng)絡(luò)安全會(huì)議(CNS)、國際車聯(lián)網(wǎng)與互聯(lián)大會(huì)(ICCVE)等國際會(huì)議也在更為關(guān)注汽車信息安全體系的構(gòu)建工作。相較于傳統(tǒng)的信息安全體系，智能網(wǎng)聯(lián)汽車的信息安全需要解決以下問題和難22點(diǎn)：（1）如何進(jìn)行高效可靠的入侵檢測和防護(hù)，防止對車輛控制單元的直接控制；（2）如何保障復(fù)雜通信環(huán)境信息安全，提升車輛的防護(hù)能力；（3）如何采取高效可靠的響應(yīng)和恢復(fù)方案，減少經(jīng)濟(jì)損失和人員傷亡。即如何構(gòu)建“

51、檢測-保護(hù)-響應(yīng)-恢復(fù)”的全生命周期智能網(wǎng)聯(lián)汽車信息安全體系以及面向智能網(wǎng)聯(lián)汽車的軟硬件集成防護(hù)系統(tǒng)。關(guān)鍵技術(shù)包括以下兩點(diǎn)：（1）智能網(wǎng)聯(lián)汽車復(fù)雜通信環(huán)境的高效可靠檢測保護(hù)和高效響應(yīng)恢復(fù)體系；（2）面向智能網(wǎng)聯(lián)汽車新型電子電氣架構(gòu)演進(jìn)的軟硬件集成防護(hù)系統(tǒng)。通過研究多域分層入侵檢測和主動(dòng)防護(hù)信息安全模型，建立新型車車-車云協(xié)同的攻擊防御和無線通信安全防護(hù)機(jī)制，設(shè)計(jì)不同安全等級(jí)的響應(yīng)機(jī)制和恢復(fù)策略，構(gòu)建面向智能網(wǎng)聯(lián)汽車新型電子電氣架構(gòu)演進(jìn)的軟硬件集成防護(hù)系統(tǒng)，形成智能網(wǎng)聯(lián)汽車“檢測-保護(hù)-響應(yīng)-恢復(fù)”全生命周期信息安全體系，具體內(nèi)容包括:（1）構(gòu)建多域分層入侵檢測和主動(dòng)防護(hù)信息安全模型針對車內(nèi)網(wǎng)絡(luò)

52、、車載傳感器和車載通信系統(tǒng)脆弱性和信息安全威脅，研究車內(nèi)主干以太網(wǎng)和總線的分層加密認(rèn)證、入侵檢測和等級(jí)保護(hù)體系，車載感知域、決策域和控制域的訪問控制、數(shù)據(jù)管理和多域防護(hù)體系，以及車載通信系統(tǒng)長、短距離通信接口的鑒權(quán)認(rèn)證、安全審計(jì)和主動(dòng)防御體系；構(gòu)建智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)異常狀態(tài)監(jiān)控和安全網(wǎng)關(guān)主動(dòng)防護(hù)機(jī)制，建設(shè)基于車內(nèi)網(wǎng)絡(luò)、車載網(wǎng)絡(luò)和車載通信系統(tǒng)的可信平臺(tái)，建立智能網(wǎng)聯(lián)汽車高性能電子電氣架構(gòu)信息安全模型。（2）建立車車-車云協(xié)同的攻擊防御和無線通信安全防護(hù)機(jī)制進(jìn)一步提升智能網(wǎng)聯(lián)汽車攻擊和漏洞防御能力，研究車車和車云協(xié)同攻擊防御方法，建立高效實(shí)時(shí)的分布式車車聯(lián)合防御機(jī)制，形成長效可靠的車云信息共享式的協(xié)

53、同攻擊防御體系；針對“人-車-路-環(huán)境”的無線通信和信息安全，研究面向智能網(wǎng)聯(lián)汽車非理想信道狀態(tài)信息下的物理安全和機(jī)會(huì)連接的分布式網(wǎng)絡(luò)安全，研究23智能網(wǎng)聯(lián)汽車信息安全白皮書車車、車云之間的隱私保護(hù)機(jī)制。（3）設(shè)計(jì)不同安全等級(jí)的響應(yīng)機(jī)制和恢復(fù)策略針對智能網(wǎng)聯(lián)汽車的各種非法入侵攻擊和意外事件，研究智能網(wǎng)聯(lián)汽車安全等級(jí)劃分，不同安全等級(jí)對功能安全的映射關(guān)系，不同安全等級(jí)的響應(yīng)速度、影響及社會(huì)效應(yīng)，不同安全等級(jí)的“漂移”與恢復(fù)策略，云平臺(tái)應(yīng)急響應(yīng)機(jī)制，研究智能網(wǎng)聯(lián)汽車基于需求識(shí)別、資源探索、方案評價(jià)、服務(wù)恢復(fù)、參數(shù)更新的五級(jí)模型恢復(fù)過程，針對不同安全等級(jí)的服務(wù)恢復(fù)決策評價(jià)標(biāo)準(zhǔn)和策略。（4）構(gòu)建面向智

54、能網(wǎng)聯(lián)汽車新型電子電氣架構(gòu)演進(jìn)的軟硬件集成防護(hù)系統(tǒng)針對當(dāng)前汽車總線和電子控制單元存在的信息不安全傳輸、不可溯源、無防護(hù)措施等特點(diǎn)，基于現(xiàn)有汽車總線和電子控制單元演進(jìn)式研究面向智能網(wǎng)聯(lián)汽車新型電子電氣架構(gòu)的軟硬件集成防護(hù)系統(tǒng)，研究電子控制單元的輕量級(jí)加密算法，基于機(jī)器時(shí)鐘的電子控制單元指紋技術(shù)識(shí)別溯源，電子控制單元與功能安全的映射關(guān)系，基于功能安全等級(jí)的軟硬件加密，利用入侵檢測系統(tǒng)進(jìn)行總線報(bào)文檢測。研究以上策略在新型電子電器架構(gòu)的演進(jìn)。在研究新型電子電器架構(gòu)演進(jìn)的同時(shí)，也需要關(guān)注新型嵌入式操作系統(tǒng)的設(shè)計(jì)框架，從架構(gòu)層面上即保證操作系統(tǒng)的安全性。參考國際標(biāo)準(zhǔn)制定相應(yīng)行業(yè)開發(fā)規(guī)范，確保系統(tǒng)設(shè)計(jì)和開發(fā)

55、數(shù)據(jù)的完整性，在代碼內(nèi)檢時(shí)應(yīng)注意解決潛在安全風(fēng)險(xiǎn)，并對已知安全缺陷做詳細(xì)記錄，系統(tǒng)控制的敏感配置文件應(yīng)加密保護(hù)并實(shí)時(shí)監(jiān)控其狀態(tài)，同時(shí)還需研究新型操作系統(tǒng)自我保護(hù)技術(shù)。面向智能網(wǎng)聯(lián)汽車的“檢測-保護(hù)-響應(yīng)-恢復(fù)”全生命周期和車聯(lián)網(wǎng)“端-管-云”的信息安全防護(hù)體系，構(gòu)建多域分層入侵檢測和主動(dòng)防護(hù)信息安全模型，加強(qiáng)車車-車云協(xié)同的攻擊防御和無線通信安全防護(hù)機(jī)制，建立基于不同安全等級(jí)的應(yīng)急響應(yīng)和恢復(fù)策略，實(shí)現(xiàn)面向新型電子電氣架構(gòu)演進(jìn)的軟硬件集成防護(hù)系統(tǒng)。24圖 6 智能網(wǎng)聯(lián)汽車信息安全技術(shù)路線圖圖 7 智能網(wǎng)聯(lián)汽車生命周期管理體系25智能網(wǎng)聯(lián)汽車信息安全白皮書五、智能網(wǎng)聯(lián)汽車關(guān)鍵安全防護(hù)技術(shù)智能網(wǎng)聯(lián)汽

56、車的安全防護(hù)并非僅指車輛本身信息安全，而是一個(gè)包含通信、云平臺(tái)和外部新興生態(tài)系統(tǒng)的整體生態(tài)安全防護(hù)，同時(shí)安全防護(hù)需要長期進(jìn)行，需要定期對整個(gè)生態(tài)做安全檢測以便發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。因此，智能網(wǎng)聯(lián)汽車安全防護(hù)技術(shù)可按照通用的“端”、“管”、“云”、新興的外部生態(tài)系統(tǒng)以及全生態(tài)安全檢測五個(gè)方面進(jìn)行描述。5.1 車輛安全防護(hù)技術(shù)5.1.1 可信操作系統(tǒng)安全操作系統(tǒng)是智能網(wǎng)聯(lián)汽車的核心部件，同時(shí)也是整個(gè)汽車系統(tǒng)的大腦，所有的應(yīng)用程序都在操作系統(tǒng)之上運(yùn)行，操作系統(tǒng)向上承載應(yīng)用、通信等應(yīng)用功能，向下承接底層資源調(diào)用和管理。當(dāng)前主流的智能網(wǎng)聯(lián)汽車操作系統(tǒng)分為兩個(gè)方向：非開源和開源。非開源操作系統(tǒng)完全由車廠自己開發(fā)

57、，比如寶馬 iDrive。開源操作系統(tǒng)主要有 Android、QNX 和 Linux。當(dāng)前大部分車廠采用的都是開源方案，開源雖然能夠極大降低開發(fā)成本，但其自身安全風(fēng)險(xiǎn)不容小覷，如已知和未知漏洞風(fēng)險(xiǎn)、安全和健壯性的缺失以及缺乏對操作系統(tǒng)行為的監(jiān)控等。盡管并不是所有車廠都有能力自主開發(fā)操作系統(tǒng)，但是考慮到智能網(wǎng)聯(lián)汽車的特殊性，在選擇并使用操作系統(tǒng)時(shí)除了要考慮成本、易用性、商業(yè)生態(tài)等方面因素外，還需要對安全性做特別關(guān)注。 針對開源系統(tǒng)漏洞問題，除應(yīng)收集已知所選操作系統(tǒng)版本漏洞列表外，還應(yīng)該定期更新漏洞列表，同時(shí)擴(kuò)大漏洞收集途徑，確保能夠及時(shí)了解各種26漏洞，確保在第一時(shí)間內(nèi)發(fā)現(xiàn)、解決并更新所有已知漏

58、洞。 操作系統(tǒng)安全核心目標(biāo)在于實(shí)現(xiàn)操作系統(tǒng)對系統(tǒng)資源調(diào)用的監(jiān)控、保護(hù)、提醒，確保涉及安全的系統(tǒng)行為總是處于受控狀態(tài)下，不會(huì)出現(xiàn)用戶在不知情情況下某種行為的執(zhí)行或者用戶不可控行為的執(zhí)行。同時(shí)，操作系統(tǒng)還要確保自身升級(jí)更新的受控性。而操作系統(tǒng)的健壯性則主要取決于操作系統(tǒng)源代碼，源代碼安全是整個(gè)操作系統(tǒng)健壯性以及安全性的根本。通過對操作系統(tǒng)源代碼靜態(tài)審計(jì)，可以快速發(fā)現(xiàn)代碼的潛在 BUG 以及安全漏洞，及時(shí)修正潛在 BUG 和漏洞一方面可提高代碼健壯性，另一方面也增加了操作系統(tǒng)的安全性。 操作系統(tǒng)作為整個(gè)智能網(wǎng)聯(lián)汽車的核心部分復(fù)雜性不言而喻，所有文件、I/O、通信、數(shù)據(jù)之間的交互非常頻繁，因此需要確保

59、每個(gè)行為可控和可管成為必然，監(jiān)控全部應(yīng)用、進(jìn)程對所有資源的訪問并進(jìn)行必要的訪問控制是安全可信操作系統(tǒng)所必須具備的。5.1.2 固件安全固件是指保存在具有永久存儲(chǔ)功能器件中的二進(jìn)制程序。在微控制器為核心的ECU 中，固件主要用于實(shí)現(xiàn) ECU 的全部功能，其不但提供硬件初始化、操作系統(tǒng)加載功能，同時(shí)也為上層軟件有效使用硬件資源提供調(diào)用接口，因此是 ECU 系統(tǒng)的重要組成部分。隨著智能網(wǎng)聯(lián)汽車的普及和智能化程度的提高，ECU 得到了廣泛應(yīng)用，而作為 ECU 核心器件之一的微處理器和微控制器也隨之呈現(xiàn)爆發(fā)式增長趨勢。固件作為 ECU 系統(tǒng)的重要組成部分，以靈活、多樣的存在形式更加方便了用戶的使用，但同

60、時(shí)也為汽車信息系統(tǒng)安全帶來了極大的隱患。比如通過提取 ECU 固件逆向分析其代碼然后反編譯更改相應(yīng)參數(shù)、向 ECU 固件插入惡意代碼從而改變整個(gè)系統(tǒng)執(zhí)行流程，或者使用未經(jīng)廠商認(rèn)證的固件程序進(jìn)行升級(jí)等，這些都將威脅到智能網(wǎng)27智能網(wǎng)聯(lián)汽車信息安全白皮書聯(lián)汽車，并對駕駛員造成極大的安全威脅。針對 ECU 固件安全問題，當(dāng)前的重中之重主要集中在固件代碼無法提取、固件代碼防反匯編和逆向以及固件安全升級(jí)： 由于固件代碼保存在具有永久存儲(chǔ)功能的器件中，因此選擇器件時(shí)需特別考慮其是否支持加密算法、芯片中是否有保護(hù)寄存器、是否可以通過設(shè)置Read-only 模式等方式對固件存儲(chǔ)器件進(jìn)行保護(hù)。建議將固件存儲(chǔ)在微