智能汽车网络安全防护技术及研发流程

摘要

随着汽车产业在智能化网联化方向深入发展，新型汽车产品已逐步成为车轮上的数据中心，车载软硬件配备也变得更加复杂。其网络安全问题至关重要，本文从汽车面临的网络安全风险、网络法规开始介绍，再基于以太网的E/E架构讲解网络安全防护技术，最后谈一谈整车网络安全研发流程。

汽车面临日益严峻的网络安全风险

在汽车新四化的发展趋势下，汽车的智能化、联网化程度越来越高，汽车已经变成名副其实的万物互联时代的智能终端设备。在智能网联汽车的场景下，衍生出了如车联网技术、无人驾驶汽车技术、智能无线传感器技术等一系列创新技术。然而，消费者在体验智能技术的同时，却承担着极大的安全风险。智能网联汽车消除了黑客攻击车辆的地域和距离限制，给黑客远程批量攻击目标车辆提供了可能，使得车辆面临的网络安全风险显著增加。智能汽车网络安全问题已成为行业关注的重点。

网络安全法规

法规体系是一个行业发展的基础，是否完善决定了该行业未来的发展空间。近年来，我国依据智能汽车产业发展的现状和趋势，陆续出台了多部法规，对于行业规范化发展有着极为重要的作用。

2019年10月，全国人大常委会发布《中华人民共和国密码法》（以下简称《密码法》），并于2020年1月正式施行。《密码法》规范了密码应用及管理，明确了核心密码、商用密码、普通密码的管理要求。

2016年11月，全国人大常委会发布《中华人民共和国网络安全法》（以下简称《网络安全法》），并于2017年6月正式施行。《网络安全法》规范网络安全监督管理，包含网络安全支持促进、网络运行安全(网络安全等级保护、关键基础设施保护)、网络信息安全、监测预警及处置等内容。

随着《中华人民共和国数据安全法》的颁布和出台，汽车数据全生命周期从创建到销毁的整个过程，包括采集、存储、处理、应用、流动和销毁等环节都更加规范和有法可依，为企业数据经营合规以及进一步的数据资产化治理与发展提供指引。

《中华人民共和国个人信息保护法》主要围绕个人信息的处理展开。从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则，并且针对敏感个人信息和国家机关处理活动强调了特别规则。

《汽车数据安全管理若干规定（试行）》定位于若干规范要求，聚焦汽车领域个人信息和重要数据的安全风险，明确汽车数据处理者的责任和义务，规范汽车数据处理活动，有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。

《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）的建设目标是计划到2023年底，初步构建起车联网（智能网联汽车）网络安全标准体系，重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准。

网络安全防护

基于以太网的E/E架构网络安全防护

接口与网络安全：划分区域/限制访问

随着V2X (vehicle to everything)的发展，智能网联车不再是一个独立的电子系统，而是一个大型的移动终端，为实现车与X(例如车、路、人、云等)的信息交换，必须配备丰富的连接接口，例如4G/5G、Wi-Fi、蓝牙、 GPS、NFC等。与此同时，通信需求增加和对外接口丰富将导致网络攻击入口和形式的多样化。

重点防护与外部有访问点的接口设备

接口设备采用状态防火墙，诊断通信不直接与ECU交互；基于中央网关，且与中央网关之间采用基于TLS的安全通信

把网络划分为多个不同的安全区域，区域之间采用受限通信方式安全区域划分：限制具有外部访问点的ECU数量；功能安全等级合法、授权数据可以跨域：VLAN通信；物理隔离。

数据传输安全

身份真实性、数据完整性、数据保密性、抗重放

防火墙/入侵检测/防御系统(IDS /IPS)

防火墙用于过滤和阻止异常的数据流。过滤器有很多种类，从按起点或目的地进行简单过滤开始，逐渐扩大到对有效负载的深入检查。单个ECU的防火墙通常通过CANID 过滤接收消息。对于网关等大容量通道，这些防火墙以及路由逻辑通常会对性能产生影响。与后端服务器的无线连接使用相同的过滤机制，因此只接收某些确定的服务。传统车内ECU中的防火墙功能通常没有日志记录机制。但是也有部分可能会在后续增加，例如VCU转变为动力域的域控制器，运行linux或qnx系统，具有面向服务的通信能力。

IDS /IPS是类似防火墙的系统，但与防火墙不同的是，它不位于网络边界，而是在网络内部，通过监控/控制网络流量来确保安全。入侵检测系统监视系统/网络，并将日志发送到后端系统进行进一步分析。IDS/IPS的检测规则是依赖后端进行动态更新的，但是在网速慢的时候，更新时间需要数天或更长时间。

IDS/IPS可以在基于主机和网络域中进行区分，也就是说可以针对单个ECU，也可以针对某个网络域。它们可以作为单独的硬件组件实现，也可以在现有主机上的软件中实现。

另外 IPS可能会对安全相关功能产生负面影响，其有可能出现误检，例如，在碰撞之前检测到大量的制动信号，这可能被 IPS 解释为攻击。就未来的机器学习IPS算法而言，这方面将变得更加关键。这意味着无论何时使用 IPS，都需要一条备份路径来监督所有IPS解释，这将对性能和责任方面产生影响。IDS 则不会有这种担忧，因为检测规则将由人类预先定义，当然，在定义此类 IDS 规则时仍然存在人为错误的可能性，但可以使用定义明确的更新过程和严格的测试将这些错误降至最低。

整车网络安全研发流程

整车网络安全研发流程为V模型，遵循 ISO21434标准。首先项目开始时，要有网络安全规划，根据车型确定要达到的安全目标、安全计划。在安全规划的指导下，对整车进行识别，查看有多少安全资产，以及潜在的攻击路径，做出相应的组织策略和安全目标。再将安全目标整合成整车安全概念。接下来进行车辆功能网络安全概念设计，承接整车和系统分解下来的功能，组合起来就是零部件网络安全需求。在零部件网络安全开发过程中，可通过CIA协议来进行约束和管控。

做完零部件网络安全开发，再进行零部件网络安全功能测试及零部件网络安全确认，下一步进行车辆安全功能渗透测试、整车渗透测试，然后进行网络安全确认，与最开始的目标进行核对，最后进行网络安全生产发布。到此整个研发过程主体结束，但还需要全生命周期的网络安全运营进行运营跟踪，因为不可能一次性开发完，漏洞会层出不穷地出现，要靠运营来定期OTA等。

就智能网联汽车的网络安全解决方案，将前面的分享进行归纳总结，其实就是三件事：

事前-网络安全需求

需求核心为威胁分析，再进行相应的需求定义。

事中-网络安全开发

设计分层的纵深防御网络安全架构，目前行业内比较普遍的是4、5、6层的安全防御。

事后-网络安全运营

进行全生命周期、全天候车辆安全态势感知及应急响应。

总体来看，目前及将来短时间内，政府对网络安全的管控需求大于消费者对安全的需求。所以安全治理首先要做的是安全合规，其目的就是确保资产安全，手段是纵深防御，全要素覆盖。通过构建由车外接口保护、车辆跨域安全、车辆通信安全至车内控制传感层级的层次化、逐层深入的安全防御体系，保护车联网安全。覆盖车辆、云服务、移动终端、路边单元，解决真实性；完整性；机密性；可用性；防抵赖；可授权等安全问题。还需要OEM车端及云端部门的协作来进行车云协同。通过打造全面的网络安全解决方案，为智能网联汽车保驾护航，促进智能网联汽车的健康发展。

总结

网络安全是一个系统问题：多层次纵深防御

面对智能网联汽车高速的发展趋势，迫切需要建立完整有效的智能网联汽车信息安全防护体系，以应对未来可能大规模爆发的黑客攻击。现阶段较为可行的是在车厂内部，构建网络安全体系能力，多层次展开纵深防御，己应对未来汽车智能业务发展的需求。通过体系化的管理，持续的改进智能网联汽车的安全防护等级。

未来，中国的汽车行业将掌握自动驾驶总体技术及各项关键技术，而智能网联汽车是风险与利益并存的产品，通过技术的进步和创新，不断丰富和完善智能网联汽车的安全策略，才可以提供更安全、节能、环保、舒适的出行方式。