智能網(wǎng)聯(lián)汽車是汽車與信息、通信等產(chǎn)業(yè)跨界融合的典型應用，被認為是全球創(chuàng)新熱點和未來產(chǎn)業(yè)發(fā)展制高點。隨著汽車智能化、網(wǎng)聯(lián)化程度的加深，人們實現(xiàn)了對汽車的更多控制，為生活帶來了各種便利，但隨之而來的遠程攻擊、惡意控制甚至入網(wǎng)車輛被操控等安全隱患也日益明顯，如何保障智能車輛安全，實現(xiàn)便捷性與安全性之間的矛盾成為汽車智能化發(fā)展的重要環(huán)節(jié)。

　　一、巨大發(fā)展?jié)摿ο碌陌踩[患

　　智能網(wǎng)聯(lián)汽車是搭載先進的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通信與網(wǎng)絡技術，實現(xiàn)車與X(人、車、路、云端等)智能信息交換、共享，具備復雜環(huán)境感知、智能決策、協(xié)同控制等功能，可實現(xiàn)“安全、高效、舒適、節(jié)能”行駛，并最終可實現(xiàn)替代人來操作的新一代汽車，隨著技術的發(fā)展，智能化功能越來越豐富。

　　2018年1月，國家發(fā)改委發(fā)布的《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》(征求意見稿)中提出，到2020年，智能汽車新車占比將達到50%。按照該戰(zhàn)略的規(guī)劃，汽車產(chǎn)品將由以往的機械化產(chǎn)品向智能化控制產(chǎn)品轉變;在應用層上，汽車將成為兼顧辦公、居家、娛樂的智能化移動空間。

　　智能汽車從規(guī)模到應用都極具潛力，但令人擔憂的是，車聯(lián)網(wǎng)功能的安全性問題也日益凸顯。2015年，兩名白帽黑客遠程入侵了一輛正在路上行駛的SUV汽車，并對其做出減速、關閉引擎、突然制動或者制動失靈等操控，該汽車公司為了防止汽車被黑客攻擊，在全球召回了140萬輛車并安裝了相應補丁。2016年，一家安全實驗室宣布他們以“遠程無物理接觸”的方式成功入侵了某著名電動汽車，從而對車輛的停車狀態(tài)和行進狀態(tài)進行遠程控制。黑客們實現(xiàn)了不用鑰匙打開了汽車車門，在行駛中突然打開后備箱、關閉后視鏡及突然剎車等遠程控制。2017年，一家網(wǎng)絡安全公司稱某汽車App存在漏洞，黑客能夠遠程啟動該公司的汽車，該公司證實了這個漏洞的存在。同年，軟件安全工程師Jay Turla對某品牌汽車展開了一項開源網(wǎng)絡攻擊項目，使得任何人都能利用一個U盤就對該品牌汽車執(zhí)行惡意軟件代碼。不久前據(jù)英國廣播公司報道，國內(nèi)一家網(wǎng)絡安全實驗室的研究顯示某著名汽車的電腦系統(tǒng)存在14處漏洞，黑客可利用這些漏洞在汽車行駛時取得部分控制權，可通過插入U盤、使用藍牙以及車輛自帶的3G/4G數(shù)據(jù)連接等方式控制汽車。甚至隨著技術的發(fā)展，如《速度與激情8》中，黑客通過入侵智能網(wǎng)聯(lián)汽車自動駕駛系統(tǒng)給控制上千輛無人汽車組成的“僵尸車”軍團也不再只是存在于熒幕的特效，更讓人不得不在享受到其舒適、便利的同時，加速對智能汽車信息安全問題的深入審視。

　　二、智能汽車安全保障勢在必行

　　智能網(wǎng)聯(lián)汽車信息安全可以分為內(nèi)外兩套安全體系，分別是“端-管-云”的車外網(wǎng)絡信息安全和“車載端、車內(nèi)網(wǎng)關-車內(nèi)網(wǎng)絡、ECU節(jié)點”的車內(nèi)網(wǎng)絡信息安全，隨著汽車智能化和網(wǎng)聯(lián)化的增長，內(nèi)外體系的數(shù)據(jù)交互會逐漸增加。信息安全作為汽車的一個屬性，需要建立在汽車內(nèi)部網(wǎng)絡架構的基礎上，安全保障體系也需要與智能網(wǎng)聯(lián)汽車應用同步部署。

　　2017年6正式施行的《中華人民共和國網(wǎng)絡安全法》要求智能網(wǎng)聯(lián)汽車制造廠商、車聯(lián)網(wǎng)運營商“采取技術措施和其他必要措施，保障網(wǎng)絡安全、穩(wěn)定運行，有效應對網(wǎng)絡安全事件，防范網(wǎng)絡違法犯罪活動，維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。” 2017年12月，工信部、國家標準化管理委員會聯(lián)合發(fā)布《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南》(以下簡稱指南)，確定了智能網(wǎng)聯(lián)汽車的標準體系，其中就包括信息安全方面的通用規(guī)范類標準。今年3月，工信部裝備工業(yè)司發(fā)布《2018年智能網(wǎng)聯(lián)汽車標準化工作要點》工信部發(fā)布的工作要點共提及五項重點標準，“汽車信息安全標準”是其中之一。推進該標準制定的具體工作包括完成汽車信息安全通用技術、車載網(wǎng)關、信息交互系統(tǒng)、電動汽車遠程管理與服務、電動汽車充電等5項基礎通用標準的立項工作;啟動汽車信息安全風險評估、安全漏洞與應急響應、軟件升級及整車信息安全測試評價等4項國家標準項目的預研和立項。

　　根據(jù)《智能網(wǎng)聯(lián)汽車技術路線圖》，智能網(wǎng)聯(lián)汽車可分為智能化與網(wǎng)聯(lián)化兩個層面;智能網(wǎng)聯(lián)汽車通過智能化與網(wǎng)聯(lián)化兩條技術路徑協(xié)同實現(xiàn)“信息感知”和“決策控制”功能，產(chǎn)品物理結構功能安全和信息安全作為重要組成部分貫穿始終。

　　(一) 技術邏輯結構

　　智能網(wǎng)聯(lián)汽車技術邏輯的兩條主線是“信息感知”和“決策控制”，其發(fā)展的核心是由系統(tǒng)進行信息感知、決策預警和智能控制，逐漸替代駕駛員的駕駛任務，并最終完全自主執(zhí)行全部駕駛任務(如圖1 所示)。

　　圖1 智能網(wǎng)聯(lián)汽車技術邏輯結構

　　(二) 產(chǎn)品物理結構

　　《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南》中確定了智能網(wǎng)聯(lián)汽車的標準體系，也明確了信息安全方面的通用規(guī)范類標準。

　　智能網(wǎng)聯(lián)汽車的產(chǎn)品物理結構是把技術邏輯結構所涉及的各種“信息感知”與“決策控制”功能落實到物理載體上。車輛控制系統(tǒng)、車載終端、交通設施、外接設備等按照不同的用途，通過不同的網(wǎng)絡通道、軟件或平臺對采集或接收到的信息進行傳輸、處理和執(zhí)行，從而實現(xiàn)了不同的功能或應用。其中，產(chǎn)品物理結構功能安全和信息安全作為智能網(wǎng)聯(lián)汽車各類產(chǎn)品和應用需要普遍滿足的基本條件，貫穿于整個產(chǎn)品物理結構之中，是智能網(wǎng)聯(lián)汽車各類產(chǎn)品和應用實現(xiàn)安全、穩(wěn)定、有序運行的可靠保障。

　　圖2 智能網(wǎng)聯(lián)汽車產(chǎn)品物理結構

　　(三) 相關標準體系

　　按照智能網(wǎng)聯(lián)汽車的技術邏輯結構、產(chǎn)品物理結構的構建方法，《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南》綜合不同的功能要求、產(chǎn)品和技術類型、各子系統(tǒng)間的信息流，將智能網(wǎng)聯(lián)汽車標準體系框架定義為“基礎”、“通用規(guī)范”、“產(chǎn)品與技術應用”、“相關標準”四個部分，形成14個子類。

　　在該標準體系中，功能安全標準側重于規(guī)范智能網(wǎng)聯(lián)汽車各主要功能節(jié)點及其下屬系統(tǒng)在安全性保障能力方面的要求，其主要目的是確保智能網(wǎng)聯(lián)汽車整體及子系統(tǒng)功能運行的可靠性，并在系統(tǒng)部分或全部發(fā)生失效后仍能最大程度地保證車輛安全運行;信息安全標準在遵從信息安全通用要求的基礎上，以保障車輛安全、穩(wěn)定、可靠運行為核心，主要針對車輛及車載系統(tǒng)通信、數(shù)據(jù)、軟硬件安全，從整車、系統(tǒng)、關鍵節(jié)點以及車輛與外界接口等方面提出風險評估、安全防護與測試評價要求，防范對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。

　　三、智能網(wǎng)聯(lián)汽車信息安全風險分析

　　智能網(wǎng)聯(lián)汽車從架構上可分為四個不同的功能區(qū)，分別是基本控制功能區(qū)，如傳感單元、底盤系統(tǒng)等;擴展功能區(qū)，如遠程信息處理、信息娛樂管理、車體系統(tǒng)等;外部接口，譬如LTE-V、藍牙、WIFI等;以及手機、存儲器、各種診斷儀表、云服務等外部功能區(qū)。每個功能區(qū)對于安全的定義和需求都不相同，需要定義合理規(guī)范的系統(tǒng)架構，將不同功能區(qū)進行隔離，并對不同區(qū)域間的信息流轉進行嚴格的控制，包括接入身份認證和數(shù)據(jù)加密，來保證信息安全傳輸，從而達到智能駕駛功能的高可用性、便利性和保護用戶信息隱私的目的。根據(jù)分析研究，智能網(wǎng)聯(lián)汽車系統(tǒng)面臨的攻擊主要來自兩方面——內(nèi)部攻擊和遠程攻擊。其中，內(nèi)部攻擊主要由智能網(wǎng)聯(lián)自身缺陷引起，比如總線、網(wǎng)關、ECU等安全程度不夠所導致。未來智能網(wǎng)聯(lián)汽車面臨的信息安全威脅梳理為來自云端、通道、終端三個維度。

　　(一)終端層安全風險

　　1. T-BOX 安全風險

　　T-BOX(Telematics BOX)的網(wǎng)絡安全系數(shù)決定了汽車行駛和整個智能交通網(wǎng)絡的安全，是車聯(lián)網(wǎng)發(fā)展的核心技術之一，惡意攻擊者通過分析固件內(nèi)部代碼能夠輕易獲取加密方法和密鑰，可實現(xiàn)對消息會話內(nèi)容的破解。

　　2. IVI 安全風險

　　車載信息娛樂系統(tǒng)(In-Vehicle InfotainmentI)的高集成度使其所有接口都可能成為黑客的攻擊節(jié)點，因此IVI的被攻擊面將比其他任何車輛部件都多。

　　3. 終端升級安全風險

　　智能網(wǎng)聯(lián)汽車如不及時升級更新，就會由于潛在安全漏洞而遭受各方面(如4G、 USB、 SD 卡、 OBD 等渠道)的惡意攻擊，導致車主個人隱私泄露、車載軟件及數(shù)據(jù)被竊取或車輛控制系統(tǒng)遭受惡意攻擊等安全問題。

　　4. 車載OS 安全風險

　　車載電腦系統(tǒng)常采用嵌入式Linux、 QNX、 Android等作為操作系統(tǒng)，其代碼龐大且存在不同程度的安全漏洞，且車聯(lián)網(wǎng)應用系統(tǒng)復雜多樣，某一種特定的安全技術不能完全解決應用系統(tǒng)的所有安全問題。而智能終端還存在被入侵、控制的風險。

　　5. 移動App安全風險

　　對于沒有進行保護的App進行逆向分析挖掘，可直接看到TSP(遠程服務提供商)的接口、參數(shù)等信息。

　　(二)傳輸通道安全風險

　　1. 車載診斷系統(tǒng)接口

　　基于車載診斷系統(tǒng)接口(OBD)的攻擊現(xiàn)在的智能網(wǎng)聯(lián)汽車內(nèi)部都會有十幾個到幾十個不等的ECU，不同ECU 控制不同的模塊。OBD 接口作為總線上的一個節(jié)點，不僅能監(jiān)聽總線上面的消息，而且還能偽造消息(如傳感器消息)來欺騙ECU，從而達到改變汽車行為狀態(tài)的目的。

　　2. 車內(nèi)無線傳感器安全風險

　　傳感器存在通訊信息被竊聽、被中斷、被注入等潛在威脅，甚至通過干擾傳感器通信設備還會造成無人駕駛汽車偏行、緊急停車等危險動作。

　　3. 車內(nèi)網(wǎng)絡傳輸安全風險

　　汽車內(nèi)部相對封閉的網(wǎng)絡環(huán)境看似安全，但其中存在很多可被攻擊的安全缺口，如胎壓監(jiān)測系統(tǒng)、 Wi-Fi、藍牙等短距離通信設備等。

　　4. 車載終端架構安全風險

　　現(xiàn)在每輛智能網(wǎng)聯(lián)汽車基本上都裝有五六十個ECU 來實現(xiàn)移動互聯(lián)的不同功能，進入智能網(wǎng)聯(lián)汽車時代后， 其接收的數(shù)據(jù)不僅包含從云端下載的內(nèi)容，還有可能接收到那些通過網(wǎng)絡連接端口植入的惡意軟件，因此大大增加了智能網(wǎng)聯(lián)汽車被“黑”的風險。

　　5. 網(wǎng)絡傳輸安全風險

　　“車-X”(人、車、路、互聯(lián)網(wǎng)等)通過Wi-Fi、移動通信網(wǎng)(2.5G/3G/4G等)、DSRC等無線通信手段與其它車輛、交通專網(wǎng)、互聯(lián)網(wǎng)等進行連接。網(wǎng)絡傳輸安全威脅指車聯(lián)網(wǎng)終端與網(wǎng)絡中心的雙向數(shù)據(jù)傳輸安全威脅。

　　(三) 云平臺安全威脅

　　目前大部分車聯(lián)網(wǎng)數(shù)據(jù)使用分布式技術進行存儲，主要面臨的安全威脅包括黑客對數(shù)據(jù)惡意竊取和篡改、敏感數(shù)據(jù)被非法訪問。

　　四、智能網(wǎng)聯(lián)汽車信息安全實踐

　　結合國家戰(zhàn)略指引、技術研究和實際案例分析，幾維安全對智能網(wǎng)聯(lián)汽車的云、管、端風險點和安全保障措施進行深度分析，推出了多維度基于底層算法的安全保障技術。

　　圖3 幾維安全基于智能網(wǎng)聯(lián)汽車云管端的信息安全防護

　　(一)APP防護

　　1. JAVA代碼反編譯防護

　　利用Android匯編語言的高強度Java2C技術進行Android APP的JAVA代碼進行保護。

　　2. SO虛擬化保護

　　利用幾維安全獨有KiwiVM代碼虛擬化保護對So核心代碼邏輯進行保護，保護關鍵協(xié)議代碼和通信模塊。

　　3. Android APK完整性保護

　　加固通過對APP安裝包所有文件內(nèi)容做交叉校驗，并且做校驗數(shù)據(jù)及校驗代碼做加密保護，可以及時檢測到APP是否是原有官方版本，并阻止非官方版本啟動運行。

　　4. APP動態(tài)運行防護

　　加固提供的動態(tài)防御技術以反調(diào)試保護為基礎，同時針對關鍵函數(shù)及環(huán)節(jié)做監(jiān)控，借助于輪詢查看，主動偵測等方法，保護移動APP在運行時的安全。

　　5. APP本地文件及數(shù)據(jù)加密保護

　　通過安全SDK在Android文件系統(tǒng)層實現(xiàn)的透明化數(shù)據(jù)加密機制，有效的對所有資源文件讀寫操作做保護。

　　(二)T-BOX防護

　　1. 固件協(xié)議代碼保護

　　利用MBS塊調(diào)度或KiwiVM代碼虛擬化保護技術進行固件協(xié)議模塊保護

　　2. 固件數(shù)據(jù)加密

　　通過幾維安全SDK對終端數(shù)據(jù)進行安全加密存儲，關鍵密鑰隱藏于KiwiVM虛擬機中。

　　3. 固件完整性校驗算法保護

　　對固件完整性校驗等關鍵算法進行MBS塊調(diào)度或KiwiVM代碼虛擬化保護，避免攻擊者繞過校驗邏輯。

　　(三)通信安全

　　1. 通信數(shù)據(jù)加密

　　使用基于KiwiVM代碼虛擬化保護技術的白盒密鑰sdk，密鑰隱藏于虛擬機中，隱藏算法逆向特征，使得密鑰無法提取及解密數(shù)據(jù)。

　　2. 通信數(shù)據(jù)校驗

　　通過幾維安全基于通信協(xié)議加密SDK的驗簽功能，通過hash函數(shù)生成簽名，通過KiwiVM隱藏算法特征和校驗過程。

　　五、小結

　　智能網(wǎng)聯(lián)汽車是汽車與信息、通信等產(chǎn)業(yè)跨界融合的重要載體和典型應用，是全球創(chuàng)新熱點和未來產(chǎn)業(yè)發(fā)展制高點，更是人們未來生活的一部分。作為智能網(wǎng)聯(lián)汽車發(fā)展的基石，信息安全保障與智能化應用同步部署必要性日益凸顯，便利、安全的兼顧還需共同持續(xù)努力。