1、智能聯網汽車信息安全白皮書前言自從 1886 年第一輛汽車誕生以來，便捷性與安全性之間的矛盾就在愈演愈烈。2015 年 7 月，“白帽黑客”查理米勒(Charlie Miller)和克里斯瓦拉塞克 (Chris Valasek)演示了如何通過入侵克萊斯勒公司 Uconnect 車載系統，以遠程指令方式“劫持”正在行駛中的 Jeep 自由光，并最終導致其“翻車”。一連串對智能網聯汽車的攻擊破解，使得人們對其安全性畫上了一個大大的問號。而在 2017 年上映的速度與激情 8里，黑客通過入侵智能網聯汽車自動駕駛系統，控制上千輛無人汽車組成了一支龐大的“僵尸車”軍團，其超強的破壞能力不僅令人印象深 刻

2、，更加速了人們對于智能網聯汽車信息安全問題的深入審視。早在 2015 年國務院印發的中國制造 2025里，就已經將無人駕駛汽車作為汽車產業未來轉型升級的重要方向之一，“十三五”規劃中更是提出要積極發展智能網聯汽車的目標。2017 年 4 月，由工業和信息化部、國家發展和改革委員會、科技部聯合印發的汽車產業中長期發展規劃中，明確提出到 2020 年，要培育形成若干家進入世界前十的新能源汽車企業，智能網聯汽車與國際同步發展；到2025 年，新能源汽車骨干企業在全球的影響力和市場份額進一步提升，智能網聯汽車進入世界先進行列。有調查數據顯示，2015 年中國乘用車銷量達 2114.6 萬臺，預計到 2

3、020 年銷量將達 2773.3 萬臺。2015 年中國智能駕駛乘用車滲透率為 15%，預計到 2019 年這一數據將上升至 50%。而 2015 年中國智能駕駛的市場規模已經達到 353 億元人民幣，預計到 2020 年中國智能駕駛市場規模將超過千億人民幣大關。智能網聯汽車的未來發展態勢十分明確，那么如何才能解決日益凸顯的便捷性與安全性之間的矛盾就顯得極為重要了。作為物聯網重要節點之一的智能網聯汽車，具有十分顯著的終端設備屬性。智能網聯汽車內部包含了車載傳感器、控制器、執行器等裝置，融合了現代通信與網絡技術，能夠實現車與 X（車、路、人、云等）的智能信息交換、共享，能夠感知周邊復雜環境即時做

4、出智能決策，幫助駕駛人員達成對智能網聯汽車自身的協同控制，并最終可替代人實現“安全、高效、舒適、節能”的自動化智能駕駛。于 2017 年 6 月 1 日正式施行的中華人民共和國網絡安全法要求智能網聯汽車制造廠商、車聯網運營商“采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整 性、保密性和可用性。”而在 2016 年 11 月美國國家公路交通安全管理局所發布的汽車最佳網絡安全指南里也明確指出，要對智能網聯汽車實施廣泛的網絡安全測試，防止汽車接入未授權的網絡，保護關鍵安全系統和個人數據。同時還需要智能網聯汽車具有能夠從網絡攻擊中快速

5、恢復的能力。近兩年，隨著人們對于智能網聯汽車安全性重視的提升，國內外各類相關安全白皮書紛紛發布，并從智能網聯汽車安全技術、車聯網網絡安全問題等角度進行了探索。人們在不斷對傳統信息安全與智能網聯汽車信息安全之間的異同進行剖析， 并借鑒傳統信息安全思路探尋構建更適于智能網聯汽車的信息安全思維模式與組織框架。本次所撰寫的白皮書會更為深入地探討智能網聯汽車的本質安全問題所在， 構筑能夠對智能網聯汽車未來信息安全起到核心支撐作用的方法論，描繪出智能網聯汽車整體信息安全框架。本白皮書將綜合分析國內外智能網聯汽車安全產業現狀與發展趨勢，解析智能網聯汽車所面臨的安全威脅，提出智能網聯汽車信息安全方法論，構建智

6、能網聯汽車安全保障體系。并深入探討智能網聯汽車關鍵安全防護技術，繪制典型智能網聯汽車攻擊路徑圖。希望白皮書的編撰能夠為車聯網與智能網聯汽車的安全發展提供科學決策依據，促進智能網聯汽車產業的健康成長。目錄TOC o 1-3 h z u HYPERLINK l _bookmark0 一、國內外智能網聯汽車產業現狀和發展趨勢1 HYPERLINK l _bookmark1 智能網聯汽車信息安全發展態勢1 HYPERLINK l _bookmark2 國內外車企信息安全現狀2 HYPERLINK l _bookmark3 國內外汽車信息安全標準規范現狀3 HYPERLINK l _bookmark4

7、二、智能網聯汽車面臨的信息安全威脅和挑戰6 HYPERLINK l _bookmark5 車載終端節點層安全威脅分析7 HYPERLINK l _bookmark6 終端節點層安全威脅7 HYPERLINK l _bookmark7 車內網絡傳輸安全威脅11 HYPERLINK l _bookmark8 車載終端架構安全威脅12 HYPERLINK l _bookmark9 網絡傳輸安全威脅12 HYPERLINK l _bookmark10 云平臺安全威脅14 HYPERLINK l _bookmark11 外部互聯生態安全威脅15 HYPERLINK l _bookmark12 移動 Ap

8、p 安全威脅15 HYPERLINK l _bookmark13 充電樁信息安全威脅15 HYPERLINK l _bookmark14 智能網聯汽車信息安全威脅總結分析16 HYPERLINK l _bookmark15 三、智能網聯汽車信息安全方法論18 HYPERLINK l _bookmark16 四、智能網聯汽車安全保障體系22 HYPERLINK l _bookmark17 五、智能網聯汽車關鍵安全防護技術26 HYPERLINK l _bookmark18 車輛安全防護技術26 HYPERLINK l _bookmark19 可信操作系統安全26 HYPERLINK l _boo

9、kmark20 固件安全27 HYPERLINK l _bookmark21 數據安全28 HYPERLINK l _bookmark22 密鑰安全29 HYPERLINK l _bookmark23 FOTA30 HYPERLINK l _bookmark24 網絡安全防護技術30 HYPERLINK l _bookmark25 網絡傳輸安全30 HYPERLINK l _bookmark26 網絡邊界安全32 HYPERLINK l _bookmark27 云平臺安全防護技術33 HYPERLINK l _bookmark28 云平臺安全33 HYPERLINK l _bookmark29

10、 云平臺可視化管理34 HYPERLINK l _bookmark30 新興外部生態安全防護技術之移動 App 安全35 HYPERLINK l _bookmark31 智能網聯汽車生態安全檢測37 HYPERLINK l _bookmark32 六、典型智能網聯汽車攻擊路徑圖39 HYPERLINK l _bookmark33 竊取車輛 GPS 軌跡數據39 HYPERLINK l _bookmark34 攻擊主動剎車功能42 HYPERLINK l _bookmark35 七、結束語46智能網聯汽車信息安全白皮書一、國內外智能網聯汽車產業現狀和發展趨勢智能網聯汽車信息安全發展態勢當今世界，

11、在互聯網多模式發展和工業智能化趨勢的背景下，傳統制造業逐漸向“智能制造”轉型升級。在此背景下，汽車產業在移動互聯、大數據及云計算等技術的推動下向智能化、網聯化發展的趨勢愈發明顯。智能網聯汽車作為創新發展的新方向，將汽車產業帶入到多領域、大系統融合的高速發展時期，整車廠、零部件廠商、互聯網公司等都在積極開展相關技術研發和產業布局，并不斷推出互聯智能汽車、自動駕駛汽車、共享汽車、車聯網等概念和技術。2017 年 4 月，由工業和信息化部、國家發展和改革委員會、科技部印發的汽車產業中長期發展規劃更是將智能網聯汽車作為汽車產業的戰略目標之一。據中國產業信息網預測，至 2020年，智能網聯汽車市場規模可

12、達 1000 億元以上?？梢灶A見，智能網聯汽車在未來必將推動汽車產業的轉型升級與結構優化。而隨著汽車智能化、網聯化和電動化程度的不斷提高，智能網聯汽車信息安全問題日益嚴峻，信息篡改、病毒入侵等手段已成功被黑客應用于汽車攻擊中，特別是近年來不斷頻發的汽車信息安全召回事件更是引發行業的高度關注。智能網聯汽車的信息安全危機不僅能夠造成個人隱私、企業經濟損失，還能造成車毀人亡的嚴重后果，甚至上升成為國家公共安全問題。盡管當前智能網聯汽車的安全漏洞尚未被廣泛利用，但是據統計，有 56%的消費者表示信息安全和隱私保護將成為他們未來購買車輛時主要考慮的因素。由此可見，智能網聯汽車信息安全已經成為汽車產業甚至

13、社會關注的焦點。1智能網聯汽車信息安全白皮書國內外車企信息安全現狀信息安全問題是汽車智能化和網聯化發展的必然產物，各個汽車產業強國在發展智能汽車過程中不同程度地意識到信息安全的潛在危害，特別是整車廠和零部件廠商均在研發不同的應對策略。歐美日等國家因為數十年的工業積累擁有先天的資源優勢，尤其在核心芯片、關鍵零部件、研發系統、技術規范等方面。其中美國在汽車網聯化技術、智能化技術和芯片技術方面優勢明顯，提倡汽車從全生命周期各個流程考慮信息安全因素， 主張標準和技術規范先行；歐洲擁有強大的整車及零部件企業，側重于交通一體化建設，在信息安全方面更多關注于車內關鍵零部件安全、智能交通安全和 V2X 通信安

14、全，并已完成相關產品研發和技術推廣應用；日本在汽車智能化發展較為領先， 信息安全方面更多側重于自動駕駛汽車。2015 年 2 月，美國麻州參議員愛德華馬基針對智能網聯技術的普及程度、車企現階段的黑客安防措施、個人數據收集儲存和管理、數據防惡意攻擊安全措施等問題，調研了包括寶馬、克萊斯勒、大眾、本田、現代、奔馳、豐田、沃爾沃等在內的 16 家車企。調研結果發現：大多數車企尚未意識到信息安全威脅，現有的安全保護措施未標準化且較隨意，大多數車企不能實時或者主動應對安全入侵，車企當前收集的用戶數據沒有保護措施且用途不明。近年來特斯拉、寶馬、克萊斯勒、豐田等國外眾多汽車品牌信息安全漏洞頻頻曝光，這也凸顯

15、了國外汽車行業當前信息安全防護能力依然不足的嚴峻問題。在國內，汽車信息安全問題近兩年來才逐漸受到關注，但是行業普遍缺乏系統認知，安全技術參差不齊。為此，2016 年底工信部委托車載信息服務產業聯盟網絡安全委員會對我國自主及在華外資車企、終端、零部件廠商等 15 家單位展開調研。通過調研發現存在國內整車廠基本沒有專門信息安全管理機構，現有 TSP 供應商2智能網聯汽車信息安全白皮書在服務平臺信息安全建設方面較為初級且缺乏系統性解決方案，車主用戶數據管理體系缺失，車輛系統安全漏洞修復機制匱乏，網聯車輛用戶實名認證無法保證等問題。國內外汽車信息安全標準規范現狀智能網聯汽車信息安全標準規范研究方面，歐

16、美日等世界汽車強國都在積極推動相關標準和技術規范制定工作。美國在谷歌、蘋果、微軟等互聯網巨頭以及福特、通用、特斯拉等汽車制造商的大力支持下，政府和行業對汽車信息安全關注較早。2016 年 1 月，美國汽車工程師學會(SAE)率先推出了全球首部汽車信息安全指南SAE J3061，為汽車產業提供了參考和建議。同年 10 月份，美國 NHTSA 發布了現代汽車信息安全最佳實踐，針對快速發展的智能網聯汽車信息安全及隱私保護等問題推出了最佳實踐框架結構。歐洲依托強大的汽車制造商和零部件廠商，專注于汽車零部件及網絡通信安全。歐盟委員會自 2008 年開始分別開展了 EVITA、OVERSEE、PRESER

17、VE 等項目， 從汽車硬件安全、車輛通信系統架構、V2X 通信安全等方面提出了解決方案和技術規范，部分技術成果已實現產業化應用。另外，歐洲電信標準協會(ETSI)針對智能 網聯汽車與智能交通系統(ITS)制定了系列信息安全標準，涉及 ITS 安全服務架構、ITS 通信安全架構與安全管理、可信與隱私管理、訪問控制和保密服務等方面。日本作為全球網聯車輛的先行者，政府很早就開始重視智能網聯汽車的信息安全問題，并且制訂了相關對策和管理方針。2013 年，日本信息處理推進機構(IPA) 根據國內汽車行業調研情況推出汽車信息安全指南(Approaches for Vehicle Information S

18、ecurity)，該指南從汽車可靠性角度出發，通過對汽車安全的攻擊方式和途徑分析定義了一種汽車信息安全模型“IPA Car”，并提出了汽車生命周期安全保護措施。3智能網聯汽車信息安全白皮書國際上，世界車輛法規協調論壇(UN/WP.29)于 2014 年 12 月成立了智能交通與自動駕駛非正式工作組 ITS/AD，同時將汽車信息安全標準納入協調范圍，并于 2016年 12 月組建了信息安全標準制定任務組，圍繞汽車網絡安全、數據保護及軟件升級三部分內容開展相關國際法規及標準制定工作。2016 年 10 月，ISO/TC22 道路車輛技術委員會與美國 SAE 以聯合工作組的形式成立了 ISO/SAE

19、/JWG AutomotiveSecurity 信息安全工作組，正式啟動了 ISO 層面的國際標準法規制定工作。國內近兩年也開始重視智能網聯汽車的信息安全問題，在以政府引導、產業聯盟推動、標準委員會執行的模式下積極開展汽車信息安全系列標準制定工作。政府引導方面，國務院在 2015 年推出的中國制造 2025中提出建立智能制造標準體系和信息安全保障體系，首次將汽車信息安全納入到國家重大發展戰略當中。2016 年 11 月 7 日，國家發布了中華人民共和國網絡安全法，明確要求包括車廠、車聯網運營商在內的網絡運營者需“履行網絡安全保護義務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術

20、措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性?！痹摲ㄓ?2017 年 6 月 1 日起正式施行，客觀上對網聯車輛運營者提升網絡安全意識、積極采取網絡安全防護措施具有重要意義。產業聯盟推動方面，2016 年 7 月在長春，由中國一汽集團和北京航空航天大學發起，依托于中國汽車工程學會成立的國內首個汽車信息安全委員會，主要致力于推動行業資源融合、標準立項、技術推廣等內容。同年 11 月，由車載信息服務產業應用聯盟(TIAA)發起，國家互聯網應急中心、工信部情報研究所、中國電科第30 研究所等成員單位牽頭在成都正式成立了車

21、載信息服務產業應用聯盟網絡安全委員會，主要立足于電子信息技術與汽車、交通行業的深度融合，推動網絡安全技術體系和核心技術標準形成，構建安全、和諧的車載信息服務應用環境。2017 年 2月，TIAA 在第六屆車載信息服務產業年會期間發布了2016 年車聯網網絡安全白4智能網聯汽車信息安全白皮書皮書和車聯網網絡安全防護指南細則（討論稿），介紹了我國當前車聯網網絡安全政策、法規、標準、產品、應用等方面的實際情況與現實需求，總結了當前我國車聯網的網絡安全發展情況。標準制定方面，全國汽車標準化技術委員會（簡稱“汽標委”）于 2016 年推出了智能網聯汽車標準體系建設方案（第 1 版），信息安全標準體系(2

22、04)作為其重要組成部分，支撐著智能網聯汽車標準體系的整體架構。2016 年底，汽標委 ADAS 標準工作組組織行業內外汽車信息安全相關技術機構、企事業單位專家組成了汽車信息安全標準任務組，開展了國內汽車信息安全標準制定及聯合國、ISO 等層面國際汽車信息安全標準法規協調的工作。5智能網聯汽車信息安全白皮書二、智能網聯汽車面臨的信息安全威脅和挑戰隨著網絡通信技術的不斷發展，汽車的網絡化程度也在不斷提高。人們借助各種網絡通信技術實現了對汽車的更多控制，例如導航定位，“車、人、路”三方通信等功能。智能網聯汽車的發展為人們生活帶來了各種便利，但也暴露出汽車容易被遠程攻擊、惡意控制的安全隱患，甚至存在

23、入網車輛被大批量操控，造成重大社會事件的巨大風險。智能網聯汽車目前面臨的主要風險威脅如下圖所示：圖 1 智能網聯汽車的 4 層威脅+12 大風險6智能網聯汽車信息安全白皮書車載終端節點層安全威脅分析終端節點層安全威脅T-BOX 安全威脅T-BOX（Telematics BOX，簡稱 T-BOX）在汽車內部扮演“Modem”角色，實現車內網和車際網之間的通信，負責將數據發送到云服務器。T-BOX 是實現智能化交通管理、智能動態信息服務和車輛智能化控制不可或缺的部分。某種程度上來說， T-BOX 的網絡安全系數決定了汽車行駛和整個智能交通網絡的安全，是車聯網發展的核心技術之一，T-BOX 系統架構

24、圖如下：圖 2 T-BOX 系統架構圖常規條件下，汽車消息指令在 T-BOX 內部生成，并且在傳輸層面對指令進行加密處理，無法直接看到具體信息內容。但惡意攻擊者通過分析固件內部代碼能夠輕易獲取加密方法和密鑰，實現對消息會話內容的破解。尤其是有些 T-BOX 出廠時會預留調試接口，如果完整分析 T-BOX 的硬件結構、調試引腳、Wi-Fi 系統、串7智能網聯汽車信息安全白皮書口通信、MCU 固件、CAN 總線數據、T-BOX 指紋特征等研究點，攻破 T-BOX 的軟硬件安全防護將非常容易。而一旦 ARM 和 MCU 單片機之間的串口協議數據被惡意劫持，攻擊者就能夠對協議傳輸數據進行篡改，進而可以

25、修改用戶指令或者發送偽造命令到 CAN 控制器中，實現對車輛的本地控制與遠程操控。IVI 安全威脅車載信息娛樂系統（In-Vehicle Infotainment，簡稱 IVI），是采用車載專用中央處理器，基于車身總線系統和互聯網服務形成的車載綜合信息娛樂系統。IVI 能夠實現包括三維導航、實時路況、IPTV、輔助駕駛、故障檢測、車輛信息、車身控制、移動辦公、無線通訊、基于在線的娛樂功能及 TSP 服務等一系列應用，極大地提升了車輛電子化、網絡化和智能化水平。但車載綜合娛樂系統的高集成度使其所有接口都可能成為黑客的攻擊節點，因此 IVI 的被攻擊面將比其他任何車輛部件都多。攻擊者既可以借助軟件

26、升級的特殊時期獲得訪問權限進入目標系統，也可以將 IVI 從目標車上“拆”下來，分解 IVI 單元連接，通過對電路、接口進行逆向分析獲得內部源代碼。例如，2016 年寶馬車載娛樂系統 ConnectedDrive 所曝出的遠程操控 0day 漏洞里，其中就包含會話漏洞，惡意攻擊者可以借助這個會話漏洞繞過 VIN（車輛識別號）會話驗證獲取另一用戶的 VIN，然后利用 VIN 接入訪問編輯其他用戶的汽車設置。終端升級安全威脅智能網聯汽車如果不能及時升級更新，就會由于潛在安全漏洞而遭受各方面（如 4G、USB、SD 卡、OBD 等渠道）的惡意攻擊，導致車主個人隱私泄露、車載軟件及數據被竊取或車輛控制

27、系統遭受惡意攻擊等安全問題。特斯拉、Jeep 等就曾因類似信息安全事件而不得不實施汽車召回。8智能網聯汽車信息安全白皮書因此，智能網聯汽車需要通過 OTA 升級的方式來增強自身安全防護能力。但OTA 升級過程中也面臨著各種威脅風險，包括：（1）升級過程中，篡改升級包控制系統，或者升級包被分析發現安全漏洞；（2）傳輸過程中，升級包被劫持，實施中間人攻擊；（3）生成過程中，云端服務器被攻擊，OTA 成為惡意軟件源頭。另外 OTA 升級包還存在被提權控制系統、ROOT 設備等隱患。因此車載終端對更新請求應具備自我檢查能力，車載操作系統在更新自身分區或向其他設備傳輸更新文件和更新命令時，應能夠及時聲明

28、自己身份和權限，也就是對設備端合法性進行認證。同時，升級操作應能正確驗證服務器身份，識別出偽造服務器，或者是高風險鏈接鏈路。升級包在傳輸過程中，應借助報文簽名和加密等措施防篡改、防偽造。如果升級失敗，系統要能夠自動回滾，以便恢復至升級前的狀態。車載 OS 安全威脅車聯網時代，汽車通過車載電腦系統可與智能終端、互聯網等進行連接，實現娛樂、導航、交通信息等服務。車載電腦系統常采用嵌入式 Linux、QNX、Android 等作為操作系統，由于操作系統代碼龐大且存在不同程度的安全漏洞，操作系統自身的安全脆弱性將直接導致業務應用系統的安全智能終端面臨被惡意入侵、控制的風險。另外，由于車聯網應用系統復雜

29、多樣，某一種特定的安全技術不能完全解決應用系統的所有安全問題。一些通用的應用程序如 Web Server 程序、FTP 服務程序、E-mail 服務程序、瀏覽器和 Office 辦公軟件等自身的安全漏洞及由于配置不當所造成的安全隱患都會導致車載網絡整體安全性下降。除此之外，智能終端還存在被入侵、控制的風險，一旦智能終端被植入惡意代9智能網聯汽車信息安全白皮書碼，用戶在使用智能終端與車載系統互連時，智能終端里的惡意軟件就會利用車載電腦系統可能存在的安全漏洞，實施惡意代碼植入、攻擊或傳播，從而導致車載電腦系統異常甚至接管控制汽車。如果類似“永恒之藍 WannaCry”的勒索軟件病毒感染了車載電腦系

30、統，其將鎖定智能網聯汽車的操控界面，對處于正常狀態下的車輛造成干擾，甚至導致駕駛者失去車輛的控制權。如果“失控”車輛正好處于高速行駛狀態，那么車毀人亡慘劇發生的幾率將會極高。接入風險：基于車載診斷系統接口(OBD)的攻擊現在的智能網聯汽車內部都會有十幾個到幾十個不等的 ECU，不同 ECU 控制不同的模塊。OBD 接口是汽車 ECU 與外部進行交互的唯一接口，它具備以下功能：(1)能夠讀取汽車 ECU 的信息，比如 17 位 VIN 碼、ECU 硬件信息等；(2)能夠讀取汽車的當前狀態，比如當前車速、胎壓等等；(3)能夠讀取汽車的故障碼，快速定位汽車故障位置，并且清除故障碼；(4)能夠對汽車預

31、設置動作行為進行測試，比如車窗升降、引擎關閉等；(5)除上述基本的診斷功能之外，還可能具備刷動力、里程表修改等復雜的特殊功能。OBD 接口作為總線上的一個節點，不僅能監聽總線上面的消息，而且還能偽造消息（如傳感器消息）來欺騙 ECU，從而達到改變汽車行為狀態的目的。通過在汽車 OBD 接口植入具有無線收發功能的惡意硬件，攻擊者可遠程向該硬件發送惡意 ECU 控制指令，強制讓處于高速行駛狀態下的車輛發動機熄火、惡意轉動方向盤等，從而達到車毀人亡的目的。車內無線傳感器安全威脅智能網聯汽車為確保其便捷性和安全性，使用了大量傳感器網絡通信設備。但10智能網聯汽車信息安全白皮書是傳感器也存在通訊信息被竊

32、聽、被中斷、被注入等潛在威脅，甚至通過干擾傳感器通信設備還會造成無人駕駛汽車偏行、緊急停車等危險動作。例如，汽車智能無鑰匙進入系統(PKE)，是由發射器、遙控中央鎖控制模塊、駕駛授權系統控制模塊三個接收器及相關線束組成的控制系統。這種系統采用RFID（無線射頻識別）技術，通常情況下，當車主走近車輛大約一米以內距離時， 門鎖就會自動打開并解除防盜；當離開車輛時，門鎖會自動鎖上并進入防盜狀態。但是黑客可以通過尋找無線發射器信號規律、挖掘安全漏洞等方式著手，進行破解， 最終達到非授權條件下的開門。2016 年就曾爆出黑客通過對 PKE 無線信號進行“錄制重放”的方法破解了特斯拉 Model S 車型

33、的 PKE 系統。車內網絡傳輸安全威脅汽車內部相對封閉的網絡環境看似安全，但其中存在很多可被攻擊的安全缺口， 如胎壓監測系統、Wi-Fi、藍牙等短距離通信設備等。車載網絡通信協議安全防護措施較弱，如 CAN 和 LIN 由于應用在相對封閉環境，加之傳感器計算能力有限，采用的安全防護措施薄弱，除簡單校驗外未作更多機密性保護動作，不能抵御攻擊者針對性的傳感器信息采集、攻擊報文構造、報文協議分析和報文重放等攻擊。而車內的 ECU 單元又是通過 CAN、LIN 等網絡進行連接，如果黑客攻入了車內網絡則可以任意控制 ECU，或者通過發送大量錯誤報文導致 CAN 總線失效，進而致使 ECU 失效。由此可見

34、，車內網絡傳輸安全極為重要。11智能網聯汽車信息安全白皮書圖 3 車內網絡傳輸概況車載終端架構安全威脅現在每輛智能網聯汽車基本上都裝有五六十個 ECU 來實現移動互聯的不同功能，甚至是車與車之間的自由“交流”，操作系統生態數據的無縫交換等。因此，智能網聯汽車的信息安全需要考慮車載終端架構的安全問題。傳統車載軟件僅需處理 ECU 通過傳感器或其他電控單元接收的數據即可。然而，ECU 設計之初并不具備檢測每個 CAN 上傳數據包的功能，進入智能網聯汽車時代后，其接收的數據不僅包含從云端下載的內容，還有可能接收到那些通過網絡連接端口植入的惡意軟件，因此大大增加了智能網聯汽車被“黑”的風險。網絡傳輸安

35、全威脅車聯網系統由平臺、網絡、車載和終端等多個子系統組成，在平臺層還與多個12智能網聯汽車信息安全白皮書App 服務商的子系統連接?！败?X”（人、車、路、互聯網等）通過 Wi-Fi、移動通信網(2.5G/3G/4G 等)、DSRC 等無線通信手段與其它車輛、交通專網、互聯網等進行連接。上述無線通信方式自身就存在網絡加密、認證等方面的安全問題，因而“車-X” 網絡也繼承了上述通信網絡所面臨的安全風險。此外車聯網的互聯網應用平臺作為互聯網上的服務，不可避免地面臨因互聯網服務應用漏洞帶來的安全威脅。網絡傳輸安全威脅指車聯網終端與網絡中心的雙向數據傳輸安全威脅，主要存在三大安全風險：（1）認證風險：

36、沒有驗證發送者的身份信息、偽造身份、動態劫持等；（2）傳輸風險：車輛信息沒有加密或強度不夠、密鑰信息暴露、所有車型使用相同的對稱密鑰；（3）協議風險：通信流程偽裝，把一種協議偽裝成另一種協議。在自動駕駛情況下，汽車會按照 V2X 通信內容判斷行駛路線，攻擊者可以利用偽消息誘導車輛發生誤判，影響車輛自動控制，促發交通事故。從如下來源于美國交通運輸省的一張圖片上可以比較清晰地看出 V2X 通信的潛在威脅。13智能網聯汽車信息安全白皮書圖 4 V2X 通信潛在威脅云平臺安全威脅智能網聯汽車管控中心的云平臺同樣面臨著各種惡意威脅，除了需要病毒防護、中間件安全防護以及訪問控制防護外，還需要重視數據安全防

37、護問題，防止車主存 儲到云端的數據（特別是隱私數據）意外丟失，或被別人竊取訪問、非法利用。目前大部分車聯網數據使用分布式技術進行存儲，主要面臨的安全威脅包括黑客對數據惡意竊取和篡改、敏感數據被非法訪問等，目前云平臺數據安全問題主要面臨以下三大挑戰：（1）數據的隱私性：通過智能終端 GID 或 OBD 設備采集上傳到云平臺中的數據，會涉及到車主車輛相關的私密數據，如何保證車云平臺存儲的用戶隱私信息不被泄露？（2）數據的完整性：數據的完整性是車聯網大數據研究的基礎，如何保證存14智能網聯汽車信息安全白皮書儲在云端的用戶數據完整性不被破壞？（3）數據的可恢復性：用戶對存儲在車云平臺的數據進行訪問時，

38、服務商需要無差錯響應用戶的請求，如遇到安全攻擊事件，服務商如何保證出錯數據的可恢復性？未來，隨著智能網聯汽車持續發展，數據安全、訪問控制等風險威脅也會越來越多，云端安全威脅不容忽視。外部互聯生態安全威脅移動 App 安全威脅目前，市場上大多數智能網聯汽車遠程控制 App 甚至連最基礎的軟件防護和安全保障都不具備。黑客只需對那些沒有進行保護的 App 進行逆向分析挖掘，就可以直接看到 TSP（遠程服務提供商）的接口、參數等信息。即使某些車輛遠程控制 App 采取了一定安全防護措施，但由于安全強度不夠，黑客只需具備一定的技術功底，仍然可以輕松發現 App 內的核心內容，包括存放在 App 中的密鑰

39、、重要控制接口等。2017 年 2 月，卡巴斯基爆出多款汽車 App 存在安全漏洞。目前許多遠程控制App 的車主個人隱私信息都是以未加密形態簡單儲存于車主手機中，黑客只需ROOT 用戶手機，就能以根用戶名義將用戶信息發送到后臺主機。黑客還可以誘導用戶下載惡意程序，竊取登錄信息，或者通過其他惡意軟件進行“覆蓋”攻擊，在用戶啟動 App 的同時創建一個偽造登錄界面誘導用戶登錄，實現對用戶信息的竊取。此外黑客亦可進行多重覆蓋攻擊，理論上可以竊取用戶的全部個人信息。充電樁信息安全威脅充電樁是電動汽車服務運營的重要基礎設施，其輸入端與交流電網直接連接，15智能網聯汽車信息安全白皮書輸出端裝有充電插頭用

40、于為電動汽車充電。由充電樁組成的網絡稱之為“樁聯網”，目前很多“樁聯網”解決方案都是承載在傳統以太網或者是無線傳輸網絡當中。人們可以在充電樁提供的人機交互操作界面上刷卡，進行相應的充電方式、充電時間、費用數據打印等操作，充電樁顯示屏能顯示充電量、費用、充電時間等數據?！皹堵摼W”在為大家出行帶去便利的同時，也面臨著各種信息安全問題。在充電樁網絡中傳輸的數據信息可能遭到截獲、竊取、破譯、被動攻擊或者非法冒充、惡意篡改等惡意威脅，而且充電樁內部網絡基本上沒有采取任何安全防護措施，一旦黑客通過互聯網入侵到“樁聯網”，就可以控制充電樁的電壓，甚至可以隨意修改充電金額等數據，對充電樁的健康發展造成無法彌補

41、的影響。智能網聯汽車信息安全威脅總結分析從整體趨勢來看，車載終端類型和數量的不斷增多，導致車載終端所面臨的安全威脅類型也在不斷增多，終端的節點層、車內傳輸層、終端架構層的安全風險將持續增大。車載終端的信息安全問題必須得到足夠重視。以智能網聯汽車信息安全方法論為指導，系統分析漏洞與威脅風險，實施有針對性的安全防護策略，并部署相關安全解決方案，才能保證整體安全防護的有效性及科學執行。同時，智能網聯汽車在移動終端、移動通信網絡、移動接入管理和業務平臺之間的網絡傳輸風險也需引起足夠重視，尤其是車聯網終端與網絡中心的雙向數據傳輸安全威脅。除此之外，未來隨著智能網聯汽車地持續發展，云端安全威脅不容忽視。考

42、慮到車聯網中的數據采集上傳方式和云端平臺的海量數據存儲處理特性，需要盡快找尋更為適合的智能網聯汽車云平臺數據安全解決方案。最后，智能網聯汽車的快速發展，使得越來越多的操控 App、充電樁等外部生態組件開始頻繁接入汽車，而每個接入點都意味著新風險點的引入。考慮到智能網16智能網聯汽車信息安全白皮書聯汽車外聯設備組件獲取成本低及安全防護能力不足的特性，其必將成為黑客的攻擊重點，更應該引起人們重視。17三、智能網聯汽車信息安全方法論與傳統信息安全相同的是，針對智能網聯汽車的各類入侵攻擊依然需要利用其自身各個維度、層面的安全漏洞方可實施，這意味著封堵軟件（各類智能網聯汽車控制代碼）、硬件（各類智能網聯

43、汽車構成物理組件）與生態系統等維度層面的安全漏洞是當前解決智能網聯汽車信息安全的核心重點。然而智能網聯汽車典型的智能終端屬性特征，又使得對其的安全防護不能直接采用傳統安全解決方案，需要依照智能網聯汽車的系統架構特性，實施更具針對性的安全保護，從智能網聯汽車的生命周期著手，既要深入到智能網聯汽車內部的小微生態環境中， 更要結合其所處場景環境。智能網聯汽車擁有諸多功能模塊，需要考慮將這些模塊按照功能屬性進行劃分，實施不同的防御策略。而當智能網聯汽車遭遇惡意攻擊后，如何應急響應、如何升級防護也十分重要。這里有一點需要特別強調：智能網聯汽車由于智能性的極大提升，雖然使得駕駛者能夠享受更多便捷，但其復雜

44、度也在變得更高。駕駛者對于智能網聯汽車操控使用的正確與否，將直接左右智能網聯汽車信息安全問題變得更為糟糕或者更為穩固。所以，“人”這個要素也需要在智能網聯汽車信息安全方法論里予以考量。本白皮書首次建立智能網聯汽車信息安全方法論，用于指導智能網聯汽車信息安全建設工作的全面展開。 1、智能網聯汽車信息安全生命周期融合化18智能網聯汽車信息安全白皮書智能網聯汽車生命周期可以劃分為：策劃設計階段、生產階段、交付使用階段、廢棄階段這四個部分。智能網聯汽車的信息安全防護需要完整貫穿全生命周期，并能夠與之徹底融合，實現全生命周期的智能網聯汽車信息安全防護。策劃設計階段：在新款智能網聯汽車策劃設計伊始，就需要

45、將信息安全作為必選項予以考慮。需要汽車工業設計人員與信息安全人員，分別從智能網聯汽車自身安全性與其信息安全性兩方面實施聯合可行性論證。在具體功能模塊設計過程中，要綜合考慮該模塊的功能、性能與信息安全，制定相關威脅模型、安全防護模型以及應對防御策略模型。通過多層面的安全檢測，驗證整體設計方案的正確性、安全性與可行性。生產階段：在開發生產樣車過程中，要嚴格遵循信息安全開發準則，避免此階段新安全隱患問題的意外引入。同時要展開階段性的安全測評工作，隨時發現安全漏洞，隨時進行整改。當進入批量生產階段時，更需要執行嚴格的智能網聯汽車信息安全檢測、監控、驗證工作。交付使用階段：威脅情報分析預警、智能網聯汽車

46、安全運營、安全事件應急響應三者緊密關聯，做到嚴密監控、提前防御、平穩運營、響應及時、應對精 準。廢棄階段：當智能網聯汽車進入最后的廢棄階段時，需要提前將各模塊里的數據信息進行徹底擦除，對重要信息進行備份。2、分域隔離、縱深防御現在智能網聯汽車內部一般會有十幾個到數十個不等的 ECU，不同 ECU 控制不同功能模塊?！爸悄芑弊鳛橹悄芫W聯汽車的核心要素，使得其內部功能模塊增多，惡意攻擊面變大，安全防護難度增加。隨著汽車智能化和網聯化程度的提升， 汽車內部的 ECU 模塊越來越多。為便于控制和節省空間，相同功能或類似功能的ECU 會逐漸進行集成，車輛內部網絡將逐步采用“域控制”的集成控制方式。根據

47、19信息安全保護思想，在智能車輛內部的感知域、控制域、決策域等不同域之間需實行物理隔離或軟件分割，從而達到分域保護的信息安全理念。目前對于智能網聯汽車的信息安全防護集中在車載端，主要依靠具備信息安全 防護功能的 T-BOX 或 IVI 保護智能車輛，而依據信息安全防護理念，單獨的車載端防護根本無法實現智能網聯汽車的整體安全，參考傳統信息安全的縱深防御思路， 必須構建智能網聯汽車“架構層-傳輸層-節點層”的多層縱深防御體系，覆蓋智能 網聯汽車的 T-BOX 邊界、安全網關、ECU 認證、域控制器、車內/外網絡監控等層面，形成多維度全聯合的深度防御體系。架構層上，在汽車車內電子電器架構的 V 型開

48、發過程中，融合信息安全的基本理念，實現電子電氣架構開發的信息安全評估、等級保護、安全審計和測試認證； 傳輸層上，實現車內傳輸網絡結構安全、訪問控制、權限管理、可信平臺和安全網關控制；節點層上，實現輕量化加解密、數據簽名、身份認證和可信認證。3、車內小微生態環境安全防御細?；m然智能網聯汽車的自身體積很大，但具體到其內部信息系統處理模塊的體積卻很小。同時，由于其內部包含了車載傳感器、控制器、執行器等裝置，形成了一個車內小微生態環境。所以，需要安全防護實現對車內小微生態環境的覆蓋，需要每個功能模塊上的安全能力具有足夠的細粒度，并且能夠應對該小微生態環境里各類復雜的安全問題。另外需要注意的是，具有足

49、夠細粒度的安全能力還要能夠延伸至智能網聯汽車的內網區域以及各個節點之間。 4、場景化信息安全防御智能網聯汽車在停止與行駛狀態下會處于不同場景之中，這意味著其將面臨不同的惡意威脅。所以，要結合智能網聯汽車所處場景環境特征，實施與之對應的安全防御策略，做到場景化的信息安全防御。例如在高速網絡隊列控制時，減小駕駛20智能網聯汽車信息安全白皮書員的控制權限，提升隊列整體的安全控制能力。5、培訓提升駕駛者安全強度“人”是智能網聯汽車系統生態中的重要組成要素之一，人對于智能網聯汽車的錯誤配置、由外部帶來的有問題存儲介質，都容易引發智能網聯汽車的安全問題。因此，需要將“人”作為智能網聯汽車信息安全防護的重要

50、環節，通過培訓提升駕駛者的安全意識、安全操作能力，增強“人”這一智能網聯汽車關鍵要素的安全強度，降低由人引入惡意威脅的可能性。 6、強可控性應急響應與安全升級相結合當遭遇惡意攻擊事件后，需對智能網聯汽車實施強可控性應急響應，壓制惡意攻擊在車聯網絡內部的擴散傳播，安全策略強調限制為主。對問題固件的升 級，不僅要第一時間彌補安全漏洞，更要注意升級自身的安全性，杜絕二次惡意威脅的引入。21智能網聯汽車信息安全白皮書四、智能網聯汽車安全保障體系智能網聯汽車是以車聯網為信息傳輸載體，通過搭載先進的車載傳感器、控制器、執行器等裝置，使車輛具備復雜環境感知、智能化決策與控制功能，能綜合實現安全、節能、環保及

51、舒適行駛的新一代智能汽車。而車聯網主要包括車內網、車際網和車載移動互聯網，具體而言，車內網是指通過應用成熟總線技術建立的標準化整車網絡，車載移動互聯網是指車載終端通過 3G/4G 等通信技術與互聯網進行無線連接，車際網是指基于 DSRC 技術和 IEEE 802.11 系列無線局域網協議的動態網絡。圖 5 車聯網、智能汽車及智能交通系統關系圖由于汽車電動化、智能化和網聯化的發展趨勢，傳統車內電子電氣架構及Telematics 的信息安全隱患愈發突出。目前國內外對智能網聯汽車信息安全體系的研究尚處于研發階段，美國 SAE、歐洲 EVITA 都開始重點研究汽車信息安全體系， 例如美國 SAEJ30

52、61 號文件就涉及汽車信息安全完整性等級、測試方法和測試工具等方面。與此同時，IEEE 通信與網絡安全會議(CNS)、國際車聯網與互聯大會(ICCVE)等國際會議也在更為關注汽車信息安全體系的構建工作。相較于傳統的信息安全體系，智能網聯汽車的信息安全需要解決以下問題和難22點：（1）如何進行高效可靠的入侵檢測和防護，防止對車輛控制單元的直接控制；（2）如何保障復雜通信環境信息安全，提升車輛的防護能力；（3）如何采取高效可靠的響應和恢復方案，減少經濟損失和人員傷亡。即如何構建“檢測-保護-響應-恢復”的全生命周期智能網聯汽車信息安全體系以及面向智能網聯汽車的軟硬件集成防護系統。關鍵技術包括以下兩

53、點：（1）智能網聯汽車復雜通信環境的高效可靠檢測保護和高效響應恢復體系；（2）面向智能網聯汽車新型電子電氣架構演進的軟硬件集成防護系統。通過研究多域分層入侵檢測和主動防護信息安全模型，建立新型車車-車云協 同的攻擊防御和無線通信安全防護機制，設計不同安全等級的響應機制和恢復策略， 構建面向智能網聯汽車新型電子電氣架構演進的軟硬件集成防護系統，形成智能網 聯汽車“檢測-保護-響應-恢復”全生命周期信息安全體系，具體內容包括:（1）構建多域分層入侵檢測和主動防護信息安全模型針對車內網絡、車載傳感器和車載通信系統脆弱性和信息安全威脅，研究車內主干以太網和總線的分層加密認證、入侵檢測和等級保護體系，車

54、載感知域、決策域和控制域的訪問控制、數據管理和多域防護體系，以及車載通信系統長、短距離通信接口的鑒權認證、安全審計和主動防御體系；構建智能網聯汽車網絡異常狀態監控和安全網關主動防護機制，建設基于車內網絡、車載網絡和車載通信系統的可信平臺，建立智能網聯汽車高性能電子電氣架構信息安全模型。（2）建立車車-車云協同的攻擊防御和無線通信安全防護機制進一步提升智能網聯汽車攻擊和漏洞防御能力，研究車車和車云協同攻擊防御方法，建立高效實時的分布式車車聯合防御機制，形成長效可靠的車云信息共享式的協同攻擊防御體系；針對“人-車-路-環境”的無線通信和信息安全，研究面向智能網聯汽車非理想信道狀態信息下的物理安全和

55、機會連接的分布式網絡安全，研究23智能網聯汽車信息安全白皮書車車、車云之間的隱私保護機制。（3）設計不同安全等級的響應機制和恢復策略針對智能網聯汽車的各種非法入侵攻擊和意外事件，研究智能網聯汽車安全等級劃分，不同安全等級對功能安全的映射關系，不同安全等級的響應速度、影響及社會效應，不同安全等級的“漂移”與恢復策略，云平臺應急響應機制，研究智能網聯汽車基于需求識別、資源探索、方案評價、服務恢復、參數更新的五級模型恢復過程，針對不同安全等級的服務恢復決策評價標準和策略。（4）構建面向智能網聯汽車新型電子電氣架構演進的軟硬件集成防護系統 針對當前汽車總線和電子控制單元存在的信息不安全傳輸、不可溯源、

56、無防護措施等特點，基于現有汽車總線和電子控制單元演進式研究面向智能網聯汽車新型 電子電氣架構的軟硬件集成防護系統，研究電子控制單元的輕量級加密算法，基于 機器時鐘的電子控制單元指紋技術識別溯源，電子控制單元與功能安全的映射關系， 基于功能安全等級的軟硬件加密，利用入侵檢測系統進行總線報文檢測。研究以上 策略在新型電子電器架構的演進。在研究新型電子電器架構演進的同時，也需要關注新型嵌入式操作系統的設計框架，從架構層面上即保證操作系統的安全性。參考國際標準制定相應行業開發規范，確保系統設計和開發數據的完整性，在代碼內檢時應注意解決潛在安全風險， 并對已知安全缺陷做詳細記錄，系統控制的敏感配置文件應

57、加密保護并實時監控其狀態，同時還需研究新型操作系統自我保護技術。面向智能網聯汽車的“檢測-保護-響應-恢復”全生命周期和車聯網“端-管-云” 的信息安全防護體系，構建多域分層入侵檢測和主動防護信息安全模型，加強車車-車云協同的攻擊防御和無線通信安全防護機制，建立基于不同安全等級的應急響應和恢復策略，實現面向新型電子電氣架構演進的軟硬件集成防護系統。24圖 6 智能網聯汽車信息安全技術路線圖圖 7 智能網聯汽車生命周期管理體系25智能網聯汽車信息安全白皮書五、智能網聯汽車關鍵安全防護技術智能網聯汽車的安全防護并非僅指車輛本身信息安全，而是一個包含通信、云平臺和外部新興生態系統的整體生態安全防護，

58、同時安全防護需要長期進行，需要定期對整個生態做安全檢測以便發現潛在的風險。因此，智能網聯汽車安全防護技術可按照通用的“端”、“管”、“云”、新興的外部生態系統以及全生態安全檢測五個方面進行描述。車輛安全防護技術可信操作系統安全操作系統是智能網聯汽車的核心部件，同時也是整個汽車系統的大腦，所有的應用程序都在操作系統之上運行，操作系統向上承載應用、通信等應用功能，向下承接底層資源調用和管理。當前主流的智能網聯汽車操作系統分為兩個方向：非開源和開源。非開源操作系統完全由車廠自己開發，比如寶馬 iDrive。開源操作系統主要有 Android、QNX 和 Linux。當前大部分車廠采用的都是開源方案，

59、開源雖然能夠極大降低開發成本，但其自身安全風險不容小覷，如已知和未知漏洞風險、安全和健壯性的缺失以及缺乏對操作系統行為的監控等。盡管并不是所有車廠都有能力自主開發操作系統，但是考慮到智能網聯汽車的特殊性，在選擇并使用操作系統時除了要考慮成本、易用性、商業生態等方面因素外，還需要對安全性做特別關注。針對開源系統漏洞問題，除應收集已知所選操作系統版本漏洞列表外，還應該定期更新漏洞列表，同時擴大漏洞收集途徑，確保能夠及時了解各種26漏洞，確保在第一時間內發現、解決并更新所有已知漏洞。操作系統安全核心目標在于實現操作系統對系統資源調用的監控、保護、提醒，確保涉及安全的系統行為總是處于受控狀態下，不會出

60、現用戶在不知情情況下某種行為的執行或者用戶不可控行為的執行。同時，操作系統還要確保自身升級更新的受控性。而操作系統的健壯性則主要取決于操作系統源代碼，源代碼安全是整個操作系統健壯性以及安全性的根本。通過對操作系統源代碼靜態審計，可以快速發現代碼的潛在 BUG 以及安全漏洞，及時修正潛在 BUG 和漏洞一方面可提高代碼健壯性，另一方面也增加了操作系統的安全性。操作系統作為整個智能網聯汽車的核心部分復雜性不言而喻，所有文件、I/O、通信、數據之間的交互非常頻繁，因此需要確保每個行為可控和可管成為必然，監控全部應用、進程對所有資源的訪問并進行必要的訪問控制是安全可信操作系統所必須具備的。固件安全固件