隨著車聯(lián)網(wǎng)高速發(fā)展，汽車智能化、網(wǎng)聯(lián)化不斷加強，汽車信息安全面臨著全新的挑戰(zhàn)。如果汽車沒有得到更好的安全防護，受到的惡意攻擊可能增多。因此，打造更堅固的車載信息安全防護尤為重要。

那么，汽車信息安全都面臨哪些威脅與挑戰(zhàn)呢？提升汽車抗攻擊能力的安全防護技術有哪些呢？本文將帶你全面了解智能汽車信息安全。

另外，基于航芯車規(guī)級安全芯片和通用MCU的車載應用方案，將全方位筑牢汽車的安全防線，為車聯(lián)網(wǎng)信息安全保駕護航。

汽車安全概述

01. 被動安全

當事故發(fā)生時為保護車輛及人身安全所采取的措施，如設置安全帶、安全氣囊、保險杠等。

02. 主動安全

使汽車能夠主動采取措施，避免事故的發(fā)生。具體措施如碰撞預警、車身電子穩(wěn)定系統(tǒng)等。

03. 功能安全

當任一隨機故障、系統(tǒng)故障或共因失效都不會導致正常功能操作的失效。具體措施如軟硬件冗余、錯誤檢測等。

04. 信息安全

由于汽車網(wǎng)聯(lián)化導致的，外部威脅可以直接利用車內網(wǎng)絡的軟硬件脆弱性發(fā)起攻擊，進而導致車內敏感數(shù)據(jù)泄露，或引發(fā)功能安全失效最終導致嚴重的道路交通事故。

面臨的信息安全威脅

接下來，將重點介紹汽車應用場景中所面臨的信息安全威脅，共分為四大模塊：

?車載終端節(jié)點層安全威脅

? 網(wǎng)絡傳輸安全威脅

?云平臺安全威脅

?外部互聯(lián)生態(tài)安全威脅

01

車載終端節(jié)點層安全威脅

? 終端節(jié)點層安全威脅

? 車內網(wǎng)絡傳輸安全威脅

? 車載終端架構安全威脅

終端節(jié)點層安全威脅

01. T-BOX安全威脅

T-BOX（Telematics BOX，簡稱 T-BOX）在汽車內部扮“Modem”角色，實現(xiàn)車內網(wǎng)和車際網(wǎng)之間的通信，負責將數(shù)據(jù)發(fā)送到云服務器。T-BOX 是實現(xiàn)智能化交通管理、智能動態(tài)信息服務和車輛智能化控制不可或缺的部分。某種程度上來說，T-BOX 的網(wǎng)絡安全系數(shù)決定了汽車行駛和整個智能交通網(wǎng)絡的安全，是車聯(lián)網(wǎng)發(fā)展的核心技術之一。

常規(guī)條件下，汽車消息指令在 T-BOX 內部生成，并且在傳輸層面對指令進行加密處理，無法直接看到具體信息內容。但惡意攻擊者通過分析固件內部代碼能夠輕易獲取加密方法和密鑰，實現(xiàn)對消息會話內容的破解。從而對協(xié)議傳輸數(shù)據(jù)進行篡改，進而可以修改用戶指令或者發(fā)送偽造命令到 CAN 控制器中，實現(xiàn)對車輛的本地控制與遠程操控。

02. IVI 安全威脅

車載信息娛樂系統(tǒng)（In-Vehicle Infotainment，簡稱 IVI），是采用車載專用中央處理器，基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務形成的車載綜合信息娛樂系統(tǒng)。

攻擊者既可以借助軟件升級的特殊時期獲得訪問權限進入目標系統(tǒng)，也可以將 IVI從目標車上“拆”下來，分解 IVI 單元連接，通過對電路、接口進行逆向分析獲得內部源代碼。

2016 年寶馬車載娛樂系統(tǒng) ConnectedDrive 所曝出的遠程操控 0day 漏洞里，其中就包含會話漏洞，惡意攻擊者可以借助這個會話漏洞繞過 VIN（車輛識別號）會話驗證獲取另一用戶的 VIN，然后利用 VIN 接入訪問編輯其他用戶的汽車設置。

03. 終端升級安全威脅

智能網(wǎng)聯(lián)汽車需要通過 OTA 升級的方式來增強自身安全防護能力。但OTA 升級過程中也面臨著各種威脅風險，包括：

（1）升級過程中，篡改升級包控制系統(tǒng)，或者升級包被分析發(fā)現(xiàn)安全漏洞；

（2）傳輸過程中，升級包被劫持，實施中間人攻擊；

（3）生成過程中，云端服務器被攻擊，OTA 成為惡意軟件源頭。

另外 OTA 升級包還存在被提權控制系統(tǒng)、ROOT 設備等隱患。

因此車載終端對更新請求應具備自我檢查能力，應能夠及時聲明自己身份和權限，也就是對設備端合法性進行認證。同時，升級操作應能正確驗證服務器身份，識別出偽造服務器。升級包在傳輸過程中，應借助報文簽名和加密等措施防篡改、防偽造。如果升級失敗，系統(tǒng)要能夠自動回滾，以便恢復至升級前的狀態(tài)。

04. 車載 OS 安全威脅

車載電腦系統(tǒng)常采用嵌入式 Linux、QNX、Android等作為操作系統(tǒng)，由于操作系統(tǒng)代碼龐大且存在不同程度的安全漏洞，操作系統(tǒng)自身的安全脆弱性將直接導致業(yè)務應用系統(tǒng)的安全智能終端面臨被惡意入侵、控制的風險。

一些通用的應用程序如 Web Server 程序、FTP 服務程序、E-mail 服務程序、瀏覽器和 Office 辦公軟件等自身的安全漏洞及由于配置不當所造成的安全隱患都會導致車載網(wǎng)絡整體安全性下降。

智能終端還存在被入侵、控制的風險，一旦智能終端被植入惡意代碼，用戶在使用智能終端與車載系統(tǒng)互連時，智能終端里的惡意軟件就會利用車載電腦系統(tǒng)可能存在的安全漏洞，實施惡意代碼植入、攻擊或傳播，從而導致車載電腦系統(tǒng)異常甚至接管控制汽車。

05. 接入風險: 車載診斷系統(tǒng)接口(OBD)攻擊

OBD 接口是汽車 ECU 與外部進行交互的唯一接口，能夠讀取汽車 ECU 的信息，汽車的當前狀態(tài)，汽車的故障碼，對汽車預設置動作行為進行測試，比如車窗升降、引擎關閉等；除上述基本的診斷功能之外，還可能具備刷動力、里程表修改等復雜的特殊功能。

OBD 接口作為總線上的一個節(jié)點，不僅能監(jiān)聽總線上面的消息，而且還能偽造消息（如傳感器消息）來欺騙 ECU，從而達到改變汽車行為狀態(tài)的目的。通過在汽車 OBD 接口植入具有無線收發(fā)功能的惡意硬件，攻擊者可遠程向該硬件發(fā)送惡意 ECU 控制指令，強制讓處于高速行駛狀態(tài)下的車輛發(fā)動機熄火、惡意轉動方向盤等。

06. 車內無線傳感器安全威脅

智能網(wǎng)聯(lián)汽車為確保其便捷性和安全性，使用了大量傳感器網(wǎng)絡通信設備。但是傳感器也存在通訊信息被竊聽、被中斷、被注入等潛在威脅，甚至通過干擾傳感器通信設備還會造成無人駕駛汽車偏行、緊急停車等危險動作。

例如，汽車智能無鑰匙進入系統(tǒng)(PKE)，黑客可以通過尋找無線發(fā)射器信號規(guī)律、挖掘安全漏洞等方式著手，進行破解，最終達到非授權條件下的開門。2016 年就曾爆出黑客通過對 PKE 無線信號進行“錄制重放”的方法破解了特斯拉 Model S 車型的 PKE 系統(tǒng)。

智能網(wǎng)聯(lián)汽車也使用傳感器來檢測其他車輛和危險。主要依靠雷達、激光雷達、超聲波傳感器和視覺傳感器等檢測功能。這些傳感器可能會被卡住，干擾安全響應，如自動制動或欺騙以呈現(xiàn)不存在的物體，這可能會導致車輛不必要地轉向或制動。來自南卡羅來納大學、浙江大學和奇虎360的一組研究人員首次在特斯拉s型車靜止時演示了這些攻擊。2019年，騰訊Keen安全實驗室在另一款S型車行駛時誤導了該車。

車內網(wǎng)絡傳輸安全威脅

汽車內部相對封閉的網(wǎng)絡環(huán)境看似安全，但其中存在很多可被攻擊的安全缺口，如胎壓監(jiān)測系統(tǒng)、Wi-Fi、藍牙等短距離通信設備，如果只采用簡單校驗的安全措施則不能抵御攻擊者針對性的傳感器信息采集、攻擊報文構造、報文協(xié)議分析和報文重放等攻擊。

如果黑客攻入了車內網(wǎng)絡則可以任意控制 ECU，或者通過發(fā)送大量錯誤報文導致 CAN 總線失效，進而致使 ECU 失效。

車載終端架構安全威脅

現(xiàn)在每輛智能網(wǎng)聯(lián)汽車基本上都裝有五六十個 ECU 來實現(xiàn)移動互聯(lián)的不同功能，甚至是車與車之間的自由“交流”，操作系統(tǒng)生態(tài)數(shù)據(jù)的無縫交換等。因此，智能網(wǎng)聯(lián)汽車的信息安全需要考慮車載終端架構的安全問題。

傳統(tǒng)車載軟件僅需處理 ECU 通過傳感器或其他電控單元接收的數(shù)據(jù)即可。然而，ECU 設計之初并不具備檢測每個 CAN 上傳數(shù)據(jù)包的功能，進入智能網(wǎng)聯(lián)汽車時代后，其接收的數(shù)據(jù)不僅包含從云端下載的內容，還有可能接收到那些通過網(wǎng)絡連接端口植入的惡意軟件，因此大大增加了智能網(wǎng)聯(lián)汽車被“黑”的風險。

02

網(wǎng)絡傳輸安全威脅

01. 認證風險

沒有驗證發(fā)送者的身份信息、偽造身份、動態(tài)劫持等。

02. 傳輸風險

車輛信息沒有加密或強度不夠、密鑰信息暴露、所有車型使用相同的對稱密鑰。

03. 協(xié)議風險

通信流程偽裝，把一種協(xié)議偽裝成另一種協(xié)議。

另外，在自動駕駛情況下，汽車會按照 V2X 通信內容判斷行駛路線，攻擊者可以利用偽消息誘導車輛發(fā)生誤判，影響車輛自動控制，促發(fā)交通事故。

03

云平臺安全威脅

01. 數(shù)據(jù)的隱私性

通過智能終端 GID 或 OBD 設備采集上傳到云平臺中的數(shù)據(jù)，會涉及到車主車輛相關的私密數(shù)據(jù)，如何保證車云平臺存儲的用戶隱私信息不被泄露。

02. 數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是車聯(lián)網(wǎng)大數(shù)據(jù)研究的基礎，如何保證存儲在云端的用戶數(shù)據(jù)完整性不被破壞。

03. 數(shù)據(jù)的可恢復性

用戶對存儲在車云平臺的數(shù)據(jù)進行訪問時，服務商需要無差錯響應用戶的請求，如遇到安全攻擊事件，服務商如何保證出錯數(shù)據(jù)的可恢復性。

04

外部互聯(lián)生態(tài)安全威脅

01. 移動APP安全威脅

黑客對那些沒有進行保護的 App 進行逆向分析挖掘，就可以直接看到 TSP（遠程服務提供商）的接口、參數(shù)等信息。即使某些車輛遠程控制 App 采取了一定安全防護措施，但由于安全強度不夠，黑客只需具備一定的技術功底，仍然可以輕松發(fā)現(xiàn) App 內的核心內容，包括存放在 App 中的密鑰、重要控制接口等。

02.充電樁信息安全威脅

充電樁是電動汽車服務運營的重要基礎設施，其輸入端與交流電網(wǎng)直接連接，輸出端裝有充電插頭用于為電動汽車充電。由充電樁組成的網(wǎng)絡稱之為“樁聯(lián)網(wǎng)” 。在充電樁網(wǎng)絡中傳輸?shù)臄?shù)據(jù)信息可能遭到截獲、竊取、破譯、被動攻擊或者非法冒充、惡意篡改等惡意威脅，一旦黑客通過互聯(lián)網(wǎng)入侵到“樁聯(lián)網(wǎng)”，就可以控制充電樁的電壓，甚至可以隨意修改充電金額等數(shù)據(jù)。

如果攻擊者訪問電動汽車供電設備并將惡意充電控制器固件上傳至充電器和車輛，則電動汽車供電系統(tǒng)可能會在電動汽車充滿電后繼續(xù)向電動汽車提供能量，從而可能導致電動汽車牽引電池系統(tǒng)受損。通過訪問配置文件或充電樁與web服務器之間的通信，攻擊者還可以獲取個人信息，如計費歷史記錄和客戶身份。

網(wǎng)絡攻擊類型

? 惡意代碼、網(wǎng)絡釣魚

? 拒絕服務（DOS）、中間人攻擊

? 旁路攻擊、零日攻擊、密碼攻擊

? GPS/GNSS欺騙、傳感器欺騙

01

惡意代碼、網(wǎng)絡釣魚

01. 惡意代碼

惡意代碼可能會對系統(tǒng)的運行方式產(chǎn)生負面影響，損壞或竊取系統(tǒng)上的數(shù)據(jù)，或導致系統(tǒng)采取在其運行參數(shù)范圍內但有害的操作。惡意代碼可以通過各種方法安裝，從網(wǎng)絡釣魚攻擊到dropper攻擊。

02. 網(wǎng)絡釣魚

網(wǎng)絡釣魚攻擊是最常見的網(wǎng)絡攻擊類型之一，涉及誘騙用戶、公司員工或第三方組織的員工共享密碼、加密密鑰或其他旨在訪問給定計算機系統(tǒng)的信息。對于汽車，這可能涉及獲取用戶連接汽車服務帳戶的密碼。

02

拒絕服務（DOS）、中間人攻擊

01. 拒絕服務（DOS）

拒絕服務攻擊旨在使服務器大量流量，導致服務器崩潰，從而阻止它們與外部系統(tǒng)通信。這種類型的攻擊通常用于關閉公司的服務器，特別是在視頻游戲等其他行業(yè)，許多游戲要求玩家訪問公司的服務器才能玩。在汽車行業(yè)，這可能采取阻止公司與車輛通信的形式。

02. 中間人攻擊

中間人包括IP欺騙和重播攻擊。攻擊者攔截雙方之間的通信，然后可以改變消息/數(shù)據(jù)接收器接收的內容。這可能涉及IP欺騙，例如，車輛試圖連接到服務器，但請求被轉移到由攻擊者控制的惡意服務器。另一個例子是重放攻擊，其中有效消息被惡意重復或轉移。

03

旁路攻擊、零日攻擊、密碼攻擊

01. 旁路攻擊

旁路攻擊涉及使用從設備電子設備“泄露”的信息來發(fā)現(xiàn)弱點并加以利用。例如，測量車輛ECU的電磁輻射，以發(fā)現(xiàn)密碼密鑰，使攻擊者能夠解密接收和發(fā)送的消息/數(shù)據(jù)。

02. 零日攻擊

零日攻擊是針對給定系統(tǒng)中以前未知的漏洞的攻擊。

03. 密碼攻擊

這類攻擊通常涉及試圖“暴力破解”不同的可能密碼，以便正確生成正確的密碼并訪問系統(tǒng)。

04

GPS/GNSS欺騙、傳感器欺騙

01. GPS/GNSS欺騙

攻擊者可以使用專門的硬件來模擬GNSS信號，將偽GNSS信號感知到給定的接收器。這類攻擊主要會導致嵌入式導航系統(tǒng)和智能手機投影系統(tǒng)出現(xiàn)問題（即向用于導航的智能手機發(fā)送假信號）。

02. 傳感器欺騙

這種攻擊涉及使用攝像機和軟件向車輛顯示修改后的圖像（如標志），從而實現(xiàn)某種程度的自主操作。人們通常不會注意到對圖像的修改，但車載軟件會將其解釋為人類無法想象的意思。一個例子是對限速標志的修改，人類會看到并解釋為限速為每小時40公里，但車載系統(tǒng)會解釋為每小時100公里。

安全防護技術

? 車輛安全防護技術

? 網(wǎng)絡安全防護技術

? 云平臺安全防護技術

? 外部生態(tài)安全防護技術

01

車輛安全防護技術

01. 安全引導加載程序

相關ECU檢查引導加載程序的數(shù)字簽名和產(chǎn)品密鑰，以及其他操作系統(tǒng)文件的簽名，以確保這些組件未被修改。如果系統(tǒng)檢測到任何無效文件，將阻止它們運行。

02. 防篡改機制

使用傳感器檢測篡改（電壓或溫度傳感器），在檢測到物理漏洞時刪除加密密鑰，加固外殼（防止物理訪問），以及使用糾錯內存。

03. 旁道攻擊保護

通過隨機掩碼運算的密鑰以及隨機延遲來抵抗旁路攻擊；以及修改密碼協(xié)議以減少攻擊者可以從側通道攻擊中獲得的信息量。

04. 唯一設備ID

網(wǎng)絡上的每個ECU都有一個唯一的標識，存儲在設備上，以確保制造商知道每個設備的標識，并防止沒有已知/批準標識的設備訪問車輛網(wǎng)絡和相關系統(tǒng)。

05. 加密算法硬件加速

提供專用算法協(xié)處理器來處理加密相關任務，不僅可以加速算法性能，也能保證密鑰信息不容易泄漏，還可以將主機處理器騰時間出用于其他用途。

06. 固件安全

固件安全存儲，防止反匯編和逆向，固件安全升級。

07. 數(shù)據(jù)安全

數(shù)據(jù)的存儲安全，傳輸安全以及備份機制，尤其是密鑰數(shù)據(jù)的安全存儲和使用。

08. FOTA

需要通過數(shù)字簽名和認證機制確保升級包的完整性和合法性，通過通信加密保證整個升級包的傳輸安全，升級過程中還需時刻監(jiān)控升級進程，同時需要具備相應的固件回滾機制，保證即使升級失敗 ECU 也可恢復到原來狀態(tài)，通過雙重保護確保整個 ECU 升級過程的安全可靠。

09. 域隔離

域隔離就是使單個處理器能夠運行來自兩個不同“域”的代碼，“正常”域和“安全”域，分離功能。

10. 中央安全網(wǎng)關

實現(xiàn)域分離的另一種常見方法是使用網(wǎng)關模塊協(xié)調車輛不同域之間的數(shù)據(jù)流。中央安全網(wǎng)關可以在發(fā)動機艙系統(tǒng)的數(shù)據(jù)總線、內部總線、信息娛樂總線和診斷總線之間傳輸數(shù)據(jù)。當然，關鍵的安全特性是域的物理分離，以及使用網(wǎng)關上的安全軟件監(jiān)視和控制不同車輛系統(tǒng)的數(shù)據(jù)流向。

11. 可信操作系統(tǒng)安全

對操作系統(tǒng)源代碼靜態(tài)審計，能夠及時了解各種漏洞，確保在第一 時間內發(fā)現(xiàn)、解決并更新所有已知漏洞，監(jiān)控全部應用、進程對所有資源的訪問并進行必要的訪問控制。

02

網(wǎng)絡安全防護技術

01. 網(wǎng)絡傳輸安全

對傳輸數(shù)據(jù)進行加密，對傳輸信息實行安全保護策略，加強可信計算機的實施。

02. 網(wǎng)絡邊界安全

在車輛體系架構設計中，采用網(wǎng)絡分段和隔離技術。對不同網(wǎng)段（如車輛內部不同類型網(wǎng)絡，以及車輛與外部通信的移動通信網(wǎng)絡、Wi-Fi 等）進行邊界控制（如白名單、數(shù)據(jù)流向、數(shù)據(jù)內容等），對進入車輛內部控制總線的數(shù)據(jù)進行安全控制和安全監(jiān)測。

增加針對終端設備的認證機制，確保終端設備的可信性。

在車云網(wǎng)絡中，通過不同的安全通信子系統(tǒng)接入網(wǎng)絡外，還需要采用基于PKI 或者 IBC 的認證機制對車輛和云平臺進行雙向認證，確保雙方的合法性，從而保障整個信息接入與傳輸?shù)陌踩?/p>

03

云平臺安全防護技術

01. 云平臺安全

02. 云平臺可視化管理

將車輛內所有 ECU、固件、操作系統(tǒng)和應用的安全風險和威脅實時上報至廠商云平臺，將整個車輛的安全態(tài)勢呈現(xiàn)給用戶。

04

外部生態(tài)安全防護技術

01. 移動APP安全

在設計開發(fā)階段，從框架、業(yè)務、規(guī)范、核心功能模塊等維度進行統(tǒng)一安全設計；

發(fā)布階段，進行必要的加固處理，如反編譯、完整性保護、內存數(shù)據(jù)保護、本地數(shù)據(jù)保護、SO 庫保護、源代碼混淆等技術的綜合運用，保障移動 App 的安全性；

運維階段，需要對運行狀態(tài)進行監(jiān)控，及時發(fā)現(xiàn)解決各類漏洞事件，防止?jié)撛跇I(yè)務、資金和聲譽損失。

02. 智能充電樁安全

車內充電系統(tǒng)在通信前應具有身份鑒別機制，傳輸?shù)闹匾獢?shù)據(jù)應使用密文傳輸并采用完整性校驗機制以及防重放機制；

車內和充電樁存儲的數(shù)據(jù)需要加密存儲以及完整性校驗；

系統(tǒng)軟件啟動需進行完整性校驗，更新需要進行完整性認證（如數(shù)字簽名）。

航芯車載方案，全方位筑牢汽車安全防線

航芯車規(guī)級安全芯片及高性能MCU，有助于加速車聯(lián)網(wǎng)終端產(chǎn)品開發(fā)，提高汽車安全性。航芯憑借研發(fā)技術實力，也將成為更多車載領域客戶強而有力的合作伙伴。

01

車載T-BOX方案

汽車T-BOX可深度讀取汽車CAN總線數(shù)據(jù)和私有協(xié)議，采集汽車的總線數(shù)據(jù)和對私有協(xié)議的反向控制；同時可以通過GPS模塊對車輛位置進行定位，使用網(wǎng)絡模塊通過網(wǎng)絡將數(shù)據(jù)傳出到云服務器。

上海航芯ACL16系列芯片集成多種加密算法，通過車規(guī)AEC-Q100Grade1認證，為車聯(lián)網(wǎng)過程中的數(shù)據(jù)安全保駕護航。

T-BOX應用方案

航芯型號基本配置

02

車載ESAM（ETC）方案

上海航芯 OBE-SAM 產(chǎn)品是上海航芯自主開發(fā)的安全模塊，通過車規(guī)AEC-Q100 Grade1認證。主要應用于 ETC（不停車收費）系統(tǒng)，內嵌于車載設備 OBU 中。OBE-SAM安全模塊中保存了車輛相關信息，收費站出入口信息，以及交易記錄等等，模塊采用安全芯片作為載體，密鑰及敏感信息存放在安全芯片中，更加安全可靠。

ETC OBU結構圖

航芯型號基本配置

03

車載V2X方案

ACX200T面向5G車聯(lián)網(wǎng)C-V2X應用的安全芯片，滿足V2X場景下消息認證的專用安全芯片，該款芯片采用公司自主的高速硬件加密引擎，支持國家標準SM1、SM2、SM3、SM4密碼算法，同時支持國際ECDSA、AES、SHA-1密碼算法?？蓪崿F(xiàn)網(wǎng)聯(lián)汽車云端認證、安全數(shù)據(jù)通信、安全固件升級等需求，為車聯(lián)網(wǎng)提供信息安全保障。

V2X安全認證方案框圖

航芯型號與友商安全性能對比

04

車載數(shù)字鑰匙方案

01. 方案概述

汽車數(shù)字鑰匙方案，融合NFC、BLE、UWB等技術，內嵌eSE安全芯片，通過精準的藍牙或UWB定位、NFC等近場通信技術和更安全的鑰匙管理，將智能手機、NFC智能卡、智能手表、智能手環(huán)等可穿戴設備變成車鑰匙。

02. 方案特點

? BLE實現(xiàn)低功耗遠距離感知和交互通信，并喚醒UWB；

? UWB實現(xiàn)精確測距；

? NFC可作為手機沒電情況下的備用進入；

? eSE安全芯片支持國際、國密算法，兼容CCC3.0、ICCE、ICCOA，具備國密二級、AEC-Q100認證、CC EAL4+認證，保護敏感信息，實現(xiàn)安全加密。