智能網聯汽車是汽車與信息、通信等產業跨界融合的典型應用，被認為是全球創新熱點和未來產業發展制高點。隨著汽車智能化、網聯化程度的加深，人們實現了對汽車的更多控制，為生活帶來了各種便利，但隨之而來的遠程攻擊、惡意控制甚至入網車輛被操控等安全隱患也日益明顯，如何保障智能車輛安全，實現便捷性與安全性之間的矛盾成為汽車智能化發展的重要環節。

　　一、巨大發展潛力下的安全隱患

　　智能網聯汽車是搭載先進的車載傳感器、控制器、執行器等裝置，并融合現代通信與網絡技術，實現車與X(人、車、路、云端等)智能信息交換、共享，具備復雜環境感知、智能決策、協同控制等功能，可實現“安全、高效、舒適、節能”行駛，并最終可實現替代人來操作的新一代汽車，隨著技術的發展，智能化功能越來越豐富。

　　2018年1月，國家發改委發布的《智能汽車創新發展戰略》(征求意見稿)中提出，到2020年，智能汽車新車占比將達到50%。按照該戰略的規劃，汽車產品將由以往的機械化產品向智能化控制產品轉變;在應用層上，汽車將成為兼顧辦公、居家、娛樂的智能化移動空間。

　　智能汽車從規模到應用都極具潛力，但令人擔憂的是，車聯網功能的安全性問題也日益凸顯。2015年，兩名白帽黑客遠程入侵了一輛正在路上行駛的SUV汽車，并對其做出減速、關閉引擎、突然制動或者制動失靈等操控，該汽車公司為了防止汽車被黑客攻擊，在全球召回了140萬輛車并安裝了相應補丁。2016年，一家安全實驗室宣布他們以“遠程無物理接觸”的方式成功入侵了某著名電動汽車，從而對車輛的停車狀態和行進狀態進行遠程控制。黑客們實現了不用鑰匙打開了汽車車門，在行駛中突然打開后備箱、關閉后視鏡及突然剎車等遠程控制。2017年，一家網絡安全公司稱某汽車App存在漏洞，黑客能夠遠程啟動該公司的汽車，該公司證實了這個漏洞的存在。同年，軟件安全工程師Jay Turla對某品牌汽車展開了一項開源網絡攻擊項目，使得任何人都能利用一個U盤就對該品牌汽車執行惡意軟件代碼。不久前據英國廣播公司報道，國內一家網絡安全實驗室的研究顯示某著名汽車的電腦系統存在14處漏洞，黑客可利用這些漏洞在汽車行駛時取得部分控制權，可通過插入U盤、使用藍牙以及車輛自帶的3G/4G數據連接等方式控制汽車。甚至隨著技術的發展，如《速度與激情8》中，黑客通過入侵智能網聯汽車自動駕駛系統給控制上千輛無人汽車組成的“僵尸車”軍團也不再只是存在于熒幕的特效，更讓人不得不在享受到其舒適、便利的同時，加速對智能汽車信息安全問題的深入審視。

　　二、智能汽車安全保障勢在必行

　　智能網聯汽車信息安全可以分為內外兩套安全體系，分別是“端-管-云”的車外網絡信息安全和“車載端、車內網關-車內網絡、ECU節點”的車內網絡信息安全，隨著汽車智能化和網聯化的增長，內外體系的數據交互會逐漸增加。信息安全作為汽車的一個屬性，需要建立在汽車內部網絡架構的基礎上，安全保障體系也需要與智能網聯汽車應用同步部署。

　　2017年6正式施行的《中華人民共和國網絡安全法》要求智能網聯汽車制造廠商、車聯網運營商“采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。” 2017年12月，工信部、國家標準化管理委員會聯合發布《國家車聯網產業標準體系建設指南》(以下簡稱指南)，確定了智能網聯汽車的標準體系，其中就包括信息安全方面的通用規范類標準。今年3月，工信部裝備工業司發布《2018年智能網聯汽車標準化工作要點》工信部發布的工作要點共提及五項重點標準，“汽車信息安全標準”是其中之一。推進該標準制定的具體工作包括完成汽車信息安全通用技術、車載網關、信息交互系統、電動汽車遠程管理與服務、電動汽車充電等5項基礎通用標準的立項工作;啟動汽車信息安全風險評估、安全漏洞與應急響應、軟件升級及整車信息安全測試評價等4項國家標準項目的預研和立項。

　　根據《智能網聯汽車技術路線圖》，智能網聯汽車可分為智能化與網聯化兩個層面;智能網聯汽車通過智能化與網聯化兩條技術路徑協同實現“信息感知”和“決策控制”功能，產品物理結構功能安全和信息安全作為重要組成部分貫穿始終。

　　(一) 技術邏輯結構

　　智能網聯汽車技術邏輯的兩條主線是“信息感知”和“決策控制”，其發展的核心是由系統進行信息感知、決策預警和智能控制，逐漸替代駕駛員的駕駛任務，并最終完全自主執行全部駕駛任務(如圖1 所示)。

　　圖1 智能網聯汽車技術邏輯結構

　　(二) 產品物理結構

　　《國家車聯網產業標準體系建設指南》中確定了智能網聯汽車的標準體系，也明確了信息安全方面的通用規范類標準。

　　智能網聯汽車的產品物理結構是把技術邏輯結構所涉及的各種“信息感知”與“決策控制”功能落實到物理載體上。車輛控制系統、車載終端、交通設施、外接設備等按照不同的用途，通過不同的網絡通道、軟件或平臺對采集或接收到的信息進行傳輸、處理和執行，從而實現了不同的功能或應用。其中，產品物理結構功能安全和信息安全作為智能網聯汽車各類產品和應用需要普遍滿足的基本條件，貫穿于整個產品物理結構之中，是智能網聯汽車各類產品和應用實現安全、穩定、有序運行的可靠保障。

　　圖2 智能網聯汽車產品物理結構

　　(三) 相關標準體系

　　按照智能網聯汽車的技術邏輯結構、產品物理結構的構建方法，《國家車聯網產業標準體系建設指南》綜合不同的功能要求、產品和技術類型、各子系統間的信息流，將智能網聯汽車標準體系框架定義為“基礎”、“通用規范”、“產品與技術應用”、“相關標準”四個部分，形成14個子類。

　　在該標準體系中，功能安全標準側重于規范智能網聯汽車各主要功能節點及其下屬系統在安全性保障能力方面的要求，其主要目的是確保智能網聯汽車整體及子系統功能運行的可靠性，并在系統部分或全部發生失效后仍能最大程度地保證車輛安全運行;信息安全標準在遵從信息安全通用要求的基礎上，以保障車輛安全、穩定、可靠運行為核心，主要針對車輛及車載系統通信、數據、軟硬件安全，從整車、系統、關鍵節點以及車輛與外界接口等方面提出風險評估、安全防護與測試評價要求，防范對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。

　　三、智能網聯汽車信息安全風險分析

　　智能網聯汽車從架構上可分為四個不同的功能區，分別是基本控制功能區，如傳感單元、底盤系統等;擴展功能區，如遠程信息處理、信息娛樂管理、車體系統等;外部接口，譬如LTE-V、藍牙、WIFI等;以及手機、存儲器、各種診斷儀表、云服務等外部功能區。每個功能區對于安全的定義和需求都不相同，需要定義合理規范的系統架構，將不同功能區進行隔離，并對不同區域間的信息流轉進行嚴格的控制，包括接入身份認證和數據加密，來保證信息安全傳輸，從而達到智能駕駛功能的高可用性、便利性和保護用戶信息隱私的目的。根據分析研究，智能網聯汽車系統面臨的攻擊主要來自兩方面——內部攻擊和遠程攻擊。其中，內部攻擊主要由智能網聯自身缺陷引起，比如總線、網關、ECU等安全程度不夠所導致。未來智能網聯汽車面臨的信息安全威脅梳理為來自云端、通道、終端三個維度。

　　(一)終端層安全風險

　　1. T-BOX 安全風險

　　T-BOX(Telematics BOX)的網絡安全系數決定了汽車行駛和整個智能交通網絡的安全，是車聯網發展的核心技術之一，惡意攻擊者通過分析固件內部代碼能夠輕易獲取加密方法和密鑰，可實現對消息會話內容的破解。

　　2. IVI 安全風險

　　車載信息娛樂系統(In-Vehicle InfotainmentI)的高集成度使其所有接口都可能成為黑客的攻擊節點，因此IVI的被攻擊面將比其他任何車輛部件都多。

　　3. 終端升級安全風險

　　智能網聯汽車如不及時升級更新，就會由于潛在安全漏洞而遭受各方面(如4G、 USB、 SD 卡、 OBD 等渠道)的惡意攻擊，導致車主個人隱私泄露、車載軟件及數據被竊取或車輛控制系統遭受惡意攻擊等安全問題。

　　4. 車載OS 安全風險

　　車載電腦系統常采用嵌入式Linux、 QNX、 Android等作為操作系統，其代碼龐大且存在不同程度的安全漏洞，且車聯網應用系統復雜多樣，某一種特定的安全技術不能完全解決應用系統的所有安全問題。而智能終端還存在被入侵、控制的風險。

　　5. 移動App安全風險

　　對于沒有進行保護的App進行逆向分析挖掘，可直接看到TSP(遠程服務提供商)的接口、參數等信息。

　　(二)傳輸通道安全風險

　　1. 車載診斷系統接口

　　基于車載診斷系統接口(OBD)的攻擊現在的智能網聯汽車內部都會有十幾個到幾十個不等的ECU，不同ECU 控制不同的模塊。OBD 接口作為總線上的一個節點，不僅能監聽總線上面的消息，而且還能偽造消息(如傳感器消息)來欺騙ECU，從而達到改變汽車行為狀態的目的。

　　2. 車內無線傳感器安全風險

　　傳感器存在通訊信息被竊聽、被中斷、被注入等潛在威脅，甚至通過干擾傳感器通信設備還會造成無人駕駛汽車偏行、緊急停車等危險動作。

　　3. 車內網絡傳輸安全風險

　　汽車內部相對封閉的網絡環境看似安全，但其中存在很多可被攻擊的安全缺口，如胎壓監測系統、 Wi-Fi、藍牙等短距離通信設備等。

　　4. 車載終端架構安全風險

　　現在每輛智能網聯汽車基本上都裝有五六十個ECU 來實現移動互聯的不同功能，進入智能網聯汽車時代后， 其接收的數據不僅包含從云端下載的內容，還有可能接收到那些通過網絡連接端口植入的惡意軟件，因此大大增加了智能網聯汽車被“黑”的風險。

　　5. 網絡傳輸安全風險

　　“車-X”(人、車、路、互聯網等)通過Wi-Fi、移動通信網(2.5G/3G/4G等)、DSRC等無線通信手段與其它車輛、交通專網、互聯網等進行連接。網絡傳輸安全威脅指車聯網終端與網絡中心的雙向數據傳輸安全威脅。

　　(三) 云平臺安全威脅

　　目前大部分車聯網數據使用分布式技術進行存儲，主要面臨的安全威脅包括黑客對數據惡意竊取和篡改、敏感數據被非法訪問。

　　四、智能網聯汽車信息安全實踐

　　結合國家戰略指引、技術研究和實際案例分析，幾維安全對智能網聯汽車的云、管、端風險點和安全保障措施進行深度分析，推出了多維度基于底層算法的安全保障技術。

　　圖3 幾維安全基于智能網聯汽車云管端的信息安全防護

　　(一)APP防護

　　1. JAVA代碼反編譯防護

　　利用Android匯編語言的高強度Java2C技術進行Android APP的JAVA代碼進行保護。

　　2. SO虛擬化保護

　　利用幾維安全獨有KiwiVM代碼虛擬化保護對So核心代碼邏輯進行保護，保護關鍵協議代碼和通信模塊。

　　3. Android APK完整性保護

　　加固通過對APP安裝包所有文件內容做交叉校驗，并且做校驗數據及校驗代碼做加密保護，可以及時檢測到APP是否是原有官方版本，并阻止非官方版本啟動運行。

　　4. APP動態運行防護

　　加固提供的動態防御技術以反調試保護為基礎，同時針對關鍵函數及環節做監控，借助于輪詢查看，主動偵測等方法，保護移動APP在運行時的安全。

　　5. APP本地文件及數據加密保護

　　通過安全SDK在Android文件系統層實現的透明化數據加密機制，有效的對所有資源文件讀寫操作做保護。

　　(二)T-BOX防護

　　1. 固件協議代碼保護

　　利用MBS塊調度或KiwiVM代碼虛擬化保護技術進行固件協議模塊保護

　　2. 固件數據加密

　　通過幾維安全SDK對終端數據進行安全加密存儲，關鍵密鑰隱藏于KiwiVM虛擬機中。

　　3. 固件完整性校驗算法保護

　　對固件完整性校驗等關鍵算法進行MBS塊調度或KiwiVM代碼虛擬化保護，避免攻擊者繞過校驗邏輯。

　　(三)通信安全

　　1. 通信數據加密

　　使用基于KiwiVM代碼虛擬化保護技術的白盒密鑰sdk，密鑰隱藏于虛擬機中，隱藏算法逆向特征，使得密鑰無法提取及解密數據。

　　2. 通信數據校驗

　　通過幾維安全基于通信協議加密SDK的驗簽功能，通過hash函數生成簽名，通過KiwiVM隱藏算法特征和校驗過程。

　　五、小結

　　智能網聯汽車是汽車與信息、通信等產業跨界融合的重要載體和典型應用，是全球創新熱點和未來產業發展制高點，更是人們未來生活的一部分。作為智能網聯汽車發展的基石，信息安全保障與智能化應用同步部署必要性日益凸顯，便利、安全的兼顧還需共同持續努力。