文／王建 陳曉光 朱研 任翔

隨著相應(yīng)技術(shù)逐步趨于成熟，新四化在當(dāng)今汽車市場上蓬勃發(fā)展。業(yè)界對車聯(lián)網(wǎng)通信系統(tǒng)的相關(guān)技術(shù)標(biāo)準(zhǔn)仍存有爭論，例如車載以太網(wǎng)標(biāo)準(zhǔn)是否將取代CAN總線；無線技術(shù)采用LTE-V、5G，抑或是專用短程通信技術(shù)（DSRC）等。并且，在汽車新四化帶給大家便利的同時，也面臨著新的安全挑戰(zhàn)，諸如新能源汽車安全、V2X信息安全、出行服務(wù)云平臺安全等，引起行業(yè)內(nèi)的密切關(guān)注。本文將對車載以太網(wǎng)技術(shù)的發(fā)展趨勢、主要技術(shù)以及網(wǎng)絡(luò)安全、信息安全防護(hù)等方面進(jìn)行簡要的分析和探討。

如今，智能網(wǎng)聯(lián)汽車新功能不斷涌現(xiàn)，且日益復(fù)雜化，加之車聯(lián)網(wǎng)互 聯(lián)、V2X（Vehicle to X)和高寬帶的要求，需要更加開放、高速、安全且兼容性更高的車載網(wǎng)絡(luò)，車載以太網(wǎng)由此應(yīng)運(yùn)而生。車載以太網(wǎng)不僅支持不同應(yīng)用的多種協(xié)議，適應(yīng)未來發(fā)展的需要，還具備無線的功能。

隨著智能網(wǎng)聯(lián)汽車中的眾多應(yīng)用對高寬帶需求的不斷增長，促使車載網(wǎng)絡(luò)開始運(yùn)用以太網(wǎng)技術(shù)，同時也為智能網(wǎng)聯(lián)汽車帶來更大的網(wǎng)絡(luò)安全和信息安全的挑戰(zhàn)。

車載安全網(wǎng)關(guān)、防火墻、DPI（深度包解析）等技術(shù)的綜合應(yīng)用，將為車載以太網(wǎng)搭建安全的保護(hù)層，可以監(jiān)測網(wǎng)絡(luò)中的惡意行為，檢測攻擊并阻斷其對車輛造成危害的動作，從而提供行車的安全水平。

智能網(wǎng)聯(lián)汽車具有眾多控制單元，越是高級的智能網(wǎng)聯(lián)汽車，其控制單元的數(shù)量越多，控制系統(tǒng)也越復(fù)雜。每個控制單元就是一臺獨(dú)立的電腦，在接受信息的同時，對信息進(jìn)行處理、分析，然后下達(dá)指令。智能網(wǎng)聯(lián)汽車具備的功能，如高級信息娛樂系統(tǒng)、360度視頻監(jiān)控系統(tǒng)、智能通訊系統(tǒng)、自動泊車系統(tǒng)、車道偏離檢測系統(tǒng)、盲點(diǎn)檢測等，對數(shù)據(jù)總線的運(yùn)算處理能力都提出了嚴(yán)峻的挑戰(zhàn)。

當(dāng)前車內(nèi)網(wǎng)絡(luò)，主要是由CAN、LIN、FlexRay、MOST等構(gòu)成，同時，國際組織如IEEE、AVNU、AUTOSAR等也都在積極推動車載以太網(wǎng)的發(fā)展。傳統(tǒng)的車載網(wǎng)絡(luò)所支持的通信協(xié)議單一，而車載以太網(wǎng)同時支持AVB、TCP/IP、DOIP、SONIP等多種協(xié)議，增加的精確時鐘同步、帶寬預(yù)留協(xié)議，提升音視頻傳輸實(shí)時性；SOME/IP規(guī)定車載攝像頭的視頻通信要求，通過API的方式實(shí)現(xiàn)輔助駕駛攝像頭的控制；作為AVB協(xié)議的擴(kuò)展，車載時間敏感網(wǎng)絡(luò)，還支持高效的控制類信息數(shù)據(jù)傳輸；而G比特的傳輸速率，還支持對POE功能和高效節(jié)能功能。

智能網(wǎng)聯(lián)汽車新四化的應(yīng)用程度越來越高，智能網(wǎng)聯(lián)汽車可以視為“四個轱轆的移動電腦”，其網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全，以及互聯(lián)互通時管道安全的關(guān)注將與日俱增。車載以太網(wǎng)作為車內(nèi)的骨干網(wǎng)，將成為未來無人駕駛必要的網(wǎng)絡(luò)基礎(chǔ)，保護(hù)好車載以太網(wǎng)的網(wǎng)絡(luò)安全、信息安全，就是為未來的智能網(wǎng)聯(lián)汽車保駕護(hù)航。

隨著汽車新四化的發(fā)展，以及黑客滲透率的持續(xù)提升，新四化下的智能網(wǎng)聯(lián)汽車安全領(lǐng)域，將形成至少千億級的直接市場，還將間接影響數(shù)以萬億級的車聯(lián)網(wǎng)、自動駕駛、新能源車等智能網(wǎng)聯(lián)汽車的市場走向，新四化下智能網(wǎng)聯(lián)汽車的安全問題，將遠(yuǎn)遠(yuǎn)超越傳統(tǒng)概念的網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全領(lǐng)域的范疇。

以太網(wǎng)網(wǎng)絡(luò)安全防護(hù)：網(wǎng)絡(luò)層

從TBOX使用以太網(wǎng)通信協(xié)議連接到VGM-車內(nèi)ECU，以太網(wǎng)通信，使用CRC校驗(yàn)。防止攻擊者通過攔截控制指令，篡改并發(fā)送惡意的動作指令。

對外訪問時，車載安全網(wǎng)關(guān)具有過濾網(wǎng)絡(luò)惡意指令的能力，支持默認(rèn)的安全訪問策略，支持OTA遠(yuǎn)程升級訪問控制策略，還支持在遭受外部惡意網(wǎng)絡(luò)攻擊如流量攻擊，降低危害、災(zāi)難的能力，如采取主動降速行為，或關(guān)閉與外部連接的動作，保護(hù)車內(nèi)網(wǎng)絡(luò)的安全。

以太網(wǎng)網(wǎng)絡(luò)安全，應(yīng)能支持防止ARP攻擊的能力，采取綁定源通信APN的MAC IP、目標(biāo)智能網(wǎng)聯(lián)汽車IP的MAC地址，包含帶寬QOS限制功能、人工可調(diào)整帶寬、遠(yuǎn)程車聯(lián)網(wǎng)平臺帶寬限速等功能，還有主動防御黑客攻擊的安全策略。

以太網(wǎng)網(wǎng)絡(luò)通信APN安全：應(yīng)用層

網(wǎng)中的TBOX持雙APN的通道，應(yīng)支持對不同的APN的網(wǎng)絡(luò)管理，且支持網(wǎng)絡(luò)分離通信，如一個APN用于連接車聯(lián)網(wǎng)平臺的網(wǎng)絡(luò)通信，對數(shù)據(jù)進(jìn)行加密，對通信敏感信息進(jìn)行安全保障。另一個APN則供用戶娛樂，用于瀏覽網(wǎng)絡(luò)信息等，防止APN不同的通道共用，避免以太網(wǎng)通信遭受網(wǎng)絡(luò)攻擊的風(fēng)險。以太網(wǎng)支持使用VLAN功能，管理車內(nèi)網(wǎng)不同的APN通道，保障通信安全。

此外，保證車載以太網(wǎng)的信息安全、網(wǎng)絡(luò)安全，還應(yīng)該重點(diǎn)考慮以下幾點(diǎn)：

(1)安全的接口，使用一個安全的元素作為一個防篡改的信任錨。

(2)物理和電氣隔離的網(wǎng)絡(luò)，使用防火墻的中央網(wǎng)關(guān)。

(3)安全的網(wǎng)絡(luò)，具有安全的總線監(jiān)視和加密功能，用于消息認(rèn)證的發(fā)送器或微控制器，使用可信任的軟件在其中運(yùn)行保護(hù)環(huán)境。

網(wǎng)絡(luò)被劃分為多個子域，子域仍然容易受到攻擊，比如消息操縱等。保護(hù)子域的手段有添加消息身份驗(yàn)證方案，即每個消息都以a擴(kuò)展加密代碼來保證一個真實(shí)的發(fā)送者，它也被正確接收且無改變。

(4)加密。在內(nèi)部的不同的ECUs之間進(jìn)行交換，可以通過加密消息來避免數(shù)據(jù)泄露和身份竊取。

(5)入侵檢測。模式識別和規(guī)則檢查以檢測異常網(wǎng)絡(luò)流量，并在攻擊數(shù)據(jù)包到達(dá)之前阻止惡意的數(shù)據(jù)包，含消息速率的限制機(jī)制，以防拒絕服務(wù)的網(wǎng)絡(luò)攻擊。

(6)ECU級驗(yàn)證。網(wǎng)絡(luò)中的ECUs的真實(shí)性可以得到驗(yàn)證(例如，發(fā)動機(jī)啟動和定期啟動)。

考慮到智能網(wǎng)聯(lián)汽車車端的安全，增加硬件模塊作為網(wǎng)信安全分防護(hù)，勢在必行。

車載安全網(wǎng)關(guān)（含IDPS）

車載安全網(wǎng)關(guān)不僅作為車內(nèi)各子域間進(jìn)行信息交換的通道，同時承擔(dān)與車外進(jìn)行信息交換的角色，實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車與車聯(lián)網(wǎng)服務(wù)平臺之間的通信。由于車載安全網(wǎng)關(guān)有如此特殊的角色位置，因此其涉及到的安全問題，成為其基礎(chǔ)功能之外最為重要的延伸方向。

車載安全網(wǎng)關(guān)軟件實(shí)現(xiàn)完全依照國際上普遍認(rèn)可的智能網(wǎng)聯(lián)汽車開放系統(tǒng)架構(gòu)AUTOSAR（AUTomotive Open Source ARchitecture）進(jìn)行模塊化構(gòu)建。圍繞AUTOSAR軟件架構(gòu)中“基礎(chǔ)軟件”（BSW）層中的通信模塊進(jìn)行邏輯擴(kuò)展，配置使用其他一些管理及接口抽象模塊，整合實(shí)現(xiàn)網(wǎng)關(guān)的數(shù)據(jù)包協(xié)議轉(zhuǎn)換、調(diào)度路由等核心功能，三者進(jìn)行交互，完成車輛基礎(chǔ)通訊體系的立體監(jiān)控。

車載安全網(wǎng)關(guān)，以硬件形式提供，在車輛出廠前進(jìn)行集成，同時可選的提供ECU輔助探針安全開發(fā)包的接入及云端管控平臺搭建。其基礎(chǔ)功能是協(xié)議轉(zhuǎn)換和數(shù)據(jù)路由，數(shù)據(jù)調(diào)度及協(xié)議分析，對于報文數(shù)據(jù)在網(wǎng)關(guān)處的需要進(jìn)行解包、打包、排隊(duì)、調(diào)度、轉(zhuǎn)發(fā)等過程。這些基礎(chǔ)功能很大程度上依賴AUTOSAR軟件規(guī)范進(jìn)行模塊化生成。

AUTOSAR通信棧由通信驅(qū)動層、通信抽象層和通信服務(wù)層三個部分促成，其中通信服務(wù)層這一層的交互等同用數(shù)據(jù)單元主要是I-PDU（交互層數(shù)據(jù)單元）。通信棧整體結(jié)構(gòu)中的通信服務(wù)層是通信棧的最高層，是實(shí)現(xiàn)互聯(lián)的關(guān)鍵。

由于車載安全網(wǎng)關(guān)本身的屬性限制，它要負(fù)責(zé)處理多種不同子網(wǎng)協(xié)議數(shù)據(jù)的轉(zhuǎn)換及轉(zhuǎn)發(fā)，因此車載安全網(wǎng)關(guān)中的DPI檢測技術(shù)采用基于應(yīng)用層協(xié)議的方式來實(shí)現(xiàn)深度檢測。檢測引擎自身包括三個部件：協(xié)議解析器、算法引擎和檢測結(jié)果處理。

協(xié)議確認(rèn)是對協(xié)議進(jìn)行初期的識別、協(xié)議切分是在流的基礎(chǔ)上細(xì)分出“檢測流”或者“事物”的概念、協(xié)議域切分是對最小粒度上細(xì)分報文。將檢測流分成Header和Body部分，Header還要細(xì)分成各個Field，包含F(xiàn)ield Value和Field Data部分。協(xié)議域切分判別該頭域是否需要檢測，判定命中的特征是否與之所定義的吻合，并識別提取審計(jì)日志記錄的關(guān)鍵位置所在，解碼是協(xié)議解析器對協(xié)議域進(jìn)行解碼，獲取進(jìn)行分析的對象。

定義矩陣匹配：報文解析器對控制通道報文的解析，通過與預(yù)置的多種協(xié)議“定義矩陣”匹配來識別出當(dāng)前對象的合法性。

檢測引擎首先確定待檢測的協(xié)議類型，然后根據(jù)協(xié)議的幀格式進(jìn)一步抽取出其有效載荷部分，作為分析對象。針對分析對象，結(jié)合車型提供的基礎(chǔ)通訊協(xié)議內(nèi)容，劃分報文屬性（各種支持協(xié)議單獨(dú)劃分，形成“定義矩陣”），匹配判斷出細(xì)分域中內(nèi)容的有效性。協(xié)議分析完成后，通過算法引擎匹配、查找發(fā)現(xiàn)相關(guān)的檢測結(jié)果，下發(fā)到后續(xù)的動作模塊進(jìn)行處理。

同時，還需將CAN總線數(shù)據(jù)進(jìn)行過濾，CAN-BUS的數(shù)據(jù)幀中CAN-ID占據(jù)11位，數(shù)據(jù)段占據(jù)64位，再輔之增加黑/白名單過濾。

對于帶有數(shù)據(jù)段的CAN數(shù)據(jù)包，黑/白名單中允許設(shè)置性能閾值，進(jìn)行二次過濾，根據(jù)不同網(wǎng)聯(lián)車的車型，通過設(shè)置閾值的形式，建立不同的基礎(chǔ)性能基線，對超出或者低于標(biāo)準(zhǔn)基線規(guī)范范圍的操作行為進(jìn)行攔截和報警。提供一套完整的協(xié)議轉(zhuǎn)換工具，錄入車輛CAN數(shù)據(jù)協(xié)議，輸出具有標(biāo)準(zhǔn)格式的黑/白名單文件進(jìn)行存儲，對廣播在CAN總線上的非法數(shù)據(jù)進(jìn)行過濾。

輔助安全組件模塊化構(gòu)建

輔助安全組件包含ECU輔助探針和遠(yuǎn)程云端（SOC）。

ECU輔助探針。提供ECU固件功能開發(fā)包，該開發(fā)包輔助完成應(yīng)用該邏輯的ECU節(jié)點(diǎn)的故障狀態(tài)上傳，同時針對對外傳輸?shù)膱笪倪M(jìn)行身份標(biāo)示及加密處理。

深度包檢測（DPI）技術(shù)是一種基于應(yīng)用層的流量檢測和控制技術(shù)，當(dāng)協(xié)議數(shù)據(jù)包通過車載安全網(wǎng)關(guān)時，網(wǎng)關(guān)的基于DPI技術(shù)的帶寬管理模塊會深入讀取數(shù)據(jù)包有效載荷的內(nèi)容，來對OSI協(xié)議中的應(yīng)用層信息進(jìn)行重組，得到整個應(yīng)用程序的內(nèi)容，繼而按照預(yù)設(shè)的防御規(guī)則對該內(nèi)容進(jìn)行過濾。

表1 輔助安全組件模塊化構(gòu)建方式

SecOC從屬于AUTOSAR軟件規(guī)范中的Safety and Security部分，旨在為PDU（Protocol Data Unit）的關(guān)鍵數(shù)據(jù)提供有效可行的認(rèn)證機(jī)制。此認(rèn)證機(jī)制可以和當(dāng)前的AUTOSAR通信系統(tǒng)進(jìn)行無縫集成，作為一個附屬功能存在。

Authentic I-PDU是具備抵御未經(jīng)授權(quán)的操作和重放攻擊功能的 AUTOSAR I-PDU，Secured I-PDU是 由Authentic I-PDU、Authenticator（如MAC）、Freshness構(gòu)成，其中的Authenticator是由密鑰（Key），Secured I-PDU的數(shù)據(jù)標(biāo)識符（Data Id）、真實(shí)有效載荷（Authentic Payload）以及Freshness值，是經(jīng)過算法生成唯一的認(rèn)證數(shù)據(jù)字符串。Freshnes值是指用于確保Secured I-PDU（Interaction Layer Protocol Data Units）新鮮度的單調(diào)計(jì)數(shù)器，可以通過單個消息計(jì)數(shù)器或是時間戳來實(shí)現(xiàn)，即Freshness值可以是計(jì)數(shù)器值（Counter），也可以是時間戳（Timestamp）。

在發(fā)送端，SecOC模塊通過對Authentic I-PDU添加認(rèn)證信息來創(chuàng)建Secured I-PDU，認(rèn)證信息包括Authenticator（如MAC、Message Authentication Code）和Freshness值。

遠(yuǎn)程云端（SOC）。接受來自網(wǎng)關(guān)的基礎(chǔ)數(shù)據(jù)項(xiàng)，輔助運(yùn)維統(tǒng)計(jì)展示、攻擊行為態(tài)勢跟蹤展示、安全參數(shù)配置應(yīng)用、網(wǎng)關(guān)防御規(guī)則生成及下發(fā)、同時負(fù)責(zé)歷史日志的存儲管理。

遠(yuǎn)程云端是整個安全體系的大腦，能夠?qū)K端的安全數(shù)據(jù)及駕駛行為數(shù)據(jù)進(jìn)行存儲及運(yùn)算，因此平臺需要配套高效的日志管理邏輯。在終端，不同的IDPS進(jìn)行安全檢測，檢測后的日志數(shù)據(jù)統(tǒng)一發(fā)送到聚合器（aggregator IDPS）進(jìn)行某種格式的整合。整合后的數(shù)據(jù)不是主動傳輸給云端（SOC），而是在建立通道后，SOC通過輪詢的方式獲取數(shù)據(jù)。

針對上述的管理邏輯，還可以根據(jù)業(yè)務(wù)需求，進(jìn)行相應(yīng)的簡化，以得到更高的執(zhí)行效率。三方面的防御功能將檢測結(jié)果匯總到聚合器，聚合器按照協(xié)議格式整合后進(jìn)行本地緩存，然后生成“清單”，同時將真實(shí)的日志數(shù)據(jù)進(jìn)行分塊，定期發(fā)送到SOC。

結(jié)束語

智能網(wǎng)聯(lián)汽車元件的多元化，也意味著網(wǎng)絡(luò)模式的多元化，更易引起信息安全問題，因此智能網(wǎng)聯(lián)汽車信息安全的防護(hù)機(jī)制建立刻不容緩。其中，針對智能網(wǎng)聯(lián)汽車以太網(wǎng)的安全防護(hù)，需要具備對外訪問的過濾網(wǎng)絡(luò)惡意指令的能力，支持人工制定各種出入策略，支持默認(rèn)的安全訪問策略。在遭受外部惡意網(wǎng)絡(luò)攻擊時采取主動降速行為，或關(guān)閉與外部連接的動作，保護(hù)車內(nèi)網(wǎng)絡(luò)的安全、行車安全和人身安全。

在智能網(wǎng)聯(lián)汽車安全管理平臺上，監(jiān)控網(wǎng)絡(luò)通信流量，通過DPI技術(shù)檢測出異常的網(wǎng)絡(luò)通信流量，進(jìn)行日志統(tǒng)計(jì)、分析、審計(jì)供后續(xù)提升安全防范能力，建立防止黑客攻擊的安全策略，同時加強(qiáng)智能網(wǎng)聯(lián)汽車自身眾多ECU的安全防護(hù)。