隨著車聯網高速發展，汽車智能化、網聯化不斷加強，汽車信息安全面臨著全新的挑戰。如果汽車沒有得到更好的安全防護，受到的惡意攻擊可能增多。因此，打造更堅固的車載信息安全防護尤為重要。

那么，汽車信息安全都面臨哪些威脅與挑戰呢？提升汽車抗攻擊能力的安全防護技術有哪些呢？本文將帶你全面了解智能汽車信息安全。

另外，基于航芯車規級安全芯片和通用MCU的車載應用方案，將全方位筑牢汽車的安全防線，為車聯網信息安全保駕護航。

汽車安全概述

1. 被動安全

當事故發生時為保護車輛及人身安全所采取的措施，如設置安全帶、安全氣囊、保險杠等。

2. 主動安全

使汽車能夠主動采取措施，避免事故的發生。具體措施如碰撞預警、車身電子穩定系統等。

3. 功能安全

當任一隨機故障、系統故障或共因失效都不會導致正常功能操作的失效。具體措施如軟硬件冗余、錯誤檢測等。

4. 信息安全

由于汽車網聯化導致的，外部威脅可以直接利用車內網絡的軟硬件脆弱性發起攻擊，進而導致車內敏感數據泄露，或引發功能安全失效最終導致嚴重的道路交通事故。

面臨的信息安全威脅

接下來，將重點介紹汽車應用場景中所面臨的信息安全威脅，共分為四大模塊：

? 車載終端節點層安全威脅

? 網絡傳輸安全威脅

? 云平臺安全威脅

? 外部互聯生態安全威脅

車載終端節點層安全威脅

?終端節點層安全威脅

?車內網絡傳輸安全威脅

?車載終端架構安全威脅

終端節點層安全威脅
1. T-BOX安全威脅

T-BOX（Telematics BOX，簡稱 T-BOX）在汽車內部扮“Modem”角色，實現車內網和車際網之間的通信，負責將數據發送到云服務器。T-BOX 是實現智能化交通管理、智能動態信息服務和車輛智能化控制不可或缺的部分。某種程度上來說，T-BOX 的網絡安全系數決定了汽車行駛和整個智能交通網絡的安全，是車聯網發展的核心技術之一。

常規條件下，汽車消息指令在 T-BOX 內部生成，并且在傳輸層面對指令進行加密處理，無法直接看到具體信息內容。但惡意攻擊者通過分析固件內部代碼能夠輕易獲取加密方法和密鑰，實現對消息會話內容的破解。從而對協議傳輸數據進行篡改，進而可以修改用戶指令或者發送偽造命令到 CAN 控制器中，實現對車輛的本地控制與遠程操控。

2. IVI 安全威脅

車載信息娛樂系統（In-Vehicle Infotainment，簡稱 IVI），是采用車載專用中央處理器，基于車身總線系統和互聯網服務形成的車載綜合信息娛樂系統。

攻擊者既可以借助軟件升級的特殊時期獲得訪問權限進入目標系統，也可以將 IVI從目標車上“拆”下來，分解 IVI 單元連接，通過對電路、接口進行逆向分析獲得內部源代碼。

2016 年寶馬車載娛樂系統 ConnectedDrive 所曝出的遠程操控 0day 漏洞里，其中就包含會話漏洞，惡意攻擊者可以借助這個會話漏洞繞過 VIN（車輛識別號）會話驗證獲取另一用戶的 VIN，然后利用 VIN 接入訪問編輯其他用戶的汽車設置。

3. 終端升級安全威脅

智能網聯汽車需要通過 OTA 升級的方式來增強自身安全防護能力。但OTA 升級過程中也面臨著各種威脅風險，包括：

（1）升級過程中，篡改升級包控制系統，或者升級包被分析發現安全漏洞；

（2）傳輸過程中，升級包被劫持，實施中間人攻擊；

（3）生成過程中，云端服務器被攻擊，OTA 成為惡意軟件源頭。

另外 OTA 升級包還存在被提權控制系統、ROOT 設備等隱患。

因此車載終端對更新請求應具備自我檢查能力，應能夠及時聲明自己身份和權限，也就是對設備端合法性進行認證。同時，升級操作應能正確驗證服務器身份，識別出偽造服務器。升級包在傳輸過程中，應借助報文簽名和加密等措施防篡改、防偽造。如果升級失敗，系統要能夠自動回滾，以便恢復至升級前的狀態。

4. 車載 OS 安全威脅

車載電腦系統常采用嵌入式 Linux、QNX、Android等作為操作系統，由于操作系統代碼龐大且存在不同程度的安全漏洞，操作系統自身的安全脆弱性將直接導致業務應用系統的安全智能終端面臨被惡意入侵、控制的風險。

一些通用的應用程序如 Web Server 程序、FTP 服務程序、E-mail 服務程序、瀏覽器和 Office 辦公軟件等自身的安全漏洞及由于配置不當所造成的安全隱患都會導致車載網絡整體安全性下降。

智能終端還存在被入侵、控制的風險，一旦智能終端被植入惡意代碼，用戶在使用智能終端與車載系統互連時，智能終端里的惡意軟件就會利用車載電腦系統可能存在的安全漏洞，實施惡意代碼植入、攻擊或傳播，從而導致車載電腦系統異常甚至接管控制汽車。

5. 接入風險: 車載診斷系統接口(OBD)攻擊

OBD 接口是汽車 ECU 與外部進行交互的唯一接口，能夠讀取汽車 ECU 的信息，汽車的當前狀態，汽車的故障碼，對汽車預設置動作行為進行測試，比如車窗升降、引擎關閉等；除上述基本的診斷功能之外，還可能具備刷動力、里程表修改等復雜的特殊功能。

OBD 接口作為總線上的一個節點，不僅能監聽總線上面的消息，而且還能偽造消息（如傳感器消息）來欺騙 ECU，從而達到改變汽車行為狀態的目的。通過在汽車 OBD 接口植入具有無線收發功能的惡意硬件，攻擊者可遠程向該硬件發送惡意 ECU 控制指令，強制讓處于高速行駛狀態下的車輛發動機熄火、惡意轉動方向盤等。

6. 車內無線傳感器安全威脅

智能網聯汽車為確保其便捷性和安全性，使用了大量傳感器網絡通信設備。但是傳感器也存在通訊信息被竊聽、被中斷、被注入等潛在威脅，甚至通過干擾傳感器通信設備還會造成無人駕駛汽車偏行、緊急停車等危險動作。

例如，汽車智能無鑰匙進入系統(PKE)，黑客可以通過尋找無線發射器信號規律、挖掘安全漏洞等方式著手，進行破解，最終達到非授權條件下的開門。2016 年就曾爆出黑客通過對 PKE 無線信號進行“錄制重放”的方法破解了特斯拉 Model S 車型的 PKE 系統。

智能網聯汽車也使用傳感器來檢測其他車輛和危險。主要依靠雷達、激光雷達、超聲波傳感器和視覺傳感器等檢測功能。這些傳感器可能會被卡住，干擾安全響應，如自動制動或欺騙以呈現不存在的物體，這可能會導致車輛不必要地轉向或制動。來自南卡羅來納大學、浙江大學和奇虎360的一組研究人員首次在特斯拉s型車靜止時演示了這些攻擊。2019年，騰訊Keen安全實驗室在另一款S型車行駛時誤導了該車。

車內網絡傳輸安全威脅

汽車內部相對封閉的網絡環境看似安全，但其中存在很多可被攻擊的安全缺口，如胎壓監測系統、Wi-Fi、藍牙等短距離通信設備，如果只采用簡單校驗的安全措施則不能抵御攻擊者針對性的傳感器信息采集、攻擊報文構造、報文協議分析和報文重放等攻擊。

如果黑客攻入了車內網絡則可以任意控制 ECU，或者通過發送大量錯誤報文導致 CAN 總線失效，進而致使 ECU 失效。

車載終端架構安全威脅

現在每輛智能網聯汽車基本上都裝有五六十個 ECU 來實現移動互聯的不同功能，甚至是車與車之間的自由“交流”，操作系統生態數據的無縫交換等。因此，智能網聯汽車的信息安全需要考慮車載終端架構的安全問題。

傳統車載軟件僅需處理 ECU 通過傳感器或其他電控單元接收的數據即可。然而，ECU 設計之初并不具備檢測每個 CAN 上傳數據包的功能，進入智能網聯汽車時代后，其接收的數據不僅包含從云端下載的內容，還有可能接收到那些通過網絡連接端口植入的惡意軟件，因此大大增加了智能網聯汽車被“黑”的風險。

網絡傳輸安全威脅

1. 認證風險

沒有驗證發送者的身份信息、偽造身份、動態劫持等。

2. 傳輸風險

車輛信息沒有加密或強度不夠、密鑰信息暴露、所有車型使用相同的對稱密鑰。

3. 協議風險

通信流程偽裝，把一種協議偽裝成另一種協議。

另外，在自動駕駛情況下，汽車會按照 V2X 通信內容判斷行駛路線，攻擊者可以利用偽消息誘導車輛發生誤判，影響車輛自動控制，促發交通事故。

云平臺安全威脅

1. 數據的隱私性

通過智能終端 GID 或 OBD 設備采集上傳到云平臺中的數據，會涉及到車主車輛相關的私密數據，如何保證車云平臺存儲的用戶隱私信息不被泄露。

2. 數據的完整性

數據的完整性是車聯網大數據研究的基礎，如何保證存儲在云端的用戶數據完整性不被破壞。

3. 數據的可恢復性

用戶對存儲在車云平臺的數據進行訪問時，服務商需要無差錯響應用戶的請求，如遇到安全攻擊事件，服務商如何保證出錯數據的可恢復性。

外部互聯生態安全威脅

1. 移動APP安全威脅

黑客對那些沒有進行保護的 App 進行逆向分析挖掘，就可以直接看到 TSP（遠程服務提供商）的接口、參數等信息。即使某些車輛遠程控制 App 采取了一定安全防護措施，但由于安全強度不夠，黑客只需具備一定的技術功底，仍然可以輕松發現 App 內的核心內容，包括存放在 App 中的密鑰、重要控制接口等。

2. 充電樁信息安全威脅

充電樁是電動汽車服務運營的重要基礎設施，其輸入端與交流電網直接連接，輸出端裝有充電插頭用于為電動汽車充電。由充電樁組成的網絡稱之為“樁聯網” 。在充電樁網絡中傳輸的數據信息可能遭到截獲、竊取、破譯、被動攻擊或者非法冒充、惡意篡改等惡意威脅，一旦黑客通過互聯網入侵到“樁聯網”，就可以控制充電樁的電壓，甚至可以隨意修改充電金額等數據。

如果攻擊者訪問電動汽車供電設備并將惡意充電控制器固件上傳至充電器和車輛，則電動汽車供電系統可能會在電動汽車充滿電后繼續向電動汽車提供能量，從而可能導致電動汽車牽引電池系統受損。通過訪問配置文件或充電樁與web服務器之間的通信，攻擊者還可以獲取個人信息，如計費歷史記錄和客戶身份。

網絡攻擊類型

?惡意代碼、網絡釣魚

?拒絕服務（DOS）、中間人攻擊

?旁路攻擊、零日攻擊、密碼攻擊

?GPS/GNSS欺騙、傳感器欺騙

惡意代碼、網絡釣魚

1. 惡意代碼

惡意代碼可能會對系統的運行方式產生負面影響，損壞或竊取系統上的數據，或導致系統采取在其運行參數范圍內但有害的操作。惡意代碼可以通過各種方法安裝，從網絡釣魚攻擊到dropper攻擊。

2. 網絡釣魚

網絡釣魚攻擊是最常見的網絡攻擊類型之一，涉及誘騙用戶、公司員工或第三方組織的員工共享密碼、加密密鑰或其他旨在訪問給定計算機系統的信息。對于汽車，這可能涉及獲取用戶連接汽車服務帳戶的密碼。

拒絕服務（DOS）、中間人攻擊

1. 拒絕服務（DOS）

拒絕服務攻擊旨在使服務器大量流量，導致服務器崩潰，從而阻止它們與外部系統通信。這種類型的攻擊通常用于關閉公司的服務器，特別是在視頻游戲等其他行業，許多游戲要求玩家訪問公司的服務器才能玩。在汽車行業，這可能采取阻止公司與車輛通信的形式。

2. 中間人攻擊

中間人包括IP欺騙和重播攻擊。攻擊者攔截雙方之間的通信，然后可以改變消息/數據接收器接收的內容。這可能涉及IP欺騙，例如，車輛試圖連接到服務器，但請求被轉移到由攻擊者控制的惡意服務器。另一個例子是重放攻擊，其中有效消息被惡意重復或轉移。

旁路攻擊、零日攻擊、密碼攻擊

1. 旁路攻擊

旁路攻擊涉及使用從設備電子設備“泄露”的信息來發現弱點并加以利用。例如，測量車輛ECU的電磁輻射，以發現密碼密鑰，使攻擊者能夠解密接收和發送的消息/數據。

2. 零日攻擊

零日攻擊是針對給定系統中以前未知的漏洞的攻擊。

3. 密碼攻擊

這類攻擊通常涉及試圖“暴力破解”不同的可能密碼，以便正確生成正確的密碼并訪問系統。

GPS/GNSS欺騙、傳感器欺騙

1. GPS/GNSS欺騙

攻擊者可以使用專門的硬件來模擬GNSS信號，將偽GNSS信號感知到給定的接收器。這類攻擊主要會導致嵌入式導航系統和智能手機投影系統出現問題（即向用于導航的智能手機發送假信號）。

2. 傳感器欺騙

這種攻擊涉及使用攝像機和軟件向車輛顯示修改后的圖像（如標志），從而實現某種程度的自主操作。人們通常不會注意到對圖像的修改，但車載軟件會將其解釋為人類無法想象的意思。一個例子是對限速標志的修改，人類會看到并解釋為限速為每小時40公里，但車載系統會解釋為每小時100公里。

安全防護技術

?車輛安全防護技術

?網絡安全防護技術

?云平臺安全防護技術

?外部生態安全防護技術

車輛安全防護技術

1. 安全引導加載程序

相關ECU檢查引導加載程序的數字簽名和產品密鑰，以及其他操作系統文件的簽名，以確保這些組件未被修改。如果系統檢測到任何無效文件，將阻止它們運行。

2. 防篡改機制

使用傳感器檢測篡改（電壓或溫度傳感器），在檢測到物理漏洞時刪除加密密鑰，加固外殼（防止物理訪問），以及使用糾錯內存。

3. 旁道攻擊保護

通過隨機掩碼運算的密鑰以及隨機延遲來抵抗旁路攻擊；以及修改密碼協議以減少攻擊者可以從側通道攻擊中獲得的信息量。

4. 唯一設備ID

網絡上的每個ECU都有一個唯一的標識，存儲在設備上，以確保制造商知道每個設備的標識，并防止沒有已知/批準標識的設備訪問車輛網絡和相關系統。

5. 加密算法硬件加速

提供專用算法協處理器來處理加密相關任務，不僅可以加速算法性能，也能保證密鑰信息不容易泄漏，還可以將主機處理器騰時間出用于其他用途。

6. 固件安全

固件安全存儲，防止反匯編和逆向，固件安全升級。

7. 數據安全

數據的存儲安全，傳輸安全以及備份機制，尤其是密鑰數據的安全存儲和使用。

8. FOTA

需要通過數字簽名和認證機制確保升級包的完整性和合法性，通過通信加密保證整個升級包的傳輸安全，升級過程中還需時刻監控升級進程，同時需要具備相應的固件回滾機制，保證即使升級失敗 ECU 也可恢復到原來狀態，通過雙重保護確保整個 ECU 升級過程的安全可靠。

9. 域隔離

域隔離就是使單個處理器能夠運行來自兩個不同“域”的代碼，“正常”域和“安全”域，分離功能。

10. 中央安全網關

實現域分離的另一種常見方法是使用網關模塊協調車輛不同域之間的數據流。中央安全網關可以在發動機艙系統的數據總線、內部總線、信息娛樂總線和診斷總線之間傳輸數據。當然，關鍵的安全特性是域的物理分離，以及使用網關上的安全軟件監視和控制不同車輛系統的數據流向。

11. 可信操作系統安全

對操作系統源代碼靜態審計，能夠及時了解各種漏洞，確保在第一 時間內發現、解決并更新所有已知漏洞，監控全部應用、進程對所有資源的訪問并進行必要的訪問控制。

網絡安全防護技術

1. 網絡傳輸安全

對傳輸數據進行加密，對傳輸信息實行安全保護策略，加強可信計算機的實施。

2. 網絡邊界安全

在車輛體系架構設計中，采用網絡分段和隔離技術。對不同網段（如車輛內部不同類型網絡，以及車輛與外部通信的移動通信網絡、Wi-Fi 等）進行邊界控制（如白名單、數據流向、數據內容等），對進入車輛內部控制總線的數據進行安全控制和安全監測。

增加針對終端設備的認證機制，確保終端設備的可信性。

在車云網絡中，通過不同的安全通信子系統接入網絡外，還需要采用基于PKI 或者 IBC 的認證機制對車輛和云平臺進行雙向認證，確保雙方的合法性，從而保障整個信息接入與傳輸的安全。

云平臺安全防護技術

1. 云平臺安全

2. 云平臺可視化管理

將車輛內所有 ECU、固件、操作系統和應用的安全風險和威脅實時上報至廠商云平臺，將整個車輛的安全態勢呈現給用戶。

外部生態安全防護技術

1. 移動APP安全

在設計開發階段，從框架、業務、規范、核心功能模塊等維度進行統一安全設計；

發布階段，進行必要的加固處理，如反編譯、完整性保護、內存數據保護、本地數據保護、SO 庫保護、源代碼混淆等技術的綜合運用，保障移動 App 的安全性；

運維階段，需要對運行狀態進行監控，及時發現解決各類漏洞事件，防止潛在業務、資金和聲譽損失。

2. 智能充電樁安全

車內充電系統在通信前應具有身份鑒別機制，傳輸的重要數據應使用密文傳輸并采用完整性校驗機制以及防重放機制；

車內和充電樁存儲的數據需要加密存儲以及完整性校驗；

系統軟件啟動需進行完整性校驗，更新需要進行完整性認證（如數字簽名）。

航芯車載方案，全方位筑牢汽車安全防線

航芯車規級安全芯片及高性能MCU，有助于加速車聯網終端產品開發，提高汽車安全性。航芯憑借研發技術實力，也將成為更多車載領域客戶強而有力的合作伙伴。

車載T-BOX方案

汽車T-BOX可深度讀取汽車CAN總線數據和私有協議，采集汽車的總線數據和對私有協議的反向控制；同時可以通過GPS模塊對車輛位置進行定位，使用網絡模塊通過網絡將數據傳出到云服務器。

上海航芯ACL16系列芯片集成多種加密算法，通過車規AEC-Q100Grade1認證，為車聯網過程中的數據安全保駕護航。

T-BOX應用方案

航芯型號基本配置

車載ESAM（ETC）方案

上海航芯 OBE-SAM 產品是上海航芯自主開發的安全模塊，通過車規AEC-Q100 Grade1認證。主要應用于 ETC（不停車收費）系統，內嵌于車載設備 OBU 中。OBE-SAM安全模塊中保存了車輛相關信息，收費站出入口信息，以及交易記錄等等，模塊采用安全芯片作為載體，密鑰及敏感信息存放在安全芯片中，更加安全可靠。

ETC OBU結構圖

航芯型號基本配置

車載V2X方案

ACX200T面向5G車聯網C-V2X應用的安全芯片，滿足V2X場景下消息認證的專用安全芯片，該款芯片采用公司自主的高速硬件加密引擎，支持國家標準SM1、SM2、SM3、SM4密碼算法，同時支持國際ECDSA、AES、SHA-1密碼算法。可實現網聯汽車云端認證、安全數據通信、安全固件升級等需求，為車聯網提供信息安全保障。

V2X安全認證方案框圖

航芯型號與友商安全性能對比

車載數字鑰匙方案

1. 方案概述

汽車數字鑰匙方案，融合NFC、BLE、UWB等技術，內嵌eSE安全芯片，通過精準的藍牙或UWB定位、NFC等近場通信技術和更安全的鑰匙管理，將智能手機、NFC智能卡、智能手表、智能手環等可穿戴設備變成車鑰匙。

2. 方案特點

? BLE實現低功耗遠距離感知和交互通信，并喚醒UWB；

? UWB實現精確測距；

? NFC可作為手機沒電情況下的備用進入；

? eSE安全芯片支持國際、國密算法，兼容CCC3.0、ICCE、ICCOA，具備國密二級、AEC-Q100認證、CC EAL4+認證，保護敏感信息，實現安全加密。

審核編輯黃宇