本文由金星辰、方沂、徐征联合创作
摘要
汽车电子电气架构从分布式控制向集成控制方向过渡,逐步采用域控制器。然而,传统主机制造商开发域控制器并不是一蹴而就的,而是在现有平台和供应商系统中逐步升级开发。本文主要讨论传统燃油汽车 E/E 架构向域控制和主干网方向演变的技术路线。
目前,智能化、网络化、电气化是汽车发展的大趋势。各大汽车企业积极与互联网公司合作,共同开启云端新时代。与此同时,智能网络汽车攻击事件频发,使得汽车网络信息安全问题日益突出。梅赛德斯-奔驰汽车公司针对汽车网络信息安全问题 2017 年便与 360 360集团建立了合作关系 集团智能网联汽车安全实验室 Sky-Go 该团队发现梅赛德斯-奔驰智能网络汽车存在 19 并修复一个安全漏洞。在 2018 在比亚迪全球开发者大会上, 比亚迪与 360 集团正式签署战略合作协议,讨论解决智能汽车信息安全和网络安全问题。Ju 研究了以太网在汽车车载网络和未来汽车电子电气网络中的应用(E/E)预期系统结构。 Wampler 等针对CAN 总线提出了相应的一般安全解决方案。Lee 通过对汽车的攻击实验,验证了汽车的网络脆弱性和建立安全解决方案的紧迫性。Chen 参照传统信息系统分类安全防护评价标准,建立了车辆信息系统分类安全防护评价系统。Haas 利用人工神经网络建立联网汽车入侵检测模型,实现攻击数据的过滤。以上研究均针对汽车网络信息安全,但智能网络汽车系统网络信息安全防护方案尚未提出。本文从汽车网络信息安全的角度,提出了一种完整的汽车网络通信安全架构方案,通过构建多域分层入侵检测模型,实现预防检测预警的安全保护体系。
如今,智能网络汽车的功能越来越丰富,相应的电子控制单元(electronic control unit,ECU)数量也随之增加,然后是云和第三方 APP 远程通信等信息交互也在增加,这也增加了使用云和第三方软件攻击的可能性。若采用传统汽车分布式电子电气架构,数量过多 ECU 它不仅会产生复杂的线束设计和逻辑控制问题,还会给汽车网络信息安全带来隐患。这些问题的出现表明,现代汽车分布式电子电气架构需要改革。美国汽车工程师学会推出 J3061TM《信息物理集成系统网络安全指南》旨在通过统一全球标准,促进汽车电气系统与其他互联系统之间安全过程的建立。本文参照《车辆传统系统功能安全标准》 ISO定义26262的流程,制定如图所示的车辆信息安全架构图 1 所示。
图 1 车辆信息安全架构图
车辆信息安全架构主要由信息安全管理、核心信息安全工程活动和支持过程组成 3 大部分构成。信息安全管理包括生命周期各阶段的综合管理和信息安全管理。核心信息安全工程活动包括了概念阶段,整车系统、软硬件层面的开发阶段及生产运营阶段等。在概念阶段制定整个安全项目计划,包括识别网络安全边界、系统外部依赖、系统潜在威胁分析和评估。在开发阶段,分析整车系统的脆弱性和威胁性,制定信息安全需求和策略,在开发阶段完成后进行渗透测试,完成最终的安全审计。生产经营阶段主要对产品进行现场监控、事件响应和后续时间跟踪管理。支持过程阶段主要辅助支持上述阶段,包括相应的配置管理、文档管理和供应链 管理等。
如图所示 2 所示。系统开发设计阶段是实现车辆信息安全的基础,车辆信息安全系统设计依附于汽车电子电气架构(electronics/ electrical,E/E)系统设计。因此,应调查汽车网络信息安全漏洞,包括与外部环境(如云服务器、其他车辆和基础设施)、与车载网络的连接 ECU 层次连接和单个组件连接,构建更高的安全层次 E/E 从系统层面提高系统安全性。在测试阶段,对车辆信息安全功能进行检查和测试,进行安全评估,验证车辆信息安全架构的安全性。在整体车辆信息安全开发过程中,要协调开发硬件设计和软件设计,考虑软硬件的安全可靠性,共同实现网络安全。
图 2 车辆信息安全开发框架图
以特斯拉汽车为例,分析汽车 E/E 架构方案。作为汽车,特斯拉汽车 E/E 架构变革的带头人,Model 3 电子电气架构分为 3 大部分:中央计算模块:(CCM)、左车身控制模块(BCM_LH) 右车身控制模块(BCM_RH)。CCM 驾驶辅助系统的直接集成(ADAS) 以及信息娱乐系统(IVI)2 大功能域,包括对外通信和车内系统域通信;BCM_LH 和 BCM_RH 负责车身及便利系统、底盘及安全系统及部分动力系统的功能。三大模块均采用高性能处理器,能满足功能域内大量计算需求,域内其余部分 ECU 仅控制车辆外围设备,域内各系统通过局域网通信, 通过总线通信模块,实现基本的安全隔离。
汽车集中电子电气架构的出现为信息安全和计算能力不足提供了解决方案。汽车域集中式电子电气架构是指根据功能将汽车划分为多个功能块,每个功能块由域控制器主导。根据不同功能的通信速率要求,可以使用不同类型的通信总线,如 CAN、LIN、FLEXRAY、MOST 通过传输速度较高的以太网实现信息交换等总线,集中所示 3 所示。域控制器主要负责传输域与云、域与域及域内的通信。域控制器主要负责传输域与云、域与域及域内的通信。 ECU 使用具有通信功能的控制器,只负责相应执行器件的操作说明。
图 3 集中式电子电气架构图
根据我国国情,智能网络汽车集中电子电气架构结合智能、网络、电气化 3 大部分应用。
与以往的汽车分布式电子电气架构相比,域控制器作为每个域的独立控制器,内部需要匹配核心计算能力强的处理器,以满足智能网络汽车对计算能力的要求。目前,该行业有 NVIDIA、华为、瑞萨、NXP、TI、Mobileye、赛灵思、地平线等多个品牌方案。在安全保护方面,域集中架构根据功能和通信速率要求将车辆分为多个独立功能模块。如果攻击者想通过某个功能攻击车辆,该功能的域控制器可以及时监控和消除隐患,不会影响其他功能域,有效降低攻击面扩大的可能性。
随着车辆连接功能的大幅扩展,导航定位、自动停车、远程控制和诊断逐渐成为汽车的标准。这些功能给人们带来了极大的便利,但也带来了更多的安全风险。
智能网络汽车的安全隐患根据不同的攻击方式可分为以下几类: 4 个方面:
(1)云层的安全风险。云平台存储汽车关键信息,可为汽车提供道路状况信息、定位导航、报警、远程控制等。如果云平台受到黑客攻击,大量重要数据泄露,后果不堪设想。
(2)网络传输层的安全风险。智能网络汽车通过无线通信实现云平台和移动终端 APP、其他车辆、交通状况等数据的信息交互,无线通信模式可能存在身份认证、数据信息加密、协议等安全问题,因此车辆也存在相应的安全风险。
(3)车载通信层的安全风险。随着车辆外部接口的增加,电子控制单元固件和数据传输过程中的安全风险也增加了。
(4)外部接口安全隐患。目前市场上有很多第三方。 APP,APP 安全防护也是消除隐患的重要组成部分。如果黑客入侵 APP,它甚至可以直接远程控制汽车。此外,电动汽车充电枪与充电桩之间的通信接口也存在安全风险。一旦发生攻击,电动汽车的能源系统就会损坏,这可能会带来生命危险。
(1)车载智能终端(车载 T-BOX)攻击
车载 T-BOX 主要用于车辆与车联网服务平台的通信,具有车辆远程控制、远程查询、报警等功能。正常情况下,车载 T-BOX 读取车载内部 CAN 通信数据信息,通过无线通信将信息传输到云平台或 APP。车载 T-BOX 主要有安全隐患 3 一是固件逆向,攻击者逆向分析车载 T-BOX 固件,获取密钥,解密通信协议;二是通过车载 T-BOX 读取内部数据并分析预留调试接口,解密通信协议; 第三,通过假云平台的控制指令,将指令发送到汽车内部,实现汽车的远程控制。
(2)车载信息娱乐系统(IVI)攻击
导航、路况广播、车辆信息、通信、辅助驾驶等车载信息娱乐系统CD/收音机等的应用。因为车载信 利息娱乐系统功能丰富,攻击者可以通过 USB、蓝牙、Wi-Fi 通击等通信方式,也可以通过软件升级获得访问权限攻击系统。
(3)诊断接口 OBD-Ⅱ攻击
汽车诊断接口 OBD-Ⅱ是汽车 ECU 与外部交互的接口的主要功能是读取车辆的数据信息和故障码进行车辆维修。OBD-Ⅱ一旦界面受到攻击,不仅可以通过界面破解汽车内部通信协议,还可以破解 通过植入恶意硬件发送控制指令来控制车辆。
(4)传感器攻击
智能网联汽车拥有大量的传感器设备,用于车与车、车与人、车与路、车与云的通信。如果传感器遭受恶意信息注入、窃听等攻击,高自动化车辆可能会无法正确判断周围环境行为,造成严重后果。
(5)车内网络传输攻击
汽车内部网络通信多采用 CAN 总线传输,CAN总线具有成本低、通信速度适中、抗电磁干扰能力强等特点,广泛应用于汽车电控系统。 CAN 总线采用非破坏性总线仲裁方式,具有验证简单、多读、安全防护措施薄弱等特点。 CAN 总线报文重、拒绝服务、篡改等方式进行攻击, 将导致驾驶员控制指令失效、汽车无法正常行驶的后果。
在智能网联汽车信息安全防护方面,根据攻击发生的不同过程,分别建立主动防护、入侵监测、应急处理的系统安全防护措施,保障汽车的信息安全。在攻击发生前,做好主动防护,对汽车的通信数据进行筛查过滤,对常见的攻击方法有效防范。攻击发生后,持续监测汽车通信状态的变化,及时对攻击点采取应急措施并及时更新,防止危险的发生。
根据目前对汽车信息安全技术适用性模型的分析,结合全新的汽车域集中式电子电气架构,构建车载多域分层入侵检测模型,针对云端层、域控制器层、ECU 层、车内网络传输层进行分层入侵检测,采取对应的主动防护措施,以达到精准防护的效果。多域分层入侵检测示意如图 4 所示。
图 4 多域分层入侵检测示意图
(1)域控制器层
新架构方案中,域控制器既是整个域的计算集成平台,也是域与域、域与云端之间进行信息交流的网关。域控制器作为汽车内外网络信息交互的安全边界,是汽车车载网络安全防护的重点。因此,在安全边 界建立安全防火墙,对数据信息进行安全检测、访问限制、日志记录等安全性检测,以实现安全防护。
汽车的通信报文由 ID、数据信息、校验位等部分组成。ID 确定报文的传输优先级和目的地址,数据信息确定操作指令,校验位确保传输的数据信息完整。
安全防火墙的主要作用是实现访问控制功能,汽车安全防火墙框架图如图 5 所示。
图 5 安全防火墙框架图
防火墙访问控制功能的实现主要基于建立汽车通信报文的白名单数据库,一旦检测到报文请求,将报文 ID 与白名单数据库进行比对,匹配成功则通过,失败则丢弃。
防火墙的异常检测技术有多种,常见的检测技术包括入侵异常检测方法,基于神经网络、聚类、遗传算法,基于信息熵、关联规则等。入侵异常检测方法主要通过对大量正常行驶的汽车的通信数据进行分析,构建汽车通信网络安全模型,并用该模型监视用户及系统的行为,分析是否存在异常的非法数据活动,并向用户报警记录。汽车报文分为周期报文和事件触发报文,入侵异常检测技术可以根据不同情况建立模型。周期报文是通过设定报文周期阈值构建入侵检测模型,将报文周期与阈值对比进行判定;事件触发报文没有固定的发送周期,但多数报文的操作指令相互关联,如汽车的车速信号与刹车信号存在负相关关系,油门踏板信号与车信号存在正相关关系。因此, 通过大量的数据分析构建通信报文正/负相关入侵检测模型,一旦报文关联出现较大的偏差,则判定为入侵行为并报警。由于汽车车载芯片的计算能力不足以同时实现安全性与实时性的最大化,因此现采用的入侵检测的方法需要在保证实时性的基础上,对入侵进行有效检测,目前针对汽车车载报文流量监测是最为有效的办法。安全防火墙中访问控制、通信标准检测、异常分析的入侵检测流程如 6 所示。
图 6 入侵检测流程
(2)车内网络层
每个域内网络传输安全是安全防护机制的第二道防线。根据功能域所需要的通信要求的不同,采用的车载传输网络也有所不同。目前,除了信息娱乐系统以外,大都采用 CAN 总线通信。CAN 总线的广播特性、非破坏性总线仲裁方式等导致安全防护薄弱,因此需要制定通信安全协议。
通信安全协议的设计主要由 ECU 节点的校验和传输数据信息的加密 2 部分组成。在汽车行驶前,域控制器随机分配每个 ECU 的身份,ECU 要向域控制器发送认证请求,进行身份认证,从而保证节点的合法性,完成 ECU 节点的校验。汽车行驶过程中,车载网络的通信信息需要加密,以防攻击者窃听、伪装。结合汽车对实时性要求高的特点,数据加密采用 AES 对称加密算法。ECU 身份认证流程如图 7 所示,CAN 通信加密报文格式如图 8 所示。
图 7 ECU 身份认证流程
图 8 CAN 通信加密报文格式
对称加密计算量小、速度快,适用于汽车大数据通信。对称加密算法中,加密方和解密方事先都必须知道加密的密钥,发送和接收双方都使用该密钥对数据进 行加密和解密。基于对汽车数据的安全性和实时性的 要求,可以根据已校验成功的 ECU ID 以及数据发送 ECU 和接收 ECU,建立独立的加密表作为密钥对数据进行加密,并根据对汽车实时性的验证,相应调整加密表的加密难易度,最大化地保证数据的安全。
(3)ECU 层
ECU 层面的安全防护主要是固件防护,实现防止固件刷写、外界访问、恶意更改等功能。考虑到成本问题,根据不同功能的 ECU 需分配不同等级的安全防护措施。硬件安全模块是一种用于保护和管理强认证系统所使用的密钥,并同时提供相关密码学操作的计算机硬件设备。车身域 ECU 采用轻量级硬件安全模块,动力域 ECU、信息娱乐域 ECU、辅助驾驶域均采用中量级硬件安全模块,而车身域控制器、动力域控制器、信息娱乐域控制器和辅助驾驶域控制器均采用重量级硬件安全模块。
5 结语
本文从智能网联汽车的发展出发,聚焦了智能网联汽车的信息安全隐患问题,对汽车车载网络信息安全的防护进行了分析,建立汽车域集中式电子电气架构,提出了从防护到入侵检测、从数据加密到硬件加密的完整信息安全防护模型的初步可行性方案架构,未来仍需通过实例对方案进行更进一步的论证。