基于車載以太網的智能網聯汽車網信安全防護技術研究

文／王建 陳曉光 朱研 任翔

隨著相應技術逐步趨于成熟，新四化在當今汽車市場上蓬勃發展。業界對車聯網通信系統的相關技術標準仍存有爭論，例如車載以太網標準是否將取代CAN總線；無線技術采用LTE-V、5G，抑或是專用短程通信技術（DSRC）等。并且，在汽車新四化帶給大家便利的同時，也面臨著新的安全挑戰，諸如新能源汽車安全、V2X信息安全、出行服務云平臺安全等，引起行業內的密切關注。本文將對車載以太網技術的發展趨勢、主要技術以及網絡安全、信息安全防護等方面進行簡要的分析和探討。

如今，智能網聯汽車新功能不斷涌現，且日益復雜化，加之車聯網互 聯、V2X（Vehicle to X)和高寬帶的要求，需要更加開放、高速、安全且兼容性更高的車載網絡，車載以太網由此應運而生。車載以太網不僅支持不同應用的多種協議，適應未來發展的需要，還具備無線的功能。

隨著智能網聯汽車中的眾多應用對高寬帶需求的不斷增長，促使車載網絡開始運用以太網技術，同時也為智能網聯汽車帶來更大的網絡安全和信息安全的挑戰。

車載安全網關、防火墻、DPI（深度包解析）等技術的綜合應用，將為車載以太網搭建安全的保護層，可以監測網絡中的惡意行為，檢測攻擊并阻斷其對車輛造成危害的動作，從而提供行車的安全水平。

智能網聯汽車具有眾多控制單元，越是高級的智能網聯汽車，其控制單元的數量越多，控制系統也越復雜。每個控制單元就是一臺獨立的電腦，在接受信息的同時，對信息進行處理、分析，然后下達指令。智能網聯汽車具備的功能，如高級信息娛樂系統、360度視頻監控系統、智能通訊系統、自動泊車系統、車道偏離檢測系統、盲點檢測等，對數據總線的運算處理能力都提出了嚴峻的挑戰。

當前車內網絡，主要是由CAN、LIN、FlexRay、MOST等構成，同時，國際組織如IEEE、AVNU、AUTOSAR等也都在積極推動車載以太網的發展。傳統的車載網絡所支持的通信協議單一，而車載以太網同時支持AVB、TCP/IP、DOIP、SONIP等多種協議，增加的精確時鐘同步、帶寬預留協議，提升音視頻傳輸實時性；SOME/IP規定車載攝像頭的視頻通信要求，通過API的方式實現輔助駕駛攝像頭的控制；作為AVB協議的擴展，車載時間敏感網絡，還支持高效的控制類信息數據傳輸；而G比特的傳輸速率，還支持對POE功能和高效節能功能。

智能網聯汽車新四化的應用程度越來越高，智能網聯汽車可以視為“四個轱轆的移動電腦”，其網絡安全、信息安全、數據安全，以及互聯互通時管道安全的關注將與日俱增。車載以太網作為車內的骨干網，將成為未來無人駕駛必要的網絡基礎，保護好車載以太網的網絡安全、信息安全，就是為未來的智能網聯汽車保駕護航。

隨著汽車新四化的發展，以及黑客滲透率的持續提升，新四化下的智能網聯汽車安全領域，將形成至少千億級的直接市場，還將間接影響數以萬億級的車聯網、自動駕駛、新能源車等智能網聯汽車的市場走向，新四化下智能網聯汽車的安全問題，將遠遠超越傳統概念的網絡安全、信息安全、數據安全領域的范疇。

以太網網絡安全防護：網絡層

從TBOX使用以太網通信協議連接到VGM-車內ECU，以太網通信，使用CRC校驗。防止攻擊者通過攔截控制指令，篡改并發送惡意的動作指令。

對外訪問時，車載安全網關具有過濾網絡惡意指令的能力，支持默認的安全訪問策略，支持OTA遠程升級訪問控制策略，還支持在遭受外部惡意網絡攻擊如流量攻擊，降低危害、災難的能力，如采取主動降速行為，或關閉與外部連接的動作，保護車內網絡的安全。

以太網網絡安全，應能支持防止ARP攻擊的能力，采取綁定源通信APN的MAC IP、目標智能網聯汽車IP的MAC地址，包含帶寬QOS限制功能、人工可調整帶寬、遠程車聯網平臺帶寬限速等功能，還有主動防御黑客攻擊的安全策略。

以太網網絡通信APN安全：應用層

網中的TBOX持雙APN的通道，應支持對不同的APN的網絡管理，且支持網絡分離通信，如一個APN用于連接車聯網平臺的網絡通信，對數據進行加密，對通信敏感信息進行安全保障。另一個APN則供用戶娛樂，用于瀏覽網絡信息等，防止APN不同的通道共用，避免以太網通信遭受網絡攻擊的風險。以太網支持使用VLAN功能，管理車內網不同的APN通道，保障通信安全。

此外，保證車載以太網的信息安全、網絡安全，還應該重點考慮以下幾點：

(1)安全的接口，使用一個安全的元素作為一個防篡改的信任錨。

(2)物理和電氣隔離的網絡，使用防火墻的中央網關。

(3)安全的網絡，具有安全的總線監視和加密功能，用于消息認證的發送器或微控制器，使用可信任的軟件在其中運行保護環境。

網絡被劃分為多個子域，子域仍然容易受到攻擊，比如消息操縱等。保護子域的手段有添加消息身份驗證方案，即每個消息都以a擴展加密代碼來保證一個真實的發送者，它也被正確接收且無改變。

(4)加密。在內部的不同的ECUs之間進行交換，可以通過加密消息來避免數據泄露和身份竊取。

(5)入侵檢測。模式識別和規則檢查以檢測異常網絡流量，并在攻擊數據包到達之前阻止惡意的數據包，含消息速率的限制機制，以防拒絕服務的網絡攻擊。

(6)ECU級驗證。網絡中的ECUs的真實性可以得到驗證(例如，發動機啟動和定期啟動)。

考慮到智能網聯汽車車端的安全，增加硬件模塊作為網信安全分防護，勢在必行。

車載安全網關（含IDPS）

車載安全網關不僅作為車內各子域間進行信息交換的通道，同時承擔與車外進行信息交換的角色，實現智能網聯汽車與車聯網服務平臺之間的通信。由于車載安全網關有如此特殊的角色位置，因此其涉及到的安全問題，成為其基礎功能之外最為重要的延伸方向。

車載安全網關軟件實現完全依照國際上普遍認可的智能網聯汽車開放系統架構AUTOSAR（AUTomotive Open Source ARchitecture）進行模塊化構建。圍繞AUTOSAR軟件架構中“基礎軟件”（BSW）層中的通信模塊進行邏輯擴展，配置使用其他一些管理及接口抽象模塊，整合實現網關的數據包協議轉換、調度路由等核心功能，三者進行交互，完成車輛基礎通訊體系的立體監控。

車載安全網關，以硬件形式提供，在車輛出廠前進行集成，同時可選的提供ECU輔助探針安全開發包的接入及云端管控平臺搭建。其基礎功能是協議轉換和數據路由，數據調度及協議分析，對于報文數據在網關處的需要進行解包、打包、排隊、調度、轉發等過程。這些基礎功能很大程度上依賴AUTOSAR軟件規范進行模塊化生成。

AUTOSAR通信棧由通信驅動層、通信抽象層和通信服務層三個部分促成，其中通信服務層這一層的交互等同用數據單元主要是I-PDU（交互層數據單元）。通信棧整體結構中的通信服務層是通信棧的最高層，是實現互聯的關鍵。

由于車載安全網關本身的屬性限制，它要負責處理多種不同子網協議數據的轉換及轉發，因此車載安全網關中的DPI檢測技術采用基于應用層協議的方式來實現深度檢測。檢測引擎自身包括三個部件：協議解析器、算法引擎和檢測結果處理。

協議確認是對協議進行初期的識別、協議切分是在流的基礎上細分出“檢測流”或者“事物”的概念、協議域切分是對最小粒度上細分報文。將檢測流分成Header和Body部分，Header還要細分成各個Field，包含Field Value和Field Data部分。協議域切分判別該頭域是否需要檢測，判定命中的特征是否與之所定義的吻合，并識別提取審計日志記錄的關鍵位置所在，解碼是協議解析器對協議域進行解碼，獲取進行分析的對象。

定義矩陣匹配：報文解析器對控制通道報文的解析，通過與預置的多種協議“定義矩陣”匹配來識別出當前對象的合法性。

檢測引擎首先確定待檢測的協議類型，然后根據協議的幀格式進一步抽取出其有效載荷部分，作為分析對象。針對分析對象，結合車型提供的基礎通訊協議內容，劃分報文屬性（各種支持協議單獨劃分，形成“定義矩陣”），匹配判斷出細分域中內容的有效性。協議分析完成后，通過算法引擎匹配、查找發現相關的檢測結果，下發到后續的動作模塊進行處理。

同時，還需將CAN總線數據進行過濾，CAN-BUS的數據幀中CAN-ID占據11位，數據段占據64位，再輔之增加黑/白名單過濾。

對于帶有數據段的CAN數據包，黑/白名單中允許設置性能閾值，進行二次過濾，根據不同網聯車的車型，通過設置閾值的形式，建立不同的基礎性能基線，對超出或者低于標準基線規范范圍的操作行為進行攔截和報警。提供一套完整的協議轉換工具，錄入車輛CAN數據協議，輸出具有標準格式的黑/白名單文件進行存儲，對廣播在CAN總線上的非法數據進行過濾。

輔助安全組件模塊化構建

輔助安全組件包含ECU輔助探針和遠程云端（SOC）。

ECU輔助探針。提供ECU固件功能開發包，該開發包輔助完成應用該邏輯的ECU節點的故障狀態上傳，同時針對對外傳輸的報文進行身份標示及加密處理。

深度包檢測（DPI）技術是一種基于應用層的流量檢測和控制技術，當協議數據包通過車載安全網關時，網關的基于DPI技術的帶寬管理模塊會深入讀取數據包有效載荷的內容，來對OSI協議中的應用層信息進行重組，得到整個應用程序的內容，繼而按照預設的防御規則對該內容進行過濾。

表1 輔助安全組件模塊化構建方式

SecOC從屬于AUTOSAR軟件規范中的Safety and Security部分，旨在為PDU（Protocol Data Unit）的關鍵數據提供有效可行的認證機制。此認證機制可以和當前的AUTOSAR通信系統進行無縫集成，作為一個附屬功能存在。

Authentic I-PDU是具備抵御未經授權的操作和重放攻擊功能的 AUTOSAR I-PDU，Secured I-PDU是 由Authentic I-PDU、Authenticator（如MAC）、Freshness構成，其中的Authenticator是由密鑰（Key），Secured I-PDU的數據標識符（Data Id）、真實有效載荷（Authentic Payload）以及Freshness值，是經過算法生成唯一的認證數據字符串。Freshnes值是指用于確保Secured I-PDU（Interaction Layer Protocol Data Units）新鮮度的單調計數器，可以通過單個消息計數器或是時間戳來實現，即Freshness值可以是計數器值（Counter），也可以是時間戳（Timestamp）。

在發送端，SecOC模塊通過對Authentic I-PDU添加認證信息來創建Secured I-PDU，認證信息包括Authenticator（如MAC、Message Authentication Code）和Freshness值。

遠程云端（SOC）。接受來自網關的基礎數據項，輔助運維統計展示、攻擊行為態勢跟蹤展示、安全參數配置應用、網關防御規則生成及下發、同時負責歷史日志的存儲管理。

遠程云端是整個安全體系的大腦，能夠對終端的安全數據及駕駛行為數據進行存儲及運算，因此平臺需要配套高效的日志管理邏輯。在終端，不同的IDPS進行安全檢測，檢測后的日志數據統一發送到聚合器（aggregator IDPS）進行某種格式的整合。整合后的數據不是主動傳輸給云端（SOC），而是在建立通道后，SOC通過輪詢的方式獲取數據。

針對上述的管理邏輯，還可以根據業務需求，進行相應的簡化，以得到更高的執行效率。三方面的防御功能將檢測結果匯總到聚合器，聚合器按照協議格式整合后進行本地緩存，然后生成“清單”，同時將真實的日志數據進行分塊，定期發送到SOC。

結束語

智能網聯汽車元件的多元化，也意味著網絡模式的多元化，更易引起信息安全問題，因此智能網聯汽車信息安全的防護機制建立刻不容緩。其中，針對智能網聯汽車以太網的安全防護，需要具備對外訪問的過濾網絡惡意指令的能力，支持人工制定各種出入策略，支持默認的安全訪問策略。在遭受外部惡意網絡攻擊時采取主動降速行為，或關閉與外部連接的動作，保護車內網絡的安全、行車安全和人身安全。

在智能網聯汽車安全管理平臺上，監控網絡通信流量，通過DPI技術檢測出異常的網絡通信流量，進行日志統計、分析、審計供后續提升安全防范能力，建立防止黑客攻擊的安全策略，同時加強智能網聯汽車自身眾多ECU的安全防護。