智能网联汽车信息安全安全白皮书-

1、PAGE2智能网联汽车信息安全白皮书（2016）顾问委员会主 任李 骏委 员张进华 李克强 公维洁 李 斌 阚志刚谢 飞 王 兆 李红建 刘法旺 陈晓东编写委员会主 任王云鹏委 员余贵珍 卢佐华 秦洪懋 吴新开 罗璎珞 刘 丁 彭建芬李 磊 叶林华 刘建行 许 庆 胡满江 孙海鹏 冀浩杰王朋成 周云水前 言自从 1886 年第一辆汽车诞生以来，便捷性与安全性之间的矛盾就在愈演愈烈。2015 年 7 月，“白帽黑客”查理米勒(Charlie Miller)和克里斯瓦拉塞克(Chris Valasek)演示了如何通过入侵克莱斯勒公司 Uconnect 车载系统，以远程指令方式“劫持”正在行驶中的

2、Jeep 自由光，并最终导致其“翻车”。一连串对智能网联汽车的攻击破解，使得人们对其安全性画上了一个大大的问号。而在 2017 年上映的速度与激情 8里，黑客通过入侵智能网联汽车自动驾驶系统，控制上千辆无人汽车组成了一支庞大的“僵尸车”军团，其超强的破坏能力不仅令人印象深刻，更加速了人们对于智能网联汽车信息安全问题的深入审视。早在 2015 年国务院印发的中国制造 2025里，就已经将无人驾驶汽车作为汽车产业未来转型升级的重要方向之一，“十三五”规划中更是提出要积极发展智能网联汽车的目标。2017 年 4 月，由工业和信息化部、国家发展和改革委员会、科技部联合印发的汽车产业中长期发展规划中，明

3、确提出到 2020 年，要培育形成若干家进入世界前十的新能源汽车企业，智能网联汽车与国际同步发展；到2025 年，新能源汽车骨干企业在全球的影响力和市场份额进一步提升，智能网联汽车进入世界先进行列。有调查数据显示，2015 年中国乘用车销量达 2114.6 万台，预计到 2020 年销量将达 2773.3 万台。2015 年中国智能驾驶乘用车渗透率为 15%，预计到 2019 年这一数据将上升至 50%。而 2015 年中国智能驾驶的市场规模已经达到 353 亿元人民币，预计到 2020 年中国智能驾驶市场规模将超过千亿人民币大关。智能网联汽车的未来发展态势十分明确，那么如何才能解决日益凸显的

4、便捷性与安全性之间的矛盾就显得极为重要了。作为物联网重要节点之一的智能网联汽车，具有十分显著的终端设备属性。智能网联汽车内部包含了车载传感器、控制器、执行器等装置，融合了现代通信与网络技术，能够实现车与 X（车、路、人、云等）的智能信息交换、共享，能够感知周边复杂环境即时做出智能决策，帮助驾驶人员达成对智能网联汽车自身的协同控制，并最终可替代人实现“安全、高效、舒适、节能”的自动化智能驾驶。于 2017 年 6 月 1 日正式施行的中华人民共和国网络安全法要求智能网联汽车制造厂商、车联网运营商“采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护

5、网络数据的完整性、保密性和可用性。”而在 2016 年 11 月美国国家公路交通安全管理局所发布的汽车最佳网络安全指南里也明确指出，要对智能网联汽车实施广泛的网络安全测试，防止汽车接入未授权的网络，保护关键安全系统和个人数据。同时还需要智能网联汽车具有能够从网络攻击中快速恢复的能力。近两年，随着人们对于智能网联汽车安全性重视的提升，国内外各类相关安全白皮书纷纷发布，并从智能网联汽车安全技术、车联网网络安全问题等角度进行了探索。人们在不断对传统信息安全与智能网联汽车信息安全之间的异同进行剖析，并借鉴传统信息安全思路探寻构建更适于智能网联汽车的信息安全思维模式与组织框架。本次所撰写的白皮书会更为深

6、入地探讨智能网联汽车的本质安全问题所在，构筑能够对智能网联汽车未来信息安全起到核心支撑作用的方法论，描绘出智能网联汽车整体信息安全框架。本白皮书将综合分析国内外智能网联汽车安全产业现状与发展趋势，解析智能网联汽车所面临的安全威胁，提出智能网联汽车信息安全方法论，构建智能网联汽车安全保障体系。并深入探讨智能网联汽车关键安全防护技术，绘制典型智能网联汽车攻击路径图。希望白皮书的编撰能够为车联网与智能网联汽车的安全发展提供科学决策依据，促进智能网联汽车产业的健康成长。目 录一、国内外智能网联汽车产业现状和发展趋势 11.1 智能网联汽车信息安全发展态势 11.2 国内外车企信息安全现状 21.3 国

7、内外汽车信息安全标准规范现状 3二、智能网联汽车面临的信息安全威胁和挑战 62.1 车载终端节点层安全威胁分析 72.1.1 终端节点层安全威胁 72.1.2 车内网络传输安全威胁 112.1.3 车载终端架构安全威胁 122.2 网络传输安全威胁 122.3 云平台安全威胁142.4 外部互联生态安全威胁 152.4.1 移动 App 安全威胁 152.4.2 充电桩信息安全威胁 152.5 智能网联汽车信息安全威胁总结分析 16三、智能网联汽车信息安全方法论 18四、智能网联汽车安全保障体系 22五、智能网联汽车关键安全防护技术 265.1 车辆安全防护技术 265.1.1 可信操作系统安

8、全 265.1.2 固件安全 275.1.3 数据安全 285.1.4 密钥安全 295.1.5 FOTA 305.2 网络安全防护技术 305.2.1 网络传输安全 305.2.2 网络边界安全 325.3 云平台安全防护技术 335.3.1 云平台安全 335.3.2 云平台可视化管理 345.4 新兴外部生态安全防护技术之移动 App 安全355.5 智能网联汽车生态安全检测 37六、典型智能网联汽车攻击路径图 396.1 窃取车辆 GPS 轨迹数据396.2 攻击主动刹车功能 42七、结束语46智能网联汽车信息安全白皮书一、国内外智能网联汽车产业现状和发展趋势1.1 智能网联汽车信息安

9、全发展态势当今世界，在互联网多模式发展和工业智能化趋势的背景下，传统制造业逐渐向“智能制造”转型升级。在此背景下，汽车产业在移动互联、大数据及云计算等技术的推动下向智能化、网联化发展的趋势愈发明显。智能网联汽车作为创新发展的新方向，将汽车产业带入到多领域、大系统融合的高速发展时期，整车厂、零部件厂商、互联网公司等都在积极开展相关技术研发和产业布局，并不断推出互联智能汽车、自动驾驶汽车、共享汽车、车联网等概念和技术。2017 年 4 月，由工业和信息化部、国家发展和改革委员会、科技部印发的汽车产业中长期发展规划更是将智能网联汽车作为汽车产业的战略目标之一。据中国产业信息网预测，至 2020年，智

10、能网联汽车市场规模可达 1000 亿元以上。可以预见，智能网联汽车在未来必将推动汽车产业的转型升级与结构优化。而随着汽车智能化、网联化和电动化程度的不断提高，智能网联汽车信息安全问题日益严峻，信息篡改、病毒入侵等手段已成功被黑客应用于汽车攻击中，特别是近年来不断频发的汽车信息安全召回事件更是引发行业的高度关注。智能网联汽车的信息安全危机不仅能够造成个人隐私、企业经济损失，还能造成车毁人亡的严重后果，甚至上升成为国家公共安全问题。尽管当前智能网联汽车的安全漏洞尚未被广泛利用，但是据统计，有 56%的消费者表示信息安全和隐私保护将成为他们未来购买车辆时主要考虑的因素。由此可见，智能网联汽车信息安全

11、已经成为汽车产业甚至社会关注的焦点。1智能网联汽车信息安全白皮书1.2 国内外车企信息安全现状信息安全问题是汽车智能化和网联化发展的必然产物，各个汽车产业强国在发展智能汽车过程中不同程度地意识到信息安全的潜在危害，特别是整车厂和零部件厂商均在研发不同的应对策略。欧美日等国家因为数十年的工业积累拥有先天的资源优势，尤其在核心芯片、关键零部件、研发系统、技术规范等方面。其中美国在汽车网联化技术、智能化技术和芯片技术方面优势明显，提倡汽车从全生命周期各个流程考虑信息安全因素，主张标准和技术规范先行；欧洲拥有强大的整车及零部件企业，侧重于交通一体化建设，在信息安全方面更多关注于车内关键零部件安全、智能

12、交通安全和 V2X 通信安全，并已完成相关产品研发和技术推广应用；日本在汽车智能化发展较为领先，信息安全方面更多侧重于自动驾驶汽车。2015 年 2 月，美国麻州参议员爱德华马基针对智能网联技术的普及程度、车企现阶段的黑客安防措施、个人数据收集储存和管理、数据防恶意攻击安全措施等问题，调研了包括宝马、克莱斯勒、大众、本田、现代、奔驰、丰田、沃尔沃等在内的 16 家车企。调研结果发现：大多数车企尚未意识到信息安全威胁，现有的安全保护措施未标准化且较随意，大多数车企不能实时或者主动应对安全入侵，车企当前收集的用户数据没有保护措施且用途不明。近年来特斯拉、宝马、克莱斯勒、丰田等国外众多汽车品牌信息安

13、全漏洞频频曝光，这也凸显了国外汽车行业当前信息安全防护能力依然不足的严峻问题。在国内，汽车信息安全问题近两年来才逐渐受到关注，但是行业普遍缺乏系统认知，安全技术参差不齐。为此，2016 年底工信部委托车载信息服务产业联盟网络安全委员会对我国自主及在华外资车企、终端、零部件厂商等 15 家单位展开调研。通过调研发现存在国内整车厂基本没有专门信息安全管理机构，现有 TSP 供应商2智能网联汽车信息安全白皮书在服务平台信息安全建设方面较为初级且缺乏系统性解决方案，车主用户数据管理体系缺失，车辆系统安全漏洞修复机制匮乏，网联车辆用户实名认证无法保证等问题。1.3 国内外汽车信息安全标准规范现状智能网联

14、汽车信息安全标准规范研究方面，欧美日等世界汽车强国都在积极推动相关标准和技术规范制定工作。美国在谷歌、苹果、微软等互联网巨头以及福特、通用、特斯拉等汽车制造商的大力支持下，政府和行业对汽车信息安全关注较早。2016 年 1 月，美国汽车工程师学会(SAE)率先推出了全球首部汽车信息安全指南SAE J3061，为汽车产业提供了参考和建议。同年 10 月份，美国 NHTSA 发布了现代汽车信息安全最佳实践，针对快速发展的智能网联汽车信息安全及隐私保护等问题推出了最佳实践框架结构。欧洲依托强大的汽车制造商和零部件厂商，专注于汽车零部件及网络通信安全。欧盟委员会自 2008 年开始分别开展了 EVIT

15、A、OVERSEE、PRESERVE 等项目，从汽车硬件安全、车辆通信系统架构、V2X 通信安全等方面提出了解决方案和技术规范，部分技术成果已实现产业化应用。另外，欧洲电信标准协会(ETSI)针对智能网联汽车与智能交通系统(ITS)制定了系列信息安全标准，涉及 ITS 安全服务架构、ITS 通信安全架构与安全管理、可信与隐私管理、访问控制和保密服务等方面。日本作为全球网联车辆的先行者，政府很早就开始重视智能网联汽车的信息安全问题，并且制订了相关对策和管理方针。2013 年，日本信息处理推进机构(IPA)根 据国 内汽车 行业调 研情 况推出 汽车 信息安 全指 南 (Approaches fo

16、r VehicleInformation Security)，该指南从汽车可靠性角度出发，通过对汽车安全的攻击方式和途径分析定义了一种汽车信息安全模型“IPA Car”，并提出了汽车生命周期安全保护措施。3智能网联汽车信息安全白皮书国际上，世界车辆法规协调论坛(UN/WP.29)于 2014 年 12 月成立了智能交通与自动驾驶非正式工作组 ITS/AD，同时将汽车信息安全标准纳入协调范围，并于 2016年 12 月组建了信息安全标准制定任务组，围绕汽车网络安全、数据保护及软件升级三部分内容开展相关国际法规及标准制定工作。2016 年 10 月，ISO/TC22 道路车辆技术委员会与美国 SA

17、E 以联合工作组的形式成立了 ISO/SAE/JWG AutomotiveSecurity 信息安全工作组，正式启动了 ISO 层面的国际标准法规制定工作。国内近两年也开始重视智能网联汽车的信息安全问题，在以政府引导、产业联盟推动、标准委员会执行的模式下积极开展汽车信息安全系列标准制定工作。政府引导方面，国务院在 2015 年推出的中国制造 2025中提出建立智能制造标准体系和信息安全保障体系，首次将汽车信息安全纳入到国家重大发展战略当中。2016年 11 月 7 日，国家发布了中华人民共和国网络安全法，明确要求包括车厂、车联网运营商在内的网络运营者需“履行网络安全保护义务，应当依照法律、行政

18、法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。”该法于 2017 年 6 月 1 日起正式施行，客观上对网联车辆运营者提升网络安全意识、积极采取网络安全防护措施具有重要意义。产业联盟推动方面，2016 年 7 月在长春，由中国一汽集团和北京航空航天大学发起，依托于中国汽车工程学会成立的国内首个汽车信息安全委员会，主要致力于推动行业资源融合、标准立项、技术推广等内容。同年 11 月，由车载信息服务产业应用联盟(TIAA)发起，国家互联网应急中心、工信部情报研究所、中国电科第3

19、0 研究所等成员单位牵头在成都正式成立了车载信息服务产业应用联盟网络安全委员会，主要立足于电子信息技术与汽车、交通行业的深度融合，推动网络安全技术体系和核心技术标准形成，构建安全、和谐的车载信息服务应用环境。2017 年 2月，TIAA 在第六届车载信息服务产业年会期间发布了2016 年车联网网络安全白4智能网联汽车信息安全白皮书皮书和车联网网络安全防护指南细则（讨论稿），介绍了我国当前车联网网络安全政策、法规、标准、产品、应用等方面的实际情况与现实需求，总结了当前我国车联网的网络安全发展情况。标准制定方面，全国汽车标准化技术委员会（简称“汽标委”）于 2016 年推出了智能网联汽车标准体系建

20、设方案（第 1 版），信息安全标准体系(204)作为其重要组成部分，支撑着智能网联汽车标准体系的整体架构。2016 年底，汽标委 ADAS标准工作组组织行业内外汽车信息安全相关技术机构、企事业单位专家组成了汽车信息安全标准任务组，开展了国内汽车信息安全标准制定及联合国、ISO 等层面国际汽车信息安全标准法规协调的工作。5智能网联汽车信息安全白皮书二、智能网联汽车面临的信息安全威胁和挑战随着网络通信技术的不断发展，汽车的网络化程度也在不断提高。人们借助各种网络通信技术实现了对汽车的更多控制，例如导航定位，“车、人、路”三方通信等功能。智能网联汽车的发展为人们生活带来了各种便利，但也暴露出汽车容易

21、被远程攻击、恶意控制的安全隐患，甚至存在入网车辆被大批量操控，造成重大社会事件的巨大风险。智能网联汽车目前面临的主要风险威胁如下图所示：图 1 智能网联汽车的 4 层威胁+12 大风险6智能网联汽车信息安全白皮书2.1 车载终端节点层安全威胁分析2.1.1 终端节点层安全威胁 T-BOX 安全威胁T-BOX（Telematics BOX，简称 T-BOX）在汽车内部扮演“Modem”角色，实现车内网和车际网之间的通信，负责将数据发送到云服务器。T-BOX 是实现智能化交通管理、智能动态信息服务和车辆智能化控制不可或缺的部分。某种程度上来说，T-BOX 的网络安全系数决定了汽车行驶和整个智能交通

22、网络的安全，是车联网发展的核心技术之一，T-BOX 系统架构图如下：图 2 T-BOX 系统架构图常规条件下，汽车消息指令在 T-BOX 内部生成，并且在传输层面对指令进行加密处理，无法直接看到具体信息内容。但恶意攻击者通过分析固件内部代码能够轻易获取加密方法和密钥，实现对消息会话内容的破解。尤其是有些 T-BOX 出厂时会预留调试接口，如果完整分析 T-BOX 的硬件结构、调试引脚、Wi-Fi 系统、串7智能网联汽车信息安全白皮书口通信、MCU 固件、CAN 总线数据、T-BOX 指纹特征等研究点，攻破 T-BOX 的软硬件安全防护将非常容易。而一旦 ARM 和 MCU 单片机之间的串口协议

23、数据被恶意劫持，攻击者就能够对协议传输数据进行篡改，进而可以修改用户指令或者发送伪造命令到 CAN 控制器中，实现对车辆的本地控制与远程操控。 IVI 安全威胁车载信息娱乐系统（In-Vehicle Infotainment，简称 IVI），是采用车载专用中央处理器，基于车身总线系统和互联网服务形成的车载综合信息娱乐系统。IVI 能够实现包括三维导航、实时路况、IPTV、辅助驾驶、故障检测、车辆信息、车身控制、移动办公、无线通讯、基于在线的娱乐功能及 TSP 服务等一系列应用，极大地提升了车辆电子化、网络化和智能化水平。但车载综合娱乐系统的高集成度使其所有接口都可能成为黑客的攻击节点，因此 I

24、VI 的被攻击面将比其他任何车辆部件都多。攻击者既可以借助软件升级的特殊时期获得访问权限进入目标系统，也可以将 IVI从目标车上“拆”下来，分解 IVI 单元连接，通过对电路、接口进行逆向分析获得内部源代码。例如，2016 年宝马车载娱乐系统 ConnectedDrive 所曝出的远程操控 0day 漏洞里，其中就包含会话漏洞，恶意攻击者可以借助这个会话漏洞绕过 VIN（车辆识别号）会话验证获取另一用户的 VIN，然后利用 VIN 接入访问编辑其他用户的汽车设置。 终端升级安全威胁智能网联汽车如果不能及时升级更新，就会由于潜在安全漏洞而遭受各方面（如 4G、USB、SD 卡 、OBD 等渠道）

25、的恶意攻击，导致车主个人隐私泄露、车载软件及数据被窃取或车辆控制系统遭受恶意攻击等安全问题。特斯拉、Jeep 等就曾因类似信息安全事件而不得不实施汽车召回。8智能网联汽车信息安全白皮书因此，智能网联汽车需要通过 OTA 升级的方式来增强自身安全防护能力。但OTA 升级过程中也面临着各种威胁风险，包括：（1）升级过程中，篡改升级包控制系统，或者升级包被分析发现安全漏洞；（2）传输过程中，升级包被劫持，实施中间人攻击；（3）生成过程中，云端服务器被攻击，OTA 成为恶意软件源头。另外 OTA 升级包还存在被提权控制系统、ROOT 设备等隐患。因此车载终端对更新请求应具备自我检查能力，车载操作系统在

26、更新自身分区或向其他设备传输更新文件和更新命令时，应能够及时声明自己身份和权限，也就是对设备端合法性进行认证。同时，升级操作应能正确验证服务器身份，识别出伪造服务器，或者是高风险链接链路。升级包在传输过程中，应借助报文签名和加密等措施防篡改、防伪造。如果升级失败，系统要能够自动回滚，以便恢复至升级前的状态。 车载 OS 安全威胁车联网时代，汽车通过车载电脑系统可与智能终端、互联网等进行连接，实现娱乐、导航、交通信息等服务。车载电脑系统常采用嵌入式 Linux、QNX、Android等作为操作系统，由于操作系统代码庞大且存在不同程度的安全漏洞，操作系统自身的安全脆弱性将直接导致业务应用系统的安全

27、智能终端面临被恶意入侵、控制的风险。另外，由于车联网应用系统复杂多样，某一种特定的安全技术不能完全解决应用系统的所有安全问题。一些通用的应用程序如 Web Server 程序、FTP 服务程序、E-mail 服务程序、浏览器和 Office 办公软件等自身的安全漏洞及由于配置不当所造成的安全隐患都会导致车载网络整体安全性下降。除此之外，智能终端还存在被入侵、控制的风险，一旦智能终端被植入恶意代9智能网联汽车信息安全白皮书码，用户在使用智能终端与车载系统互连时，智能终端里的恶意软件就会利用车载电脑系统可能存在的安全漏洞，实施恶意代码植入、攻击或传播，从而导致车载电脑系统异常甚至接管控制汽车。如果

28、类似“永恒之蓝 WannaCry”的勒索软件病毒感染了车载电脑系统，其将锁定智能网联汽车的操控界面，对处于正常状态下的车辆造成干扰，甚至导致驾驶者失去车辆的控制权。如果“失控”车辆正好处于高速行驶状态，那么车毁人亡惨剧发生的几率将会极高。 接入风险：基于车载诊断系统接口(OBD)的攻击现在的智能网联汽车内部都会有十几个到几十个不等的 ECU，不 同 ECU 控制不同的模块。OBD 接口是汽车 ECU 与外部进行交互的唯一接口，它具备以下功能：(1)能够读取汽车 ECU 的信息，比如 17 位 VIN 码、ECU 硬件信息等；(2)能够读取汽车的当前状态，比如当前车速、胎压等等；(3)能够读取汽

29、车的故障码，快速定位汽车故障位置，并且清除故障码；(4)能够对汽车预设置动作行为进行测试，比如车窗升降、引擎关闭等；(5)除上述基本的诊断功能之外，还可能具备刷动力、里程表修改等复杂的特殊功能。OBD 接口作为总线上的一个节点，不仅能监听总线上面的消息，而且还能伪造消息（如传感器消息）来欺骗 ECU，从而达到改变汽车行为状态的目的。通过在汽车 OBD 接口植入具有无线收发功能的恶意硬件，攻击者可远程向该硬件发送恶意 ECU 控制指令，强制让处于高速行驶状态下的车辆发动机熄火、恶意转动方向盘等，从而达到车毁人亡的目的。 车内无线传感器安全威胁智能网联汽车为确保其便捷性和安全性，使用了大量传感器网

30、络通信设备。但10智能网联汽车信息安全白皮书是传感器也存在通讯信息被窃听、被中断、被注入等潜在威胁，甚至通过干扰传感器通信设备还会造成无人驾驶汽车偏行、紧急停车等危险动作。例如，汽车智能无钥匙进入系统(PKE)，是由发射器、遥控中央锁控制模块、驾驶授权系统控制模块三个接收器及相关线束组成的控制系统。这种系统采用RFID（无线射频识别）技术，通常情况下，当车主走近车辆大约一米以内距离时，门锁就会自动打开并解除防盗；当离开车辆时，门锁会自动锁上并进入防盗状态。但是黑客可以通过寻找无线发射器信号规律、挖掘安全漏洞等方式着手，进行破解，最终达到非授权条件下的开门。2016 年就曾爆出黑客通过对 PKE

31、 无线信号进行“录制重放”的方法破解了特斯拉 Model S 车型的 PKE 系统。2.1.2 车内网络传输安全威胁汽车内部相对封闭的网络环境看似安全，但其中存在很多可被攻击的安全缺口，如胎压监测系统、Wi-Fi、蓝牙等短距离通信设备等。车载网络通信协议安全防护措施较弱，如 CAN 和 LIN 由于应用在相对封闭环境，加之传感器计算能力有限，采用的安全防护措施薄弱，除简单校验外未作更多机密性保护动作，不能抵御攻击者针对性的传感器信息采集、攻击报文构造、报文协议分析和报文重放等攻击。而车内的 ECU 单元又是通过 CAN、LIN 等网络进行连接，如果黑客攻入了车内网络则可以任意控制 ECU，或者

32、通过发送大量错误报文导致 CAN 总线失效，进而致使 ECU 失效。由此可见，车内网络传输安全极为重要。11智能网联汽车信息安全白皮书图 3 车内网络传输概况2.1.3 车载终端架构安全威胁现在每辆智能网联汽车基本上都装有五六十个 ECU 来实现移动互联的不同功能，甚至是车与车之间的自由“交流”，操作系统生态数据的无缝交换等。因此，智能网联汽车的信息安全需要考虑车载终端架构的安全问题。传统车载软件仅需处理 ECU 通过传感器或其他电控单元接收的数据即可。然而，ECU 设计之初并不具备检测每个 CAN 上传数据包的功能，进入智能网联汽车时代后，其接收的数据不仅包含从云端下载的内容，还有可能接收到

33、那些通过网络连接端口植入的恶意软件，因此大大增加了智能网联汽车被“黑”的风险。2.2 网络传输安全威胁车联网系统由平台、网络、车载和终端等多个子系统组成，在平台层还与多个12智能网联汽车信息安全白皮书App 服务商的子系统连接。“车-X”（人、车、路、互联网等）通过 Wi-Fi、移动通信网(2.5G/3G/4G 等)、DSRC 等无线通信手段与其它车辆、交通专网、互联网等进行连接。上述无线通信方式自身就存在网络加密、认证等方面的安全问题，因而“车-X”网络也继承了上述通信网络所面临的安全风险。此外车联网的互联网应用平台作为互联网上的服务，不可避免地面临因互联网服务应用漏洞带来的安全威胁。网络传

34、输安全威胁指车联网终端与网络中心的双向数据传输安全威胁，主要存在三大安全风险：（1）认证风险：没有验证发送者的身份信息、伪造身份、动态劫持等；（2）传输风险：车辆信息没有加密或强度不够、密钥信息暴露、所有车型使用相同的对称密钥；（3）协议风险：通信流程伪装，把一种协议伪装成另一种协议。在自动驾驶情况下，汽车会按照 V2X 通信内容判断行驶路线，攻击者可以利用伪消息诱导车辆发生误判，影响车辆自动控制，促发交通事故。从如下来源于美国交通运输省的一张图片上可以比较清晰地看出 V2X 通信的潜在威胁。13智能网联汽车信息安全白皮书图 4 V2X 通信潜在威胁2.3 云平台安全威胁智能网联汽车管控中心的

35、云平台同样面临着各种恶意威胁，除了需要病毒防护、中间件安全防护以及访问控制防护外，还需要重视数据安全防护问题，防止车主存储到云端的数据（特别是隐私数据）意外丢失，或被别人窃取访问、非法利用。目前大部分车联网数据使用分布式技术进行存储，主要面临的安全威胁包括黑客对数据恶意窃取和篡改、敏感数据被非法访问等，目前云平台数据安全问题主要面临以下三大挑战：（1）数据的隐私性：通过智能终端 GID 或 OBD 设备采集上传到云平台中的数据，会涉及到车主车辆相关的私密数据，如何保证车云平台存储的用户隐私信息不被泄露？（2）数据的完整性：数据的完整性是车联网大数据研究的基础，如何保证存14智能网联汽车信息安全

36、白皮书储在云端的用户数据完整性不被破坏？（3）数据的可恢复性：用户对存储在车云平台的数据进行访问时，服务商需要无差错响应用户的请求，如遇到安全攻击事件，服务商如何保证出错数据的可恢复性？未来，随着智能网联汽车持续发展，数据安全、访问控制等风险威胁也会越来越多，云端安全威胁不容忽视。2.4 外部互联生态安全威胁2.4.1 移动 App 安全威胁目前，市场上大多数智能网联汽车远程控制 App 甚至连最基础的软件防护和安全保障都不具备。黑客只需对那些没有进行保护的 App 进行逆向分析挖掘，就可以直接看到 TSP（远程服务提供商）的接口、参数等信息。即使某些车辆远程控制 App 采取了一定安全防护措

37、施，但由于安全强度不够，黑客只需具备一定的技术功底，仍然可以轻松发现 App 内的核心内容，包括存放在 App 中的密钥、重要控制接口等。2017 年 2 月，卡巴斯基爆出多款汽车 App 存在安全漏洞。目前许多远程控制App 的车主个人隐私信息都是以未加密形态简单储存于车主手机中，黑客只需ROOT 用户手机，就能以根用户名义将用户信息发送到后台主机。黑客还可以诱导用户下载恶意程序，窃取登录信息，或者通过其他恶意软件进行“覆盖”攻击，在用户启动 App 的同时创建一个伪造登录界面诱导用户登录，实现对用户信息的窃取。此外黑客亦可进行多重覆盖攻击，理论上可以窃取用户的全部个人信息。2.4.2 充电

38、桩信息安全威胁充电桩是电动汽车服务运营的重要基础设施，其输入端与交流电网直接连接，15智能网联汽车信息安全白皮书输出端装有充电插头用于为电动汽车充电。由充电桩组成的网络称之为“桩联网”，目前很多“桩联网”解决方案都是承载在传统以太网或者是无线传输网络当中。人们可以在充电桩提供的人机交互操作界面上刷卡，进行相应的充电方式、充电时间、费用数据打印等操作，充电桩显示屏能显示充电量、费用、充电时间等数据。“桩联网”在为大家出行带去便利的同时，也面临着各种信息安全问题。在充电桩网络中传输的数据信息可能遭到截获、窃取、破译、被动攻击或者非法冒充、恶意篡改等恶意威胁，而且充电桩内部网络基本上没有采取任何安全

39、防护措施，一旦黑客通过互联网入侵到“桩联网”，就可以控制充电桩的电压，甚至可以随意修改充电金额等数据，对充电桩的健康发展造成无法弥补的影响。2.5 智能网联汽车信息安全威胁总结分析从整体趋势来看，车载终端类型和数量的不断增多，导致车载终端所面临的安全威胁类型也在不断增多，终端的节点层、车内传输层、终端架构层的安全风险将持续增大。车载终端的信息安全问题必须得到足够重视。以智能网联汽车信息安全方法论为指导，系统分析漏洞与威胁风险，实施有针对性的安全防护策略，并部署相关安全解决方案，才能保证整体安全防护的有效性及科学执行。同时，智能网联汽车在移动终端、移动通信网络、移动接入管理和业务平台之间的网络传

40、输风险也需引起足够重视，尤其是车联网终端与网络中心的双向数据传输安全威胁。除此之外，未来随着智能网联汽车地持续发展，云端安全威胁不容忽视。考虑到车联网中的数据采集上传方式和云端平台的海量数据存储处理特性，需要尽快找寻更为适合的智能网联汽车云平台数据安全解决方案。最后，智能网联汽车的快速发展，使得越来越多的操控 App、充电桩等外部生态组件开始频繁接入汽车，而每个接入点都意味着新风险点的引入。考虑到智能网16智能网联汽车信息安全白皮书联汽车外联设备组件获取成本低及安全防护能力不足的特性，其必将成为黑客的攻击重点，更应该引起人们重视。17三、智能网联汽车信息安全方法论与传统信息安全相同的是，针对智

41、能网联汽车的各类入侵攻击依然需要利用其自身各个维度、层面的安全漏洞方可实施，这意味着封堵软件（各类智能网联汽车控制代码）、硬件（各类智能网联汽车构成物理组件）与生态系统等维度层面的安全漏洞是当前解决智能网联汽车信息安全的核心重点。然而智能网联汽车典型的智能终端属性特征，又使得对其的安全防护不能直接采用传统安全解决方案，需要依照智能网联汽车的系统架构特性，实施更具针对性的安全保护，从智能网联汽车的生命周期着手，既要深入到智能网联汽车内部的小微生态环境中，更要结合其所处场景环境。智能网联汽车拥有诸多功能模块，需要考虑将这些模块按照功能属性进行划分，实施不同的防御策略。而当智能网联汽车遭遇恶意攻击后

42、，如何应急响应、如何升级防护也十分重要。这里有一点需要特别强调：智能网联汽车由于智能性的极大提升，虽然使得驾驶者能够享受更多便捷，但其复杂度也在变得更高。驾驶者对于智能网联汽车操控使用的正确与否，将直接左右智能网联汽车信息安全问题变得更为糟糕或者更为稳固。所以，“人”这个要素也需要在智能网联汽车信息安全方法论里予以考量。本白皮书首次建立智能网联汽车信息安全方法论，用于指导智能网联汽车信息安全建设工作的全面展开。1、智能网联汽车信息安全生命周期融合化18智能网联汽车信息安全白皮书智能网联汽车生命周期可以划分为：策划设计阶段、生产阶段、交付使用阶段、废弃阶段这四个部分。智能网联汽车的信息安全防护需

43、要完整贯穿全生命周期，并能够与之彻底融合，实现全生命周期的智能网联汽车信息安全防护。策划设计阶段：在新款智能网联汽车策划设计伊始，就需要将信息安全作为必选项予以考虑。需要汽车工业设计人员与信息安全人员，分别从智能网联汽车自身安全性与其信息安全性两方面实施联合可行性论证。在具体功能模块设计过程中，要综合考虑该模块的功能、性能与信息安全，制定相关威胁模型、安全防护模型以及应对防御策略模型。通过多层面的安全检测，验证整体设计方案的正确性、安全性与可行性。生产阶段：在开发生产样车过程中，要严格遵循信息安全开发准则，避免此阶段新安全隐患问题的意外引入。同时要展开阶段性的安全测评工作，随时发现安全漏洞，随

44、时进行整改。当进入批量生产阶段时，更需要执行严格的智能网联汽车信息安全检测、监控、验证工作。交付使用阶段：威胁情报分析预警、智能网联汽车安全运营、安全事件应急响应三者紧密关联，做到严密监控、提前防御、平稳运营、响应及时、应对精准。废弃阶段：当智能网联汽车进入最后的废弃阶段时，需要提前将各模块里的数据信息进行彻底擦除，对重要信息进行备份。2、分域隔离、纵深防御现在智能网联汽车内部一般会有十几个到数十个不等的 ECU，不 同 ECU 控制不同功能模块。“智能化”作为智能网联汽车的核心要素，使得其内部功能模块增多，恶意攻击面变大，安全防护难度增加。随着汽车智能化和网联化程度的提升，汽车内部的 ECU

45、 模块越来越多。为便于控制和节省空间，相同功能或类似功能的ECU 会逐渐进行集成，车辆内部网络将逐步采用“域控制”的集成控制方式。根据19信息安全保护思想，在智能车辆内部的感知域、控制域、决策域等不同域之间需实行物理隔离或软件分割，从而达到分域保护的信息安全理念。目前对于智能网联汽车的信息安全防护集中在车载端，主要依靠具备信息安全防护功能的 T-BOX 或 IVI 保护智能车辆，而依据信息安全防护理念，单独的车载端防护根本无法实现智能网联汽车的整体安全，参考传统信息安全的纵深防御思路，必须构建智能网联汽车“架构层-传输层-节点层”的多层纵深防御体系，覆盖智能网联汽车的 T-BOX 边界、安全网

46、关、ECU 认证、域控制器、车内/外网络监控等层面，形成多维度全联合的深度防御体系。架构层上，在汽车车内电子电器架构的 V 型开发过程中，融合信息安全的基本理念，实现电子电气架构开发的信息安全评估、等级保护、安全审计和测试认证；传输层上，实现车内传输网络结构安全、访问控制、权限管理、可信平台和安全网关控制；节点层上，实现轻量化加解密、数据签名、身份认证和可信认证。3、车内小微生态环境安全防御细粒化虽然智能网联汽车的自身体积很大，但具体到其内部信息系统处理模块的体积却很小。同时，由于其内部包含了车载传感器、控制器、执行器等装置，形成了一个车内小微生态环境。所以，需要安全防护实现对车内小微生态环境

47、的覆盖，需要每个功能模块上的安全能力具有足够的细粒度，并且能够应对该小微生态环境里各类复杂的安全问题。另外需要注意的是，具有足够细粒度的安全能力还要能够延伸至智能网联汽车的内网区域以及各个节点之间。4、场景化信息安全防御智能网联汽车在停止与行驶状态下会处于不同场景之中，这意味着其将面临不同的恶意威胁。所以，要结合智能网联汽车所处场景环境特征，实施与之对应的安全防御策略，做到场景化的信息安全防御。例如在高速网络队列控制时，减小驾驶20智能网联汽车信息安全白皮书员的控制权限，提升队列整体的安全控制能力。5、培训提升驾驶者安全强度“人”是智能网联汽车系统生态中的重要组成要素之一，人对于智能网联汽车的

48、错误配置、由外部带来的有问题存储介质，都容易引发智能网联汽车的安全问题。因此，需要将“人”作为智能网联汽车信息安全防护的重要环节，通过培训提升驾驶者的安全意识、安全操作能力，增强“人”这一智能网联汽车关键要素的安全强度，降低由人引入恶意威胁的可能性。6、强可控性应急响应与安全升级相结合当遭遇恶意攻击事件后，需对智能网联汽车实施强可控性应急响应，压制恶意攻击在车联网络内部的扩散传播，安全策略强调限制为主。对问题固件的升级，不仅要第一时间弥补安全漏洞，更要注意升级自身的安全性，杜绝二次恶意威胁的引入。21智能网联汽车信息安全白皮书四、智能网联汽车安全保障体系智能网联汽车是以车联网为信息传输载体，通

49、过搭载先进的车载传感器、控制器、执行器等装置，使车辆具备复杂环境感知、智能化决策与控制功能，能综合实现安全、节能、环保及舒适行驶的新一代智能汽车。而车联网主要包括车内网、车际网和车载移动互联网，具体而言，车内网是指通过应用成熟总线技术建立的标准化整车网络，车载移动互联网是指车载终端通过 3G/4G 等通信技术与互联网进行无线连接，车际网是指基于 DSRC 技术和 IEEE 802.11 系列无线局域网协议的动态网络。图 5 车联网、智能汽车及智能交通系统关系图由于汽车电动化、智能化和网联化的发展趋势，传统车内电子电气架构及Telematics 的信息安全隐患愈发突出。目前国内外对智能网联汽车信

50、息安全体系的研究尚处于研发阶段，美国 SAE、欧 洲 EVITA 都开始重点研究汽车信息安全体系，例如美国 SAEJ3061 号文件就涉及汽车信息安全完整性等级、测试方法和测试工具等方面。与此同时，IEEE 通信与网络安全会议(CNS)、国际车联网与互联大会(ICCVE)等国际会议也在更为关注汽车信息安全体系的构建工作。相较于传统的信息安全体系，智能网联汽车的信息安全需要解决以下问题和难22点：（1）如何进行高效可靠的入侵检测和防护，防止对车辆控制单元的直接控制；（2）如何保障复杂通信环境信息安全，提升车辆的防护能力；（3）如何采取高效可靠的响应和恢复方案，减少经济损失和人员伤亡。即如何构建“

51、检测-保护-响应-恢复”的全生命周期智能网联汽车信息安全体系以及面向智能网联汽车的软硬件集成防护系统。关键技术包括以下两点：（1）智能网联汽车复杂通信环境的高效可靠检测保护和高效响应恢复体系；（2）面向智能网联汽车新型电子电气架构演进的软硬件集成防护系统。通过研究多域分层入侵检测和主动防护信息安全模型，建立新型车车-车云协同的攻击防御和无线通信安全防护机制，设计不同安全等级的响应机制和恢复策略，构建面向智能网联汽车新型电子电气架构演进的软硬件集成防护系统，形成智能网联汽车“检测-保护-响应-恢复”全生命周期信息安全体系，具体内容包括:（1）构建多域分层入侵检测和主动防护信息安全模型针对车内网络

52、、车载传感器和车载通信系统脆弱性和信息安全威胁，研究车内主干以太网和总线的分层加密认证、入侵检测和等级保护体系，车载感知域、决策域和控制域的访问控制、数据管理和多域防护体系，以及车载通信系统长、短距离通信接口的鉴权认证、安全审计和主动防御体系；构建智能网联汽车网络异常状态监控和安全网关主动防护机制，建设基于车内网络、车载网络和车载通信系统的可信平台，建立智能网联汽车高性能电子电气架构信息安全模型。（2）建立车车-车云协同的攻击防御和无线通信安全防护机制进一步提升智能网联汽车攻击和漏洞防御能力，研究车车和车云协同攻击防御方法，建立高效实时的分布式车车联合防御机制，形成长效可靠的车云信息共享式的协

53、同攻击防御体系；针对“人-车-路-环境”的无线通信和信息安全，研究面向智能网联汽车非理想信道状态信息下的物理安全和机会连接的分布式网络安全，研究23智能网联汽车信息安全白皮书车车、车云之间的隐私保护机制。（3）设计不同安全等级的响应机制和恢复策略针对智能网联汽车的各种非法入侵攻击和意外事件，研究智能网联汽车安全等级划分，不同安全等级对功能安全的映射关系，不同安全等级的响应速度、影响及社会效应，不同安全等级的“漂移”与恢复策略，云平台应急响应机制，研究智能网联汽车基于需求识别、资源探索、方案评价、服务恢复、参数更新的五级模型恢复过程，针对不同安全等级的服务恢复决策评价标准和策略。（4）构建面向智

54、能网联汽车新型电子电气架构演进的软硬件集成防护系统针对当前汽车总线和电子控制单元存在的信息不安全传输、不可溯源、无防护措施等特点，基于现有汽车总线和电子控制单元演进式研究面向智能网联汽车新型电子电气架构的软硬件集成防护系统，研究电子控制单元的轻量级加密算法，基于机器时钟的电子控制单元指纹技术识别溯源，电子控制单元与功能安全的映射关系，基于功能安全等级的软硬件加密，利用入侵检测系统进行总线报文检测。研究以上策略在新型电子电器架构的演进。在研究新型电子电器架构演进的同时，也需要关注新型嵌入式操作系统的设计框架，从架构层面上即保证操作系统的安全性。参考国际标准制定相应行业开发规范，确保系统设计和开发

55、数据的完整性，在代码内检时应注意解决潜在安全风险，并对已知安全缺陷做详细记录，系统控制的敏感配置文件应加密保护并实时监控其状态，同时还需研究新型操作系统自我保护技术。面向智能网联汽车的“检测-保护-响应-恢复”全生命周期和车联网“端-管-云”的信息安全防护体系，构建多域分层入侵检测和主动防护信息安全模型，加强车车-车云协同的攻击防御和无线通信安全防护机制，建立基于不同安全等级的应急响应和恢复策略，实现面向新型电子电气架构演进的软硬件集成防护系统。24图 6 智能网联汽车信息安全技术路线图图 7 智能网联汽车生命周期管理体系25智能网联汽车信息安全白皮书五、智能网联汽车关键安全防护技术智能网联汽

56、车的安全防护并非仅指车辆本身信息安全，而是一个包含通信、云平台和外部新兴生态系统的整体生态安全防护，同时安全防护需要长期进行，需要定期对整个生态做安全检测以便发现潜在的风险。因此，智能网联汽车安全防护技术可按照通用的“端”、“管”、“云”、新兴的外部生态系统以及全生态安全检测五个方面进行描述。5.1 车辆安全防护技术5.1.1 可信操作系统安全操作系统是智能网联汽车的核心部件，同时也是整个汽车系统的大脑，所有的应用程序都在操作系统之上运行，操作系统向上承载应用、通信等应用功能，向下承接底层资源调用和管理。当前主流的智能网联汽车操作系统分为两个方向：非开源和开源。非开源操作系统完全由车厂自己开发

57、，比如宝马 iDrive。开源操作系统主要有 Android、QNX 和 Linux。当前大部分车厂采用的都是开源方案，开源虽然能够极大降低开发成本，但其自身安全风险不容小觑，如已知和未知漏洞风险、安全和健壮性的缺失以及缺乏对操作系统行为的监控等。尽管并不是所有车厂都有能力自主开发操作系统，但是考虑到智能网联汽车的特殊性，在选择并使用操作系统时除了要考虑成本、易用性、商业生态等方面因素外，还需要对安全性做特别关注。 针对开源系统漏洞问题，除应收集已知所选操作系统版本漏洞列表外，还应该定期更新漏洞列表，同时扩大漏洞收集途径，确保能够及时了解各种26漏洞，确保在第一时间内发现、解决并更新所有已知漏

58、洞。 操作系统安全核心目标在于实现操作系统对系统资源调用的监控、保护、提醒，确保涉及安全的系统行为总是处于受控状态下，不会出现用户在不知情情况下某种行为的执行或者用户不可控行为的执行。同时，操作系统还要确保自身升级更新的受控性。而操作系统的健壮性则主要取决于操作系统源代码，源代码安全是整个操作系统健壮性以及安全性的根本。通过对操作系统源代码静态审计，可以快速发现代码的潜在 BUG 以及安全漏洞，及时修正潜在 BUG 和漏洞一方面可提高代码健壮性，另一方面也增加了操作系统的安全性。 操作系统作为整个智能网联汽车的核心部分复杂性不言而喻，所有文件、I/O、通信、数据之间的交互非常频繁，因此需要确保

59、每个行为可控和可管成为必然，监控全部应用、进程对所有资源的访问并进行必要的访问控制是安全可信操作系统所必须具备的。5.1.2 固件安全固件是指保存在具有永久存储功能器件中的二进制程序。在微控制器为核心的ECU 中，固件主要用于实现 ECU 的全部功能，其不但提供硬件初始化、操作系统加载功能，同时也为上层软件有效使用硬件资源提供调用接口，因此是 ECU 系统的重要组成部分。随着智能网联汽车的普及和智能化程度的提高，ECU 得到了广泛应用，而作为 ECU 核心器件之一的微处理器和微控制器也随之呈现爆发式增长趋势。固件作为 ECU 系统的重要组成部分，以灵活、多样的存在形式更加方便了用户的使用，但同

60、时也为汽车信息系统安全带来了极大的隐患。比如通过提取 ECU 固件逆向分析其代码然后反编译更改相应参数、向 ECU 固件插入恶意代码从而改变整个系统执行流程，或者使用未经厂商认证的固件程序进行升级等，这些都将威胁到智能网27智能网联汽车信息安全白皮书联汽车，并对驾驶员造成极大的安全威胁。针对 ECU 固件安全问题，当前的重中之重主要集中在固件代码无法提取、固件代码防反汇编和逆向以及固件安全升级： 由于固件代码保存在具有永久存储功能的器件中，因此选择器件时需特别考虑其是否支持加密算法、芯片中是否有保护寄存器、是否可以通过设置Read-only 模式等方式对固件存储器件进行保护。建议将固件存储在微