网联化智能化下的汽车信息安全实验室建设方案.docx

1、网联化智能化下的汽车信息安全实验室建设方案网联化、智能化下的汽车信息安全实验室建设方案一、实验室建设背景1.1.汽车信息安全现状随着互联网、人工智能、无线通信和云计算、大数据等技术的应用，汽车的智能化、联网化程度也越来越高。在这个万物互联的时代，汽车已经变成名副其实的智能终端设备，并且随着自动驾驶技术的成熟，汽车将为社会带来新一轮的重要变革。目前的汽车拥有多至80个ECU（Electronic Control Unit，电子控制单元），软件代码超过6500万行，无人驾驶的软件代码超过2亿行；5年之后，每一辆智能汽车每天产生的数据量将在4000GB左右。由于汽车中使用的软件架构和网络系统沿袭继承

2、了计算机的软件和网络架构，汽车也继承了这些系统内在的安全缺陷，加之汽车内部总线结构在设计时没有考虑安全性，汽车同计算机一样存在信息安全漏洞。随着汽车中ECU数量和网络连接的增加，汽车的攻击接口也将大大扩展，尤其是汽车通过通信网络接入互联网和连接到云端之后，每个计算、控制和传感单元，每个连接路径都有可能因存在安全漏洞从而被黑客利用，实现对汽车的攻击和控制。作为公共交通系统的重要组成部分，汽车被黑客控制之后，不仅会导致驾驶者个人的信息和隐私的泄露，还会直接带来人身伤害和财产损失，甚至直接影响公共安全。因此，汽车信息安全是一个新兴的关键安全领域，亟需广泛关注和研究。2.汽车信息安全人员匮乏汽车的信息

3、化在带来巨大发展机遇的同时也带来了严峻的挑战，信息安全人才的短缺就是其中之一。相比于成熟的传统信息安全领域，汽车行业的信息安全人才数量和培养机制显得非常匮乏。目前，信息安全事件层出不穷，从各类信用卡数据泄露、网络用户数据库泄露到棱镜门事件，信息安全事件的影响越来越大，信息安全问题已经不仅是个人和企业问题，同时已经上升到了国家安全问题。因为汽车信息安全属于新兴研究领域和产业方向，相关方面的信息又严重匮乏，所以针对汽车安全行业的人才培养需要有专业的实践教学平台和相关实验环境。二、实验室建设目标和内容1.2.1.建设目标汽车信息安全实验室的建设目标是集成汽车安全研究、测试、检验、教学的综合性机构，主

4、要从事汽车安全的科学研究工作，为汽车产业提供安全测试服务，主导汽车安全标准的制定与检验，深度参与汽车安全设计，为企业与院校提供汽车安全方向的人才培养平台，在社会长期开展安全教育与科普，为汽车产业未来的安全可持续发展提供内在支持。实验室依托于xx车企，由XX公司与XX大学提供技术支持，整合多方力量，辐射带动周边地区汽车产业发展，安全服务与影响力覆盖全国，研究水平实现国际领先。实验室的初期建设目标为室内场地设施、实验汽车、软硬件设备基础的规划、建设（配置）、调试以及人员配备，实现实验室的自主运行和安全研究工作的正常开展。中期建设目标为推动汽车安全测试服务，与汽车产业实现深度对接与合作，切实参与汽车

5、安全防护设计与改进，同时开启室外动态实验测试场地的建设。中长期建设目标为实现汽车安全的动态测试与检验，完善全套静态-动态汽车安全研究-测试-检验体系，推动汽车安全标准与法规的制定。长期建设目标为打造全球汽车安全的标杆，走在汽车安全研究、检验与威胁应对的前列，为未来交通与汽车安全保驾护航。实验室在建设运行期间，将长期向社会提供安全演示与科普的环境，为汽车安全产业人才培养提供土壤，为汽车信息安全科研工作提供良好支撑。2.建设内容为实现初期及中期建设目标，汽车信息安全实验室（以下简称为“实验室”）的建设内容将主要包括以下几个方面：研究方向、测试内容、场地设施、软硬件设备、运营方案、人才培养。1)实验

6、室研究方向：科学研究是实验室的首要任务。汽车信息安全属于汽车行业和安全行业的新兴交叉领域，在该领域的研究方兴未艾，有极大的科学研究内容和价值，亟需更多科研力量的投入，以科研为内在动力带动汽车产业的安全发展。另外，由于汽车安全领域的研究尚未成熟，许多关键的安全问题仍然处于盲区，亟需通过自主科研解决这些关键问题，推动汽车安全测试与检验服务的开展与普及，带动周边产业与人才培养。本方案将拟定实验室的主要研究方向、研究内容，以及对研究成果的预期。2)实验室测试内容：测试检验服务是实验室的内在驱动。作为服务于汽车产业的汽车信息安全实验室，实验室会将研究成果转化为成体系的汽车测试检验方法、流程与标准，为整车

7、厂商与零配件供应商提供信息安全方面的专业测试检验服务，反馈、跟踪、参与汽车从设计生产、上市运行到维护召回整套生命周期的信息安全问题与服务，为未来智能网联汽车与自动驾驶汽车可能面临的广泛信息安全挑战提供专业解决方案。本方案将拟定实验室的初步测试检验内容、方法与流程。3)实验室场地设施：作为汽车与信息安全的交叉型实验室，实验室的场地设施需要同时满足汽车测试实验室与信息安全实验室的设计要求，同时满足科学研究和专业测试检验的功能要求，具有高专业性和一定特殊性。本方案将拟定实验室的场地设施需求与设计方案。4)实验室软硬件设备：本方案将根据实验室研究方向与测试内容，拟定实验研究所需的软硬件设备需求，包括具

8、体数量、参数、型号、功能与预算。5)实验室运营方案：待定。6)实验室人才培养：人才培养是产业发展的长久之计。汽车信息安全研究和从业人员十分紧缺，无法应对潜在的巨大安全挑战。实验室将着重人才培养，为企业、高校、政府提供实习、实验、实践、创新平台，为社会提供安全教育、科普服务。本方案将拟定实验室人才培养规划。三、实验室建设原则1)方便扩展。在架构设计上，充分考虑可扩充性，为未来扩展留出空间。在初期研究工作不饱满的情况下，尽量让一台设备有多种用途。未来工作规模扩大，可以补充设备做到专项专用。考虑设备的更新换代以及后期维护的方便，同类设备尽量采购型号接近的产品，以便在个别设备出故障时，彼此容易替代。2

9、)产学研相结合。在实验室研究建设运行过程中，尽可能多地将汽车信息安全实验室的技术科研实力和汽车产业的具体需求相结合，尽可能多的把研究结果转化为对汽车信息安全产业的服务和人才培养上，落实到实际工作的各个方面，实现产、学、研的紧密结合。3)自身安全。汽车信息安全实验室是与互联网连通的开放实验室，因此实验室自身的网络安全建设也十分重要。实验室必须设置较强的远程访问控制手段和防护措施，避免因自身安全漏洞，导致研究结果的偏差，或被外部不法人员攻击。4)四、实验室整体建设方案本章节从实验室研究方向、测试内容、场地设施要求、建设预算、运营方案、人才培养这六个方面阐述实验室的建设方案构想。3.4.2.12.2

10、1.实验室研究方向为全面应对汽车目前和将要面对的来自各类攻击接口的信息安全挑战，实验室的研究工作将包括四个主要方向：总线安全、车际网安全、智能网联汽车传感器安全、智能网联汽车通信安全，分别对应图1中的车内通信、车联网、智能网联、外接设备部分内容。研究对象涵盖普通汽车、新能源汽车、车联网汽车、智能网联汽车、自动驾驶汽车等。图 1 汽车安全研究方向与内容实际上，以上研究方向和研究对象总结和覆盖了各种汽车在目前和将来面对的信息安全问题。总线安全与传感器安全为汽车内部的安全问题，其中总线为汽车内部信息交换的基本渠道，传感器为总线信息的重要来源；车际网安全和智能网联汽车通信安全是汽车外部的安全问题，其中

11、车际网是汽车间的局域通信，智能网联是汽车与互联网的广域通信。这些应用恰好都可以在汽车技术的集大成者车联网中找到应用。因此也可以说实验室旨在进行车联网领域的信息安全研究，并提出解决方案。车联网（Internet of Vehicles），是指以车内网、车际网和车载移动互联网为基础，按照约定的通信协议和数据交互标准，在车-X（X：车、设施、路、行人等）之间，进行无线通讯和信息交换的大系统网络。车联网的目的，是实现智能化交通管理、智能动态信息服务和车辆的智能化控制。车联网可以简单分为三个部分：车内网、车际网和车载移动互联网。车内网，也就是位于汽车内部的网络通信。这其中包括车载显示器、车载传感器与控制

12、器、以及车载资讯中心等。（对应研究方向1.1总线安全与1.3智能网联汽车传感器安全）车际网，主要是为了监测路上行驶的其他车辆的速度、位置等对其他驾驶员无法开放的隐私数据，同时自动预测出在该车行车道路前方是否有发生碰撞的可能。（对应研究方向1.2车际网安全）车载移动互联网，主要是指利用车载网关同外部移动互联网和互联网实现互联互通。（对应研究方向1.4智能网联汽车通信安全）1.1总线安全1)研究背景目前汽车电子控制单元（ECU）在车内都是通过总线网络相连接和通信的，其中最常见的是CAN总线。CAN是控制器局域网络（Controller Area Network）的简称，它产生于上世纪八十年代，在九

13、十年代中期被引入汽车，是一种事件驱动的多主机串行现场总线，协议标准为ISO 11898。CAN总线具有可靠性高、使用方便、性价比高、数据密度大等特点，而且方便进行故障诊断，因此主要用于车内大部分控制器的软实时通信，现已成为被各大汽车厂商采用的标准总线结构，但其安全性一直以来都是为人所诟病的。例如汽车控制器间的所有通讯都是未加密的明文，控制器也无法验证传入信息的来源是否真实。汽车最大的安全威胁来自总线网络的互联，基本上总线上的每个控制器都能够向其他任意控制器发送消息，因此如果任何一条总线被入侵，整辆车的内部通信安全都会受到威胁。多媒体总线如MOST，D2B与汽车控制网络的互联可能会使得恶意软件（

14、蠕虫、病毒、木马等）可以通过CD/DVD、电子邮件和无线连接入侵高安全相关性的车内系统。目前很多厂商使用网关隔离筛选的方法对OBD接口进行了数据过滤，以保护总线的安全。例如连接OBD接口只能读取到一些表示状态的CAN数据包，而不能够读取到CAN总线里的控制数据包。从对目前市面上的车型的分析上来看,按照对总线的操控程度可以分为三种安全等级。第一种是能够通过OBD接口读取到CAN总线数据的，并且能够通过OBD往CAN总线内部发送数据。第二种是只能够通过OBD接口读到数据，不能够通过OBD发送数据。第三种是需要根据J1939协议下发诊断协议，才返回相应的数据，并且不能够通过OBD接口往总线发数据。图

15、 2 汽车总线结构虽然汽车制造厂商已经在汽车CAN总线上加装了防护装置，但是在网联汽车逐步兴起的今天，汽车与外界的信息交互量今非昔比，传统信息安全领域中类似网关的一系列过滤防护已经出现了很多破解案例，黑客们可以根据这些案例很快破解汽车CAN总线的过滤防护，进入到CAN总线对其中的信息进行篡改。因此，总线安全是十分重要且基础的汽车信息安全研究方向。2)研究内容研究目的：通过研究汽车车载网络的攻击方法，对攻击手段和风险进行威胁建模，根据威胁所针对的技术应用做安全加固和安全防御，达到降低风险的目的。研究内容：针对汽车车载网络进行总体安全分析，包括CAN总线、以太网总线、多总线融合网关、汽车控制接口通

16、信等，从而研究确立攻击接口、攻击方法和攻击后果；针对以太网总线、CAN总线、汽车控制接口VAPI、控制网关进行逆向分析、网络活动分析、模糊测试、渗透测试、风险评估，形成总体安全报告对风险进行量化，评估身份认证、加密传输、访问控制等防护手段的可行性；研究实现汽车总线网络通信安全防护技术，对汽车网关、使用的总线协议需要应用的信息安全技术展开全面的研究，主要包括使用合理的身份认证、加密传输、访问控制、入侵检测等手段保障汽车车内通信的安全等。1.2车际网（V2X）安全1)研究背景车际网（V2X），主要是为了解决车与车(V2V)、车与路(V2I)、车与网(V2G)、车与人(V2P)等的互联互通。其中V2

17、V，也就是Vehicle-to-Vehicle，主要是指汽车与汽车之间通过5.9GHz频段进行通信，也是802.11技术的一种网状网变体技术802.11p。相比于其他802.11协议，V2V的单节点覆盖范围最高300米，并且使用专用短程通信（DSRC）协议。V2V系统每秒发送十次信息，每次发送11个数据，包括汽车的GPS定位信息，加速度，刹车状态，方向盘转角和车速等。而网状网络（Mesh Network）是一种在网络节点间透过动态路由的方式来进行资料与控制指令的传送，可使用“跳跃”的方式形成新的路由后将讯息送达远方传输目的地。在网状网的支持下，V2V系统通过5-10个节点（即装有V2V设备的车

18、辆）的跳跃就能收集1.6公里范围内的车辆交通状况。以车际网为代表的智能交通系统（ITS）极大地提高了驾驶舒适性和安全性，但是与此同时，在汽车之间收集和共享的汽车信息和环境信息同样带来了隐私安全问题。车际网的应用和实现很大程度上基于汽车位置的共享，因此作为协同安全应用的一部分，实时位置和路径会在车际网中被周期性广播。如果没有合适的隐私保护措施，这些广播的位置信息将会导致汽车被定位和追踪，带来严重的安全隐患。智能交通系统的普及会将V2X通信暴露在不安全的公共通信环境中，任何人都可以进行监听并可能实现汽车的追踪，而这一点很可能会被不法分子利用，或被利益相关者用于非法用途。车际网的实际应用很大程度上取

19、决于装备该技术的汽车数量以及占比，而大规模隐私安全问题会成为该技术应用的重要担忧之一。因此，车际网的隐私问题是一个亟需研究的领域。2)研究内容研究目的：通过对V2X通信协议和路由协议的安全分析，研究V2X的隐私安全问题，建立汽车定位跟踪威胁模型，提出实现更高隐私保护的通信协议和路由算法。研究内容：A.On-Board UnitOn-Board Unit是V2X的车载组件，执行V2X信息的处理、接收和发送。OBU可能存在软件层面、算法层面和数据层面的安全漏洞，导致信息错误或信息泄露，例如流入车联网中的错误的汽车信息会导致一系列连锁反应，单个汽车节点可能成为局域网的窃听节点，并通过汽车节点的智能网

20、联功能被攻击者控制为肉鸡，在不需要铺设外部设备设施的情况下实现窃取信息的远程传输和车辆的远程监控跟踪。本方向的研究将结合在车机上的研究经验，对OBU进行漏洞扫描、代码审计、模糊测试、逆向分析等安全测试，研究安全隐私问题，提出系统防御方案。 图 3 On-Board UnitB.V2X通信协议和路由算法研究V2X通信协议和路由算法安全，结合协议分析、模糊测试，以及实地V2X监听实验，对隐私安全问题进行可行性验证，解决在多种复杂场景下的安全通信与路由问题。研究汽车节点的匿名轮换机制与跳频机制，包括节点入网、匿名分配、节点证书颁发、匿名对照、节点认证、通信加密、匿名证书颁发等诸多科学问题，特别是匿名

21、组网和通信过程中的隐私安全问题。研究通过边信道和设备无线以及硬件指纹进行汽车认证和定位跟踪的可行性。 图 4 V2X监听C.安全测试平台研发开发一套用于智能网联（V2X通过DSRC通信）和自动驾驶（用于所有SAE自动化1至5级）车辆的安全测试工具。主要目标是为车厂和供应商提供测试台，以便在车辆、传感器、算法层面对恶意输入进行测试，例如预定义的攻击集合、模糊测试、或将系统置于正常工作范围之外。因此，汽车制造商或供应商将会了解其系统的潜在漏洞并进行改进。该工具还将提出硬件或软件对策，帮助汽车制造商进行针对性设计改进。V2X安全测试工具：- 目标：设计一个测试工具，分析在V2X车载单元上可行的漏洞和

22、攻击。- 需要的设备：OBU（或能够V2X通信的软件定义的无线电）、天线、潜在的车辆、计算机、CAN总线仿真器。- 测试用例示例：证书攻击（例如伪造，无效）、对V2X应用程序的攻击、拒绝服务、侧信道攻击。可交付成果将是：- 安全测试计划：描述安全测试过程的文档（例如设备设置，攻击设置，收集结果）。- 测试台：进行安全测试的设备。- 收集和分析实验结果的软件。1.3智能网联汽车传感器安全1)研究背景智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与车、车与人、车与云等智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等功能，可实现“高效、安全、舒

23、适、节能”行驶，并最终实现代替人来操作的新一代汽车。图 5 智能网联汽车传感器传感器是智能网联汽车正常工作的信息基础，智能网联汽车的重要信息来源之一，更是自动驾驶汽车的生命线，对汽车安全具有至关重要的作用。常见的汽车传感器包括碰撞传感器、角速度计、温湿度传感器、压力传感器、角度传感器、光传感器、速度传感器、射频天线，以及智能网联汽车常见的超声波传感器、雷达、摄像头、激光雷达等，它们都应用于汽车重要的生命保障、主动与被动安全、车身控制、舒适功能、驾驶员辅助功能、自动驾驶等汽车最基本、最重要和最先进的功能技术上。然而，恶意攻击可以使这些作为信息来源的传感器产生异常数据，从而造成严重后果。智能网联汽

24、车传感器安全是安全领域新兴的科学研究领域，在汽车信息安全上具有重要研究意义，对智能网联汽车和未来自动驾驶汽车的安全检测评估具有重要应用价值。2)研究内容传感器安全研究的基本内容是通过渗透测试和模糊测试的方法发现传感器的安全漏洞、评估漏洞利用的可行性与影响、提出防御措施。但是，汽车传感器种类复杂，所依赖的物理原理也各有不同，因此攻击途径和防护措施也不尽相同。本部分选取典型的几种传感器对这类研究做简单说明。A.摄像头研究目的：通过对摄像头能够抵抗攻击的能力进行研究，对潜在安全威胁进行针对性防护，降低自动驾驶的安全风险。研究内容：自动驾驶汽车使用工业摄像机对路面交通标识、车道线、车速进行识别、标定相

25、对位置和车速。通过光学干扰攻击可以对摄像头采集芯片进行干扰，造成摄像头产生误报，从而影响汽车行驶路径。实验将使用光学攻击方法对多款摄像头进行测试，通过多种不同光源如激光、红外线、LED、在不同频率以及多重投射方式，矩阵、点光源、反射光源、对摄像头进行采集研究，判断对摄像头采集数据的干扰效果，并对干扰的对象以及极值进行记录和评定。图 6 摄像头安全研究B.毫米波雷达研究目的：通过研究针对汽车毫米波雷达的干扰攻击，评估毫米波雷达的抗干扰能力，进行针对性防护。研究内容：毫米波雷达在自动巡航控制和自动驾驶中具有重要用途。通过高频定向干扰可以影响雷达的测量工作过程，造成阻塞效果或篡改雷达测距结果，影响汽

26、车控制。实验将使用下变频器、频谱分析仪、示波器等专业设备分析毫米波雷达特性，使用信号发生器和倍频器产生干扰信号，针对毫米波雷达本身特点进行物理攻击，检测毫米波雷达的准确性和抗干扰性，同时通过查看汽车系统的显示状态判断攻击对车身控制的影响。研究将进行包括阻塞攻击、欺骗攻击、信号吸收等雷达攻击手段，分析汽车雷达在复杂路面环境中及攻击场景中的鲁棒性和数据可靠性，并检验自动驾驶系统在传感器信息融合上的安全可靠性。 图 7 毫米波雷达安全研究C.激光雷达研究目的：通过对汽车激光雷达进行干扰攻击测试，评估激光雷达的安全性，进行针对性防护。研究内容：激光雷达（LiDAR）是以发射激光束探测目标的位置、速度等

27、特征量的雷达系统。从工作原理上讲，与微波雷达没有根本的区别：向目标发射探测信号(激光束),然后将接收到的从目标反射回来的信号(目标回波)与发射信号进行比较,作适当处理后,就可获得目标的有关信息,如目标距离、方位、高度、速度、姿态、甚至形状等参数,从而对目标进行探测、跟踪和识别。研究将针对激光雷达的特性，采用无源或有源干扰模式对汽车激光雷达进行干扰攻击测试，通过一定的标定测试判定激光雷达是否可以被干扰。图 8 激光雷达安全研究1.4智能网联汽车通信安全1）研究背景随着移动通信技术、互联网技术的飞速发展，汽车智能网联系统也日新月异，成为汽车行业的重要驱动力和新的增长点。汽车智能网联系统包括Tele

28、matics box（T-box）、Telematics service provider（TSP）、 APP、In-Vehicle Infotainment（IVI）等系统，通过这些系统将汽车与互联网、手机APP联系起来，赋予了汽车更多的功能，同时这也意味着汽车与外界增加了更多的接触面，更多的接触面会带来更多的风险；恶意攻击者可以通过对Telematics系统进行恶意攻击，可能导致用户身份信息泄露、行驶数据泄露等营私泄露问题，更严重问题是攻击者甚至可以通过Telematics系统间接或者直接的对汽车本身进行控制；因此，现在车联网安全是汽车信息安全的重中之中。2）研究内容A.T-box（Tel

29、ematics box）研究目的：通过对T-box进行硬件设计、固件分析，总体评估T-box的安全性，并设计防护方案。研究内容：T-BOX主要用于汽车与TSP的通信，实现手机APP的车辆信息显示与控制，TSP后台会发出监控请求指令到T-box，汽车在获取到控制命令后，通过CAN总线发送控制报文并实现对汽车的控制，最后反馈操作结果到用户的手机APP上，仅这个功能可以帮助用户远程启动汽车、打开空调、调整座椅至合适位置等。针对T-box具备的功能，需要针对T-box的自身硬件设计，软件平台，网络传输，协议应用等方面进行全面的评估。使用市面上比较流行的系统安全扫描器，常用硬件系统安全测试脚本，结合硬件

30、系统自身的特性，进行有针对性的系统测试。图 9 T-box安全研究B.TSP（Telematics service provider）研究目的：通过对TSP进行渗透测试、接口测试、构架设计评估，总体评估TSP的安全性，并设计防护方案。研究内容：TSP（Telematics Service Provider），内容服务提供者支撑内容提供商主要为服务提供商生产文本、图像、音频、视频或多媒体信息。在Telematics产业链居于核心地位。通常TSP是一个Web服务，提供接口、连接汽车、与汽车进行通信，可以采集汽车的数据，同时也可以下发命令让汽车执行。因此TSP在Telematics系统中处于一个核心

31、位置。针对TSP的Web特性，对提供的TSP服务的WEB站点进行黑盒的渗透测试，看TSP服务接口是否存在明显的安全漏洞，造成篡改攻击，拒绝服务攻击的可能性。针对评估结果进行横向扩展，判断是否影响大面积车辆。评估结束后会提供安全评估报告和安全整改建议。图 10 TSP平台安全研究C.手机APP研究目的：通过对手机APP进行代码审计、逆向分析，总体评估T-box的安全性，并设计防护方案。研究内容：手机App主要用于用户查看汽车的状态，下发对汽车的控制指令；通过调用TSP的API，与TSP平台进行通信，TSP平台再把相关指令下发给相对应的汽车执行执行；对手机应用软件进行安全评估，通过逆向分析等手段对

32、预装软件进行安全审计，保障代码信息不被泄露。模拟黑客使用APP对车联网终端进行攻击，从车联网智能终端的业务流程上进行安全分析，验证信息篡改，校验身份验证。查看是否能够未进经授权控制任意车辆，利用漏洞批量控制一批车辆等。图 11 手机APP安全研究D.IVI（In-vehicle infotainment）研究目的：通过对IVI进行代码审计、架构设计评估，总体评估IVI的安全性，并设计防护方案。研究内容：IVI能够实现包括导航、辅助驾驶、故障检测、车辆信息、车身控制、移动办公、无线通讯、基于在线的娱乐功能及TSP服务等一系列应用，极大的提升的车辆电子化、网络化和智能化水平。对于IVI系统分为两部分：1、硬件部分：针对车机的主板安全性、存储安全性、总线安全性、I/O接口、等进行烧录测试，对MCU芯片固件和固件提取后进行数据分析，通过模糊测试该车机发现相关的安全问题和风险。2、系统部分：针对车机系统本身进行安全测试，包括车机的log输出防护进行，防篡改性、车机