導(dǎo)語：智能汽車信息安全技術(shù)現(xiàn)狀與展望一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著智能化水平及車聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,智能汽車應(yīng)運(yùn)而生,被視為能夠徹底解決交通擁堵、提高出行效率、減少事故發(fā)生率的絕佳方式。科技的發(fā)展帶來高效與便捷的同時(shí)也帶來了極大的不安全性,黑客利用智能汽車存在的漏洞實(shí)行遠(yuǎn)程或近程攻擊,造成車輛失控、隱私數(shù)據(jù)泄露等威脅。從智能汽車通信安全、操作系統(tǒng)及應(yīng)用安全、感知層安全等角度出發(fā),針對(duì)各個(gè)層面的安全威脅及安全防護(hù)技術(shù)發(fā)展現(xiàn)狀進(jìn)行總結(jié)梳理,并在此基礎(chǔ)上對(duì)智能汽車信息安全技術(shù)發(fā)展趨勢(shì)進(jìn)行展望。

關(guān)鍵詞:智能汽車;車聯(lián)網(wǎng);信息安全;信息防護(hù)

隨著互聯(lián)網(wǎng)技術(shù)、車聯(lián)網(wǎng)技術(shù)的高速發(fā)展以及產(chǎn)業(yè)變革的不斷推進(jìn),智能汽車受到越來越廣泛地關(guān)注,被視為解決交通擁堵、降低事故發(fā)生率、提高駕駛乘坐體驗(yàn)的重要途徑,成為當(dāng)今互聯(lián)網(wǎng)巨頭公司和各大科研機(jī)構(gòu)研究的熱點(diǎn)方向之一。智能汽車使交通出行變得更加智能化、便利化的同時(shí),也帶來了一系列的安全問題。由于車輛接入了互聯(lián)網(wǎng),因此智能汽車內(nèi)部的控制單元、傳感單元、通信單元、ECU單元均存在被入侵的風(fēng)險(xiǎn),諸如黑客控制車輛行駛軌跡、盜取車主個(gè)人信息、破壞駕駛系統(tǒng)等安全事件的頻發(fā)也為智能汽車的發(fā)展敲響了警鐘,此類安全問題造成的后果往往比傳統(tǒng)信息安全問題更加嚴(yán)重,更加難以預(yù)防。為應(yīng)對(duì)諸多信息安全問題,智能汽車信息安全技術(shù)越發(fā)受到重視。本文作者從通信系統(tǒng)安全、應(yīng)用及操作系統(tǒng)安全、感知系統(tǒng)安全3個(gè)角度對(duì)智能汽車信息安全威脅及防護(hù)技術(shù)進(jìn)行綜合回顧,并對(duì)智能汽車信息安全技術(shù)的發(fā)展趨勢(shì)進(jìn)行分析展望。

1威脅現(xiàn)狀分析

1.1整體架構(gòu)。結(jié)合智能汽車易出現(xiàn)漏洞威脅的位置及車聯(lián)網(wǎng)的結(jié)構(gòu)組成,智能汽車信息安全架構(gòu)如圖1所示。文中將智能汽車信息安全分為4個(gè)維度,其中數(shù)據(jù)安全貫穿于智能汽車網(wǎng)絡(luò)數(shù)據(jù)交互的始終,因此分別針對(duì)通信系統(tǒng)、應(yīng)用與操作系統(tǒng)、感知系統(tǒng)威脅場(chǎng)景及安全防護(hù)技術(shù)進(jìn)行分析梳理。1.2通信系統(tǒng)。智能汽車通信系統(tǒng)安全涉及兩個(gè)層面:(1)以蜂窩網(wǎng)絡(luò)、WIFI等為主的外部通信系統(tǒng)(V2X);(2)以CAN總線為主的車輛內(nèi)部總線通信系統(tǒng)。1.2.1V2X外部通信V2X使車輛真正做到了車與車(V2V),車與基站(V2I)、車與云端(V2C)互聯(lián),是車聯(lián)網(wǎng)的關(guān)鍵支撐技術(shù)。同時(shí)基于通信系統(tǒng)存在的漏洞實(shí)現(xiàn)入侵也是黑客最常見的手段之一[1]。車外通信系統(tǒng)常見的安全威脅主要有傳輸數(shù)據(jù)遭到泄露、修改、破壞[2],安全風(fēng)險(xiǎn)點(diǎn)有端口安全、身份認(rèn)證、傳輸安全等。1.2.1.1端口安全端口安全是指車聯(lián)網(wǎng)通信系統(tǒng)中存在可被利用的端口,黑客通過端口對(duì)系統(tǒng)實(shí)施入侵,例如EDWIN等[3]通過對(duì)IVI的WIFI模塊進(jìn)行結(jié)構(gòu)化漏洞掃描,發(fā)現(xiàn)可輕易獲得開放端口、物理地址、芯片廠商名稱、FQDN、mDNS主機(jī)名、時(shí)間戳、行駛路徑等敏感信息,同時(shí)可通過WIFI開放端口入侵IVI的文件系統(tǒng)并竊取照片、視頻、音樂、文件等數(shù)據(jù);MILLER等[4]通過對(duì)移動(dòng)蜂窩通信端口進(jìn)行入侵,實(shí)現(xiàn)了對(duì)IVI的控制,進(jìn)一步實(shí)現(xiàn)了對(duì)車輛的遠(yuǎn)程控制。因此,為確保智能汽車信息安全,可使用端口掃描工具對(duì)T-Box、IVI、云平臺(tái)中涉及的端口進(jìn)行掃描,查看高危端口是否開放,是否存在可被利用的漏洞。1.2.1.2身份認(rèn)證身份認(rèn)證是指對(duì)通信雙方的身份進(jìn)行認(rèn)證的過程,有助于識(shí)別虛假設(shè)備及虛假信號(hào),防止出現(xiàn)中間人攻擊等威脅[5]。由于智能汽車經(jīng)常處于快速移動(dòng)的狀態(tài)中,因此對(duì)于通信系統(tǒng)的時(shí)延要求極高,車聯(lián)網(wǎng)系統(tǒng)通常簡(jiǎn)化身份認(rèn)證過程(例如共享密鑰由通信伙伴制定),這種不安全的身份驗(yàn)證機(jī)制,可能使黑客輕松的偽造身份并入侵通信系統(tǒng)。例如,攻擊者采用MITC(Maninthecloud)攻擊的方式,通過令牌進(jìn)行身份欺騙,可以訪問云賬戶,竊取數(shù)據(jù),更改文件信息,甚至上傳惡意文件[6]。在車輛網(wǎng)絡(luò)中,大多數(shù)隱私防護(hù)方案都容易受到女巫攻擊(SybilAttack)[7]的威脅,黑客通過惡意節(jié)點(diǎn)制造大量虛假的身份不斷攻擊通信系統(tǒng),從而中斷車輛網(wǎng)絡(luò)的正常運(yùn)行,如圖2所示,攻擊者通過產(chǎn)生女巫節(jié)點(diǎn)V3,對(duì)周圍自動(dòng)駕駛模式下行駛的汽車V1進(jìn)行干擾致其變道,追尾正常行駛的汽車V2,導(dǎo)致事故發(fā)生。1.2.1.3傳輸安全傳輸安全是指數(shù)據(jù)在傳輸過程中所涉及的數(shù)據(jù)安全、加解密安全等。智能汽車數(shù)據(jù)在傳輸過程中易受到的典型攻擊方式[8],大致可分為時(shí)序攻擊、干擾攻擊、中間人攻擊、暴力破解、欺騙攻擊等。時(shí)序攻擊[9]是指在不改變?cè)緜鬏敂?shù)據(jù)的情況下,通過向時(shí)間槽中添加更多信息造成正常數(shù)據(jù)傳輸延遲。智能汽車對(duì)時(shí)延極其敏感,假設(shè)車輛以60km/h的速度行駛,0.1s的時(shí)延就能造成剎車距離增加1.6m,因此時(shí)延攻擊極有可能造成重大交通事故。干擾攻擊[10]是指干擾智能汽車與外界通信的方式,諸如藍(lán)牙、DSRC、WIFI等,一般是通過向數(shù)據(jù)傳輸過程發(fā)送錯(cuò)誤信息或干擾信號(hào)實(shí)現(xiàn)的。例如基于DSRC短程通信技術(shù)實(shí)現(xiàn)的ETC系統(tǒng),當(dāng)受到外界惡意干擾時(shí),路測(cè)設(shè)備會(huì)出現(xiàn)無法讀取電子標(biāo)簽或讀取錯(cuò)誤等現(xiàn)象,造成收費(fèi)故障[11]。中間人攻擊是針對(duì)車聯(lián)網(wǎng)通信系統(tǒng)最經(jīng)典的攻擊方式之一,攻擊者可處在V2X過程中的任何兩個(gè)通信節(jié)點(diǎn)之間,針對(duì)通信內(nèi)容進(jìn)行劫持、篡改與轉(zhuǎn)發(fā)。中間人攻擊一方面對(duì)造成隱私信息泄露,另一方面篡改車間通信數(shù)據(jù)可能造成嚴(yán)重的交通事故[12]。針對(duì)中間人攻擊可采取的防護(hù)手段有身份認(rèn)證、通信數(shù)據(jù)加密等。為保證通信系統(tǒng)的信息安全,智能汽車傳輸數(shù)據(jù)多采用密鑰、加密算法進(jìn)行加密。暴力破解[13]則針對(duì)密鑰及密碼進(jìn)行攻擊,其原理是采用原始且有效的“枚舉法”進(jìn)行破解,基于密碼字典中的密碼,每秒可進(jìn)行數(shù)十億次的嘗試。暴力破解同樣適用于車聯(lián)網(wǎng)系統(tǒng)中諸如系統(tǒng)登錄、加密算法等場(chǎng)合。1.2.2內(nèi)部通信智能汽車內(nèi)部通信系統(tǒng)安全是指車載信息交互系統(tǒng)通過CAN總線與車內(nèi)其他控制器節(jié)點(diǎn)能夠進(jìn)行數(shù)據(jù)的安全交互。CAN總線技術(shù)經(jīng)歷了20余年的發(fā)展,其在車內(nèi)通信系統(tǒng)中表現(xiàn)出了極佳的穩(wěn)定性、容錯(cuò)率和高效率,但CAN總線在問世時(shí)汽車尚處于不與外界聯(lián)網(wǎng)的“封閉狀態(tài)”,因此并未設(shè)置任何針對(duì)外網(wǎng)的安全機(jī)制。當(dāng)汽車接入互聯(lián)網(wǎng)后,CAN總線完全暴露于互聯(lián)網(wǎng)環(huán)境中,黑客可以輕松監(jiān)聽總線報(bào)文信息,從而逆向破解總線協(xié)議,實(shí)施惡意攻擊[14-16]。例如NISHIDA[17]提出了一種新的重放攻擊,能夠繞過CAN與MAC通信的計(jì)數(shù)器同步校驗(yàn)機(jī)制,實(shí)驗(yàn)證實(shí)了此種攻擊方式的可行性,并呼吁有必要針對(duì)重放問題提出相應(yīng)的對(duì)策。表1為智能汽車通信系統(tǒng)攻擊場(chǎng)景及攻擊方式。綜上,通信系統(tǒng)是智能汽車最易被黑客利用的模塊之一,傳統(tǒng)汽車制造廠商對(duì)于汽車的信息安全防護(hù)薄弱,車載WIFI、LTE通信及CAN總線通信等均可能遭到攻擊,存在數(shù)據(jù)被劫持、篡改等風(fēng)險(xiǎn),因此采取安全措施針對(duì)通信系統(tǒng)加強(qiáng)防護(hù)值得引起關(guān)注。1.3應(yīng)用與操作系統(tǒng)。汽車的嵌入式操作系統(tǒng)起源于20世紀(jì)90年代,車載電控系統(tǒng)日趨復(fù)雜推動(dòng)了基于微控制芯片的嵌入式操作系統(tǒng)的發(fā)展。隨后,車聯(lián)網(wǎng)的迅速發(fā)展以及各大互聯(lián)網(wǎng)巨頭的涌入使車載操作系統(tǒng)得到迅速發(fā)展,功能日趨強(qiáng)大完善,按照開發(fā)平臺(tái)的不同,主流車載操作系統(tǒng)類型及特點(diǎn)見表2。車載操作系統(tǒng)種類繁多,與此對(duì)應(yīng)的應(yīng)用程序也各式各樣,由此帶來的安全問題也日益增多。車載應(yīng)用及操作系統(tǒng)存在的安全風(fēng)險(xiǎn)主要集中于以下兩個(gè)方面:系統(tǒng)更新和代碼安全。1.3.1系統(tǒng)更新車端操作系統(tǒng)的升級(jí)是極易被黑客利用的安全風(fēng)險(xiǎn)點(diǎn)[18]。整車廠采用OTA(Over-the-air)的方式對(duì)操作系統(tǒng)進(jìn)行升級(jí),提高了升級(jí)效率,降低了升級(jí)成本,能在很短時(shí)間內(nèi)對(duì)安全漏洞做出反應(yīng),同時(shí)也帶來了一系列安全問題[19]。軟件及操作系統(tǒng)更新面臨的安全威脅主要體現(xiàn)在升級(jí)包的完整性、可用性、保密性遭到破壞,黑客可通過截取、篡改升級(jí)包的方式實(shí)現(xiàn)對(duì)車輛的攻擊。1.3.2代碼安全KarambaSecurity公司的首席執(zhí)行官阿米•多坦表示:智能汽車每1800行代碼就存在一些錯(cuò)誤,其中80%是安全漏洞[20]。一輛智能汽車的代碼一般超過3億行,潛在安全漏洞數(shù)目大約為15000個(gè)。這些安全漏洞輕則造成隱私數(shù)據(jù)泄露,重則造成車輛失控,嚴(yán)重影響行車安全。理論上講,智能汽車代碼與傳統(tǒng)軟件代碼并無本質(zhì)上的差別,因此漏洞主要有緩沖區(qū)溢出、未驗(yàn)證輸入、權(quán)限控制等[21],由于智能汽車操作系統(tǒng)代碼量巨大,因此往往采用自動(dòng)化掃描工具對(duì)漏洞展開發(fā)掘,常用的漏洞掃描方式主要有二進(jìn)制掃描[22]、源碼審計(jì)[23]、逆向測(cè)試[24]等等。綜上,雖然并非所有的主機(jī)廠都有能力研發(fā)自己的車載操作系統(tǒng),但是考慮到車載操作系統(tǒng)對(duì)于智能汽車的特殊性,其安全風(fēng)險(xiǎn)及安全防護(hù)需受到重點(diǎn)關(guān)注。目前關(guān)于操作系統(tǒng)及應(yīng)用的研究主要聚焦于新功能開發(fā),而對(duì)于安全問題并未引起太多重視,相關(guān)安全技術(shù)的研究主要集中于訪問控制、系統(tǒng)更新、代碼安全等方面,多為沿用了傳統(tǒng)軟件安全技術(shù)或在其的基礎(chǔ)上進(jìn)行的,未來可結(jié)合車載操作系統(tǒng)的特殊性,針對(duì)性地開展漏洞檢測(cè)工具的開發(fā)。1.4感知系統(tǒng)。感知層是智能汽車的數(shù)據(jù)輸入端,用于感知路況信息,通常由激光雷達(dá)、毫米波雷達(dá)、攝像頭、超聲波雷達(dá)構(gòu)成。美國(guó)軟件安全公司SecurityInnovation的首席科學(xué)家PETIT將感知層確定為智能汽車最易受攻擊的模塊。感知層是智能汽車自動(dòng)駕駛系統(tǒng)的關(guān)鍵輸入模塊,如果輸入遭到破壞或威脅,輕則使自動(dòng)駕駛系統(tǒng)停止工作,重則影響決策層的路徑規(guī)劃,造成嚴(yán)重的交通事故。PETIT等[25]利用商用硬件對(duì)車載激光雷達(dá)系統(tǒng)與攝像頭系統(tǒng)實(shí)現(xiàn)了遠(yuǎn)程攻擊,實(shí)驗(yàn)結(jié)果表明,利用簡(jiǎn)單的激光二極管等設(shè)備就能有效地實(shí)現(xiàn)激光雷達(dá)的干擾、重放攻擊、中繼攻擊和欺騙攻擊,同時(shí)激光二極管也可令攝像頭產(chǎn)生“致盲現(xiàn)象”,一定時(shí)間段內(nèi)無法進(jìn)行周圍障礙物的探測(cè)。YAN等[26]針對(duì)毫米波雷達(dá)與超聲波雷達(dá)開展了干擾與欺騙測(cè)試:通過超聲波發(fā)射儀發(fā)射與車載超聲波雷達(dá)同頻率與同強(qiáng)度的超聲波進(jìn)行干擾,提高車載超聲波系統(tǒng)的信噪比,使其無法正常接收信號(hào),失去對(duì)周圍障礙物的探測(cè)能力;欺騙攻擊則相對(duì)復(fù)雜,需要在適當(dāng)?shù)臅r(shí)間周期內(nèi)注入適當(dāng)頻率及強(qiáng)度的模擬信號(hào),使超聲定位系統(tǒng)誤認(rèn)為前方存在障礙物。相同的攻擊方法同樣適用于毫米波雷達(dá)。綜上,智能汽車感知層面臨的安全威脅具有以下特點(diǎn):(1)攻擊方式簡(jiǎn)單。與其他層面的攻擊不同,針對(duì)感知層的攻擊不需要使用復(fù)雜的設(shè)備,利用成本極低的激光二極管等工具即可發(fā)起攻擊;(2)破壞力大。感知層是智能汽車自動(dòng)駕駛決策層與執(zhí)行層的基礎(chǔ),因此雖然攻擊方式成本低且實(shí)現(xiàn)簡(jiǎn)單,但造成的破壞性不亞于其他層面的威脅;(3)攻擊面大。由于智能汽車需要準(zhǔn)確的感知周圍車況的變化,因此分布有眾多的感知設(shè)備,以特斯拉為例,共有8個(gè)攝像頭,12個(gè)超聲波雷達(dá),1個(gè)毫米波雷達(dá),眾多的傳感器帶來360°路況信息的同時(shí)也擴(kuò)大了攻擊面。

2安全防護(hù)現(xiàn)狀分析

綜合國(guó)內(nèi)外研究,智能汽車信息安全技術(shù)的研究尚處于局部深入階段,往往扎根于某一方面的漏洞檢測(cè)、防護(hù)技術(shù)的研究,尚未形成能夠被業(yè)界廣泛認(rèn)可的安全防護(hù)體系。2.1通信系統(tǒng)防護(hù)。通信系統(tǒng)的防護(hù)主要從兩個(gè)層面展開:(1)以入侵檢測(cè)系統(tǒng)為主的主動(dòng)防護(hù)策略,面向的攻擊方式及防護(hù)對(duì)象多樣化;(2)針對(duì)性的防護(hù)策略,針對(duì)某一個(gè)或幾個(gè)特定的攻擊方式開展防護(hù)。2.1.1主動(dòng)防護(hù)系統(tǒng)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystems,IDS)已經(jīng)證明了其在保護(hù)傳統(tǒng)網(wǎng)絡(luò)信息安全方面的重要作用,因此也成為保障智能汽車信息安全的首選方式之一。隨著智能汽車的不斷發(fā)展升級(jí),車聯(lián)網(wǎng)入侵檢測(cè)技術(shù)也不斷發(fā)展。針對(duì)車載自組網(wǎng)安全,SPARSH等[27]提出了一種基于前瞻性誘餌的蜜罐優(yōu)化入侵檢測(cè)系統(tǒng),能夠針對(duì)各種攻擊實(shí)現(xiàn)前后防御,以最低的成本檢測(cè)各類入侵,表現(xiàn)出了較好的優(yōu)越性。另一方面,入侵檢測(cè)系統(tǒng)應(yīng)用于車聯(lián)網(wǎng)安全仍然存在一些問題,諸如部署位置、體系結(jié)構(gòu)、檢測(cè)正確率、資源消耗和檢測(cè)延遲等仍需進(jìn)一步研究。GEORGE等[28]提出了車聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)的架構(gòu)特征,包括車輛自檢測(cè)、聯(lián)合檢測(cè)、卸載檢測(cè)3個(gè)主要方式,同時(shí)共對(duì)66項(xiàng)入侵檢測(cè)技術(shù)進(jìn)行說明,該工作有助于理清IDS技術(shù)發(fā)展脈絡(luò),同時(shí)對(duì)于車聯(lián)網(wǎng)入侵檢測(cè)系統(tǒng)的開發(fā)具有一定的指導(dǎo)意義。此外,一些體系性的防護(hù)策略也不斷被提出,BOU-MIZA和BRAHAM[29]對(duì)智能汽車內(nèi)部及外部通信系統(tǒng)進(jìn)行了分析,在此基礎(chǔ)上提出了通信系統(tǒng)安全防護(hù)體系,包括通信加密、協(xié)議安全、身份驗(yàn)證、風(fēng)險(xiǎn)感知等技術(shù)。KALININ等[30]闡述了車載自組網(wǎng)信息安全的重要性,提出了基于軟件定義安全技術(shù)(SoftwareDefinedSe-curity,SDS),結(jié)合數(shù)據(jù)流控制、安全策略實(shí)施、訪問控制和機(jī)密性等技術(shù),提高車載自組網(wǎng)絡(luò)的安全性,由于該方案與硬件和節(jié)點(diǎn)無關(guān),因此可較為方便靈活的實(shí)施。2.1.2針對(duì)性防護(hù)一些針對(duì)具體攻擊方式的防護(hù)策略也不斷被提出。針對(duì)欺騙攻擊,DIMITRIOS等[31]提出了一種基于概率性跨層技術(shù)的安全防護(hù)系統(tǒng),該系統(tǒng)利用相對(duì)速度進(jìn)行位置驗(yàn)證,通過比較車載單元觀察到的兩個(gè)通信節(jié)點(diǎn)之間的距離與使用物理層交換信號(hào)計(jì)算出的相對(duì)速度值估計(jì)出的距離來實(shí)現(xiàn)檢測(cè),實(shí)驗(yàn)證明該系統(tǒng)能夠檢測(cè)到超過90%的欺騙攻擊。針對(duì)通信隱私安全問題,MOAYAD等[32]為智能汽車引入了一種自動(dòng)化的安全連續(xù)云服務(wù)可用性框架,該框架啟用了針對(duì)安全攻擊的入侵檢測(cè)機(jī)制,入侵檢測(cè)是通過三相數(shù)據(jù)流量分析和分類技術(shù)來完成的,同時(shí)采用深度學(xué)習(xí)和決策樹機(jī)制,識(shí)別虛假請(qǐng)求與可信服務(wù)請(qǐng)求,實(shí)驗(yàn)證明該方案的總體準(zhǔn)確度達(dá)到了99.43%。針對(duì)基礎(chǔ)設(shè)施與智能汽車間的通信(V2I)安全問題,JOY和GERLA[33]提出了一種車輛匿名上傳傳感器數(shù)據(jù)的隱私保護(hù)技術(shù),該技術(shù)基于其提出的草堆隱私(HaystackPrivacy)概念,即將眾多數(shù)據(jù)所有者不可區(qū)分地混在一起,就像隱藏在草堆中,無法分辨出上傳者的具體身份,從而實(shí)現(xiàn)傳感器數(shù)據(jù)匿名上傳,此種方式的不足在于需要足夠多的數(shù)據(jù)所有者參與,以確保數(shù)據(jù)上傳者能夠充分隱藏身份。針對(duì)女巫攻擊造成的身份認(rèn)證問題目前有兩種解決方案:(1)基于第三方機(jī)構(gòu)建立的公鑰基礎(chǔ)設(shè)施(PKI),通過部署在車輛上的密鑰實(shí)現(xiàn)車輛的身份認(rèn)證,定期對(duì)密鑰進(jìn)行更新,但此種方式在實(shí)際應(yīng)用部署中仍存在很多實(shí)際問題,例如政府在PKI體系中扮演什么角色;(2)基于周圍節(jié)點(diǎn)信號(hào)強(qiáng)度進(jìn)行識(shí)別,根據(jù)給定的傳播模型估計(jì)其新位置,若節(jié)點(diǎn)聲明的位置與計(jì)算出的位置不同,則此節(jié)點(diǎn)為女巫攻擊節(jié)點(diǎn)[34-35]。由于針對(duì)智能汽車通信系統(tǒng)的攻擊及防護(hù)技術(shù)眾多,文中不再一一贅述,其他主要攻擊及防護(hù)方式見表3。2.2應(yīng)用與操作系統(tǒng)的安全防護(hù)。應(yīng)用與操作系統(tǒng)的安全防護(hù)與傳統(tǒng)軟件安全防護(hù)并無本質(zhì)上的區(qū)別,主要的防護(hù)方式有訪問控制、代碼加密、簽名校驗(yàn)等技術(shù)。(1)訪問控制訪問控制可保證信息資源能受到合法的、可控制的數(shù)據(jù)訪問。YOUSIK等[36]提出車載Android應(yīng)用程序很容易遭受重打包攻擊,同時(shí)提出了一種訪問控制機(jī)制來抵抗此類攻擊,該機(jī)制基于兩方面進(jìn)行防護(hù):①使用基于白名單的訪問控制系統(tǒng);②使用APP代碼混淆的方式保護(hù)車輛免受車聯(lián)網(wǎng)環(huán)境中通過外部網(wǎng)絡(luò)及應(yīng)用程序發(fā)起的惡意攻擊。(2)安全升級(jí)針對(duì)車載操作系統(tǒng)固件升級(jí),IDREES等[37]提出了一種新的更新架構(gòu),將對(duì)硬件的信任與軟件模塊合理地結(jié)合起來,該框架描述了如何在制造商、車邊基礎(chǔ)設(shè)施和車輛之間建立安全的端到端連接,具有一定的現(xiàn)實(shí)意義。操作系統(tǒng)升級(jí)的過程中,保證軟件包數(shù)據(jù)的完整性、機(jī)密性、可用性極為重要[38],NILSSON[39]提出了一種OTA固件安全升級(jí)協(xié)議。協(xié)議可充分保障固件在升級(jí)過程中的數(shù)據(jù)安全,同時(shí)可防止重放攻擊。該協(xié)議計(jì)算效率高,內(nèi)存開銷低,適用于車間的無線通信。此外,還可通過簽名校驗(yàn)等方式對(duì)升級(jí)包的完整性及來源進(jìn)行認(rèn)證[40]。(3)代碼安全智能汽車源代碼中多含有加密算法、重要操作邏輯等敏感信息,因此此部分源代碼的泄露會(huì)給智能汽車帶來很大的安全風(fēng)險(xiǎn)。智能汽車代碼安全防護(hù)手段可借鑒傳統(tǒng)軟件代碼安全防護(hù)進(jìn)行,主要涉及代碼混淆、強(qiáng)名稱簽名、代碼隱藏等技術(shù)[41]。2.3感知層安全防護(hù)。目前感知層的安全防護(hù)并未引起太多重視,大多數(shù)整車廠采用布置冗余傳感器的方式保證車輛能夠在部分傳感器受到攻擊失效后能夠繼續(xù)安全行駛。針對(duì)感知層的防護(hù)可從兩個(gè)角度出發(fā),一是從代碼層的角度入手,對(duì)于傳感器采集的數(shù)據(jù)進(jìn)行一致性判斷,提高異常數(shù)據(jù)的識(shí)別效率。另一方面從傳感器的角度入手,例如針對(duì)中繼攻擊,采取信號(hào)實(shí)時(shí)性驗(yàn)證,通信設(shè)備認(rèn)證等方式實(shí)現(xiàn)中繼設(shè)備的識(shí)別。針對(duì)雷達(dá)同頻率的高斯噪聲干擾攻擊,可采用匹配濾波器進(jìn)行抗干擾處理。另一方面,要充分考慮智能汽車的特殊性,在進(jìn)行相應(yīng)防護(hù)的過程中盡量減少對(duì)通信時(shí)延的影響。2.4安全防護(hù)體系。體系化的安全防護(hù)對(duì)于智能汽車信息安全至關(guān)重要,美國(guó)SAE、歐洲EVITA、IEEE通信與網(wǎng)絡(luò)安全會(huì)議(CNS)、國(guó)際車聯(lián)網(wǎng)與互聯(lián)大會(huì)(ICCVE)等組織或國(guó)際會(huì)議都開始重點(diǎn)關(guān)注汽車信息安全體系的構(gòu)建工作。PYPE等[42]呼吁信息安全應(yīng)融入到產(chǎn)業(yè)鏈的各個(gè)方面,從組件到電子系統(tǒng)和完整的汽車架構(gòu)生成,加強(qiáng)各方合作,形成體系化的防護(hù)。THING和WU[43]在歸納了各種攻擊和防護(hù)手段的基礎(chǔ)上,提出一個(gè)全面的攻擊防護(hù)分類方法,基于此可實(shí)現(xiàn)對(duì)針對(duì)性的防御攻擊,建立安全防護(hù)體系。綜上,針對(duì)智能汽車安全防護(hù)技術(shù)的研究集中于防護(hù)體系的搭建、防護(hù)方案的設(shè)計(jì)、防護(hù)技術(shù)的實(shí)現(xiàn)等方面。隨著智能化的不斷推進(jìn),未來的防護(hù)系統(tǒng)將朝著主動(dòng)防護(hù)、自動(dòng)檢測(cè)、智能識(shí)別的方向發(fā)展,如何實(shí)現(xiàn)高效安全的防護(hù)體系是未來研究的重點(diǎn)內(nèi)容之一。

3展望

文中針對(duì)智能汽車信息安全威脅場(chǎng)景及防護(hù)技術(shù)進(jìn)行了綜合的回顧,在此基礎(chǔ)上對(duì)未來行業(yè)發(fā)展進(jìn)行簡(jiǎn)單的展望,僅供讀者參考:(1)面向智能汽車的自動(dòng)化自檢工具的開發(fā)是未來發(fā)展的重點(diǎn)內(nèi)容之一,智能化的安全工具需具備監(jiān)測(cè)及防護(hù)兩個(gè)基本功能,實(shí)時(shí)監(jiān)控車輛安全狀態(tài),抵抗非法入侵;(2)智能汽車的信息安全牽一發(fā)而動(dòng)全身,需要全方位考慮,涉及產(chǎn)品周期的各個(gè)階段,因此防護(hù)與測(cè)試應(yīng)從概念階段開始考慮,經(jīng)歷設(shè)計(jì)、開發(fā)、驗(yàn)證階段,全生命周期的保障信息安全;(3)攻防技術(shù)的針對(duì)性、專業(yè)性將增強(qiáng)。目前智能汽車信息安全技術(shù)多基于傳統(tǒng)計(jì)算機(jī)安全技術(shù)開展,尚存在諸多不合理之處(比如傳統(tǒng)的通信系統(tǒng)加密防護(hù)措施并不完全適用于對(duì)時(shí)延有高要求的V2X通信),因此未來信息安全技術(shù)需充分結(jié)合智能汽車特點(diǎn),增強(qiáng)針對(duì)性及專業(yè)性。

4結(jié)論

智能汽車具有巨大的發(fā)展前景,對(duì)汽車行業(yè)將帶來顛覆性的變革,是產(chǎn)業(yè)發(fā)展的必然趨勢(shì)。另一方面,安全事故頻發(fā)、安全威脅增多也成為制約其進(jìn)一步發(fā)展的障礙。文中基于智能汽車信息安全架構(gòu),從通信系統(tǒng)、軟件及操作系統(tǒng)、感知系統(tǒng)3個(gè)層面展開,詳細(xì)分析了各部分涉及的威脅場(chǎng)景與安全防護(hù)技術(shù),并在此基礎(chǔ)上對(duì)未來發(fā)展趨勢(shì)進(jìn)行了展望。

作者:郭振 馬超 王國(guó)良 劉天宇 單位:中汽數(shù)據(jù)(天津)有限公司