智能网联汽车信息安全发展报告（2021）系列十一：云-管-端信息安全技术架构

一、智能网联汽车信息安全整体架构

智能网联汽车的信息安全防护不只是单指保障车辆本身的信息安全,而是一个由于包含了通讯、云平台和外部的新兴生态系统组成的整体性生态安全预警和防护,同时这种安全预警也需要长期地进行,需要定期地对整个生态系统做好安全性的检测,以便于发现潜在的危害性。因此,智能互联网汽车的信息安全总体架构可以依据国际普遍采用的"云"、"管"、"端"、“路侧单元”信息安全架构四个方面进行描述。

图1  信息安全整体架构

云平台肩负着控制指令的下达、信息汇集和存储等重要职责，其中对于信息安全进行防护的手段主要包括：

• 利用成熟云平台安全技术保障车联网服务平台安全；

• 部署云平台集中管控能力，保障云平台数据安全。

车联网通信信息安全防护主要针对“车-云”通信，以加强访问控制并开展异常流量监测为主。主要防护手段有：

• 加强车载端访问控制、实施分域管理，降低安全风险；

• 基于 PKI 和通信加密，构建可信“车-云”通信；

• 网络侧进行异常流量监测，提升车联网网络侧信息安全防护能力。

车端的信息安全防护工作主要应从硬件安全、操作系统安全、应用层安全和对内对外通信安全四个层面开展，主要的防护措施有：

• 利用硬件安全模块，保障车端硬件安全；

• 通过身份权限管理和访问控制机制，保证操作系统层面安全；

• 应用层具备安全更新、抵抗攻击、数据加密存储能力；

• 对内对外通信层面安全数据的保密性、完整性，及通信质量。

路侧单元信息安全架构主要防护手段包括：

• 对RSU配置专用的硬件加密模块并实施通信奉承加密保障设备安全管理；

• 对PC5接口上的C-V2X消息认证鉴权保障业务功能安全管理。

二、云端信息安全架构

目前绝大多数的车联网大量的数据都是通过分布式技术传输和存储的，其中，云平台主要完成信息的整合分析，并为车辆提供服务。智能汽车网联下的汽车安全云计算平台在正确应对复杂环境下的汽车数据安全以及风险时，暴露在各种恶意的数据威胁之下，除了采取必要的安全防护措施，如行病毒数据防护、中间件安全数据保护以及数据访问和运行控制外，对于汽车数据安全以及风险防护的问题还应引起更多重视，防止部分车主将其所有临时存储在汽车云端上的个人信息（尤其主要是车主个人隐私信息数据）意外泄露遗漏，或被他人恶意窃取、非法下载使用。

因此，基于云平台的特点和需求，结合相应的安全威胁分析，智能网联汽车云端的信息安全架构包括服务平台以及数据存储两个层面的安全。

图2  云端信息安全架构

1.服务平台安全方面

使用成熟的汽车云计算平台安全性和信息保护技术在未来有效保障中国汽车行业互联网服务提供平台的内部信息安全。当前所有的移动车载互联网安全服务平台通过主动网络安全数据防护系统技术手段，对其网络进行安全和基础加固，部署有网络防火墙、入侵检测系统、入侵防护系统、Web 防火墙等安全设备。安全服务平台秉承了自动化的理念，并且把其发挥到了极致，通过技术手段直接帮开发团队搭建、配置好安全工具，接入多种不同厂商开发的安全设备，降低安全设备的配置和使用门槛，使研发团队的学习成本大幅度降低。

2.数据存储方面

部署云平台集中管控能力，强化智能网联汽车信息安全防护能力。车联网服务平台功能逐步强化，已成为集数据采集、功能管控等于一体的核心平台，并部署多类安全云服务，强化智能网联汽车安全管理。因此，数据存储方面相关技术手段具体包括设立安全检测服务、完善远程 OTA 更新功能、建立车联网证书管理机制、开展威胁情报共享。相关技术包括：

• 安全检查监控服务：通过分析云端储存的交互数据和车端记载的本地日志，来检测汽车的移动终端上是否存在异常操作或隐私信息数据的泄露。

• 远程OTA自动更新软件管理系统功能：加强软件更新系统校验，支持软件信息安全认证，适配产品固件系统更新(FOTA)和软件系统更新(SOTA)，在保证用户首次发现重大软件安全漏洞时迅速地自动更新了软件系统，大幅度降低了产品召回事件费用及安全漏洞事件暴露期。

• 构建智能车辆互联网信用证书的数据管理机制：对注册用户进行真实身份验证，为用户车辆注册加密用户密钥和汽车注册用户登录信用凭证等相关服务信息提供了安全数据管理。

• 网络威胁情报共享：实现整车企业、政府部门、服务供应商之间的安全数据的共享。

三、通信信息安全架构

车联网系统由多个子系统组成，分别是平台层、网络层、车载终端等，其中，平台层与多个APP服务商的子系统连接，网络层通过WIFI、移动通信网、DSRC等无线通信手段进行车-X通信。网络传输域主要完成信息的传输工作，车-X通信由于依托无线通信方式，因此也存在无线通信自身存在的网络加密、认证等方面的安全问题。同时，车联网的互联网应用平台也面临因互联网服务应用漏洞带来的安全威胁。

基于通信过程的特点和需求，结合相应的安全威胁分析，智能网联汽车通信的信息安全架构包括访问控制，通信加密以及异常流量检测三个方面。

图3  通信信息安全架构

1.访问控制方面

降低安全风险的措施有两个：通过建立安全分级访问机制以及分域化管理。

• 安全分级访问机制：智能网联汽车通常配备有两个 APN 接入网络。APN1 负责车辆控制域（CleanZone）通信，主要传输汽车控制指令及智能汽车相关敏感数据，通信对端通常是整车厂商私有云平台，安全级别较高。APN2 负责信息服务域（Dirty Zone）通信，主要访问公共互联网信息娱乐资源，通信对端可能是整车厂公共云平台或者第三方应用服务器，IVI 系统中的车载应用（如新闻、娱乐、广播等通常通过 APN2 进行通信）。 

• 分域管理：车辆控制域和信息服务域采用隔离的方式来加强安全管理。一是网络隔离，APN1 和 APN2 之间网络完全隔离，形成两个不同安全等级的安全域，避免越权访问。二是车内系统隔离，车内网的控制单元和非控制单元进行安全隔离，对控制单元实现更强访问控制策略。三是数据隔离，不同安全级别数据的存储设备相互隔离，并防止系统同时访问多个网络，避免数据交叉传播。四是加强网络访问控制，车辆控制域仅可访问可信白名单中的 IP 地址，避免受到攻击者干扰，部分车型对于信息服务域的访问地址也进行了限定，加强网络管控。

2.通信加密方面

基于 PKI 和通信加密，构建可信“车-云”通信。目前企业普遍重视通信加密，部分厂商在软加密基础上建设 PKI系统，搭建更便捷的“车-云”通信，采取的防护措施具体包括基于证书的车载端身份认证与基于证书的传输加密。

• 基于证书的车载端身份认证：传统的“车-云”通信通过车机编码绑定的方式进行认证，易被伪造。目前较完备的方式是基于 PKI 证书身份认证，智能网联汽车首次启动进行通信连接时，云平台签发可信证书写入车载安全芯片，用于“车-云”通信，确保仅有认证后的车辆可与私有云通信，同时基于 PKI 技术使得云平台具备证书撤销、更新的功能。

• 基于证书的传输加密：智能网联汽车在获取可信证书后，后续通信通过证书进行密钥协商并加密通信数据，加密协议通常采用 HTTPS 应用层加密或者 SSL、TLS 传输层加密，增加攻击者窃听破解的难度，保障通信安全。

3.监测预警及应急处置方面

在网络侧进行异常流量监测，提升车联网网络安全防护能力。此方案采用异常流量监测对车联网业务进行流程监测，提供安全监测预警及应急处置服务，具体分为监测预警、网络控制两个方面。

• 监测预警：其功能包括定制监控服务，对安全事件进行探测，提供流量监控优化、异常流量告警、历史数据留存等。

• 网络控制：包括定义受保护的 IP 地址/范围、阻止点对点通信、借助防火墙和入侵检测系统中断异常IP通信。( 中国信息通信研究院.车联网网络安全白皮书（2017年）)

四、车端信息安全架构

智能网联汽车的新型业务需求之一是具备网联功能的车载端对外通过蜂窝网络、短距离通信、以及车车/车路通信协议与互联网、车际网建立连接，进行数据交换；对内与汽车总线及电子电气系统进行信息采集和指令下发。

车载终端需要感知车辆内外的各类信息，而目前应用的各类传感设备的信息传输方式多为无线传输，在传输过程中易被拦截和篡改。缺失和错误的传感信息数据会对车辆的安全造成极大威胁。 

基于这样的通信和数据交换需求，结合相应的安全威胁分析，智能网联汽车车载端的信息安全架构包括车端安全（硬件系统、操作系统、和安装的APP），车-X通信安全，以及数据安全。

图4  车端信息安全架构

1.车载端硬件安全

保证车载端系统使用的电路和芯片在实现数据运算和数据存储等功能时的安全性，能够对抗针对加解密操作的密码分析攻击，侧信道攻击，故障注入攻击等破坏数据保密性和完整性的安全威胁，保证车载端所存储的关键数据不被泄露或篡改，芯片功能可以正常使用。

硬件安全模块：硬件安全模块HSM（Hardware SECUrity Module）将加密算法、访问控制、完整性检查嵌入到汽车控制系统，以加强ECU的安全性，提升安全级别。目前汽车安全芯片的主流设计规范有SHE（SECUre Hardware Extension）和EVITA（E-safety vehicle intrusion protected applications）等，前者主要是宝马、通用大量采用，后者主要由欧洲其他的车企采用。SHE 主要以提供AES-128 密码计算为主。EVITA 架构中，通过在ECU的CPU中配套部署密码协处理器 HSM，负责执行所有密码计算，包括加解密、完整性校验、数字签名等。EVITA 分为完整实现、中等实现和轻量级实现三个级别，不同级别实现的加密算法种类、处理和存储单元访问控制策略上有所区别。基于EVITA架构的HSM可实现安全引导、认证和加密等功能。目前硬件防护主要提供的安全功能包括：安全引导、安全调试、安全通信、安全存储、完整性监测、信道防护、硬件快速加密、设备识别、消息认证、执行隔离等，这些措施可有效的加强 ECU 的安全性，不过硬件安全部署成本高，目前尚未广泛应用。

2.操作系统层面安全

通过符合车载端应用场景的身份权限管理和访问控制机制，正确地响应授权操作和处理异常行为，对抗针对操作系统的溢出攻击、暴力破解、中间人攻击、重放、篡改、伪造等多种安全威胁，保证操作系统文件和数据的可用性、保密性、完整性和可审计性，保证对各类资源的正常访问，系统能够按照预期正常运行或在各种操作情况之下处于安全状态。

3.应用层面安全

保证安装在车载端上的应用软件具备相应的来源标识和保密性、完整性的防护措施，可以对抗逆向分析、反编译、篡改、非授权访问等各种针对应用的安全威胁，并确保应用产生、使用的数据得到安全的处理、车载端应用与相关服务器之间通信的安全性，保证应用为用户提供服务时，以及应用在启动、升级、登录、退出等各模式下的安全性。金融类应用应遵循支付类应用相关技术要求中的安全性要求。目前主流防护手段包括搭建自有 OTA 更新服务、 软件形式实现防火墙及访问控制功能、在 IVI 系统中加入签名认证服务、通过软件方式实现加密。

• 搭建自有 OTA 更新服务：提供智能网联汽车操作系统、固件、应用等软件服务的远程升级更新，进行功能更新或安全修复； 

• 软件形式实现防火墙及访问控制功能：对智能网联汽车进出流量进行控制、过滤，典型做法是在 T-BOX 中配置安全策略，限定网络可访问地址、通信端口、通信协议，加强网络访问控制。部分车型通过部署 CAN 总线网关，对多路总线间的通信指令进行过滤，加强控制指令管理； 

• IVI 系统中加入签名认证服务：实行可信管理，仅允许运行经过可信签名的应用，避免第三方应用对车载操作系统造成危害； 

• 通过软件方式实现加密：包括固件加密、通信内容加密、数据存储加密、数字签名等功能，防范固件逆向、窃听和数据窃取；

• 部分安全厂商基于自身业务研发车联网安全检测类工具及车载卫士类应用，对车载系统进行恶意软件安全检测；

• 针对传感器干扰等拒绝服务攻击，在传感器控制系统中增加智能监测和冗余处理机制，防止恶意用户干扰造成传感器功能异常。众多软件安全防护功能一定程度上增加了攻击者远程攻击的难度，提升了智能网联汽车网络安全防护水平。

4.对内对外通信层面安全

其中对内通信是指车载端与车内总线以及电子电气系统之间的通信。其安全目标是将外部威胁与内部独立安全网络之间进行安全隔离，保证车载端不向内部关键电子电气系统发送伪造、重放等攻击方式的指令和数据，不非法占用内部总线资源，保证车内子系统和数据的保密性、完整性，保证汽车功能正常。对外通信连接又称为车-X通信，包括车载端与蜂窝网络的通信，与移动终端间的短距离通信，以及与其它车辆和路侧设施的通信。对外通信安全的目标是保证车载端建立通信连接时采取必要的认证、加密和完整性校验手段，可以对抗嗅探、中间人攻击、重放攻击等多种针对通信的安全威胁，保证数据的保密性、完整性，及通信质量。

五、路侧单元信息安全架构

路侧单元需要实现RSU主体业务并维护其日常运行。具体来说，其业务包括了交通信息收发、设备接入、定时授时等。其日常运行时需要进行安全管理、配置管理、升级管理等操作。

基于路侧单元的特点和通信需求，结合相应的安全威胁分析，智能网联汽车路侧单元的信息安全架构包括设备安全管理和业务功能安全管理。

图5 路测单元信息安全架构

设备安全管理层面对RSU配置专用的硬件加密模块并实施通信奉承加密。

业务功能安全管理层面对PC5接口上的C-V2X消息认证鉴权，通过PKI数字证书认证体系来对RSU收发消息进行签名和验签操作。