导言

目前移动互联网、人工智能、5G网络和云计算、大数据等技术迅速发展,并逐步应用到汽车行业,大大提高了汽车的智能化、网联化程度,而电动汽车将是汽车智能化和网联化的最佳载体,在万物互联时代形成了智能网联汽车这一新的智能终端产物。

当网联化使汽车由封闭系统走向开放的同时,严峻的信息安全挑战也随之而来。远程攻击、恶意控制,窃取用户隐私数据等安全隐患会对车、路和环境甚至人的生命财产安全造成危害。因此智能网联汽车信息安全问题引起了高度重视,信息安全对于保护智能汽车、保障智能交通和智慧城市具有基础性作用,是智能汽车与智能交通和智慧城市融合发展的先决条件。

国家智能网联汽车信息安全体系建设

汽车信息安全标准体系建设应遵从《网络安全法》这一根本性文件,《网络安全法》明确了网络安全事故的责任主体,在汽车信息安全方面对整车制造商、车载信息系统提供商及网络服务运营商提出了法律层面的要求,使得汽车行业在汽车信息安全功能产品的生产和运营上实现了“有法可依”。

2017年,工业和信息化部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南(智能网联汽车)》,汽标委智能网联汽车分标委深入开展行业调研和需求分析,成立汽车信息安全标准工作组,并启动多项汽车信息安全标准的研究和起草工作。2018年,工业与信息化部发布《车联网(智能网联汽车)产业发展行动计划》,其中提到汽车信息安全的3个方面:健全安全管理体系,提升安全防护能力,推动安全技术手段的建设。2020年,工业与信息化部发布《2020年智能网联汽车标准化工作要点》,提出要加快完善智能网联汽车标准体系建设,建立智能网联汽车标准制定及实施评估机制。

国家,高校,研究所联合行动,共同构建全面高效的智能汽车信息安全体系。2016年,清华大学牵头的国家重点研发计划“智能电动汽车的感知、决策与控制关键基础问题研究”项目,北京航空航天大学承办的《智能电动汽车信息安全保障理论及防护方法》课题,其中涉及“人-车-环境”多源信息融合及多域信息安全理论。2017年度立项项目“智能电动汽车电子电气架构研发”,该项目由中国汽车技术研究中心牵头承担的,项目针对智能电动汽车高速大容量数据传输融合的实时性、安全性及电磁兼容复杂性问题,研究端-网-云信息安全主动防御机制;提出了全新的“三维似物性”区域检测方法,有效提高汽车的主动安全性。2019年,国家标准委下达第一批推荐性国家标准计划,汽标委智能网联汽车分标委提交的4项有关汽车信息安全的推荐性国家标准项目获批立项:《电动汽车远程服务与管理系统信息安全技术要求》《汽车信息安全通用技术要求》《车载信息交互系统信息安全技术要求》《汽车网关信息安全技术要求》。同年,国家智能网联汽车创新中心牵头建设了汽车行业车辆安全漏洞预警与分析中心,旨在优化国内安全市场的服务能力和水平,为以主机厂为核心的客户群提供漏洞发现、风险分析、威胁预警、落地支撑等一站式综合服务。

智能网联汽车信息安全威胁类型

车联网是实现智能网联汽车与外界进行互通,互联的桥梁,要实现车与外界的通信,必须包含“云”、“管”、“端”3 个方面。“云”指的是云平台,云端服务器提供服务的平台。“管”指的是实现通信和接入网络的能力,包括从车机、T-BOX 到后台的通信,APP 到后台的通信等。“端”指的是通信终端,具备车内通信、车车通信和车与路边单元通信能力的终端设备,如信息娱乐系统、T-BOX、钥匙、手机 APP、OBD 设备等。。智能网联汽车系统面临的威胁类型也可以根据其基本结构分云端威胁、网络传输威胁以及车载终端威胁。

借鉴汽车传统测试和信息安全传统测试方法中取得的成果,结合智能网联汽车系统部件的功能可知,智能网联汽车容易在 7 个方面被攻击:网络架构、ECU、IVI、T-BOX、APP、无线通信和云平台 Telematics Service Provider(TSP)。智能网联汽车各个方面信息安全危险系数如下图:

国内外智能网联汽车信息安全标准

目前国内外关于智能网联汽车信息安全问题的研究可以概括为三个方面:网联汽车信息安全标准及框架的研究,网联汽车安全漏洞的研究工作和网联汽车安全防护技术的研究。智能网联汽车信息安全标准规范研究方面,欧美日等世界汽车强国和我国都在积极推动ISO、3GPP等国际组织标准,开展相关标准和技术规范制定工作。

企业应对智能网联汽车信息安全工作情况

智能网联汽车作为智能交通体系的一员,不仅要考虑车本身的信息安全,更要考虑其所在的大环境。现在,各车厂都有自己的信息安全团队,也开始深入思考车联网相关的信息安全问题,然而,信息安全问题可能不只适用于一款车型、一家主机厂,智能交通体系是一个多部门、多领域、多层级主体参与的复杂网络体系,各主机厂、供应商和互联网及安全业务企业对智能网联汽车信息安全展开研究以及部署信息安全整体解决方案如下:

智能网联汽车信息安全测试方法

根据前述对智能网联汽车网络安全威胁的分析,利用CAN-PICK、AUTO-X、HackRF+Gqrx 等测试工具,结合渗透 测试、DoS 攻击、协议破解、API(Application Program Interface,应用程序接口)攻击、暴力破 解、模糊测试、代码逆向分析、端口扫描与攻击、 劫持云端、IVI 通信、SQL 注入和中间人欺骗等方法初步形成一套全面系统的智能网联汽车信息安全测试方法,具体的智能网联信息安全测试流程如图示:

智能网联汽车信息安全测试项目清单:

结语

随着信息化与汽车的深度融合,汽车正在从传统的交通运输工具转变为新型的智能出行载体,智能化和网联化已经成为必然。信息安全作为智能网联汽车的关键技术之一,为智能驾驶提供必不可少的技术支撑。如何保障智能网联汽车的信息安全,解决便捷性与安全性之间的矛盾,将车辆信息安全水平控制在可接受范围之内,是汽车和交通行业当前面临的重要课题,是智能网联汽车以及智慧交通发展的关键环节,是加速构建车路人协同的智慧交通体系的有力保障。只有将智能汽车、智能交通和智慧城市三者深度融合共同发展才会为科技、出行、经济社会三大领域变革做出贡献。

声明:本文内容资料来源于互联网

声明:本文来自深智联SFITIC,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。