汽车EDR：“入局”雷霆利器还是再入罗生门

作者 | 绿盟科技格物实验室任心 renxin2@nsfocus.com

摘要：本文基于研究车辆EDR（事件数据记录）在国内的政策和国家强制标准GB 39732《汽车事件数据记录系统》对EDR的要求，及智能网联汽车安全渗透技术，提出EDR可能存在的网络安全风险。

关键词：EDR，OBD，CAN总线，网络安全

1. 引言

公安部数据显示，到2021年底，全国机动车保有量达3.95亿辆，赶超美国^【1^】。在机动车数量快速增长的情况下，交通事故及伤亡人数呈不断上升趋势。车辆在发生事故时，常可见到各执一词的争执事件发生。如何准确获取车辆事故时的运行数据，重建事故过程是判定事故原因长期面临的问题存在的。人会说谎，而EDR却是公正的事故陈述者。EDR是类似于飞机的飞行记录器或“黑匣子”，可用于记录车辆碰撞前、碰撞时、碰撞后三个阶段中运行的关键数据。NHTSA(美国国家道路交通安全管理局)自1970年代起开始进行EDR研究^【2^】，并利用类比信号记录设备，分析储存事故资料。美国通用汽车公司在商用车上进行试验，到2003年，美国装配EDR的汽车达四千万辆^【3^】。历经近五十年的发展，在海外已有多个国家将EDR写入行业标准，如美国汽车安全技术法规CFR 563，提出了EDR的定义和相关技术标准，NHTSA明确要求在2014年9月所售车辆需强制配备EDR；欧洲的EDR标准与美国类似，要求在2022年所有新车配置EDR，且到2024年要求所有存量车辆配置EDR；韩国自2015年12月强制要求安装EDR，包括存量车辆；日本具有行业标准J-EDR，其技术内容也主要参照了美国CFR563法规的要求。

当前，全球汽车工业步入车联网时代，EDR记录的数据安全也面临了更多挑战。如若EDR数据被非法访问，破解、篡改或删除，那它会失去公正性，成为非法人员的利器。如何预知危险，提出EDR数据安全防护解决方案，是网络安全行业亟待解决的问题。

2. EDR在国内的政策

目前，我国汽车中EDR配置率还相对较低，2020年新车中搭载EDR设备的仅135.71万辆，市场渗透率不足8%^【4^】。常见车辆道路事故鉴定中主要以现场勘查、车辆损毁鉴定等手段进行事故还原。这种做法对事故还原有局限性，不能完全满足事故鉴定的需要。

在2017年通过的《GB7258-2017 机动车运行安全技术条件》标准中，对乘用车配备汽车事件数据记录系统提出了相关要求，但这种要求并非强制。

随着“十四五”期间智能网联汽车产业发展相关政策的迅速推进，国内智能网联汽车得到空前发展，自动驾驶技术对汽车在驾驶和安全保护上进行了更多干预，加上汽车运行环境极其复杂，以及面临的网络安全风险，车辆事故究竟是因为某个电子设备突然失效造成，还是驾驶员的误操作导致的，亦或车辆本身设计缺陷产生的就变得难以分析，责任界定存在很大困难。

公平透明的界定车辆事故责任关乎国家民生，直到2021年2月，《GB 7258-2017 机动车运行安全技术条件》国家标准第2号修改单发布，将8.6.6条修改为：“乘用车应配备符合GB 39732规定的事件数据记录系(EDR)”，并明确2022年1月1日强制性配备EDR的时间^【5^】。GB 39732将EDR应监测、采集、记录的数据分为A和B，并在两个阶段实施。

表 1 EDR数据元素分级^【6^】

第一阶段要求自2022年1月1日，新申请的车型应满足除B级数据元素和标准中数据提取要求之外的要求；第二阶段要求2024年1月1日起新申请的车型应满足A和B级数据元素以及标准规定的全部要求。

3. EDR工作原理

从技术上讲，EDR和飞机的“黑匣子”还是有本质区别的，EDR主要是针对车辆加速度突然发生剧烈变化达到触发阀值时的场景，仅采集存储事故前后几秒钟的行车运行数据。在汽车正常平稳行驶时，EDR默认处于休眠模式，而“黑匣子”在整个运行期间连续存储数据。

EDR可集成在其他控制器内，也可以由单独的ECU(电子控制器单元)实现。实际应用中EDR大多数集成在安全约束模块中，该模块也称为ACM(安全气囊控制模块)。ACM利用加速度传感器的速度变化作为碰撞事件判定的依据，由多个ECU组成的CAN通信网络获取其他所需数据，并将数据记录在非易失性存储器中。

图 1 车辆CAN通信网络图

3.1 EDR碰撞事件

GB 39732对EDR碰撞事件有严格的要求。其中碰撞事件分为锁定事件与非锁定事件。锁定事件触发条件：不可逆装置(如气囊)展开或150ms内ΔV≥25km/h，且事件的数据不能被后续事件的数据覆盖；非锁定事件触发条件：纵向或横向150ms内ΔV≥8km/h，如果没有足够空间记录，可以按时间顺序依次覆盖之前非锁定事件数据。

3.2 EDR数据提取

数据提取需要EDR支持UDS(统一诊断服务)诊断协议，满足ISO 14229-1和ISO 15765-2标准统一了协议、提取符号等。

EDR数据提取可使用数据提取工具连接车辆的OBD接口，OBD使车主或维修技术人员能够获取车辆子系统的状态。根据车型的不同，OBD接口的位置也不同。

图 2 方向盘下的OBD接口

OBD由16针接口组成，除各种电源和地线之外，CAN线、K线是EDR数据提取的关键。

表 2 OBD接口定义

4. EDR网络安全形势

网络安全方面如果只考虑EDR，几乎没有太大的安全风险，因为EDR不会控制车辆任何的关键系统。GB 39732要求了必须记录的数据元素，但并未禁止记录更多的元素，如视频、音频、GPS等信息，这些信息十分敏感。一旦攻击者通过一些方式访问车辆，就可以获得有关车辆非常敏感的信息，进而可以分析出有关驾驶员的信息。如果心怀叵测之人事前通过技术手段伪造车辆数据，导致事故发生时EDR记录伪造的数据，或事后篡改、删除EDR数据，最终伪造车辆事故，欺骗保险，逃避法律制裁，这将是很严重的后果。

5. EDR网络安全风险

根据智能网联汽车安全渗透白皮书^【7^】，将车联网环境下智能网联汽车的关键核心资产划分为平台层、通信层、车端层。

图 3 车联网环境下智能网联汽车的关键核心资产

EDR安全风险可能主要存在以下几方面问题。

一、通信风险

车辆网络一般通过CAN总线连接，CAN协议自身认证及加密机制的缺失，让每个接入CAN总线的设备可能存在安全缺陷。当EDR集成在T-BOX、IVI等与互联网、蓝牙、WIFI有连接的模块时，这种安全风险会更加严峻。

二、接口风险

任何人进入车辆，都可以通过方向盘下方的ODB获取整个车辆ECU状态信息，也可能被攻击者利用来操纵车辆网络或者窃取信息。

三、硬件风险

EDR中使用的芯片本身可能存在设计上的缺陷和漏洞，或被技术人员通过JTAG、拆卸芯片等其他方法读取烧写在固件中的程序逆向分析。

6. 安全建议

结合EDR功能以及发生网络安全问题可能导致的后果，确定安全目标。

可以保护车主隐私，避免未经过车主授权，非法获取车辆EDR数据。
保证数据的正确性和完整性，记录准确，不被篡改、删除。
物理锁

虽然车辆产生的数据所有权是车主的，但使用OBD接口的人却是其他人。在车辆全生命周期中，车主几乎不会使用到OBD接口，一般只有维修或环保检测人员才会使用。

可以使用OBD物理锁的方式，车主通过在OBD接口位置加装物理锁来物理锁定，只允许车主授权的人访问，限制未授权人员对OBD接口的物理连接。但物理锁的方式不是绝对有效的，只能增加攻击人员的成本，因为攻击人员可以直接连接到接口后面的数据线来访问数据。

二、安全设备

不同的车辆CAN网络也是不同的，有些OBD可以直接通过CAN网络连接EDR，有些则需要通过车辆网关连接。可以使用防火墙，在CAN网络部署防火墙阻止非法EDR的访问。也可选择具备安全功能的车辆网关实现入侵检测与防护。

三、安全芯片

使用安全MCU可以实现加密功能并能够为系统提供安全性，为ECU提供硬件安全防护能力，保障数据安全、固件安全、密钥安全。选择时要选择加密性好，难以破解的芯片。

7. 总结

我国强制安装EDR的政策将提高车辆交通事故重建速度和依据，但EDR如果被人利用，也可能成为逃避责任的工具。面对EDR衍生出的网络安全风险，数据需要保证安全，且真实可靠。本文从网络安全技术角度为EDR安全提供了思路，助力EDR政策标准的落实。

参考文献：

[1] 公安部交通管理局. 2021年全国机动车保有量达3.95亿新能源汽车同比增59.25% [EB/OL]. (2022-01-11)[2022-02-22].https://www.mps.gov.cn/n2254314/n6409334/c8322353/content.html.

[2] NHTSA EDR Working Group. Event DataRecorders: Summary of Finding by the NHTSA EDR Working Group, Final Report.NHTSA, 2001, Report DOT HS-043 334.

[3] Sharp, Deborah. Autos" Black- box DataTurning up in Courtrooms. USA Today. 2003-05-15.

[4] 华西证券股份有限公司.EDR持续强势，关注智能驾驶主线[R/OL].(2021-12-11)[2022-02-22].https://pdf.dfcfw.com/pdf/H3_AP202112131534354635_1.pdf?1639413435000.pdf.

[5] GB 7258-2017 ,机动车运行安全技术条件[S].2017.

[6] GB 39732-2020,汽车事件数据记录系统[S].2020.

[7] 中国软件评测中心.智能网联汽车安全渗透白皮书2.0 [R/OL].(2021-12-30)[2022-02-22].https://www.cstc.org.cn/zhinengwanglianqicheanquanshentoubaipishu2.0.pdf.

声明：本文来自网络安全应急技术国家工程实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。