关于汽车信息安全，你想了解的知识点都在这里！

随着车联网高速发展，汽车智能化、网联化不断加强，汽车信息安全面临着全新的挑战。如果汽车没有得到更好的安全防护，受到的恶意攻击可能增多。因此，打造更坚固的车载信息安全防护尤为重要。

那么，汽车信息安全都面临哪些威胁与挑战呢？提升汽车抗攻击能力的安全防护技术有哪些呢？本文将带你全面了解智能汽车信息安全。

另外，基于航芯车规级安全芯片和通用MCU的车载应用方案，将全方位筑牢汽车的安全防线，为车联网信息安全保驾护航。

汽车安全概述

01. 被动安全

当事故发生时为保护车辆及人身安全所采取的措施，如设置安全带、安全气囊、保险杠等。

02. 主动安全

使汽车能够主动采取措施，避免事故的发生。具体措施如碰撞预警、车身电子稳定系统等。

03. 功能安全

当任一随机故障、系统故障或共因失效都不会导致正常功能操作的失效。具体措施如软硬件冗余、错误检测等。

04. 信息安全

由于汽车网联化导致的，外部威胁可以直接利用车内网络的软硬件脆弱性发起攻击，进而导致车内敏感数据泄露，或引发功能安全失效最终导致严重的道路交通事故。

面临的信息安全威胁

接下来，将重点介绍汽车应用场景中所面临的信息安全威胁，共分为四大模块：

•车载终端节点层安全威胁

• 网络传输安全威胁

•云平台安全威胁

•外部互联生态安全威胁

01

车载终端节点层安全威胁

• 终端节点层安全威胁

• 车内网络传输安全威胁

• 车载终端架构安全威胁

终端节点层安全威胁

01. T-BOX安全威胁

T-BOX（Telematics BOX，简称 T-BOX）在汽车内部扮“Modem”角色，实现车内网和车际网之间的通信，负责将数据发送到云服务器。T-BOX 是实现智能化交通管理、智能动态信息服务和车辆智能化控制不可或缺的部分。某种程度上来说，T-BOX 的网络安全系数决定了汽车行驶和整个智能交通网络的安全，是车联网发展的核心技术之一。

常规条件下，汽车消息指令在 T-BOX 内部生成，并且在传输层面对指令进行加密处理，无法直接看到具体信息内容。但恶意攻击者通过分析固件内部代码能够轻易获取加密方法和密钥，实现对消息会话内容的破解。从而对协议传输数据进行篡改，进而可以修改用户指令或者发送伪造命令到 CAN 控制器中，实现对车辆的本地控制与远程操控。

02. IVI 安全威胁

车载信息娱乐系统（In-Vehicle Infotainment，简称 IVI），是采用车载专用中央处理器，基于车身总线系统和互联网服务形成的车载综合信息娱乐系统。

攻击者既可以借助软件升级的特殊时期获得访问权限进入目标系统，也可以将 IVI从目标车上“拆”下来，分解 IVI 单元连接，通过对电路、接口进行逆向分析获得内部源代码。

2016 年宝马车载娱乐系统 ConnectedDrive 所曝出的远程操控 0day 漏洞里，其中就包含会话漏洞，恶意攻击者可以借助这个会话漏洞绕过 VIN（车辆识别号）会话验证获取另一用户的 VIN，然后利用 VIN 接入访问编辑其他用户的汽车设置。

03. 终端升级安全威胁

智能网联汽车需要通过 OTA 升级的方式来增强自身安全防护能力。但OTA 升级过程中也面临着各种威胁风险，包括：

（1）升级过程中，篡改升级包控制系统，或者升级包被分析发现安全漏洞；

（2）传输过程中，升级包被劫持，实施中间人攻击；

（3）生成过程中，云端服务器被攻击，OTA 成为恶意软件源头。

另外 OTA 升级包还存在被提权控制系统、ROOT 设备等隐患。

因此车载终端对更新请求应具备自我检查能力，应能够及时声明自己身份和权限，也就是对设备端合法性进行认证。同时，升级操作应能正确验证服务器身份，识别出伪造服务器。升级包在传输过程中，应借助报文签名和加密等措施防篡改、防伪造。如果升级失败，系统要能够自动回滚，以便恢复至升级前的状态。

04. 车载 OS 安全威胁

车载电脑系统常采用嵌入式 Linux、QNX、Android等作为操作系统，由于操作系统代码庞大且存在不同程度的安全漏洞，操作系统自身的安全脆弱性将直接导致业务应用系统的安全智能终端面临被恶意入侵、控制的风险。

一些通用的应用程序如 Web Server 程序、FTP 服务程序、E-mail 服务程序、浏览器和 Office 办公软件等自身的安全漏洞及由于配置不当所造成的安全隐患都会导致车载网络整体安全性下降。

智能终端还存在被入侵、控制的风险，一旦智能终端被植入恶意代码，用户在使用智能终端与车载系统互连时，智能终端里的恶意软件就会利用车载电脑系统可能存在的安全漏洞，实施恶意代码植入、攻击或传播，从而导致车载电脑系统异常甚至接管控制汽车。

05. 接入风险: 车载诊断系统接口(OBD)攻击

OBD 接口是汽车 ECU 与外部进行交互的唯一接口，能够读取汽车 ECU 的信息，汽车的当前状态，汽车的故障码，对汽车预设置动作行为进行测试，比如车窗升降、引擎关闭等；除上述基本的诊断功能之外，还可能具备刷动力、里程表修改等复杂的特殊功能。

OBD 接口作为总线上的一个节点，不仅能监听总线上面的消息，而且还能伪造消息（如传感器消息）来欺骗 ECU，从而达到改变汽车行为状态的目的。通过在汽车 OBD 接口植入具有无线收发功能的恶意硬件，攻击者可远程向该硬件发送恶意 ECU 控制指令，强制让处于高速行驶状态下的车辆发动机熄火、恶意转动方向盘等。

06. 车内无线传感器安全威胁

智能网联汽车为确保其便捷性和安全性，使用了大量传感器网络通信设备。但是传感器也存在通讯信息被窃听、被中断、被注入等潜在威胁，甚至通过干扰传感器通信设备还会造成无人驾驶汽车偏行、紧急停车等危险动作。

例如，汽车智能无钥匙进入系统(PKE)，黑客可以通过寻找无线发射器信号规律、挖掘安全漏洞等方式着手，进行破解，最终达到非授权条件下的开门。2016 年就曾爆出黑客通过对 PKE 无线信号进行“录制重放”的方法破解了特斯拉 Model S 车型的 PKE 系统。

智能网联汽车也使用传感器来检测其他车辆和危险。主要依靠雷达、激光雷达、超声波传感器和视觉传感器等检测功能。这些传感器可能会被卡住，干扰安全响应，如自动制动或欺骗以呈现不存在的物体，这可能会导致车辆不必要地转向或制动。来自南卡罗来纳大学、浙江大学和奇虎360的一组研究人员首次在特斯拉s型车静止时演示了这些攻击。2019年，腾讯Keen安全实验室在另一款S型车行驶时误导了该车。

车内网络传输安全威胁

汽车内部相对封闭的网络环境看似安全，但其中存在很多可被攻击的安全缺口，如胎压监测系统、Wi-Fi、蓝牙等短距离通信设备，如果只采用简单校验的安全措施则不能抵御攻击者针对性的传感器信息采集、攻击报文构造、报文协议分析和报文重放等攻击。

如果黑客攻入了车内网络则可以任意控制 ECU，或者通过发送大量错误报文导致 CAN 总线失效，进而致使 ECU 失效。

车载终端架构安全威胁

现在每辆智能网联汽车基本上都装有五六十个 ECU 来实现移动互联的不同功能，甚至是车与车之间的自由“交流”，操作系统生态数据的无缝交换等。因此，智能网联汽车的信息安全需要考虑车载终端架构的安全问题。

传统车载软件仅需处理 ECU 通过传感器或其他电控单元接收的数据即可。然而，ECU 设计之初并不具备检测每个 CAN 上传数据包的功能，进入智能网联汽车时代后，其接收的数据不仅包含从云端下载的内容，还有可能接收到那些通过网络连接端口植入的恶意软件，因此大大增加了智能网联汽车被“黑”的风险。

02

网络传输安全威胁

01. 认证风险

没有验证发送者的身份信息、伪造身份、动态劫持等。

02. 传输风险

车辆信息没有加密或强度不够、密钥信息暴露、所有车型使用相同的对称密钥。

03. 协议风险

通信流程伪装，把一种协议伪装成另一种协议。

另外，在自动驾驶情况下，汽车会按照 V2X 通信内容判断行驶路线，攻击者可以利用伪消息诱导车辆发生误判，影响车辆自动控制，促发交通事故。

03

云平台安全威胁

01. 数据的隐私性

通过智能终端 GID 或 OBD 设备采集上传到云平台中的数据，会涉及到车主车辆相关的私密数据，如何保证车云平台存储的用户隐私信息不被泄露。

02. 数据的完整性

数据的完整性是车联网大数据研究的基础，如何保证存储在云端的用户数据完整性不被破坏。

03. 数据的可恢复性

用户对存储在车云平台的数据进行访问时，服务商需要无差错响应用户的请求，如遇到安全攻击事件，服务商如何保证出错数据的可恢复性。

04

外部互联生态安全威胁

01. 移动APP安全威胁

黑客对那些没有进行保护的 App 进行逆向分析挖掘，就可以直接看到 TSP（远程服务提供商）的接口、参数等信息。即使某些车辆远程控制 App 采取了一定安全防护措施，但由于安全强度不够，黑客只需具备一定的技术功底，仍然可以轻松发现 App 内的核心内容，包括存放在 App 中的密钥、重要控制接口等。

02.充电桩信息安全威胁

充电桩是电动汽车服务运营的重要基础设施，其输入端与交流电网直接连接，输出端装有充电插头用于为电动汽车充电。由充电桩组成的网络称之为“桩联网” 。在充电桩网络中传输的数据信息可能遭到截获、窃取、破译、被动攻击或者非法冒充、恶意篡改等恶意威胁，一旦黑客通过互联网入侵到“桩联网”，就可以控制充电桩的电压，甚至可以随意修改充电金额等数据。

如果攻击者访问电动汽车供电设备并将恶意充电控制器固件上传至充电器和车辆，则电动汽车供电系统可能会在电动汽车充满电后继续向电动汽车提供能量，从而可能导致电动汽车牵引电池系统受损。通过访问配置文件或充电桩与web服务器之间的通信，攻击者还可以获取个人信息，如计费历史记录和客户身份。

网络攻击类型

• 恶意代码、网络钓鱼

• 拒绝服务（DOS）、中间人攻击

• 旁路攻击、零日攻击、密码攻击

• GPS/GNSS欺骗、传感器欺骗

01

恶意代码、网络钓鱼

01. 恶意代码

恶意代码可能会对系统的运行方式产生负面影响，损坏或窃取系统上的数据，或导致系统采取在其运行参数范围内但有害的操作。恶意代码可以通过各种方法安装，从网络钓鱼攻击到dropper攻击。

02. 网络钓鱼

网络钓鱼攻击是最常见的网络攻击类型之一，涉及诱骗用户、公司员工或第三方组织的员工共享密码、加密密钥或其他旨在访问给定计算机系统的信息。对于汽车，这可能涉及获取用户连接汽车服务帐户的密码。

02

拒绝服务（DOS）、中间人攻击

01. 拒绝服务（DOS）

拒绝服务攻击旨在使服务器大量流量，导致服务器崩溃，从而阻止它们与外部系统通信。这种类型的攻击通常用于关闭公司的服务器，特别是在视频游戏等其他行业，许多游戏要求玩家访问公司的服务器才能玩。在汽车行业，这可能采取阻止公司与车辆通信的形式。

02. 中间人攻击

中间人包括IP欺骗和重播攻击。攻击者拦截双方之间的通信，然后可以改变消息/数据接收器接收的内容。这可能涉及IP欺骗，例如，车辆试图连接到服务器，但请求被转移到由攻击者控制的恶意服务器。另一个例子是重放攻击，其中有效消息被恶意重复或转移。

03

旁路攻击、零日攻击、密码攻击

01. 旁路攻击

旁路攻击涉及使用从设备电子设备“泄露”的信息来发现弱点并加以利用。例如，测量车辆ECU的电磁辐射，以发现密码密钥，使攻击者能够解密接收和发送的消息/数据。

02. 零日攻击

零日攻击是针对给定系统中以前未知的漏洞的攻击。

03. 密码攻击

这类攻击通常涉及试图“暴力破解”不同的可能密码，以便正确生成正确的密码并访问系统。

04

GPS/GNSS欺骗、传感器欺骗

01. GPS/GNSS欺骗

攻击者可以使用专门的硬件来模拟GNSS信号，将伪GNSS信号感知到给定的接收器。这类攻击主要会导致嵌入式导航系统和智能手机投影系统出现问题（即向用于导航的智能手机发送假信号）。

02. 传感器欺骗

这种攻击涉及使用摄像机和软件向车辆显示修改后的图像（如标志），从而实现某种程度的自主操作。人们通常不会注意到对图像的修改，但车载软件会将其解释为人类无法想象的意思。一个例子是对限速标志的修改，人类会看到并解释为限速为每小时40公里，但车载系统会解释为每小时100公里。

安全防护技术

• 车辆安全防护技术

• 网络安全防护技术

• 云平台安全防护技术

• 外部生态安全防护技术

01

车辆安全防护技术

01. 安全引导加载程序

相关ECU检查引导加载程序的数字签名和产品密钥，以及其他操作系统文件的签名，以确保这些组件未被修改。如果系统检测到任何无效文件，将阻止它们运行。

02. 防篡改机制

使用传感器检测篡改（电压或温度传感器），在检测到物理漏洞时删除加密密钥，加固外壳（防止物理访问），以及使用纠错内存。

03. 旁道攻击保护

通过随机掩码运算的密钥以及随机延迟来抵抗旁路攻击；以及修改密码协议以减少攻击者可以从侧通道攻击中获得的信息量。

04. 唯一设备ID

网络上的每个ECU都有一个唯一的标识，存储在设备上，以确保制造商知道每个设备的标识，并防止没有已知/批准标识的设备访问车辆网络和相关系统。

05. 加密算法硬件加速

提供专用算法协处理器来处理加密相关任务，不仅可以加速算法性能，也能保证密钥信息不容易泄漏，还可以将主机处理器腾时间出用于其他用途。

06. 固件安全

固件安全存储，防止反汇编和逆向，固件安全升级。

07. 数据安全

数据的存储安全，传输安全以及备份机制，尤其是密钥数据的安全存储和使用。

08. FOTA

需要通过数字签名和认证机制确保升级包的完整性和合法性，通过通信加密保证整个升级包的传输安全，升级过程中还需时刻监控升级进程，同时需要具备相应的固件回滚机制，保证即使升级失败 ECU 也可恢复到原来状态，通过双重保护确保整个 ECU 升级过程的安全可靠。

09. 域隔离

域隔离就是使单个处理器能够运行来自两个不同“域”的代码，“正常”域和“安全”域，分离功能。

10. 中央安全网关

实现域分离的另一种常见方法是使用网关模块协调车辆不同域之间的数据流。中央安全网关可以在发动机舱系统的数据总线、内部总线、信息娱乐总线和诊断总线之间传输数据。当然，关键的安全特性是域的物理分离，以及使用网关上的安全软件监视和控制不同车辆系统的数据流向。

11. 可信操作系统安全

对操作系统源代码静态审计，能够及时了解各种漏洞，确保在第一 时间内发现、解决并更新所有已知漏洞，监控全部应用、进程对所有资源的访问并进行必要的访问控制。

02

网络安全防护技术

01. 网络传输安全

对传输数据进行加密，对传输信息实行安全保护策略，加强可信计算机的实施。

02. 网络边界安全

在车辆体系架构设计中，采用网络分段和隔离技术。对不同网段（如车辆内部不同类型网络，以及车辆与外部通信的移动通信网络、Wi-Fi 等）进行边界控制（如白名单、数据流向、数据内容等），对进入车辆内部控制总线的数据进行安全控制和安全监测。

增加针对终端设备的认证机制，确保终端设备的可信性。

在车云网络中，通过不同的安全通信子系统接入网络外，还需要采用基于PKI 或者 IBC 的认证机制对车辆和云平台进行双向认证，确保双方的合法性，从而保障整个信息接入与传输的安全。

03

云平台安全防护技术

01. 云平台安全

02. 云平台可视化管理

将车辆内所有 ECU、固件、操作系统和应用的安全风险和威胁实时上报至厂商云平台，将整个车辆的安全态势呈现给用户。

04

外部生态安全防护技术

01. 移动APP安全

在设计开发阶段，从框架、业务、规范、核心功能模块等维度进行统一安全设计；

发布阶段，进行必要的加固处理，如反编译、完整性保护、内存数据保护、本地数据保护、SO 库保护、源代码混淆等技术的综合运用，保障移动 App 的安全性；

运维阶段，需要对运行状态进行监控，及时发现解决各类漏洞事件，防止潜在业务、资金和声誉损失。

02. 智能充电桩安全

车内充电系统在通信前应具有身份鉴别机制，传输的重要数据应使用密文传输并采用完整性校验机制以及防重放机制；

车内和充电桩存储的数据需要加密存储以及完整性校验；

系统软件启动需进行完整性校验，更新需要进行完整性认证（如数字签名）。

航芯车载方案，全方位筑牢汽车安全防线

航芯车规级安全芯片及高性能MCU，有助于加速车联网终端产品开发，提高汽车安全性。航芯凭借研发技术实力，也将成为更多车载领域客户强而有力的合作伙伴。

01

车载T-BOX方案

汽车T-BOX可深度读取汽车CAN总线数据和私有协议，采集汽车的总线数据和对私有协议的反向控制；同时可以通过GPS模块对车辆位置进行定位，使用网络模块通过网络将数据传出到云服务器。

上海航芯ACL16系列芯片集成多种加密算法，通过车规AEC-Q100Grade1认证，为车联网过程中的数据安全保驾护航。

T-BOX应用方案

航芯型号基本配置

02

车载ESAM（ETC）方案

上海航芯 OBE-SAM 产品是上海航芯自主开发的安全模块，通过车规AEC-Q100 Grade1认证。主要应用于 ETC（不停车收费）系统，内嵌于车载设备 OBU 中。OBE-SAM安全模块中保存了车辆相关信息，收费站出入口信息，以及交易记录等等，模块采用安全芯片作为载体，密钥及敏感信息存放在安全芯片中，更加安全可靠。

ETC OBU结构图

航芯型号基本配置

03

车载V2X方案

ACX200T面向5G车联网C-V2X应用的安全芯片，满足V2X场景下消息认证的专用安全芯片，该款芯片采用公司自主的高速硬件加密引擎，支持国家标准SM1、SM2、SM3、SM4密码算法，同时支持国际ECDSA、AES、SHA-1密码算法。可实现网联汽车云端认证、安全数据通信、安全固件升级等需求，为车联网提供信息安全保障。

V2X安全认证方案框图

航芯型号与友商安全性能对比

04

车载数字钥匙方案

01. 方案概述

汽车数字钥匙方案，融合NFC、BLE、UWB等技术，内嵌eSE安全芯片，通过精准的蓝牙或UWB定位、NFC等近场通信技术和更安全的钥匙管理，将智能手机、NFC智能卡、智能手表、智能手环等可穿戴设备变成车钥匙。

02. 方案特点

• BLE实现低功耗远距离感知和交互通信，并唤醒UWB；

• UWB实现精确测距；

• NFC可作为手机没电情况下的备用进入；

• eSE安全芯片支持国际、国密算法，兼容CCC3.0、ICCE、ICCOA，具备国密二级、AEC-Q100认证、CC EAL4+认证，保护敏感信息，实现安全加密。

审核编辑 ：李倩