基于车载以太网的智能网联汽车
网信安全防护技术研究
随着相应技术逐步趋于成熟,新四化在当今汽车市场上蓬勃发展。业界对车联网通信系统的相关技术标准仍存有争论,例如车载以太网标准是否将取代CAN总线;无线技术采用LTE-V、5G,抑或是专用短程通信技术(DSRC)等。并且,在汽车新四化带给大家便利的同时,也面临着新的安全挑战,诸如新能源汽车安全、V2X信息安全、出行服务云平台安全等,引起行业内的密切关注。
本文将对车载以太网技术的发展趋势、主要技术以及网络安全、信息安全防护等方面进行简要的分析和探讨。
文/王建 陈晓光 朱研 任翔
如今,智能网联汽车新功能不断涌现,且日益复杂化,加之车联网互联、V2X(Vehicle to X)和高宽带的
要求,需要更加开放、高速、安全且兼容性更高的车载网络,车载以太网由此应运而生。车载以太网不仅支持不同应用的多种协议,适应未来发展的需要,还具备无线的功能。
随着智能网联汽车中的众多应用对高宽带需求的不断增长,促使车载网络开始运用以太网技术,同时也为智能网联汽车带来更大的网络安全和信息安全的挑战。
车载安全网关、防火墙、DPI
(深度包解析)等技术的综合应用,
将为车载以太网搭建安全的保护
层,可以监测网络中的恶意行为,
检测攻击并阻断其对车辆造成危
害的动作,从而提供行车的安全
水平。
智能网联汽车具有众多控制单
元,越是高级的智能网联汽车,
其控制单元的数量越多,控制系统
也越复杂。每个控制单元就是一台
独立的电脑,在接受信息的同时,
对信息进行处理、分析,然后下达
指令。智能网联汽车具备的功能,
如高级信息娱乐系统、360度视频
监控系统、智能通讯系统、自动泊
车系统、车道偏离检测系统、盲点
检测等,对数据总线的运算处理能
力都提出了严峻的挑战。
当前车内网络,主要是由
C A N、L I N、F l e x R a y、M O S T
等构成,同时,国际组织如
IEEE、AVNU、AUTOSAR等也
都在积极推动车载以太网的发展。
传统的车载网络所支持的通信协
议单一,而车载以太网同时支持
AVB、TCP/IP、DOIP、SONIP
等多种协议,增加的精确时钟同
王建  国家智能网联汽车创新中心信息安全部总监 ,陈晓光  恒安嘉新(北京)科技股份公司CEO
朱研  北京娜迦信息科技发展有限公司联合创始人&CEO,任翔  恒安嘉新(北京)科技股份公司车联网资深专家
步、带宽预留协议,提升音视频传输实时性;SOME/IP规定车载摄像头的视频通信要求,通过API 的方式实现辅助驾驶摄像头的控制;作为AVB协议的扩展,车载时间敏感网络,还支持高效的控制类信息数据传输;而G比特的传输速率,还支持对POE功能和高效节能功能。
智能网联汽车新四化的应用程度越来越高,智能网联汽车可以视为“四个轱辘的移动电脑”,其网络安全、信息安全、数据安全,以及互联互通时管道安全的关注将与日俱增。车载以太网作为车内的骨干网,将成为未来无人驾驶必要的网络基础,保护好车载以太网的网络安全、信息安全,就是为未来的智能网联汽车保驾护航。
随着汽车新四化的发展,以及黑客渗透率的持续提升,新四化下的智能网联汽车安全领域,将形成至少千亿级的直接市场,还将间接影响数以万亿级的车联网、自动驾驶、新能源车等智能网联汽车的市场走向,新四化下智能网联汽车的安全问题,将远远超越传统概念的网络安全、信息安全、数据安全领域的范畴。
以太网网络安全防护:网络层
从TBOX使用以太网通信协议连接到VGM-车内ECU,以太网通信,使用CRC校验。防止攻击者通过拦截控制指令,篡改并发送恶意的动作指令。
对外访问时,车载安全网关
具有过滤网络恶意指令的能力,
支持默认的安全访问策略,支持
OTA远程升级访问控制策略,还
支持在遭受外部恶意网络攻击如
流量攻击,降低危害、灾难的能力,
如采取主动降速行为,或关闭与
外部连接的动作,保护车内网络
的安全。
以太网网络安全,应能支持防
止ARP攻击的能力,采取绑定源
通信APN的MAC IP、目标智能
网联汽车IP的MAC地址,包含
带宽QOS限制功能、人工可调整
带宽、远程车联网平台带宽限速等
功能,还有主动防御黑客攻击的安
全策略。
以太网网络通信APN安全:
应用层
网中的TBOX持双APN的通
道,应支持对不同的APN的网络
管理,且支持网络分离通信,如
一个APN用于连接车联网平台的
网络通信,对数据进行加密,对
通信敏感信息进行安全保障。另
一个APN则供用户娱乐,用于浏
览网络信息等,防止APN不同的
通道共用,避免以太网通信遭受网
络攻击的风险。以太网支持使用
VLAN功能,管理车内网不同的
APN通道,保障通信安全。
此外,保证车载以太网的信息
安全、网络安全,还应该重点考虑
以下几点:
(1)安全的接口,使用一个安全
的元素作为一个防篡改的信任锚。
(2)物理和电气隔离的网络,
使用防火墙的中央网关。
(3)安全的网络,具有安全的
总线监视和加密功能,用于消息认
证的发送器或微控制器,使用可信
任的软件在其中运行保护环境。
网络被划分为多个子域,子域
仍然容易受到攻击,比如消息操纵
等。保护子域的手段有添加消息身
份验证方案,即每个消息都以a扩
展加密代码来保证一个真实的发
送者,它也被正确接收且无改变。
(4)加密。在内部的不同的
ECUs之间进行交换,可以通过
加密消息来避免数据泄露和身份
窃取。
(5)入侵检测。模式识别和规
则检查以检测异常网络流量,并在
攻击数据包到达之前阻止恶意的
数据包,含消息速率的限制机制,
以防拒绝服务的网络攻击。
(6)ECU级验证。网络中的
ECUs的真实性可以得到验证(例
如,发动机启动和定期启动)。
考虑到智能网联汽车车端的安
全,增加硬件模块作为网信安全分
防护,势在必行。
车载安全网关(含IDPS)
车载安全网关不仅作为车内各
子域间进行信息交换的通道,同时
承担与车外进行信息交换的角,
智车科技SMART TECH
实现智能网联汽车与车联网服务平台之间的通信。由于车载安全网关有如此特殊的角位置,因此其涉及到的安全问题,成为其基础功能之外最为重要的延伸方向。
车载安全网关软件实现完全依照国际上普遍认可的智能网联汽车开放系统架构AUTOSAR (A U T o m o t i v e O p e n S o u r c e ARchitecture)进行模块化构建。围绕AUTOSAR软件架构中“基础软件”(BSW)层中的通信模块进行逻辑扩展,配置使用其他一些管理及接口抽象模块,整合实现网关的数据包协议转换、调度路由等核心功能,三者进行交互,完成车辆基础通讯体系的立体监控。
车载安全网关,以硬件形式提供,在车辆出厂前进行集成,同时可选的提供ECU辅助探针安全开发包的接入及云端管控平台搭建。其基础功能是协议转换和数据路由,数据调度及协议分析,对于报文数据在网关处的需要进行解包、打包、排队、调度、转发等过程。这些基础功能很大程度上依赖AUTOSAR软件规范进行模块化生成。
AUTOSAR通信栈由通信驱动层、通信抽象层和通信服务层三个部分促成,其中通信服务层这一层的交互等同用数据单元主要是I-PDU(交互层数据单元)。通信栈整体结构中的通信服务层是通信栈的最高层,是实现互联的关键。
由于车载安全网关本身的属性
限制,它要负责处理多种不同子网
协议数据的转换及转发,因此车载
安全网关中的DPI检测技术采用
基于应用层协议的方式来实现深
度检测。检测引擎自身包括三个部
件:协议解析器、算法引擎和检测
结果处理。
协议确认是对协议进行初期
的识别、协议切分是在流的基础
上细分出“检测流”或者“事
物”的概念、协议域切分是对最
小粒度上细分报文。将检测流分
成Header和Body部分,Header
还要细分成各个Field,包含Field
Value和Field Data部分。协议域
切分判别该头域是否需要检测,
判定命中的特征是否与之所定义
的吻合,并识别提取审计日志记
录的关键位置所在,解码是协议
解析器对协议域进行解码,获取
进行分析的对象。
定义矩阵匹配:报文解析器对
控制通道报文的解析,通过与预置
的多种协议“定义矩阵”匹配来识
别出当前对象的合法性。
检测引擎首先确定待检测的协
议类型,然后根据协议的帧格式
进一步抽取出其有效载荷部分,作
为分析对象。针对分析对象,结合
车型提供的基础通讯协议内容,划
分报文属性(各种支持协议单独划
分,形成“定义矩阵”),匹配判
断出细分域中内容的有效性。协议
分析完成后,通过算法引擎匹配、
查发现相关的检测结果,下发到
后续的动作模块进行处理。
同时,还需将CAN总线数据
进行过滤,CAN-BUS的数据帧
中CAN-ID占据11位,数据段
占据64位,再辅之增加黑/白名
单过滤。
对于带有数据段的CAN数据
包,黑/白名单中允许设置性能阈
值,进行二次过滤,根据不同网联
车的车型,通过设置阈值的形式,
建立不同的基础性能基线,对超出
或者低于标准基线规范范围的操
作行为进行拦截和报警。提供一
套完整的协议转换工具,录入车辆
CAN数据协议,输出具有标准格
式的黑/白名单文件进行存储,对
广播在CAN总线上的非法数据进
行过滤。
辅助安全组件模块化构建
辅助安全组件包含ECU辅助
探针和远程云端(SOC)。
ECU辅助探针。提供ECU固
件功能开发包,该开发包辅助完成
应用该逻辑的ECU节点的故障状
态上传,同时针对对外传输的报文
进行身份标示及加密处理。
深度包检测(DPI)技术是一
种基于应用层的流量检测和控制
技术,当协议数据包通过车载安
全网关时,网关的基于DPI技术
的带宽管理模块会深入读取数据
包有效载荷的内容,来对OSI协
议中的应用层信息进行重组,得
到整个应用程序的内容,继而按照预设的防御规则对该内容进行过滤。
SecOC从属于AUTOSAR软件规范中的Safety and Security部分,旨在为PDU(Protocol Data Unit)的关键数据提供有效可行的认证机制。此认证机制可以和当前的AUTOSAR通信系统进行无缝集成,作为一个附属功能存在。
Authentic I-PDU是具备抵御未经授权的操作和重放攻击功能的AUTOSAR I-PDU,Secured I-PDU是由Authentic I-PDU、Authenticator(如MAC)、Freshness 构成,其中的Authenticator是由密钥(Key),Secured I-PDU的数据标识符(Data Id)、真实有效载荷(Authentic Payload)以及Freshness 值,是经过算法生成唯一的认证数据字符串。Freshnes值是指用于确保Secured I-PDU(Interaction Layer Protocol Data Units)新鲜度的单调计数器,可以通过单个消息计数器
或是时间戳来实现,即Freshness值
可以是计数器值(Counter),也可
以是时间戳(Timestamp)。
在发送端,SecOC模块通过
对Authentic I-PDU添加认证
信息来创建Secured I-PDU,认
证信息包括Authenticator(如
M A C、M e s s a g e A u t h e n t i c a t i o n
Code)和Freshness值。
远程云端(SOC)。接受来自
网关的基础数据项,辅助运维统
计展示、攻击行为态势跟踪展示、
安全参数配置应用、网关防御规则
生成及下发、同时负责历史日志的
存储管理。
远程云端是整个安全体系的大
脑,能够对终端的安全数据及驾驶
行为数据进行存储及运算,因此平
台需要配套高效的日志管理逻辑。
在终端,不同的IDPS进行安全检
测,检测后的日志数据统一发送到
聚合器(aggregator IDPS)进行
某种格式的整合。整合后的数据不
是主动传输给云端(SOC),而
是在建立通道后,SOC通过轮询
的方式获取数据。
针对上述的管理逻辑,还可以
根据业务需求,进行相应的简化,
以得到更高的执行效率。三方面的
防御功能将检测结果汇总到聚合
器,聚合器按照协议格式整合后进
行本地缓存,然后生成“清单”,
同时将真实的日志数据进行分块,
定期发送到SOC。
结束语
智能网联汽车元件的多元化,
也意味着网络模式的多元化,更易
引起信息安全问题,因此智能网联
汽车信息安全的防护机制建立刻
不容缓。其中,针对智能网联汽车
以太网的安全防护,需要具备对外
访问的过滤网络恶意指令的能力,
支持人工制定各种出入策略,支
持默认的安全访问策略。在遭受外
部恶意网络攻击时采取主动降速
汽车安全技术行为,或关闭与外部连接的动作,
保护车内网络的安全、行车安全和
人身安全。
在智能网联汽车安全管理平台
上,监控网络通信流量,通过DPI
技术检测出异常的网络通信流量,
进行日志统计、分析、审计供后
续提升安全防范能力,建立防止
黑客攻击的安全策略,同时加强
智能网联汽车自身众多ECU的安
全防护。
表1  辅助安全组件模块化构建方式