文／王建 陈晓光 朱研 任翔

随着相应技术逐步趋于成熟，新四化在当今汽车市场上蓬勃发展。业界对车联网通信系统的相关技术标准仍存有争论，例如车载以太网标准是否将取代CAN总线；无线技术采用LTE-V、5G，抑或是专用短程通信技术（DSRC）等。并且，在汽车新四化带给大家便利的同时，也面临着新的安全挑战，诸如新能源汽车安全、V2X信息安全、出行服务云平台安全等，引起行业内的密切关注。本文将对车载以太网技术的发展趋势、主要技术以及网络安全、信息安全防护等方面进行简要的分析和探讨。

如今，智能网联汽车新功能不断涌现，且日益复杂化，加之车联网互 联、V2X（Vehicle to X)和高宽带的要求，需要更加开放、高速、安全且兼容性更高的车载网络，车载以太网由此应运而生。车载以太网不仅支持不同应用的多种协议，适应未来发展的需要，还具备无线的功能。

随着智能网联汽车中的众多应用对高宽带需求的不断增长，促使车载网络开始运用以太网技术，同时也为智能网联汽车带来更大的网络安全和信息安全的挑战。

车载安全网关、防火墙、DPI（深度包解析）等技术的综合应用，将为车载以太网搭建安全的保护层，可以监测网络中的恶意行为，检测攻击并阻断其对车辆造成危害的动作，从而提供行车的安全水平。

智能网联汽车具有众多控制单元，越是高级的智能网联汽车，其控制单元的数量越多，控制系统也越复杂。每个控制单元就是一台独立的电脑，在接受信息的同时，对信息进行处理、分析，然后下达指令。智能网联汽车具备的功能，如高级信息娱乐系统、360度视频监控系统、智能通讯系统、自动泊车系统、车道偏离检测系统、盲点检测等，对数据总线的运算处理能力都提出了严峻的挑战。

当前车内网络，主要是由CAN、LIN、FlexRay、MOST等构成，同时，国际组织如IEEE、AVNU、AUTOSAR等也都在积极推动车载以太网的发展。传统的车载网络所支持的通信协议单一，而车载以太网同时支持AVB、TCP/IP、DOIP、SONIP等多种协议，增加的精确时钟同步、带宽预留协议，提升音视频传输实时性；SOME/IP规定车载摄像头的视频通信要求，通过API的方式实现辅助驾驶摄像头的控制；作为AVB协议的扩展，车载时间敏感网络，还支持高效的控制类信息数据传输；而G比特的传输速率，还支持对POE功能和高效节能功能。

智能网联汽车新四化的应用程度越来越高，智能网联汽车可以视为“四个轱辘的移动电脑”，其网络安全、信息安全、数据安全，以及互联互通时管道安全的关注将与日俱增。车载以太网作为车内的骨干网，将成为未来无人驾驶必要的网络基础，保护好车载以太网的网络安全、信息安全，就是为未来的智能网联汽车保驾护航。

随着汽车新四化的发展，以及黑客渗透率的持续提升，新四化下的智能网联汽车安全领域，将形成至少千亿级的直接市场，还将间接影响数以万亿级的车联网、自动驾驶、新能源车等智能网联汽车的市场走向，新四化下智能网联汽车的安全问题，将远远超越传统概念的网络安全、信息安全、数据安全领域的范畴。

以太网网络安全防护：网络层

从TBOX使用以太网通信协议连接到VGM-车内ECU，以太网通信，使用CRC校验。防止攻击者通过拦截控制指令，篡改并发送恶意的动作指令。

对外访问时，车载安全网关具有过滤网络恶意指令的能力，支持默认的安全访问策略，支持OTA远程升级访问控制策略，还支持在遭受外部恶意网络攻击如流量攻击，降低危害、灾难的能力，如采取主动降速行为，或关闭与外部连接的动作，保护车内网络的安全。

以太网网络安全，应能支持防止ARP攻击的能力，采取绑定源通信APN的MAC IP、目标智能网联汽车IP的MAC地址，包含带宽QOS限制功能、人工可调整带宽、远程车联网平台带宽限速等功能，还有主动防御黑客攻击的安全策略。

以太网网络通信APN安全：应用层

网中的TBOX持双APN的通道，应支持对不同的APN的网络管理，且支持网络分离通信，如一个APN用于连接车联网平台的网络通信，对数据进行加密，对通信敏感信息进行安全保障。另一个APN则供用户娱乐，用于浏览网络信息等，防止APN不同的通道共用，避免以太网通信遭受网络攻击的风险。以太网支持使用VLAN功能，管理车内网不同的APN通道，保障通信安全。

此外，保证车载以太网的信息安全、网络安全，还应该重点考虑以下几点：

(1)安全的接口，使用一个安全的元素作为一个防篡改的信任锚。

(2)物理和电气隔离的网络，使用防火墙的中央网关。

(3)安全的网络，具有安全的总线监视和加密功能，用于消息认证的发送器或微控制器，使用可信任的软件在其中运行保护环境。

网络被划分为多个子域，子域仍然容易受到攻击，比如消息操纵等。保护子域的手段有添加消息身份验证方案，即每个消息都以a扩展加密代码来保证一个真实的发送者，它也被正确接收且无改变。

(4)加密。在内部的不同的ECUs之间进行交换，可以通过加密消息来避免数据泄露和身份窃取。

(5)入侵检测。模式识别和规则检查以检测异常网络流量，并在攻击数据包到达之前阻止恶意的数据包，含消息速率的限制机制，以防拒绝服务的网络攻击。

(6)ECU级验证。网络中的ECUs的真实性可以得到验证(例如，发动机启动和定期启动)。

考虑到智能网联汽车车端的安全，增加硬件模块作为网信安全分防护，势在必行。

车载安全网关（含IDPS）

车载安全网关不仅作为车内各子域间进行信息交换的通道，同时承担与车外进行信息交换的角色，实现智能网联汽车与车联网服务平台之间的通信。由于车载安全网关有如此特殊的角色位置，因此其涉及到的安全问题，成为其基础功能之外最为重要的延伸方向。

车载安全网关软件实现完全依照国际上普遍认可的智能网联汽车开放系统架构AUTOSAR（AUTomotive Open Source ARchitecture）进行模块化构建。围绕AUTOSAR软件架构中“基础软件”（BSW）层中的通信模块进行逻辑扩展，配置使用其他一些管理及接口抽象模块，整合实现网关的数据包协议转换、调度路由等核心功能，三者进行交互，完成车辆基础通讯体系的立体监控。

车载安全网关，以硬件形式提供，在车辆出厂前进行集成，同时可选的提供ECU辅助探针安全开发包的接入及云端管控平台搭建。其基础功能是协议转换和数据路由，数据调度及协议分析，对于报文数据在网关处的需要进行解包、打包、排队、调度、转发等过程。这些基础功能很大程度上依赖AUTOSAR软件规范进行模块化生成。

AUTOSAR通信栈由通信驱动层、通信抽象层和通信服务层三个部分促成，其中通信服务层这一层的交互等同用数据单元主要是I-PDU（交互层数据单元）。通信栈整体结构中的通信服务层是通信栈的最高层，是实现互联的关键。

由于车载安全网关本身的属性限制，它要负责处理多种不同子网协议数据的转换及转发，因此车载安全网关中的DPI检测技术采用基于应用层协议的方式来实现深度检测。检测引擎自身包括三个部件：协议解析器、算法引擎和检测结果处理。

协议确认是对协议进行初期的识别、协议切分是在流的基础上细分出“检测流”或者“事物”的概念、协议域切分是对最小粒度上细分报文。将检测流分成Header和Body部分，Header还要细分成各个Field，包含Field Value和Field Data部分。协议域切分判别该头域是否需要检测，判定命中的特征是否与之所定义的吻合，并识别提取审计日志记录的关键位置所在，解码是协议解析器对协议域进行解码，获取进行分析的对象。

定义矩阵匹配：报文解析器对控制通道报文的解析，通过与预置的多种协议“定义矩阵”匹配来识别出当前对象的合法性。

检测引擎首先确定待检测的协议类型，然后根据协议的帧格式进一步抽取出其有效载荷部分，作为分析对象。针对分析对象，结合车型提供的基础通讯协议内容，划分报文属性（各种支持协议单独划分，形成“定义矩阵”），匹配判断出细分域中内容的有效性。协议分析完成后，通过算法引擎匹配、查找发现相关的检测结果，下发到后续的动作模块进行处理。

同时，还需将CAN总线数据进行过滤，CAN-BUS的数据帧中CAN-ID占据11位，数据段占据64位，再辅之增加黑/白名单过滤。

对于带有数据段的CAN数据包，黑/白名单中允许设置性能阈值，进行二次过滤，根据不同网联车的车型，通过设置阈值的形式，建立不同的基础性能基线，对超出或者低于标准基线规范范围的操作行为进行拦截和报警。提供一套完整的协议转换工具，录入车辆CAN数据协议，输出具有标准格式的黑/白名单文件进行存储，对广播在CAN总线上的非法数据进行过滤。

辅助安全组件模块化构建

辅助安全组件包含ECU辅助探针和远程云端（SOC）。

ECU辅助探针。提供ECU固件功能开发包，该开发包辅助完成应用该逻辑的ECU节点的故障状态上传，同时针对对外传输的报文进行身份标示及加密处理。

深度包检测（DPI）技术是一种基于应用层的流量检测和控制技术，当协议数据包通过车载安全网关时，网关的基于DPI技术的带宽管理模块会深入读取数据包有效载荷的内容，来对OSI协议中的应用层信息进行重组，得到整个应用程序的内容，继而按照预设的防御规则对该内容进行过滤。

表1 辅助安全组件模块化构建方式

SecOC从属于AUTOSAR软件规范中的Safety and Security部分，旨在为PDU（Protocol Data Unit）的关键数据提供有效可行的认证机制。此认证机制可以和当前的AUTOSAR通信系统进行无缝集成，作为一个附属功能存在。

Authentic I-PDU是具备抵御未经授权的操作和重放攻击功能的 AUTOSAR I-PDU，Secured I-PDU是 由Authentic I-PDU、Authenticator（如MAC）、Freshness构成，其中的Authenticator是由密钥（Key），Secured I-PDU的数据标识符（Data Id）、真实有效载荷（Authentic Payload）以及Freshness值，是经过算法生成唯一的认证数据字符串。Freshnes值是指用于确保Secured I-PDU（Interaction Layer Protocol Data Units）新鲜度的单调计数器，可以通过单个消息计数器或是时间戳来实现，即Freshness值可以是计数器值（Counter），也可以是时间戳（Timestamp）。

在发送端，SecOC模块通过对Authentic I-PDU添加认证信息来创建Secured I-PDU，认证信息包括Authenticator（如MAC、Message Authentication Code）和Freshness值。

远程云端（SOC）。接受来自网关的基础数据项，辅助运维统计展示、攻击行为态势跟踪展示、安全参数配置应用、网关防御规则生成及下发、同时负责历史日志的存储管理。

远程云端是整个安全体系的大脑，能够对终端的安全数据及驾驶行为数据进行存储及运算，因此平台需要配套高效的日志管理逻辑。在终端，不同的IDPS进行安全检测，检测后的日志数据统一发送到聚合器（aggregator IDPS）进行某种格式的整合。整合后的数据不是主动传输给云端（SOC），而是在建立通道后，SOC通过轮询的方式获取数据。

针对上述的管理逻辑，还可以根据业务需求，进行相应的简化，以得到更高的执行效率。三方面的防御功能将检测结果汇总到聚合器，聚合器按照协议格式整合后进行本地缓存，然后生成“清单”，同时将真实的日志数据进行分块，定期发送到SOC。

结束语

智能网联汽车元件的多元化，也意味着网络模式的多元化，更易引起信息安全问题，因此智能网联汽车信息安全的防护机制建立刻不容缓。其中，针对智能网联汽车以太网的安全防护，需要具备对外访问的过滤网络恶意指令的能力，支持人工制定各种出入策略，支持默认的安全访问策略。在遭受外部恶意网络攻击时采取主动降速行为，或关闭与外部连接的动作，保护车内网络的安全、行车安全和人身安全。

在智能网联汽车安全管理平台上，监控网络通信流量，通过DPI技术检测出异常的网络通信流量，进行日志统计、分析、审计供后续提升安全防范能力，建立防止黑客攻击的安全策略，同时加强智能网联汽车自身众多ECU的安全防护。