胡津铭 顾欣 陆臻

关键词：智能网联汽车，个人信息，关键零部件，信息安全

0 引言

近年来，随着传统制造业向智能制造转型升级的趋势日益明显，汽车产业作为国民经济的支柱，已成为中国制造业转型升级的重要领域。相对于传统汽车，智能网联汽车优势明显，智能网联汽车配备了先进的传感器、控制器和执行器等设备，除了具有复杂的环境感知、智能决策和协同控制功能外，还可以实现汽车与汽车、汽车与道路之间的信息智能交换和共享，实现“安全、高效、舒适、高效、安全”的目标[1]。

从技术角度来看，智能网联汽车是集前端环境感知、规划决策、自动驾驶、数据集中处理等多功能于一体的综合产品，集中运用了计算机、现代传感、信息融合、网络通讯、自动控制等技术。此外，伴随移动通信技术的发展，车辆具有了与外部环境交互的功能，车辆也不再被视为一个封闭的框架[2-3]。这些改变虽然给智能网联汽车带来了更多的功能和更舒适的驾驶体验，但也暴露出了更多可能被攻击者利用的信息安全风险面，使得智能网联汽车成为攻击者的目标。由于智能网联汽车收集了大量的用户和环境数据，一旦遭到恶意的网络攻击，不仅会导致数据泄露或车辆系统服务中断，还可能导致用户生命财产损失。

为了保障智能网联汽车的信息安全，在政策标准上，国内外积极建立智能网联汽车网络安全标准法规体系。欧盟法规UN R1555《信息安全与信息安全管理系统》和UN R156《软件升级与软件升级管理系统》，对智能网联汽车在信息安全上进行了认证规定，不满足要求则不能銷售。我国智能运输系统标准化技术委员会（SAC/TC 268）也已完成智能网联汽车标准体系构建，将开展涵盖整车、系统部件等技术的15项标准制定和研究项目。在测试方法上，华锋等[4]提出了一种汽车整车网络安全测试框架，该框架给出了智能网联汽车整车的测试思路和建议。Phu等[5]对包括智能网联汽车在内的物理网络系统领域中的网络安全测试方法进行了总结，指出了基于模型的网络安全测试方法的趋势，但是上述两文献并未提出具体的测试方法。

综上所述，为了研究切实可行的智能网联汽车的信息安全测试方案，本文将首先对智能网联汽车所面临的安全威胁层面进行分析和总结，进而基于智能网联汽车信息安全检测的问题，提出切实可行的智能网联汽车信息安全测试方案，促进智能网联汽车产业健康有序发展。

1 智能网联汽车安全威胁分析

当前，智能网联汽车已经与网络和通信技术深度融合，具有了环境感知、智能决策和协作控制等功能。因此，智能网联汽车暴露出的可攻击面相比于传统汽车更多。分析智能网联汽车的信息安全风险可以从两个方面进行：首先是技术层面，攻击者通过了解目标车辆，开发出可以恶意控制目标车辆的工具；其次是可操作性层面，攻击者在发起攻击时克服条件限制，例如通过攻击OBD接口物理进入汽车等。总体而言，智能网联汽车主要包括以下层面的信息安全隐患。

1.1 间接物理攻击

间接物理攻击是针对智能网联汽车众多攻击中最普遍的攻击方式，例如OBD接口作为汽车上最重要的一个物理接口，可以通过该接口读取汽车的运行状态数据等[6]，攻击者可以直接通过OBD接口访问CAN-Bus进而完全控制汽车的物理功能并造成威胁。同时有些车载设备可通过蓝牙或WiFi技术与手机通信，并通过手机将数据上传服务器。如果这些链路被攻击者利用，同样可以对汽车发起攻击进而控制智能网联汽车。

1.2 短距离无线攻击

比起间接物理攻击的方式，短距离的无线攻击应该更灵活，威胁更大[7]。短距离无线攻击方式包括WiFi、蓝牙、无线数字钥匙等，对于这些攻击方法，攻击者可以利用相应的有效设备在汽车附近收发数据。例如，作为目前智能网联汽车标配的无线数字钥匙，主要通过无线433HZ、125HZ、315HZ 三种频率，以及基于KeeloQ加密算法的信号实现远程控制和认证，攻击者可以通过对无线数字钥匙密钥的破解，找到密钥进而对车辆造成负面影响。

1.3 远距离无线攻击

远距离攻击方式主要针对GPS、数字广播等公用的通信链路，也包括蜂窝网络、远程控制系统等专用通信链路。攻击者可以在任何地方发起攻击，这对汽车而言是最大的威胁。例如女巫攻击（Sybil）是针对智能网联汽车通信的一种典型攻击方式[8]，通过伪造车辆身份标识来创建错误的目的地址，使原本合法的车辆标识失去了真实性，从而达到破坏路由算法机制、修改数据整合结果的目的。

2 智能网联汽车信息安全检测存在的问题

2.1 检测因素多，检测指标繁杂

与传统汽车相比，智能网联汽车架构设计更为复杂，涉及的通信协议更多。智能网联汽车信息安全检测所涉及的因素比传统汽车更加复杂，包括感知系统、操作系统、通信系统、控制系统等[9]。由于智能网联汽车的各个部件和系统都有其独特的检测指标和标准，因此，如何确定这些指标和标准也是一项难题。

2.2 检测手段落后，检测效率低

智能网联汽车主要是通过各种传感器对实时数据进行收集，进而通过智能分析，协助驾驶员操作，提高驾驶的安全性和舒适性[10]。然而，由于有些检测技术较为落后，缺乏能够充分满足智能网联汽车信息安全检测需求全面性的检测手段和设备，不仅会导致检测效率低下，还会增加智能网联汽车检测的难度和成本。

3 安全性测试方案研究及分析

3.1 安全性测试方案

为减少智能网联汽车产品存在潜在的信息安全隐患，针对智能网联汽车开展信息安全测试工作极其重要。本文根据前述对智能网联汽车信息安全威胁的分析，利用 Nmap、IDA Pro、BurpSuite、Putty、Wireshark等测试工具，结合渗透测试、API攻击、协议破解等方法，形成一套系统的智能网联汽车信息安全测试方法，具体测试流程如图1所示。

主要的测试项如表1所示，表1中为部分主要测试项目，随着智能网联汽车的发展，后续会继续添加更多的测试项目。

3.2 安全性测试实例及分析

为了验证所提出智能网联汽车信息安全测试方法的可行性，在本节中，选取某款智能网联汽车开展信息安全测试。本次测试中通过搭建测试环境，使智能网联汽车关键零部件设备正常运行并实现其功能，对设备运行状态下的安全进行测试，并且通过对固件进行代码分析，开展深度安全测试，对该款智能网联汽车的刹车辅助、自动巡航、自动泊车等自动驾驶功能进行测试。

结合GB/T 30279—2013《信息安全技术安全漏洞等级划分指南》中访问路径、利用復杂度和影响程度3个方面和GB／T 40861-2021《汽车信息安全通用技术要求》等技术标准，选择了静态分析、动态测试结合模拟仿真及渗透测试的方法，对系统可能存在的漏洞和安全隐患进行检测，并对系统的代码规格、安全标准等进行静态分析，对辅助驾驶系统的源码、配置文件进行检查和评价；通过对辅助驾驶系统进行各种攻击模拟的动态测试，测试系统的抗攻击能力和稳定性，以及对系统的响应速度、准确性、可靠性等进行测试和评估；通过模拟黑客攻击等手段，对系统进行安全渗透测试，评估系统的安全性和抵御攻击的能力；最后，模拟仿真不同的驾驶场景和情况，测试辅助驾驶系统的适应性和准确性，并检测系统可能存在的漏洞和安全隐患。经过检测，发现该款智能网联汽车通信链路层自动泊车数据传输加密、决策层固件可信根签名安全和感知层ADAS通信可信根签名等方面存在安全性问题。

目前智能网联汽车的测试主要在智能网联试验场或示范区进行，测试场大多采用在传统试验场，很难复现智能网联汽车实际运行情况，针对智能网联汽车的关键零部件测试，主要采用单独测试零部件的方式，未考虑数据流流转过程中的数据安全问题[11]。本文所提智能网联汽车信息安全测试方法在综合考虑了智能网联汽车组成结构及关键零部件内生关系、辅助驾驶采集数据流动方向及生命周期基础上，基于信息安全威胁分析，给出了智能网联汽车信息安全测试方法，可对智能网联汽车车信息安全和个人信息保护进行一体化测试。

4 结语

智能网联汽车信息安全是高效安全交通运输的基础和保障，也是保障人民群众生命财产安全的必要选择，是当前国际汽车业备受关注的主题之一。随着现代汽车已明显向集成化、智能化和网络化三个方向发展，在国家安全、社会经济安全方面对汽车信息安全提出了更高的要求。本文通过对智能网联汽车架构和安全威胁进行分析，提出智能网联汽车安全性测试项目和测试验证方法，为智能网联汽车产业进行信息安全检测提供有效可行的方案，有助于促进智能网联汽车产业健康有序发展。