功能安全

與電子電氣架構(gòu)相關(guān)的功能安全，指不存在由電子電氣系統(tǒng)功能異常行為引起的危害而造成的不合理風(fēng)險(xiǎn)，適用于道路車輛上由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)的所有活動(dòng)。功能安全旨在消除由電子電氣系統(tǒng)失效造成的不合理風(fēng)險(xiǎn)，電子電氣要滿足的功能目標(biāo)及要達(dá)到的功能安全的等級(jí)，決定了電子電器的架構(gòu)設(shè)計(jì)或選型。

隨著電子電氣架構(gòu)技術(shù)的不斷升級(jí)，整車越來(lái)越多的系統(tǒng)和組件對(duì)功能安全產(chǎn)生影響，為此，功能安全也從部分關(guān)鍵系統(tǒng)開發(fā)，向整車各系統(tǒng)全面開發(fā)拓展。同時(shí)，由于域集中式、中央集中式等新架構(gòu)形態(tài)的出現(xiàn)，對(duì)功能安全提出了新的技術(shù)挑戰(zhàn)，功能安全必須建立針對(duì)這些復(fù)雜系統(tǒng)及軟件的開發(fā)和測(cè)評(píng)手段。與此同時(shí)，功能安全技術(shù)也影響著電子電氣架構(gòu)技術(shù)的發(fā)展，從傳統(tǒng)的失效安全（fail-safe）向失效運(yùn)行（fail-operational）衍變，電子電氣架構(gòu)設(shè)計(jì)中引入了更多的冗余（如通信冗余、冗余控制器等）及安全保障措施（如E2E 保護(hù)）。未來(lái)，車輛智能化生態(tài)的形成，將促進(jìn)功能安全技術(shù)走出單車，向全鏈路延伸，實(shí)現(xiàn)整體智能生態(tài)的整體安全。

(資料圖片)

1. 功能安全活動(dòng)

（1）功能安全文化與流程建設(shè)：功能安全規(guī)章制度；組織架構(gòu)；功能安全相關(guān)崗位與職責(zé)；

（2）概念階段功能安全需求分析：系統(tǒng)需求（法規(guī)標(biāo)準(zhǔn)、利益相關(guān)方）；系統(tǒng)運(yùn)行域（包括文化、市場(chǎng)、自然環(huán)節(jié)）；系統(tǒng)功能安全需求（SG，F(xiàn)SR，TSR）等；

（3）系統(tǒng)設(shè)計(jì)與集成階段功能安全活動(dòng)：系統(tǒng)級(jí)功能安全要求；功能安全功能分配與功能要求分解；功能安全接口定義；系統(tǒng)集成與功能安全測(cè)試；系統(tǒng)集成功能安全評(píng)估；

（4）硬件單元設(shè)計(jì)與測(cè)試：硬件功能安全要求；硬件功能安全分析；硬件技術(shù)安全分析；硬件功能安全措施；硬件功能安全測(cè)試與驗(yàn)證；硬件功能安全評(píng)估；

（5）軟件單元設(shè)計(jì)與測(cè)試：軟件功能安全要求；軟件功能安全分析；軟件技術(shù)安全分析；軟件功能安全措施（冗余方案、監(jiān)測(cè)防護(hù)）；軟件功能安全測(cè)試與驗(yàn)證；軟件功能安全評(píng)估；

（6）產(chǎn)品生產(chǎn)與交付：功能安全生產(chǎn)要求；生產(chǎn)過(guò)程功能安全評(píng)估；產(chǎn)品功能安全評(píng)估；產(chǎn)品交付；

（7）運(yùn)行階段概念安全功能安全實(shí)時(shí)監(jiān)測(cè)與防護(hù)：功能安全相關(guān)故障診斷；功能安全風(fēng)險(xiǎn)實(shí)時(shí)防護(hù)/風(fēng)險(xiǎn)實(shí)時(shí)最小化策略；

（8）功能安全管理：配置管理；變更管理；文檔管理；知識(shí)管理。

2. 功能安全技術(shù)體系：

（1）研究整車和各關(guān)鍵系統(tǒng)的危害行為并進(jìn)行風(fēng)險(xiǎn)分析，將危害風(fēng)險(xiǎn)聚類為n 類，定義出量化功能安全指標(biāo)若干，作為系統(tǒng)和車輛安全目標(biāo)；

（2）根據(jù)整車量化安全指標(biāo)要求，開展關(guān)鍵功能/系統(tǒng)安全架構(gòu)技術(shù)研究，制定功能安全產(chǎn)品策略和方案，制定量化安全技術(shù)需求，形成功能/系統(tǒng)量化安全需求庫(kù)；

（3）開展安全分析，將量化安全需求進(jìn)一步落實(shí)到軟硬件安全設(shè)計(jì)，建立軟硬件功能安全需求庫(kù)；

（4）針對(duì)軟硬件和系統(tǒng)，分析不同ASIL 等級(jí)的故障模式及測(cè)試要求，建立功能安全測(cè)試系統(tǒng)和測(cè)試規(guī)范，開展功能安全測(cè)試；

（5）基于軟/硬件在環(huán)測(cè)試平臺(tái)，實(shí)現(xiàn)功能安全驗(yàn)證和測(cè)試，優(yōu)化安全門限，檢驗(yàn)安全響應(yīng)，評(píng)估集成效果；

（6）進(jìn)行整車安全測(cè)試和評(píng)估發(fā)布，確保整車實(shí)現(xiàn)功能安全。

3. 功能安全關(guān)鍵技術(shù)：

（1）整車量化安全開發(fā)技術(shù)：針對(duì)整車危害風(fēng)險(xiǎn)及安全目標(biāo)，定義量化指標(biāo)，定量衡量整車危害風(fēng)險(xiǎn)行為。

（2）安全架構(gòu)設(shè)計(jì)及量化安全需求開發(fā)技術(shù)：根據(jù)安全指標(biāo)和產(chǎn)品方案，設(shè)計(jì)整車及系統(tǒng)安全架構(gòu)方案，分配安全指標(biāo)，并開發(fā)量化安全需求，實(shí)現(xiàn)對(duì)整車指標(biāo)的具體化和客觀化實(shí)現(xiàn)。

（3）安全分析和軟硬件基礎(chǔ)安全需求開發(fā)技術(shù)：開展FMEA、FTA、FMEDA 等安全分析，識(shí)別軟硬件故障及風(fēng)險(xiǎn)，制定應(yīng)對(duì)機(jī)制和措施，完成軟硬件基礎(chǔ)安全需求開發(fā)及詳細(xì)設(shè)計(jì)實(shí)現(xiàn)。

（4）故障注入測(cè)試技術(shù)：通過(guò)故障模擬手段，準(zhǔn)確模擬電子電氣系統(tǒng)、組件及軟件安全相關(guān)故障，開展各層級(jí)測(cè)試，檢驗(yàn)相關(guān)安全機(jī)制的有效性。

（5）功能安全臺(tái)架測(cè)試技術(shù)：基于軟硬件在環(huán)測(cè)試臺(tái)架，開展功能安全仿真和集成測(cè)試，檢驗(yàn)相關(guān)安全機(jī)制、安全響應(yīng)及集成效果。

（6）功能安全整車測(cè)試和評(píng)估技術(shù)：開展不同場(chǎng)景下的整車驗(yàn)證及確認(rèn)測(cè)試，基于相關(guān)測(cè)試及開發(fā)成果，評(píng)估功能安全的整體實(shí)現(xiàn)，完成量產(chǎn)發(fā)布。

預(yù)期功能安全

電子電氣架構(gòu)相關(guān)的預(yù)期功能安全（SOTIF），指不存在由預(yù)期功能或其功能實(shí)現(xiàn)的不足引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。根據(jù)自動(dòng)駕駛功能及其運(yùn)行設(shè)計(jì)域，分析滿足預(yù)期功能安全要求的系統(tǒng)配置方案，基于系統(tǒng)配置方案確定或選擇合適的電子電氣架構(gòu)方案。

1. 預(yù)期功能安全活動(dòng)

（1）預(yù)期功能安全文化與流程建設(shè)；

（2）預(yù)期功能安全需求分析：系統(tǒng)需求分析（標(biāo)準(zhǔn)法規(guī)要求、目標(biāo)市場(chǎng)需求、利益相關(guān)者分析）；系統(tǒng)功能定義（功能、環(huán)境、交互）；系統(tǒng)預(yù)期功能安全分析（SOTIF 場(chǎng)景、功能不足與人員誤用、SOTIF-HARA，SOTIF-Criteria，SOTIF-SG）；

（3）預(yù)期功能安全系統(tǒng)設(shè)計(jì)、集成與測(cè)試：預(yù)期功能安全功能分配與安全要求分解；系統(tǒng)級(jí)預(yù)期功能安全分析與系統(tǒng)方案細(xì)化；

（4）預(yù)期功能安全部件和算法級(jí)設(shè)計(jì)、測(cè)試：部件功能不足與算法缺陷分析；部件與算法預(yù)期功能安全測(cè)試；

（5）預(yù)期功能安全相關(guān)產(chǎn)品生產(chǎn)與交付；

（6）運(yùn)行階段概念預(yù)期功能安全實(shí)時(shí)監(jiān)測(cè)與防護(hù)：預(yù)期功能安全實(shí)時(shí)監(jiān)測(cè)；預(yù)期功能安全實(shí)時(shí)防護(hù)/風(fēng)險(xiǎn)最小化策略；

（7）系統(tǒng)預(yù)期功能安全優(yōu)化與升級(jí)；

（8）預(yù)期功能安全管理：配置管理、知識(shí)管理等。

2. 預(yù)期功能安全技術(shù)體系

（1）通過(guò)定義自動(dòng)駕駛安全接受準(zhǔn)則，作為自動(dòng)駕駛產(chǎn)品開發(fā)的首要安全目標(biāo)，指導(dǎo)相關(guān)安全需求的制定；

（2）基于自動(dòng)駕駛功能方案及場(chǎng)景，分析潛在的功能不足、性能局限、環(huán)境干擾、人員誤用等安全相關(guān)因素，制定應(yīng)對(duì)措施和需求，改進(jìn)產(chǎn)品設(shè)計(jì)；

（3）針對(duì)開發(fā)的產(chǎn)品，開展仿真測(cè)試、定場(chǎng)景測(cè)試和道路測(cè)試，全面檢驗(yàn)產(chǎn)品安全表現(xiàn)；

（4）基于相關(guān)安全準(zhǔn)則、產(chǎn)品設(shè)計(jì)、安全分析和測(cè)試結(jié)果，制定預(yù)期功能安全檔案，開展GSN 論證，評(píng)價(jià)自動(dòng)駕駛產(chǎn)品的安全風(fēng)險(xiǎn)，完成預(yù)期功能安全發(fā)布；

（5）針對(duì)量產(chǎn)后的自動(dòng)駕駛產(chǎn)品，開展運(yùn)行過(guò)程的安全風(fēng)險(xiǎn)監(jiān)測(cè)，對(duì)于識(shí)別出的不合理風(fēng)險(xiǎn)，啟動(dòng)風(fēng)險(xiǎn)控制措施，確保自動(dòng)駕駛的運(yùn)行安全。

3. 預(yù)期功能安全關(guān)鍵技術(shù)：

（1）自動(dòng)駕駛安全準(zhǔn)則制定技術(shù)：針對(duì)自動(dòng)駕駛已知場(chǎng)景和未知場(chǎng)景下的安全表現(xiàn)，制定客觀量化準(zhǔn)則，科學(xué)判定自動(dòng)駕駛的安全水平。

（2）安全分析技術(shù)：通過(guò)STPA（系統(tǒng)理論過(guò)程分析）等安全分析手段，識(shí)別自動(dòng)駕駛安全相關(guān)功能不足、性能局限及危害觸發(fā)條件，制定針對(duì)性措施，開展功能更新。

（3）多支柱法測(cè)試技術(shù)：由仿真測(cè)試、定場(chǎng)景測(cè)試和真實(shí)道路測(cè)試組成的自動(dòng)駕駛預(yù)期功能安全測(cè)試體系。

（4）安全論證技術(shù)：基于安全開發(fā)、分析、測(cè)試等結(jié)果，制定預(yù)期功能安全檔案策略，通過(guò)GSN 等論證手段，評(píng)估自動(dòng)駕駛安全風(fēng)險(xiǎn)，完成預(yù)期功能安全發(fā)布。

（5）安全監(jiān)控技術(shù)：通過(guò)車載和遠(yuǎn)程手段，監(jiān)測(cè)自動(dòng)駕駛運(yùn)行過(guò)程中的安全表現(xiàn)，識(shí)別安全風(fēng)險(xiǎn)并開展必要的風(fēng)險(xiǎn)控制措施，以確保自動(dòng)駕駛運(yùn)行安全。

信息安全

智能聯(lián)網(wǎng)生態(tài)系統(tǒng)是車內(nèi)網(wǎng)、車際網(wǎng)和車載移動(dòng)互聯(lián)網(wǎng)三大部分組成，只有全面理解智能網(wǎng)聯(lián)汽車的生態(tài)系統(tǒng)，才能真正理解汽車行業(yè)面臨的安全挑戰(zhàn)和風(fēng)險(xiǎn)。到2025 年，智能聯(lián)網(wǎng)汽車將占全球汽車市場(chǎng)的近86%，從而為黑客帶來(lái)許多易受攻擊的威脅點(diǎn)。網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件將對(duì)汽車行業(yè)構(gòu)成嚴(yán)重風(fēng)險(xiǎn)，因?yàn)樗鼈冎苯佑绊戱{駛員安全、數(shù)據(jù)隱私和服務(wù)連續(xù)性。

隨著世界首部歐洲WP29 R155 的汽車強(qiáng)制實(shí)施準(zhǔn)入法規(guī)于2021 年1 月22 日生效，新車型于2022 年7 月6 日起強(qiáng)制實(shí)施，在產(chǎn)車型于2024 年7 月6 日起實(shí)施。銷往歐洲/日本/韓國(guó)市場(chǎng)的車型需要獲取CSMS（Cybersecurity Management System）認(rèn)證和VTA（Vehicle TypeApproval）認(rèn)證后方可在當(dāng)?shù)刈?cè)和銷售。另外，中央網(wǎng)信辦牽頭的“汽車安全管理若干規(guī)定（試行）”（“規(guī)定”）于2021 年10 月1 日正式施行，新上市的汽車須符合“規(guī)定”中的數(shù)據(jù)安全要求。各大整車企業(yè)都根據(jù)各個(gè)強(qiáng)制標(biāo)準(zhǔn)的要求，紛紛積極地應(yīng)對(duì)及整改合規(guī)。與此同時(shí)，國(guó)家信息安全強(qiáng)制性標(biāo)準(zhǔn)、推薦標(biāo)準(zhǔn)以及各種團(tuán)體標(biāo)準(zhǔn)都在積極制定當(dāng)中。國(guó)內(nèi)整車企業(yè)也在積極地逐步部署全面的數(shù)據(jù)安全防護(hù)體系。

數(shù)據(jù)安全防護(hù)體系包括了威脅分析與風(fēng)險(xiǎn)評(píng)估以及數(shù)據(jù)安全管理體系和技術(shù)體系建設(shè)，如圖所示。

數(shù)據(jù)安全防護(hù)體系

1. 威脅分析與風(fēng)險(xiǎn)評(píng)估技術(shù)

全生命周期，從概念設(shè)計(jì)、開發(fā)驗(yàn)證到售后維保直至最終報(bào)廢的各階段，予以全面充分考慮，已在行業(yè)內(nèi)達(dá)成普遍共識(shí)。其中，威脅分析與風(fēng)險(xiǎn)評(píng)估（TARA）作為智能網(wǎng)聯(lián)汽車信息安全功能設(shè)計(jì)、開發(fā)與測(cè)試的前提基礎(chǔ)，在ISO/SAE 21434 等國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐中被視為必不可少的關(guān)鍵關(guān)節(jié)。通過(guò)對(duì)整車電子電氣架構(gòu)、系統(tǒng)功能和零部件級(jí)中需要保護(hù)的資產(chǎn)、資產(chǎn)面臨的威脅和風(fēng)險(xiǎn)的識(shí)別評(píng)估，形成整車或零部件的信息安全需求和目標(biāo)。

綜合國(guó)內(nèi)外主流信息安全威脅分析與風(fēng)險(xiǎn)評(píng)估方法，目前面向汽車領(lǐng)域的TARA 一般過(guò)程主要包括資產(chǎn)識(shí)別、影響場(chǎng)景識(shí)別及影響評(píng)級(jí)、威脅場(chǎng)景識(shí)別及攻擊可行性分析、風(fēng)險(xiǎn)值計(jì)算及處置決議。

（1）資產(chǎn)識(shí)別

識(shí)別汽車系統(tǒng)中需要保護(hù)的資產(chǎn)是開展TARA 分析的基礎(chǔ)。首先進(jìn)行相關(guān)項(xiàng)定義（ItemDefinition），其目的是了解分析對(duì)象，清晰地描述與網(wǎng)絡(luò)安全相關(guān)的業(yè)務(wù)或功能，包括相關(guān)項(xiàng)的組件、具體物理位置、詳細(xì)功能及應(yīng)用場(chǎng)景、操作環(huán)境及限制、關(guān)聯(lián)項(xiàng)、需滿足的法規(guī)標(biāo)準(zhǔn)等。然后明確數(shù)據(jù)流向，把相關(guān)項(xiàng)中每個(gè)功能用到的數(shù)據(jù)及實(shí)體流向進(jìn)行標(biāo)識(shí)，形成數(shù)據(jù)流圖（Data Flow Diagram）?；谏鲜龉ぷ鳎R(shí)別數(shù)據(jù)流圖中需保護(hù)的安全資產(chǎn)并進(jìn)行標(biāo)識(shí)。

汽車系統(tǒng)的網(wǎng)絡(luò)安全相關(guān)業(yè)務(wù)或功能主要包括：運(yùn)動(dòng)控制模塊和具有汽車安全完整性等級(jí)（ASIL）的模塊、與駕駛員或乘客或潛在敏感信息（如位置數(shù)據(jù)）相關(guān)數(shù)據(jù)、內(nèi)部連接（CAN、以太網(wǎng)、MOST、TCP/IP 等）、外部連接（后端服務(wù)器的功能接口、蜂窩通信網(wǎng)絡(luò)、車載診斷OBD-II 接口等）、無(wú)線連接傳感器或執(zhí)行器（如遙控門鎖RKE、近場(chǎng)通信NFC、輪胎壓力監(jiān)測(cè)系統(tǒng)TPMS 等）。

汽車需要保護(hù)的資產(chǎn)由內(nèi)而外主要包括：車載電子組件，如ECU、傳感器、執(zhí)行器等，以及它們之間的連接；車載網(wǎng)關(guān)；車輛與外部環(huán)境連接的接口設(shè)備、外部感知部件等。從資產(chǎn)的表現(xiàn)形式，可以分為數(shù)據(jù)、軟件、硬件、服務(wù)等，而從需要保護(hù)的業(yè)務(wù)過(guò)程和活動(dòng)、所關(guān)注信息的角度，資產(chǎn)類型可包括基于ECU 的控制功能、與特定車輛相關(guān)的信息、車輛狀態(tài)信息、用戶信息、配置信息、特定的軟件、內(nèi)容等。

（2）影響場(chǎng)景識(shí)別及影響評(píng)級(jí)

基于對(duì)資產(chǎn)識(shí)別的結(jié)果，首先明確與已識(shí)別資產(chǎn)相關(guān)的安全威脅，以及威脅與安全屬性的映射關(guān)系，即確定資產(chǎn)上下文中的特定威脅會(huì)影響哪些安全屬性。威脅與安全屬性之間的映射關(guān)系的確認(rèn)目前主要采用的是STRIDE 規(guī)則，一種最初由微軟提出的結(jié)構(gòu)化、定性的安全方法，用于在軟件系統(tǒng)中發(fā)現(xiàn)和枚舉威脅，目前已擴(kuò)展適用到汽車電子電氣領(lǐng)域。STRIDE 規(guī)則將威脅的類型分為6 大類，即仿冒、篡改、抵賴、信息泄露、拒絕服務(wù)、特權(quán)提升，并將它們與影響的安全屬性：即真實(shí)性、完整性、機(jī)密性、可用性、時(shí)效性、防抵賴等進(jìn)行對(duì)應(yīng)，具體對(duì)應(yīng)關(guān)系如下表所示：

威脅類型與安全屬性對(duì)應(yīng)關(guān)系

基于威脅將會(huì)影響的安全屬性映射關(guān)系，分析安全屬性破壞會(huì)造成的危害，即危害場(chǎng)景分析，從S（人身安全）F（財(cái)產(chǎn)）O（功能）P（隱私）四個(gè)方面進(jìn)行判斷，企業(yè)也可以定義新的類別，要有合理的判斷依據(jù)及理由，并同步到整個(gè)供應(yīng)鏈，達(dá)成共識(shí)。對(duì)利益相關(guān)方的潛在不利影響進(jìn)行評(píng)級(jí)，計(jì)算影響等級(jí)。

（3）威脅場(chǎng)景識(shí)別及攻擊可行性分析

依據(jù)資產(chǎn)識(shí)別和影響場(chǎng)景的分析，具體分析通過(guò)采取什么行為破壞某資產(chǎn)對(duì)應(yīng)的哪個(gè)安全屬性，最終導(dǎo)致什么樣的后果。在描述威脅場(chǎng)景時(shí)，應(yīng)具體描述資產(chǎn)、影響場(chǎng)景、攻擊方法、攻擊面之間的關(guān)聯(lián)關(guān)系，羅列所有相關(guān)項(xiàng)已識(shí)別資產(chǎn)涉及到的威脅場(chǎng)景。結(jié)合攻擊者的動(dòng)機(jī)與識(shí)別出的系統(tǒng)用例，分析對(duì)汽車電子系統(tǒng)可能的攻擊?？山Y(jié)合攻擊樹方法對(duì)攻擊場(chǎng)景進(jìn)行分析，描繪出攻擊路徑，可以識(shí)別出針對(duì)具體資產(chǎn)的具體攻擊手段。

針對(duì)每一條攻擊路徑，完成攻擊耗時(shí)、攻擊者需要具備的專業(yè)知識(shí)、獲取知識(shí)的難易程度、攻擊成功的可能性、是否需要依賴特殊設(shè)備器材等維度，計(jì)算出攻擊潛力值，評(píng)估得出攻擊可行性等級(jí)。

（4）風(fēng)險(xiǎn)值計(jì)算及處置決議

綜合威脅產(chǎn)生的危害影響程度和攻擊成功的可行性程度，計(jì)算確定被評(píng)估資產(chǎn)對(duì)象在不同威脅場(chǎng)景下的安全風(fēng)險(xiǎn)水平。一般可通過(guò)已經(jīng)分析得出的攻擊可行性等級(jí)和影響等級(jí)對(duì)照風(fēng)險(xiǎn)值計(jì)算矩陣表，對(duì)應(yīng)相應(yīng)的安全等級(jí)?；蛘咄ㄟ^(guò)風(fēng)險(xiǎn)計(jì)算公式，計(jì)算得到該威脅場(chǎng)景的風(fēng)險(xiǎn)值，對(duì)應(yīng)計(jì)算出安全等級(jí)。

基于各項(xiàng)資產(chǎn)的安全風(fēng)險(xiǎn)等級(jí)評(píng)估結(jié)果，項(xiàng)目開發(fā)周期和資源的投入，制定相應(yīng)的風(fēng)險(xiǎn)處置策略，包括規(guī)避風(fēng)險(xiǎn)、減輕風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等。通過(guò)移除風(fēng)險(xiǎn)源實(shí)現(xiàn)規(guī)避風(fēng)險(xiǎn)，通過(guò)定義相關(guān)功能、組件及產(chǎn)品的網(wǎng)絡(luò)安全目標(biāo)和需求實(shí)現(xiàn)減輕風(fēng)險(xiǎn)。對(duì)于風(fēng)險(xiǎn)處置策略不是規(guī)避或降低風(fēng)險(xiǎn)，而是選擇接受或轉(zhuǎn)移的情況，進(jìn)行安全聲明，表明轉(zhuǎn)移風(fēng)險(xiǎn)或保留風(fēng)險(xiǎn)的前提條件及約束條件。

2. 基于新型電子電氣架構(gòu)的安全技術(shù)

智能網(wǎng)聯(lián)汽車的車輛端、通信管道、云平臺(tái)以及移動(dòng)應(yīng)用均面臨一系列的信息安全威脅。從汽車網(wǎng)絡(luò)空間維度出發(fā)，通過(guò)多重技術(shù)協(xié)同、不同手段互補(bǔ)、從外到內(nèi)多層次部署安全防線，滿足車輛信息安全防護(hù)的縱深性、均衡性、完整性的要求。同時(shí)應(yīng)對(duì)新一代車輛電子電氣架構(gòu)的需求，從網(wǎng)聯(lián)安全、內(nèi)網(wǎng)安全、ECU 安全角度實(shí)施部署相應(yīng)防護(hù)措施。

（1）網(wǎng)聯(lián)安全

網(wǎng)聯(lián)接入層主要抵御針對(duì)以太網(wǎng)的DOS、PING 類型、畸形報(bào)文、掃描爆破、欺騙、木馬等網(wǎng)絡(luò)攻擊。需要具備車云聯(lián)動(dòng)機(jī)制的主動(dòng)安全防護(hù)能力，可通過(guò)云端系統(tǒng)實(shí)時(shí)配置防護(hù)策略，主要包括接入認(rèn)證機(jī)制、通信保護(hù)機(jī)制、以太網(wǎng)防火墻機(jī)制和入侵檢測(cè)與防御（IDPS）機(jī)制。

1）接入認(rèn)證機(jī)制

對(duì)TSP 遠(yuǎn)程管理、OTA 升級(jí)、藍(lán)牙鑰匙等關(guān)鍵服務(wù)，對(duì)請(qǐng)求獲取汽車數(shù)據(jù)訪問(wèn)、操作權(quán)限的用戶、設(shè)備、系統(tǒng)等主體進(jìn)行身份認(rèn)證，防范數(shù)據(jù)非法獲取風(fēng)險(xiǎn)。主要技術(shù)手段包括SSL/TLS、身份證書、RADIUS 認(rèn)證協(xié)議、公鑰認(rèn)證機(jī)制等。

2）通信保護(hù)機(jī)制

對(duì)關(guān)鍵業(yè)務(wù)或傳輸?shù)年P(guān)鍵數(shù)據(jù)進(jìn)行加密、數(shù)據(jù)校驗(yàn)等保護(hù)。技術(shù)手段包括數(shù)據(jù)加密、數(shù)據(jù)簽名等。

3）以太網(wǎng)防火墻機(jī)制

基于規(guī)則，對(duì)以太網(wǎng)傳輸內(nèi)容進(jìn)行過(guò)濾控制，如源/目的IP、端口訪問(wèn)控制、黑白名單策略、MAC\IP\URL 地址過(guò)濾。主要技術(shù)手段包括iptables，netfilter 等。

4）入侵檢測(cè)與防御（IDPS）機(jī)制

針對(duì)對(duì)外的網(wǎng)聯(lián)網(wǎng)絡(luò)（以太網(wǎng)），車端部署檢測(cè)網(wǎng)絡(luò)\傳輸層攻擊威脅、檢測(cè)會(huì)話\表示\應(yīng)用層異常流量、與防火墻聯(lián)動(dòng)防御、安全事件采集上傳、防御策略動(dòng)態(tài)更新等技術(shù)能力。云端方面，建設(shè)安全實(shí)時(shí)監(jiān)控、威脅態(tài)勢(shì)呈現(xiàn)、數(shù)據(jù)統(tǒng)計(jì)與分析、防護(hù)策略編排等技術(shù)能力。

（2）內(nèi)網(wǎng)安全

車輛內(nèi)網(wǎng)安全主要抵御針對(duì)車載CAN\CANFD、車載以太網(wǎng)的攻擊入侵，包括報(bào)文監(jiān)聽、錯(cuò)誤注入、報(bào)文重放等攻擊。通過(guò)部署總線入侵檢測(cè)機(jī)制、內(nèi)網(wǎng)防火墻機(jī)制、功能域隔離機(jī)制、總線通信保護(hù)機(jī)制和診斷安全保護(hù)機(jī)制加以防護(hù)。

1）總線入侵檢測(cè)機(jī)制

基于DBC 導(dǎo)出和自定義規(guī)則，對(duì)總線數(shù)據(jù)的ID 錯(cuò)誤、DLC 錯(cuò)誤、報(bào)文序列、周期異常、總線負(fù)載異常等進(jìn)行檢測(cè)。針對(duì)CAN 總線的入侵檢測(cè)技術(shù)包括輕量級(jí)的時(shí)間間隔分析、基于信息熵的閾值計(jì)算與檢測(cè)、基于CART 決策樹模型的閾值判斷與檢測(cè)等。針對(duì)車載以太網(wǎng)的入侵檢測(cè)一般通過(guò)內(nèi)置在以太網(wǎng)交換機(jī)中的汽車防火墻/IDS 解決方案跟蹤所有以太網(wǎng)通信，檢查狀態(tài)數(shù)據(jù)包和深度數(shù)據(jù)包，可以涵蓋SOME/IP，DoIP 等常用車載以太網(wǎng)協(xié)議。

2）以太網(wǎng)防火墻機(jī)制

針對(duì)車內(nèi)以太網(wǎng)交換的數(shù)據(jù)進(jìn)行傳輸控制，車載通信架構(gòu)中引入防火墻，在整車架構(gòu)外圍及各安全域?qū)又g進(jìn)行監(jiān)控隔離，根據(jù)既定的安全策略（如黑/白名單）對(duì)通信通路進(jìn)行可靠性管理，僅允許合法可靠的節(jié)點(diǎn)及用戶進(jìn)行數(shù)據(jù)傳輸交互，實(shí)現(xiàn)防御拒絕服務(wù)攻擊（DoS）、訪問(wèn)控制和阻隔非法通信。技術(shù)手段包括源/目的IP、端口訪問(wèn)控制、黑白名單策略、MAC\IP地址過(guò)濾或限制、跨域通信數(shù)據(jù)檢查、基于TSN 協(xié)議的內(nèi)網(wǎng)流量控制。

3）功能域隔離機(jī)制

以太網(wǎng)總線架構(gòu)下，按不同域的功能劃分不同的網(wǎng)絡(luò)域，網(wǎng)絡(luò)隔離可使用VLAN 技術(shù)，將物理連接在邏輯上以虛擬化的方式劃分為多個(gè)廣播域，VLAN 間不能直接通信，將廣播報(bào)文限制在一個(gè)VLAN 內(nèi)，避免一個(gè)域內(nèi)發(fā)生危害擴(kuò)散到其他域中。

4）總線通信保護(hù)機(jī)制

基于CAN\CANFD 總線信息安全防護(hù)目前主流采用的是AUTOSAR 組織制定并實(shí)現(xiàn)的SecOC（Secure Onboard Communication，車載安全通信）。SecOC 增加加解密運(yùn)算、密鑰管理、新鮮度值管理和分發(fā)等功能，主要采用基于帶有消息認(rèn)證碼（MAC）的數(shù)據(jù)身份驗(yàn)證和基于Freshness（新鮮性）的防重放攻擊等手段實(shí)現(xiàn)數(shù)據(jù)的真實(shí)性和完整性的校驗(yàn)。車載以太網(wǎng)通信中，通過(guò)TLS、IPSec、MACSec、DDS 等協(xié)議分別在傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層進(jìn)行認(rèn)證、簽名、加密、解密等。此外，通過(guò)部署總線輕量化SDK，將普通應(yīng)用幀的數(shù)據(jù)場(chǎng)進(jìn)行安全處理，實(shí)現(xiàn)總線數(shù)據(jù)輕量化加密。

5）診斷安全保護(hù)機(jī)制

針對(duì)車輛診斷場(chǎng)景，對(duì)物理OBD 和遠(yuǎn)程診斷提供接入身份的合法性驗(yàn)證，對(duì)核心的診斷數(shù)據(jù)傳輸進(jìn)行加密處理，和診斷防火墻配合對(duì)診斷場(chǎng)景、數(shù)據(jù)進(jìn)行合規(guī)檢查。與傳統(tǒng)車輛診斷方式比較，保證診斷服務(wù)由域控代理，以防止數(shù)據(jù)透?jìng)鳌?/p>

（3）關(guān)鍵ECU 安全

為確保車輛系統(tǒng)或關(guān)鍵數(shù)據(jù)不被破壞，業(yè)務(wù)應(yīng)用可管可控。在車輛關(guān)鍵ECU 層面需具備安全啟動(dòng)、關(guān)鍵數(shù)據(jù)安全存儲(chǔ)、系統(tǒng)安全運(yùn)行的安全能力，并可為應(yīng)用運(yùn)行提供權(quán)限管理能力。

1）安全啟動(dòng)機(jī)制

車內(nèi)自身嵌入無(wú)法被修改的信任根作為整車的信任源，并由此通過(guò)安全啟動(dòng)，前一個(gè)部件驗(yàn)證后一個(gè)部件的數(shù)字簽名，驗(yàn)證通過(guò)后運(yùn)行后一個(gè)部件。通過(guò)對(duì)系統(tǒng)和應(yīng)用軟件的逐級(jí)驗(yàn)證，構(gòu)建整車的信任鏈?；赟HE、HSM 等安全模塊，實(shí)現(xiàn)系統(tǒng)的安全啟動(dòng)功能，保證FLASH 的程序引導(dǎo)區(qū)、程序區(qū)域不被破壞、刷寫、盜取。

2）安全運(yùn)行機(jī)制

基于TEE 可信計(jì)算環(huán)境，即CPU 內(nèi)與主操作系統(tǒng)并行且獨(dú)立運(yùn)行的安全區(qū)域，通過(guò)軟硬件結(jié)合機(jī)制隔離安全區(qū)域中的可信操作系統(tǒng)和可信應(yīng)用，不受主操作系統(tǒng)中的用戶態(tài)進(jìn)程影響，實(shí)現(xiàn)系統(tǒng)的關(guān)鍵程序運(yùn)行環(huán)境安全，保證需要保護(hù)的運(yùn)行對(duì)象的可鑒別性、完整性和私密性。

3）安全存儲(chǔ)機(jī)制

針對(duì)有安全防護(hù)需求的車輛數(shù)據(jù)進(jìn)行加密存儲(chǔ)。數(shù)據(jù)加密中需考慮加密算法選擇（對(duì)稱加密和非對(duì)稱加密算法）、加密范圍、加密強(qiáng)度設(shè)置、密鑰粒度選擇、分層密鑰管理以及基于PKI 體系的密鑰分發(fā)方式等。面向新一代EEA 的安全需求，基于芯片提供的OTP，或SHE\HSM 的安全存儲(chǔ)能力，實(shí)現(xiàn)系統(tǒng)關(guān)鍵數(shù)據(jù)（身份、密鑰等關(guān)鍵信息）的安全存儲(chǔ)，保證系統(tǒng)的關(guān)鍵數(shù)據(jù)不被盜取、破壞、改寫。

4）應(yīng)用權(quán)限管控機(jī)制

對(duì)系統(tǒng)運(yùn)行的上層或第三方業(yè)務(wù)進(jìn)行統(tǒng)一身份認(rèn)證（IAM），對(duì)其可訪問(wèn)的資源進(jìn)行權(quán)限管理，避免未知應(yīng)用異常啟動(dòng)、應(yīng)用越權(quán)操作系統(tǒng)資源等問(wèn)題發(fā)生。重點(diǎn)考慮訪問(wèn)控制策略和授權(quán)策略，設(shè)置不同級(jí)別的權(quán)限規(guī)則，規(guī)則應(yīng)能夠根據(jù)安全需求進(jìn)行動(dòng)態(tài)調(diào)整。設(shè)置相應(yīng)的授權(quán)策略保證合法訪問(wèn)端獲得數(shù)據(jù)資源的訪問(wèn)權(quán)限。

加入智能汽車生態(tài)交流群（備注公司和姓名）

分享智能汽車知識(shí)！

關(guān)鍵詞：