內容提要：基于簡單的案例分析和標準介紹，得出除了車廠必須保證所設計的車輛系統的安全性，還有其他能減少“表面攻擊”的工作要做。

智能汽車的出現為技術和創新的無限可能性打開了大門，但也為汽車本身以外的威脅打開了大門。事實上，技術的進步正在改變汽車工業，通過增加由計算機控制的汽車部件的數量，這些部件通過各種通信方式向遠程系統提供信息。這些變化為網絡犯罪，特別是電腦黑客的網絡入侵行為創造了新的機會。

對于汽車網絡安全來說，或許不是車輛越多越好。原因是當網聯車輛的數量飚升的同時，也會吸引到越來越多的黑客，這意味著潛在受害者的群體更大。其次，每輛汽車的車載通信軟件的代碼內容增加的越多，對黑客來說就有更多能攻擊的潛在弱點。

經典案例

隨著2015年7月兩位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克入侵了一輛Jeep自由光行駛過程的經典案例曝光，大家對汽車的安全性能提出了大大的問號。

寶馬ConnectedDrive數字服務系統遭入侵事件，黑客能夠利用該漏洞以遠程無線的方式侵入車輛內部，并打開車門。

早在2016年9月21日，騰訊科恩實驗室正式宣布，他們以“遠程無物理接觸”的方式成功入侵了特斯拉汽車。還有研究人員通過特斯拉ModelS存在的漏洞打開車門并開走，同時還能向Model S發送“自殺”命令，在車輛正常行駛中突然關閉系統引擎。

此外，奧迪、保時捷、賓利和蘭博基尼等大眾旗下品牌的MegamosCrypto防護系統也遭到攻破。車廠Fiat Chrysler就曾因為軟件漏洞而召回130萬輛小貨卡。

網絡安全威脅

網絡安全在自動駕駛汽車安全體系中占據重要地位。當前自動駕駛汽車研發朝智能化和網聯化兩個方向發展，智能化技術路線是依靠車輛自身的車載傳感器，汽車自主獲取信息、作出決策，完成駕駛行為；網聯化方案是通過通信技術連接，汽車通過與外部環境交互信息獲得決策和控制車輛運行能力。但兩種技術都離不開網絡的掣肘。

自動駕駛汽車首先面臨網絡傳輸層面的安全威脅。汽車網絡系統由使用平臺、互聯網、車載系統和終端等多個子系統組成，平臺層還與其他應用服務商的子系統連接。龐大的參與主體使得網絡安全的鏈條更為脆弱，網絡風險激增。車與人、車、路、互聯網等借助無線通信與其它車輛、交通專網、互聯網等進行連接。互聯網自身加密、認證、傳輸等方面存在的安全漏洞將被整個交互網絡所承接。互聯網應用平臺除了防范病毒、進行訪問控制外，還需防止用戶存儲到云端的駕駛數據丟失，被非法訪問、篡改和盜竊。

自動駕駛汽車還要面對外部網絡生態的安全威脅，包括計算機應用程序、道路基礎設施和智能充電裝置。在技術上能夠通過反向分析挖掘未受保護的移動應用軟件，直接獲取遠程服務提供商的接口、參數等核心信息，包括存放在應用程序中的密鑰、重要控制接口等。未來自動駕駛汽車得以大規模應用后，勢必要求政府對現有道路交通基礎設施進行改造。不法分子對諸如電子公路等智能基礎設施的攻擊同樣會導致系統的癱瘓。自動駕駛汽車移動終端車載系統與云端、基礎設施、乘客、通訊軟件交換龐大的信息，還需存儲大量的數據，亦會引發數據安全的新問題。此外，自動駕駛技術未來將大規模運用在電動汽車上，充電樁中存儲的用戶數據信息可能遭到截獲、被動攻擊、惡意篡改等威脅。這些輔助網絡設施都會成為網絡安全風險點。

如今，由于大部分車廠都在為汽車增加安全、娛樂、導航和自動駕駛等功能，于是，汽車內部動輒有上億行軟件代碼。包括現在有越來越多車隊通信管理工具出現，其使用率也越來越高，許多物流行業、出租車行業等利用這些車載通信管理工具來管理和監測車隊車輛的績效、駕駛行為以及貨運狀況。

汽車網絡安全面臨的挑戰與攻擊向來并非新鮮事，而是PC、服務器以及其他傳統IT系統曾經歷過的遭遇的翻版。以PC為例，這些電腦設備通常沒有時間去下載補丁或更新Windows等基礎平臺，更別說是其他應用程序如瀏覽器、PDF閱讀器等；補丁與軟件更新一旦未執行，就會為各種黑客攻擊制造機會。

還有一個問題，可能是黑客的終極目標，跟車載通信系統完全無關，例如，儲存產品開發信息或員工的公司服務器。在這種情況下，車載通信系統只是一個達到目標的手段。

另一個情況則是涉及到車對車通信（V2V），這種技術讓車輛與車輛附近的車輛能彼此溝通以避免碰撞。根據市場研究機構Juniper Research預測，到2022年全球市場將會有一半以上的新車都配備V2V功能，這意味著大約有3500萬輛汽車，這占據了整個汽車市場的2.7%，對于某些黑客來說會是很有吸引力的攻擊目標。

自動駕駛汽車網絡安全的相關標準及法律規定

整體來看，大部分自動駕駛汽車還處于研發階段，完整的產業鏈尚未形成，自動駕駛汽車投入大范圍商用還有距離，通過行業自治保障網絡安全還有較長路程。為了降低成本和提高質量，將已有的成果規范化、標準化勢在必行。

《汽車網絡安全（信息安全）標準、規范》（Automotive Cybersecurity Standard and Specification）總結針對企業、組織、產品整個生命周期的規范、標準。

系統級規標

SAE J3061是針對車輛整個生命周期的標準。提供了車輛網絡安全的流程框架和指導，考慮了車輛的整個生命周期，從概念到生產、運行、維護和報廢。

ISO 21434是基于SAE J3061制定的、針對車輛整個生命周期的標準。ISO 21434主要從風險評估管理、產品開發、運行/維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。目標是通過該標準設計、生產、測試的產品具備一定信息安全防護能力。該標準正在制定中。計劃2020年完成

硬件級規標

信息安全硬件模塊主要解決兩個問題。第一，密鑰泄漏問題。如果密鑰存儲在應用程序的代碼或數據中，很容易被泄露，解決辦法就是增加一個硬件模塊，專門存儲密鑰。第二，通用內核直接加密解密運算會占用內核大量資源。解決辦法就是增加一個硬件加速模塊，運行加密解密運算。

軟件代碼規范

嵌入式系統常用的 C 語言是一種“不安全”的語言。C 語言的指針就是例子。指針很難理解，同時指針很容易導致各種問題，比如，堆棧溢出、內存泄漏等。解決辦法之一是規范代碼的格式，不要使用比較容易出錯的代碼格式。

在MISRA C:2012Amendment 1中，提供了針對信息安全的代碼規范。Additional security guidelines for MISRA C:2012 的下載地址：https://www.misra.org.uk/LinkClick.aspx?fileticket=V2wsZxtVGkE%3d&tabid=57

SEI CERT 定義了軟件代碼規范，目標是開發符合功能安全、信息安全和可靠的系統。SEI CERTC Coding Standard 2016 的下載地址：https://resources.sei.cmu.edu/downloads/secure-coding/assets/sei-cert-c-coding-standard-2016-v01.pdf

下面介紹的標準、規范和汽車行業不直接相關，但是很有影響力，值得了解一下。

NIST FIPS 140（National Institute of Standards and Technology Federal InformationProcessing Standards 140）

FIPS 140標準適用于軟件和硬件模塊。把網絡安全等級分為4級。

（詳情參考：FaultInjection on Diagnostic Protocols：https://www.riscure.com/publication/fault-injection-automotive-diagnostic-protocols/）

等級1：不考慮物理攻擊，密碼模塊需要滿足基本的網絡完全要求（比如：密碼模塊至少使用一種被批準的算法或被批準的網絡安全功能）。等級一的例子是電腦的加密功能。

等級2：在等級1的基礎上增加了基本的防物理攻擊的保護機制，需要顯示被物理攻擊的痕跡，比如只有破壞防拆封(tamper-evident)的涂層或密封條才能獲取密碼模塊的密鑰等。

等級3：在等級2的基礎上加強防物理攻擊的保護機制。等級3要求比較高概率地防止入侵者獲取密碼模塊內的關鍵的網絡安全相關的參數（比如密鑰）。保護機制可能包括密碼模塊有很強的封裝和物理攻擊響應機制，當檢測到物理攻擊時會擦出內部的密鑰等。

等級4：最高的網絡安全等級，物理機制必須提供全方位的保護，能夠極高概率地檢測到各種物理攻擊。當檢測到物理攻擊時，需要刪除內部的密鑰等。等級4也要求密碼模塊不能因為外部環境環境（比如溫度、電壓）變化而被破解。故障注入(fault injection)時通過控制外部環境來破解密碼模塊的一種方法。

在法律法規方面，近日密歇根州立大學的最新研究是第一個將刑事司法理論應用于智能汽車的研究，該研究揭示了當前系統中的漏洞導致潛在的網絡風險。這項研究發表在《犯罪與司法雜志》上，該研究應用了日常活動理論，并采用了流行的刑事司法框架來研究當前的車輛安全形式，并為制造商和車主提供了改善安全性的建議。

圖 汽車網絡安全犯罪三角

托馬斯·霍爾特（ThomasHolt）教授說，他們的研究表明，聯網汽車和自動駕駛汽車的計算機系統可能受到嚴重威脅，這些風險可能轉化為對OEM、系統組件生產商和消費者的危害。汽車技術的未來是計算機和互聯系統的日益廣泛應用，這要求研究人員開發模型來檢測、緩解和保護這些系統免受危害。

論文下載地址：https://sci-hub.se/downloads/2019-12-12/89/10.1080@0735648X.2019.1692425.pdf#view=FitH

總結

基于以上幾個簡單的案例分析和標準介紹，可以得出除了車廠必須保證所設計的車輛系統的安全性，還有其他能減少“表面攻擊”的工作要做。例如定期保養能確保車載軟件是最新狀態，并在打補丁或是召回事件發布時即時通知。當然，對汽車專業人員也應有獨特的要求，在汽車網絡安全領域高效的工作，包括規劃，分析，設計，實施，測試，安裝，操作，故障排除，維護和維修任務等。網絡安全任務的范圍很廣，而且正在變得更廣！所以汽車廠商、零部件商、IT服務商都必須盡快建立網絡安全的設計、防護、響應能力。相應的標準和法律法規的制定也是迫在眉睫。

作者：牛喀網專欄作者
牛喀網文章，未經授權不得轉載！