智能網聯汽車網絡安全問題綜述

智能網聯汽車已成為現代運輸問題的潛在解決方案。廣泛的采用智能網聯汽車可以通過減少排放和能源消耗來減少環境惡化，同時通過提高效率、交通流量、道路安全和交通可達性以及其他好處提供有益的經濟和社會成果。但是，智能網聯汽車的成功運作及其對社會的影響在很大程度上取決于其管理和解決與之相關的風險。其中很重要的一個風險就是網絡安全。如果對安全運營至關重要的通信網絡不能防止黑客攻擊，那么智能網聯汽車將面臨主要的網絡安全風險。

本文首先介紹有關智能網聯汽車網絡安全問題的背景，以及不同國家對相關問題的解決策略。然后介紹現有的一種網絡風險分類框架。最后總結了三種解決智能網聯汽車網絡安全問題的新技術，為智能網聯汽車相關問題的解決提供新的技術方向。

1 研究背景及現狀

1.1 背景[1]

隨著智能網聯汽車在我們的生活中越來越普及，無數的擔憂和法律問題也越來越多，解決這些問題將使消費者對這一新興技術的信心產生巨大影響。一些最重要的方面涉及智能網聯汽車的網絡安全問題。

在汽車中采用日益復雜的技術已經成為網絡安全的一個主要問題。在智能網聯汽車出現之前，網絡安全就成了影響人類駕駛汽車的一個緊迫問題。黑客已經證明了一種無線抓取車輛控制并通過汽車軟件和網聯系統遠程控制的能力。那些有惡意的人可以通過藍牙、遙控門鎖系統、手機信號或汽車與外界建立的任何無線連接找到進入路徑。惡意軟件攻擊關鍵的汽車部件，如剎車和變速器，可以不知不覺地被引入汽車經銷商的汽車系統。隨著各種數字系統和便利設施的不斷增加，尤其是無人駕駛汽車，這種非法進入的方法只會增加。雖然攻擊汽車仍然很困難，需要一定程度的物理訪問或對汽車程序進行長時間的艱苦研究，但汽車收集和使用的大量數據有很大的價值，這使得黑客鋌而走險。該數據可包括由車輛存儲或由機載應用程序使用的許多類型的信息。隨著無人駕駛汽車在汽車市場的發展和“物聯網”加入主流，這些汽車將只存儲和傳輸更多數據，包括生活方式信息、信用卡使用和醫療記錄，從而使其成為黑客有吸引力的目標。

1.2 不同國家現有解決策略[2]

解決網絡安全風險的常用方法包括制定與無人駕駛車輛相關的立法、進一步研究無人駕駛車輛和所有車輛的網絡安全風險以及提供指導方針。英國和新加坡等一些政府也開始向公眾宣傳網絡安全風險，而日本和韓國政府尚未表明其解決網絡安全風險的意圖。

在美國，聯邦政府已采取措施探索車輛網絡安全風險，并提出了管理特定于無人駕駛車輛的網絡安全風險的建議。2012年，美國國家公路交通安全管理局（NHTSA）成立了一個新部門，研究“復雜、互聯、電子車輛系統的安全性和可靠性”，并成立了一個電子委員會，以加強整個NHTSA組織關于車輛電子和網絡安全的協作。最近，NHTSA發布了無人駕駛車輛開發和自動駕駛系統指南的非強制性建議，鼓勵各實體根據相關組織制定的標準設計其無人駕駛車輛系統。在美國，最近出臺的間諜車法案解決了車輛網絡安全風險，該法律包含防止車輛遭到黑客攻擊的規定。

歐盟采取了各種策略來管理網絡安全風險。2016年8月，歐盟頒布了第一份歐盟范圍內的網絡安全立法：“關于網絡和信息系統安全的指令”。2014年8月，歐盟數據保護工作組強調了物聯網潛在的安全風險，2016年12月，歐盟網絡和信息安全局發布了聯網車輛網絡安全的最佳實踐指南，包括傳統和無人駕駛車輛，提高對這些問題的認識并提供指導。

新加坡采取多元化的方法來管理網絡安全風險、修改立法、咨詢不同的利益相關者，并教育公眾了解這些風險。2017年4月，新加坡政府修訂了2017年6月生效的“計算機濫用和網絡安全法案”，規定個人使用“非法從計算機獲取”的個人信息并獲取“黑客工具”或促進犯罪。政府已采取措施加強對此類風險的響應，并將與這些風險相關的成本降至最低。

另一方面，日本和韓國政府沒有提供任何關于管理與無人駕駛車輛或網絡系統相關的網絡安全風險的方法。2017年，韓國政府修訂了“機動車管理法”。但是，該法律不包括任何有關網絡安全的規定。同樣，日本沒有修改立法或提供有關解決一般網絡安全風險或特殊安全信息系統風險的指導方針。

雖然德國、法國和英國政府尚未修改或引入任何有關網絡安全的新立法，但他們已采取措施提高對無人駕駛車輛相關網絡安全風險的認識。德國政府于2015年9月成立了有關無人駕駛車輛相關問題的工作組，其中包括網絡安全和數據保護，這是其“自動和網聯駕駛”國家戰略的一部分。同樣，法國政府在2016年成立了工作組，以解決與無人駕駛車輛相關的社會問題，其中一個問題涉及安全問題。

英國應對網絡安全風險的方法似乎旨在提高認識，增強國家對網絡安全風險的長期抵御能力，建設國家的網絡安全行業，其中包括關注無人駕駛車輛。2017年4月，英國科技聯合會從政府創新機構“創新英國”獲得了資金，以開發一種無人駕駛車輛行業可用于確保無人駕駛車輛系統在其整個生命周期內滿足所需網絡安全標準的方法。英國還實施了《2016-2021年國家網絡安全戰略》，該戰略的重點是到2021年促進研究并加強英國在這一領域的地位。政府還于2016年10月成立了國家網絡安全中心，為解決網絡安全風險提供指導。

2 網絡風險分類框架[3]

智能網聯汽車網絡風險是保險公司、監管機構特別關注的問題，需要采用適當的風險評估方法。網絡風險是指由于信息技術系統的某種故障而給組織聲譽造成的財務損失、中斷或損害的風險。由于持續的數字創新，強化全球連通性和黑客日益復雜化，網絡風險本質上是動態的。技術創新的快速發展，相關風險暴露的可能性以及缺乏歷史索賠數據使得網絡風險成為保險公司承保的復雜現象。然而，隨著智能網聯汽車的出現，賭注隨著人類生命損失威脅的擴大而增加。

要使智能網聯汽車網絡風險分類框架有效，它必須能夠適應風險的動態變化性質，并在新威脅出現時發生變化。傳統的反應模型通常無法在低容量和不同數據的環境中進行預測。本研究中開發的貝葉斯網絡（BN）模型使用NVD（National Vulnerability Database）來學習圖形結構并訓練參數。由于能夠實現車輛連通性和自主性的技術仍在不斷發展，因此很少有經驗證據表明對智能網聯汽車的網絡攻擊。但是，分析軟件漏洞的演變并使這些信息適應智能網聯汽車范例，可以為汽車制造商（OEM）、供應商和保險公司提供主動風險分析和評估。考慮到網絡事件的可利用性和潛在影響，作者研究中的BN捕獲了系統對網絡威脅的漏洞。隨后對所有系統漏洞的綜合聚合可用于確定總體智能網聯汽車風險評分。BN圖形框架還可以用作有效的可視化機制，以便向非專業利益相關者傳達有關如何維護和提高其網絡風險評級的建議。

圖1說明了Parkinson等人在2017年總結的一些基本的網絡攻擊類型。

圖1 網絡攻擊類型、攻擊向量（或模式）和CAV攻擊面的概述[3]

作者提出了一種基于網絡安全態勢對智能網聯汽車進行分類的方法。對提議的BN網絡風險分類模型進行了準確性測試，并應用于智能網聯汽車GPS系統。這種方法的優點是它允許使用專家意見，使用其貝葉斯性質固有的信念更新附加定量和定性信息。專家判斷用于BN圖形結構的初始構建和模型的案例研究應用。來自NVD的定量和定性信息用于使用機器學習方法來改進BN結構和參數。即使在未知完整詳細信息的情況下，該模型也可用于聚合已知漏洞和潛在漏洞。針對汽車電氣和電子系統的當前汽車專用功能安全標準（ISO 26262）進行了評估，該標準與智能網聯汽車對網絡風險的適用性有關。

作者建議將CVSS軟件漏洞評分機制作為智能網聯汽車網絡風險評估的合適標準化框架。作者使用來自CVSS評分并包含在NVD中的88 438個已知漏洞的數據，并且可以利用此先前證據來預測知識差距或潛在的新網絡漏洞。因此，它可用于網絡風險情景分析，并用于反向設計新智能網聯汽車支持技術的適當風險級別。BN模型本質上是動態的，并且可以在新信息可用時調整其參數或結構。因此，BN可以每天更新，并在NVD內報告新的漏洞，從而實現主動和即時的網絡風險評估。

3 防止網聯攻擊的新技術

目前國際上防止網聯攻擊的主要工具包括網聯攻擊的實時監測與估計、基于遞推貝葉斯估計、專用安全硬件和ECDH（Elliptic Curver Diffic-Hellman）算法的車輛網絡安全預防措施。

3.1 拒絕服務攻擊的實時檢測與估計[4]

為了提高安全性和可靠性，先進的車輛控制系統必須能夠抵御網絡攻擊。設計這種攻擊彈性控制系統的第一步是檢測網絡攻擊的發生。在現有文獻中對聯網車輛的建模、控制和穩定性分析進行了充分研究。然而對于聯網車輛的網絡攻擊進行實時檢測的問題仍未得到充分研究。網絡攻擊由于其威脅人類生命和安全的嚴重后果而需要引起重大關注。然而，很少有關于聯網車輛的網絡安全性的研究，更具體地說是協作自適應巡航控制。

在網聯的車輛系統中可能存在多種形式的網絡攻擊，例如：

（1）拒絕服務（DOS）：攻擊者使網絡忙于虛假請求，因此網絡無法處理合法請求；

（2）虛假數據注入：攻擊者試圖通過修改其有效載荷來影響傳輸數據包的完整性；

（3）重播攻擊：攻擊者攔截系統的數據并重新傳輸它，同時降低系統功能。

在本研究工作中，作者專注于DOS攻擊，這是通信網絡和網絡物理系統（CPS）中最常見的攻擊之一。很少有文獻從控制導向的角度探討CPS中的DOS。在本研究中，作者試圖解決有關聯網車輛中DOS攻擊檢測和估計的研究差距。本研究的主要貢獻是面向控制的連接車輛系統診斷框架，它能夠：

（1）對未知時間延遲的DOS攻擊進行建模；

（2）檢測DOS攻擊的發生，以及

（3）提供攻擊效果的估計。

本研究中所涉及到的DOS攻擊的實時檢測與估計方案如圖2所示：根據研究中提及的公式，診斷問題是檢測延遲參數τ何時非零，如果是，則估計τ的值。DOS檢測模塊在車輛i-1中實現。車輛i-1可以訪問以下信息：

圖2 DOS攻擊檢測和估計方案[4]

（1）由后方雷達測量的di（t）和vi（t）車輛i-1和

（2）ai-1（t）直接在車輛i-1中測量。注意，這些測量不受DOS攻擊發生的影響。該方案由一個基于模型的觀測器組成，由車輛i觀測器表示。根據可用的測量值和模型，車輛I觀察員檢測發生的情況并估計延遲τ的大小，主要內容包括：

（1）檢測DOS的發生，以及

（2）估計其對連接的車輛系統的影響。

擬議方案的主要目標是跟蹤信息處理的延遲。該方案由一組通過滑模理論和自適應觀測器理論設計的觀測器組成。最后，仿真證明了該方法的性能以及該方案在幾種形式的不確定性下的魯棒性。

3.2 基于遞歸貝葉斯估計的主動威脅檢測[5]

目前，正在開發生產的智能網聯汽車在內置安全方面并不盡如人意。遞歸貝葉斯估計優于監督機器學習，用于可比較的旅行路線和實際運動模式的未來狀態的實時預測建模。本研究著眼于當前分析和行為分析方法的相關工作，并討論了它們對主動威脅檢測的缺點或適用性。如果實現反應時間的顯著改善，可以阻止惡意攻擊，以消除預期的傷害。可以采取積極主動的立場，而不是當前的重新激活解決方案，以便盡早預測在攻擊鏈中發生網絡安全威脅。為了證明這種行為分析方法可以作為網絡防御的基準，本研究將以網聯汽車的特定場景為例展示該技術，從中可以推斷出該方法具有潛力且適合用于陸地或空中運輸的一般應用。

威脅預測技術可以利用諸如漏洞和現有攻擊圖等環境因素，或通過量化隱私或匿名等合并的安全原則來解決問題。許多預測模型基于遞歸貝葉斯估計，也稱為貝葉斯濾波器。其他提議利用數據融合框架，在智能代理的幫助下演示非對稱和自適應威脅的檢測，其中預測方法基于分散的Makov（隨機）游戲模型。此外，內部威脅預測是惡意企圖行為如何與合法行為融合的一個有趣的行為（圖3）。總之，網聯汽車中的網絡威脅檢測和預測應考慮所提方法的適用性。考慮混合方法，將不同的預測方法集成到安全框架中以將遠程網絡黑客的特定案例應用于主動方法也是有用的。

網聯汽車應該能夠抵御網絡攻擊。當防御失敗時，適當的反應是由檢測方法觸發的。隨著網絡劫持和路線改變的具體場景，遠程黑客的威脅建模被強調為一種潛在的危險入侵，并且已經確定行為分析和剖析可以解決這一缺陷。本研究通過使用貝葉斯估計技術的行為分析概念，提出了一種主動異常檢測網絡威脅預防的方法，并對其進行了仿真，驗證了該方法能顯著提高系統的恢復能力，并減少監督機器學習預測新惡意意圖所需的時間成本。網聯汽車已被選為研究的一個使用案例，專注于網絡物理系統的子集，并使用特定的網絡劫持方案進行行為分析。通過對兩個城市之間的路線的數據集進行采樣以及包括傳感器數據的運動模式（應用統計方法和技術）來利用定量研究設計。通過抽樣，看出可以主動識別與正常路線的偏差，這是傳統反應解決方案的重要改進。每個配置文件都是針對特定汽車創建的。

該領域未來的工作包括開發一個集成系統，該系統采用優化方法，基于包含多輛汽車和駕駛員的現場研究。這將有助于通過糾正措施整合系統，以識別與外部因素相關的異常。一旦確定，這種外部不確定性可用于通過更好的貝葉斯預測來提高性能。

圖3 內部威脅預測模型[5]

3.3 基于專用安全硬件和ECDH算法的車輛網絡安全研究[6]

車輛網絡安全由兩部分組成。一部分是車輛與外部實體（如路邊、其他車輛、云和行人）之間的安全通信。第二種是車載安全通信。在安全的V2X通信中，外部實體的身份應當在與車輛構建會話信道時進行驗證，同時還需要確保消息的機密性和完整性。在安全的車載通信中，不應竊聽消息并防止重放攻擊。這意味著不允許未經授權的ECU在CAN總線中廣播，這兩部分是相關的。通常，當黑客想要遠程攻擊車輛時，他首先掃描并利用V2X通信中的漏洞來連接遠程信息處理單元，然后他試圖控制車載ECU并發起甚至控制車輛的攻擊，我們認為這是最危險的情況。

專用安全硬件將在汽車內部和外部安全通信中發揮重要作用。當車輛與外部實體連接或構建可信計算環境時，TPM（可信平臺模塊）可以作為安全基石。基于證書存儲，密鑰推導和完整性測試等功能，作者研究了如何在具有遠程信息處理單元的車輛中構建可信環境的原理。HSM（硬件安全模塊）可以幫助安全快速地實現車載加密通信，從而保護數據。對于某些由HSM組成的AURIX MCU，實驗結果表明，更便宜的32位HSM的AES計算速度是32位主控制器的25倍，因此HSM是實現網絡安全的有效選擇。在比較了兩種實現CAN通信安全的現有方法后，提出了一種改進的SECURECAN方案，并分析了這三種方案的不同之處。

（1）本研究中的SECURECAN是AUTOSAR規范的一部分。它旨在執行完整性驗證并防止重放攻擊。CAN幀分為三部分，4個字節用于消息值，2個字節用于截斷的MAC值，2個字節用于截斷的新鮮度值。新鮮度值可用于驗證身份，從而防止重放攻擊。通過使用消息和新鮮度值來計算MAC以驗證完整性。

優點和不足：通過SECURECAN協議，可以防止數據被篡改和重放攻擊，但數據可以被竊聽。然而它仍然是這樣設計的，因為最嚴重的情況是黑客控制ECU或作為授權的發送器ECU假裝在不適當的時間重放執行器的命令。如果使用SECURECAN通信，則可以防止上述情況。

（2）密碼CAN意味著所有8字節CAN幀都是密碼數據，因為AES算法需要至少16字節輸入，所以需要兩幀來執行一次加密或解密。

優點和不足：密碼CAN通信可以防止竊聽，這意味著它實現了保密性。但它無法阻止重放攻擊。但是通過其他措施，我們可以增加重播攻擊的難度。

（3）改進的SECURECAN。測試SECURECAN和密碼CAN的平均幀生成時間。本研究提出了一種改進的SECURE CAN通信類型。改進的SECURE CAN和SECURE CAN之間的差異在于改進的SECURE CAN使用AES密碼作為MAC而不是AES-CMAC，因此有助于提高加密速度。圖4中顯示了差異。

圖4 改進的安全CAN和安全CAN之間的差異[6]

作者的研究結果表明，考慮到通信時間和重放攻擊和竊聽等攻擊，改進的SECURECAN通信在實際應用中具有更多優勢。在安全系統中，密鑰派生和管理是一個關鍵問題。在比較了RSA和ECC算法的計算效率后，提出了一種基于ECDH算法實現一次性填充的改進密鑰導出方案。實現3個ECU之間的密鑰推導，并測試推導時間。

4 結束語

隨著智能網聯汽車的不斷發展，網絡安全問題也逐漸被人們所重視。本文首先介紹了相關問題的背景，然后總結了不同國家現有的解決策略，主要是制定與智能網聯汽車相關的立法、進一步研究智能網聯汽車和所有車輛的網絡安全風險以及提供指導方針。然后介紹了一種基于網絡安全態勢對智能網聯汽車進行分類的方法，從而實現主動和即時的網絡風險評估。最后總結了三種現有的解決智能網聯汽車網絡安全問題的新技術，包括拒絕服務攻擊的實時檢測與估計技術、基于遞歸貝葉斯估計的主動威脅檢測，以及基于專用安全硬件和ECDH算法的車輛網絡安全研究。隨著人們對智能網聯汽車的深入認識與研究，網絡安全問題也會得到進一步控制與解決。