商用密碼在智能網聯商用車上的應用實踐

楊 洋，閆紅梅，潘守華

（東風商用車有限公司技術中心，湖北 武漢 430058）

1 引言

隨著智能網聯汽車的快速發展，車聯網、自動駕駛、大數據等各種新技術的應用，汽車在給我們帶來便利性的同時，面臨的安全威脅也大大增加，智能網聯汽車的信息安全不僅涉及到財產安全，也涉及到人身安全以及國家安全。

車輛的信息安全在國際上稱Cyber Security，也稱網絡安全，與network不同，Cyber是指網絡空間，對車輛的通信、數據、軟硬件安全進行保護，防止外界的攻擊及入侵，以保證車輛安全、可靠運行。商用密碼是解決智能網聯汽車信息安全的重要技術手段，主要會應用對稱加解密、非對稱加解密、安全散列函數等加密算法，根據車聯網及自動駕駛不同的應用場景，采用不同的密碼算法組合來實現加密的要求。國家高度重視密碼的安全保障作用，鼓勵商用密碼技術應用。2019年10月26日，十三屆全國人大常委會第十四次會議審議通過《中華人民共和國密碼法》，習近平主席簽署35號主席令予以公布，自2020年1月1日起正式施行。密碼法是國家安全法律體系的重要組成部分，是我國密碼領域的首部綜合性、基礎性法律。規范密碼應用和管理，保障網絡與信息安全，已上升至立法高度。《密碼法》第21條和第25條，明確提出國家鼓勵商用密碼技術的研究開發，鼓勵從業單位自愿接受商用密碼檢測認證，提升市場競爭力。

2 智能網聯汽車信息安全應用場景

未來的智能網聯汽車不是一個獨立的系統，它涉及車與車、車與人、車與云端、車與路側設備、移動設備、衛星設備的信息交換、智能決策及協同控制，我們對智能網聯的信息安全應用場景進行了分析。首先在車內，我們現在總線傳遞的數據全部是明文的，任何一個非法的設備接入都可能獲取或篡改整車的相關數據，各ECU的軟件、硬件、通信也沒有任何保護，拆卸下來后會被逆向；同時我們再來看近距離的車外，T-box，車機涉及4G、5G、WiFi、藍牙對外的通信、V2X鋒窩數據，在傳輸的過程中都有數據被篡改或劫持的危險；遠距離的車外，云端數據的采集，云平臺下發指令遠程控制，OTA的數據升級都涉及了車云的交互，在傳遞的過程中都有可能存在數據被仿冒篡改的風險；如充電樁、OBD診斷接口、自動駕駛系統這些外部接口都是整車面臨的威脅點。可見，智能網聯車輛開放了眾多端口，導致攻擊點非常多。智能網聯汽車至少跨越了3類網絡：車內的實時CAN，以太網絡，車輛與云之間的互聯網，移動終端的物聯網，信息安全涉及的面是非常廣的，攻點多，所以作為主機廠，必須構建車內至車云全方位的云、管、端安全架構來保障車輛在使用過程中的安全。

從去年的統計來看，與2016年前相比，網絡安全事件增加了3倍，最出名的安全事件就是JEEP自由光以及特斯拉被黑客入侵，導致召回140萬輛汽車。信息安全往往是預謀的，不僅會造成財產或生命損失，甚至威脅到國家安全，對品牌的影響力也是巨大的。

3 智能網聯相關的安全算法

智能網聯汽車信息安全關乎財產安全、人身安全，甚至社會和國家安全。而智能網聯汽車信息安全的3要素保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），均可通過密碼算法能實現可靠支撐。

為了防止數據在車聯網內部或外部遭受攻擊者非法竊聽、篡改、偽造等威脅，車聯網系統可采用密碼技術對數據在傳輸、存儲、使用的過程中進行加密保護，確保數據的機密性和完整性；建立完善的密鑰、證書管理體系，保證密碼資源的安全。同時，對車聯網數據的訪問進行權限控制，防止非授權用戶訪問。

目前車聯網安全主要采用非對稱密碼算法，國外主要是ECC NISTP256和brainpool，在我國主要使用SM2、SM3和SM4算法，見表1。

4 商用密碼在智能網聯商用車上的應用實踐

根據我們對智能網聯車的應用場景的分析，將商用密碼技術應用于車內通信數據的認證加密、數據安全存儲、ECU硬件安全、V2X安全、OTA安全、遠程控制安全、數字鑰匙安全等不同場景進行應用，以保證智能網聯系統的安全應用。

4.1 車內通信數據的認證加密

車內通信主要包括CAN總線通信、車載以太網通信等。其中，由于CAN總線協議設計簡單、沒有復雜的分層以及加密擴展協議支持的考慮，易被竊取和偽造。目前主流的技術是采用AutoSAR標準組織制定并實現的SecOC技術，在發送端和接受端對報文進行驗證，以抵御第三方的入侵。基于效率和成本方面的考慮，ECU之間通信的保護采用對稱密碼算法SM2、SM3、SM4。而車載以太網協議可滿足高帶寬、低延遲的數據傳輸需求，主要應用在車內控制域和車身控制域之間的通信、激光雷達的點云數據通信等。依據車載以太網遵循的OSI分層結構，可通過IPSec、MACSec技術等進行設備驗證和數據加密，以保證車內網絡通信數據的安全。車內通信數據的認證加密如圖1所示。

表1 密碼算法

4.2 車云身份認證場景應用

公鑰基礎設施PKI（Public Key Infrastructure，簡稱PKI）主要通過對密鑰及數字證書的管理，為車載終端與車企TSP平臺建立安全可信的運行環境，有效地保障了車載終端到后臺服務間通信連接、數據交互的安全可信。PKI系統構成如圖2所示。

身份認證體系，解決了數據在不可信的網絡環境中傳輸的機密性、完整性、不可重復性以及傳輸節點的身份識別問題，其在車聯網中典型的應用場景包括：終端設備認證、APP應用簽名與驗簽、OTA、數字鑰匙等業務。密碼技術是PKI體系的核心保障，我國絕大部分行業核心領域長期以來都是沿用國際通用的密碼算法體系（主要包括：DES、3DES、AES、RSA、SHA256等），為了保障國家對商用密碼安全、實現自主可控的目標，國家商用密碼管理辦公室制定了一系列密碼標準，包括SM1、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法等。

4.3 ECU硬件安全場景應用

圖1 車內通信數據的認證加密

圖2 PKI系統構成

密鑰、關鍵業務信息都需要存儲到安全芯片的保密區中，數據提供加密存儲接口、存儲在其內在的Flash中，采用安全專用芯片，應用SM1、SM2、SM4、SM3商用密碼算法，或AES、3DES、RSA、SHA-256等國際密碼算法，實現終端數據的本地加密存儲，有效提升數據的安全性。

ECU的CPU擁有一個密碼協處理器HSM。HSM負責執行所有密碼應用，包括基于對稱密鑰的加解密、完整性檢查、基于非對稱密鑰的加解密、數字簽名的創建與驗證，以及用于安全應用的隨機數生成功能。light HSM包含基于AES-128的對稱加解密模塊，以滿足傳感器和執行器在成本和效率方面的嚴格需求（消息大小、時間、協議限制、處理器能力等）。ECU硬件安全如圖3所示。

4.4 V2X安全場景應用

為了確保車聯網業務中消息來源的真實性、內容的完整性、防止消息重放，采用數字證書通過數字簽名/驗簽的方式對車聯網業務消息進行保護。為了實現上述機制，車聯網終端需要完成設備初始化，以安全的方式完成密碼公私鑰對、數字證書等敏感參數的初始配置。該過程對設備安全生產環境有著較為嚴格的要求，給車企及C-V2X終端生產企業帶來了新的挑戰。通常簽名計算采用ECDSA算法；SM3算法存在于數據的簽名計算，加密計算，密鑰協商計算過程中；加密解密條件限定，在使用對稱加密算法時，其對稱加密算法要求至少支持AES128-CCM，SM4-CBC。在使用非對稱加密算法時，其非對稱加密算法要求至少支持ECIES、SM2，其中ECIES要求至少支持NIST P-256、brainpoolP256r1兩種曲線參數。加密模式要求至少包含隨機加密模式、協商加密模式兩種。加密過程中橢圓曲線上的加密點均需要隨機生成。對稱加密的初始化向量值要求每次均隨機生成。V2X安全應用如圖4所示。

圖3 ECU硬件安全

4.5 OTA安全場景應用

圖4 V2X安全應用

整車OTA安全解決方案，通常從升級包發布、升級包傳輸、終端升級3個階段進行防御，確保智能網聯汽車OTA過程僅執行授權發布的升級指令與升級文件。OTA-Server對升級包進行加密簽名，以阻止惡意的或非授權的升級包的被傳輸和被車端下載，影響升級。車機端在收到升級包后，對升級進行驗證簽名，以確保升級包是經過合法授權的，且數據在傳輸和下載程中并未被修改，以確保OTA升級過程的數據安全。為抵御攻擊者對升級包的逆向分析攻擊、篡改攻擊，OTA服務端可增加部署安全服務器，提供安全基礎設施，如密鑰生成與管理、數字加密、數字簽名等。基于安全服務器實現升級包加固功能，最終由OTA服務器發布加固后的升級包。在OTA服務端與車機端構建安全傳輸通道，實現雙向身份認證，及傳輸加密等功能，保證升級包傳輸過程的安全。終端系統在升級流程前增加升級包校驗機制，對升級包進行解密和合法性驗證，驗證通過，方可進入系統升級流程。通常會使用AES、SM2、SM3等密碼算法。OTA安全應用如圖5所示。

4.6 遠程控制安全場景應用

遠程控制安全主要是基于車云的雙向身份認證、遠程控制指令加密、密鑰協商等功能，保障控制指令的安全傳輸，防止車輛被非法控制，通常采用SM1、SM2、SM3、SM4等國密算法。

遠程控制安全應用如圖6所示。

4.7 數字鑰匙安全場景應用

數字鑰匙安全基于數字鑰匙密鑰管理系統，建立數字鑰匙與車載終端的雙向身份認證及指令加密機制，數字鑰匙密鑰管理系統產生的密鑰應是動態更新，一次一密，滿足數字鑰匙的高安全通信要求。硬件安全模塊應至少支持SM1、SM2、SM3、SM4國密算法，兼容RSA1024/2048、ECC256、3DES、AES、ECDSA、SHA1、SHA256等國際算法，應可提供隨機數生成、密鑰管理、數據加解密、數字簽名、簽名驗證、密鑰協商等多種密碼服務。數字鑰匙安全應用如圖7所示。

圖5 OTA安全應用

圖6 遠程控制安全應用

圖7 數字鑰匙安全應用

5 結束語

智能網聯汽車的安全涉及了財產安全、人身安全，甚至社會和國家安全。商用密碼是保護智能網聯汽車的重要技術手段。但目前汽車領域商用密碼應用頂層設計不完善，國內相關標準化組織需要加快推進基于我國自主密碼體系及自主知識產權的智能網聯汽車安全規范及安全協議標準，加快車聯網設備基于國產密碼算法安全解決方案設計，以及車聯網設備基于國產密碼算法及國際通用標準算法的通信安全協議的設計及制定。建議國家應統籌規劃，從國家層面提升對智能網聯汽車安全的總體規劃部署和頂層設計，加強智能網聯汽車監管力度，完善安全相關的法律制度，促進我國智能網聯汽車安全產業發展。