內生安全在商用車上的應用

摘 要：商用車輛不斷智能化和電氣化，內生安全作為一種綜合性的安全設計理念在商用車輛中的應用逐漸受到關注。內生安全通過在車輛的各個方面整合安全性措施，旨在提高車輛在正常運行和突發狀況下的安全性能。本文就內生安全在商用車上的應用，重點分析和討論內生安全在智能底盤控制器和T-BoX兩方面的應用，以提高商用車的整體安全性能。

關鍵詞：內生安全 智能底盤控制器 T-BoX

0 引言

隨著科技的不斷發展，商用車輛逐漸融合了先進的電子、控制和通信技術，使其在運輸和物流領域發揮著越來越重要的作用。然而，隨之而來的是車輛系統面臨的日益復雜的安全威脅。為了保障車輛安全，現有機制采用主動安全技術，包括自動駕駛系統，以及被動安全技術，如安全帶和安全氣囊等。同時，為了使車輛安全，互聯網中使用的傳統安全機制被應用于CAN，如身份驗證、檢測和加密[1]。這些措施在一定程度上提高了防御外部攻擊的能力，但是還存在著安全性、穩定性難以長期保證的問題。內生安全[2]作為一種全面考慮車輛整體安全性的設計理念引起了研究者和制造商的廣泛關注。內生安全不僅強調在車輛設計的早期階段就要考慮安全性，還要求在車輛各個系統之間建立協同機制，確保車輛在不同情況下都能夠維持安全性。提供了一種自動駕駛汽車功能安全和網絡安全一體化內生保障新路徑[3]。

1 內生安全機制

1.1 內生安全

內生安全是我國科學家鄔江興院士針對網絡空間安全現狀的哲學性歸納與論述，是網絡安全領域的新興概念與技術發展方向，具體包含內生安全問題和內生安全機制兩部分內涵。

內生安全問題的核心是圍繞自身的安全防護能力和效果展開研究，針對的是非外力作用或外部能量供給而出現的安全問題，側重關注基于系統內部機制的安全防護能力。內生安全機制則是基于動態變結構軟硬件協同計算理論（又稱擬態計算），提出了網絡空間擬態防御理論，創建了用于突破網絡空間防御發展瓶頸的內生性安全體制機制。這種機制從根本上改變網絡空間攻防成本不對稱的現狀，顛覆利用先發技術和賣方市場優勢實現網絡空間單向透明的戰略的行動基礎。

1.2 動態異構冗余架構

動態異構冗余架構（Dynamic Heterogeneous Redundancy Architecture，簡稱DHR）[4]是一種先進的系統架構，旨在提高信息系統的安全性和可靠性。其核心思想是利用異構冗余的機制，實現動態防御、主動防御、縱深防御、精準防護、整體防護和聯防聯控的能力。

該架構的理論基礎是視在結構表征的不確定性[5]，即系統中的結構和功能不是固定不變的，而是可以在時間和空間維度上動態調整和變化的。這種不確定性使得攻擊者在時間和空間維度上很難有效地再現成功攻擊的場景[6]，從而提高了系統的安全性。

DHR架構的實現方式包括非周期地從功能等價的異構池中隨機抽取若干個構件組合為當前的服務集合，或者重構、重組、重建異構池本身，或者借助虛擬化技術改變冗余執行體內在的配置方式或者視在運行環境，或者對異構池中的構建作預防性或者修復性的清洗、初始化等操作[7]。這些操作可以動態地調整系統的結構和功能，使得系統能夠更好地適應不同的安全威脅和攻擊場景。動態異構冗余的整體架構如圖1所示。

該架構由輸入、多個功能等價的異構執行體、裁決模塊、負反饋控制器等組件組成。在處理同一輸入時，這些功能等價的異構執行體會同時運行。系統中的裁決模塊會根據預設的策略，對各個執行體的輸出進行比較，從而產生最終的輸出結果。在這個過程中，如果某些正在運行的執行體被判定為異常執行體，系統會在非運行執行體中選取一個進行替換。這種動態調整和替換機制增強了系統的魯棒性和可靠性，有效地應對各種異常情況，確保系統穩定、可靠地運行。

2 汽車電子電氣架構

隨著汽車“新四化”—電動化、智能化、網聯化、共享化的發展，汽車電子化程度大幅提高，甚至不斷向車外延伸[8]。汽車電子電氣架構 （Electrical and Electronic Architecture，EEA）的發展歷程，是以電子技術的進步為基礎，伴隨著人們對汽車功能需求的不斷增長而發展的。這一發展歷程主要經歷了三個階段：從早期的分布式架構，到現在的域集中式架構，再到未來的車輛集中式車云計算架構。

在早期，汽車電子電氣架構采用的是分布式架構，即每個電子控制單元（ECU）負責控制一個特定的汽車功能或系統。這種架構的優點是簡單、可靠，但缺點是系統復雜度高、成本高、開發和維護困難。

隨著電子技術的發展和人們對汽車功能需求的增長，域集中式架構逐漸成為主流。域集中式架構將汽車電子電氣系統劃分為若干個功能域，每個域負責特定的功能，包括自動駕駛域、底盤域、動力域。座艙域、車身域。這種架構簡化了線束和連接，提高了系統的可靠性和可維護性。

未來，汽車電子電氣架構將進一步演進為車輛集中式的車云計算架構[9]。在這種架構中，所有的域控制器和ECU都連接到一個中央計算單元，實現全局的信息共享和協同控制。進一步減少線束和連接，降低成本和重量，提高系統的智能化和安全性。汽車電子電氣架構的發展是一個不斷演進的過程，隨著技術的不斷進步，未來的架構將會更加智能化、高效化和安全化。

然而，目前流行的域集中式架構也不可避免帶來了一些內生安全問題。首先，由于控制器集中化，一旦某個控制器出現故障，可能會影響到多個功能，導致系統的穩定性受到影響。其次，域集中式架構中的通信系統更加復雜，涉及多個控制器之間的數據交互，如果通信系統出現故障或被攻擊，可能會導致數據泄露或系統癱瘓等安全問題。為了解決這些問題，需要采取一系列的安全措施，確保汽車的安全性和穩定性。動態異構冗余架構（DHR）可以作為一種內生安全機制來解決域集中式電子電氣架構存在的問題。

3 內生安全在智能底盤控制器上的應用

3.1 智能底盤控制器概述

智能底盤控制器（Intelligent Chassis Control Unit）在汽車中扮演著至關重要的角色，負責管理和協調車輛的底盤系統，包括懸掛、制動、轉向等。底盤系統決定了汽車縱向、橫向和垂向六個自由度的動態行為，是汽車能夠跑起來的必要條件。

內生安全在智能底盤控制器的應用可以在多個方面提高車輛的安全性和性能。在延續傳統底盤的兩大基本功能的基礎上，智能底盤實現了進一步擴展：承載對象由以動力系統為主，擴展為承載座艙、自動駕駛、動力三大系統，具備認知、預判、控制車輪與地面相互作用、管理自身運動狀態的各項功能。智能底盤將全方位實現機械解耦，實現縱，橫，垂三向一體化主動控制，并具備自學習的能力，從而為用戶提供更舒適、更個性化的駕駛體驗。

3.2 內生安全在智能底盤控制器中的原理和設計

智能底盤控制器利用動態異構冗余構造和機制，在不影響自動駕駛系統本身功能的基礎上，實時動態監測自動駕駛系統感知決策結果，并通過多維負反饋動態調度、多模裁決和反饋控制等技術，有效應對自動駕駛系統功能故障和網絡威脅，實現自動駕駛系統功能安全與網絡安全一體化保障，大幅提升自動駕駛系統應對未知功能風險和網絡威脅的能力，為自動駕駛汽車安全穩定行駛提供底線安全保障，如圖2所示。

3.3 系統功能

3.3.1 功能與網絡安全雙重保障

自動駕駛內生安全智能底盤控制器采用動態異構冗余架構實時監測車載L3/L4自動駕駛系統，可同時應對基于漏洞/后門的攻擊和軟硬件隨機性故障等安全問題，具備可靠性與可信性雙重安全的能力。

3.3.2 異常感知與檢測控制協調統一

配合車內CAN總線異常檢測機制，實現異常感知與檢測控制的協調統一，能夠感知自動駕駛系統、車內網絡異常的同時，實施相對應的降級運行策略，保障自動駕駛車輛和駕乘人員安全。

3.3.3 車輛安全保障狀態實時展示

配合場景記錄與還原系統，實時展示自動駕駛內生安全智能底盤控制器的感知結果、決策結果以及內生安全系統的監測結果，也可事后還原回放指定時間、地點的車內外狀態。

3.4 案例測試

eed81113f3ce4be57907e603017adcf1自動駕駛內生安全智能底盤控制器已經在金旅“星辰”實車上完成了小規模的驗證和應用，測試結果表明，搭載該系統的實驗車輛，能夠在各種故障發生后，采用屏蔽、冗余和重構等方式，保證功能正常運行；能夠依靠動態異構冗余構造的內生安全性，有效抵御網絡攻擊。證明其是自動駕駛系統功能安全和網絡安全融合保障的創新解決方案。為自動駕駛系統提供了底線安全保障：無論是發生軟硬件故障還是遭受網絡攻擊，都能讓自動駕駛汽車不傷人、不作惡、不失控。

4 車載內生安全系統T-Box

4.1 T-BoX概述

T-BOX（Telematics BOX）是智能網聯汽車的神經中樞，負責車車、車云、車路通信以及車輛遠程監控、遠程控制及遠程診斷功能。T-BOX可深度讀取汽車CAN總線數據和私有協議，通過無線網絡將數據傳到云服務器，是智能網聯汽車的“內外通信出入口”或“咽喉要道”，極易受到因系統漏洞/后門引發的遠程控制、敏感信息泄露和車內網絡攻擊等安全威脅。

4.2 內生安全在T-BoX中的原理和設計

內生安全T-BOX系統融合了擬態防御、輕量化布署等技術理念，將數據上報、配置下發、控制指令、OTA等核心業務作為內生安全防護重點，提高了產品業務數據的準確性和下發的安全性；同時，在考慮T-BOX系統承載資源緊缺的制約下，采用虛擬化和微服務等技術實現擬態構造的輕量化部署，實現內生安全TBOX系統主動防針對已知/未知漏洞、后門網絡攻擊的高安全性和高效益。

突破了基于廣義魯棒控制構造的輕量化架構設計等關鍵技術，研制出車規級形態的內生安全T-BOX原型系統，在傳統T-BOX完備功能基礎上，新增了一體化抑制隨機故障、未知漏洞后門等安全風險的能力，有效阻斷了車內外攻擊鏈。

4.3 系統功能

目前已經實現了8大核心功能、安全防護功能和異常檢測功能三大模塊。核心功能分別為：定位功能、CAN存儲和過濾功能、CAN數據安全分析、車輛登入功能、實時信息上報功能、補發信息上報、終端校時、車輛管理功能

安全防護功能為安全加密和內生安全兩項，其中內生安全防護為對關鍵業務：配置下發、控制報文和OTA進行擬態防護，采用輕量級容器技術，對結果進行判決，阻斷異常操作并告警提示。異常檢測功能為CAN報文、終端連接、文件系統、資源的關鍵指標進行異常監控檢測。

4.4 案例測試

原型系統通過白盒插樁的測試方法，完成了5種典型注入擾動的防御效果驗證，其中包括固件提取漏洞、預留后門漏洞、硬編碼漏洞、RTSP未授權訪問漏洞和遠程代碼執行漏洞，對這幾種漏洞做到了良好的防御，在實車上完成了內生安全T-BOX的調試、測試等工作。

5 總結

內生安全在商用車智能底盤控制器和T-Box兩方面的應用，通過全面安全評估、冗余設計、加密技術和實時監控等措施，可以有效提高系統的安全性，確保車輛在各種情況下都能安全、可靠地運行。未來，隨著汽車工業的不斷發展，我們將看到更多內生安全理念和技術在商用車上的應用。這將為車輛的安全性能帶來顯著提升，同時也將推動汽車工業朝著更加智能化、安全化的方向發展。

參考文獻

[1]J. Li， H. Lu， and M. Guizani， “ACPN： A novel authentication frame- work with conditional privacy-preservation and non-repudiation for VANETs，” IEEE Trans. Parallel Distrib. Syst.， vol. 26， no. 4， pp. 938–948， Apr. 2015， doi： 10.1109/TPDS.2014.2308215.

[2]鄔江興.智能網聯汽車內生安全問題與對策[J].Journal of Chongqing University of Posts & Telecommunications （Natural Science Edition），2023，35（3）.

[3]Li， Yufeng， et al. “Dynamic Heterogeneous Redundancy-Based Joint Safety and Security for Connected Automated Vehicles： Preliminary Simulation and Field Test Results.”[J].IEEE Vehicular Technology Magazine（2023）.

[4]劉昕林，黃建華，羅偉峰，等.動態異構冗余架構下Web實踐及安全性分析[J].計算機應用，2021，41（S01）：125-130.

[5]Hu H， Wu J， Wang Z， et al. Mimic defense： a designed‐in cybersecurity defense framework[J]. IET Information Security， 2018， 12（3）： 226-237.

[6]鄔江興.網絡空間內生安全——擬態防御與廣義魯棒控制[M].北京：科學出版社，2020：587–588.

[7]王鵬，翟浡琨，李玉峰，等.基于動態異構冗余架構的車載網絡內生安全機制[J].電子與信息學報，2023，45（1）：272-281.

[8]高惠民.汽車電子電氣架構的“前世、今生和未來”（一）[J].汽車維修與保養，2023，（07）：50-54.DOI：10.13825/j.cnki.motorchina.2023.07.015

[9]陳滏媛，董振江，董建闊，等.車聯網安全防護技術綜述[J].電信科學，39（3）：1-15