基于網絡協議的汽車信息安全研究

摘要：隨著汽車技術的快速發展，車載網絡通信系統作為汽車內部各個系統之間的橋梁，發揮著至關重要的作用，但隨之而來的信息安全問題也日益突出。因此，從汽車信息安全的角度出發，設計安全合理的車載網絡通信架構至關重要。安全合理的車載網絡系統架構的設計，需要從網絡協議的理論基礎出發才能設計出靈活、高效和安全性的車載網絡通信系統。

關鍵詞：車載網絡通信系統；汽車信息安全；7層網絡協議；安全研究

中圖分類號：U461 收稿日期：2024-07-20

DOI：10.19999/j.cnki.1004-0226.2024.11.017

1 前言

隨著整車電子電氣架構的集中化演進，基于V2X的車路云一體化方案的落地實施，以及智能駕駛系統的推廣，目前的智能網聯汽車可以實時地采集大量的車輛內外環境數據，不僅涉及用戶的個人隱私，而且還涉及國家安全與公共秩序安全。應對日益嚴峻的安全態勢，智能網聯汽車的安全監測、防御及管理面臨更大的挑戰。

2022年7月，聯合國世界車輛法規協調論壇（簡稱UN/WP.29）發布的汽車網絡安全法規R155和軟件升級法規R156開始在歐盟正式實施，明確要求整車企業的產品開發體系需滿足網絡安全管理體系（CSMS）的要求，并取得了整車形式認證（WVTA）才能在歐盟上市銷售。這是世界汽車發展史上具有里程碑意義的事件。它是第一次將網絡安全作為一個汽車生產企業及汽車產品市場準入的強制性法規條件。

七層網絡模型一般指開放系統互連參考模型（Open System Interconnect ，OSI），該模型是國際標準化組織（ISO）和國際電報電話咨詢委員會（CCITT）聯合制定的開放系統互連參考模型，為開放式互連信息系統提供了一種功能結構的框架。它從低到高分為七層，分別是：物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層[1]。

2 七層網絡模型協議

OSI參考模型的全稱是開放系統互連參考模型，是由國際標準化組織ISO在20世紀80年代初提出來的。它最大的特點是開放性，也就是說，任何遵循OSI標準的系統，只要物理上連接起來，它們之間都可以互相通信。OSI參考模型定義了開放系統的層次結構和各層所提供的服務。OSI參考模型的一個成功之處在于，它清晰地分開了服務、接口和協議這3個容易混淆的概念。服務描述了每一層的功能，接口定義了某層提供的服務如何被高層訪問，而協議是每一層功能的實現方法。通過區分這些抽象概念，OSI參考模型將功能定義與實現細節區分開來，概括性高，使它具有普遍的適應能力[2]。

OSI七層網絡協議是網絡中各種設備相互通信的規則和約定，它定義了數據如何在不同的網絡層次之間傳輸和處理。按照OSI（開放系統互連）模型，每層都有特定的功能，并與其他層協同工作，確保數據在復雜的網絡環境中能夠準確、安全地傳輸。其網絡協議模型如圖1所示。

OSI七層網絡模型具有如下優點。

a.分工合作，責任明確。

性質相似的工作劃分在同一層，性質不同的工作則劃分到不同層，這樣每一層的功能都是明確的，每一層都有其負責的工作范圍，一旦出現問題，很容易找到問題所在的層，僅對此層加以改善即可。

b.對等交談。

計算機通過網絡進行通信時，按照對等交談的原則，即同一層找同層，通過各對等層的協議來進行通信，比如，兩個對等的網絡層使用網絡協議通信。

c.逐層處理，層層負責。

在OSI中，兩個實體通信必須涉及下一層，只有相鄰層之間可以通信，下層向上層提供服務，上層通過接口調用下層的服務，層間不能有越級調用關系，每層功能的實現都是在下層提供服務的基礎上完成的。即每一層都是利用下層提供的服務來完成本層功能，并在此基礎上為上層提供進一步的服務[3]。

汽車局域網要傳輸的信息大多是傳感器、執行器和開關信息，數據較短，同時由于網絡多采用總線型，所以車載網絡的協議體系結構相對簡單一些，主要有應用層、數據鏈層和物理層。

3 汽車整車網絡

目前汽車電子技術高速發展和智能網聯汽車的廣泛普及，越來越多的控制系統廣泛地應用于現代汽車，致使汽車整車的通信網絡越來越復雜。如何將汽車上配置的上百個控制單元合理、有效的布局在汽車內部通信網絡上，實現快速，安全、即時的通信，合理的整車網絡拓撲的結構對于汽車通信系統是十分重要的。它直接關系到汽車內部通信系統的穩定性和可擴展性，對車輛信息處理的及時性也有重要的影響，進而關系到整車的控制系統的布局，控制信號的處理等，更會在影響整車質量、安全與開發成本等，在汽車初期的產品開發階段，整車通信網絡的設計是非常重要的一個關鍵環節。

3.1 汽車網絡標準

隨著汽車電子技術和客戶需求的發展，各種新的、不同的車載網絡協議不斷產生，以滿足汽車各種功能的需求。表1為目前車輛廣泛采用的車載網絡性能概括情況。

3.2 汽車網絡設計原則

考慮到智能網聯汽車未來的發展，為了將來智能網聯汽車功能的可擴展性，現在智能網聯汽車的整車網絡遵循如下的原則。

a.平臺化。

汽車主機廠在產品的開發設計階段采用平臺化設計是目前的主流發展趨勢，車載通信網絡設計在考慮汽車產品系列化的時候，也需要平臺化的設計方案。即根據每個控制模塊的功能定義、控制策略和通信策略，每個控制模塊應處在網絡拓撲中與其聯系最為緊密的地方，在邏輯控制中處在最優的位置。平臺化網絡拓撲設計同時也要控制模塊硬件具備最具擴展的空間，從長遠角度來講，對汽車主機廠的新產品的開發及供應商新產品的迭代都有一定的好處。

b.可拓展性強。

目前隨著汽車電子技術的快速發展，整車通信網絡設計要有較強的拓展性。即在不改變基本網絡拓撲的基礎上，能夠方便地增減新的控制單元，也可以方便地將具備新功能的控制單元快速地迭代在車載信息通信網絡中。在保持原有網絡結構的同時，滿足市場的需求，并降低開發的成本。

c.簡約化。

隨著汽車電子技術的發展，車載通信技術越來越向模塊化、功能化發展。在車載網絡中采用域控制器，車載網絡可以按照底盤控制域、動力總成域、車身控制域、舒適域、娛樂域、輔助駕駛域等模塊進行邏輯層的分割。這樣既保障了車輛信息安全，又提高模塊內部的高速有效的處理，還可以根據各個域的實際情況采用不同的通信總線技術，為車輛的開發和拓展帶來極大的便利性。

根據如上的汽車網絡設計的規劃，目前采用混合組網將成為未來發展的主流，這類整車網絡的網絡拓撲圖參考圖2。

3.3 汽車網絡拓撲

自從智能網聯汽車大力推廣以來，汽車網絡拓撲結構就成為一個研究的熱點。汽車網絡體系結構已經發生了天翻地覆的變化，車載網絡從車輛電子單元的高速穩定的控制向大數據量、高速通信、智能化和舒適化的功能方向發展。車載總線也從低速CAN（控制器區域網絡）逐漸演變為高速CAN、LIN（局域網）、FlexRay和車載以太網等新技術發展。因此，汽車網絡結構從分散的、不統一的系統發展成為許多互連的子系統，成為一種復雜的、分層次、相互關聯的架構。

這些新技術的采用，為汽車網絡提供了更高速的數據傳輸、更嚴格的安全要求和更高的可靠性數據質量，也為汽車的自動駕駛、車聯網、智能駕駛等新技術的發展提供了網絡方面的性能保障。

圖2為目前智能網聯汽車采用的主流車載網絡拓撲圖，該拓撲圖有以下優點：

a.在車身控制域，采用低速CAN和LIN總線結構，可以將成熟的燈光、空調、電動座椅、電動門窗、安全氣囊等可靠性高的控制系統，安全地平移到智能網聯汽車上，既能節約成本，又能保障行車安全。

b.在動力總成控制域，采用高速CAN總線結構，可以將成熟的發動機控制單元、變速器控制單元、排放控制單元等控制系統，在智能網聯汽車上直接采用，既能節約開發成本，保障行車安全，又能夠滿足控制需求。

c.在信息娛樂總成控制域，采用高速MOST（Media Oriented Systems Transport）總線結構。MOST總線的特點是數據傳輸速率最高，采用光纖POF（Plastic Optical Fiber）作為物理層的傳輸介質，速率達24.8 Mbit/s，而且沒有電磁干擾，對整車EMC具備很好的技術支撐。同時MOST總線結構靈活、性能可靠和易于擴展，支持“即插即用”方式，對于車主的使用具備很好的親和性。MOST總線可連接汽車音響系統、視頻導航系統、車載電視、高保真音頻放大器、車載電話、多碟CD播放器等模塊，具有方便簡潔的應用系統界面。

d.在底盤總成控制域，采用高速FlexRay總線結構，這種控制領域需要大量的數據交換，FlexRay總線提供了一個高速、可靠、大容量的數據傳輸通道。它主要用于線控轉向和線控剎車等需要高實時安全性的車身控制系統系統中，在ABS控制單元、懸架控制單元等也可以采用。

e.在輔助駕駛系統領域，采用車載以太網總線結構，將駕駛輔助和診斷界面結合在一起，融合了傳感器、全景攝像頭及雷達等多種數據。以太網以其通用性、開放性、高帶寬、易擴展、易互聯等特性，可以保證更高的帶寬和更低的延遲，在涉及安全方面的應用，攝像頭可以使用更高分辨率的未壓縮的數據傳輸，從而避免如壓縮失真等導致障礙物檢測失敗的問題。同時以太網還可以傳輸高精度雷達數據來保障輔助駕駛對大數據量的需求，以太網可以使娛樂系統傳輸視頻和音頻數據的質量得以大幅度的提高。

4 汽車網絡模型協議

4.1 CAN總線的網絡模型

為了提高網絡通信的可靠性和實時性，CAN總線只有物理層、數據鏈路層和應用層。其中數據鏈路層和物理層的協議分別由CAN控制器和CAN收發器硬件自動完成，因此在CAN總線應用系統設計時，主要任務是對其應用層程序進行設計。

為了說明CAN協議的物理層和數據鏈路層的功能，可以參考OSI 7層網絡協議來了解CAN ISO網絡協議的功能，其網絡模型圖如圖3所示。

CAN總線的協議結構包括以下4個層次：

a.物理層：定義了數據傳輸的物理介質、速率和接口。

b.數據鏈路層：處理網絡內節點之間的數據傳輸。

c.傳輸層：負責網絡內的消息路由和調度。

d.應用層：定義了在CAN總線網絡上的各種應用服務。

在CAN參考模型中，數據鏈路層分為媒體訪問控制子層和邏輯鏈路控制子層，媒體訪問控制子層是CAN協議的核心部分，它定義了信息通信的發送、應答、幀結構、錯誤檢測及沖突仲裁機制等關鍵的協議。車載CAN通信協議主要采用了OSI參考模型的數據鏈路層的協議功能，也采用了OSI參考模型的傳輸層中的信息再發送控制的協議，屬于一個簡化的現場控制局域網的概念。

在CAN參考模型的物理層，定義了信號的發送方式、位時序、位的編碼方式及同步的步驟。但具體的信號電平、通信速率、采樣點、驅動器和總線的電器特性，以及連接器的形態等均未定義。這些是由主機廠根據自己的車載總線的特性來確定的。

在車載網絡的總線中，低速/高速CAN、LIN（局域網）、FlexRay的總線方式的網絡模型均采用這種網絡模型。

4.2 車載以太網總線的網絡模型

隨著汽車一系列的高級輔助駕駛功能噴涌而出和人們對汽車多媒體以及影音系統的需求越來越高，車載以太網應運而生。

以太網能支持多種網絡介質，信息的傳輸和物理介質與協議無關，這是其優勢之一。因此，其在汽車領域可以做相應的調整與拓展，形成一整套車載以太網協議，該協議能滿足汽車信息在高帶寬、低延時的情況下實現相互交互的功能。

車載以太網和傳統以太網在使用環境及傳輸內容上有所不同。車載以太網在協議和OSI網絡模型上做出了相應的調整來適應車輛使用的場景，主要是在視頻傳輸、輔助駕駛的環境感知分析方面做出了相應的規范和標準。圖4清晰地給出了車載以太網和OSI傳統以太網在這些內容方面的不同。

從圖4中可以看出，車載以太網和傳統IT網絡除了物理層、AVB、SOME/IP、SD這5個模塊為車載以太網技術協議規范之外，其余均為傳統以太網協議模塊。

a.在物理層，車載以太網采用單對差分電壓傳輸的雙絞線，100 M/s以太網可以通過回音消除技術來實現全雙工通信；而傳統以太網則需要使用RJ45連接器連接。

b.AVB全稱是以太網音視頻橋接技術（Ethernet Audio/Video Bridging），又稱“Ethernet AVB”，是一項基于IEEE 802標準的技術。傳統以太網絡的通信是沒有QoS保障的通信，同時針對時間的要求也不是很高。為了滿足持各種面向音頻、視頻的網絡多媒體應用的客戶體驗，在傳統以太網絡的基礎上，通過保障帶寬、限制延遲和精確時鐘同步技術，研發一種滿足客戶需要的新型以太網通信技術。

c.Some/IP（Scalable service-Oriented MiddlewarE over IP），Service Discovery為服務發現協議，該協議的主要任務是在車內通信中傳達稱為服務的功能實體的可用性，以及控制事件消息的發送行為。這允許僅向需要它們的接收方發送事件消息，解決方案也稱為SOME/IP-SD（基于IP的可擴展面向服務的中間件，服務發現）。SOME/IP-SD主要用于定位服務實例，并檢測服務實例是否正在運行，然后實現發布/訂閱處理。這種信號的發送機制有別于CAN總線的發送機制。

5 汽車網絡信息安全分析

目前汽車信息安全面臨云端、車載網絡系統及各ECU單元的攻擊，覆蓋了從遠端、車身到各控制單元潛在攻擊，并且這三類攻擊均有實際的案例發生。經過仔細分析發現，對汽車信息安全進行攻擊主要是通過車載網絡的途徑，尋求突破點來達到獲取汽車信息數據是目前最為主要的攻擊方式。

根據上述通過OSI協議和車載網絡協議的分析不難發現，目前車載網絡的協議模型中，通信的過程是面向信號的，是一種根據信息發送者需求實現的通信過程（SOME/IP-SD例外），并且在信息發送者將信息發送后，并沒有相應的信息合法性、有效性及QoS保障。這種通信方式有別于電信系統中控制信息和業務信息分層管理的理念，并在協議模型中缺乏SCCP（Signaling Connection Control Part，信令連接控制）部分，這就從車載網絡通信的協議底層基礎上造成了容易受到傳統IT黑客如下類型的攻擊：死亡之Ping、ICMP泛洪攻擊、UDP泛洪攻擊、TCP SYN 攻擊、Teardrop攻擊、ARP欺騙攻擊、IP欺騙攻擊、ICMP Smurf攻擊、IP地址掃描、端口掃描（Port scan）、CAN數據幀泛洪攻擊、CANID偽造、CAN數據幀重放攻擊、CAN網絡掃描、ECU認證破解、UDS服務攻擊。

針對傳統IT網絡的這些攻擊類型，防火墻的應用是一種普遍采用的防御方式。根據汽車車載網絡拓撲結構，在車載網絡的網關單元加入防火墻的功能，是可以大幅減少網絡攻擊風險的一種有效手段。

車載網關是一個中央路由器或者IP交換機，它是在不同體系結構或協議的網絡之間進行互通時，用于提供協議轉換、數據交換等網絡兼容功能的設備。車載網關可以安全可靠地在車載信息網絡的多個不同控制域內互連和傳輸數據。車載網關通過物理隔離的方式，可以隔離動力總成域、底盤控制域、車身控制域與信息娛樂域、輔助駕駛域、外部接口的數據通信，確保有關車輛行駛安全控制部分與其他部分在邏輯或者物理層面的分離，避免因車載信息安全因素導致車輛行駛出現安全事故。加強車載網關安全機制，越來越受到車企和供應商的重視，嚴格控制從外部網絡（如互聯網）到車輛內部網絡訪問的安全性，有效屏蔽外部攻擊，成為車載網關越來越重要的功能需求。

安全網關具備域隔離、信息加密等功能。域隔離功能是在不同功能域之間建立隔離，使相互隔離的域之間不能相互影響，即使一個域受到攻擊，不會影響到其他的域，這樣就可以將車載網絡不同總線，不同的功能域之間建立起安全的防火通道。信息加密功能是指采用嵌入式硬件安全模塊（HSM），對傳輸的信息進行實時完整性檢查機制，確保代碼真實、可信、未經篡改，并為重要的傳輸信息進行加密和安全密鑰管理功能。

6 結語

隨著汽車電子化和數碼化的不斷發展，車載網絡的連接設備和終端越來越多，數據通信的方式也越來越多樣化，通信帶寬也越來越寬，導致車載網絡越來越復雜，為汽車信息安全帶來的隱患也越來越多。大家不僅僅要在汽車信息安全的車載端認真做好安全防護，還需要引起全社會針對汽車信息安全的重視，需要在法律法規，整車企業對信息安全的重視，汽車用戶的信息安全教育，以及各種車載APP應用企業的數據采集等各個方面加強引導。

總之，汽車信息安全是一個隨著信息技術進步不斷需要改進的長期的工作，希望隨著技術的不斷演進，能夠從車載網絡底層的協議出發，開發出一套適合長期智能網聯汽車發展的車載網絡通信系統，能夠為汽車信息安全保駕護航。

參考文獻：

[1]劉永華.計算機網絡原理及應用［M］.北京：中國鐵道出版社，北京：2011.

[2]海濤，楊磊，張鐿議，等.計算機網絡通信技術［M］.重慶：重慶大學出版社，2015.

[3]史紅梅，蘇樹強，溫偉剛.動車組網絡控制［M］.北京：北京交通大學出版社，2013.

作者簡介

王后正，男，1981年生，工程師，研究方向為整車測試。