智能网联汽车已成为现代运输问题的潜在解决方案。广泛的采用智能网联汽车可以通过减少排放和能源消耗来减少环境恶化，同时通过提高效率、交通流量、道路安全和交通可达性以及其他好处提供有益的经济和社会成果。但是，智能网联汽车的成功运作及其对社会的影响在很大程度上取决于其管理和解决与之相关的风险。其中很重要的一个风险就是网络安全。如果对安全运营至关重要的通信网络不能防止黑客攻击，那么智能网联汽车将面临主要的网络安全风险。

本文首先介绍有关智能网联汽车网络安全问题的背景，以及不同国家对相关问题的解决策略。然后介绍现有的一种网络风险分类框架。最后总结了三种解决智能网联汽车网络安全问题的新技术，为智能网联汽车相关问题的解决提供新的技术方向。

1 研究背景及现状

1.1 背景[1]

随着智能网联汽车在我们的生活中越来越普及，无数的担忧和法律问题也越来越多，解决这些问题将使消费者对这一新兴技术的信心产生巨大影响。一些最重要的方面涉及智能网联汽车的网络安全问题。

在汽车中采用日益复杂的技术已经成为网络安全的一个主要问题。在智能网联汽车出现之前，网络安全就成了影响人类驾驶汽车的一个紧迫问题。黑客已经证明了一种无线抓取车辆控制并通过汽车软件和网联系统远程控制的能力。那些有恶意的人可以通过蓝牙、遥控门锁系统、手机信号或汽车与外界建立的任何无线连接找到进入路径。恶意软件攻击关键的汽车部件，如刹车和变速器，可以不知不觉地被引入汽车经销商的汽车系统。随着各种数字系统和便利设施的不断增加，尤其是无人驾驶汽车，这种非法进入的方法只会增加。虽然攻击汽车仍然很困难，需要一定程度的物理访问或对汽车程序进行长时间的艰苦研究，但汽车收集和使用的大量数据有很大的价值，这使得黑客铤而走险。该数据可包括由车辆存储或由机载应用程序使用的许多类型的信息。随着无人驾驶汽车在汽车市场的发展和“物联网”加入主流，这些汽车将只存储和传输更多数据，包括生活方式信息、信用卡使用和医疗记录，从而使其成为黑客有吸引力的目标。

1.2 不同国家现有解决策略[2]

解决网络安全风险的常用方法包括制定与无人驾驶车辆相关的立法、进一步研究无人驾驶车辆和所有车辆的网络安全风险以及提供指导方针。英国和新加坡等一些政府也开始向公众宣传网络安全风险，而日本和韩国政府尚未表明其解决网络安全风险的意图。

在美国，联邦政府已采取措施探索车辆网络安全风险，并提出了管理特定于无人驾驶车辆的网络安全风险的建议。2012年，美国国家公路交通安全管理局（NHTSA）成立了一个新部门，研究“复杂、互联、电子车辆系统的安全性和可靠性”，并成立了一个电子委员会，以加强整个NHTSA组织关于车辆电子和网络安全的协作。最近，NHTSA发布了无人驾驶车辆开发和自动驾驶系统指南的非强制性建议，鼓励各实体根据相关组织制定的标准设计其无人驾驶车辆系统。在美国，最近出台的间谍车法案解决了车辆网络安全风险，该法律包含防止车辆遭到黑客攻击的规定。

欧盟采取了各种策略来管理网络安全风险。2016年8月，欧盟颁布了第一份欧盟范围内的网络安全立法：“关于网络和信息系统安全的指令”。2014年8月，欧盟数据保护工作组强调了物联网潜在的安全风险，2016年12月，欧盟网络和信息安全局发布了联网车辆网络安全的最佳实践指南，包括传统和无人驾驶车辆，提高对这些问题的认识并提供指导。

新加坡采取多元化的方法来管理网络安全风险、修改立法、咨询不同的利益相关者，并教育公众了解这些风险。2017年4月，新加坡政府修订了2017年6月生效的“计算机滥用和网络安全法案”，规定个人使用“非法从计算机获取”的个人信息并获取“黑客工具”或促进犯罪。政府已采取措施加强对此类风险的响应，并将与这些风险相关的成本降至最低。

另一方面，日本和韩国政府没有提供任何关于管理与无人驾驶车辆或网络系统相关的网络安全风险的方法。2017年，韩国政府修订了“机动车管理法”。但是，该法律不包括任何有关网络安全的规定。同样，日本没有修改立法或提供有关解决一般网络安全风险或特殊安全信息系统风险的指导方针。

虽然德国、法国和英国政府尚未修改或引入任何有关网络安全的新立法，但他们已采取措施提高对无人驾驶车辆相关网络安全风险的认识。德国政府于2015年9月成立了有关无人驾驶车辆相关问题的工作组，其中包括网络安全和数据保护，这是其“自动和网联驾驶”国家战略的一部分。同样，法国政府在2016年成立了工作组，以解决与无人驾驶车辆相关的社会问题，其中一个问题涉及安全问题。

英国应对网络安全风险的方法似乎旨在提高认识，增强国家对网络安全风险的长期抵御能力，建设国家的网络安全行业，其中包括关注无人驾驶车辆。2017年4月，英国科技联合会从政府创新机构“创新英国”获得了资金，以开发一种无人驾驶车辆行业可用于确保无人驾驶车辆系统在其整个生命周期内满足所需网络安全标准的方法。英国还实施了《2016-2021年国家网络安全战略》，该战略的重点是到2021年促进研究并加强英国在这一领域的地位。政府还于2016年10月成立了国家网络安全中心，为解决网络安全风险提供指导。

2 网络风险分类框架[3]

智能网联汽车网络风险是保险公司、监管机构特别关注的问题，需要采用适当的风险评估方法。网络风险是指由于信息技术系统的某种故障而给组织声誉造成的财务损失、中断或损害的风险。由于持续的数字创新，强化全球连通性和黑客日益复杂化，网络风险本质上是动态的。技术创新的快速发展，相关风险暴露的可能性以及缺乏历史索赔数据使得网络风险成为保险公司承保的复杂现象。然而，随着智能网联汽车的出现，赌注随着人类生命损失威胁的扩大而增加。

要使智能网联汽车网络风险分类框架有效，它必须能够适应风险的动态变化性质，并在新威胁出现时发生变化。传统的反应模型通常无法在低容量和不同数据的环境中进行预测。本研究中开发的贝叶斯网络（BN）模型使用NVD（National Vulnerability Database）来学习图形结构并训练参数。由于能够实现车辆连通性和自主性的技术仍在不断发展，因此很少有经验证据表明对智能网联汽车的网络攻击。但是，分析软件漏洞的演变并使这些信息适应智能网联汽车范例，可以为汽车制造商（OEM）、供应商和保险公司提供主动风险分析和评估。考虑到网络事件的可利用性和潜在影响，作者研究中的BN捕获了系统对网络威胁的漏洞。随后对所有系统漏洞的综合聚合可用于确定总体智能网联汽车风险评分。BN图形框架还可以用作有效的可视化机制，以便向非专业利益相关者传达有关如何维护和提高其网络风险评级的建议。

图1说明了Parkinson等人在2017年总结的一些基本的网络攻击类型。

图1 网络攻击类型、攻击向量（或模式）和CAV攻击面的概述[3]

作者提出了一种基于网络安全态势对智能网联汽车进行分类的方法。对提议的BN网络风险分类模型进行了准确性测试，并应用于智能网联汽车GPS系统。这种方法的优点是它允许使用专家意见，使用其贝叶斯性质固有的信念更新附加定量和定性信息。专家判断用于BN图形结构的初始构建和模型的案例研究应用。来自NVD的定量和定性信息用于使用机器学习方法来改进BN结构和参数。即使在未知完整详细信息的情况下，该模型也可用于聚合已知漏洞和潜在漏洞。针对汽车电气和电子系统的当前汽车专用功能安全标准（ISO 26262）进行了评估，该标准与智能网联汽车对网络风险的适用性有关。

作者建议将CVSS软件漏洞评分机制作为智能网联汽车网络风险评估的合适标准化框架。作者使用来自CVSS评分并包含在NVD中的88 438个已知漏洞的数据，并且可以利用此先前证据来预测知识差距或潜在的新网络漏洞。因此，它可用于网络风险情景分析，并用于反向设计新智能网联汽车支持技术的适当风险级别。BN模型本质上是动态的，并且可以在新信息可用时调整其参数或结构。因此，BN可以每天更新，并在NVD内报告新的漏洞，从而实现主动和即时的网络风险评估。

3 防止网联攻击的新技术

目前国际上防止网联攻击的主要工具包括网联攻击的实时监测与估计、基于递推贝叶斯估计、专用安全硬件和ECDH（Elliptic Curver Diffic-Hellman）算法的车辆网络安全预防措施。

3.1 拒绝服务攻击的实时检测与估计[4]

为了提高安全性和可靠性，先进的车辆控制系统必须能够抵御网络攻击。设计这种攻击弹性控制系统的第一步是检测网络攻击的发生。在现有文献中对联网车辆的建模、控制和稳定性分析进行了充分研究。然而对于联网车辆的网络攻击进行实时检测的问题仍未得到充分研究。网络攻击由于其威胁人类生命和安全的严重后果而需要引起重大关注。然而，很少有关于联网车辆的网络安全性的研究，更具体地说是协作自适应巡航控制。

在网联的车辆系统中可能存在多种形式的网络攻击，例如：

（1）拒绝服务（DOS）：攻击者使网络忙于虚假请求，因此网络无法处理合法请求；

（2）虚假数据注入：攻击者试图通过修改其有效载荷来影响传输数据包的完整性；

（3）重播攻击：攻击者拦截系统的数据并重新传输它，同时降低系统功能。

在本研究工作中，作者专注于DOS攻击，这是通信网络和网络物理系统（CPS）中最常见的攻击之一。很少有文献从控制导向的角度探讨CPS中的DOS。在本研究中，作者试图解决有关联网车辆中DOS攻击检测和估计的研究差距。本研究的主要贡献是面向控制的连接车辆系统诊断框架，它能够：

（1）对未知时间延迟的DOS攻击进行建模；

（2）检测DOS攻击的发生，以及

（3）提供攻击效果的估计。

本研究中所涉及到的DOS攻击的实时检测与估计方案如图2所示：根据研究中提及的公式，诊断问题是检测延迟参数τ何时非零，如果是，则估计τ的值。DOS检测模块在车辆i-1中实现。车辆i-1可以访问以下信息：

图2 DOS攻击检测和估计方案[4]

（1）由后方雷达测量的di（t）和vi（t）车辆i-1和

（2）ai-1（t）直接在车辆i-1中测量。注意，这些测量不受DOS攻击发生的影响。该方案由一个基于模型的观测器组成，由车辆i观测器表示。根据可用的测量值和模型，车辆I观察员检测发生的情况并估计延迟τ的大小，主要内容包括：

（1）检测DOS的发生，以及

（2）估计其对连接的车辆系统的影响。

拟议方案的主要目标是跟踪信息处理的延迟。该方案由一组通过滑模理论和自适应观测器理论设计的观测器组成。最后，仿真证明了该方法的性能以及该方案在几种形式的不确定性下的鲁棒性。

3.2 基于递归贝叶斯估计的主动威胁检测[5]

目前，正在开发生产的智能网联汽车在内置安全方面并不尽如人意。递归贝叶斯估计优于监督机器学习，用于可比较的旅行路线和实际运动模式的未来状态的实时预测建模。本研究着眼于当前分析和行为分析方法的相关工作，并讨论了它们对主动威胁检测的缺点或适用性。如果实现反应时间的显著改善，可以阻止恶意攻击，以消除预期的伤害。可以采取积极主动的立场，而不是当前的重新激活解决方案，以便尽早预测在攻击链中发生网络安全威胁。为了证明这种行为分析方法可以作为网络防御的基准，本研究将以网联汽车的特定场景为例展示该技术，从中可以推断出该方法具有潜力且适合用于陆地或空中运输的一般应用。

威胁预测技术可以利用诸如漏洞和现有攻击图等环境因素，或通过量化隐私或匿名等合并的安全原则来解决问题。许多预测模型基于递归贝叶斯估计，也称为贝叶斯滤波器。其他提议利用数据融合框架，在智能代理的帮助下演示非对称和自适应威胁的检测，其中预测方法基于分散的Makov（随机）游戏模型。此外，内部威胁预测是恶意企图行为如何与合法行为融合的一个有趣的行为（图3）。总之，网联汽车中的网络威胁检测和预测应考虑所提方法的适用性。考虑混合方法，将不同的预测方法集成到安全框架中以将远程网络黑客的特定案例应用于主动方法也是有用的。

网联汽车应该能够抵御网络攻击。当防御失败时，适当的反应是由检测方法触发的。随着网络劫持和路线改变的具体场景，远程黑客的威胁建模被强调为一种潜在的危险入侵，并且已经确定行为分析和剖析可以解决这一缺陷。本研究通过使用贝叶斯估计技术的行为分析概念，提出了一种主动异常检测网络威胁预防的方法，并对其进行了仿真，验证了该方法能显著提高系统的恢复能力，并减少监督机器学习预测新恶意意图所需的时间成本。网联汽车已被选为研究的一个使用案例，专注于网络物理系统的子集，并使用特定的网络劫持方案进行行为分析。通过对两个城市之间的路线的数据集进行采样以及包括传感器数据的运动模式（应用统计方法和技术）来利用定量研究设计。通过抽样，看出可以主动识别与正常路线的偏差，这是传统反应解决方案的重要改进。每个配置文件都是针对特定汽车创建的。

该领域未来的工作包括开发一个集成系统，该系统采用优化方法，基于包含多辆汽车和驾驶员的现场研究。这将有助于通过纠正措施整合系统，以识别与外部因素相关的异常。一旦确定，这种外部不确定性可用于通过更好的贝叶斯预测来提高性能。

图3 内部威胁预测模型[5]

3.3 基于专用安全硬件和ECDH算法的车辆网络安全研究[6]

车辆网络安全由两部分组成。一部分是车辆与外部实体（如路边、其他车辆、云和行人）之间的安全通信。第二种是车载安全通信。在安全的V2X通信中，外部实体的身份应当在与车辆构建会话信道时进行验证，同时还需要确保消息的机密性和完整性。在安全的车载通信中，不应窃听消息并防止重放攻击。这意味着不允许未经授权的ECU在CAN总线中广播，这两部分是相关的。通常，当黑客想要远程攻击车辆时，他首先扫描并利用V2X通信中的漏洞来连接远程信息处理单元，然后他试图控制车载ECU并发起甚至控制车辆的攻击，我们认为这是最危险的情况。

专用安全硬件将在汽车内部和外部安全通信中发挥重要作用。当车辆与外部实体连接或构建可信计算环境时，TPM（可信平台模块）可以作为安全基石。基于证书存储，密钥推导和完整性测试等功能，作者研究了如何在具有远程信息处理单元的车辆中构建可信环境的原理。HSM（硬件安全模块）可以帮助安全快速地实现车载加密通信，从而保护数据。对于某些由HSM组成的AURIX MCU，实验结果表明，更便宜的32位HSM的AES计算速度是32位主控制器的25倍，因此HSM是实现网络安全的有效选择。在比较了两种实现CAN通信安全的现有方法后，提出了一种改进的SECURECAN方案，并分析了这三种方案的不同之处。

（1）本研究中的SECURECAN是AUTOSAR规范的一部分。它旨在执行完整性验证并防止重放攻击。CAN帧分为三部分，4个字节用于消息值，2个字节用于截断的MAC值，2个字节用于截断的新鲜度值。新鲜度值可用于验证身份，从而防止重放攻击。通过使用消息和新鲜度值来计算MAC以验证完整性。

优点和不足：通过SECURECAN协议，可以防止数据被篡改和重放攻击，但数据可以被窃听。然而它仍然是这样设计的，因为最严重的情况是黑客控制ECU或作为授权的发送器ECU假装在不适当的时间重放执行器的命令。如果使用SECURECAN通信，则可以防止上述情况。

（2）密码CAN意味着所有8字节CAN帧都是密码数据，因为AES算法需要至少16字节输入，所以需要两帧来执行一次加密或解密。

优点和不足：密码CAN通信可以防止窃听，这意味着它实现了保密性。但它无法阻止重放攻击。但是通过其他措施，我们可以增加重播攻击的难度。

（3）改进的SECURECAN。测试SECURECAN和密码CAN的平均帧生成时间。本研究提出了一种改进的SECURE CAN通信类型。改进的SECURE CAN和SECURE CAN之间的差异在于改进的SECURE CAN使用AES密码作为MAC而不是AES-CMAC，因此有助于提高加密速度。图4中显示了差异。

图4 改进的安全CAN和安全CAN之间的差异[6]

作者的研究结果表明，考虑到通信时间和重放攻击和窃听等攻击，改进的SECURECAN通信在实际应用中具有更多优势。在安全系统中，密钥派生和管理是一个关键问题。在比较了RSA和ECC算法的计算效率后，提出了一种基于ECDH算法实现一次性填充的改进密钥导出方案。实现3个ECU之间的密钥推导，并测试推导时间。

4 结束语

随着智能网联汽车的不断发展，网络安全问题也逐渐被人们所重视。本文首先介绍了相关问题的背景，然后总结了不同国家现有的解决策略，主要是制定与智能网联汽车相关的立法、进一步研究智能网联汽车和所有车辆的网络安全风险以及提供指导方针。然后介绍了一种基于网络安全态势对智能网联汽车进行分类的方法，从而实现主动和即时的网络风险评估。最后总结了三种现有的解决智能网联汽车网络安全问题的新技术，包括拒绝服务攻击的实时检测与估计技术、基于递归贝叶斯估计的主动威胁检测，以及基于专用安全硬件和ECDH算法的车辆网络安全研究。随着人们对智能网联汽车的深入认识与研究，网络安全问题也会得到进一步控制与解决。