自动驾驶网络安全

1. 开篇介绍

自动驾驶系统的网络安全与传统IT安全有着根本性的差异。在传统IT领域，安全漏洞的最坏后果通常是数据泄露或业务中断；而在自动驾驶场景中，一次成功的网络攻击可能直接导致车辆失控，进而造成乘员伤亡和大规模交通事故。这种"数字攻击产生物理后果"的特性，使得自动驾驶网络安全成为汽车行业最紧迫的挑战之一。

现代自动驾驶车辆本质上是一台"四轮移动数据中心"。车辆内部运行着数十个电子控制单元（ECU），通过 CAN、LIN、FlexRay、车载以太网等总线互联；对外则通过蓝牙、Wi-Fi、4G/5G 蜂窝网络、V2X（车路协同）持续与外界保持通信。一句话概括当前的安全态势：联网即暴露。每一个通信接口都是潜在的攻击入口，每一行代码都可能隐藏漏洞，而系统的高度互联使得一个局部突破往往能够横向扩散至整车核心控制功能。

与航空领域经过数十年打磨的安全体系不同，汽车行业的网络安全意识觉醒相对较晚，从标准制定到技术落地仍处于快速演进阶段。理解自动驾驶的安全威胁格局、现行法规与标准要求，以及对应的防御技术，是所有从业者的必修课。

2. 威胁格局

2.1 攻击面的全面扩大

随着自动驾驶功能等级的提升，车辆的攻击面呈指数级增长。主要攻击入口包括：

接口类型	典型协议/标准	风险说明
OBD-II 诊断口	ISO 15765（CAN）	直接接入车内总线，是最危险的物理入口
USB 接口	USB 2.0/3.0	恶意设备、BadUSB 攻击、固件植入
蓝牙	BT Classic / BLE	信息娱乐系统漏洞，历史上多次被用于提权
Wi-Fi	802.11 a/b/g/n/ac	热点劫持、中间人攻击
蜂窝网络	4G LTE / 5G NR	远程攻击最主要的通道，覆盖范围无限制
V2X 通信	DSRC / C-V2X	伪造路侧单元信号，影响驾驶决策
OTA 更新	HTTPS + 签名	供应链攻击、降级攻击、恶意固件
传感器接口	摄像头/LiDAR/雷达	物理欺骗攻击，干扰感知系统

2.2 典型攻击案例：2015年 Jeep Cherokee 远程接管

2015年，安全研究人员查理·米勒（Charlie Miller）和克里斯·瓦拉塞克（Chris Valasek）公开演示了对克莱斯勒 Jeep Cherokee 的远程接管攻击，震惊了整个行业。攻击链如下：

通过蜂窝网络（Sprint 运营商）扫描并定位暴露在互联网上的 Uconnect 车载娱乐系统；
利用 Uconnect 系统中的 D-Bus 服务漏洞获取代码执行权限；
重写芯片固件，突破娱乐系统与 CAN 总线之间的隔离；
向 CAN 总线注入恶意帧，远程控制车辆的油门、刹车、方向盘和空调。

演示中，研究人员在数英里之外通过笔记本电脑让行驶中的 Jeep 车速归零、强制切断加速器响应。此事件直接导致克莱斯勒召回 140 万辆车辆，美国国会随后提出《汽车网络安全法案》。这一案例至今仍是汽车网络安全领域最具代表性的警示。

2.3 供应链攻击风险

现代汽车的软件代码量已超过 1 亿行，由数百家供应商贡献。原始设备制造商（OEM）往往无法对第三方 ECU 固件进行全面审计，供应链攻击因此成为重要风险源：

恶意预置后门：不诚信供应商在固件中植入隐蔽的远程访问通道；
开源组件漏洞：车载 Linux、AUTOSAR 等平台依赖大量开源库，其中任何一个高危漏洞（如 Log4Shell 类型）都可能影响整车安全；
硬件木马：在芯片制造或封装环节植入硬件后门，极难通过软件手段检测；
软件物料清单（SBOM）缺失：缺乏完整的软件成分清单，使得漏洞响应周期大幅延长。

2.4 高价值目标：Robotaxi 车队的社会影响

Robotaxi 商业化部署带来了全新的攻击动机。一支规模化的自动驾驶出租车车队是极具吸引力的攻击目标：

攻击者只需控制车队管理后台，即可同时让数百辆车辆停驶，造成大规模交通瘫痪；
车辆运营轨迹数据蕴含高度敏感的城市交通信息，具有重要情报价值；
针对 Robotaxi 的勒索攻击（"付款，否则停止运营"）具有现实可操作性；
精心策划的单车事故可被用于打击竞争对手或制造政治事件。

3. ISO/SAE 21434 标准

3.1 概述

ISO/SAE 21434《道路车辆——网络安全工程》是汽车行业首个覆盖整车全生命周期的网络安全工程标准，于 2021 年 8 月正式发布。该标准由国际标准化组织（ISO）与美国汽车工程师学会（SAE）联合制定，为 OEM 和供应商提供了系统化的网络安全工程框架。

标准覆盖的生命周期阶段包括：概念设计、产品开发（系统/硬件/软件）、生产、运营、维护，直至报废处置。

3.2 TARA：威胁分析与风险评估

TARA（Threat Analysis and Risk Assessment）是 ISO/SAE 21434 的核心方法论，相当于功能安全领域 HARA（危害分析与风险评估）在网络安全领域的对应物。TARA 的主要步骤：

资产识别：明确需要保护的资产（如制动控制信号、定位数据、OTA 更新机制）；
威胁场景建模：识别针对每类资产的潜在威胁（机密性/完整性/可用性/授权性损失）；
影响评估：评估威胁实现后对安全、财务、运营、隐私四个维度的影响等级；
攻击路径分析：分析攻击者从初始入口到攻击目标的完整路径；
攻击可行性评估：使用 CVSS 类方法评估攻击所需的能力、资源和时间窗口；
风险等级确定：综合影响与可行性，输出风险矩阵。

3.3 攻击路径分析

攻击路径分析（Attack Path Analysis）以图论方式描述攻击者从外部接口到目标资产的所有可能路径。每条路径由若干"攻击步骤"串联组成，每个步骤对应一个具体漏洞或弱点。

示例——针对自动紧急制动（AEB）的攻击路径：

蜂窝网络接入
  → Uconnect 信息娱乐系统 RCE 漏洞
    → 突破域间防火墙
      → 向底盘 CAN 总线注入帧
        → 伪造 AEB 触发信号
          → 目标：意外制动（安全影响：重大）

通过穷举和分析此类路径，工程师可以识别关键节点并优先部署防御措施。

3.4 网络安全目标与需求分解

TARA 输出的风险被转化为网络安全目标（Cybersecurity Goals），例如：

"AEB 控制信号的完整性应得到保护，防止未授权的注入或篡改。"

网络安全目标进一步分解为网络安全需求（Cybersecurity Requirements），并分配至系统、硬件、软件各层级，最终落地为具体的技术控制措施（如 SecOC 消息认证、HSM 密钥存储等）。

3.5 CAL：网络安全保证等级

类比功能安全的 ASIL，ISO/SAE 21434 定义了四级网络安全保证等级（Cybersecurity Assurance Level，CAL）：

等级	适用场景	要求严格程度
CAL 1	低风险功能	基本网络安全实践
CAL 2	中等风险	系统化安全分析 + 独立审查
CAL 3	较高风险	正式安全分析 + 渗透测试
CAL 4	最高风险（如制动、转向）	独立第三方评估 + 严格验证

4. UN ECE WP.29 R155 法规

4.1 法规背景与强制要求

联合国欧洲经济委员会（UN ECE）世界车辆法规协调论坛（WP.29）于 2021 年发布 R155 法规，要求汽车制造商建立并运营网络安全管理系统（Cybersecurity Management System，CSMS），作为车辆型式认证的前提条件。

R155 要求覆盖四大领域：

组织层面：建立网络安全治理体系，明确责任分工；
开发阶段：执行基于风险的安全设计，实施 TARA；
生产阶段：确保安全开发实践延伸至制造环节；
售后阶段：持续监控威胁、响应漏洞、推送安全更新，全生命周期有效。

4.2 执行时间表

时间节点	要求
2022年7月	新申请型式认证的车型须符合 R155
2024年7月	欧洲所有新生产车辆（包括现有平台）须强制符合
持续有效	CSMS 认证每三年更新一次

中国市场方面，工业和信息化部参照 WP.29 框架发布了《汽车数据安全管理若干规定》及相关 GB/T 标准，方向一致但具体要求存在本地化差异。

4.3 CSMS 认证流程

CSMS 认证由国家认可的技术服务机构（Technical Service）负责评估，主要审查内容包括：

网络安全政策与战略文件的完备性；
TARA 方法论的规范性与完整性；
供应链安全管理能力（包括供应商审计要求）；
漏洞管理与事件响应流程的有效性；
OTA 更新安全机制的实现方案；
安全监控（车辆 SOC）的部署情况。

5. 传感器攻击

5.1 相机欺骗攻击

自动驾驶感知系统对摄像头图像的依赖，使其成为攻击者的高价值目标。主要攻击手段包括：

（1）对抗性贴片（Adversarial Patch）

通过在真实世界中张贴特制的打印图案，欺骗深度学习分类网络产生错误识别结果。例如，将一张特制贴纸贴在停车标志上，可使目标检测模型将其分类为"限速 45 mph"而非"停止"。此类攻击具有物理实体性，不依赖对模型或数字系统的任何访问权限。

（2）光线注入攻击

利用激光或红外 LED，向摄像头感光元件注入特定光线模式，在图像中叠加攻击者期望的内容，从而误导感知算法。

防御措施：多摄像头交叉验证、输入图像异常检测、对抗性训练增强模型鲁棒性。

5.2 LiDAR 欺骗攻击

（1）激光注入攻击（Laser Injection）

攻击者使用与目标 LiDAR 波长相同的激光发射器，向 LiDAR 接收器注入虚假返回脉冲，在点云中制造不存在的障碍物（幻影点云）或消除真实障碍物的回波。实验室研究已证明，可在道路中央制造"虚拟车辆"幻影，迫使 AV 系统急刹车或绕行。

（2）中继攻击（Relay Attack）

捕获 LiDAR 发射脉冲后进行延迟重放，使 LiDAR 误判目标距离，影响跟车距离控制和碰撞预警。

防御措施：随机化激光发射时序（Temporal Encoding）、多线束交叉验证、融合毫米波雷达进行一致性检验。

5.3 毫米波雷达欺骗

（1）同频干扰

对目标车辆雷达发射同频干扰信号，使其在特定角度产生"盲区"，无法探测前方车辆。

（2）幻影目标注入

发射精心构造的射频信号，在雷达视野中制造虚假的静止或运动目标，触发不必要的紧急制动。

防御措施：随机调频（FMCW 参数随机化）、多站点雷达交叉验证、与摄像头和 LiDAR 的融合异常检测。

5.4 GPS 欺骗攻击

通过伪造 GPS 卫星信号，使车辆导航系统接收到错误的位置信息，导致路径规划偏差或使车辆驶入错误区域。已有研究团队在受控环境中验证了对海上船舶和无人机的 GPS 欺骗攻击的可行性，对地面车辆的威胁同样存在。

防御措施： - 多星座 GNSS 接收（GPS + GLONASS + BeiDou + Galileo）； - 惯性导航（IMU）与 GNSS 融合，抵抗突变欺骗； - 高精地图（HD Map）与传感器定位的一致性校验； - 信号强度异常检测（合法 GPS 信号通常较弱，欺骗信号往往过强）。

6. 车载通信攻击

6.1 CAN 总线攻击

CAN（Controller Area Network）总线是汽车电子的基础通信协议，设计于 1980 年代，最初只考虑可靠性而未考虑安全性。其主要安全缺陷：

无消息认证：任何连接到总线的节点均可发送任意 ID 的帧；
广播机制：所有节点均可监听所有消息，无法实现节点间的访问隔离；
无加密：明文传输，内容可轻易被解析。

攻击者一旦控制任意 ECU（例如通过信息娱乐系统漏洞），即可向底盘 CAN 总线注入制动、转向或油门指令帧，实现对车辆行驶的完全控制。

6.2 OBD-II 端口攻击

OBD-II（On-Board Diagnostics）诊断端口是所有量产车辆必须提供的标准接口，默认直连 CAN 总线，用于维修诊断。米勒和瓦拉塞克最初的研究正是从物理接入 OBD-II 开始的。

风险点： - 第三方保险监控插件（OBD Dongle）接入 OBD-II 并具备蜂窝上网能力，成为远程攻击的桥梁； - 4G OBD 设备本身若存在安全漏洞，将完全开放对 CAN 总线的远程访问； - 停车场中的物理接触攻击（数秒内植入恶意设备）难以防范。

6.3 蓝牙与 Wi-Fi 攻击

信息娱乐系统通常支持蓝牙和 Wi-Fi，是攻击者最容易接触到的无线入口：

蓝牙配对漏洞：历史上多个高危蓝牙漏洞（如 BlueBorne，2017年）可在无需用户交互的情况下实现远程代码执行；
Wi-Fi 热点劫持：伪造车辆自动连接的 Wi-Fi 热点（SSID），实施中间人攻击，窃取车主数据；
横向提权：娱乐系统获取代码执行权限后，攻击者尝试突破域间隔离，进入 ADAS 或底盘控制域。

6.4 车载以太网攻击

高带宽 ADAS 功能（摄像头、LiDAR 数据传输）已普遍采用车载以太网（100BASE-T1 / 1000BASE-T1）。相关风险包括：

ARP 欺骗：在以太网段中伪造 ARP 响应，实施中间人攻击，截获传感器原始数据；
VLAN 跳转：利用交换机配置缺陷，跨越不同功能域的 VLAN 隔离；
DoS 攻击：通过泛洪攻击占用传感器数据带宽，导致感知系统实时性下降。

6.5 防御体系

防御技术	作用
SecOC（Secure Onboard Communication）	AUTOSAR 标准的 CAN 消息认证机制，为每帧附加 MAC 值
网络分段与域隔离	娱乐域/ADAS域/底盘域物理或逻辑隔离
车载防火墙	网关 ECU 实施白名单规则，过滤跨域流量
车载 IDS	实时监控总线异常，详见第 8 节

7. OTA 攻击与防御

7.1 OTA 攻击向量

空中下载（OTA，Over-The-Air）更新是自动驾驶系统快速迭代的关键能力，同时也引入了新的攻击面：

（1）中间人劫持（MitM）

攻击者在车辆与 OTA 服务器之间拦截更新请求，将恶意固件包替换合法更新包推送至车辆。若更新包缺乏完整性校验，车辆将直接安装恶意固件。

（2）降级攻击（Rollback Attack）

攻击者诱导车辆安装含有已知漏洞的旧版本固件，从而利用已被修复的漏洞实施后续攻击。

（3）恶意固件植入

通过攻破 OTA 后台服务器或供应链中的固件构建系统，将后门植入固件，随正规更新通道分发至大量车辆。这类攻击危害极大，因为受害者完全不知情。

7.2 OTA 安全防御体系

OTA 安全架构
├── 传输层安全：TLS 1.3 加密通信，防止中间人截获
├── 代码签名：OEM 私钥对固件包签名（RSA-2048 或 ECDSA-P256）
├── 安全启动（Secure Boot）：从硬件信任根（RoT）逐级验证引导链
│   ├── Boot ROM（不可篡改）
│   ├── Bootloader
│   └── 操作系统内核 → 应用软件
├── 版本防降级：固件版本号写入 HSM OTP 区域，拒绝安装低版本
└── A/B 分区回滚：更新失败自动回滚至上一个已验证的稳定版本

安全启动的信任根通常固化在 SoC 的一次性可编程（OTP）熔丝中，存储 OEM 公钥的哈希值，确保即使操作系统被完全攻陷，也无法绕过启动时的签名验证。

8. 入侵检测系统（IDS/IPS）

8.1 车载 IDS 架构

车载入侵检测系统（In-Vehicle IDS）对车内通信网络进行实时监控，识别异常行为并触发告警或防御响应。典型部署位置：

CAN 总线 IDS：监控每条报文的 ID、数据内容、发送频率和时序，识别注入攻击和设备异常；
车载以太网 IDS：在网关节点实施深度包检测（DPI），识别异常流量模式；
主机型 IDS：在 ECU 操作系统层监控进程行为、系统调用和文件完整性。

8.2 检测方法

（1）基于规则的检测（Signature-based）

维护已知攻击模式的规则库，匹配特定的帧 ID 序列、数据内容或时序特征。优点是误报率低、响应快速；缺点是无法识别未知攻击手法。

（2）基于机器学习的异常检测（Anomaly-based）

对正常行为建立基线模型（如每条 CAN 消息的发送周期分布），检测统计偏差。适用于识别未知攻击，但需要持续更新模型以适应软件升级后的行为变化，误报率相对较高。

常用算法： - 单类 SVM（One-Class SVM）：建立正常流量边界； - LSTM 时序模型：预测下一帧内容，偏差超过阈值触发告警； - 自编码器（Autoencoder）：重建误差作为异常评分。

8.3 IDS 与安全运营中心集成

车载 IDS 产生的告警不仅需要在车辆本地响应（如降级到安全模式），还应上报至云端安全运营中心（SOC），以实现车队级别的威胁感知：

车辆 IDS → 加密上报 → 车辆 SOC → 威胁情报分析 → OTA 修复推送
                                  ↓
                         全车队异常模式关联分析

ISO/SAE 21434 明确要求制造商在车辆整个运营生命周期内持续监控网络安全威胁，这要求 IDS 与 SOC 的集成是商业化 AV 系统的必备能力。

9. 密钥与证书管理

9.1 硬件安全模块（HSM）

硬件安全模块（Hardware Security Module）是车载密码学的基础设施，负责生成、存储和使用密钥，同时物理上防止密钥被提取：

密钥隔离：私钥永远不离开 HSM 安全边界，所有加解密运算在 HSM 内部完成；
防篡改设计：物理攻击（如探针攻击）触发密钥自毁机制；
SecOC 支持：为 CAN 消息认证码（CMAC/HMAC）的实时计算提供硬件加速；
安全存储：存储安全启动证书、OTA 签名验证公钥、V2X 私钥等敏感材料。

AUTOSAR 规范定义了 SHE（Secure Hardware Extension）和 HSM 两种标准接口，主流汽车级 MCU（如英飞凌 AURIX、瑞萨 RH850）均已集成符合规范的 HSM 模块。

9.2 V2X PKI 与假名证书

V2X 通信中的身份认证需要在以下两个目标之间取得平衡：

可信性：通信消息需经过认证，防止伪造；
隐私性：不能让固定标识符暴露车辆的长期位置轨迹。

解决方案是假名证书（Pseudonym Certificate）体系：

每辆车持有大量短期证书（假名），每个证书使用不同的公钥，无法被关联；
每隔约 5 分钟切换一次假名证书，切换时机随机化，防止轨迹追踪；
假名证书由授权机构（Authorization Authority, AA）签发，证书本身不包含车辆身份信息；
在需要法律追溯时，注册机构（Enrollment Authority, EA）可解除匿名，还原车辆身份。

欧洲 ETSI 和美国 IEEE 1609.2 标准分别定义了各自的 V2X PKI 架构。

9.3 证书吊销机制

当 V2X 设备遭到攻击或私钥泄露时，需要及时吊销其证书：

CRL（证书吊销列表）：定期下载全量或增量吊销列表；适用于网络连接不稳定的场景；
OCSP（在线证书状态协议）：实时查询单个证书状态；延迟较低但依赖网络连接；
V2X 场景的特殊挑战：V2X 通信需要毫秒级的延迟，在线查询不可行，通常采用预下载 CRL 的方式。

9.4 密钥生命周期管理

完整的车载密钥生命周期管理包含以下阶段：

阶段	关键活动
生成	在 HSM 内部使用硬件随机数发生器（TRNG）生成密钥
分发	通过安全的工厂注入流程或加密通道下发密钥至 HSM
使用	密钥在 HSM 内部参与运算，外部只能调用接口而非密钥本身
更新	OTA 安全通道下发新密钥，旧密钥失效前完成轮换
销毁	车辆报废或转售前，通过安全清零流程销毁所有车载密钥

10. 数据隐私

10.1 行车数据的敏感性

现代自动驾驶车辆每小时可产生数 TB 的传感器原始数据，其中包含高度敏感的个人信息：

位置轨迹：精确的行程记录可还原驾驶员的住所、工作地点、就医记录和社交网络；
驾驶行为：急刹车、急转向等行为数据可用于保险定价歧视；
乘客信息：车内摄像头（DMS）采集的人脸图像属于生物识别数据；
语音数据：语音助手录音可能包含极为私密的对话内容；
充电与停车数据：可推断车主的日常规律。

10.2 驾驶员监控系统（DMS）数据保护

驾驶员监控系统（Driver Monitoring System）通过近红外摄像头持续采集驾驶员面部图像，用于疲劳检测和注意力监控。面部图像和相关生物特征数据是敏感性最高的个人数据之一：

本地处理原则：DMS 数据应在车辆本地完成分析，原始图像不得上传至云端；
最小化存储：只保留推断结果（如"疲劳状态"），而非原始图像；
访问控制：只有经过明确授权的功能模块才能访问 DMS 传感器数据流。

10.3 法规要求

GDPR（通用数据保护条例）（欧盟）： - 数据处理须有明确的法律依据（同意、合同履行等）； - 数据主体享有访问权、更正权和删除权； - 向第三国传输数据须满足充分性认定或标准合同条款要求。

中国数据安全法规体系： - 《汽车数据安全管理若干规定》（2021年）：明确汽车数据处理者的合规义务； - 《个人信息保护法》（PIPL）：对生物识别信息的处理设置更高门槛； - 重要数据本地化：车辆在中国收集的"重要数据"原则上应在境内存储，跨境传输需经安全评估。

10.4 隐私保护技术

技术	应用场景
数据最小化	只收集实现功能所必需的最少数据
匿名化	去除可识别个人身份的信息字段
假名化	用随机 ID 替代真实身份，保留数据可用性
差分隐私（Differential Privacy）	在统计数据中注入受控噪声，防止个体信息被还原
联邦学习（Federated Learning）	模型训练在车端进行，只上传梯度而非原始数据

11. 参考资料

ISO/SAE 21434:2021 — Road Vehicles – Cybersecurity Engineering. ISO & SAE International, 2021.
UN ECE WP.29 R155 — Uniform Provisions Concerning the Approval of Vehicles with Regard to Cybersecurity and Cybersecurity Management System. United Nations Economic Commission for Europe, 2021.
Miller, C., & Valasek, C. (2015). Remote exploitation of an unaltered passenger vehicle. Black Hat USA 2015 Conference Proceedings. （远程接管 Jeep Cherokee 完整技术报告）
ETSI EN 303 097 — Intelligent Transport Systems (ITS); Trust and Privacy Management. European Telecommunications Standards Institute. （V2X 假名证书与 PKI 架构标准）
Shin, H., et al. (2017). Illusion and dazzle: Adversarial optical channel exploits against lidars for automotive applications. CHES 2017. （LiDAR 激光注入攻击研究）
中华人民共和国工业和信息化部. 《汽车数据安全管理若干规定》. 2021年8月发布. （中国汽车数据安全监管基础法规）