摘要汽车技术的迅猛发展,车载信息系统的智能化、电子化水平不断提高,促使了车辆信息安全问题已经成为近年来最热门的研究领域之一。为提高车载信息系统抗攻击能力、实现汽车的安全平稳运行,从信息安全的角度,综述了汽车入侵式攻击与车辆信息安全防护保障措施理论与关键技术:对现代汽车的车载信息系统概念、结构、软件标准化等进行了详细的论述;对汽车的功能性安全、信息系统安全的区别进行了详细对比;对现代汽车入侵式攻击的方法与种类,及安全防护保障策略等进行了深入剖析;对汽车信息安全领域的国内外研究进展情况作了概括性总结;最后给出了汽车信息安全领域的发展趋势及展望。

互联网发展的大潮给汽车行业带了前所未有的冲击,汽车通过网络与外界的信息互联愈加频繁。功能丰富的电子产品迅速在汽车上普及,使汽车行业整体的电子化水平显著提升,截止到年汽车电子化率已经快速提升到30%~40%。汽车中嵌入复杂的电子信息系统,涵盖了大量的信息通信技术。另外，汽车本身也是一个复杂的网络通信系统。车载信息系统承担了汽车内部电控单元之间的信息交互，车内控制系统的电控单元通过不同的总线网络进行通信，而各个总线网络通过网关相互连接,构成了车载信息系统。

车载信息系统并不是简单的汽车与网络之间的互联,而是包含了汽车与互联网(V2I),车与车(V2V),车与智能交通基础设施(V2A),车与云端(V2C)的互联,以及车载网络通信的多网、跨网融合技术。网联汽车、车载自组织网络和智能交通基础设施共同构成了全新的汽车控制系统。

TüV认证ISO汽车信息安全工程师(CSE)资质培训

车载信息系统安全技术的概念是:利用系统化的车内电控设备信息采集，通过综合分析与智能危机处理机制，达到车内子系统和智能交通系统协调配合的目的,，从而最大程度保障汽车运行安全。车载信息系统中控系统是该系统的核心部分，通过总线接口与各类车内总线相连,实现与汽车的各总线及子系统的数据交换和控制功能。

诊断设备通过诊断总线与中控相连，其作用包括:汽车行驶记录数据下载、实时数据检测、设置车载信息系统、在线故障分析与诊断等。车载信息系统中控系统通过三路总线与车内各分线及职能模块相互连接,实现数据交换与信息共享功能。车载信息系统包含的子系统如图1所示。

图1车载信息系统结构图

软件标准化是车载信息系统的发展方向和必然趋势，该系统的软件设计从多个层面进行了规范：一是设计了兼容OSEK标准的嵌入式操作系统，为许多底层操作，如任务调度、网络管理等提供了标准的函数接口与规范，应用软件的复杂度以及可靠性都有很大的提高；二是几乎所有软件代码均采用C语言编写，具有较好的可移植性及可维护性。

车载信息系统综合了多项汽车热点技术，集成了行驶记录功能，简化了车身电气线束，实现了基于全车信息的实时故障分析，为实现低成本、低功耗、易于实施的汽车安全系统开拓了一个新的思路。同时,该系统构建了一个低成本的公共接入平台,通过对现有技术的简单接入或改进,实现全车信息共享、集中调度与最佳控制,从系统性的高度实现汽车行驶安全。

TüV认证ISO汽车信息安全工程师(CSE)资质培训

对象跟踪方法大致可以分为两类：判别性方法或生成性方法。在判别性方法中，首先要监测所有图像或视频中的对象，任何设备只要连接互联网，就有可能遭受黑客的恶性攻击。在享受网络带来便利的同时，也必须面对网络的“黑暗面”——信息安全威胁，这一点汽车行业也不能幸免。从广义的角度而言，国际上对汽车信息安全方向的攻击防御研究主要集中在三个方向：车辆入侵式攻击、安全漏洞分析、车辆安全防御。如表1所示:

车载信息系统遭受最早的攻击案例发生在年,南卡罗来纳州罗格斯大学的研究人员通过破解汽车内部信息系统,伪造部分品牌型号汽车的胎压传感器信息,干扰并毁坏距离40米以外汽车的轮胎压力监测系统(TirePressureMonitoringSystem,TPMS)。

加州大学圣地亚哥分校(UCSD)和华盛顿大学的两个研究团队,于年就以“汽车安全攻击综合分析[10]”为题进行了实验和论证,并从威胁类型、具体漏洞分析以及威胁评估三个方面进行了评估。其研究的主要对象是汽车内部的电子控制单元(Elec-tronicControlUnit,ECU)。

年，在拉斯维加斯黑客大会上，著名白帽黑客Miller和Valasek博士对一辆处于高速行驶状态下的丰田普锐斯(ToyotaPrius)发起攻击,实现使其在高速行驶时刹车失灵或者突然制动等异常行为,并发表了相关的“攻击白皮书”,包括:攻击过程使用的源代码、编译器及连接件原理图等。他们还可以让福特翼虎(FordEscape)在慢速行驶时刹车失灵,驾驶者无论用多大力气踩刹车,都无济于事。

年,在黑帽子大会上(BlackHatUSA)上,Miller和Valasek再次公布了一份针对市场上20余款车型的信息安全的研究报告,对不同汽车厂商不同车型抵御恶意攻击的能力进行评估。

年,被世界公认为“汽车安全元年”,先后发生多起汽车攻击案例，首先是雪佛兰科尔维特(Stingray)的车辆自诊断系统(OBD)漏洞导致黑客轻松获取该车型的最高权限，通过手机短信的形式发送修改控制汽车指令。

年，SamyKamkar用安吉星(On-Star)攻击了4家车企的车联网APP,轻而易举的获取到该车联网上的所有用户信息,从此,车联网也被列入了黑客攻击的“黑名单”。

年,Miller和Valasek再次演示了“0day”漏洞，攻击车载娱乐系统,使用笔记本电脑远程控制一辆“JeepCherokee”汽车，这些公开的研究报告把车载信息系统的安全问题从边缘推到了前台，以期望引起汽车制造商以及研究学者对汽车信息安全问题的