王娟

（重慶工程學(xué)院 400056)

1 汽車(chē)網(wǎng)絡(luò)安全問(wèn)題

隨著汽車(chē)無(wú)人技術(shù)和車(chē)聯(lián)網(wǎng)的迅速發(fā)展，特別是V2V和V2X（車(chē)與車(chē)聯(lián)網(wǎng)、車(chē)與基礎(chǔ)設(shè)施的聯(lián)網(wǎng)）呼聲日益高漲，許多中級(jí)車(chē)上也新增了與移動(dòng)網(wǎng)、因特網(wǎng)智能互聯(lián)的功能。原本是獨(dú)立、自成體系的汽車(chē)局域網(wǎng)被打亂，汽車(chē)網(wǎng)絡(luò)信息安全問(wèn)題日益凸顯。汽車(chē)電子產(chǎn)品設(shè)計(jì)所遵循ISO26262標(biāo)準(zhǔn)，把信息安全與功能安全這2個(gè)問(wèn)題緊密聯(lián)系在一起，大概可分為以下幾點(diǎn)。

1.1 缺乏信息安全防護(hù)機(jī)制和統(tǒng)一加密算法

目前汽車(chē)的內(nèi)部總線網(wǎng)絡(luò)，如 CAN 總線、LIN 總線、MOST網(wǎng)絡(luò)及Flexray 總線在設(shè)計(jì)使用時(shí)，并沒(méi)有考慮數(shù)據(jù)通信的安全問(wèn)題，也無(wú)對(duì)應(yīng)的信息安全防護(hù)機(jī)制，這種網(wǎng)絡(luò)設(shè)計(jì)使得網(wǎng)絡(luò)黑客有了可乘之機(jī)。

1.2 Telematics（車(chē)聯(lián)網(wǎng)）智能終端設(shè)備的安全漏洞

車(chē)聯(lián)網(wǎng)智能終端設(shè)備，如T-BOX、多媒體視頻終端設(shè)備和OBD診斷接口，這些設(shè)備在設(shè)計(jì)時(shí)，并未考慮信息安全防護(hù)措施，軟件設(shè)計(jì)流程并未嚴(yán)格參照OSEAK標(biāo)準(zhǔn)（汽車(chē)電子產(chǎn)品通用標(biāo)準(zhǔn)）執(zhí)行，這導(dǎo)致軟件本身存在諸多漏洞。

2 汽車(chē)網(wǎng)絡(luò)發(fā)展現(xiàn)狀

隨著汽車(chē)電子技術(shù)蓬勃發(fā)展，第三代汽車(chē)網(wǎng)絡(luò)被廣泛使用。第三代汽車(chē)網(wǎng)絡(luò)被分為動(dòng)力網(wǎng)、車(chē)身網(wǎng)、信息娛樂(lè)網(wǎng)、駕駛輔助網(wǎng)及診斷網(wǎng)5個(gè)網(wǎng)段，不同網(wǎng)段信號(hào)或報(bào)文轉(zhuǎn)發(fā)需要1個(gè)網(wǎng)關(guān)，網(wǎng)關(guān)不僅承擔(dān)著信號(hào)與報(bào)文在不同網(wǎng)段的轉(zhuǎn)發(fā)，還承擔(dān)著網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全認(rèn)證功能。汽車(chē)網(wǎng)關(guān)是汽車(chē)網(wǎng)絡(luò)核心部件，如果癱瘓將會(huì)導(dǎo)致汽車(chē)電氣系統(tǒng)崩潰，嚴(yán)重的會(huì)導(dǎo)致車(chē)毀人亡[1]。

2.1 基于網(wǎng)絡(luò)安全的研究

日本信息處理促進(jìn)組織（IPA）針對(duì)全生命周期汽車(chē)的不同階段，制定了與之相對(duì)應(yīng)的信息安全策略。這與ISO26262標(biāo)準(zhǔn)的要求極為相似。汽車(chē)全生命周期包括概念設(shè)計(jì)階段、開(kāi)發(fā)階段、生產(chǎn)車(chē)間階段、運(yùn)輸階段、批量生產(chǎn)階段和報(bào)廢階段，并依次對(duì)每個(gè)階段所實(shí)施的安全機(jī)制進(jìn)行了詳細(xì)的定義。

2.2 基于汽車(chē)功能安全的研究

國(guó)際標(biāo)準(zhǔn)化組織（ISO）在IEC61508的基礎(chǔ)上，制定了專門(mén)針對(duì)汽車(chē)電子系統(tǒng)的功能安全標(biāo)準(zhǔn)，即ISO26262。此標(biāo)準(zhǔn)旨在規(guī)定汽車(chē)電子系統(tǒng)的整個(gè)生周期中與功能安全相關(guān)的開(kāi)發(fā)設(shè)計(jì)流程和管理流程。

2.2.1 汽車(chē)安全生命周期

汽車(chē)安全生命周期包括汽車(chē)從概念設(shè)計(jì)、生產(chǎn)、銷(xiāo)售、服務(wù)和報(bào)廢階段的安全活動(dòng)。概念設(shè)計(jì)必須從整車(chē)功能開(kāi)始，歷經(jīng)整車(chē)、系統(tǒng)和零部件3個(gè)階段，零部件安全風(fēng)險(xiǎn)的評(píng)估必須遵從整車(chē)和系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。在產(chǎn)品開(kāi)發(fā)階段，ISO26262采用汽車(chē)行業(yè)的V型定義，開(kāi)發(fā)流程相關(guān)的安全活動(dòng)；V型的左側(cè)是技術(shù)安全需求（功能安全目標(biāo)、技術(shù)途徑）的制定、系統(tǒng)設(shè)計(jì)；V型的右側(cè)是系統(tǒng)集成和測(cè)試、安全確認(rèn)、安全評(píng)估與發(fā)布。零部件、硬件和軟件的開(kāi)發(fā)也采用相同的V型開(kāi)發(fā)流程。

2.2.2 汽車(chē)安全完整性等級(jí)（ASIL）

ASIL是在概念設(shè)計(jì)階段的功能安全風(fēng)險(xiǎn)結(jié)果。這個(gè)結(jié)果分為A、B、C、D四個(gè)級(jí)別，A為最低級(jí)別，D則為最高級(jí)別。如果某個(gè)系統(tǒng)的功能安全風(fēng)險(xiǎn)系數(shù)越大，對(duì)應(yīng)的安全要求就越高，相應(yīng)的安全活動(dòng)越繁瑣，就會(huì)導(dǎo)致零部件成本的增加。ASIL取決于3個(gè)因素，分別是：危險(xiǎn)對(duì)駕駛員或乘員造成傷害的嚴(yán)重度S；危險(xiǎn)發(fā)生概率E；駕駛員和乘員時(shí)采取緊急措施，避免特定傷害的能力C。

2.2.3 汽車(chē)網(wǎng)關(guān)是汽車(chē)信息安全與功能安全結(jié)合物

汽車(chē)網(wǎng)關(guān)是汽車(chē)各個(gè)功能域信息交換的樞紐，其對(duì)數(shù)據(jù)傳遞的有效性、準(zhǔn)確性、及時(shí)性及安全性起到至關(guān)重要的作用。汽車(chē)網(wǎng)關(guān)所采用信息安全策略和安全機(jī)制，能夠保證在網(wǎng)絡(luò)中傳輸重要信息不被竊取或者篡改，所以現(xiàn)在越來(lái)越多的廠家，將信息安全重點(diǎn)放在汽車(chē)網(wǎng)關(guān)開(kāi)發(fā)設(shè)計(jì)上。汽車(chē)網(wǎng)關(guān)既要遵循ISO2626開(kāi)發(fā)流程與要求，又要采用一定安全機(jī)制和加密算法。目前國(guó)內(nèi)許多芯片廠家，已經(jīng)推出帶高級(jí)加密算法的硬件芯片，這就為汽車(chē)網(wǎng)關(guān)開(kāi)發(fā)提出了更高的要求，同時(shí)也為汽車(chē)網(wǎng)關(guān)安全等級(jí)達(dá)到ASIL B級(jí)奠定了基礎(chǔ)。未來(lái)汽車(chē)網(wǎng)關(guān)開(kāi)發(fā)必定是兼顧功能安全與信息安全的。

【參考文獻(xiàn)】

[1]劉佳熙,郭輝,李君.汽車(chē)電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)ISO26262[J].上海汽車(chē),2011(10):57-61.