智能網聯汽車安全教程第1章智能網聯汽車安全概述智能網聯汽車智能網聯汽車安全智能網聯汽車安全分類智能網聯汽車在提升交通安全、給用戶帶來更加舒適的操控體驗的同時,也帶來了十分嚴重的安全隱患。正常運行的智能網聯汽車信息系統會提升乘車安全性,研究表明,在智能汽車的初級階段,通過先進智能駕駛輔助技術,有助于減少50%~80%的道路交通安全事故,如果實現無人駕駛,甚至可以避免交通事故。但任何事情的發展都不可能一帆風順。智能網聯汽車的信息系統也可能出問題,PC端、手機端的病毒和網絡攻擊等都有可能被復制到汽車領域,如果在行駛過程中的汽車被黑客控制,出現剎車、熄火、轉向等操作失控等問題,會嚴重影響到用戶的生命財產安全。智能網聯汽車的發展需要在智能網聯化與安全之間做出平衡,沒有絕對安全的智能網聯系統,只有在智能網聯化與安全之間找到一個廠商、用戶、政府都認可的平衡點,智能網聯汽車的相關技術才能不斷取得突破,智能網聯汽車安全才能得到有效保障,智能網聯汽車產業才能健康發展。智能網聯汽車智能網聯汽車的相關概念智能網聯汽車的定義1．1。圖1．1 智能網聯汽車智能網聯汽車的技術架構1．2所示。智能網聯汽車技術架構(激)//制動/轉向/V2X5）通信等各領域的關鍵技術標準。智能網聯汽車的分級標準目前，國際上多采納的是美國的自動駕駛分級標準。SAE發布的分級標準如下：L1（駕駛輔助）：L2（部分自動化）：L3（有條件自動化）：L4（高度自動化）：需要對所有的系統請求做出應答。L5（完全自動化）：可以由自動駕駛系統自主完成所有的操作。中國于2016年10SAE分級定1．1表1．2所示。智能網聯汽車的發展現狀和前景國外智能網聯汽車發展布局我國智能網聯汽車發展布局201520252020年要掌握智能輔助駕2025年要掌握自動駕駛總體技術及各項關鍵技術。目前由工信部組織起草的《智能網聯汽車標準體系方案》已形成標準體系車企、互聯網企業的智能網聯汽車發展布局成300智能網聯汽車發展大事件梳理1925年81939（GM）Futurama的車輛展出。20世紀50RCA的相關技術。1956FirebirdII1966（SRI）的人工智能研究中心（AIC）發了一款名叫Shakey的自動導航儀器。1971（RRL）過自動“抖動”調整汽車方向。197720世紀80年代：位于德國慕尼黑的德國國防大學科學家團隊研制成功一“引 領夢想”的 奔馳機器人汽車，這款無人駕駛汽車在沒有交通意外的情況下，時速可以達到100km。1984ALV的是研究具有無人駕駛能力和人工智能的陸地軍用機器人。20世紀908(1987—1995)1992中國第一輛真正意義上的無人駕駛汽車誕生。1998ARGO項目(意大利帕爾馬大學視覺實驗室VisLab在EUREKA資助下〖HJ2mm〗完成的項目2000km94%90km。20012004DARPA（美國國防先進研究項目局）率先對無人駕駛汽車進行Mojave2007SebastianThrunX Lab2009年1220142009DARPA2010VisLab團隊（當年的ARGO項目團隊）際行駛。2011HQ3無人駕駛車完成從長沙至武漢286測。2014年52014年72014年10Autopilot發布。2014年112015年1月：谷歌無人駕駛原型車開始在加州路試。 ·2015年4月阿里巴巴和上汽合作，計劃投資10億人民幣研發新一代互聯網汽車。2015年5Uber挖走卡內基梅隆大學（CMU）機器人研究中心團隊。2015年82015年10ADAS系統TeslaAutopilot1.0及自動轉向。2015年12120億美元收購飛思卡爾。2015年12試。2016年15億美元收購Lyft。2016年41002016年42000km超級無人駕駛測試。·2016年5月：特斯拉ModelS在佛羅里達州因使用自動駕駛系統（Autopilot）發生車禍。2016年62016年8Velodyne達成戰略投資協議。2016年8Uber6.8億美元收購Otto。2016年9——榮威RX5。2016年9月：Uber在匹茲堡進行無人駕駛出租車測試。 ·2016年10月高通275億美元收購恩智浦。2016年1180億美元收購Harman。2016年12Alphabet旗下一家獨立公司Waymo正式項目。2017年2Intel150億美元收購Mobileye。2017年210億美元收購ArgoAI。2017年310億美元收購CruiseAutomation。2017年3Uber無人車在亞利桑那州發生車禍。2017年4（DMV）有測試牌照公司的名單上。2017年52017年62017年62017年62017年7A8L3級別自動駕駛。2017年7Apollo計劃啟動。……智能網聯汽車面臨的挑戰挑戰。技術上沒有統一標準和評測方法PCWindowsMacOSLinuxAndroidiOS換數據。技術瓶頸難以突破汽車搭載的感知系統在高風險和復雜的環境中（個傳感器產生的數據都要求有很強的實時性。成本居高不下64人才培養問題法律法規亟待完善信任問題安全問題CharlieMiller以及ChrisValasek通過筆記本電腦在家中就能控制JeepCherokee智能網聯汽車安全智能網聯汽車安全現狀在近年的黑客大會和安全會議（如DEFCON、BlackHat、USENIX、IEEESymposiumonSecurityandPrivacy)智能網聯汽車安全事件梳理2010TMPS系統的攻擊。2010OBD接口入侵汽車。2011年：在USENIX安全會議上，StephenCheckoway等人發布汽車攻面分析 報告。〖JP〗2011DEFCONDonBailey虎。2013CharlieMiller和ChrisValasekOBD接口入侵了豐田普銳斯、福特翼虎。2014CharlieMiller和ChrisValasek發布了12款車型的汽車安全報告。2014360公司的研究人員實現對特斯拉汽車的遠程控制。2015年1ConnectedDrive220輛汽車。2015年2SamyKamkar發現了通用汽車的Onstar系統漏洞。2015年7CharlieMiller和ChrisValasek140萬輛汽車。2015360漏洞。2016年2NissanConnect人員TroyHunt20162016年8360對特斯拉汽車自動駕駛系統進行干擾攻擊和欺騙攻擊。2017年4BlueLink制。2017年4Argus在檢驗過程當中發現了博世的DrivelogConnector電子狗和與之相適配的App存在漏洞。2017年6Bugcrowd的App安全工程師JayTurla娛樂系統漏洞實施了攻擊。2017年6AaronGuzman利用斯巴魯WRXSTI（honkthehorn）2017年7360公司無線電安全團隊展示入侵汽車無鑰匙進入系統。2017年8（NISSAN）車輛使用的遠程信息處理控制單元存在安全漏洞。2017年8YoshiKohno……智能網聯汽車風險表現人身安全類智能網聯汽車引發的人身安全問題是指智能網聯汽車信息系統被病毒感染、被黑客攻擊后，出現拒絕服務、失去控制等狀況，影響用戶人身安全。數據隱私類或被篡改。經濟損失類品牌信譽類除了前面提到的菲亞特克萊斯勒宣布召回1402015年2月，寶馬ConnectedDriveMINI220萬輛配備了ConnectedDrive數字服務系統的車輛受到影響。公共安全類或極端分子有可能利用智能網聯汽車實施恐怖活動等。智能網聯汽車安全發展趨勢智能網聯汽車安全事件將不斷增多，影響范圍將不斷擴大智能網聯汽車安全將成為安全產業發展的重點各汽車產業強國在發展智能網聯汽車過程中不同程度地意識到信息安全的智能網聯汽車安全將成為安全產業發展的重點。構建智能網聯汽車縱深防御體系安全防御能力也需要不斷升級。構建智能網聯汽車安全標準體系成必要需求來大規模爆發的黑客攻擊。現階段較為可行的是在整車廠內部構建信息安全標準體系,應對未來車聯網業務發展的需求。智能網聯汽車安全分類傳統汽車安全傳統汽車安全主要包括：汽車被動安全、汽車主動安全和汽車功能安全。（1）最大限度地減輕事故后果的所有結構和設計措施。（2）響駕駛者的視野與舒適性。（3）汽車功能安全是指系統不存在由于電子電器功能故障而導致的不合理網聯汽車安全目前全球約有10億輛汽車投入使用，許多汽車品牌已經把帶聯網功能的統嵌入旗下車型，如凱迪拉克的OnStar系統、寶馬的車載i drive系統，可以通過特定的平臺,如控制中心、智能手機App，對車輛進行遠程控制，實現特定的功能。黑客針對網聯汽車的攻擊事件也呈現愈演愈烈的態勢。那么聯網汽車面臨哪些安全風險、存在哪些安全問題呢?本書把聯網汽車安全分成四部分:汽車總線安全、汽車無線通信系統安全、車聯網安全和V2X通信安全。汽車總線安全ECU就有幾十CAN1．3所示為JeepCherokee（吉普自由光）的CAN總線網絡。圖1．3 JeepCherokee的CAN總線網絡ECUBCDA10kb/sBkb/sC125kb/s～1Mb/sABS等系統；D1Mb/sLIN網絡屬于ACANTTCAN橫跨B類和CFlexRay、TTPMOST則屬于D類網絡。CAN總線網絡是由以研發和生產汽車電子產品著稱的德國BOSCH公司開發（ISO11898），CAN總線的短幀數據結構、非破壞性總線仲裁技術、靈活的通信方式等特點能夠滿足汽車實時性和可靠性的要求，但同時也帶來了一系列安全隱患，如廣播消息易被監聽，基于優先級的仲裁機制易遭受攻擊，無源地址域和無認證域無法區分消息來源等問題。特別是在汽車網聯化大力發展的背景下，車內網絡攻擊更是成為汽車信息安全問題發生的源頭，CAN總線網絡安全分析逐漸成為行業安全專家的關注點。如在2013年9月召開的DEFCON黑客大 會上，黑客演示了從OBD Ⅱ接口入侵汽車CAN總線，進而控制福特翼虎、豐田普銳兩款車型，實現方向盤轉向、剎車制動、油門加速、儀表盤顯示等動作。汽車無線通信系統安全WiFiNFCZigbeeGPS1．3列舉了無線通信面臨的主要安全風險。車聯網安全汽車網聯化涉及車內通信、廣域通信和車際通信。車內通信主要是上面提到的總線網絡以及WiFi、RFID、藍牙、紅外、NFC等無線通信方式；廣域通信包括2G/3G/4G/5G、衛星通信等方式，也包括互聯網、虛擬通信網、行業網等通信網絡；車際通信目前主要包括LTE V2X以及IEEE802.11P等方式。汽車網聯化使用的計算系統和聯網系統沿襲了既有的計算機和互聯網框架，也繼承了這些系統的天然缺陷。車載信息系統與外界互聯互通，信息傳輸和數據交互頻率更加頻繁，已影響到用戶的隱私安全。系列安全挑戰。V2X通信安全V2X技術需要通過及時可靠的車與車（V2V）（V2I）、車與人（V2P）（V2N）等通信將車輛的狀態信息（特別是車輛的位置）V2X的一些獨有特性給V2X所示為V2X的主要應用場景。V2X的主要應用場景智能汽車安全關于智能汽車安全，本書主要討論自動駕駛汽車及相關系統的安全。1．5所示為Tesla（特斯拉）汽車的自動駕駛系統。圖1．5 Tesla汽車的自動駕駛系統面。測或識別的準確性和執行有效性。,第2章 汽車被動安全汽車被動安全概述汽車被動安全主要技術汽車被動安全概述汽車被動安全技術是指在交通事故發生、車輛已經失控的狀況之下,對乘坐人員進行被動保護的技術,希望通過固定裝置,讓車內的乘員固定在安全的位置,并利用結構上的導引與潰縮,盡量吸收撞擊的力量,確保車室內乘員的安全。汽車被動安全主要技術由于汽車被動安全技術在交通事故發生后,可以極大程度地減輕乘員的人身傷害,故各大汽車廠商在設計、制造汽車時,對汽車被動安全技術越來越重視。2.1 汽車安全帶汽車安全帶概述當汽車高速運行時,乘客與車輛一起移動;當汽車撞到障礙物時,障礙物的阻力會使汽車突然停下,但是乘員的慣性運行速度仍保持不變,乘員將以汽車碰撞前的運行速度撞向方向盤或者撞擊擋風玻璃,甚至飛出擋風玻璃。安全帶的作用就是將乘員束縛在座椅上,固定在車身上的座椅將使乘員停止慣性運動,從而避免二次撞擊傷害。良好的安全帶設計,將安全帶對身體的作用力擴散到身體比較強壯的部位上,以盡可能減少傷害。安全帶能夠拉伸和收回,當安全帶未拉緊時,身體可以輕松地前傾。但在車輛撞擊、人體急速前傾時,安全帶會突然收緊并將人體固定好。安全帶將制動力施加到人體能夠較長時間承受壓力的部分。典型的安全帶由一個圍在骨盆處的安全腰帶和一個跨過胸部的肩帶組成。這兩段安全帶緊緊固定在汽車框架上,以便將乘客束縛在座椅上。安全帶所用的材料比較柔軟,動作時可以略微拉伸,使停止過程不會過于突然。汽車安全帶分類)按固定方式分類按固定方式不同,安全帶可分為兩點式、三點式、四點式等幾種。(1)兩點式安全帶。兩點式安全帶是與車體或座椅僅有兩個固定點的安全帶。這種安全帶又可分為腰帶(或膝帶)式和肩帶式兩種。腰帶式是應用最廣的形式,它不能保護人體上身的安全,但能有效地防止乘客被拋出車外。肩帶式也稱斜掛式,盛行于歐洲,但美國、日本、澳大利亞等國基本不采用。圖2．1所示為兩點式安全帶。2．1兩點式安全帶(2)三點式安全帶。三點式安全帶在兩點式安全帶的基礎上增加了肩帶,在靠近頭部的車體上有一個固定點,可同時防止乘員軀體前移和上半身前傾,增強了乘員的安全性,是目前使用最普遍的一種安全帶。圖2．2所示為三點式安全帶。2．2三點式安全帶(3)四點式安全帶。四點式安全帶在兩點式安全帶上連接了兩根肩帶,一般用于賽車上。圖2．3所示為四點式安全帶。2．3四點式安全帶)按智能化程度分類按智能化程度不同,安全帶分為被動式安全帶與自動式安全帶。被動式安全帶需要乘員的操作才能起作用,即需要乘員自己掛接,目前大部分汽車所裝配的都是被動式安全帶。自動式安全帶是一種自動約束駕駛員或乘客的安全帶,即在汽車啟動時,不需駕駛員或乘客操作就能自動提供保護,而且乘客上下車時也不需要任何操縱動作。自動式安全帶有全自動式安全帶和半自動式安全帶兩種。(1)被動式安全帶。目前,汽車上普遍使用的被動式安全帶主要由織帶、卷收器和固定件(附件)等部件組成。織帶是構成安全帶的主體,多用尼龍、聚酯、維尼綸等合成纖維絲50mm1.5mm的帶子,的性能。對于織帶的技術性能指標各國都有明確的規定,要符合規定才能使用。卷收器的作用是儲存織帶和鎖止織帶拉出,它是安全帶中最復雜的機械件。初期的卷收器里面是一個棘輪機構,織帶從卷收器中連續拉出的動作一旦停止,輪機構就會做鎖緊動作,2070年代中期出現了當車輛遇到緊急狀態時可將織帶自動鎖緊,而在正常情況下乘員可以在座椅上自由活動的卷收器,也是目前使用最多的一種安全帶卷收器。圖2．4所示為卷收器。2．4卷收器(2)自動式安全帶。由于被動式安全帶需要乘員自己動手掛接與解脫,使用不夠方便,所以人們往往不愿使用,2070代以來,美國的通用、福特,發出自動式安全帶。采用了自動式安全帶的汽車,只要乘員上車關上車門,就能自動掛接在乘員身上,不需要乘員做任何動作。圖2．5所示為自動式安全帶。2．5自動式安全帶2.2 汽車安全氣囊汽車安全氣囊概述安全氣囊系統也稱為輔助乘員保護系統。它是一種當汽車遭到沖撞而急劇減速時能很快膨脹的緩沖囊,通過它與座椅安全帶配合使用,可以為乘員提供十分有效的防撞保護。當汽車發生碰撞時,在乘員和汽車內部結構之間迅速打開一個充滿氣體的袋子(安全氣囊),使乘員撞在氣袋上,避免或減緩硬碰撞,從而達到保護乘員的作用。圖2．6所示為汽車安全氣囊。26汽車安全氣囊汽車安全氣囊分類)按系統的控制類型分類按控制類型不同,安全氣囊可分為電子式和機械式兩種。無論是電子式還是機械式,工作原理大體相同,不同的是控制系統的工作方式不一樣。電子式安全氣囊由電子傳感器、中央電子控制器、氣體發生器和氣囊等組成。傳感器接到碰撞信號后,將信號傳至中央電子控制器,信號經過判斷、確認,當需要時,立即向引爆裝置發出引爆指令,使氣囊迅速充氣。機械式安全氣囊由機械式傳感器、氣體發生器和氣囊組成。氣囊裝于方向盤襯墊內,氣體發生器在氣囊之下,傳感器在氣體發生器的下面。這種氣囊系統通過機械式傳感器監測碰撞慣性力大小,并以機械方式觸發氣囊,進行充氣。)按系統的功用分類安全氣囊系統可分為正面氣囊系統、側面氣囊系統。正面氣囊系統以汽車前方碰撞保護為前提設計,也稱作前方電子控制式安全氣囊系統。側面氣囊系統是為了解決側面碰撞2．7分布。2．7汽車安全氣囊分布)按安全氣囊數量分類按氣囊數量不同,汽車安全氣囊系統可分為單安全氣囊系統、雙安全氣囊系統和多安全氣囊系統。單安全氣囊系統只有一個安全氣囊,安裝在駕駛員側的轉向盤中。雙安全氣囊系統有兩個安全氣囊,一個安裝在駕駛員側,一個安裝在前座乘員側。由于前座乘員在汽車發生碰撞時面臨的危險比駕駛員的要大,所以前座乘員側的安全氣囊的尺寸通常比較大,并與駕駛員側的安全氣囊同時起作用。汽車安全氣囊結構與工作原理ECU2．8所示為汽車安全氣囊結構示意圖。2．8汽車安全氣囊結構示意圖2.3 汽車安全玻璃汽車安全玻璃概述汽車安全玻璃是汽車被動安全設施之一。汽車安全玻璃必須滿足以下安全因素:良好的視線、足夠的強度、意外事故發生時能對乘員起到保護作用。汽車玻璃的發展將會越來越信息化、科技化、智能化。圖2．9所示為可投影的汽車玻璃。29可投影的汽車玻璃汽車安全玻璃分類汽車安全玻璃的分類方法有兩種:一種是按照玻璃在整車上的安裝位置分類;一種是按照工藝進行分類。按照安裝位置不同,汽車安全玻璃可劃分為前擋風玻璃、側窗玻璃、后擋風玻璃等。按照工藝不同,汽車安全玻璃可分為夾層玻璃、鋼化玻璃、區域鋼化玻璃、中空安全玻璃、塑玻復合材料玻璃等。不同工藝的玻璃優缺點及常用的位置見表2－1。汽車安全玻璃的發展趨勢隨著汽車工業的發展,汽車上的玻璃面積在逐步增加。目前,不少玻璃生產廠家致力于研究、開發應用新一代玻璃,有的已取得很多成果,智能化的汽車玻璃也正在開發應用。(1)防光、防雨玻璃。這種玻璃采用新的材料、技術及表面的處理方法,使玻璃表面既光滑又清晰,從而達到防雨、防光的效果。(2)電熱融雪玻璃。下雪時,汽車雨刮器下的雪堆在前擋風玻璃下方,雨刮器的工作會受到影響。目前,一些汽車在擋風玻璃下方安裝有電熱絲等發熱體,從而使積雪迅速融化。(3)影像顯示玻璃。在擋風玻璃的某一部分涂上透明反射膜,在片膜上可根據需要顯示從投影儀轉過來的儀表盤上的圖像和數據。(4)防碎裂的安全玻璃。為提高玻璃的耐撞性及防止玻璃碎片將乘員劃傷,在車窗玻璃內側表面粘貼塑料片的安全玻璃已進入實用階段。(5)具有調光功能的玻璃。大部分用戶的最迫切需求是具有調光功能的玻璃,這種玻璃可根據車外光線的變化來調節車窗玻璃顏色的深淺,調節駕駛員的眼睛對光的適應性,從而避免戴變色眼鏡駕車,增強行車安全性。(6)光電遮陽頂棚玻璃。這種頂棚玻璃在轎車行駛、停車時,能自動吸收、積聚、利用30太陽能來啟動車內風扇,以保持車內空氣新鮮,還可用來對轎車蓄電池進行連續充電。第3章 汽車主動安全汽車主動安全概述汽車主動安全關鍵技術汽車主動安全概述汽車主動安全性主要包括制動性能、操縱穩定性能、動力性能、輪胎性能、照明燈和信號燈的性能以及汽車前后視野性能等,這些性能綜合起來,形成了汽車主動安全評價體系。汽車的制動性能是使行駛的車輛減速或停車,以及在長下坡時維持一定車速和在坡道及平路駐車的能力;汽車的操縱穩定性能是指駕駛員以最少的修正來維持汽車按給定的路線行駛,以及按駕駛員的愿望轉動轉向盤以改變汽車行駛方向的性能;汽車的動力性能主要包括爬坡能力、加速能力及最大車速三個方面,一般選用加速時間作為評價汽車動力性能的主要參數。汽車輪胎與安全行駛性能與負荷、氣壓、高速性能、側偏性能、水滑效應、耐磨性等有關針對汽車主動安全的綜合評價體系,投資力度,開展關鍵技術的研究及試驗,ABSASR、ESPEBDLDWS、ACC等。汽車主動安全關鍵技術2.1ABS概述ABS(AntilockBrakingSystem,車輪防抱死制動系統)是一種具有防滑、防鎖死等優點的汽車安全控制系統。圖ABS結構。3．1ABS結構ABS的工作原理為:汽車制動時,ABS電控單元的控制指令,自動調節制動輪缸的制動壓力的大小,使車輪不抱死,分為四個過程。(1)常規制動過程:當駕駛員踩下制動踏板時,制動主缸產生的油壓通過管路,進入制動輪缸,從而使車輪制動器產生制動力。(2)保壓制動過程:隨著制動壓力升高,當車輪轉速下降到一定程度、車輪開始出現部分滑移現象時,ABS電控單元向制動壓力調節裝置發出指令,關閉制動主缸與制動輪缸的通道,使制動輪缸的油壓保持不變,即處于一個穩定的油壓狀態。(3降壓制動過程:當制動油壓保持不變而車輪轉速繼續下降,車輪滑移率超20%時,ABS電控單元將向制動壓力調節裝置輸出控制信號,打開制動輪缸與儲能器的通道,制動輪缸內的高壓油流入儲能器,制動油壓下降,漸變為上升。(4)增壓制動過程:當車輪轉速上升,滑移率下降到低于10%時,ABS電控單元向制動壓力調節裝置發出指令,使制動主缸和制動輪缸油路接通,高壓油進入制動輪缸,制動油壓增加,車輪轉速又開始下降。2.2ASR概述ASRAccelerationSlipRegulation驅動防滑系統)ABS后采用的一套防滑控制系統,ABSASR可獨立設立,ABS組合在一起,ABS/ASR表示,統稱為防滑控制系統。SR主要由傳感器、電控單元和執行器等組成,3．2示。3．2ASR主要控制流程ASR的電控單元具有運算功能,根據前后輪速傳感器傳遞的信號及發動機和自動變速器的電子控制單元中節氣門開度信號來判斷汽車的行駛條件,經過分析判斷,對副節氣門ASR制動執行器發出指令,控制,或對制動壓力進行調整。圖3．3ASR控制系統控制模式示意圖。3．3ASR控制系統控制模式示意圖3.2.3ESP概述ESP(ElectronicStabilityProgram,電子穩定程序系統)是對旨在提升車輛的操控表現的同時,有效地防止汽車達到其動態極限時失控的系統或程序的通稱。圖3．4所示為ESP的組成。3．4ESP的組成ESPECU和執行器等部分組成,前提下,對發動機及制動系統進行干預和調控。在汽車行駛過程中,方向盤轉角傳感器感知駕駛員轉彎的方向和角度,輪速傳感器感知車輪的速度,制動壓力傳感器感知制動裝置的制動壓力,而橫擺角速度傳感器則感知汽車繞垂直軸線的運動,橫向加速度傳感器感知汽車發生橫向移動時的橫向加速度。汽車與路面之間力的作用全靠輪胎,輪胎通過縱向、橫向滑轉來傳遞地面施加的縱向力及側向力。輪胎力和其他外力決定了汽車的運動,也由此決定了其穩定性。ESP通過對每個車輪滑移率的精確控制,使各個車輪的縱向分力和側向分力迅速改變,從而在所有工況下均能獲得期望的操縱穩定性。圖3．5所示為ESP的工作流程。3．5ESP的工作流程3.2.4EBD概述EBDElectronicBrake-forceDistribution電子制動力分配系統)完善并提高了ABS的功能,ABSABS可以在汽車制動過程中自動控制和調節車輪制動力,防止車輪抱死,附著系數,從而得到最佳制動效果,EBD可以在制動時控制制動力在各輪間的分配,更好地利用后橋的附著系數,不僅提高了汽車制動的穩定性和汽車制動時的操縱性能,而且使后輪獲得更好的制動效能。EBDABS的基礎上工作。從硬件而言,它并沒有增加新的元器件,而是通過軟件升級和改變應用程序來實現制動力的合理分配,EBD在汽車制動時根據各輪速傳感器的信號來運算滑移率(定義為車輛實際車速與車輪線速度之差和車輛實際車速之比),通過控制后輪制動壓力,前輪滑移率,取代機械式分配閥對后輪的控制,實現接近于理想制動力分配曲線的3．6EBD的汽車制動情況對比,EBD能更好地控制汽車滑移。3．6EBD的汽車制動情況對比3.2.5LDWS概述LDWSLaneDepartureWarningSystem車道偏離預警系統)HUD抬頭顯示器、攝像頭、控制器以及傳感器組成。當車道偏離系統開啟時,攝像頭(一般安置在車身側面或后視鏡位置)會時刻采集行駛車道的標志線,通過圖像處理獲得汽車在當前車道中的位置參數,當檢測到汽車偏離車道時,傳感器會及時收集車輛數據和駕駛員的操作狀態,之后由控制器發出警報信號,0.5s內完成,供更多的反應時間。如果駕駛者打開轉向燈,進行正常變線行駛,LDWS不會做出任何提示。LDWS的工作過程:如圖3．7所示,當車輛越過路標(白色行車道表示)、沒有啟動轉向指示燈時,前保險杠后的紅外傳感器檢測到這個動作,并且觸發ECU,根據偏離車道的方向,通過司機座椅的左側或者右側的震動,來對司機進行警示。3．7車道偏離預警示意圖無論是側視系統還是前視系統,都由道路和車輛狀態感知、車道偏離評價算法和信號顯示界面三個基本模塊組成。系統首先通過狀態感知模塊感知道路幾何特征和車輛的動態參數,然后由車道偏離評價算法對車道偏離的可能性進行評價,必要的時候通過信號顯示界面向駕駛員報警。2.6ACC概述ACC(AdaptiveCruiseControl,自適應巡航控制系統)是定速巡航控制系統的提升和擴展,它除了定速巡航功能外,還具有獲取前方道路信息,并基于與前車的間距和相對速度等信息,控制汽車的節氣門開度和制動力矩,調節其縱向速度,使其相對前車以合適的安全間距行駛的功能。當與前車之間的距離過小時,ACC控制單元可以通過與制動防抱死系統、發動機控制系統協調動作,使車輪適當制動,并使發動機的輸出功率下降,以使車輛與前方車輛始終保持安全距離。ACC的架構ACC的架構如圖3．8所示,包括信號采集、信號控制、執行控制和人機交互界面等幾部分。信息采集單元主要采集本車狀態信息與行車環境等信息,如前車與本車間距和相對速度等;信號控制單元根據車載傳感器采集到的行駛信息,確定本車的控制方案,并調節油門控制單元或剎車制動執行單元;執行控制單元根據信號控制單元發出的指令動作,主要包括使油門踏板動作、使剎車踏板動作等;人機交互界面供駕駛員對ACC進行功能選擇和參數設定。3．8ACC的架構ACC的功能概述ACC在特定工況下實現了汽車的縱向自動駕駛,ACC只能在車速大于一定的情況下才能啟用,隨著技術的不斷進步ACC逐漸得到完善,可以具有起停跟隨功能,工作范圍擴展到全車速,可以應對城市中多信號燈、擁堵等路況。)ACC的具體作用通過車距傳感器的反饋信號ACC度判斷道路情況,并控制車輛的行駛狀態,通過反饋式加速踏板感知駕駛者施加在踏板上的力,ACC控制單元可以決定是否執行巡航控制,3．9所示為車距判斷示意圖。3．9車距判斷示意圖ACC在典型路況的應用當前方沒有車輛時,ACC會以一定的速度巡航(巡航的車速在設定的車速限值范圍內),當雷達監測范圍內出現車輛時,如果車速過高,此時汽車會減速,并以一定的車速跟隨前車行駛,保持安全距離;若前車又切出本車道,則本車會自動加速至設定車速。如圖3．10所示,前方車道無車,此時車速約為80km/h。如圖3．11所示,前方車道出現車輛,車速下降,此時車速約為70km/h。3．10前方道路無車3．11前方道路有車2.7APS概述APS(AutomaticParkingSystem,自動泊車系統)由最初的泊車輔助系統演化而來。APS借助雷達或倒車影像等聲效或影像技術,輔助駕駛員安全、準確地停車入位,能夠實現車輛在縱向和橫向上的同時控制。3．12所示,APSECU、執行器以及人機交互單元等組成。傳感器系統包括環境數據采集系統和車身運動狀態感知系統。環境數據采集系統一般具有兩種檢測方式,即圖像采集檢測(如攝像頭)和距離探測(波),用以采集在泊車過程中的周邊環境信息以及停車位空間參數。3．12自動泊車系統組成APS涉及的關鍵技術如下:(1)泊車車位檢測技術:通過超聲波雷達或者攝像頭等裝置來檢測目標泊車車位,判斷目標車位類型,分析車位空間大小,確定車位起點和終點。在車位識別的技術方面,停車泊位一般分為兩種類型:一種是空間車位,如兩車之間的停車區域;另一種是線車位,即地面劃有停車標線的區域。前者多采用超聲波進行車位探測,后者常利用攝像頭獲取車位信息。用于超聲波檢測的傳感器(雷達),其主要功能是對前后障礙物的感知和車位的識別,一般在汽車前部和后部各配置4只雷達。(2)泊車路徑規劃技術:運用轉向幾何學和運動學原理,利用汽車在泊車過程中圍繞轉向中心做圓周運動的特點。通過車位檢測信息獲取停車位空間的幾何形狀,以及當前車輛位置與目標停車位的相對位置數據,分析低速時汽車動力學模型和避免碰撞的條件,采取兩個最小半圓法和圓弧切直線等控制算法,預先規劃出泊車的幾何路徑。(3)泊車運動控制技術:也稱為路徑跟蹤控制。ACC根據停車位信息和車輛初始位置選擇合適的泊車路徑,并實時跟蹤車輛實際運行路徑。如果車輛運動中偏離目標路徑,則進行車輛跟蹤,路徑的調整控制策略設計,使車輛重新回到目標路徑上或重新規劃新路徑。對于泊車運動控制方面,基于對行車安全以及路徑跟蹤的效果,車速要求一般控制在5~12km/h。第4章智能網聯汽車威脅建模及威脅分析智能網聯汽車威脅建模概述及設計LEVEL0級：智能網聯汽車整車級威脅分析LEVEL1級：智能網聯汽車通信系統級威脅分析LEVEL2級：車內通信應用模塊威脅分析LEVEL2級：近程通信應用模塊威脅分析LEVEL2級：遠程通信應用模塊威脅分析4.1 智能網聯汽車威脅建模概述及設計4．1所示,本書將智能網聯汽車的威脅模型分為三級LEVEL0LEVEL1和LEVEL2從智能網聯汽車整車級、智能網聯汽車通信系統級、智能網聯汽車應用模塊級三個層級構建威脅模型,將威脅分析聚焦到具體應用單元及零部件,細化智能網聯汽車面臨的安全威脅和風險。4．1智能網聯汽車威脅模型2LEVEL0級:智能網聯汽車整車級威脅分析4．2所示為智能網聯汽車整車級威脅建模框架,316個子類的單元及模塊,全面覆蓋智能網聯汽車的各個風險點,通過深入分析可以得到智能網聯汽車面臨威脅的細粒度全貌。4．2智能網聯汽車威脅建模框架LEVEL1級：智能網聯汽車通信系統級威脅分析智能網聯汽車離不開各種通信系統的協調配合,智能網聯汽車面臨的威脅也以這些通信系統面臨的威脅為基礎,對LEVEL1級威脅,近程通信、遠程通信三個角度進行分析,全面覆蓋智能網聯汽車的通信系統級威脅。3.1 車內通信威脅分析車內通信是指車載端與車內總線以及電子電氣系統之間的通信。由于車內通信要滿足數據交換的需求,所以無法做到外部威脅與內部網絡之間的安全隔離無法保證車載端向內部關鍵電子電氣系統發送偽造、重放等攻擊方式的指令和數據,進而威脅到車43所示,CANGWIVI、TBOXECUUSBOBD等子模塊。4．3車內通信攻擊示意圖4.3.2 近程通信威脅分析汽車近程通信技術是從無接觸式的認證和互聯技術演化而來的短距離通信技術。隨著多種近程通信技術的廣泛應用,車輛需要部署多個近程通信模塊,WiFi、藍牙、RadioTPMSKeyless等多種通信功能。近程通信攻擊如圖所示。近程通信面臨的安全威脅主要包括通信協議本身面臨的威脅、通信過程面臨的威脅、通信模塊面臨的威脅等,具體涉及協議逆向破解、嗅探竊聽、數據破壞、中間人攻擊、拒絕服務攻擊等。4．4近程通信攻擊示意圖3.3 遠程通信威脅分析汽車遠程通信包括車載端與蜂窩網絡的通信、與移動終端間的通信以及與其他車輛和路側設施的通信。由于汽車遠程通信要滿足不同應用場景對通信和數據交換的需求,因而存在信號嗅探、中間人攻擊、重放等多種針對通信的安全威脅,無法保證數據的保密性、完整性及通信質量。車外通信威脅也包括通信協議本身面臨的威脅、通信過程中面臨的威脅、通信模塊面臨的威脅等,TSPAppOTAGPS通信等,4．5所示。4．5遠程通信攻擊示意圖4.4LEVEL2級:車內通信應用模塊威脅分析4.1CAN總線威脅分析概述CANControllerAreaNetwork的縮寫,ISO國際標準CAN總線相當于汽車的神經網絡,連接車內各控制系統,其通信采用廣播機制,各連接部件均可收發控制消息,通信效率高,可確保通信實時性。析如今的汽車包含很多不同的電子組件,CAN總線連接,構成了一個負責監視和控制汽車的車內網絡,CAN總線來實現。由于CANISO/OSI模型中的物理層和數據鏈路層CAN總線網絡都是獨立的網絡,CAN總線的基本拓撲結構如圖4．6所示。4．6CAN總線的基本拓撲結構威脅分析從機密性角度,CAN總線中報文是通過廣播方式傳送,所有的節點都可以接收總線中發送的消息,使得總線數據容易被監聽和獲取。從完整性角度CANID只是代表報文的優先級,原始地址信息,ECU對于收到的數據無法確認是否為原始數據,即接收報文的真實性在現有的機制下無法確認,這就容易導致攻擊者通過注入虛假信息對CAN總線報文進行偽造、篡改等。從可控性角度,汽車總線數據幀發送和接收過程中通過“挑戰”與“應答”ECU由于計算資源限制,ECU不變的,這就為黑客向總線發送報文進行破解和改寫提供可能。案例分析:物理接觸攻擊CAN總線2010年,CAN總線,OBD接口上的筆記本電腦實現了對汽車的控制,4．74．7接觸式攻擊原理圖4.2OBD威脅分析概述OBD的全稱是OnBoardDiagnostics,翻譯成中文是:車載診斷系統。“OBD”OBD2型車載診斷系統的縮寫。OBD的內容,OBD接口,OBDOBD接口是車載診斷系統接口,CAN總線的重要接口,可下發診斷指令與總線進行交互,進行車輛故障診斷、控制指令收發等,一般在汽OBDOBD診斷儀,一般由第三方廠家生產功能大同小異,大多OBD盒子可以實現遠程檢測、跟車導航(路況通暢、定位、報警)、行車分析(某一段路程的用時及油耗)、油耗管理等功能。圖4．8所示為OBDOBD接口。4．8OBD盒子(左)OBD接口(右)威脅分析OBD接口對接入的設備沒有任何訪問驗證授權機制,再加上CAN總線系統中的消息采用明文傳輸,OBDOBD接口CAN總線操作主要分三種情況:OBDCAN總線數據可讀可寫,全風險最大;OBDCAN總線可讀不可寫;OBDCAN總線可讀,J1939協議,后兩者安全風險較小。案例分析:OBD診斷設備漏洞C4OBD2分析儀已經被用在共享汽車業務上,Metromile的共享GPS接收器、蜂窩芯片和板載微處理器,過蜂窩網絡與服務提供商通信,以共享車輛操作的數據。研究人員發現,利用該設備的漏洞(三個CVE漏洞),OBDCAN4．9CVE20152906的相關信息。4．9CVE20152906該設備支持一些默認啟用的服務TelnetSSHHTTP這些服務可以遠程訪問,6SSH私鑰(root賬戶、更新服務器和設備),C4OBD2設備中都是相同的,如果一個密鑰被攻擊者提取,4．10CVE2907的相關信息。4．10CVE20152907設備的用戶名和密碼被硬編碼,SSH用戶名,SSHC4OBD2分析儀設備。圖4．11所示為CVE20152908的相關信息。4．11CVE201529084.3GW威脅分析概述GWGateway,網關。汽車網關是汽車內部通信局域網的核心模塊,與各ECU通過CAN協議或其他協議進行通信。網關其作為整車網絡的數據交互樞紐,CANLINMOST、FlexRay等網絡數據在不同網絡中進行路由。汽車網關主要有以下三個功能:第一,報文路由,網關具有轉發報文的功能,并對總線報文狀態進行診斷;第二,由,實現信號在不同報文間的映射;第三,網絡管理,監測網絡狀態,4．12GW的通信拓撲圖。4．12GW的通信拓撲圖威脅分析網關作為汽車內部網絡的樞紐,其面臨的威脅可概括為兩個層面。第一,攻擊ECU發送惡意控制信息。第二,信功能的汽車網關(TGU,TelematicsGatewayUnit),攻擊者可以遠程控制網關,進而控制汽車。案例分析:安裝有TGU模塊的汽車可被黑客跟蹤20163月,EyeOSJoseCarlosNorte發現,用于接TGU在網上保持開放狀態,TGUTGUC4MaxobileDevices制造,實物4．13所示。4．13C4MaxNorteShodanC4Max設備,TelnetWeb訪問進行身份驗證,攻擊者可以非常輕松地Shodan識C4Max設備,并獲取車輛信息,GPS4．14C4MaxTelnet會話。4．14C4MaxTelnet會話4.4ECU威脅分析概述ECU(ElectronicControlUnit,電子控制單元)是汽車專用微機控制單元,如圖4．15所示。4．15ECU威脅分析ECU面臨的安全威脅主要有三個:OBDECUECU取固件,然后進行逆向分析;ECU固件應用程序因代碼缺陷存在安全漏洞,可能導致拒絕服務攻擊進而導致汽車功能不能正常響應;ECU更新時沒有對更新固件包進行安全校驗或者校驗方法被繞過,者可以重刷篡改過的固件。案例分析:攻擊安全氣囊2015年,一個由三位研究員組成的小組,演示了如何通過利用存在于第三方軟件中的Oday漏洞讓奧迪TT(及其他車型)的安全氣囊及其他功能失效。圖4．16所示為CVE201714937的相關信息。4．16CVE2017149374．17所示為安全氣囊漏洞利用過程。4．17安全氣囊漏洞利用過程4.5TBOX威脅分析概述T－BOXTelematicsBOXTBOXCAN總線通信,實現指令和信息的傳遞,另一方面用于和后臺系統/App通信,App的車輛信息顯示與控制,是車內外信息交互的樞紐。T－BOXMCUMCU網絡數據的接收與處理、信息上傳、電源管理、數據存儲、故障診斷以及遠程升級等;蜂窩網通信模塊主要負責網絡連接與數據傳遞,WiFi熱點鏈接,IVI提供上網通道,同時為TBOX與服務器之間的信息傳遞提供傳輸通道。4．18TBOX的通信拓撲結構。4．18T－BOX的通信拓撲結構威脅分析根據業界的STRIDE模型,T－BOX主要面臨以下三方面的安全威脅。一是協議破解。 控制汽車的消息指令是在T－BOX內部生成的,并且使用T－BOX的蜂窩網絡調制解調器的擴展模塊進行加密,相當于在傳輸層面加密,所以擊者一般無法得到消息會話的內容,但是可以通過分析T－BOX的固件代碼,找到加密方法和密鑰,確定消息會話的內容。二是信息泄露。有些T－BOX出廠時是留有調試接口的,這樣就不需要用吹焊機吹下芯片,攻擊者通過TBOX預留調試接口就可以讀取內部數據。三是中間人攻擊。攻擊者通過偽基站、DNS劫持等手段劫持TBOX會話,偽造通信內容,實現對汽車的遠程控制。案例分析:TBOX漏洞案例2017年,McAfeeMickeyShkatovJesseMichaelOleksandrBazhaniuk發現福特、寶馬、英菲尼迪和日產汽車的遠程信息處理控制單元(TBOX存在漏洞,T－BOXContinentalAG4．19所T－BOX。4－19T－BOXT－BOXSGold2PMB8876)命令的組件存在緩沖區溢出漏洞(CVE20179647),4．20所示。TMSI(臨時移動用戶識別碼)來入侵并控制內存(CVE20179633),這個漏洞可以被遠程利用。4．20AT命令的組件存在緩沖區溢出漏洞4.6IVI威脅分析概述IVI(In-VehicleInfotainment,車載信息娛樂系統)是采用車載專用中央處理器,基于車身總線系統和互聯網服務,形成的車載綜合信息娛樂系統。IVI能夠實現包括三維導航、輔助駕駛、故障檢測、車輛信息、車身控制、移動辦公、無線通信、基于在線的娛樂功能等一系列應用。圖4．21所示為IVI的通信拓撲結構。4．21IVI的通信拓撲結構威脅分析IVI面臨的主要威脅包括軟件攻擊和硬件攻擊兩方面:攻擊者可通過軟件升級的方式,在升級期間獲得訪問權限進入目標系統;IVI接口,包括內部總線、無線訪問模塊、其他適配接口(USB等,IVI系統內信息,進而采取更多攻擊。案例分析:JeepCherokee首先CharlieMillerCVE20155611越獄了Uconnect系統(IVID-BUS服務,該服務允許匿名登錄,登錄后可以進入到系統底層。RenesasV850ES微型控制器CharlieMiller和ChrisValasekV850芯片的固件更新沒有驗證簽名,他們編譯了一個經過特殊構造的固件,刷新到V850芯片中去,IVI控制車身的功能。攻擊流程4．22所示。422JeepCherokee的流程4.7USB威脅分析概述USBUniversalSerialBus通用串行總線)是連接計算機系統與外部設備的一種串口總線標準,被廣泛地應用于個人電腦和移動設備等信息通信產品。汽車上USB接口可以UUSB4．23USB接口。4．23USB接口威脅分析USB主要面臨以下威脅:一是利用USB接口,攻擊者可以在IVI上安裝惡意軟件或安裝篡改后的IVI升級固件;IVIUSB協議棧漏洞進行滲透測試;三是插入惡意USB設備,瞬時提高IVI的電壓,從物理上損壞IVI系統。案例分析:利用U盤入侵馬自達2017年,TurlaU盤就能黑進馬自達信息娛樂系統MZDConnect。以下是已知配置了MZDConnect的馬自達車型MazdaCX-3、MazdaCX-5MazdaCX-7MazdaCX-9Mazda2Mazda3Mazda6、MazdaMX-5Turlamazda_getInfoGitHub上開放,可讓使用者在他U盤上復制一組腳本,USBMZDConnect上執行惡意代碼,4．24所示。4．24執行惡意代碼4.5 LEVEL2級：近程通信應用模塊威脅分析5.1WiFi威脅分析1.概述WiFiIEEE802.11標準的無線局域網技術。WiFiWiFi設備,一般是指裝載在車輛上的通3G/4G/5GWiFi的技術,WiFiWiFiIVI上,WiFi環境下使用各種智能移動設備,WiFi實現車內軟件的更新。2.威脅分析WiFi主要面臨以下威脅:WiFi接入車內網絡攻擊車內網絡模塊,IVIWiFi默認密碼較簡單,攻擊者接入車內網絡后嗅探攻擊同局域網的用戶;WiFi流量使之無法正常工作。3.案例分析:黑客利用WiFi攻擊三菱歐藍德20166月,WiFi漏洞遠程關閉了三菱歐藍德汽車防盜報警器。三菱歐藍德配備了WiFi接入點來代替GSM模塊,用戶需要斷開其他WiFi連接,顯式地連接汽車接入點才能控制各模塊功能,WiFiWiFi預共享密鑰寫在了用戶手冊中,且格式十分簡短,歐藍德SSID有較強的特征,SSIDPSK后,攻擊者借助中間人攻擊,App重放發送到汽車的各種消息,車燈、關閉防盜報警器。圖4．25所示為針對三菱歐藍德的攻擊示意圖。4．25針對三菱歐藍德的攻擊示意圖4.5.2 藍牙威脅分析1.概述藍牙,一種無線通信技術,車載藍牙系統中的藍牙通信技術是從藍牙技術延續而來的。車載藍牙系統的主要功能是在車輛行駛中用藍牙技術與手機連接進行通話,達到解放雙手、降低交通肇事隱患的目的。藍牙技術還用于汽車鑰匙中(App,一定范圍內控制汽車車門、車窗等)4．26App。4．26App2.安全威脅分析汽車藍牙存在的安全威脅包含兩部分。一是在汽車藍牙使用了老舊的藍牙版本的情況下,因舊版本的藍牙存在大量的安全漏洞,PIN碼易受到竊聽攻擊,果給予足夠時間,竊聽者能夠收集所有的配對幀,LTKAESCCM的密文,UUID等數據,對車主或者汽車帶藍牙功能的設備進行攻擊;二是搭載藍牙功能的設備實現藍牙功能時因編碼不當導致的安全風險,CVE20170781Android藍牙棧的嚴重漏洞,允許攻擊者遠程Android手機的命令執行權限。圖4．27所示為汽車黑客利用安卓藍牙漏洞攻擊的示意圖。4．27汽車黑客利用藍牙漏洞攻擊示意圖3.案例分析:汽車診斷工具的藍牙模塊存在漏洞20164月,LemurBlueDriver碼就可以連上藍牙,BlueDriver的診斷信息,包括行駛里程、診斷故障碼、速度和排放等,CAN4．28CVE20162354的相關信息。4．28CVE201623544.5.3Radio威脅分析1.概述Radio是指車載收音機系統。車載收音機的主要性能指標有頻率范圍、靈敏度、選擇性、整機頻率特性、整機諧波失真、輸出功率等。頻率范圍是指收音機所能接收到的電臺廣播信號的頻率。要收聽收音機,首先一定要捕獲無線電波,收音機的接收天線就是用來接收無線電信號的,4－294－29車載收音機基本接收框圖2.威脅分析車載收音機主要面臨以下幾種威脅:一是無線數據報文監聽,使用與目標系統運行頻率相同的監聽設備對無線報文進行收集及逆向分析,將無線報文數據通過相應的方法解密后,可深入了解整套收音機系統的運作原理,找出關鍵指令對汽車實施遠程控制;二是無線信號欺騙攻擊,結合無線監聽及解密方法,解析無線通信協議,構造合法的可以通過認證的無線報文,對目標進行欺騙攻擊;三是無3.案例分析:攻擊車載數字音頻廣播收音機2015年,來自NCCGROUP的研究人員AndyDavis發現車載數字音頻廣播(DAB)收音機存在漏洞。數字音頻廣播收音機一般集成在IVI中,IVI通過CAN總線連接到其他車輛模塊AndyDavisDAB無線電堆棧代碼任何漏洞都可能導致攻擊者利用IVI4．30AndyDavisDAB收音機進行安全測試。4．30DAB收音機進行安全測試4.5.4TPMS威脅分析1.概述TPMSTirePressureMonitorSystem胎壓監測系統)是一種常見的汽車電子控制系統,用于監測車輛充氣輪胎內的氣壓。胎壓監測系統需要在車胎上裝有帶信號發射功能的傳感器,除了傳感器外還需要有信號接收器,接收器安裝在車上,接收胎壓監測數據包,ID,ID過濾胎壓數據,得到每個輪胎的胎壓數值,最后通過儀表盤、顯示器或簡單的低壓警示燈向車輛駕駛員報告實時胎壓信息。圖4．31TPMS的基本原理。4．31TPMS的基本原理2.威脅分析TPMS主要存在以下威脅:一是攻擊者可以偵聽和重放胎壓信號,一旦收到胎壓數據包,就可以解密得到輪胎傳感器的ID值,修改其中的胎壓值,進而引發TPMS系統發出警報;ID的唯一性跟蹤車輛,TPMS信號接收器置于目標跟蹤區域,利用TPMS4．32TPMS4．32TPMS跟蹤車輛3.案例分析:利用HackRF攻擊TPMSYouTube上LeadCyberSolutionsTPMSChristopherFlatleyJamesPakThomasVaccaro展示了利用軟件定義無線電工具HackRFTPMS進行中間人攻擊的操作。圖4．33驗裝置。4．33研究人員的實驗裝置4.5.5Keyless威脅分析1.概述,,,RKERemoteKeylessEntry遠程無鑰匙進入系統)PKE(PassiveKeylessEntryRKE系統省去了人們用手去摸鑰匙,鑰匙插入鎖孔,轉動鑰匙的一系列動作,當人們手拿物品時只要輕輕一按對應的按鍵即可完成對車輛的解鎖/閉鎖(解防/設防)控制。如圖4．34所示,RKE系統主要由一個安裝在汽車上的接收控制器和一個由用戶攜帶的發射器,RKE來鎖定汽車門或者開鎖,該發射機傳輸數據到汽車內,用戶按下鑰匙扣上的按鈕開關可觸發系統工作。4．34RKE系統的組成2.威脅分析汽車無鑰匙進入系統面臨的威脅:一是攻擊者通過信號中繼或者信號重放的方式,竊取用戶無線鑰匙信號,并發送給智能汽車,進而欺騙車輛開鎖,這樣的重放攻擊是有次數限制的;二是攻擊者尋找汽車鑰匙認證通信的算法漏洞進行攻擊,這種針對認證算法的攻擊是永久有效的。例如,HCS滾碼芯片和Keeloq算法都曾被曝出安全漏洞,對于滿足特定條件的信號,汽車會判斷成功并開鎖。3.案例分析:無鑰匙進入系統存在漏洞2016年,在奧斯汀舉辦的USENIX安全大會上,來自伯明翰大學的研究團隊和德國Kasper&Oswald工程公司公開披露了兩個漏洞,波及全球約1億輛汽車的無鑰匙進入系統。第一個漏洞讓黑客能夠無線解鎖幾乎近二十年來大眾集團售賣的所有汽車;第二個漏洞涉及的車企更多,如雪鐵龍、菲亞特、福特、三菱、日產、歐寶和標致等。研究人員使用了價格便宜,易于操作的無線硬件截獲來自目標車主鑰匙終端發出的信號,并利用這些信號克隆一把新鑰匙。攻擊也能夠通過與筆記本無線連接的軟件實現,或者只使用一塊裝有無線接收器的Arduino板,花費只有40美元,如圖4．35所示。4．3540Arduino板4.6LEVEL2級:遠程通信應用模塊威脅分析6.1TSP威脅分析概述TSP(TelematicsServiceProvider,汽車遠程服務提供商)Telematics產業鏈中居于核心地位,上接汽車、車載設備制造商、網絡運營商,TSP平臺集合了位置數據庫、云存儲、遠程通信等技術,為車主提供導航、娛門等服務。圖4．36所示為TSP平臺的通信拓撲結構。4．36TSP的通信拓撲結構威脅分析從眾多整車廠的調研結果來看,TSP平臺的云端服務器使用公有云技術,TSP平臺面臨云端的威脅。比如攻擊者可以通過虛擬機逃逸到宿主機,TSP平臺的虛擬機中,TSP平臺的配置信息、密鑰、證書等,Web案例分析:寶馬汽車被曝存安全漏洞20152月,德國汽車協會(ADAC發布報告稱,220BMWConnectedDrive的汽車(MINIi3電動汽車以及部分寶馬品牌產品)存在數字服務系統的安全漏洞,黑客可利用這些漏洞遠程打開車TSPTBOX之間的通信數據沒有使HTTPS進行加密傳輸,VIN號、控制指令等關鍵信息。黑客可以利用偽基站,讓寶馬汽車用戶注冊到一個假的TSP平臺,利用分析出來的有效信息給汽車下發控制指令,實現非法打開車門、啟動汽車的目的(8章介紹)4．37ADAC4．37研究人員對存在漏洞的寶馬汽車進行安全測試6.2GPS威脅分析概述GPS(GlobalPositioningSystem,全球定位系統)是由美國國防部研制建立的一種具有全方位、全天候、全時段、高精度的衛星導航系統,能為全球用戶提供低成本、高精度的三GPS車輛應用系統一般分為兩大類:GPS車輛跟蹤系統,用于車輛防盜;GPS導航系統,用于車輛導航。車載導航儀通過接收衛星信號,配合電子地圖數據,適時掌握自己的方位與目的地。威脅分析GPSGPS衛星通過不斷地廣播信號,訴汽車GPS自己在什么位置,衛星信號是單向的廣播信息,而且經過從太空到地面這么遠的傳播,GPS模擬器,在接收機旁邊偽裝成衛星,GPS信號,GPS接收模4．38所示GPS欺騙攻擊示意圖。4．38GPS欺騙攻擊示意圖案例分析:GPS欺騙攻擊GPSGPS欺騙攻擊有兩個關鍵步驟:一是攻擊者會誘使受害者GPS接收器從合法信號轉移到欺騙信號,這一階段可以是暴力破解的也可以是靜默執行的;GPS2018年來自弗吉尼亞理工大學和電子科技大學的研究人員提出了一種改進的方法,即在考慮道路布局的情GPS欺騙攻擊。為進行攻擊,研究人員開發了一種近乎實時的算法,223GPS欺騙設備,4．39所示。4．39GPS欺騙設備6.3App威脅分析概述App件。圖4．40App。4．40AppApp已經成為眾多車企的選擇,很多汽車廠商均已有相關產品并擁有眾多用戶。就像互聯網和移動互聯網的關系,移動互聯網是互聯網的一部分,App是車聯網的一部分,各汽車廠商的App提供的功能有所差異,主要包括但不限于以下功能:獲取汽車實時數據(含汽車故障數據)、獲取當前地理定位數據(經緯度信息)、獲取汽車基本信息(型號、牌號等)、信息綜合分析處理、展示車輛信息、將有價值信息批量發送給后臺云服務器、遠程解鎖車門或后備箱、遠程開啟或關閉發動機等。圖4．41所示為汽車遠控App的通信拓撲結構。4．41App的通信拓撲結構威脅分析App因其廣泛應用及易于獲取等特點成為黑客攻擊的熱點,尤其逆向技術的成熟,越來越多的攻擊者選擇通過調試或者反編譯應用來獲取通信密鑰、分析通信協議,并結合車聯網遠程控制功能偽造控制指令,干擾用戶使用。案例分析:斯巴魯破解案例分析Guzman2017WRXSTI存在數量驚人的軟件漏洞,通過利用這些高危的漏洞,未經授權的攻擊者可以自由執行解鎖/獲取車輛位置記錄信息等一系列危險操作。圖4．42所示為攻擊流程。4．42攻擊流程6.4OTA威脅分析概述OTAOver-The-Air指通過云端升級技術,實現車輛功能及網聯服務的快速OTA有助于整車廠商快速修復軟件故障和安全漏洞,方便的同時,也為黑客打開了一扇攻擊汽車的大門。OTA分為兩類:FOTAFirmwareOverTheAir固件空中升級),指為一ECU閃存下載完整的固件鏡像,或者修補現有固件、更新閃存;另一類是SOTA(SoftwareOverTheAir軟件空中升級),指固件之外的軟件更新,SOTAFOTASOTA,都可以分成三個階段:第一步,生成更新包;第二步,傳輸更新包;第三步,安裝更新。圖．43OTA升級流程。4．43OTA升級流程威脅分析OTA面臨的主要威脅包括以下幾個方面:OTA平臺如果被攻陷,攻擊者可以使用帶有后門的升級包替換掉原廠升級包,升級功能的車輛植入惡意代碼;OTAT－BOX的通信安全,如果未采用雙向認證加密方式傳輸升級包,則存在被劫持風險,級或安全漏洞修復;OTA平臺存在拒絕服務攻擊的風險,T－BOX端提取的固件中分析得到升級服務器的地址。目前大多數廠商OTA升級采用HTTP方式,這種傳輸方式非常危險。圖4．44所示為OTA攻擊路線示意圖。4．44OTA攻擊路線示意圖案例分析:特斯拉的OTA升級存在漏洞BlackHatUSA2018上,OTA功能相關的安全研究成果。研究人員發現,通過特斯拉自有的握手協議下發固件下載地址后cid-updater會從云端下載固件,進行解密并校驗其完整性。通A/BUpdate的方式,車內其他強運算力的聯網組件(APE等)cid-updater提供的固件文件進行升級。cid-updater還會負責根據固件包中的目錄信息與車輛配置做比照,據此產生releasetgz文件,bootimg一同提供給網關,軟件,ECU4．45OTA升級4．45OTA升級流程第5章 汽車總線安全汽車總線汽車CAN總線攻擊技術分析汽車OBD攻擊技術分析5.1 汽車總線5.1.1 汽車總線概述汽車總線是汽車信息安全的“生命線”。隨著汽車各系統的控制逐步向自動化和智能化轉變,汽車電氣系統變得日益復雜。傳統的電氣系統大多采用點對點的單一通信方式,相互之間少有聯系,這樣必然會形成龐大的布線系統。據統計,一輛采用傳統布線方法汽車中,2000m電氣節點可達1500個,101倍,有限的可用空間之間的矛盾。無論是從材料成本還是從工作效率看,5．1所示是傳統的汽車布線網絡。5．1傳統的汽車布線網絡汽車內部有許多電子控制單元(ECU分別負責不同的工作,ECU起初都通過獨立的數據線進行交換,ECU數量的增加,需要消耗的線束也會成倍增加,導致成本增加,占用更多空間,增加更多重量,也會增加更多的安全隱患。另外,為了滿足各電子系統的實時性要求,需對汽車公共數據(車輪轉速、節氣門踏板位置等信息)實行實時共享,而每個控制單元對實時性的要求又各不相同,因此,傳統的電氣網絡已無法適應現代汽車電子系統的發展,于是新型汽車總線技術應運而生。工程師們設計了基于總線通信的方案,ECU都連接在一條總線上面,5．2所示為汽車總線網絡。5．2汽車總線網絡1.2 汽車總線分類SAE美國汽車工程師協會)ABCD四類。A類總線:面向傳感器或執行器管理的低速網絡,20Kb/s主要用于車內分布式電控系統,尤其是面向智能傳感器或執行器的數字化通信場合。B類總線:面向獨立控制模塊間信息共享的中速網絡,10~125KbsBCAN(ControllerAreaNetwork,控制器局域網絡)為典型應用。C類總線:面向閉環實時控制的多路徑傳輸高速網絡,125Kb/s~1Mb/sC的場合,主要服務于動力傳遞系統。D類總線:面向多媒體設備、高速數據流傳輸的高性能網絡,位速率一般在2Mb/s以上,CDDSAE對總線的分類范疇之中,其帶寬范圍相當大,用到的傳輸介質也不止一種。目前約有五種主要的車用總線:LIN總線、CAN總線、FlexRay總線、MOST總線、汽車以太網總線,各類總線的區別如表5．1所示。LIN總線LIN總線是一種低速串行總線,CAN子網絡。在帶寬要求不高、功能簡單、實時性要求低的場合,如車身電器的控制等方面,LIN總線,CAN的帶寬和多功能的場合使用,降低成本。LIN總線的特點主要有以下幾點:成本低,UART/SCI接口,幾乎所LIN必需的硬件;ISO9141標準;率最高可達20Kb/s40m無需總線仲裁;實現自同步;保證信號傳輸的延遲時間;LIN以在網絡上增加或刪除節點等。LIN的拓撲結構如圖5．3所示。5．3LIN的拓撲結構LIN總線中數據借助消息幀來傳輸,消息幀由消息標題和消息響應組成。消息標題總是通過主節點傳輸,3個不同的字段:ID過從任務傳輸,可位于主節點或從節點中,包含數據字節和校驗和兩部分。LIN消息幀如圖5．4所示。5．4LIN消息幀(1)中斷。每個LIN幀都以中斷作為開始,包含13個顯性位(額定),后接一個1位(額定)隱性中斷分隔符。(2)同步。同步字段是主任務在標題中傳輸的第二個字段。(3)IDID上的每條消息,并最終決定由網絡中的哪些節點接收或響應每個傳輸。(4)1~8載荷數據字節。(5)校驗和。從任務在響應中傳輸校驗和字段。CAN總線前已述及CAN總線是一種串行數據通信協議,CAN協議的物理層和數據鏈路層功能,可完成對通信數據的成幀處理,包括位填充、數據塊CAN總線具有較高的通信速率和較強的抗干擾能力,CAN于普通通信總線而言,具有可靠性、實時性和靈活性。CAN總線的特點總結如下:第一,CAN網絡上的各節點無主從之分,節點站地址無需等待信息,均可以在任意時刻主動地向網絡中的其他節點發送信息。該特點可以方便地實現多機備份系統。第二CAN5kb/s以下時,10km的最遠通信距離,1Mb/s時,40m。第三,CAN網絡使用無破壞性總線仲裁技術,在網絡負載很重的情況下可使網絡不出現癱瘓情況。第四CANCAN總線收發器和驅動器,前的驅動器一般都可以使用同一網絡,110個節點。第五,CAN總線定義使用了硬件報文濾波,可實現點對點及點對多點的通信方式,不需要軟件來控制。第六,CAN的通信介質選擇靈活,可以是雙絞線、同軸電纜或光纖。FlexRay總線FlexRay總線是由寶馬、飛利浦、飛思卡爾和博世等公司共同制定的一種通信標準,專為車內網絡設計。FlexRay總線數據收發采取時間觸發和事件觸發的方式。利用時間觸發通信時,網絡中的各個節點都預先知道彼此將要進行通信的時間,接收器提前知道報文到達的時間,報文在總線上的時間可以預測出來。即便行車環境惡劣多變,干擾了系統傳輸,FlexRay協議也可以確保將信息延遲和抖動降至最低,盡可能保持傳輸的同步與可預測。這對需要持續及高速性能的應用(如線控剎車、線控轉向等)來說,是非常重要的。FlexRay聯盟目前只規定了物理層和數據鏈路層的協議,5．5所示為FlexRay的數據幀格式,包括幀頭HeaderSegment、有效負載段(PayloadSegmentTrailerSegment三部分。5．5FlexRay數據幀幀頭部分共由5個字節(40bit)組成,包括以下幾位:保留位Reservedbit1位),為日后的擴展做準備。負載段前言指示(PayloadPreambleindicator1位),指明幀的負載段的向量信息。在靜態幀中,該位指明的是NWVector在動態幀中,ID。零幀指示Nullframeindicator1位),指明負載段的數據幀是否為零。同步幀指示(Syncframeindicator1位),指明這是一個同步幀。起始幀指示(Startupframeindicator1位),指明發送幀的節點是否為起始幀。ID(FrameID11位),ID范圍:1~2047)。長度(Length7位),說明負載段的數據長度。CRCHeaderCRC11位),CRC計算值,以及由主機計算的幀ID和幀長度周期。有效負載段包括三個部分:數據(Data0~254字節。ID,ID使用負載段的前兩個字節進行定義,可過濾86數據使用。網絡管理向量NWVector0~10個字節,相同。幀尾部分只含有單個的數據域,CRC部分,CRCCRC這些CRC值會在連接的信道上面改變種子值,以防不正確的校正。MOST總線MOSTHarman/Becker公司(音響系統制造商)OasisSiliconSystems1998年,參與各方建立了一個自主的實體,MOST公司,由它控制總線的定義工作,OasisMOST命名的權利。MOST規范中,MOST服務層、高層服務接口層、應用層MOST節點模型可以分為光電收發器、網絡MOST網絡的這種ISO5．6OSIMOST節點模型與MOST網絡模型的對應關系。5．6OSIMOSTMOST網絡模型之間的對應關系MOST網絡允許采用多種拓撲結構,包括星形和環形,大多數汽車裝置都采用MOST64個結點,一旦汽車接通電源,網絡中的所有MOST節點就全部激活,這對低功耗、停電模式設計是一大重點,包括系統MOST節點在通電時的默認狀態是直通,即進入的數據從接收器直接傳送至發射器,MOST50網絡中,數據傳輸的基本單位是數據幀,1024bit128字節)5．7MOST50數據幀的結構。5．7MOST50總線數據幀結構汽車以太網總線近年來,CAN總線帶寬不足的問題一直困擾著汽車電子工程師。一旦要提高原有車型的配置,增加其功能,可能會因為總線上節點過多,負載率過高而帶來問題,從而影響整車網絡收發報文的能力。車載以太網是用于連接汽車內各種電氣設備的一種物理網絡。車載以太網的設計是為了滿足車載環境中的一些特殊需求。汽車以太網可實現全雙工運行,可同時發送和接收數據,不需要輪候。其分組交換功能可實現在多種情況下不同設備同時進行多次交換。目前,4撲和星形拓撲,5．8所示。5．8以太網總線拓撲1.3 汽車總線威脅分析前已述及,汽車中大量控制器的網絡化程度飛速發展,汽車關鍵部件(如引擎、剎車、氣囊等),控制信息通過總線系統進行各部件之間的信息傳遞,總線系統對于惡意攻擊基本處于不設防狀態,MOSTCANLIN總線等。它們與無線網絡接口的耦合性逐漸增強,加上所有控制器間的通信都是明文傳送(非加密狀態),大部分總線傳遞消息的編碼方式和通信協議都是公開的,抵達的信息是否是合法的控制信息。理論上講,CANMOSTLIN總線上的控制器都可以向