隨著汽車行業(yè)經(jīng)歷深刻的數(shù)字化轉(zhuǎn)型，互聯(lián)、電氣化和軟件定義功能的融合重新定義了汽車的設(shè)計(jì)、制造和運(yùn)營(yíng)方式。互聯(lián)汽車和電動(dòng)汽車（EV）越來越依賴于通信網(wǎng)絡(luò)、車載計(jì)算平臺(tái)和基于云的服務(wù)，這使得數(shù)字攻擊面大幅擴(kuò)大。隨著空中升級(jí)、自動(dòng)駕駛功能和車對(duì)萬物（V2X）通信的日益普及，網(wǎng)絡(luò)威脅不再是假設(shè)，而是真實(shí)、持久和日益復(fù)雜的威脅。因此，網(wǎng)絡(luò)安全現(xiàn)在已成為核心設(shè)計(jì)支柱，而不是生產(chǎn)后的附加物。確保在整個(gè)車輛生命周期（從最初的設(shè)計(jì)和生產(chǎn)到運(yùn)行和最終退役）內(nèi)提供強(qiáng)大的保護(hù)已變得至關(guān)重要。隨著監(jiān)管機(jī)構(gòu)收緊合規(guī)性要求，業(yè)界采用新的加密標(biāo)準(zhǔn)來應(yīng)對(duì)高級(jí)威脅，這一點(diǎn)變得尤為重要。汽車制造商、一級(jí)供應(yīng)商和系統(tǒng)工程師必須通力合作，采取積極主動(dòng)、面向未來的網(wǎng)絡(luò)安全戰(zhàn)略，以保護(hù)汽車及其周邊基礎(chǔ)設(shè)施免遭惡意入侵和數(shù)據(jù)泄露。

“網(wǎng)絡(luò)安全不再是可有可無的，而是現(xiàn)代汽車設(shè)計(jì)和基礎(chǔ)設(shè)施的基礎(chǔ)支柱"。

汽車生命周期中的全面網(wǎng)絡(luò)安全

如今的汽車不再是孤立的機(jī)器，而是由嵌入式控制單元、高速連接和云連接服務(wù)組成的復(fù)雜互聯(lián)系統(tǒng)。因此，汽車網(wǎng)絡(luò)安全的范圍必須遠(yuǎn)遠(yuǎn)超出保護(hù)信息娛樂系統(tǒng)或遠(yuǎn)程信息處理系統(tǒng)。攻擊者可能會(huì)利用從固件到無線通信協(xié)議中的各種漏洞，影響車輛性能、用戶安全或?qū)﹃P(guān)鍵系統(tǒng)的訪問。在這個(gè)由部件、供應(yīng)商和基礎(chǔ)設(shè)施組成的龐大網(wǎng)絡(luò)中，一個(gè)薄弱環(huán)節(jié)就可能導(dǎo)致連鎖后果。

此外，現(xiàn)代汽車涉及一個(gè)龐大的利益相關(guān)者生態(tài)系統(tǒng)--原始設(shè)備制造商、一級(jí)和二級(jí)供應(yīng)商、軟件開發(fā)商、基礎(chǔ)設(shè)施提供商和云服務(wù)平臺(tái)。每個(gè)實(shí)體都為網(wǎng)絡(luò)攻擊者提供了潛在的切入點(diǎn)，因此整個(gè)供應(yīng)鏈的協(xié)作和安全標(biāo)準(zhǔn)化至關(guān)重要。威脅有多種形式：利用未打補(bǔ)丁的 ECU、欺騙 V2X 通信、篡改無線軟件更新，甚至將電動(dòng)汽車充電器作為訪問載體。

更復(fù)雜的是，如今的車輛在設(shè)計(jì)時(shí)考慮到了越來越高的自主性和電氣化，這使得必須保護(hù)的接口和相互依存關(guān)系的數(shù)量成倍增加。例如，在自動(dòng)駕駛系統(tǒng)中，必須保護(hù)傳感器融合模塊和基于人工智能的決策組件免受敵意干擾。同樣，電動(dòng)汽車中的電池管理系統(tǒng)和電力電子設(shè)備也需要嚴(yán)格保護(hù)，以防物理和數(shù)字攻擊破壞車輛功能或用戶安全。

消費(fèi)電子產(chǎn)品的安全問題主要集中在軟件更新和數(shù)據(jù)保護(hù)上，而汽車行業(yè)則不同，它要求從開發(fā)到退役的端到端網(wǎng)絡(luò)安全性。

在開發(fā)階段，優(yōu)先考慮功能有時(shí)會(huì)導(dǎo)致安全疏忽，例如在軟件中使用默認(rèn)的身份驗(yàn)證憑據(jù)。一旦車輛進(jìn)入生產(chǎn)階段，為防止未經(jīng)授權(quán)的訪問，確保身份驗(yàn)證流程的安全就變得至關(guān)重要。

當(dāng)車輛的使用壽命結(jié)束時(shí)，必須進(jìn)行適當(dāng)?shù)耐艘刍驍?shù)據(jù)清理，以清除存儲(chǔ)的憑證和認(rèn)證證書。如果忽視這一步驟，退役車輛即使在退役后也很容易受到網(wǎng)絡(luò)威脅。通過將網(wǎng)絡(luò)安全融入每個(gè)設(shè)計(jì)階段，制造商可以在車輛的整個(gè)運(yùn)行壽命期間保持安全性。

嚴(yán)格監(jiān)管行業(yè)的合規(guī)性

隨著汽車越來越以軟件為中心并實(shí)現(xiàn)互聯(lián)，合規(guī)性已成為一種技術(shù)需要和業(yè)務(wù)要求。汽車網(wǎng)絡(luò)安全已不再是最佳實(shí)踐或競(jìng)爭(zhēng)優(yōu)勢(shì)的問題--正式的國(guó)際標(biāo)準(zhǔn)和國(guó)家法規(guī)已開始對(duì)其進(jìn)行管理?？蚣艿脑O(shè)計(jì)可確保針對(duì)不斷變化的網(wǎng)絡(luò)威脅提供一致、可衡量和可執(zhí)行的保護(hù)。

世界各國(guó)政府和監(jiān)管機(jī)構(gòu)要求更嚴(yán)格的風(fēng)險(xiǎn)管理和驗(yàn)證流程，特別是當(dāng)軟件更新、空中下載（OTA）功能和 V2X 通信成為現(xiàn)代汽車的標(biāo)準(zhǔn)功能時(shí)。合規(guī)性不僅僅是走過場(chǎng)；它涉及在整個(gè)開發(fā)、制造和上市后階段的持續(xù)評(píng)估、漏洞監(jiān)控和文檔記錄。

汽車行業(yè)正在圍繞幾個(gè)關(guān)鍵標(biāo)準(zhǔn)進(jìn)行調(diào)整，以滿足這些日益增長(zhǎng)的需求。ISO 26262 長(zhǎng)期以來一直規(guī)范著汽車設(shè)計(jì)中的功能安全，而網(wǎng)絡(luò)安全要求目前正通過 ISO 21434 實(shí)現(xiàn)標(biāo)準(zhǔn)化。該標(biāo)準(zhǔn)在保護(hù)聯(lián)網(wǎng)汽車方面發(fā)揮著舉足輕重的作用，就像 ISO 26262 在安全方面的作用一樣。

安全也是自動(dòng)駕駛汽車應(yīng)用不可或缺的一部分，在這種應(yīng)用中，安全和網(wǎng)絡(luò)安全必須相互配合。此外，保護(hù)充電站等電動(dòng)汽車基礎(chǔ)設(shè)施也日益受到關(guān)注。開放充電樁協(xié)議（OCPP）1.6J 依靠傳輸層安全（TLS）v1.x 實(shí)現(xiàn)安全通信，目前仍在廣泛使用。不過，OCPP 2.0.1 引入了增強(qiáng)的安全措施，但其缺乏向后兼容性給集成帶來了挑戰(zhàn)。即將推出的 OCPP 2.1 旨在彌補(bǔ)這些不足，同時(shí)加強(qiáng)雙向電力傳輸?shù)陌踩?，使未來的車?duì)網(wǎng)（V2G）和車對(duì)物（V2X）應(yīng)用成為可能。

盡管取得了這些進(jìn)步，但電動(dòng)汽車基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全仍未得到足夠重視。隨著車輛與電網(wǎng)連接的擴(kuò)大，工程師必須將安全原則延伸到車輛之外，以確保整個(gè)移動(dòng)生態(tài)系統(tǒng)的彈性。

“現(xiàn)在，軟件正在推動(dòng)汽車創(chuàng)新，確保代碼、數(shù)據(jù)和連接的安全至關(guān)重要"。

量子計(jì)算的挑戰(zhàn)： 為后量子世界做準(zhǔn)備

隨著汽車系統(tǒng)的互聯(lián)性和對(duì)安全通信加密技術(shù)的依賴性越來越強(qiáng)，汽車行業(yè)面臨著一個(gè)新出現(xiàn)的潛在破壞性威脅：量子計(jì)算。與使用二進(jìn)制比特的經(jīng)典計(jì)算機(jī)不同，量子計(jì)算機(jī)使用的量子比特（量子比特）可以同時(shí)以多種狀態(tài)存在。這使得量子系統(tǒng)能夠以遠(yuǎn)遠(yuǎn)超過當(dāng)今計(jì)算機(jī)的速度解決復(fù)雜問題，包括支撐廣泛使用的加密算法安全性的問題。

研究人員已經(jīng)證明，RSA 等傳統(tǒng)數(shù)字簽名方法在量子計(jì)算機(jī)上運(yùn)行的量子算法面前可能不堪一擊。這些傳統(tǒng)方法構(gòu)成了當(dāng)前數(shù)字安全的支柱--用于從車對(duì)物（V2X）身份驗(yàn)證到安全軟件更新等一切領(lǐng)域。在汽車領(lǐng)域，如果這些系統(tǒng)遭到破壞，惡意行為者就可以欺騙命令、安裝未經(jīng)授權(quán)的固件或干擾電動(dòng)汽車充電和電網(wǎng)基礎(chǔ)設(shè)施。

為了積極應(yīng)對(duì)這一挑戰(zhàn)，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）在其后量子密碼學(xué)（PQC）標(biāo)準(zhǔn)化進(jìn)程中最終確定了一套抗量子算法。開發(fā)人員專門設(shè)計(jì)了這些抗量子計(jì)算機(jī)的下一代加密方法，以確保數(shù)據(jù)的長(zhǎng)期保密性和完整性。這些方法包括：

FIPS-203：ML-KEM（密鑰封裝機(jī)制）--這種基于格的加密算法可在不安全通道上安全地交換對(duì)稱加密密鑰。ML-KEM 以 Kyber 算法為基礎(chǔ)，可有效抵御量子攻擊，同時(shí)確保快速的性能和緊湊的密鑰大小。對(duì)于需要安全建立密鑰的場(chǎng)景，如 V2X 驗(yàn)證和 OTA 軟件更新，它是必不可少的。

FIPS-204： ML-DSA（數(shù)字簽名算法）--ML-DSA 也是基于晶格密碼學(xué)并衍生自 Dilithium 算法，提供抗量子的數(shù)字簽名。該標(biāo)準(zhǔn)可確保數(shù)字信息和軟件更新的真實(shí)性和完整性，在安全車輛通信和身份驗(yàn)證方面發(fā)揮著至關(guān)重要的作用。

FIPS-205：SLH-DSA（基于哈希的簽名）--SLH-DSA 基于 SPHINCS+ 哈希算法，以其保守的設(shè)計(jì)和強(qiáng)大的量子威脅抵抗力而著稱。它不依賴于數(shù)論假設(shè)，因此特別適合長(zhǎng)期安全需求，如汽車系統(tǒng)中的安全固件簽名和長(zhǎng)期證書。

遷移到這些新的加密標(biāo)準(zhǔn)至關(guān)重要，尤其是對(duì)于 V2X 和 V2G 通信（車輛自主驗(yàn)證和交換授權(quán)數(shù)據(jù)）而言。這與 ISO 15118 Plug & Charge 功能尤其相關(guān)，該功能可實(shí)現(xiàn)安全的電動(dòng)汽車自動(dòng)充電會(huì)話。

“未來的移動(dòng)性取決于整個(gè)生態(tài)系統(tǒng)中積極主動(dòng)、量子就緒的網(wǎng)絡(luò)安全戰(zhàn)略"。

安全移動(dòng)的未來

隨著車輛互聯(lián)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全必須同步提升—不僅要防范新興威脅，還要增強(qiáng)消費(fèi)者對(duì)日益自主化和軟件驅(qū)動(dòng)型車輛的信任。未來出行方式的成敗取決于數(shù)字信任，而數(shù)字信任又依賴于確保全球供應(yīng)鏈中通信的安全性、軟件更新的安全性以及硬件組件的完整性。

積極主動(dòng)的多層次安全策略至關(guān)重要。這包括利用能夠抵御當(dāng)前和未來攻擊的加密技術(shù)，實(shí)施實(shí)時(shí)威脅檢測(cè)和軟件補(bǔ)丁，以及不僅對(duì)車輛而且對(duì)其支持基礎(chǔ)設(shè)施采用安全最佳實(shí)踐。隨著汽車系統(tǒng)越來越依賴 V2X、云連接和人工智能驅(qū)動(dòng)的功能，攻擊面也在不斷擴(kuò)大，因此恢復(fù)能力成為一個(gè)不可或缺的設(shè)計(jì)目標(biāo)。

制造商必須從系統(tǒng)層面出發(fā)，將網(wǎng)絡(luò)安全從概念植入到退役。這意味著要在設(shè)計(jì)階段建立威脅模型，在工程設(shè)計(jì)過程中采用安全的開發(fā)實(shí)踐，在生產(chǎn)過程中實(shí)施強(qiáng)大的訪問控制，并在報(bào)廢時(shí)進(jìn)行安全退役。正如功能安全已成為不容妥協(xié)的問題一樣，汽車制造商現(xiàn)在也必須將網(wǎng)絡(luò)安全放在同等重要的位置。未來發(fā)展方向的關(guān)鍵要點(diǎn)：

網(wǎng)絡(luò)安全在汽車生命周期的每個(gè)階段都至關(guān)重要；

?ISO 21434 等標(biāo)準(zhǔn)和后量子加密技術(shù)為安全設(shè)計(jì)提供了必要的保障；

?隨著 V2G 和自主系統(tǒng)的發(fā)展，基礎(chǔ)設(shè)施安全必須與車輛安全相匹配；

?量子計(jì)算是未來對(duì)傳統(tǒng)加密技術(shù)的真正威脅；

?積極主動(dòng)的分層防御策略對(duì)于保護(hù)下一代移動(dòng)性是必不可少的。

通過將網(wǎng)絡(luò)安全嵌入汽車設(shè)計(jì)的每個(gè)階段并預(yù)測(cè)新出現(xiàn)的威脅，汽車行業(yè)可以促進(jìn)未來的安全、智能和彈性交通。這包括采用多層次的方法，包括加密保障措施、持續(xù)的軟件補(bǔ)丁、威脅監(jiān)控，以及調(diào)整整個(gè)移動(dòng)生態(tài)系統(tǒng)的安全策略--從單個(gè) ECU 到 V2X 通信和更廣泛的能源網(wǎng)。總之，保護(hù)下一代互聯(lián)汽車需要將創(chuàng)新與警惕性相結(jié)合的前瞻性戰(zhàn)略。

關(guān)于作者

Francesco Fiaschi是Littelfuse公司網(wǎng)絡(luò)安全專家，擁有豐富的嵌入式軟件、工程和產(chǎn)品管理經(jīng)驗(yàn)。在加入 Littelfuse 之前，F(xiàn)rancesco 曾在 WindRiver、Harman & Becker、英飛凌和英特爾等國(guó)際知名企業(yè)工作，獲得專業(yè)項(xiàng)目經(jīng)理 (PMP) 證書。曾在電信、工業(yè)、軍事、航空、汽車、物聯(lián)網(wǎng)、醫(yī)療和安全生產(chǎn)制造等多個(gè)領(lǐng)域工作過，最近的工作重點(diǎn)是網(wǎng)絡(luò)安全。Francesco 擁有意大利電子學(xué)碩士學(xué)位。