中国科学院信息工程研究所北京中国100093
关键词汽车信息安全;车载信息系统;车载诊断系统;电子控制单元;汽车入侵式攻击;防护保障策略
中图法分类号TP309.2DOI号10.19363/j.cnki.cn10-1380/tn.2017.04.001
互联网发展的大潮给汽车行业带了前所未有的冲击,汽车通过网络与外界的信息互联愈加频繁。功能丰富的电子产品迅速在汽车上普及,使汽车行业整体的电子化水平显著提升,截止到2016年汽车电子化率已经快速提升到30%~40%[1]。汽车中嵌入复杂的电子信息系统,涵盖了大量的信息通信技术。另外,汽车本身也是一个复杂的网络通信系统。车载信息系统承担了汽车内部电控单元之间的信息交互,车内控制系统的电控单元通过不同的总线网络进行通信,而各个总线网络通过网关相互连接,构成了车载信息系统[2]。
车载信息系统并不是简单的汽车与网络之间的互联,而是包含了汽车与互联网(V2I),车与车(V2V),车与智能交通基础设施(V2A),车与云端(V2C)的互联,以及车载网络通信的多网、跨网融合技术[3]。网联汽车、车载自组织网络和智能交通基础设施共同构成了全新的汽车控制系统[2-4]。
车载信息系统安全技术的概念是[5]:利用系统化的车内电控设备信息采集,通过综合分析与智能危机处理机制,达到车内子系统和智能交通系统协调配合的目的,从而最大程度保障汽车运行安全。车载信息系统中控系统是该系统的核心部分[6],通过总线接口与各类车内总线相连,实现与汽车的各总线及子系统的数据交换和控制功能。
诊断设备通过诊断总线与中控相连,其作用包括[7]:汽车行驶记录数据下载、实时数据检测、设置车载信息系统、在线故障分析与诊断等。车载信息系统中控系统通过三路总线与车内各分线及职能模块相互连接,实现数据交换与信息共享功能。车载信息系统包含的子系统如图1所示。
软件标准化[8]是车载信息系统的发展方向和必然趋势,该系统的软件设计从多个层面进行了规范:一是设计了兼容OSEK标准的嵌入式操作系统,为许多底层操作,如任务调度、网络管理等提供了标准的函数接口与规范,应用软件的复杂度以及可靠性都有很大的提高;二是几乎所有软件代码均采用C语言编写,具有较好的可移植性及可维护性。
车载信息系统综合了多项汽车热点技术,集成了行驶记录功能,简化了车身电气线束,实现了基于全车信息的实时故障分析,为实现低成本、低功耗、易于实施的汽车安全系统开拓了一个新的思路。同时,该系统构建了一个低成本的公共接入平台,通过对现有技术的简单接入或改进,实现全车信息共享、集中调度与最佳控制,从系统性的高度实现汽车行驶安全。
任何设备只要连接互联网,就有可能遭受黑客的恶性攻击。在享受网络带来便利的同时,也必须面对网络的“黑暗面”——信息安全威胁,这一点汽车行业也不能幸免。从广义的角度而言,国际上对汽车信息安全方向的攻击防御研究主要集中在三个方向:
如表1所示:
车载信息系统遭受最早的攻击案例发生在2010年[9],南卡罗来纳州罗格斯大学的研究人员通过破解汽车内部信息系统,伪造部分品牌型号汽车的胎压传感器信息,干扰并毁坏距离40米以外汽车的轮胎压力监测系统(TirePressureMonitoringSystem,TPMS)。
加州大学圣地亚哥分校(UCSD)和华盛顿大学的两个研究团队,于2011年就以“汽车安全攻击综合分析[10]”为题进行了实验和论证,并从威胁类型、具体漏洞分析以及威胁评估三个方面进行了评估。其研究的主要对象是汽车内部的电子控制单元[10](Electronic
ControlUnit,ECU)。
2014年,在黑帽子大会上(BlackHatUSA2014)[11]上,Miller和Valasek再次公布了一份针对市场上20余款车型的信息安全的研究报告,对不同汽车厂商不同车型抵御恶意攻击的能力进行评估。
2015年,被世界公认为“汽车安全元年[11-13]”,先后发生多起汽车攻击案例,首先是雪佛兰科尔维特(Stingray)的车辆自诊断系统(OBD)漏洞导致黑客轻松获取该车型的最高权限,通过手机短信的形式发送修改控制汽车指令。
2015年,SamyKamkar用安吉星(On-Star)攻击了4家车企的车联网APP,轻而易举的获取到该车联网上的所有用户信息,从此,车联网也被列入了黑客攻击的“黑名单[14]”。
近年来,国外品牌汽车制造商设计的车载配套软硬件所拥有的功能也不断延伸,例如有汽车制造商使用手机APP或者蓝牙钥匙来提供门锁控制、手动泊车、调整发动机功率、更新软件等服务,再加上辅助驾驶和紧急制动程序的出现,使得此类应用能够通过互联网访问汽车的驱动、控制、底盘等核心系统。一旦这些应用被植入恶性病毒或远程木马被黑客入侵,则会对行车安全造成致命的威胁。
现代汽车中的控制系统网络化程度对于恶性攻击基本处于不设防状态,尤其总线(MOST,GigaStar等)、无线接口(如GSM、蓝牙)等通信网络的耦合性和公用性逐渐增强,更引入了额外的安全风险。
Wolf[17]等人提出关于汽车总线安全防护的初步建议:
2)数据通信方式引入加密通信技术
3)网关应提供防火墙机制
基于控制器的数字签名或消息验证实现,至少应避免低危网络(LIN,MOST)向高危网络(CAN,FlexRay)发送信息;汽车正常使用时应禁止使用所有诊断接口。从信息安全与密码学的角度而言:通过对总线上传递的数据进行加密和匿名化处理(Anonymization),完成对每个ECU数据的传送;通过数字签名校验方式检验故意伪造的数据信息;底层采用DOS编码,由于总线的广播式通信协议与分优先级处理特性,通过DOS编码ECU系统功能对恶意攻击具有一定程度的免疫能力。
Koscher[18]等人在获取了对汽车内部的访问权限之后,可以实现恶意的攻击效果。他们将实验环境冯特雷场地分为3种:基准型,即拆卸掉车内单独的硬件,在实验室中进行测试;静车型,将法国品牌标志汽车固定后,连接OBD-Ⅱ诊断端口进行实验;动车型,即在一条封闭的路段驾驶该汽车,开始测试杰出的性能,对这三种实验进行了对比和评估:尽管现代汽车已经是高度智能化产物,但是,机理仍是未被计算机安全界广泛了解和深入研究;一些重要总线通信协议已经标准化,可以通过自由桥接,“傻瓜式”的传输信息协议为车内提供大量的无线连接模块,增强了远程控制能力;有的车型存在一些弊端,这为第三方的提供了丰富的开发接口。
Checkoway[19]等人研究的是如何获得对汽车内部网络获取控制权限的问题。他们从信息安全的角度再次刻画了现代机动车安全威胁模型及可能的外部攻击媒介;并针对每种攻击行为,发现了不止一种安全隐患,针对该安全隐患,提出了相应的机动车制造业的安全措施等。Checkoway等人将安全威胁模型从宏观上分为:单组件安全威胁模型、多组件安全威胁模型。单组件安全威胁模型包括的威胁种类有:侦听数据包并定向探测攻击、模糊攻击、逆向工程攻击;多组件安全模型包括恶意代码植入攻击、组合仪表显示失灵、CAN总线。
加入WTO以后,世界各国汽车电子零部件企业开始进入国内,使得大部分市场份额被国外企业所占据,我国汽车安全电子产品和国际先进水平相比,竞争力明显落后,国内自主品牌汽车行业存在对信息安全重视程度和理解深度还远远不够。相当一部分车企对信息化安全建设的投入长期采用紧缩的策略,直至出现安全问题时才进行一定的补救措施;造成上述状况的原因[19-20]:一是汽车安全电子产品科技含量较高,跨国汽车电子公司实力强大,而国内汽车安全电子控制系统缺少相应的技术储备;二是国内的汽车安全电子产品多由外方供应商提供,国内自主研发的电子产品进入其配套系统时,故障率和失误率较高。测试和分析手段较为复杂,所需设备价格昂贵。目前国内汽车安全电子产业还没有形成完整的专业生产能力,企业可以生产部分汽车安全电子产品,但不具备大批量生产的能力,且汽车信息安全技术的研发及产业化进程在我国尚属于起步阶段,但国内的几家安全公司已经取得了突破性进展。
专业安全公司奇虎360[21]拥有很多汽车行业客户,其中包含国产高端品牌和大众系列汽车。360公司的安全团队认为的解决方案首先是IT技术难题,包括防火墙(UTM深度检测防火墙)、VPN加密技术、防病毒、防间谍软件等等;其次要确保网络通信系统的安全运行,尤其是远程访问:内部员工、合作伙伴、零配件供应商等,每一个客户群,应该有不同的访问权限。传统的解决方案是把远程网络和车辆之间传递的信息采用IPSec加密技术进行保密通信,现在更为常用的方式通过SSL通道加密手段在部署简单的前提下,做到深层次的访问控制,支持更多用户群的接入。
华晨金杯汽车工程师表示[21]:信息安全问题始终贯穿于汽车产业信息化中,中国自主品牌汽车企业为保持自有产品和技术的专利知识产权的安全性,在网络访问控制(NAC)、关键数据加密和防泄露(图档加密和防拷贝、防打印)、关键数据存储备份(如存储备份、异地灾备中心)等方面逐步加强管理力度。
此外,国内的安全专家在发现车载信息系统漏洞方面,取得了突破性进展。2014年,奇虎360车联网安全评估小组[21]首次公开了特斯拉(TeslaModelS)汽车应用程序存在设计漏洞,该漏洞可以使得黑客远程控制汽车,包括执行车辆解锁、鸣笛、闪光以及车辆行驶中开启天窗等操作。最近该公司取得了对汽车自动驾驶技术破解方面的突破性进展,成功的实现了毫米波雷达和超声波雷达的欺骗。因为现在的自动驾驶技术依赖于各种传感器、其中包括毫米波雷达、超声波雷达。自动驾驶汽车是通过雷达来探测障碍物的,要欺骗雷达可以使障碍物消失,或者突然造出一个障碍物[22-26]。这样就会造成汽车向障碍物方向行驶。此外,该团队还与长安汽车合作,进行车联网的安全评估,打造了长安汽车电商安全顾问咨询平台,提供安全顾问咨询服务,从安全防护这个角度而言,传统的车辆体系结构大多是面向功能安全的,欠缺汽车的信息安全层面的防护,该安全团队为车企提供相应的咨询建议,安全设计指导,包括软件、硬件、固件的升级。设计出安全模型后,做黑盒、白盒测试,最典型的就是给车厂做Tbox、Tsp的评估,从整个系统的角度而言,不仅仅是各个部件的评估,以及做系统级别的安全评估,而且还可以为客户制订安全运营的规划。
汽车行业进入信息化时代后,汽车产品逐步向智能化、网络化方向发展。已经由集中式的手工控制向分布式的电子自动控制转变,车内上百个电子控制单元(ECU)通过总线传递信息的方式相互连接,经由千万行的程序代码进行驱动,构成了高效复杂的网络化系统。另外,无线通信模块的普及,尤其是车载信息系统的引入,对汽车信息安全提出了全新的挑战。黑客有可能通过远程无线入侵的方式,攻击车载信息系统的现有漏洞,进而利用现代汽车丰富电气化、网络化功能,达到车内信息窃取、驱动系统失灵、制动系统远程操控等目的[30-31]。
由此可见,汽车已经成为了一个装有大规模软硬件的高度集成化的信息系统。车载信息系统在提高信息化水平同时,信息安全问题也日益突出。车辆遭受黑客攻击的途径也日益翻新,ECU木马和病毒变体数量不断攀升,威胁驾驶人员生命财产的行车安全隐患刻不容缓。
3.1车载信息系统遭受攻击的途径
车载信息系统中存在信息安全脆弱的一面,车载软件系统受到黑客攻击的可能性越来越大。原因是汽车的外部接口数量和类型不断增多,除了车载诊断系统OBD接口和USB充电接口外,现在汽车上还可以通过GPS、WIFI、蓝牙接口与卫星、智能手机、平板电脑等外接设备相互连接[32]。而在接入上述外接设备时,黑客植入在该设备的恶性病毒和远程木马也随之侵入到了车载信息系统内部,为黑客攻击该车辆提供了便捷的途径。
3.1.1智能手机攻击途径
智能手机是汽车用户经常使用的网络通信工具,与传统手机最大的差别是,智能手机上的应用程序可以自由发布、下载并安装,而且种类繁多,其中包含大量面向汽车的应用软件,而这些软件可能存在可靠性低、安全性差等特点,黑客通过其中的漏洞、通过智能手机,使得车载信息系统、导航系统出现异常,或是窃听用户的谈话记录及驾驶员个人隐私信
息等[32]。用户在使用智能手机同时,就意味着整部汽车与外界网络相连。因此,黑客通过外界网络破解智能手机,目的是干扰车载信息系统,对正在高速行驶下的车辆发起恶性攻击。
3.1.2车联网远程攻击
车联网等外围通用系统针对汽车基本控制功能在逐渐增加。例如,汽车制造商使用通用的信息终端来控制中控门锁系统、调整发动机功率、更新应用程序等服务。而这些功能也成为攻击的目标,信息终端一旦被成功入侵,对车辆和驾驶人员造成严重的人身安全威胁。为了确保通用性,大多数车载信息系统都采用同种类型的底层操作系统,用户通过该底
层操作系统,使用各项服务也越加方便,但攻击操作系统的难度变得越来越低。除了底层操作系统外,车联网等外围通用系统的通信协议也在逐渐提高,德国政府支持的“基于IP协议的安全嵌入式系统(SEIS)”项目[33],该项目计划让车联网采用Ethernet网络协议,并在TCP/IP协议基础上开发新的通信通用模块。2008年,德国宝马汽车有限公司首先采用Ethernet网络接口,作为OBD协议接口,用于安装车载应用软件[34]。车联网的通信方式虽然在电路层实现了标准化,但请求指令、响应机制上存在差异,造成了实际应用中的“门槛”。但从车辆信息安全的角度而言,该“门槛”其实是一道“防火墙”[13]。目前,已经出现了采用无线通信协议WIFI、蓝牙等车联网通信协议适配器。随着车联网采用的互联标准越来越多,车内外的众多设备和车载信息系统与汽车紧密相连[35]。车联网接入变得越来越简单,黑客突破这道“防火墙”也相对变得容易。
3.1.3移动互联网远程攻击
移动互联网远程攻击汽车成为最新黑客和安全专家共同研究的目标,攻击者为实现远程跨网攻击,利用逆向工程技术,通过解析移动互联网通信及信息终端,开发出了针对特定品牌、车型的入侵代码和可执行代码[36-38]。在这种情况下,倘若有人开发出了攻击移动互联网通信及信息服务代码,并将其散布,有可能造成更严重的危害[38]。
3.2车载信息系统遭受攻击的种类
汽车信息安全产生威胁的原因分为两类:驾驶者偶然发生的失误;攻击者故意引发的失误。按照不同发生原因,相应的威胁种类如表2和表3[39]:
3.2.1物理接触攻击
汽车由于自身的可移动性,有别于计算机,驾驶者很难始终监视车辆,而黑客及其容易接触到汽车。而且,在进行日常维护保养时,汽车必须交由厂家和车主以外的第三方维修人员管理,有可能受到装扮成第三方维修人员黑客的攻击[40]。另外,用户在自行改装车辆时,有可能将汽车本身自带的安全装置无意识地拆除掉[41]。
3.2.2便携式设备攻击
除了汽车本身具有的功能之外,汽配市场等途径购买并安装在车上的产品也种类繁多。驾驶者在购买和安装该产品时,有可能带来外部病毒入侵式的攻击。尤其是智能手机、平板电脑、PDA、GPS卫星导航系统[41-43],一方面,这些便携式设备很容易获得面向汽车接口的通用应用市场,受到广大用户的好评;另一方面,该便携设备也掺杂着大量仿制、山寨产品和恶意代码应用程序等[44]。汽车制造商在车辆开发设计时,必须考虑到用户带入车内的任何便携式设备所带来的恶性攻击威胁。
3.2.3无线网络攻击
为了防止物理攻击,汽车有很多通过无线网络完成的功能,例如智能钥匙、轮胎压力检测系统、路车间通信等装置都使用短距离无线通信方式,这为黑客空口截取信息内容,打开了方便之门[45]。此外,智能手机与车载信息系统之间的交互应用也越来越普及,如今车联网“井喷式”的发展,加上汽车连接外部网络的环境日益完善。车载信息服务也开始普及,利用车联网对汽车发起木马和病毒的入侵攻击和情报窃取已成为现实[46]。
3.2.4总线CAN、MOST、LIN攻击
汽车中大量控制器的网络化程度飞速发展,使得外部网络可以访问汽车关键部件(如引擎、刹车、气囊等),而控制信息通过总线系统进行各部件之间的信息传递,而总线系统对于恶意攻击基本处于不设防状态,尤其是负责多媒体通信的MOST总线、负责传递控制信息的CAN总线,以及负责中控门锁系统的LIN总线[47-49],它们与无线网络接口的耦合性逐渐增强,加上所有控制器间的通信都是明文传送(非加密状态);大部分总线传递消息的编码方式和通信协议都是公开的,控制器也没有相应的检测程序,来验证抵达的信息是否是合法的控制信息[50]。
理论上讲,任何CAN、MOST、LIN总线上的控制器都可以向其他任何控制器发送指令[51-54],因此,任何遭受到总线攻击的控制器,都会对整车通信网络构成实质性的威胁。例如,多媒体总线MOST,D2B等与外部接口和互联网相连使得恶意软件(远程木马、恶性病毒)可能通过光盘、MP3、电子邮件等方式侵入车内核心系统。虽然车内部分网关提供了简单的防火墙机制,但与此同时,MOST和D2B总线也提供了强大的,不设防诊断接口,从而使得攻击者轻而易举的攻破整车网络。表4列出了车内所有总线及其遭受攻击时的风险指数[55]。
对于汽车总线系统破解的防护,目前仍然停留在对控制器所接收到信息的源地址、目的地址验证,传递信息所用信道加密,网关防火墙加密措施阶段,上述措施无法避免低危网络向高危网络发送信息,只能采取汽车正常启动时,关闭所有接口等防护措施,迫使驾驶者体验度大打折扣。
3.3ECU电控系统攻击
ECU电子控制单元(ElectronicControlUnit,ECU)又称行车电脑[56],其早期的作用是获取汽车上各种传感器数据,进行运算处理,从而做出判断性指令,向发动机、喷油器、刹车制动系统及时发出调整指令,使得行驶中的车辆保持良好的运行状态,ECU和普通计算机一样,也是由微处理器、存储器、输入输出接口、模数转换器,以及驱动设备等大型集成电路组成。图2为ECU电子控制单元组成架构[35]:
在汽车ECU设计之初,首先追求的是工控系统的反应速度以及处理能力,在ECU的内部设计者并没有划分任何层次和权限,尤其是汽车内部,每一个ECU通过CAN总线采用多级互联的方式相互通信,显著地提升了处理效率和稳定性,但也意味着从任何一个接口都可以获得整部汽车的控制权[58]。如今,市场上高端车型的ECU都具备学习功能,会记录汽车行驶过程中的数据,除了在发动机上得以广泛应用之外,ABS防抱死系统、四轮驱动系统、变速器系统、主动悬挂系统、液压控制系统等,都通过ECU进行控制,这就使得ECU掌握的信息越来越多,攻击者通过分布式ECU来控制汽车的多个系统,正是因为每一个ECU与CAN总线相连,在CAN网络里,从发动机ECU到安全气囊ECU,这些ECU控制系统是同级别关系,攻击者破解了CAN总线系统,所有的控制系统的ECU都面临较大的安全风险。针对ECU攻击的手段有[59]:
1)ECU数据包侵入式攻击
不同的ECU通过CAN标准连接成一个总线型结构网络,在该网络环境下,ECU采用组播的方式发送数据包,由于CAN网络是个高度可信的网络,在汽车设计之初就没有考虑到CAN网络数据包标识的问题,每个数据包只有简单的ECU发出标识,攻击者通过CAN上发送特定内容的数据包使得整个网络产生动作,相应的ECU传感器和执行器会响应该动
作指令,达到攻击者控制汽车的目的[60]。
2)ECU数据包篡改式攻击
CAN网络发包时,具有组播特性,攻击者可以修改其数据包内容,再重新发送,用以欺骗汽车工控系统使其做出错误的指令动作。每个数据包都有自己的ID,数据包ID代表它是由某个具体的ECU发出来的,ISO14229电气工业标准中规定了数据包ID和ECU对应关系[61],通过修改数据包ID,将错误的指令发送到指定的ECU上,可以达到汽车刹车、抱死、猛打方向等操作,还可以通过篡改数据包内容,使得汽车转速表上对应的参数信息显示有误,更有甚者,通过修改中控解锁ECU发出的数据包信息,使得行驶中的车辆强行解锁[62]。
3)ECU数据包重放式攻击
通过OBD接口可以访问CAN网络中的所有总线结构,理论上可以将OBD转接头,直接连接到汽车OBD接口处,实时进行攻击[63]。国外研究机构已经可以通过无线网络直接启动OBD盒子的驱动程序,通过非物理接触的方式,对发动机ECU进行持续性攻击,如图3所示,OBD无线网络连接终端:
4)ECU恶意代码植入
5)ECU虚假信息干扰
3.4车辆行车信息感知系统攻击
车辆行车信息感知与处理系统是自动驾驶、自动巡航技术的核心组成部分,实时地对车辆运行数据进行采集、检测,并通过必要的信号处理获得准确、可靠的行车记录信息。其中,车间距离及相对车速测量传感器是该系统特有功能[67]。国外行车信息感知及处理系统的研究集中于车间距离测量传感器的研制和信号测量处理方面。而它们也是自动驾驶
技术和自动巡航系统的理论依据。因此,车辆信息感知系统探测技术主要包括[68]:探测距离范围要求、探测角度范围要求、探测精度要求及温度适用范围、抗震、抗干扰等方面。参数分析依据是[69]:道路交通规则、道路交通实际情况、车辆设计规范及实际使用环境等特点。
按照探测介质不同,车辆信息感知系统探测技术分为微波雷达探测和激光雷达探测两种[69]:微波雷达探测的优点是运行可靠,测量性不受天气等外界因素的影响,缺点是结构复杂,成本较高;激光雷达探测技术主要优点在于结构简单,测量精度较高,价格便宜,缺点是测量性能易受环境因素干扰,在雨、雪、雾霾等天气情况下测量性能会有所下降。
此外,攻击者通过吸收雷达电磁波形式对自动驾驶和自动导航系统发起攻击,针对车载雷达探测系统能探测到的物体进行隐藏,使得雷达电磁波“有来无回”,被攻击车辆通过车载中控系统综合参数判定,车辆行驶路线前方并无障碍物,继续按照原先设定的路线行驶,直到与障碍物发生碰撞为止。
自动驾驶和自动巡航系统主要依赖于行车信息采集系统将获得的车辆状态及行车环境信息传递给车载中控系统。车载中控系统综合利用各种信息,对车辆安全状态做出评估。只要攻击者修改其中一个环节的数据,使得在中控系统对前方的行车路线的安全性做出错误的判断,从而制造车毁人亡的事故。
汽车防护技术主要分为三大类:汽车主动防护技术、汽车被动防护技术、车辆及零部件信息安全防护技术:
1)汽车主动防护技术包括:汽车电子稳定性控制技术、智能安全辅助技术以及人车安全状态监控与感知技术等。
2)汽车被动防护技术包括:车载防护自动通知技术、成员安全保护技术、中央门锁检测技术等。
3)车辆及零部件信息安全防护技术包括:动力学控制传感器数据识别技术、零部件程序代码信息校验技术、零部件安全“写保护”机制、数据信息传送校验机制、数据信息容错防护机制、重要数据和程序设有“加密”功能等。
4.1汽车主动防护技术
1)EyeCar技术
EyeCar[70]技术可以使得每一位驾驶员的眼睛处于同一相对高度水平面上,确保提供一个完整的路面和周围车道无阻碍视野,眼位传感器可以测试出驾驶员的位置,然后据此确定、调节座椅的位置,为驾驶员提供能够掌握路面情况的最佳视线,EyeCar技术还可以重新布置B立柱,可以减少驾驶员视野中的“盲区”。EyeCar技术通过使用电动座椅自动将
不同身材驾驶员的眼睛调整到统一高度来解决视见度的问题,同时对方向盘、制动与加速踏板、中央控制台进行调整,以构造自适应的驾驶环境,从而避免了黑客利用驾驶员“盲区”对车辆进行物理攻击的企图。
2)CamCar技术
CamCar[71]技术可以帮助驾驶者提高对周围环境的认知能力,多台摄像机和可切换视角显示器扩展了驾驶员的视野,可以使得驾驶者能够绕过大型车辆同时观察到隐蔽处的行人和车辆,提前做出预判。侧置后视摄像头弥补了后视镜反射面的不足,特别是临近车道。扇形排布的4台微型摄像机可以有效的增加后视视角,图像经过电子合成后传回可切换显示器,并且摄像机可在低照明环境下提供红外线摄像功能,彻底消除前照灯及其他光源所带来的眩目问题。这些技术相互结合为驾驶者提供一个全车及周围环境的鸟瞰图,有效的对接近车辆的人和物体进行实时监控。
3)SensorCar技术
SensorCar[72]技术是专门为汽车碰撞事故研发的碰撞预警系统,其目的是减少追撞和伤害行人风险。首先,安装在后保险杠中监测后面车流情况的传感器和计算机通过无线通信模块相连,从传感器采集上来的数据经过计算机程序分析确定有无撞车的可能;其次,激光雷达装置监测车前是否有行人经过,如监测到有物体进入两个激光雷达组成的扇形区域,仪表盘上的警示灯和扬声器同时发出报警信号,提醒驾驶员,注意减速和避让。再次,马上发生碰撞后,安全带电子预紧器,自动拉紧安全带,最大限度地保障了乘客生命安全。
4.2汽车被动安全技术
1)RescueCar技术
车辆被攻击后,能够及时通知有关部门,将RescueCar[73]技术可以防止黑客对车辆进行恶意攻击造成的碰撞或侧翻事故,该技术可以在遭受攻击后1分钟之内,由车载防护自动通知系统向有关部门发出报告,报告汽车基于全球卫星定位(GPS)数据的准确位置。车辆救援人员在抵达事故现场之前就可以充分了解有关车辆的实时状况:乘员数量、乘座位置、安全带使用情况和气囊展开情况、汽车的姿态,是侧翻还是倾覆等信息,从而制定出相应的救援措施。RescueCar的事故分析和通信机制可以帮助设计师设计出更符合现代安全理念的汽车,它是从多种受攻击车辆中自动收集重要信息,因此也能帮助研究人员迅速建立一个车辆攻击信息数据库。
2)SecurCar技术
SecurCar[74]技术能够保证:即使车辆在静止状态,也新增了很多安全防护措施。它可以防止驾驶者疏忽大意将重要物品,例如,文件、手机、枪械等锁在车内,并为锁在行李箱中的成人或儿童提供逃离安全设施,还能检测出车内是有潜在的非法入侵者,原因是:SecurCar技术通过一个可以测出车内是否有无线电磁波外泄的传感器,如果中控门锁系统锁定后,仍有车内仍能发射电磁波,报警装置发出声音。如果有入侵者藏在汽车行李箱中,SecurCar技术的心跳传感器,可以敏锐的发现该入侵者的心率,组合仪表中的入侵检测提醒装置发出报警。
3)SeccuriLock技术
4.3车辆及零部件信息安全防护技术
1)数据识别技术
当用汽车钥匙、电子遥控钥匙或其它手段开启汽车时,是把本车型和该辆汽车的关键参数[76]:汽车发动机型号、汽车车架号、汽车的批次、出厂日期等,通过无线信息发送给车载信息系统,车载信息系统接收到这些关键参数时,要自动识别这些关键参数是否正确,如识别不是本车型的汽车钥匙、电子遥控钥匙或其他手段开启本汽车时,汽车内的信息控制系统就会自动识别或者自动关闭这些数据参数,汽车信息控制系统就停止相应功能。
2)程序代码信息校验技术
汽车中的电子控制系统和零部件系统,在汽车启动时,都要进行相应的数据信息或程序代码校验工作,以防止被黑客或不法分子恶意篡改。校验的方法包括[77]:奇偶校验法、按位与校验法、CRC(循环冗余码校验)等校验法。如果检测出重要程序或数据被恶意篡改或破坏,组合仪表中的报警装置,发出警示信息,引起驾驶者高度重视,并采取紧急措施。
3)安全“写保护”机制
汽车是机械与电气信息系统的相互融合产业,控制指令、程序代码、数据流、信息流等彼此在工作时,受到机械部件的点火(发动)、震动、噪声、磁场等因素的干扰,信号容易发生故障、失效等情况。电子信息系统之间在传递信息时,应采取“写保护”机制[78]:“防擦”、“防写”、“防飞”等信息安全防护措施,避免由于其他信号干扰而造成的数据信息传输错误。
4)数据信息传送校验机制
电子信息系统在传送控制命令、数据内容、重要参数时,可以采用多数表决法、向前纠错法、ARQ(自动请求重发)方法,接收数据时,一旦发生错误,通知发送方重新发送,直到正确为止。车企和主机厂根据数据格式和网络通信协议选择校验的方法和机制。
5)数据信息容错防护机制
未来汽车是电子产业和机械产业高度融合的产物,设计和编辑控制系统和电子信息系统时,应该充分考虑到容错防护机制和异常处理措施。防止数据内容和程序代码在运行时,出现的“死机”和“假死机”等现象。
6)重要数据和程序设有“加密”功能
当汽车发动时,电子信息系统将加密后的控制指令通过总线发送到各个电子零部件系统和可执行单元中,各零部件系统和电子控制单元接收到该指令后,根据各系统之前分配好的秘钥,进行相应的解密操作,自动解开本系统的数据内容和程序代码。因此,可以防止部分指令信息在传递过程中,被黑客截获,并进行相应的破解,嵌入恶性木马和病毒[79]。当然加密算法和加密函数、解密算法和解密函数,可以通过汽车制造、车联网或其他无线手段等,来装入、更新、修改和传输。
该六项防护措施可以单独独立操作,彼此之间高耦合,低内聚。汽车制造商可以根据实际情况,进行任意三个以上的组合,保证数据传输时的安全性和准确性。图4为电子信息系统和汽车零部件之间信息安全检测的主要流程。
汽车信息安全技术是当前国际汽车高新技术发展的主题之一,它集成了计算机、现代传感器、信息融合、通信、人工智能及自动控制等技术,是今后汽车安全领域发展的一个主流研究方向。研制先进车载信息安全系统是高效安全交通运输的基础和保障,同时也是人民生命财产保证的必要选择。随着汽车保有量的迅速增加、交通运输系统日趋复杂、国际恐怖活动逐渐加剧,在国家安全、社会经济安全方面对汽车安全提出了更高的现实要求,现代汽车的安全电子控制技术已明显向集成化、智能化和网络化三个方向发展,通过采用分布式控制系统为基础的汽车车载电子网络系统、嵌入式系统、局域网控制和数据总线技术,可实现汽车信息安全电子控制系统的综合协调控制。