內(nèi)生安全在商用車上的應(yīng)用

摘 要：商用車輛不斷智能化和電氣化，內(nèi)生安全作為一種綜合性的安全設(shè)計理念在商用車輛中的應(yīng)用逐漸受到關(guān)注。內(nèi)生安全通過在車輛的各個方面整合安全性措施，旨在提高車輛在正常運行和突發(fā)狀況下的安全性能。本文就內(nèi)生安全在商用車上的應(yīng)用，重點分析和討論內(nèi)生安全在智能底盤控制器和T-BoX兩方面的應(yīng)用，以提高商用車的整體安全性能。

關(guān)鍵詞：內(nèi)生安全 智能底盤控制器 T-BoX

0 引言

隨著科技的不斷發(fā)展，商用車輛逐漸融合了先進的電子、控制和通信技術(shù)，使其在運輸和物流領(lǐng)域發(fā)揮著越來越重要的作用。然而，隨之而來的是車輛系統(tǒng)面臨的日益復(fù)雜的安全威脅。為了保障車輛安全，現(xiàn)有機制采用主動安全技術(shù)，包括自動駕駛系統(tǒng)，以及被動安全技術(shù)，如安全帶和安全氣囊等。同時，為了使車輛安全，互聯(lián)網(wǎng)中使用的傳統(tǒng)安全機制被應(yīng)用于CAN，如身份驗證、檢測和加密[1]。這些措施在一定程度上提高了防御外部攻擊的能力，但是還存在著安全性、穩(wěn)定性難以長期保證的問題。內(nèi)生安全[2]作為一種全面考慮車輛整體安全性的設(shè)計理念引起了研究者和制造商的廣泛關(guān)注。內(nèi)生安全不僅強調(diào)在車輛設(shè)計的早期階段就要考慮安全性，還要求在車輛各個系統(tǒng)之間建立協(xié)同機制，確保車輛在不同情況下都能夠維持安全性。提供了一種自動駕駛汽車功能安全和網(wǎng)絡(luò)安全一體化內(nèi)生保障新路徑[3]。

1 內(nèi)生安全機制

1.1 內(nèi)生安全

內(nèi)生安全是我國科學(xué)家鄔江興院士針對網(wǎng)絡(luò)空間安全現(xiàn)狀的哲學(xué)性歸納與論述，是網(wǎng)絡(luò)安全領(lǐng)域的新興概念與技術(shù)發(fā)展方向，具體包含內(nèi)生安全問題和內(nèi)生安全機制兩部分內(nèi)涵。

內(nèi)生安全問題的核心是圍繞自身的安全防護能力和效果展開研究，針對的是非外力作用或外部能量供給而出現(xiàn)的安全問題，側(cè)重關(guān)注基于系統(tǒng)內(nèi)部機制的安全防護能力。內(nèi)生安全機制則是基于動態(tài)變結(jié)構(gòu)軟硬件協(xié)同計算理論（又稱擬態(tài)計算），提出了網(wǎng)絡(luò)空間擬態(tài)防御理論，創(chuàng)建了用于突破網(wǎng)絡(luò)空間防御發(fā)展瓶頸的內(nèi)生性安全體制機制。這種機制從根本上改變網(wǎng)絡(luò)空間攻防成本不對稱的現(xiàn)狀，顛覆利用先發(fā)技術(shù)和賣方市場優(yōu)勢實現(xiàn)網(wǎng)絡(luò)空間單向透明的戰(zhàn)略的行動基礎(chǔ)。

1.2 動態(tài)異構(gòu)冗余架構(gòu)

動態(tài)異構(gòu)冗余架構(gòu)（Dynamic Heterogeneous Redundancy Architecture，簡稱DHR）[4]是一種先進的系統(tǒng)架構(gòu)，旨在提高信息系統(tǒng)的安全性和可靠性。其核心思想是利用異構(gòu)冗余的機制，實現(xiàn)動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護、整體防護和聯(lián)防聯(lián)控的能力。

該架構(gòu)的理論基礎(chǔ)是視在結(jié)構(gòu)表征的不確定性[5]，即系統(tǒng)中的結(jié)構(gòu)和功能不是固定不變的，而是可以在時間和空間維度上動態(tài)調(diào)整和變化的。這種不確定性使得攻擊者在時間和空間維度上很難有效地再現(xiàn)成功攻擊的場景[6]，從而提高了系統(tǒng)的安全性。

DHR架構(gòu)的實現(xiàn)方式包括非周期地從功能等價的異構(gòu)池中隨機抽取若干個構(gòu)件組合為當(dāng)前的服務(wù)集合，或者重構(gòu)、重組、重建異構(gòu)池本身，或者借助虛擬化技術(shù)改變?nèi)哂鄨?zhí)行體內(nèi)在的配置方式或者視在運行環(huán)境，或者對異構(gòu)池中的構(gòu)建作預(yù)防性或者修復(fù)性的清洗、初始化等操作[7]。這些操作可以動態(tài)地調(diào)整系統(tǒng)的結(jié)構(gòu)和功能，使得系統(tǒng)能夠更好地適應(yīng)不同的安全威脅和攻擊場景。動態(tài)異構(gòu)冗余的整體架構(gòu)如圖1所示。

該架構(gòu)由輸入、多個功能等價的異構(gòu)執(zhí)行體、裁決模塊、負反饋控制器等組件組成。在處理同一輸入時，這些功能等價的異構(gòu)執(zhí)行體會同時運行。系統(tǒng)中的裁決模塊會根據(jù)預(yù)設(shè)的策略，對各個執(zhí)行體的輸出進行比較，從而產(chǎn)生最終的輸出結(jié)果。在這個過程中，如果某些正在運行的執(zhí)行體被判定為異常執(zhí)行體，系統(tǒng)會在非運行執(zhí)行體中選取一個進行替換。這種動態(tài)調(diào)整和替換機制增強了系統(tǒng)的魯棒性和可靠性，有效地應(yīng)對各種異常情況，確保系統(tǒng)穩(wěn)定、可靠地運行。

2 汽車電子電氣架構(gòu)

隨著汽車“新四化”—電動化、智能化、網(wǎng)聯(lián)化、共享化的發(fā)展，汽車電子化程度大幅提高，甚至不斷向車外延伸[8]。汽車電子電氣架構(gòu) （Electrical and Electronic Architecture，EEA）的發(fā)展歷程，是以電子技術(shù)的進步為基礎(chǔ)，伴隨著人們對汽車功能需求的不斷增長而發(fā)展的。這一發(fā)展歷程主要經(jīng)歷了三個階段：從早期的分布式架構(gòu)，到現(xiàn)在的域集中式架構(gòu)，再到未來的車輛集中式車云計算架構(gòu)。

在早期，汽車電子電氣架構(gòu)采用的是分布式架構(gòu)，即每個電子控制單元（ECU）負責(zé)控制一個特定的汽車功能或系統(tǒng)。這種架構(gòu)的優(yōu)點是簡單、可靠，但缺點是系統(tǒng)復(fù)雜度高、成本高、開發(fā)和維護困難。

隨著電子技術(shù)的發(fā)展和人們對汽車功能需求的增長，域集中式架構(gòu)逐漸成為主流。域集中式架構(gòu)將汽車電子電氣系統(tǒng)劃分為若干個功能域，每個域負責(zé)特定的功能，包括自動駕駛域、底盤域、動力域。座艙域、車身域。這種架構(gòu)簡化了線束和連接，提高了系統(tǒng)的可靠性和可維護性。

未來，汽車電子電氣架構(gòu)將進一步演進為車輛集中式的車云計算架構(gòu)[9]。在這種架構(gòu)中，所有的域控制器和ECU都連接到一個中央計算單元，實現(xiàn)全局的信息共享和協(xié)同控制。進一步減少線束和連接，降低成本和重量，提高系統(tǒng)的智能化和安全性。汽車電子電氣架構(gòu)的發(fā)展是一個不斷演進的過程，隨著技術(shù)的不斷進步，未來的架構(gòu)將會更加智能化、高效化和安全化。

然而，目前流行的域集中式架構(gòu)也不可避免帶來了一些內(nèi)生安全問題。首先，由于控制器集中化，一旦某個控制器出現(xiàn)故障，可能會影響到多個功能，導(dǎo)致系統(tǒng)的穩(wěn)定性受到影響。其次，域集中式架構(gòu)中的通信系統(tǒng)更加復(fù)雜，涉及多個控制器之間的數(shù)據(jù)交互，如果通信系統(tǒng)出現(xiàn)故障或被攻擊，可能會導(dǎo)致數(shù)據(jù)泄露或系統(tǒng)癱瘓等安全問題。為了解決這些問題，需要采取一系列的安全措施，確保汽車的安全性和穩(wěn)定性。動態(tài)異構(gòu)冗余架構(gòu)（DHR）可以作為一種內(nèi)生安全機制來解決域集中式電子電氣架構(gòu)存在的問題。

3 內(nèi)生安全在智能底盤控制器上的應(yīng)用

3.1 智能底盤控制器概述

智能底盤控制器（Intelligent Chassis Control Unit）在汽車中扮演著至關(guān)重要的角色，負責(zé)管理和協(xié)調(diào)車輛的底盤系統(tǒng)，包括懸掛、制動、轉(zhuǎn)向等。底盤系統(tǒng)決定了汽車縱向、橫向和垂向六個自由度的動態(tài)行為，是汽車能夠跑起來的必要條件。

內(nèi)生安全在智能底盤控制器的應(yīng)用可以在多個方面提高車輛的安全性和性能。在延續(xù)傳統(tǒng)底盤的兩大基本功能的基礎(chǔ)上，智能底盤實現(xiàn)了進一步擴展：承載對象由以動力系統(tǒng)為主，擴展為承載座艙、自動駕駛、動力三大系統(tǒng)，具備認知、預(yù)判、控制車輪與地面相互作用、管理自身運動狀態(tài)的各項功能。智能底盤將全方位實現(xiàn)機械解耦，實現(xiàn)縱，橫，垂三向一體化主動控制，并具備自學(xué)習(xí)的能力，從而為用戶提供更舒適、更個性化的駕駛體驗。

3.2 內(nèi)生安全在智能底盤控制器中的原理和設(shè)計

智能底盤控制器利用動態(tài)異構(gòu)冗余構(gòu)造和機制，在不影響自動駕駛系統(tǒng)本身功能的基礎(chǔ)上，實時動態(tài)監(jiān)測自動駕駛系統(tǒng)感知決策結(jié)果，并通過多維負反饋動態(tài)調(diào)度、多模裁決和反饋控制等技術(shù)，有效應(yīng)對自動駕駛系統(tǒng)功能故障和網(wǎng)絡(luò)威脅，實現(xiàn)自動駕駛系統(tǒng)功能安全與網(wǎng)絡(luò)安全一體化保障，大幅提升自動駕駛系統(tǒng)應(yīng)對未知功能風(fēng)險和網(wǎng)絡(luò)威脅的能力，為自動駕駛汽車安全穩(wěn)定行駛提供底線安全保障，如圖2所示。

3.3 系統(tǒng)功能

3.3.1 功能與網(wǎng)絡(luò)安全雙重保障

自動駕駛內(nèi)生安全智能底盤控制器采用動態(tài)異構(gòu)冗余架構(gòu)實時監(jiān)測車載L3/L4自動駕駛系統(tǒng)，可同時應(yīng)對基于漏洞/后門的攻擊和軟硬件隨機性故障等安全問題，具備可靠性與可信性雙重安全的能力。

3.3.2 異常感知與檢測控制協(xié)調(diào)統(tǒng)一

配合車內(nèi)CAN總線異常檢測機制，實現(xiàn)異常感知與檢測控制的協(xié)調(diào)統(tǒng)一，能夠感知自動駕駛系統(tǒng)、車內(nèi)網(wǎng)絡(luò)異常的同時，實施相對應(yīng)的降級運行策略，保障自動駕駛車輛和駕乘人員安全。

3.3.3 車輛安全保障狀態(tài)實時展示

配合場景記錄與還原系統(tǒng)，實時展示自動駕駛內(nèi)生安全智能底盤控制器的感知結(jié)果、決策結(jié)果以及內(nèi)生安全系統(tǒng)的監(jiān)測結(jié)果，也可事后還原回放指定時間、地點的車內(nèi)外狀態(tài)。

3.4 案例測試

eed81113f3ce4be57907e603017adcf1自動駕駛內(nèi)生安全智能底盤控制器已經(jīng)在金旅“星辰”實車上完成了小規(guī)模的驗證和應(yīng)用，測試結(jié)果表明，搭載該系統(tǒng)的實驗車輛，能夠在各種故障發(fā)生后，采用屏蔽、冗余和重構(gòu)等方式，保證功能正常運行；能夠依靠動態(tài)異構(gòu)冗余構(gòu)造的內(nèi)生安全性，有效抵御網(wǎng)絡(luò)攻擊。證明其是自動駕駛系統(tǒng)功能安全和網(wǎng)絡(luò)安全融合保障的創(chuàng)新解決方案。為自動駕駛系統(tǒng)提供了底線安全保障：無論是發(fā)生軟硬件故障還是遭受網(wǎng)絡(luò)攻擊，都能讓自動駕駛汽車不傷人、不作惡、不失控。

4 車載內(nèi)生安全系統(tǒng)T-Box

4.1 T-BoX概述

T-BOX（Telematics BOX）是智能網(wǎng)聯(lián)汽車的神經(jīng)中樞，負責(zé)車車、車云、車路通信以及車輛遠程監(jiān)控、遠程控制及遠程診斷功能。T-BOX可深度讀取汽車CAN總線數(shù)據(jù)和私有協(xié)議，通過無線網(wǎng)絡(luò)將數(shù)據(jù)傳到云服務(wù)器，是智能網(wǎng)聯(lián)汽車的“內(nèi)外通信出入口”或“咽喉要道”，極易受到因系統(tǒng)漏洞/后門引發(fā)的遠程控制、敏感信息泄露和車內(nèi)網(wǎng)絡(luò)攻擊等安全威脅。

4.2 內(nèi)生安全在T-BoX中的原理和設(shè)計

內(nèi)生安全T-BOX系統(tǒng)融合了擬態(tài)防御、輕量化布署等技術(shù)理念，將數(shù)據(jù)上報、配置下發(fā)、控制指令、OTA等核心業(yè)務(wù)作為內(nèi)生安全防護重點，提高了產(chǎn)品業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確性和下發(fā)的安全性；同時，在考慮T-BOX系統(tǒng)承載資源緊缺的制約下，采用虛擬化和微服務(wù)等技術(shù)實現(xiàn)擬態(tài)構(gòu)造的輕量化部署，實現(xiàn)內(nèi)生安全TBOX系統(tǒng)主動防針對已知/未知漏洞、后門網(wǎng)絡(luò)攻擊的高安全性和高效益。

突破了基于廣義魯棒控制構(gòu)造的輕量化架構(gòu)設(shè)計等關(guān)鍵技術(shù)，研制出車規(guī)級形態(tài)的內(nèi)生安全T-BOX原型系統(tǒng)，在傳統(tǒng)T-BOX完備功能基礎(chǔ)上，新增了一體化抑制隨機故障、未知漏洞后門等安全風(fēng)險的能力，有效阻斷了車內(nèi)外攻擊鏈。

4.3 系統(tǒng)功能

目前已經(jīng)實現(xiàn)了8大核心功能、安全防護功能和異常檢測功能三大模塊。核心功能分別為：定位功能、CAN存儲和過濾功能、CAN數(shù)據(jù)安全分析、車輛登入功能、實時信息上報功能、補發(fā)信息上報、終端校時、車輛管理功能

安全防護功能為安全加密和內(nèi)生安全兩項，其中內(nèi)生安全防護為對關(guān)鍵業(yè)務(wù)：配置下發(fā)、控制報文和OTA進行擬態(tài)防護，采用輕量級容器技術(shù)，對結(jié)果進行判決，阻斷異常操作并告警提示。異常檢測功能為CAN報文、終端連接、文件系統(tǒng)、資源的關(guān)鍵指標(biāo)進行異常監(jiān)控檢測。

4.4 案例測試

原型系統(tǒng)通過白盒插樁的測試方法，完成了5種典型注入擾動的防御效果驗證，其中包括固件提取漏洞、預(yù)留后門漏洞、硬編碼漏洞、RTSP未授權(quán)訪問漏洞和遠程代碼執(zhí)行漏洞，對這幾種漏洞做到了良好的防御，在實車上完成了內(nèi)生安全T-BOX的調(diào)試、測試等工作。

5 總結(jié)

內(nèi)生安全在商用車智能底盤控制器和T-Box兩方面的應(yīng)用，通過全面安全評估、冗余設(shè)計、加密技術(shù)和實時監(jiān)控等措施，可以有效提高系統(tǒng)的安全性，確保車輛在各種情況下都能安全、可靠地運行。未來，隨著汽車工業(yè)的不斷發(fā)展，我們將看到更多內(nèi)生安全理念和技術(shù)在商用車上的應(yīng)用。這將為車輛的安全性能帶來顯著提升，同時也將推動汽車工業(yè)朝著更加智能化、安全化的方向發(fā)展。

參考文獻

[1]J. Li， H. Lu， and M. Guizani， “ACPN： A novel authentication frame- work with conditional privacy-preservation and non-repudiation for VANETs，” IEEE Trans. Parallel Distrib. Syst.， vol. 26， no. 4， pp. 938–948， Apr. 2015， doi： 10.1109/TPDS.2014.2308215.

[2]鄔江興.智能網(wǎng)聯(lián)汽車內(nèi)生安全問題與對策[J].Journal of Chongqing University of Posts & Telecommunications （Natural Science Edition），2023，35（3）.

[3]Li， Yufeng， et al. “Dynamic Heterogeneous Redundancy-Based Joint Safety and Security for Connected Automated Vehicles： Preliminary Simulation and Field Test Results.”[J].IEEE Vehicular Technology Magazine（2023）.

[4]劉昕林，黃建華，羅偉峰，等.動態(tài)異構(gòu)冗余架構(gòu)下Web實踐及安全性分析[J].計算機應(yīng)用，2021，41（S01）：125-130.

[5]Hu H， Wu J， Wang Z， et al. Mimic defense： a designed‐in cybersecurity defense framework[J]. IET Information Security， 2018， 12（3）： 226-237.

[6]鄔江興.網(wǎng)絡(luò)空間內(nèi)生安全——擬態(tài)防御與廣義魯棒控制[M].北京：科學(xué)出版社，2020：587–588.

[7]王鵬，翟浡琨，李玉峰，等.基于動態(tài)異構(gòu)冗余架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機制[J].電子與信息學(xué)報，2023，45（1）：272-281.

[8]高惠民.汽車電子電氣架構(gòu)的“前世、今生和未來”（一）[J].汽車維修與保養(yǎng)，2023，（07）：50-54.DOI：10.13825/j.cnki.motorchina.2023.07.015

[9]陳滏媛，董振江，董建闊，等.車聯(lián)網(wǎng)安全防護技術(shù)綜述[J].電信科學(xué)，39（3）：1-15