技术干货 | 智能网联汽车IDPS通用方案

文｜兰成

编辑 ｜王静茹

来源｜云驰未来市场部

引言

当前，智能网联汽车发展迅猛，与此同时，车辆网联化也给黑客攻击汽车提供了更多可能，使得汽车面临越来越多的安全挑战。车辆入侵检测与防御系统IDPS是针对智能网联汽车不断增长的安全需求应运而生的动态防御系统。

相对于认证、访问控制、加密等静态信息安全技术，IDPS系统可以在车辆运行过程中，及时发现实际发生的入侵事件以及静态防御机制的不足，进行针对性的安全策略更新，帮助车辆构建多重防御体系。

IDPS系统可以实现安全区域划分、基于安全区域的策略设定、数据报文异常报告，安全事件报告、攻击策略设置等安全功能。下一代IDPS还可以在这个基础上通过部署 IDS Sensor到ECU和Autosar，实现后台VSOC的黑白名单管理，以及软件层面的安全事件检测、安全策略统一下发等高级功能。

IDPS的部署可以从智能网联汽车内部架构角度实现对网络攻击、非法访问等安全事件的探测和管理，更好地实现车辆整体架构安全。

本文主要由两个部分组成：第一部分，从智能网联汽车安全整体结构出发、分析了黑客攻击方式和车辆安全层次，并结合UN R155、ISO21434、GB整车信息安全等国内外法规标准，介绍了车载IDPS的需求；第二个部分，根据智能网联汽车安全区域的划分，介绍了三种智能网联汽车IDPS通用方案，分别是基于Domain隔离安全区域的IDPS方案、基于分布式EE架构的Zonal控制器的IDPS方案和基于AUTOSAR的IDPS方案。

一、智能网联汽车安全层次与IDPS部署需求

1.1

智能网联汽车安全整体结构分析

智能网联汽车的网络安全问题从整体上可以分成两部分。首先是外部连接，智能网联汽车运行环境存在很多网络连接需求。具体来说存在车端到运营商的网络连接、然后是车辆到车辆后台的网络连接。外部网络连接的风险在于中间人攻击MITM，Ddos攻击等。在车辆车机端内部主要又分为CAN总线和Ethernet以太网连接。其中CAN总线连接了各个不同的ECU，而Ethernet以太网连接了Infortainment系统，T-BOX系统等，两者通过网关相连。

在复杂的系统结构之外，车联网又具有自身独特的需求，在线升级OTA的需求和诊断连接的需求。其中在线升级可以是5G/4G/3G的升级需求，也可以是WIFI蓝牙的需求。而诊断连接的需求则有有线连接和无线连接两种方式。这些获取数据的方式又催生了新的安全需求，数据的存储和加密保存，数据的访问控制和访问权限管理。

综上所述，智能网联汽车的安全问题错综复杂，但总体上可以通过数据的保存和网络连接的边界，大体上进行一个分类，如分成外部连接内部连接等。

1.1.1

智能网联汽车黑客攻击方式分析

从黑客攻击的角度可以得到智能网联汽车基本的安全需求。黑客攻击汽车的首先要和汽车进行网络连接，在连接到汽车的内部和外部网络前，通常需要对汽车进行网络扫描的操作。这种扫描可以得到汽车网络的端口情况，根据安全防护不佳的端口情况选择下一步攻击方法。

在端口扫描之后，根据汽车网络中所使用的连接协议，对应的可以选择应用层攻击，如采用Ddos攻击或MIM中间人攻击。同时根据扫描端口结果 ，攻击者还可能找到汽车系统的弱点，根据弱点利用无防护端口进行恶意代码或病毒的攻击，或者利用弱点操控车辆进行危险操作。再者，可能根据网络扫描结果利用扫描到的端口对系统的资源或数据进行访问。

黑客对车辆发起的攻击必然跟网络连接有关，而对系统的网络扫描和漏洞发现是攻击的必要前提。这就对智能网联汽车的防护提出了一个核心要求，那就是主动入侵检测系统，用来检测系统遭到扫描，从源头管理安全风险。

1.1.2

智能网联汽车安全层次分析

智能网联汽车安全可以概括为五个主要层次，依次从底层到高层。

1. 平台安全。平台安全是系统底层安全。其中包括硬件安全，即UN R155中提到的硬件引脚、芯片引脚的封装安全方面，国内即将颁布的强标《GB整车信息安全》和相应推荐标准也多次提到相同内容。除了硬件安全，还包括安全启动，安全启动是指SECUREBOOT技术，是一项多厂商联合开发的保证启动安全的技术，WINDOWS11也开始支持安全启动技术。除了安全启动，还包含安全升级技术。安全升级即是保证升级包从源头安全到达车机端并升级成功的技术。除了安全升级还有安全隔离技术，安全隔离是针对系统的不同功能和系统，做资源访问的隔离和访问权限的隔离策略，避免资源或数据被随意访问。

2. 在线系统通信安全。在线系统是指在车机端的Infotainment系统中或者TBOX系统中在线联网的应用或者程序的安全。

3. 网络分段安全。网络可以分为CAN总线网络和ETHERNET网络安全两种。两个网络通过GATEWAY网关相连。所以网络分段安全是指内部网络中，两个不同网络的分别安全。

4. 外网接口和外网通信安全。接口安全和通信安全在外部连接（指车外连接，包含后台连接、云连接、应用的后台连接等）的安全。

5.安全环境。安全环境是指包含前四个层次的安全，层次最高，包含安全应对措施的部分。

1.2

法规角度对部署IDPS系统的要求

如今全球高速发展的新能源汽车产业已经将智能网联汽车推向了高级发展阶段。以5G联网自动驾驶和人工智能为主要技术的智能网联汽车已经将网络深入引入了汽车行业，随之而来的还伴随着相对应的网络安全风险。为了应对智能网联汽车发展相伴而来的网络安全风险，在国际上发布了UN R155、ISO21434等网联汽车安全标准，在国内也发布了《GB整车信息安全》等对应信息安全标准。各个标准对汽车网络安全的管理方法、技术要求做出了相针对的要求，其中就包括了针对汽车网络安全系统的入侵检测系统的要求。

在UN R155标准中，7.2.2.2中要求“检测安全事件并对事件做出反应”，7.3.7中要求“汽车制造商需对网络威胁、弱点、和网络攻击等汽车相关网络安全支持检测能力。”在UN R155的附件中要求“采取措施，考虑检测内部恶意消息或活动”。另外在国标《GB整车信息安全》中规定“车辆应对接收的数据进行真实性和完整性校验，以识别恶意的V2X 数据、恶意的诊断数据、恶意的专有数据等，并采取防护措施，防止车辆受到恶意数据的攻击。这些国外和国内的权威标准法规中都规定了智能网联汽车需要具备检测攻击和恶意软件代码并做出相应反应的能力。

二、智能网联汽车IDPS方案

网络入侵检测系统的基本思路是将汽车网络根据数据内容和网络逻辑分段进行分类，然后再根据分类确定各个逻辑分类之间的访问逻辑关系。如访问控制策略，流量深度检测管理等。

2.1

智能网联汽车安全区域Domain/SECURITY ZONE

智能网联汽车安全区域是指智能网联汽车内部各功能的重要性和信任级别进行分组的安全逻辑分组。如HMI功能进行分组。

在分隔时采用两种拓扑结构。一是区域Domain隔离的传统物理分组。如E-E架构（CAN总线和Ethernet网络用网关分隔）这种通过网关连接的不同网络。二是新型Zonal区域化的E-E架构。指各种网络逻辑分组。典型的有以太网的VLANs, IP 子网，主要指没有相应的物理隔离，混合型或者中央化的拓扑结构。

图一 物理Domain架构分隔的安全域ZONE

图二 逻辑Zonal架构分隔的E方法。

一是采用物理分隔的方法。

也就是在网关上对网络流量的归属进行分类。例如外网、内网、私网。对应传统IT的概念，外网可以认为是安全级别最低的网络，所以命名为Zone0，指可信程度最低为零。而内网的概念一部分可以等同传统网络安全中的DMZ区域，通常可信程度为50，属于连接传统概念中连接服务器或的内部网络，命名为Zone1。内网的概念还可以引申出私网的概念，是指特定网络号的私有网络部分，相应可信度可以是50到100之间的任何数字，命名为Zone2.这种分法之下，网络没有相应的层级包含关系，而是在安全区域分隔的基础上互相物理或逻辑独立。

二是采用重要性Critical来分安全域Zone。

简而言之就是按照重要性从最低到最高来进行分类。在这样的分类方法下，Zone之间出现了相互包含的等级关系。同样是外部网络分为Zone0，就是可信度为零的最不可信的网络。而Zero1则表示存在外部连接的ECU，Zone2可以表示没有外部连接的ECU。同理Zone3依次类推。这样就可以得到一个自上而下重要性不同的，有层级关系Zone分类。

2.2

基于Domain隔离安全区域的传统IDPS方案

在基于Domain分类的传统方案中，网关处于控制数据流动的核心位置。不同的Zone之间的通讯需要跨越网关进行。根据安全级别的不同，网关能够控制数据穿越不同的Zone。

图三 应用级网关过滤网络帧

在硬件层面，网关Gateway的硬件Switch核心模块将会把不同硬件功能或逻辑功能的ECU分配到不同的端口，如将Infotainment的ECU16和ECU24分配到Zone3K（私网，所以分号码3K），而属于ADAS的ECU15 和ECU23分配为Zone3L（私网，所以分配号码3L），显然这两个domain会具有相同的安全级别，并通过网关Gateway相隔离。

图四 传统IDPS部署方案

如图四所示，传统IDPS部署方案为如下结构：

1. IDPS功能通常作为网关部署在网络的核心，分别连接车机端的以太网和CAN总线，以及TBOX、网络模块等。

2. CAN总线通过uC连接到网关的交换机接口上，获得该接口的安全区域。

3. 以太网通过不同的Domain分别连接到不同的网关交换机端口，分别属于不同的安全区域Zone。

传统IDPS的安全管理方案：

▶核心网关通过在交换机上设置的domain安全级别的不同，分别设立不同的检测策略和处理方式。

在传统IDPS方案中，交换机的固件上分别包括了交换机OS、IP router路由功能、IP Stack IP堆栈和IDPS模块这些组成部分。而在交换机的硬件上，分别包含CPU，ETH CTL以太网控制、DPI routing engine这些不同的硬件模块。

传统IDPS可以对网络流量中的CAN总线数据完整性、VLAN、MAC/IP 地址、端口号、L4层以上协议、应用层数据内容等通过深度包检测DPI技术进行检测。

▶对于穿越不同安全区域的流量，分别进行深度包检测（DPI）。

深度包检测：深度包检测是一项网络流量检测技术，可以对网络流量进行深度检测（检测到网络层、数据链路层、会话层、应用层），并在检测到数据包异常或流量异常时可以做出警告、切断链接、重路由和记录日志等操作。

表格1 传统IDPS应对网络攻击的能力

2.3

基于分布式EE架构的下一代Zonal控制器的IDPS方案

在下一代IDPS方案中，传统中央网关式的网络方案被环状组网方案取代。如下图所示：

图五 下一代分布式ECU网络拓扑

在下一代分布式方案的ECU中，如图所示,应用运行在具有混合的重要性、信任度的控制域中。

▶下一代分布式方案需要能够实现如下需求的解决方案：

1. Domain域控分隔的安全管理区域。包含用Domain分隔的安全管理区域和信任模型分隔的安全管理区域。

2. 利用虚拟化隔离应用的方法控制敏感资源的访问和对敏感数据的攻击。

3. 通信的隔离。包括利用zone controller控制zone之间的通信和中心部署和本地强化的通信策略和访问控制。

4. 在下一代分布式方案中，IDS Sensor作为基本的IDS传感器检测单元，将分布于车辆运算相关系统，如AUTOSAR，通讯控制单元（Telematics Control Unit），网关（Gateway）中。

由于以上的需求存在分布式、多区域、多逻辑分隔的特点。所以在下一代的IDPS中，采用针对通信的功能性为主要边界，实行分区域的入侵检测IDS方案。

▶ E/E架构中的网络安全组件：

1. 入侵检测系统Intrusion Detection system （IDS）

入侵检测系统是用于检测恶意行为或违反策略的设备或者软件应用。

2. 主机入侵检测系统Host-based Intrusion Detection system（HIDS）

主机入侵检测系统检测针对该主机特点的可疑事件。

3. 网络入侵检测系统Network Intrusion Detection system （NIDS）

网络入侵检测系统检测特定网段或设备的网络流量并分析网络、网络流量、应用协议从而发现可疑活动。

4. 分布式入侵检测系统Distributed Intrusion Detection system

分布式入侵检测系统混合了主机入侵检测系统和网络入侵检测系统的优点，可以对两个领域的安全事件进行处理。如果在主机和网络两个领域都部署了入侵检测系统，就可以称为分布式入侵检测系统。

5. 分布式IDS 安全事件集中器Collector集中器Distributed IDS Collector Aggregator

分布式IDS安全事件集中器负责收集各个子系统内的IDS传感器Sensors收集上报的安全事件Security events，这些安全事件将先收集到集中器，然后通过Backend Link链路发送到VSOC后台处理。

6. 车辆安全操作中心Vehicle Security operation Center（VSOC）

车辆安全操作中心是用于管理监控车辆发现对车辆攻击或入侵的管理服务。当VSOC后台收到车辆安全事件时会进行分析，并将应对措施（软件升级、漏洞补丁）等下发到所有有相应漏洞的车辆中。

图六 下一代分布式入侵检测系统基本结构

根据下一代车机系统分布式的环状网络特点。结合三种安全区域分隔的方法，对主要的主机和网络分别部署入侵检测系统，称为分布式入侵检测系统。其中后台部分称为车辆安全操作中心，主要负责收集日志和将控制命令下发到各个分布式入侵检测系统中。

下一代入侵检测系统传感器分布：

图七 下一代分布式入侵检测系统分布式结构

表格2 IDS manager 部署功能区别

下一代分布式入侵检测系统将IDS Sensor直接埋入需要检测的分布式系统中。比如车辆计算类的应用AUTOSAR中，或者通讯控制单元中，或者是传统的网关中。一般来说，传感器的类型分为主机入侵检测类、网络入侵检测类，分布式混合类型（包含主机或网络的两种构型）。

下一代分布式入侵检测系统将IDS Sensor的主要功能包括，收集，分析、保持、安全事件汇总到集中器。

下一代入侵检测系统的工作流程如下：

1. 攻击发起：攻击者远程发现弱点。

2. 攻击实现：即使部署了安全策略、安全管理流程，攻击者仍然可能实现攻击目标。

3. 入侵检测：云驰未来分布式入侵检测系统，检测到网络或主机异常攻击，向VSOC后台发送入侵报告。

4. 检测分析：云驰未来分布式入侵检测系统VSOC后台收到入侵事件报告并系统分析，通知云驰未来专家识别系统弱点。

5. 入侵防御：通过云驰未来VSOC后台向全部车辆下发系统弱点补丁，入侵被中止，弱点被修复。

▶分布式入侵检测系统IDS的模块结构

图八 下一代分布式入侵检测系统模块结构

下一代入侵检测系统IDS内部包含两部分机构，一是Engine，即检测引擎，二是Configuration配置文件。在进行入侵检测的过程中，同防火墙的机制很不相同。如果是防火墙检测到攻击会直接丢掉数据包然后记录安全事件。但入侵检测系统会检测到异常然后生成安全事件，并打上时间戳。

▶下一代入侵检测系统的主要能力

表格3 下一代入侵检测系统的主要能力

▶ 下一代入侵检测系统的部署方法

图九下一代分布式入侵检测系统部署方法

在下一代入侵检测系统的部署上，要结合下一代车机系统的网络结构确定方案。下一代车机系统的网络结构为环状拓扑，同时交换机的数量和位置分布于各个节点之中。所以在部署入侵检测系统时，需要在交换机上针对上行流量做一个镜像操作，将流量镜像到IDS中，实现对流量的实时检测。

2.4

智能网联汽车入侵检测系统的AUTOSAR方案

在AUTOSAR方案中，采用下一代入侵检测方案。

图十 AUTOSAR中的IDPS部署方案

IDPS Sensor：安全事件检测传感器

IDPS Actuator：安全事件反应器

IDPS Ctrl：分析安全事件并在本地做出反应

IDPS Manager（IDSM）：根据数据流内容和状态过滤事件

IDPS Reporter（IdsR）：丰富警报内容（Geo，时间），并发送到SOC

▶ ASOC:车辆安全运作中心

针对目前的主流安全标准要求，主要是UN R155 和ISO 21434，车辆厂商需要具有一定的开发能力。但不用开发所有的安全模块来独自符合这两个主要标准的内容。AUTOSAR作为多厂商联合开发的安全平台，本身具备信息安全测试功能，已经具备相应安全模块，既可以满足现有安全要求，又可以应对未来架构的汽车安全需求。

AUTOSAR的模块中，已经包含从大质数生成到密钥，证书的管理到以太网安全数据传输功能，比如CAN总线上的SecOC和以太网上运行的IPSEC。AUTOSAR还具有诊断和日志功能，认证和访问控制功能，安全升级功能。其中包含的最重要的AUTOSAR功能，就是AUTOSAR中的分布式入侵检测系统功能。自从R20-11版本发布以来，AUTOSAR已经具备分布式入侵检测的能力。

▶ AUTOSAR入侵检测系统方案：

AUTOSAR的入侵检测方案是一个去中心化的方案。

1. idsMs是ids的管理模块。负责收集从ids ctrl也就是sensor中获取的安全事件report。

2. idsR是ids的报告模块。负责将从idsMs中获得的report过滤、汇总成特定格式。

3. idsR工作在通讯模块中，在拿到特定格式报告后，将会通过安全链路连接将报告发送到VSOC/ASOC后台。

4. VSOC/ASOC后台将会把安全事件进行Level1级别自动评估Automated Accessment，然后会根据评估结果决定是否升级安全级别到Level2。对于Level2高级别的安全威胁进行进一步的评估，并把相对应的安全修复（软件升级、漏洞补丁）等下发到每一辆车中。VSOC/ASOC后台下发安全修复更新的安全性由后台的签名保证。