GIV2022|电子科技大学罗蕾：智能网联汽车的网络与数据安全在软硬协调下如何促进发展

2022年12月16日-17日，由安徽省发展和改革委员会作为指导单位，合肥市人民政府、中国电动汽车百人会联合主办的“2022全球智能汽车产业峰会”在安徽合肥召开。本届论坛围绕“全球新变局与智能汽车发展新战略”主题，共设置5个主题论坛和2场闭门会议，与行业机构、高校院所和领先企业代表共同探索我国智能汽车发展新路径。

其中，在12月17日举办的“生态论坛”上，电子科技大学教授 罗蕾发表精彩致辞。以下内容为现场演讲实录：

尊敬的各位专家，大家上午好！我报告的题目《关于智能网联汽车的网络与数据安全在软硬协调下如何促进发展》，报告主要三方面的内容：一、智能网联汽车发展；二、重点介绍一下网络与数据安全的技术和标准；三、介绍一下我们团队。

一、智能网络汽车发展

现在是汽车产业发展非常重要的关键期。进入智能网联汽车的下半场，IT化、智能化、网联化推动了各种应用的发展，汽车已经成为以个人为中心移动的第三空间。整个汽车电子电气架构从分布式向集中方向发展，技术面临着很多挑战。特别是智能汽车还要进一步向车路云协同方向发展，需要高实时、高带宽主干的通信网络，高性能、高实时支持异构多核心软硬件平台，并且还要满足Safety功能安全还有Security，包括网络与数据安全的要求。并且，在这个基础上构建软硬件的生态，要面向SOA，让软硬解耦，让更多的构件、技术和产业生态构建一体化的平台。

车规芯片和操作系统是决定汽车智能化、网联化竞争的关键，也是未来汽车产业发展的制高点。车上的芯片随着智能化、电动化的发展，用量非常大，一般来说要上千颗，价值也非常高。可以看到，把车上的计算控制类芯片分为三大类：各种各样的MCU，原来8位、16位，现在以32位为主，而且向多核方向发展；座舱芯片，类似手机，也是多个接口，算力要求很高，实时性、可靠性要求也非常高；智能芯片，这个芯片里面也是高算力的，而且是异构多核的，还要支持多种可靠性。在这些芯片上，还需要加强芯片内部提供网络和数据安全的能力，这几年还有安全的模块在里面，芯片内也会增加。不管是外接的SE，还是内部的HSM，现在芯片SoC还会在整车网络增加安全通信的软硬协同能力。在芯片的设计里面，也会有很多跟网络安全和数据安全相关的内容，包括功能安全，也是必须的相关内容。

软件方面，现在功能越来越复杂，车上的软件已经超过飞机上软件的量，都达到上亿，有些两三亿以上。传统的软件架构没办法满足车的发展，在“软件定义汽车”层面，软硬分层解耦、软硬协同，在新型架构上，我们也需要采用一些新的架构，而且需要标准化。就像手机安卓生态是把芯片和应用，包括整个产业的技术生态，很好地打造起来；在汽车软件上我们要发展，软件生态必须要建立起来。再大的体系，上千人的团队也无法解决所有的软件开发问题。因此，技术和产业生态若要建立起来，需要大家各自分层解耦、标准化发展。

从操作系统角度来看，我几十年一直在操作系统体系工作。基本上现在大家已经达成共识，虽然将这些操作系统都统称为车用操作系统，但一定是多样化的。在SoC的芯片上，都会有多种操作系统，不可能是一种，一定是多种，因为它满足不同的场景和应用需要。总共可以分为三大类：

一种MCU为主，是以实时控制为主的，即硬实时操作系统，类似满足AUTOSAR的Classic体系，而且功能安全，也支持多核。

第二种是智驾领域，非常复杂，既需要满足功能安全的要求，也需要满足实时性的要求，同时也是异构多核，希望用到更多的生态。可以看到，这个内核也需要满足POSIX体系，不像Classic，POSIX相当于Linux标准，包括AUTOSAR AP，至少要满足PSE51，现在大多数还是要求PSE51甚至54，才能满足生态的要求。是不是说Linux完全解决问题？搞功能安全的人士在这个领域始终有不同的意见，有人认为“我就用Linux加强功能安全”，不过，如果希望Linux通过功能安全认证几乎是不可能的。现在有很多开源组织在做这个事，但是如果要达到满足26262，还是很难的。是不是没有别的路？也许做功能安全设计的人从整车系统或者零部件的角度来做，也是OK的。在这个体系中，可能会有一些其它的核，我们一定需要有这样的认识。而且，智能系统需要虚拟化的技术，需要有功能安全实时性多核且多中间件的系统。

座舱系统相对来说操作系统，不是那么难，现在咱们可用的东西还是比较多的，不管Linux、安卓、阿里的AliOS、HOS，国内还没有替代QNX的核，我们需要努力。其它，这方面，大家做得比较多。

总结下来，未来智能汽车操作系统需要融合虚拟化技术，多内核、多中间件的系统满足功能安全、数据安全、网络安全的要求，还要面向“软件定义汽车”的服务需求。

二、网络与数据安全标准和技术

车辆的网络安全、数据安全已经成为继主动安全、被动安全和功能安全的第四安全。我们知道Safety要求不要威胁到外界环境，Security则要求车或者系统不能被外面攻击所影响，这两个东西是相辅相成的，在设计的时候也要做好它们之间的平衡。网络安全失效会导致功能安全的危害。例如，2015年克莱斯勒汽车遭黑客攻击事件，召回了140万辆汽车。近几年汽车的网络安全事件应该说增加得非常多。我们看到，2021年公开的报告，就有200多起，增长超过了200%。这种事件，实际非常多，。

车辆的数据会产生巨大的商业价值，同时也会带来数据安全的风险。为了实现自动驾驶、辅助驾驶、人机交互、智能网联这些功能，智能汽车要不断采集外界的环境、感知信息、车辆工况信息、驾驶员，还有乘客个人的信息，获得这些敏感的数据，如果不采取有效的保护措施，就会导致数据和隐私安全的风险。

车路云一体系统又涉及到和智慧交通，两者一般结合起来，因为要实现进一步从单车智能到车路协同的智能化。在更好地高度智能化的同时，也面临着更多的风险。系统的开放性也会导致网络安全和数据安全的风险，需要加强防护体系的建设和标准的建设。实际，从国际上来看，大家非常重视，UNECE WP.29从2020年开始正式发布网络安全和软件升级法规，这是强制性的，明确要求OEM建立网络安全的管理体系、CSMS认证，并且要经过评估认证。还要求每个车型按照国际ISO23234标准建立网络安全技术体系，要求每个车型都要通过评估认证。这个法律在2021年已正式生效，2022年7月份正式实施。国内车厂只要出口，都要建立这个体系。并且，已经有一些车型开始通过认证，很多车企开始动作了。国内这块动作还是比较快的。

国内汽标委同步在2017年成立了智能网联汽车分为会，我们参与了很多这方面的工作。成立了网络安全工程相关组，发布两个强标，还有多个国标已经发布，还有两个强标正在制定中。整车的信息安全，类似于WP.29的2155，还有升级的2156也在研究，最近在数据安全方面已经征求意见了。动作非常快。

除此之外，国内关于零部件的安全国标已经发布了五个，在零部件的国标上面，我们还是走在前面的。在数据安全方面，法规也是非常多重，欧盟的GDPR、ISO27701，国内的《数据安全法》《个人隐私保护法》均是这方面的法规。去年，五部委发布了《汽车数据的若干管理规定》，近期也有很多标准出台。这可以看得出来，国内非常重视。这两年，从网信办到工信部，到各大部委，在数据方面快速推进。汽车数据相关法规已经报到网信办有两年多，如果出口车不按照GDPR、ISO27701来做的话，可能会出现问题，可能被罚得很厉害。

从技术来看，整车和车路系统针对面临的复杂网络安全和数据安全，要构建多域融合的、多层次的网络与数据安全的纵深防御体系，这方面的技术很多。总体来说，层层设防，不会是简单的做一个“门”就行了。而且，从零部件到整车，到整个车路协同的系统，要构建一套体系。这个体系需要同步建设、同步规划、同步设计。也就是说，微模型开始就必须要按照这个要求来做，不可能候补，一定按照这个逻辑。我们可以看到，车上的零部件里面的软硬件部分，从密码的部分，到操作系统的安全，到整个应用的安全、存储的安全、通信的安全，再到整车的安全监控等等方面，现在很多车厂已经开始在实施了。

特别重要的就是，按照21434，包括国内，要加强整车的安全监控、入行检测，需要建立IDPS，而且要在多个域控上加IDPS。还有，车内的安全通信要构建安全运营中心，做应急响应策略。现在车厂已经开始前装，这些东西要前装IDPS，要在多个零部件上加上IDPS探针。一旦入侵要阻断，要把这个事件上报，形成联动的安全运营和响应的机制。这是国际法规要求的，国内也是要求的。这部分内容和硬件密切相关。现在我们在实施过程中发觉，性能是一个问题，怎么和硬件深度融合，以及安全通信不和软硬协同起来，都非常难做好。

数据安全和网络安全、功能安全类似，也需要按照微模型同步建设、同步规划。可以看到，生命周期分为几个部分，跟每个车型相关。识别出数据的资产应用的场景，并且要做风险评估分析，需求分析就要分级分类。当然车厂本身也应建立管理体系，同时分级分类哪些是重要数据，哪些是个人数据，哪些是敏感数据。这些全部要分好，只有分级分类好了以后，才能够定义它的需求。思考“我到底采用什么样的防护措施，技术上怎么防护，怎么做数据的监控”，这样一来，这些措施就上去了。到后面还要持续地做测试、评估，运营也一样，不过这个运营持续做安全监控，要思考重要数据是不是被偷走了？敏感数据是不是被控制住了？因此，都要做持续的监测和安全的评估，整个寿命周期都需要对它进行要求。现在汽标委的《征求意见》把整个生命周期都覆盖了，写得非常清晰。

除此之外，数据作为一个生产要素，在汽车领域除了软件定义以外还有数据驱动概念，即数据驱动创新发展。在这样的情况下，数据的合规，除了前面讲到了要采用必要的技术手段，比如身份认证、加密通信、存储、脱敏（最近比较强调智驾中的脱敏、监控），我们还采用一些技术，譬如区块链、隐私计算技术。区块链本身主要解决去中心化、确权的问题，隐私计算可以让数据在使用时更好合规，数据可用不可见、可用可计量，可以更好解决这些问题。这些技术大家可能也听得比较多了。隐私计算非常多的技术，总体来说也是一个大的技术栈，可以分为三个方面的技术。有密态计算、隔离计算还有对方计算，都和软硬协同相关，特别在隔离计算中，可以用可信计算的技术，比如TrustZone技术，这和芯片密切相关。密态计算如果靠软件来做，是不可能的。如果全靠软件做，目前来说，密态计算的很多技术没办法使用，未来还是软硬写要共同来发展。

三、介绍一下团队

我在电子科大嵌入工程计算中心接近20多年的时间，在汽车行业也有很多年，在网络与数据安全方面，我们这几年也在发力。我们跟普华一起发起CASS联盟，在核高基专家组，我负责嵌入式技术软件，2009年开始支持汽车操作系统的发展。2016年，车联成立了网络安全委员会，我作为秘书长，在推动整个汽车的网络安全和数据安全。那时候大家还觉得这个就是成本，不愿意去做这个事，但是，我们在合肥合工大发了第一个白皮书和指南细则，在2017年。

2019年，我们开始和碰鹏城实验室开展汽车靶场工作，攻防演练、人才培养、标准验证。汽车上的测试验证方法已经很多了，但是还不够，我们需要借助一些更先进的方法手段来锻炼培养更多的人。通过这几年的发展，在方院士的指导下，在鹏城实验室开展汽车靶场的很多活动，每年有很多比赛。我们把搞网络安全的一些大学团队整合起来，大家一起熟悉汽车，怎么来让他们做一些攻防演练的学习，并且开展各种竞赛工作。

去年我们成立数据工作组，推动数据安全共享的标准工作。在2016年，我们孵化了一个公司，叫为辰信安，做汽车数据网络安全的产品和服务，也是覆盖全生命周期，主要在车端，应该说，在国内还是比较有影响力的，现在也在开展一些车路协同的工作。

我的汇报就到这儿，谢谢各位专家！

（注：本文根据现场速记整理，未经演讲嘉宾审阅）