确保未来互联汽车的安全

随着汽车行业经历深刻的数字化转型，互联、电气化和软件定义功能的融合重新定义了汽车的设计、制造和运营方式。互联汽车和电动汽车（EV）越来越依赖于通信网络、车载计算平台和基于云的服务，这使得数字攻击面大幅扩大。随着空中升级、自动驾驶功能和车对万物（V2X）通信的日益普及，网络威胁不再是假设，而是真实、持久和日益复杂的威胁。因此，网络安全现在已成为核心设计支柱，而不是生产后的附加物。确保在整个车辆生命周期（从最初的设计和生产到运行和最终退役）内提供强大的保护已变得至关重要。随着监管机构收紧合规性要求，业界采用新的加密标准来应对高级威胁，这一点变得尤为重要。汽车制造商、一级供应商和系统工程师必须通力合作，采取积极主动、面向未来的网络安全战略，以保护汽车及其周边基础设施免遭恶意入侵和数据泄露。

“网络安全不再是可有可无的，而是现代汽车设计和基础设施的基础支柱"。

汽车生命周期中的全面网络安全

如今的汽车不再是孤立的机器，而是由嵌入式控制单元、高速连接和云连接服务组成的复杂互联系统。因此，汽车网络安全的范围必须远远超出保护信息娱乐系统或远程信息处理系统。攻击者可能会利用从固件到无线通信协议中的各种漏洞，影响车辆性能、用户安全或对关键系统的访问。在这个由部件、供应商和基础设施组成的庞大网络中，一个薄弱环节就可能导致连锁后果。

此外，现代汽车涉及一个庞大的利益相关者生态系统--原始设备制造商、一级和二级供应商、软件开发商、基础设施提供商和云服务平台。每个实体都为网络攻击者提供了潜在的切入点，因此整个供应链的协作和安全标准化至关重要。威胁有多种形式：利用未打补丁的 ECU、欺骗 V2X 通信、篡改无线软件更新，甚至将电动汽车充电器作为访问载体。

更复杂的是，如今的车辆在设计时考虑到了越来越高的自主性和电气化，这使得必须保护的接口和相互依存关系的数量成倍增加。例如，在自动驾驶系统中，必须保护传感器融合模块和基于人工智能的决策组件免受敌意干扰。同样，电动汽车中的电池管理系统和电力电子设备也需要严格保护，以防物理和数字攻击破坏车辆功能或用户安全。

消费电子产品的安全问题主要集中在软件更新和数据保护上，而汽车行业则不同，它要求从开发到退役的端到端网络安全性。

在开发阶段，优先考虑功能有时会导致安全疏忽，例如在软件中使用默认的身份验证凭据。一旦车辆进入生产阶段，为防止未经授权的访问，确保身份验证流程的安全就变得至关重要。

当车辆的使用寿命结束时，必须进行适当的退役或数据清理，以清除存储的凭证和认证证书。如果忽视这一步骤，退役车辆即使在退役后也很容易受到网络威胁。通过将网络安全融入每个设计阶段，制造商可以在车辆的整个运行寿命期间保持安全性。

严格监管行业的合规性

随着汽车越来越以软件为中心并实现互联，合规性已成为一种技术需要和业务要求。汽车网络安全已不再是最佳实践或竞争优势的问题--正式的国际标准和国家法规已开始对其进行管理。框架的设计可确保针对不断变化的网络威胁提供一致、可衡量和可执行的保护。

世界各国政府和监管机构要求更严格的风险管理和验证流程，特别是当软件更新、空中下载（OTA）功能和 V2X 通信成为现代汽车的标准功能时。合规性不仅仅是走过场；它涉及在整个开发、制造和上市后阶段的持续评估、漏洞监控和文档记录。

汽车行业正在围绕几个关键标准进行调整，以满足这些日益增长的需求。ISO 26262 长期以来一直规范着汽车设计中的功能安全，而网络安全要求目前正通过 ISO 21434 实现标准化。该标准在保护联网汽车方面发挥着举足轻重的作用，就像 ISO 26262 在安全方面的作用一样。

安全也是自动驾驶汽车应用不可或缺的一部分，在这种应用中，安全和网络安全必须相互配合。此外，保护充电站等电动汽车基础设施也日益受到关注。开放充电桩协议（OCPP）1.6J 依靠传输层安全（TLS）v1.x 实现安全通信，目前仍在广泛使用。不过，OCPP 2.0.1 引入了增强的安全措施，但其缺乏向后兼容性给集成带来了挑战。即将推出的 OCPP 2.1 旨在弥补这些不足，同时加强双向电力传输的安全性，使未来的车对网（V2G）和车对物（V2X）应用成为可能。

尽管取得了这些进步，但电动汽车基础设施的网络安全仍未得到足够重视。随着车辆与电网连接的扩大，工程师必须将安全原则延伸到车辆之外，以确保整个移动生态系统的弹性。

“现在，软件正在推动汽车创新，确保代码、数据和连接的安全至关重要"。

量子计算的挑战： 为后量子世界做准备

随着汽车系统的互联性和对安全通信加密技术的依赖性越来越强，汽车行业面临着一个新出现的潜在破坏性威胁：量子计算。与使用二进制比特的经典计算机不同，量子计算机使用的量子比特（量子比特）可以同时以多种状态存在。这使得量子系统能够以远远超过当今计算机的速度解决复杂问题，包括支撑广泛使用的加密算法安全性的问题。

研究人员已经证明，RSA 等传统数字签名方法在量子计算机上运行的量子算法面前可能不堪一击。这些传统方法构成了当前数字安全的支柱--用于从车对物（V2X）身份验证到安全软件更新等一切领域。在汽车领域，如果这些系统遭到破坏，恶意行为者就可以欺骗命令、安装未经授权的固件或干扰电动汽车充电和电网基础设施。

为了积极应对这一挑战，美国国家标准与技术研究院（NIST）在其后量子密码学（PQC）标准化进程中最终确定了一套抗量子算法。开发人员专门设计了这些抗量子计算机的下一代加密方法，以确保数据的长期保密性和完整性。这些方法包括：

FIPS-203：ML-KEM（密钥封装机制）--这种基于格的加密算法可在不安全通道上安全地交换对称加密密钥。ML-KEM 以 Kyber 算法为基础，可有效抵御量子攻击，同时确保快速的性能和紧凑的密钥大小。对于需要安全建立密钥的场景，如 V2X 验证和 OTA 软件更新，它是必不可少的。

FIPS-204： ML-DSA（数字签名算法）--ML-DSA 也是基于晶格密码学并衍生自 Dilithium 算法，提供抗量子的数字签名。该标准可确保数字信息和软件更新的真实性和完整性，在安全车辆通信和身份验证方面发挥着至关重要的作用。

FIPS-205：SLH-DSA（基于哈希的签名）--SLH-DSA 基于 SPHINCS+ 哈希算法，以其保守的设计和强大的量子威胁抵抗力而著称。它不依赖于数论假设，因此特别适合长期安全需求，如汽车系统中的安全固件签名和长期证书。

迁移到这些新的加密标准至关重要，尤其是对于 V2X 和 V2G 通信（车辆自主验证和交换授权数据）而言。这与 ISO 15118 Plug & Charge 功能尤其相关，该功能可实现安全的电动汽车自动充电会话。

“未来的移动性取决于整个生态系统中积极主动、量子就绪的网络安全战略"。

安全移动的未来

随着车辆互联技术的不断发展，网络安全必须同步提升—不仅要防范新兴威胁，还要增强消费者对日益自主化和软件驱动型车辆的信任。未来出行方式的成败取决于数字信任，而数字信任又依赖于确保全球供应链中通信的安全性、软件更新的安全性以及硬件组件的完整性。

积极主动的多层次安全策略至关重要。这包括利用能够抵御当前和未来攻击的加密技术，实施实时威胁检测和软件补丁，以及不仅对车辆而且对其支持基础设施采用安全最佳实践。随着汽车系统越来越依赖 V2X、云连接和人工智能驱动的功能，攻击面也在不断扩大，因此恢复能力成为一个不可或缺的设计目标。

制造商必须从系统层面出发，将网络安全从概念植入到退役。这意味着要在设计阶段建立威胁模型，在工程设计过程中采用安全的开发实践，在生产过程中实施强大的访问控制，并在报废时进行安全退役。正如功能安全已成为不容妥协的问题一样，汽车制造商现在也必须将网络安全放在同等重要的位置。未来发展方向的关键要点：

网络安全在汽车生命周期的每个阶段都至关重要；

•ISO 21434 等标准和后量子加密技术为安全设计提供了必要的保障；

•随着 V2G 和自主系统的发展，基础设施安全必须与车辆安全相匹配；

•量子计算是未来对传统加密技术的真正威胁；

•积极主动的分层防御策略对于保护下一代移动性是必不可少的。

通过将网络安全嵌入汽车设计的每个阶段并预测新出现的威胁，汽车行业可以促进未来的安全、智能和弹性交通。这包括采用多层次的方法，包括加密保障措施、持续的软件补丁、威胁监控，以及调整整个移动生态系统的安全策略--从单个 ECU 到 V2X 通信和更广泛的能源网。总之，保护下一代互联汽车需要将创新与警惕性相结合的前瞻性战略。

关于作者

Francesco Fiaschi是Littelfuse公司网络安全专家，拥有丰富的嵌入式软件、工程和产品管理经验。在加入 Littelfuse 之前，Francesco 曾在 WindRiver、Harman & Becker、英飞凌和英特尔等国际知名企业工作，获得专业项目经理 (PMP) 证书。曾在电信、工业、军事、航空、汽车、物联网、医疗和安全生产制造等多个领域工作过，最近的工作重点是网络安全。Francesco 拥有意大利电子学硕士学位。