摘要：本文主要介绍了智能网联汽车与汽车集成网关相关的安全威胁，介绍了汽车集成网关安全机制，即OTA管理软件、CMAC消息认证模型和AES-128加密算法模型3种安全机制。

    1 研究主要内容
    1.1智能互联汽车面临的安全威胁
    从2015年以来，智能网联汽车不断壮大发展，各大汽车厂家纷纷推出具有车联网功能的汽车，但与此同时也让汽车网络安全面临着威胁与风险。其中与汽车中央集成网关紧密相关的安全威胁有以下几种：第一，车内网传输威胁，车内网络主要是CAN或LIN通讯为主，采用通讯标准均为IS011898，报文ID数量较少，数据场的结构、定义均为统一模式，在售后市场中经常会出现用简单设备（示波器、CAN报文显示器等）将报文破解，黑客们只需要花费很低成本，就可以将整车通讯协议逆向解析出来；第二，车载终端架构威胁，最初ECU只是处理传感器发来的数据，但是进入智能网联汽车后，需要处理从云端或者是服务器发来的数据包，这些数据包中可能会植入恶意软件，从而威胁汽车网络安全；第三，车载终端升级安全威胁，进入智能网联汽车后，汽车ECU升级的过程中也可能存在着安全风险，比如升级过程中，升级包被篡改，或升级包本身含有安全风险，传输过程中升级包有可能被劫持，实施中间人攻击，甚至在生成过程中，云端服务器被攻击，OTA（空中软件升级）成为恶意软件的源头。

    1.2中央集成网关的安全机制
    根据上述潜在安全威胁，政府机构和产业联盟陆续发表白皮书，在白皮书中提出信息安全方法论和行动指南。其中最权威且最具有代表性的是，2017年2月车载信息应用联盟（TIAA）发布的《2016年车联网网络安全白皮书》和《车联网网络安全防护指南  （讨论稿）》，明确定义了智能网联汽车信息安全的方法论。

    2 智能网联汽车信息安全化生命周期融合化
    智能网联汽车信息安全化生命周期，可以分为策划设计阶段、生产阶段、交付使用阶段和废弃阶段。智能网联汽车信息安全保护需要完整贯穿整个生命周期，并与之能彻底融合，实现全生命周期信息安全防护。
    2.1分域隔离、纵深防御
    分域隔离就是整车功能增多或复杂性提高后，用PREEVISON（架构设计工具）将这些功能进行定义、分解、归纳及映射后，耐巴信息融合贯通，得出功能域的分类。整车功能按域可划分为“感知域、控伟喊和决策域”，对不同域进行软件或物理层隔离，从而达到分域保护目的。

    2.2中央集成网关与信息安全性关系
    中央集成网关的安全性，决定着智能网联汽车网络安全性的高低，是阻挡黑客进入汽车内网最有效方法之一。中央集成网关所采用的AES-128加密算法模型、CMAC消息认证模型和OTA管理模型，对汽车网络安全性起着至关重要的作用。
    2.3 AES-128加密算法模型
    AES算法是高级加密标准，AES是由美国国家技术研究院NISTDES设计的，具有结构简单、高速和高安全级别等特性。AES加密数据块的数据包长度必须是，28比特，密钥的长度可以是128位、192位或256位。CMAC的硬件实现基于VHDL语言描述和FPGA实现，使用AES核的分组数据长度为128或256位。AES算法广泛应用于汽车领域，如发动机防盗系统，自汽车发动机防盗系统诞生以来，AES作为核心加密算法一直沿用至今。
    2.4 CMAC消息认证模型
    CMAC （Cipher-based Message Authentication Code）是基于一个对称密钥块密码，如AES（高级加密标准）散列函数消息的AES-CMAC长度标准，CMAC可以处理数据包长度的非整数倍。
    2.5 OTA管理软件
    为了保证接入口（云端、车、服务器）安全，人们采用了OTA管理软件。OTA管理软件会检查进入车内网软件的版本信息、车辆信息及车内零部件信息，如果该信息不完整或不正确，则网关拒绝其进入内网。网关与车内ECU通讯采用AES-128加密模型算法，CMAC消息验证模型提高数据通信安全性。

    3 结束语
    中央集成网关采用OTA管理软件、CMAC消息认证模型和AES-128加密算法模型3种安全机制，能够从电气架构设计角度保证汽车网络的安全性，这是中央集成网关信息安全的核心内容。