01

引言

圖1 智能網(wǎng)聯(lián)汽車(chē)對(duì)外通信架構(gòu)[1]

在很多人的認(rèn)知里，汽車(chē)安全往往等同于剎車(chē)是否可靠、控制是否穩(wěn)定，或者再進(jìn)一步，是否存在車(chē)內(nèi) CAN 總線、ECU 被攻擊的問(wèn)題。但在我們長(zhǎng)期參與汽車(chē)信息安全測(cè)試與評(píng)估的過(guò)程中，一個(gè)變化越來(lái)越明顯——真正暴露風(fēng)險(xiǎn)最多的，往往不是“車(chē)內(nèi)”，而是“車(chē)外”。

隨著智能網(wǎng)聯(lián)技術(shù)的普及，汽車(chē)早已不再是一個(gè)封閉運(yùn)行的機(jī)械系統(tǒng)，而是演變?yōu)橐粋€(gè)長(zhǎng)期在線、持續(xù)通信、不斷升級(jí)的軟件系統(tǒng)。車(chē)輛在運(yùn)行過(guò)程中，會(huì)持續(xù)與云端平臺(tái)、路側(cè)設(shè)施以及各類(lèi)第三方服務(wù)發(fā)生數(shù)據(jù)交互，而這些“對(duì)外通信能力”，正在成為整車(chē)安全體系中不可忽視的關(guān)鍵環(huán)節(jié)。

從行業(yè)實(shí)踐來(lái)看，越來(lái)越多安全問(wèn)題并非源于控制算法本身的設(shè)計(jì)缺陷，而是出現(xiàn)在以下場(chǎng)景中：

- 車(chē)輛通過(guò)公網(wǎng)與云平臺(tái)進(jìn)行遠(yuǎn)程通信

- 車(chē)輛依賴(lài)第三方服務(wù)完成定位、內(nèi)容分發(fā)或功能擴(kuò)展

- 車(chē)輛通過(guò) OTA 機(jī)制持續(xù)接收配置或軟件更新

這些場(chǎng)景的共同特征在于：通信對(duì)象多、鏈路復(fù)雜、生命周期長(zhǎng)，一旦安全邊界設(shè)計(jì)不當(dāng)，風(fēng)險(xiǎn)往往具備“遠(yuǎn)程性”和“規(guī)模性”。

02

智能網(wǎng)聯(lián)汽車(chē)的對(duì)外通信方式

在很多討論中，“對(duì)外通信”往往被當(dāng)作一個(gè)整體概念來(lái)看待，似乎只要車(chē)輛能夠聯(lián)網(wǎng)，與外部系統(tǒng)進(jìn)行數(shù)據(jù)交互，就完成了對(duì)外通信能力的構(gòu)建。

但從工程體系和安全視角來(lái)看，這種理解是明顯不夠的。

智能網(wǎng)聯(lián)汽車(chē)的對(duì)外通信，并不是一條鏈路，而是多種通信機(jī)制長(zhǎng)期并存、相互疊加的結(jié)果。[2]

這些通信機(jī)制在設(shè)計(jì)目標(biāo)、工程實(shí)現(xiàn)和風(fēng)險(xiǎn)特征上差異顯著，如果不加區(qū)分地討論，很容易在后續(xù)安全分析中失焦。

2.1 V2X：以“消息協(xié)同”為核心的實(shí)時(shí)通信機(jī)制

V2X 通信的核心目標(biāo)，是實(shí)現(xiàn)車(chē)輛與道路基礎(chǔ)設(shè)施、其他車(chē)輛之間的實(shí)時(shí)協(xié)同，其工程特點(diǎn)高度集中在“消息”本身。

與傳統(tǒng)客戶(hù)端—服務(wù)器通信不同，V2X 通信強(qiáng)調(diào)：

- 高發(fā)送頻率

- 實(shí)時(shí)性要求高

- 消息類(lèi)型和觸發(fā)場(chǎng)景復(fù)雜

在工程實(shí)現(xiàn)中，車(chē)輛需要持續(xù)接收并處理來(lái)自外部環(huán)境的協(xié)同信息，而這些信息往往會(huì)直接影響車(chē)輛行為決策或系統(tǒng)狀態(tài)。

這意味著，V2X 并不僅僅是一種“聯(lián)網(wǎng)能力”，而是一種高度依賴(lài)消息可信性與行為約束的通信機(jī)制。

圖2 V2X通信架構(gòu)

圖3 協(xié)同組網(wǎng)與控制場(chǎng)景

2.2蜂窩通信（4G/5G）：公網(wǎng)環(huán)境下的遠(yuǎn)程通信主干

基于 4G/5G 的蜂窩通信，是當(dāng)前智能網(wǎng)聯(lián)汽車(chē)最核心、也是覆蓋范圍最廣的對(duì)外通信方式。

它主要承擔(dān)以下職責(zé)：

- 車(chē)輛與云平臺(tái)之間的持續(xù)通信

- 遠(yuǎn)程服務(wù)、遠(yuǎn)程控制與運(yùn)維能力

- OTA 升級(jí)與策略下發(fā)

從工程角度看，蜂窩通信的顯著特征在于：

- 通信鏈路長(zhǎng)期在線

- 依賴(lài)公網(wǎng)環(huán)境

- 一旦能力失控，影響具備遠(yuǎn)程性和規(guī)模性

也正因如此，蜂窩通信往往成為對(duì)外通信安全評(píng)估中最復(fù)雜、也是最容易被低估的一部分。

2.3GNSS：以“數(shù)據(jù)輸入”為主的基礎(chǔ)能力通信

GNSS 在智能網(wǎng)聯(lián)汽車(chē)中通常不被直觀理解為“通信”，但從系統(tǒng)角度看，它本質(zhì)上是一種持續(xù)從外部環(huán)境接收數(shù)據(jù)的通信機(jī)制。

GNSS 提供的核心能力包括：

- 位置信息

- 時(shí)間同步

- 運(yùn)動(dòng)狀態(tài)相關(guān)數(shù)據(jù)

在工程實(shí)現(xiàn)中，這類(lèi)數(shù)據(jù)往往被視為“基礎(chǔ)輸入”，并被廣泛用于導(dǎo)航、調(diào)度、決策甚至安全相關(guān)邏輯中。

因此，GNSS 的關(guān)鍵特征并不在于“是否可用”，而在于：系統(tǒng)是否對(duì)這類(lèi)外部數(shù)據(jù)的可信性具備足夠的工程約束。

2.4Wi-Fi：局部場(chǎng)景下的高權(quán)限通信能力

Wi-Fi 通信在車(chē)輛中通常用于：

- 診斷與維護(hù)

- 特定功能配置

- 局部場(chǎng)景下的數(shù)據(jù)交互

與蜂窩通信相比，Wi-Fi 的使用范圍更有限，但其工程特點(diǎn)恰恰在于：

- 通信距離近

- 接入后權(quán)限往往較高

- 使用場(chǎng)景高度集中

這使得 Wi-Fi 成為一種“不常用，但一旦使用就影響較大”的通信機(jī)制，在安全討論中不應(yīng)被簡(jiǎn)單忽略。

2.5藍(lán)牙：低門(mén)檻接入背后的能力擴(kuò)展通道

藍(lán)牙通常被認(rèn)為是一種“低風(fēng)險(xiǎn)、短距離”的通信方式，但在智能網(wǎng)聯(lián)汽車(chē)中，其工程角色遠(yuǎn)不止如此。

藍(lán)牙通信常用于：

- 車(chē)機(jī)與移動(dòng)終端交互

- 近距離控制與狀態(tài)獲取

- 功能觸發(fā)與身份關(guān)聯(lián)

其工程特征在于：

- 接入門(mén)檻低

- 配對(duì)成功后通信能力可能被持續(xù)保留

- 容易成為其他系統(tǒng)能力的觸發(fā)入口

這使得藍(lán)牙在對(duì)外通信體系中，往往承擔(dān)著“入口級(jí)通信機(jī)制”的角色。

2.6對(duì)外通信，本質(zhì)上是多種通信機(jī)制的疊加系統(tǒng)

綜合來(lái)看，智能網(wǎng)聯(lián)汽車(chē)的對(duì)外通信，并不是單一能力，而是由多種通信機(jī)制共同構(gòu)成的復(fù)雜系統(tǒng)：

-V2X：實(shí)時(shí)協(xié)同、消息驅(qū)動(dòng)

-蜂窩通信：遠(yuǎn)程、公網(wǎng)、規(guī)?；?/p>

-GNSS：外部數(shù)據(jù)輸入、基礎(chǔ)能力

-Wi-Fi / 藍(lán)牙：本地接入、高權(quán)限入口

這些通信機(jī)制在工程目標(biāo)、使用場(chǎng)景和風(fēng)險(xiǎn)特征上差異巨大，也正因如此：后續(xù)所有關(guān)于對(duì)外通信安全的討論，都必須回到“具體通信機(jī)制”本身。

這將成為理解后續(xù)風(fēng)險(xiǎn)分析、測(cè)試難點(diǎn)和評(píng)估方法的關(guān)鍵前提。

03

對(duì)外通信鏈路的風(fēng)險(xiǎn)

在單一通信場(chǎng)景下，安全問(wèn)題往往相對(duì)清晰：通信對(duì)象明確、數(shù)據(jù)類(lèi)型有限、工程假設(shè)相對(duì)穩(wěn)定。

但在智能網(wǎng)聯(lián)汽車(chē)中，對(duì)外通信并不是“選擇其中一種”，而是V2X、蜂窩通信、GNSS、Wi-Fi、藍(lán)牙等多種機(jī)制同時(shí)存在、長(zhǎng)期并行運(yùn)行[3]。

從工程與安全視角看，風(fēng)險(xiǎn)并不是簡(jiǎn)單相加的，而是在機(jī)制疊加過(guò)程中被放大、被放寬、被轉(zhuǎn)移。

3.1不同通信機(jī)制的“安全假設(shè)”并不一致

每一種通信機(jī)制，在設(shè)計(jì)之初都隱含了一組前提假設(shè)：

-V2X 假設(shè)：

消息高頻但短生命周期，核心在于完整性與實(shí)時(shí)性

-蜂窩通信假設(shè)：

基于公網(wǎng)環(huán)境，通過(guò)協(xié)議、加密與鑒權(quán)建立安全邊界

-GNSS 假設(shè)：

定位與時(shí)間數(shù)據(jù)在大多數(shù)情況下是可信輸入

-Wi-Fi / 藍(lán)牙假設(shè)：

通信距離近、使用場(chǎng)景受限、觸發(fā)條件明確

單獨(dú)看這些假設(shè)，往往是合理的；但當(dāng)它們?cè)谕幌到y(tǒng)中同時(shí)成立時(shí)，就會(huì)出現(xiàn)一個(gè)工程現(xiàn)實(shí)問(wèn)題：系統(tǒng)往往默認(rèn)“所有假設(shè)同時(shí)成立”，卻缺乏機(jī)制去驗(yàn)證這些假設(shè)是否在同一時(shí)刻依然成立。

這正是系統(tǒng)性風(fēng)險(xiǎn)的起點(diǎn)。

3.2通信機(jī)制之間并非“相互隔離”，而是存在能力傳導(dǎo)

不同通信機(jī)制通常并不是完全獨(dú)立的模塊，而是通過(guò)系統(tǒng)架構(gòu)發(fā)生耦合，例如：

- 藍(lán)牙或 Wi-Fi 用于本地接入或觸發(fā)操作

- 蜂窩通信用于將結(jié)果同步到云端

- GNSS 數(shù)據(jù)作為多種功能的基礎(chǔ)輸入

- V2X 消息參與協(xié)同決策或狀態(tài)判斷

這意味著，一個(gè)通信機(jī)制中的輸入或觸發(fā)，很可能通過(guò)系統(tǒng)內(nèi)部邏輯，間接影響另一種通信機(jī)制的行為[4]。

從安全視角看，風(fēng)險(xiǎn)往往并不來(lái)自“單一通信鏈路失效”，而來(lái)自：低門(mén)檻或低風(fēng)險(xiǎn)假設(shè)的通信機(jī)制，間接觸發(fā)了高權(quán)限或高影響力的通信能力。

3.3不同通信機(jī)制的生命周期差異，導(dǎo)致安全邊界不一致

從工程生命周期看，不同通信機(jī)制的變化節(jié)奏存在明顯差異：

- 蜂窩通信協(xié)議、云接口、服務(wù)策略更新頻繁

- 第三方服務(wù)與平臺(tái)能力持續(xù)演進(jìn)

- GNSS 與 V2X 相關(guān)能力更新節(jié)奏較慢

- Wi-Fi / 藍(lán)牙 通常在早期設(shè)計(jì)階段就已確定

當(dāng)這些機(jī)制在同一車(chē)輛生命周期內(nèi)長(zhǎng)期共存時(shí)，很容易出現(xiàn)：

- 某一通信機(jī)制的安全策略已更新

- 但其他機(jī)制仍然基于舊的工程假設(shè)運(yùn)行

這會(huì)導(dǎo)致系統(tǒng)整體安全邊界在時(shí)間維度上逐漸失衡。

換句話說(shuō)：不是系統(tǒng)“突然不安全”，而是安全假設(shè)在不知不覺(jué)中失效。

3.4多通信機(jī)制疊加，使系統(tǒng)狀態(tài)空間急劇擴(kuò)大

從工程建模角度看，系統(tǒng)安全高度依賴(lài)于“狀態(tài)可控”。

但當(dāng)多種通信機(jī)制并行運(yùn)行時(shí)，系統(tǒng)狀態(tài)將同時(shí)受到以下因素影響：

- 網(wǎng)絡(luò)狀態(tài)變化（公網(wǎng)、局域網(wǎng)、短距通信）

- 外部輸入變化（定位、協(xié)同消息）

- 平臺(tái)與服務(wù)狀態(tài)變化（策略、配置、版本）

在這種情況下，系統(tǒng)實(shí)際運(yùn)行在一個(gè)高維狀態(tài)空間中，而大多數(shù)測(cè)試與驗(yàn)證，只覆蓋其中極少數(shù)“典型狀態(tài)”。

這意味著：即便每一種通信機(jī)制在單獨(dú)測(cè)試時(shí)表現(xiàn)正常，它們?cè)谀承顟B(tài)組合下的行為，仍可能超出原始設(shè)計(jì)預(yù)期。

3.5風(fēng)險(xiǎn)往往不是“新增”，而是被“放大和轉(zhuǎn)移”

在多通信機(jī)制并存的系統(tǒng)中，安全問(wèn)題的表現(xiàn)形式往往具有一個(gè)共同特征：

- 風(fēng)險(xiǎn)并非某一機(jī)制獨(dú)有

- 而是在機(jī)制之間被放大、被轉(zhuǎn)移、被組合利用

例如：

- 原本低影響的數(shù)據(jù)輸入，被用于更高風(fēng)險(xiǎn)決策

- 原本局部通信能力，觸發(fā)了遠(yuǎn)程或集中式操作

- 原本短生命周期的消息，被系統(tǒng)長(zhǎng)期保存或復(fù)用

這些問(wèn)題在單一機(jī)制下并不明顯，但在疊加系統(tǒng)中卻具備現(xiàn)實(shí)可行性。

04

對(duì)外通信安全問(wèn)題的原因

圖4 智能網(wǎng)聯(lián)汽車(chē)的協(xié)同應(yīng)用場(chǎng)景

在智能網(wǎng)聯(lián)汽車(chē)中，對(duì)外通信安全問(wèn)題并不一定來(lái)自“惡意設(shè)計(jì)”。

大量風(fēng)險(xiǎn)，實(shí)際上產(chǎn)生于功能完全正常的工程實(shí)現(xiàn)方式——當(dāng)通信機(jī)制的設(shè)計(jì)假設(shè)、實(shí)現(xiàn)細(xì)節(jié)或演進(jìn)路徑缺乏約束時(shí)，系統(tǒng)就會(huì)逐步暴露出可被濫用的空間[7]。

4.1V2X：消息機(jī)制可用，但“消息可用行為”邊界不清

V2X 通信以消息為核心，其工程實(shí)現(xiàn)重點(diǎn)并不在傳統(tǒng)意義上的接口調(diào)用，而在于消息的接收、解析與處理邏輯。在工程實(shí)踐中，常見(jiàn)的風(fēng)險(xiǎn)來(lái)源包括：

（1）消息完整性與處理邏輯脫節(jié)

系統(tǒng)能夠校驗(yàn)消息是否合法，但在工程實(shí)現(xiàn)中，消息一旦通過(guò)校驗(yàn)，其后續(xù)處理路徑往往缺乏更細(xì)粒度的約束，不同類(lèi)型消息的安全策略強(qiáng)度不一致。

（2）異?；蚍堑湫拖⑷狈こ碳?jí)約束

在高頻通信環(huán)境下，系統(tǒng)往往更關(guān)注“正常消息是否能被及時(shí)處理”，而對(duì)異常頻率、異常組合或非常規(guī)時(shí)序的消息缺乏足夠的工程限制。

（3）消息被直接用于協(xié)同行為或狀態(tài)判斷

當(dāng) V2X 消息被用于影響車(chē)輛行為或系統(tǒng)狀態(tài)時(shí)，其工程風(fēng)險(xiǎn)不在于“消息能否收到”，而在于系統(tǒng)是否假設(shè)消息始終可信、始終合理。

4.2 蜂窩通信（4G/5G）：協(xié)議存在，但工程實(shí)現(xiàn)假設(shè)過(guò)于理想

基于蜂窩網(wǎng)絡(luò)的通信，是智能網(wǎng)聯(lián)汽車(chē)對(duì)外通信中最成熟、也是最復(fù)雜的一部分。

在多數(shù)系統(tǒng)中，協(xié)議、加密與鑒權(quán)機(jī)制是默認(rèn)配置，但工程風(fēng)險(xiǎn)往往隱藏在“默認(rèn)合理”的實(shí)現(xiàn)假設(shè)中。常見(jiàn)問(wèn)題包括：

（1）通信協(xié)議存在兼容或降級(jí)路徑

為滿(mǎn)足不同環(huán)境或歷史系統(tǒng)兼容需求，工程實(shí)現(xiàn)中可能保留多種通信方式，而安全策略并不一定在所有路徑中保持一致。

（2）鑒權(quán)憑據(jù)生命周期過(guò)長(zhǎng)

通信憑據(jù)在工程上被設(shè)計(jì)為長(zhǎng)期有效，且缺乏使用頻率、作用范圍或車(chē)輛狀態(tài)綁定等約束，使得憑據(jù)一旦被濫用，其影響具有遠(yuǎn)程性和規(guī)模性。

（3）遠(yuǎn)程接口在工程上可被組合使用

單個(gè)接口在設(shè)計(jì)時(shí)看似合理，但在系統(tǒng)層面，多個(gè)接口或能力被組合后，可能突破原有業(yè)務(wù)或安全假設(shè)[6]。

4.3GNSS：功能正常，但“數(shù)據(jù)可信性假設(shè)”缺乏工程驗(yàn)證

GNSS 在系統(tǒng)中通常被視為一種穩(wěn)定可靠的數(shù)據(jù)輸入，其風(fēng)險(xiǎn)并不體現(xiàn)在“定位是否可用”，而體現(xiàn)在系統(tǒng)如何使用這些數(shù)據(jù)。工程機(jī)制層面的常見(jiàn)問(wèn)題包括：

（1）對(duì)定位數(shù)據(jù)缺乏合理性與一致性校驗(yàn)

系統(tǒng)往往直接使用 GNSS 數(shù)據(jù)，而缺乏對(duì)異常跳變、時(shí)間一致性或運(yùn)動(dòng)邏輯的工程級(jí)校驗(yàn)。

（2）GNSS 數(shù)據(jù)被用于高風(fēng)險(xiǎn)決策場(chǎng)景

當(dāng)定位或時(shí)間數(shù)據(jù)被直接用于調(diào)度、協(xié)同或安全相關(guān)邏輯時(shí)，其可信性假設(shè)一旦失效，影響往往被放大。

（3）缺乏多源數(shù)據(jù)交叉驗(yàn)證機(jī)制

在工程實(shí)現(xiàn)中，系統(tǒng)可能依賴(lài)單一數(shù)據(jù)源，而未對(duì)外部輸入建立冗余或校驗(yàn)路徑。

4.4Wi-Fi：局部通信能力，但工程權(quán)限往往過(guò)高

Wi-Fi 通信在車(chē)輛中通常用于診斷、維護(hù)或特定功能場(chǎng)景，其使用頻率不高，但一旦建立連接，往往具備較高系統(tǒng)權(quán)限。常見(jiàn)工程風(fēng)險(xiǎn)包括：

（1）接入條件與使用場(chǎng)景脫節(jié)

Wi-Fi 接入在工程上可能僅驗(yàn)證連接條件，而未嚴(yán)格限制其使用時(shí)機(jī)與系統(tǒng)狀態(tài)。

（2）調(diào)試或維護(hù)能力被長(zhǎng)期保留

原本用于開(kāi)發(fā)或運(yùn)維的通信能力，在量產(chǎn)環(huán)境中仍然存在，成為潛在的高權(quán)限入口。

（3）連接后能力邊界缺乏收斂機(jī)制

一旦建立通信，系統(tǒng)往往默認(rèn)其行為合理，而缺乏進(jìn)一步的權(quán)限收斂與行為限制。

4.5藍(lán)牙：配對(duì)成功，并不等于通信行為始終可控

藍(lán)牙通信在車(chē)輛中被廣泛用于近距離交互，其工程風(fēng)險(xiǎn)并不來(lái)自通信距離，而來(lái)自配對(duì)關(guān)系與系統(tǒng)能力之間的映射關(guān)系。工程層面常見(jiàn)問(wèn)題包括：

（1）配對(duì)關(guān)系長(zhǎng)期有效且缺乏清理機(jī)制

歷史配對(duì)關(guān)系在工程上被長(zhǎng)期保留，即使使用場(chǎng)景已發(fā)生變化，通信能力仍然存在。

（2）配對(duì)成功后能力被放大

一旦配對(duì)完成，藍(lán)牙通道可能被用于觸發(fā)更高權(quán)限的系統(tǒng)能力，而這一過(guò)程缺乏足夠的工程約束。

（3）藍(lán)牙成為其他通信能力的觸發(fā)入口

藍(lán)牙通信本身看似低風(fēng)險(xiǎn)，但其在系統(tǒng)中可能作為其他對(duì)外通信或控制能力的“入口”。

05

面向不同通信機(jī)制的對(duì)外通信安全測(cè)試重點(diǎn)

在智能網(wǎng)聯(lián)汽車(chē)中，不同對(duì)外通信機(jī)制在協(xié)議特性、數(shù)據(jù)交互方式以及工程實(shí)現(xiàn)路徑上存在顯著差異，因此其安全測(cè)試重點(diǎn)也不盡相同。實(shí)際測(cè)試工作通常需要圍繞各類(lèi)通信方式的技術(shù)特征展開(kāi)，分別驗(yàn)證其在工程實(shí)現(xiàn)層面的安全性與可控性。

在 V2X 通信場(chǎng)景下，安全測(cè)試的核心關(guān)注點(diǎn)通常集中在消息機(jī)制本身。測(cè)試需要驗(yàn)證協(xié)議棧及相關(guān)安全機(jī)制是否按設(shè)計(jì)生效，確保消息在傳輸與處理過(guò)程中具備完整性、時(shí)效性與可信來(lái)源校驗(yàn)?zāi)芰ΑＭ瑫r(shí)，還需要關(guān)注系統(tǒng)對(duì)不同類(lèi)型消息的處理邊界，例如在面對(duì)異常頻率、非典型時(shí)序或組合消息時(shí)，是否仍能保持穩(wěn)定且可預(yù)期的處理行為。由于 V2X 消息往往直接參與協(xié)同行為或狀態(tài)判斷，安全測(cè)試還需要評(píng)估系統(tǒng)在異常消息條件下是否具備合理的收斂與保護(hù)策略。

基于 4G/5G 的蜂窩通信是車(chē)輛與云平臺(tái)及遠(yuǎn)程服務(wù)交互的主要通道，其安全測(cè)試通常圍繞通信鏈路、身份鑒權(quán)與遠(yuǎn)程能力邊界展開(kāi)。一方面，需要驗(yàn)證通信過(guò)程中是否始終采用預(yù)期的安全協(xié)議與配置，避免出現(xiàn)明文傳輸或策略不一致的實(shí)現(xiàn)路徑；另一方面，還需對(duì)憑據(jù)與會(huì)話管理進(jìn)行檢查，評(píng)估其生命周期、權(quán)限范圍及一致性控制是否合理。此外，由于蜂窩通信承載了遠(yuǎn)程指令、策略下發(fā)與 OTA 等關(guān)鍵能力，安全測(cè)試還應(yīng)關(guān)注這些遠(yuǎn)程能力在工程上是否具備明確的使用場(chǎng)景約束、審計(jì)記錄與異?；赝藱C(jī)制。

在 GNSS 相關(guān)測(cè)試中，關(guān)注點(diǎn)并不在于定位精度本身，而在于系統(tǒng)如何使用來(lái)自外部的定位與時(shí)間數(shù)據(jù)。安全測(cè)試通常需要驗(yàn)證系統(tǒng)是否對(duì) GNSS 輸入建立了基本的合理性與一致性校驗(yàn)機(jī)制，以及在定位或授時(shí)出現(xiàn)異常特征時(shí)是否能夠觸發(fā)相應(yīng)的降級(jí)或保護(hù)策略。同時(shí)，還需要梳理 GNSS 數(shù)據(jù)在系統(tǒng)中的使用范圍，評(píng)估其是否被直接用于關(guān)鍵決策或協(xié)同行為，從而確認(rèn)外部輸入在工程上是否始終處于可控的使用邊界內(nèi)。

Wi-Fi 通信在車(chē)輛中多用于本地接入、維護(hù)或診斷場(chǎng)景，其安全測(cè)試重點(diǎn)通常放在接入控制與權(quán)限邊界上。測(cè)試需要驗(yàn)證 Wi-Fi 接入是否采用了合理的認(rèn)證與加密配置，并與具體使用場(chǎng)景和車(chē)輛狀態(tài)進(jìn)行綁定，避免非預(yù)期條件下的接入行為。同時(shí)，還應(yīng)評(píng)估連接建立后系統(tǒng)所暴露的服務(wù)和能力范圍，確認(rèn)是否存在權(quán)限過(guò)高或調(diào)試、維護(hù)能力在量產(chǎn)環(huán)境中長(zhǎng)期保留的情況。此外，對(duì)連接生命周期和操作審計(jì)能力的驗(yàn)證，也有助于評(píng)估本地通信通道的整體安全成熟度。

藍(lán)牙通信作為近距離交互的重要手段，其安全測(cè)試通常圍繞配對(duì)關(guān)系管理與能力映射展開(kāi)。測(cè)試需要關(guān)注配對(duì)流程和信任關(guān)系的建立與回收機(jī)制，確保歷史配對(duì)關(guān)系在設(shè)備更換或使用場(chǎng)景變化后能夠被有效清理。同時(shí)，還應(yīng)評(píng)估配對(duì)成功后系統(tǒng)所授予的能力是否遵循最小權(quán)限原則，以及藍(lán)牙通道是否可能在工程上觸發(fā)更高權(quán)限的系統(tǒng)功能或其他對(duì)外通信能力。通過(guò)這些測(cè)試，可以驗(yàn)證藍(lán)牙在作為本地入口時(shí)，其安全邊界是否始終受到有效控制。

06

總 結(jié)

在實(shí)際工程中，上述各類(lèi)通信機(jī)制的安全測(cè)試如果分散開(kāi)展，往往容易形成“點(diǎn)狀結(jié)論”，難以支撐對(duì)整車(chē)對(duì)外通信安全性的整體判斷。因此，行業(yè)中逐漸形成了一種更為可行的思路：以通信機(jī)制為主線，將 V2X、蜂窩通信、GNSS、Wi-Fi 與藍(lán)牙等測(cè)試能力進(jìn)行統(tǒng)一整合，在同一測(cè)試體系內(nèi)完成協(xié)同驗(yàn)證與關(guān)聯(lián)分析。

基于這一思路，上?？匕餐瞥隽?strong>專(zhuān)為工業(yè)互聯(lián)網(wǎng)與網(wǎng)聯(lián)汽車(chē)場(chǎng)景設(shè)計(jì)的對(duì)外通信安全測(cè)試解決方案，并在此基礎(chǔ)上構(gòu)建了自動(dòng)化智能模糊滲透測(cè)試工具SmartRocket TestSec。該工具深度融合模糊測(cè)試技術(shù)與仿真分析能力，能夠?qū)⒉煌ㄐ欧绞降陌踩珳y(cè)試能力統(tǒng)一納入同一技術(shù)框架之下，面向 V2X 消息通信、4G/5G 遠(yuǎn)程通信、GNSS 外部輸入以及車(chē)載 Wi-Fi、藍(lán)牙本地通信等典型場(chǎng)景，開(kāi)展協(xié)議與配置檢查、通信行為測(cè)試以及權(quán)限邊界驗(yàn)證。

圖5 SmartRocket TestSec智能網(wǎng)聯(lián)汽車(chē)滲透測(cè)試用例

SmartRocket TestSec 既支持針對(duì)單一通信機(jī)制開(kāi)展專(zhuān)項(xiàng)安全測(cè)試，也能夠從系統(tǒng)層面驗(yàn)證多種通信機(jī)制并行運(yùn)行時(shí)的整體安全邊界。例如，在遠(yuǎn)程通信與本地?zé)o線通道共存的場(chǎng)景下，可用于評(píng)估本地接入是否可能觸發(fā)遠(yuǎn)程能力；在 GNSS 與 V2X 協(xié)同使用的場(chǎng)景中，則可以結(jié)合仿真分析能力，對(duì)外部輸入數(shù)據(jù)對(duì)協(xié)同行為和系統(tǒng)決策的影響范圍進(jìn)行驗(yàn)證。通過(guò)這種方式，測(cè)試結(jié)論不再停留在單點(diǎn)風(fēng)險(xiǎn)描述，而是能夠反映整車(chē)對(duì)外通信能力在真實(shí)運(yùn)行環(huán)境下的整體安全狀態(tài)。

總體來(lái)看，面向網(wǎng)聯(lián)汽車(chē)的對(duì)外通信安全測(cè)試，正在從“單一接口或單一協(xié)議的檢測(cè)”逐步走向“多通信機(jī)制協(xié)同驗(yàn)證”的階段。通過(guò)以上?？匕?SmartRocket TestSec 為代表的統(tǒng)一測(cè)試體系，覆蓋 V2X、蜂窩通信、GNSS、Wi-Fi 與藍(lán)牙等關(guān)鍵通信方式，可以更系統(tǒng)地識(shí)別對(duì)外通信中的潛在風(fēng)險(xiǎn)，為智能網(wǎng)聯(lián)汽車(chē)的安全設(shè)計(jì)、測(cè)試驗(yàn)證和持續(xù)演進(jìn)提供工程化、可落地的技術(shù)支撐。

引用：

[1]https://www.catarc.tech/xwzxDetail/f88a19dd4cab449da83a692f97c8a272?utm_source=chatgpt.com

[2]https://www.eet-china.com/mp/a245994.html?utm_source=chatgpt.com

[3]《智能網(wǎng)聯(lián)汽車(chē)安全白皮書(shū)》

[4]https://www.auto-testing.net/news/show-124912.html?utm_source=chatgpt.com

[5]"Contents," in Journal of Communications and Information Networks, vol. 1, no. 2, pp. 1-1, Aug. 2016.

[6]Dibaei, M., Zheng, X., Jiang, K., Maric, S., Abbas, R., Liu, S., ... & Yu, S. (2019). An overview of attacks and defences on intelligent connected vehicles. *arXiv preprint arXiv:1907.07455*.

[7]Wang, B., Han, Y., Wang, S., Tian, D., Cai, M., Liu, M., & Wang, L. (2022). A review of intelligent connected vehicle cooperative driving development. *Mathematics*, *10*(19), 3635.

審核編輯 黃宇