主編單位：中國汽車芯片標(biāo)準(zhǔn)檢測認(rèn)證聯(lián)盟本文件起草單位（排序不分先后）中汽研科技有限公司、北京中電華大電子設(shè)計有限責(zé)任公司、中國汽車技術(shù)研究中心有限公司、華大半導(dǎo)體有限公司、國家市場監(jiān)督管理總局認(rèn)證認(rèn)可技術(shù)研究中心、北京華大智

寶電子系統(tǒng)有限公司、北京華弘集成電路設(shè)計有限責(zé)任公司、上海復(fù)旦微電子集團(tuán)股份有

限公司、比亞迪汽車工業(yè)有限公司、寧波均聯(lián)智行科技股份有限公司、天津國芯科技有限

公司、吉利汽車研究院(寧波)有限公司、上海芯鈦信息科技有限公司、中國第一汽車集團(tuán)

有限公司、紫光同芯微電子有限公司、鄭州信大捷安信息技術(shù)股份有限公司、長城汽車股

份有限公司、東風(fēng)汽車集團(tuán)有限公司研發(fā)總院、深圳聯(lián)友科技有限公司、聯(lián)友智連科技有

限公司、重慶長安汽車股份有限公司、交通運(yùn)輸部公路科學(xué)研究院、交通運(yùn)輸部路網(wǎng)監(jiān)測

與應(yīng)急處置中心、北京網(wǎng)路智聯(lián)科技有限公司、清華大學(xué)集成電路學(xué)院本文件主要起草人(排序不分先后）夏顯召、崔文文、李予佳、任家魯、吳海文、李雨冉、秦維、翟瑞卿、安文豪、王雪聰、段永剛、譚銳能、鐘鵬、李楊、王鑫、李瀾濤、曹凱、胡闖、孫亨博、劉嘉維、劉為華、

李鑫、郭陽、雷鵬、王曉曉、李堪聰、譚成宇、李宏海、周洲、梅樂翔、秦建良、烏力吉2.1.

通信安全-----------------------

092.2.

安全升級-----------------------

092.3.

接入安全-----------------------

102.4.

診斷安全-----------------------

102.5.

代碼安全-----------------------

112.6.

數(shù)據(jù)安全-----------------------

111.1.

汽車信息安全形勢--------------

021.2.

國家政策法規(guī)-------------------

041.3.

標(biāo)準(zhǔn)規(guī)范要求-------------------

051.4.

汽車芯片信息安全的意義

-------

0601錄ONTENTS汽車信息安全概述

汽車信0息安全2需求分析0304汽車安全芯片概述車端安全攻防案例介紹3.1.

安全芯片架構(gòu)-------------------

154.1.車端安全攻防案例介紹----------

213.2.

安全芯片安全設(shè)計--------------

163.3.

安全芯片安全服務(wù)--------------

185.1.

乘用車T-Box應(yīng)用

---------------

255.2.

商用車T-Box應(yīng)用

---------------

295.3.

網(wǎng)關(guān)應(yīng)用-----------------------

305.4.

智能座艙應(yīng)用-------------------

335.5.

C-V2X應(yīng)用---------------------

375.6.

OTA應(yīng)用

-----------------------

395.7.

ETC-OBU應(yīng)用------------------

415.8.

數(shù)字鑰匙應(yīng)用-------------------

435.9.

eSIM應(yīng)用

----------------------

465.10.

北斗導(dǎo)航智能系統(tǒng)應(yīng)用----------

485.11.

動力電池防偽應(yīng)用--------------

505.12.

車載手機(jī)無線充電應(yīng)用----------

515.13.

車載香薰應(yīng)用-------------------

555.14.

充電認(rèn)證應(yīng)用-------------------

566.1.

關(guān)鍵功能要求-------------------

606.2.

信息安全要求-------------------

606.3.

高性能要求

---------------------

616.4.

高可靠性要求-------------------

61汽車安全0芯片主5要應(yīng)用場景

汽車安全0芯片關(guān)6鍵技術(shù)要求0708

汽車安全芯片檢測與認(rèn)證汽車安全芯片發(fā)展趨勢和建議7.1.

安全能力評估相關(guān)--------------

638.1.

安全芯片發(fā)展趨勢--------------

687.2.

環(huán)境可靠性及電磁兼容----------

648.2.安全芯片應(yīng)用的政策建議

-------

697.3.

汽車安全芯片產(chǎn)品標(biāo)準(zhǔn)----------

660l汽車信息安全概述01人身安全智能網(wǎng)聯(lián)汽車通過感知、決策和控制實現(xiàn)自動駕駛，一旦其信息系統(tǒng)遭受攻擊或出現(xiàn)故障，可能導(dǎo)致

車輛失控，從而引發(fā)嚴(yán)重的交通事故，危及駕駛員和乘客的人身安全。例如，黑客可能通過遠(yuǎn)程攻擊控制

車輛的制動系統(tǒng)、轉(zhuǎn)向系統(tǒng)等關(guān)鍵部件，使車輛失去控制。數(shù)據(jù)隱私智能網(wǎng)聯(lián)汽車在運(yùn)行過程中會收集大量的駕駛數(shù)據(jù)、乘客信息以及車輛狀態(tài)信息等敏感數(shù)據(jù)。這些數(shù)據(jù)一旦泄露或被非法利用，將嚴(yán)重威脅個人隱私安全。黑客可能通過攻擊車輛的信息系統(tǒng)，竊取或篡改這些數(shù)據(jù)，用于不法目的。此外，車輛信息系統(tǒng)中還可能存儲著車主的支付信息、位置信息等敏感數(shù)據(jù)，這

些數(shù)據(jù)一旦泄露，將給車主帶來極大的安全隱患。經(jīng)濟(jì)損失車輛信息安全問題還可能給車主和車企帶來巨大的經(jīng)濟(jì)損失。一方面，車主可能因為車輛信息泄露而

遭受詐騙、身份盜用等經(jīng)濟(jì)損失；另一方面，車企可能因為車輛信息系統(tǒng)遭受攻擊而導(dǎo)致生產(chǎn)中斷、售后

服務(wù)受阻等經(jīng)濟(jì)損失。此外，車輛信息安全問題還可能引發(fā)法律糾紛和賠償責(zé)任，進(jìn)一步增加車企的經(jīng)濟(jì)

負(fù)擔(dān)。品牌信譽(yù)車輛信息安全問題對車企的品牌信譽(yù)構(gòu)成嚴(yán)重威脅。一旦車輛信息系統(tǒng)出現(xiàn)安全漏洞或被黑客攻擊，

將嚴(yán)重?fù)p害車企的品牌形象和聲譽(yù)。消費(fèi)者可能對車企的技術(shù)實力和產(chǎn)品質(zhì)量產(chǎn)生質(zhì)疑，從而影響車企的市場競爭力和銷售業(yè)績。此外，車輛信息安全問題還可能引發(fā)公眾對智能網(wǎng)聯(lián)汽車的信任危機(jī)，阻礙整個

行業(yè)的健康發(fā)展。公共安全智能網(wǎng)聯(lián)汽車作為智慧城市的重要組成部分，其信息安全問題還可能對公共安全構(gòu)成威脅。一旦智能

網(wǎng)聯(lián)汽車的信息系統(tǒng)同時遭受攻擊或出現(xiàn)故障，可能導(dǎo)致交通癱瘓、事故頻發(fā)等嚴(yán)重后果，嚴(yán)重影響社會隨著汽車行業(yè)的智能化、網(wǎng)聯(lián)化趨勢加速發(fā)展，車輛信息安全已成為全球范圍內(nèi)關(guān)注的焦點。智能網(wǎng)聯(lián)汽車通過集成先進(jìn)的通信、導(dǎo)航、傳感和控制技術(shù)，為用戶提供前所未有的信息化和智能化。然而，這些先進(jìn)技術(shù)也帶來了新的安全風(fēng)險與挑戰(zhàn)，使得車輛信息安全形勢愈發(fā)復(fù)雜和嚴(yán)峻。這些風(fēng)險不僅關(guān)乎個

人隱私和財產(chǎn)安全，更直接威脅到人身安全、品牌信譽(yù)乃至公共安全。1.1.汽車信息安全形勢1.1.1.車輛信息安全風(fēng)險02技術(shù)沒有統(tǒng)一標(biāo)準(zhǔn)和測評方法

缺乏統(tǒng)一標(biāo)準(zhǔn)：車輛信息安全領(lǐng)域目前尚未形成全球性或區(qū)域性的統(tǒng)一標(biāo)準(zhǔn)，不同國家、不同廠商之

間的技術(shù)標(biāo)準(zhǔn)存在差異，導(dǎo)致車輛信息安全評估和防護(hù)難以統(tǒng)一。

測評方法不完善：由于技術(shù)標(biāo)準(zhǔn)的缺失，車輛信息安全的測評方法也缺乏統(tǒng)一性和科學(xué)性。這使得車

輛信息安全的評估結(jié)果難以客觀、準(zhǔn)確地反映實際情況，也給黑客攻擊提供了可乘之機(jī)。技術(shù)瓶頸難以突破 安全防護(hù)技術(shù)滯后：隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，車輛信息安全的防護(hù)需求也在不斷提高。然而，

目前的安全防護(hù)技術(shù)仍然存在滯后性，難以應(yīng)對日益復(fù)雜的攻擊手段。

加密技術(shù)瓶頸：數(shù)據(jù)加密是車輛信息安全的重要手段之一，但現(xiàn)有的加密技術(shù)在處理大量數(shù)據(jù)、保證

實時性方面仍存在瓶頸，難以滿足智能網(wǎng)聯(lián)汽車對數(shù)據(jù)安全性和實時性的雙重需求。成本居高不下 研發(fā)投入高：車輛信息安全技術(shù)的研發(fā)需要投入大量的人力、物力和財力，且研發(fā)周期長、風(fēng)險高，

導(dǎo)致成本居高不下。

維護(hù)成本高：車輛信息安全系統(tǒng)的維護(hù)也需要持續(xù)的資金投入，包括系統(tǒng)升級、漏洞修復(fù)、人員培訓(xùn)

等方面。這對于車企而言，無疑增加了運(yùn)營成本。法律法規(guī)亟須完善

法律法規(guī)滯后：與智能網(wǎng)聯(lián)汽車的快速發(fā)展相比，相關(guān)法律法規(guī)的制定和修訂顯得滯后?，F(xiàn)有的法律

法規(guī)難以全面覆蓋車輛信息安全的各個方面，導(dǎo)致監(jiān)管空白和漏洞。

法律責(zé)任不明確：在車輛信息安全事件中，法律責(zé)任往往難以明確界定。這既不利于維護(hù)用戶的合法

權(quán)益，也不利于車企的合規(guī)經(jīng)營。缺乏用戶教育與安全意識 雖然用戶對車輛信息安全的需求日益增強(qiáng)，但大多數(shù)用戶仍缺乏足夠的安全意識和防范能力。因此，

加強(qiáng)用戶教育，提高用戶的安全意識，是保護(hù)車輛信息安全的重要一環(huán)。秩序和公共安全。此外，黑客還可能利用智能網(wǎng)聯(lián)汽車的信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊或恐怖活動，對國家安全和社會穩(wěn)定構(gòu)成潛在威脅。1.1.2.車輛信息安全存在的挑戰(zhàn)

第一章汽車信息安全概述03隨著汽車技術(shù)的不斷進(jìn)步，尤其是智能網(wǎng)聯(lián)汽車的快速發(fā)展，不僅帶來了前所未有的便捷性和智能化體驗，同時也帶來了信息安全和數(shù)據(jù)安全的重大挑戰(zhàn)。為了切實保障汽車行業(yè)的穩(wěn)健發(fā)展，有效維護(hù)廣大用戶的隱私權(quán)益和數(shù)據(jù)安全，國家高度重視并積極應(yīng)對，及時出臺了一系列政策法規(guī)。旨在構(gòu)建完善的汽

車信息安全和數(shù)據(jù)安全保護(hù)體系，為汽車產(chǎn)業(yè)的可持續(xù)發(fā)展提供堅實的法律保障。2016年11月，全國人民代表大會發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》，該法旨在保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信

息化健康發(fā)展。2018年，公安部發(fā)布《網(wǎng)絡(luò)安全等級保護(hù)條例》，該條例旨在通過分等級逐步加重的保護(hù)措施，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全。對于汽車領(lǐng)域，特別是智能網(wǎng)聯(lián)汽車，該條例要求制造商和服務(wù)提供商按照

網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，確保汽車系統(tǒng)和數(shù)據(jù)的安全。2019年5月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)安全管理辦法》，該辦法依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》制定，旨在維護(hù)國家安全、社會公共利益，保護(hù)公民、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益，保障個人信息和重要數(shù)據(jù)安全。對于汽車領(lǐng)域，該辦法要求汽車制造商和服務(wù)提供商建立健全數(shù)據(jù)安全管

理制度，加強(qiáng)數(shù)據(jù)收集、存儲、傳輸、處理等環(huán)節(jié)的安全防護(hù)。2021年6月，全國人民代表大會通過了《中華人民共和國數(shù)據(jù)安全法》，該法旨在規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益。2021年7月，工業(yè)和信息化部發(fā)布了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》，該意見中明確提出應(yīng)加強(qiáng)數(shù)據(jù)和網(wǎng)絡(luò)安全管理，需強(qiáng)化數(shù)據(jù)安全管理能力并加強(qiáng)網(wǎng)絡(luò)安全保障能力。2021年8月20日，全國人民代表大會通過了《中華人民共和國個人信息保護(hù)法》，該法旨在保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，汽車數(shù)據(jù)處理者在處理涉及個人信息的數(shù)據(jù)時，必須遵守該法關(guān)于

個人信息收集、使用、存儲等方面的規(guī)定。綜上所述，車輛信息安全形勢面臨諸多風(fēng)險和挑戰(zhàn)。為了保障智能網(wǎng)聯(lián)汽車的安全穩(wěn)定運(yùn)行，需要政府、車企、供應(yīng)商和用戶共同努力，加強(qiáng)技術(shù)研發(fā)、完善法規(guī)標(biāo)準(zhǔn)、提升用戶安全意識等措施，共同構(gòu)建

一個安全、可靠的智能網(wǎng)聯(lián)汽車生態(tài)系統(tǒng)。1.2.國家相關(guān)政策法規(guī)04從整車信息安全標(biāo)準(zhǔn)來看，2024年8月，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)發(fā)布GB44495-2024《汽車整車信息安全技術(shù)要求》，該標(biāo)準(zhǔn)規(guī)定了汽車信息安全管理體系要求，以及外部連

接安全、通信安全、軟件升級安全、數(shù)據(jù)安全等方面的技術(shù)要求和試驗方法。對于提升我國汽車產(chǎn)品的信

息安全防護(hù)技術(shù)水平、強(qiáng)化產(chǎn)業(yè)鏈風(fēng)險防范和應(yīng)對網(wǎng)絡(luò)攻擊的能力具有重要意義。汽車安全芯片作為保護(hù)車輛系統(tǒng)安全、用戶數(shù)據(jù)隱私及確保車輛功能正常運(yùn)行的關(guān)鍵器件，在整車信息安全中扮演著關(guān)鍵角色。不同汽車安全芯片的功能設(shè)計和資源配置各有側(cè)重，導(dǎo)致主機(jī)廠產(chǎn)品選型困難，

產(chǎn)品亟需通過專業(yè)化、標(biāo)準(zhǔn)化的測試驗證，解決行業(yè)選型困難的問題。因此，

亟需汽車安全芯片技術(shù)要求

及試驗方法標(biāo)準(zhǔn)化。在標(biāo)準(zhǔn)規(guī)范方面，信息安全通用標(biāo)準(zhǔn)（Common

Criteria，以下簡稱“CC標(biāo)準(zhǔn)”）和GM/T

000《安全芯片密碼檢測準(zhǔn)則》兩項標(biāo)準(zhǔn)對芯片的信息安全能力進(jìn)行了要求，但沒有針對汽車芯片行業(yè)和汽車應(yīng)用

場景進(jìn)行適配。因此，

為了滿足汽車芯片行業(yè)的需求，相關(guān)國家標(biāo)準(zhǔn)與行業(yè)標(biāo)準(zhǔn)也在制定當(dāng)中，主要包括

推薦性國家標(biāo)準(zhǔn)《汽車芯片信息安全技術(shù)規(guī)范》（以下簡稱“芯片信息安全標(biāo)準(zhǔn)”）和行業(yè)標(biāo)準(zhǔn)《汽車安全芯片技術(shù)要求及試驗方法》（以下簡稱“安全芯片標(biāo)準(zhǔn)”）。芯片信息安全標(biāo)準(zhǔn)為正在制定過程中的推薦性國家標(biāo)準(zhǔn)，由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。芯片信息安全標(biāo)準(zhǔn)規(guī)定了汽車芯片信息安全需求分析方法、汽車芯片信息安全需求與安全功能的映射關(guān)系，

以及汽車芯片信息安全功能技術(shù)要求及試驗方法等，完成了對汽車芯片信息安全技術(shù)體系的補(bǔ)充，對于所

需具備的安全功能與安全等級給出了參考。該標(biāo)準(zhǔn)給出了推薦滿足的安全功能與對應(yīng)的安全等級，包括密

鑰保護(hù)、密碼算法支持、隨機(jī)數(shù)生成、關(guān)鍵安全參數(shù)保護(hù)、固件更新支持、安全運(yùn)行環(huán)境、權(quán)限控制、自

測試、物理防護(hù)、安全啟動機(jī)制、軟件攻擊保護(hù)機(jī)制、個人信息保護(hù)、漏洞管理和安全生命周期管理機(jī)制。安全芯片標(biāo)準(zhǔn)是針對汽車安全芯片所制定的行業(yè)標(biāo)準(zhǔn)，2023年，全國汽車標(biāo)準(zhǔn)化技術(shù)委員會在工業(yè)和信息化部的指導(dǎo)下，啟動該項標(biāo)準(zhǔn)的研究與制定工作。2024年5月24日，工業(yè)和信息化部下達(dá)了《汽車

安全芯片技術(shù)要求及試驗方法》標(biāo)準(zhǔn)制定計劃。安全芯片標(biāo)準(zhǔn)規(guī)定了汽車安全芯片的技術(shù)要求及試驗方法，適用于汽車安全芯片的設(shè)計開發(fā)、測試、評估和應(yīng)用。結(jié)合汽車安全芯片的應(yīng)用場景與特點，安全芯片標(biāo)準(zhǔn)對汽車安全芯片的功能、性能、電特性、電磁兼容、功能安全、信息安全、環(huán)境可靠性、研發(fā)與生產(chǎn)保

障等內(nèi)容進(jìn)行了規(guī)范。2021年10月，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》施行，該法規(guī)對汽車領(lǐng)域數(shù)據(jù)安全管理及數(shù)據(jù)安全保護(hù)提出明確要求。1.3.標(biāo)準(zhǔn)規(guī)范要求

第一章汽車信息安全概述05早期由于汽車聯(lián)網(wǎng)需求比較少、硬件設(shè)備本身設(shè)計的資源有限，信息安全考慮的也比較少，導(dǎo)致自身的防護(hù)能力很弱，容易導(dǎo)致被惡意攻擊。隨著智能網(wǎng)聯(lián)汽車、車車及車路協(xié)同通信等車聯(lián)網(wǎng)技術(shù)的發(fā)展，汽車的信息安全越來越被關(guān)注，國內(nèi)外也陸續(xù)出臺了一系列的政策法規(guī)和標(biāo)準(zhǔn)，對汽車整車的信息安全進(jìn)行保護(hù)。雖然汽車芯片的處理能力（包括功能、性能等）在不斷提升，如果芯片自身的信息安全防護(hù)能力

過于薄弱，將導(dǎo)致芯片內(nèi)的固件和應(yīng)用也很容易受到攻擊，比如程序篡改，敏感信息（如密鑰等）泄露等。越來越多的政府、行業(yè)組織的最佳實踐也明確提出智能網(wǎng)聯(lián)汽車的安全需要構(gòu)建在安全的單元、部件和芯片基礎(chǔ)上，

比如EVITA、GSMA關(guān)于汽車安全的要求，汽車安全芯片等硬件密碼模塊已成為智能網(wǎng)聯(lián)

汽車的安全基礎(chǔ)，日益成為行業(yè)普遍認(rèn)可的入門級安全門檻。在參考已有國內(nèi)外安全芯片標(biāo)準(zhǔn)、產(chǎn)品的基礎(chǔ)上，目前汽標(biāo)委TC114正在編制的汽車行業(yè)標(biāo)準(zhǔn)《汽車安全芯片技術(shù)要求及試驗方法》，對國內(nèi)汽車安

全芯片統(tǒng)一標(biāo)準(zhǔn)、為順利大量規(guī)范上車做好準(zhǔn)備。1.4.汽車芯片信息安全的意義芯片級汽車信息安全解決方案06汽車信息安全的核心是保證使用主體的機(jī)密性、完整性和真實性。因此，安全芯片需要提供一系列的信息安全服務(wù)。首先，安全存儲是車規(guī)芯片的核心功能之一。它需要提供一個可信的環(huán)境，用于存儲敏感信息，如密鑰、證書等。例如SecureNVM（安全非易失性存儲器）作為可信存儲環(huán)境，能夠確保敏感信息的安全性和可靠性。其次，為了滿足不同密碼算法的性能要求，車規(guī)芯片還需提供相應(yīng)的密碼算法硬件加速器和密鑰管理功能。這些服務(wù)包括但不限于：●

對稱密碼硬件加速器：基于私密密鑰的數(shù)據(jù)加解密，如SM系列算法、AES算法，能夠提供高速、安全

的加密解密服務(wù)；●非對稱密碼硬件加速器：用于數(shù)字簽名、驗簽以及數(shù)據(jù)加解密等操作，確保數(shù)據(jù)的完整性和真實性；●

摘要硬件加速器：常用于數(shù)據(jù)完整性檢查和身份驗證等場景，如基于摘要的HMAC算法，能夠提供快

速、準(zhǔn)確的身份驗證服務(wù)；●密鑰管理功能：包括密鑰導(dǎo)入、密鑰協(xié)商、密鑰派生等操作，確保密鑰的安全生成、存儲和使用等。此外，為了衡量和保證整個ECU系統(tǒng)的完整性和可用性，車規(guī)芯片還需要提供安全啟動和可信啟動等功能。這些功能能夠確保ECU

系統(tǒng)在啟動過程中不被惡意篡改或破壞，從而保證汽車的正常運(yùn)行和安全性。

第一章汽車信息安全概述0702汽車信息安全

需求分析通信技術(shù)的發(fā)展，帶動了車聯(lián)網(wǎng)的迅猛發(fā)展。車聯(lián)網(wǎng)通過通信技術(shù)，實現(xiàn)車內(nèi)、車云、車車、車路等全方位的互聯(lián)

互通，促進(jìn)汽車智能化演進(jìn)，提升汽車的智駕能力，構(gòu)建新

型交通服務(wù)業(yè)態(tài)，從而提高交通效率，改善車輛駕乘感受，

為用戶提供智能、安全、高效、個性化的綜合服務(wù)。08聯(lián)網(wǎng)包括智能網(wǎng)聯(lián)汽車、移動智能終端、車聯(lián)網(wǎng)服務(wù)平臺、路側(cè)終端等設(shè)施，涉及車路通信、車云通信、車內(nèi)通信等場景：

車路通信：智能網(wǎng)聯(lián)汽車通過移動蜂窩網(wǎng)絡(luò)、C-V2X、WLAN、射頻通信（RFID）等技術(shù)與路側(cè)終端

進(jìn)行通信。

車云通信：智能網(wǎng)聯(lián)汽車通過蜂窩網(wǎng)絡(luò)、衛(wèi)星通信、WLAN等與車聯(lián)網(wǎng)服務(wù)平臺通信，傳輸車輛數(shù)據(jù)，

接受服務(wù)平臺下發(fā)的遠(yuǎn)程控制指令。

車內(nèi)通信：智能網(wǎng)聯(lián)汽車內(nèi)部不同零部件之間通過總線等方式進(jìn)行信息交互，傳輸控制指令和車輛工

況信息。車聯(lián)網(wǎng)通訊安全包括如下方面：

加密通信：車輛與外部網(wǎng)絡(luò)（如云端、其他車輛、基礎(chǔ)設(shè)施）的通信應(yīng)實現(xiàn)端到端加密，確保數(shù)據(jù)在

傳輸過程中不被竊取或篡改。

身份驗證：車輛應(yīng)實現(xiàn)與通信對方的雙向身份驗證，確保只有經(jīng)過授權(quán)的設(shè)備才能接入車輛網(wǎng)絡(luò)。安全協(xié)議支持：車輛應(yīng)支持相關(guān)的安全協(xié)議與標(biāo)準(zhǔn)，如TLS、IPSec等，以確保與外部網(wǎng)絡(luò)通信的安全

性。車聯(lián)網(wǎng)是車路云協(xié)同一體化發(fā)展的的重要技術(shù)支撐，對推動汽車、交通、通信等產(chǎn)業(yè)業(yè)的轉(zhuǎn)型升級具有重要意義。然而，龐大復(fù)雜的網(wǎng)絡(luò)架構(gòu)也暴露了大量的攻擊面，進(jìn)而可能造成車輛盜刷、信息泄露、行

車安全等事故，亟需依托安全芯片的可信計算平臺用于處理車聯(lián)網(wǎng)中傳輸?shù)慕换バ畔?，保障車?lián)網(wǎng)高效、

可靠、安全運(yùn)行。車輛安全升級在車聯(lián)網(wǎng)時代扮演著至關(guān)重要的角色，尤其是OTA技術(shù)實現(xiàn)了數(shù)據(jù)包下載與刷寫的無縫對接，支持智能網(wǎng)聯(lián)汽車安全防線的構(gòu)筑，為了實現(xiàn)車輛安全升級，需要保證升級包安全和升級鏈路的通

信安全，為此需要實現(xiàn)以下安全需求：

硬件級安全加固安全芯片集成：車輛應(yīng)集成專用的安全芯片，負(fù)責(zé)處理敏感數(shù)據(jù)的加密、解密及身份驗證操作，確保

數(shù)據(jù)在傳輸和存儲過程中的安全性。2.2.

安全升級2.1.

通信安全第二章汽車信息安全需求分析09汽車與人們的出行安全息息相關(guān)，車輛發(fā)生故障時的診斷安全也顯得尤為重要。OBD系統(tǒng)主要由傳感器、控制器和故障指示燈等組成、傳感器負(fù)責(zé)采集車輛的各種運(yùn)行參數(shù)，如車

速、發(fā)動機(jī)轉(zhuǎn)速、電池電量、電機(jī)溫度等。控制器對傳感器采集到的數(shù)據(jù)進(jìn)行分析處理，判斷車輛是否存在故障。如果檢測到故障，控制器會將故障信息存儲起來，并通過故障指示燈等方式提醒駕駛員。OBD診斷為車輛維修提供重要的技術(shù)支持。通過讀取故障代碼和實時監(jiān)測車輛的運(yùn)行參數(shù)，維修人員可以快速

確定故障的類型和位置，從而提高維修效率和準(zhǔn)確性。網(wǎng)絡(luò)診斷是通過車載通信模塊，車輛的OBD系統(tǒng)與遠(yuǎn)程服務(wù)器進(jìn)行通信，將汽車的故障信息，并把故障碼上傳至數(shù)據(jù)處理中心，系統(tǒng)在不打擾車主的情況下復(fù)檢故障信息。專業(yè)技術(shù)人員可以通過網(wǎng)絡(luò)并根

據(jù)這些信息對車輛進(jìn)行遠(yuǎn)程診斷和故障排除，為消費(fèi)者提供更好更及時的技術(shù)支持和售后服務(wù)。汽車朝著智能化方向不斷演進(jìn)，車輛內(nèi)部存儲的敏感數(shù)據(jù)也越來越多。汽車數(shù)字鑰匙的出現(xiàn)，解決了傳統(tǒng)射頻鑰匙的安全痛點，也給用戶提供了顯著便利。然而，數(shù)字鑰匙的安全性高度依賴密鑰、數(shù)字證書

等與用戶密切相關(guān)的敏感數(shù)據(jù)。若密鑰等信息泄露，車輛可能被不法分子盜走，造成用戶財產(chǎn)損失，并影

響整車企業(yè)的口碑。未來，車輛內(nèi)部可能會存儲包括用戶人臉、虹膜、指紋等生物信息，用于打造個性化的產(chǎn)品，例如智能座艙、生物支付等場景。因此，用戶的生物識別信息須存儲在安全可信的存儲環(huán)境?；诎踩酒O(shè)計方在車輛設(shè)計開發(fā)階段，可以將與用戶相關(guān)的敏感數(shù)據(jù)，包括密鑰、證書，以及生物識別信息，存儲在安全芯片中，為用戶提供可靠、便利的用車體驗。

軟件與固件安全安全啟動機(jī)制：車輛應(yīng)實現(xiàn)安全啟動，確保在每次啟動時，車載系統(tǒng)的完整性得到驗證，防止惡意軟

件或未授權(quán)代碼的加載。軟件更新安全：車輛應(yīng)支持安全的軟件更新機(jī)制，包括加密傳輸更新包、完整性校驗及身份驗證，確

保軟件更新過程中不被攻擊者利用。2.3.接入安全2.4.診斷安全10車輛的EEA架構(gòu)內(nèi)包含幾十個ECU，由這些ECU構(gòu)成了整車的電子控制系統(tǒng)，這些ECU的功能主要由運(yùn)行在其上的固件代碼來決定，而固件代碼的安全決定了ECU的安全，從而決定了整車的安全，假定一輛

車的轉(zhuǎn)向系統(tǒng)固件被惡意篡改，在車輛轉(zhuǎn)向期間無法正常轉(zhuǎn)向，將對車輛及其周圍的行人和設(shè)施造成嚴(yán)重

的危害，故保護(hù)ECU代碼的安全是必要的，也是必須的。針對固件代碼的保護(hù)，其核心要求如下：

固件代碼完整性：固件代碼是完整的，未經(jīng)過篡改的；

固件代碼真實性固件代碼來源合法，是由ECU開發(fā)者開發(fā)并授權(quán)的；完整性和真實性的驗證，需在處理器上電啟動，加載固件代碼前進(jìn)行驗證，可使用密碼算法針對完整性和真實性進(jìn)行驗證，具體驗證方法多種多樣，在此舉例說明如下：

完整性驗證：可使用對稱算法，如SM4、AES等，對固件代碼計算MAC，并與預(yù)存儲的合法MAC進(jìn)

行對比，判定固件完整性；

真實性驗證：可使用非對稱算法，對固件代碼和預(yù)存儲的簽名值進(jìn)行驗簽計算來驗證真實性，算法

可使用如SM、ECC、也可使用RSA算法，但鑒于目前量子計算機(jī)的威脅，未來可能需要升級為抗量子密碼算法。從以上的分析可知，此時代碼安全的核心需求是：

保護(hù)密鑰和校驗數(shù)據(jù)的存儲安全：即要求芯片具備安全存儲能力，防止密鑰和校驗數(shù)據(jù)被提取或篡

改；

保護(hù)驗證過程的計算安全：即要求芯片具備安全計算能力，防止計算過程被攻擊造成密鑰的露；因此，安全芯片可用來存儲校驗相關(guān)的密鑰和數(shù)據(jù)，能夠通過安全計算能力來支撐驗證過程的安全性。隨著汽車智能化和網(wǎng)聯(lián)化的發(fā)展，車端安全芯片在保護(hù)密鑰、隱私信息、證書、數(shù)字鑰匙和信任根等方面扮演著至關(guān)重要的角色。車端安全芯片是汽車信息安全的核心硬件，其保護(hù)措施的完善性直接關(guān)系到

車輛的安全性和可靠性。基于當(dāng)前的安全芯片技術(shù)和行業(yè)標(biāo)準(zhǔn)，以及企業(yè)的最佳實踐，本白皮書為車企提

供全面的保護(hù)措施建議。2.5.代碼安全2.6.數(shù)據(jù)安全第二章汽車信息安全需求分析112.6.1.1.需要保護(hù)的數(shù)據(jù)智能汽車為了提高用戶體驗，需提供更多智能化功能，需要采集和處理大量用戶和環(huán)境數(shù)據(jù)，以下列

舉一些典型需要保護(hù)的車端數(shù)據(jù)：

個人身份信息：包括車主和乘客的姓名、身份證、電話號碼等。

車輛靜態(tài)信息：如車牌號、車輛識別碼（VIN）等。

車輛動態(tài)信息：包括位置信息、行駛軌跡等。

駕駛習(xí)慣：如駕駛員習(xí)慣、車輛使用頻率等。

生物識別特征信息：如指紋、聲紋、人臉、心率等。

敏感區(qū)域地理信息：軍事管理區(qū)、國防科工單位等重要敏感區(qū)域的地理信息。

經(jīng)濟(jì)運(yùn)行數(shù)據(jù)：車輛流量、物流等反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)。

汽車充電網(wǎng)運(yùn)行數(shù)據(jù)：涉及新能源汽車的充電網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)。

車外視頻、圖像數(shù)據(jù)：包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)。2.6.1.2.受保護(hù)原因這些用戶和環(huán)境數(shù)據(jù)需要采取適當(dāng)?shù)拇胧┘右员Ｗo(hù)，主要基于以下原因：

隱私保護(hù)：防止個人身份信息和生物識別特征信息被濫用或泄露，保護(hù)個人隱私。

安全合規(guī)：符合相關(guān)數(shù)據(jù)安全法規(guī)和標(biāo)準(zhǔn)要求，如GB/T44464-2024《汽車數(shù)據(jù)通用要求》。

防止濫用：避免車輛動態(tài)信息和敏感區(qū)域地理信息被用于非法用途，保護(hù)國家安全和公共利益。

維護(hù)經(jīng)濟(jì)安全：保護(hù)經(jīng)濟(jì)運(yùn)行數(shù)據(jù)不被非法獲取，維護(hù)國家經(jīng)濟(jì)安全。

保障消費(fèi)者權(quán)益：確保車主和乘客的合法權(quán)益不受侵害，尤其是在發(fā)生交通事故時能夠準(zhǔn)確維權(quán)。2.6.1.哪些數(shù)據(jù)需要保護(hù)12威脅場景威脅描述保護(hù)措施措施描述側(cè)信道攻擊攻擊者利用設(shè)備的接口對芯片進(jìn)行電

磁和功耗分析，無需破壞芯片即可獲

取敏感信息。掩碼采用掩碼技術(shù)、隱藏技術(shù)、混淆技術(shù)等降低側(cè)信道信息與密鑰的相關(guān)性。故障注入攻擊通過電壓、時鐘等故障引起電路異常，

分析芯片內(nèi)部敏感信息或改變程序運(yùn)

行。硬件加固用傳感器檢測故障，邏輯和時鐘冗余檢查故障，金屬外殼和特殊封裝抑制攻擊，邏輯深埋增加故障注入難度。物理攻擊去除芯片封裝，對內(nèi)部電路進(jìn)行電接

觸，結(jié)合其他攻擊手段獲取芯片內(nèi)部

敏感信息。安全存儲◆

采用被動屏蔽層和主動屏蔽層增加攻擊難度，特

殊封裝，信號完整性和機(jī)密性保護(hù)。◆

存儲加密密鑰、證書和其他敏感數(shù)據(jù)，防止非法訪問和泄露。身份偽造攻擊者冒充合法用戶或設(shè)備，進(jìn)行未

授權(quán)的操作。身份認(rèn)證加強(qiáng)身份認(rèn)證機(jī)制，如使用數(shù)字證書和簽名技

術(shù)，確保通信雙方的身份真實性。重放攻擊攻擊者截獲并重新發(fā)送數(shù)據(jù)包，以執(zhí)

行未授權(quán)的操作。安全通信在安全通信方面，以HSM及證書體系為基礎(chǔ)，具

有完整性、加密性、假名化、匿名化等特點，實

現(xiàn)數(shù)據(jù)隱私保護(hù)?？偩€攻擊攻擊者通過CAN總線等車輛內(nèi)部通信

網(wǎng)絡(luò)進(jìn)行攻擊，可能導(dǎo)致車輛控制被

非法接管。安全通信在車載設(shè)備中增加安全芯片，實現(xiàn)車內(nèi)通信加

密，身份識別，以及OBD診斷的安全接入，阻止非法報文發(fā)送。固件劫持與篡改攻擊者篡改固件，植入惡意代碼，控

制車輛或竊取數(shù)據(jù)。信任根安全啟動◆

信任根：建立信任鏈的來源，涉及安全啟動和密鑰管理。例如，在車端安全體系上，通過安全芯

片和HSM進(jìn)行硬件加固、網(wǎng)絡(luò)加固?！?/p>

安全啟動：確保ECU系統(tǒng)在啟動過程中不被惡意篡改或破壞。通過安全芯片SE+HSM，采用安全啟動、可信區(qū)

域、加密技術(shù)完成硬件安全設(shè)計，打造邊界防

護(hù)、車端安全、PKI認(rèn)證傳輸、安全服務(wù)四大體

系。2.6.2.基于安全芯片的保護(hù)措施以下列舉常見數(shù)據(jù)安全威脅場景及其保護(hù)方案。第二章汽車信息安全需求分析1303汽車安全芯片概述14安全芯片架構(gòu)示意安全芯片的硬件構(gòu)成：

CPU：SecureCore，安全內(nèi)核，是安全芯片的CPU；

存儲器：通過EMMU管理RAM和Flash；

電源管理：PWMU管理芯片電源系統(tǒng)；

安全I(xiàn)P：由安全傳感器和其他安全設(shè)計構(gòu)成；

安全算法：支持商用密碼算法，國際常用算法，基于安全設(shè)計，可實現(xiàn)安全計算；

通信：可支持SWP，I2C，SPI，7816等通信接口與協(xié)議，支持GPIO；

隨機(jī)數(shù)：支持真隨機(jī)數(shù)生成，為系統(tǒng)提供高質(zhì)量真隨機(jī)數(shù)；

定時器：為系統(tǒng)提供定時器功能；從基本功能角度看，安全芯片具備CPU，存儲器，F(xiàn)LASH/RAM，定時器等IP，與MCU架構(gòu)類似，但安全芯片在此基礎(chǔ)上，通過實現(xiàn)各類安全設(shè)計，可做到防范各類攻擊，這些安全設(shè)計，是安全芯片區(qū)別于

非安全芯片的核心設(shè)計。安全芯片，SecureElement，也稱為安全單元，是專為信息安全而設(shè)計的用于保護(hù)數(shù)據(jù)和應(yīng)用安全的集成電路芯片。其具備硬件級別的安全保護(hù)機(jī)制，充分考慮了侵入式和非侵入式等各種攻擊手段，針對

性在軟硬件上設(shè)計了多種防護(hù)措施，能夠防止數(shù)據(jù)泄露，篡改和非法訪問，能夠保護(hù)信息的機(jī)密性，完整

性和可用性。3.1.安全芯片架構(gòu)SensorRAM

FLASHPWMU

SEC

EMMU

Secu

CaDMACRCTESTPKEI2CAESSPI第三章汽車安全芯片概述TimerTRNGSHA2SHA1GPIOWDTSWPRNGSM4SM3SM1DES15有源屏蔽防護(hù)措施采用頂層金屬實現(xiàn)，覆蓋安全芯片有效區(qū)域。當(dāng)頂層金屬被破壞后（如切斷），安全芯片在工作過程中能夠檢測出來有源屏蔽連接異常，從而進(jìn)入安全的狀態(tài)，避免內(nèi)部敏感信息泄露。有源屏蔽技術(shù)主要是用于防止在芯片工作過程中，攻擊者通過探針探測或修改安全芯片內(nèi)部信號，以獲得攻擊者需要的敏感信息。安全芯片中處理的敏感數(shù)據(jù)在CPU、存儲器以及外設(shè)間，通過總線進(jìn)行傳輸，因此對于總線進(jìn)行探測，獲取威脅信息安全的敏感數(shù)據(jù)，是物理攻擊中常見的攻擊方式。保護(hù)總線傳輸數(shù)據(jù)的主要方法是對總線傳輸數(shù)據(jù)進(jìn)行加密。安全芯片采用專用的存儲加密電路來進(jìn)行存儲器內(nèi)部數(shù)據(jù)的加密處理。通常安全芯片內(nèi)部包含RAM，ROM，F(xiàn)LASH，EEPROM等不同類型的存儲器，為了降低或避免通過物理攻擊直接讀取存儲器數(shù)

據(jù)的安全風(fēng)險，安全芯片的數(shù)據(jù)或執(zhí)行代碼需要在寫入存儲器時進(jìn)行加密操作，在從存儲器讀出時進(jìn)行解

密操作。安全芯片的敏感信號主要包括標(biāo)識芯片內(nèi)部安全狀態(tài)的信號和發(fā)生安全威脅后產(chǎn)生的報警信號，安全芯片內(nèi)部的數(shù)據(jù)和地址總線，各個安全傳感器的輸入輸出信號等。同時對于在版圖上較容易識別的模塊進(jìn)

行額外保護(hù)，防止利用物理攻擊進(jìn)行信號的追溯。在安全芯片中，包含了多種傳感器，包括內(nèi)/外部電壓傳感器，內(nèi)/外部頻率傳感器，溫度傳感器，光傳感器，電壓毛刺傳感器等。這些傳感器的設(shè)計主要用以抵抗針對安全芯片的各類擾動攻擊。3.2.安全芯片安全設(shè)計3.2.2.存儲器數(shù)據(jù)/地址加密加擾3.2.3.總線數(shù)據(jù)保護(hù)3.2.4.關(guān)鍵信號隱藏3.2.5.傳感器3.2.1.有源屏蔽技術(shù)163.2.5.1.電壓傳感器電壓傳感器的作用是檢測安全芯片的工作電壓，使得安全芯片始終工作在合理的工作電壓范圍內(nèi)，確

保整個系統(tǒng)的功能正常。3.2.5.2.溫度傳感器溫度傳感器的作用是實時檢測安全芯片（或者環(huán)境）的溫度，使得安全芯片始終工作在合理的溫度范

圍內(nèi)，確保整個系統(tǒng)的功能正常。3.2.5.3.內(nèi)外部頻率傳感器內(nèi)外部頻率傳感器主要功能是檢測安全芯片的外部輸入時鐘信號和內(nèi)部時鐘信號的工作頻率，使得安

全芯片始終工作在合理的頻率范圍內(nèi)，確保整個系統(tǒng)的功能正常。3.2.5.4.電壓毛刺傳感器電壓毛刺傳感器的作用是檢測安全芯片的工作電壓毛刺，使得安全芯片在工作期間能夠檢測到電壓上

存在的毛刺，確保整個系統(tǒng)的功能正常。3.2.5.5.光強(qiáng)傳感器光強(qiáng)傳感器的作用是檢測安全芯片的工作環(huán)境光強(qiáng)，使得安全芯片在工作期間能夠檢測到異常的環(huán)境

光強(qiáng)，確保整個系統(tǒng)的功能正常。安全芯片中包含寄存器和不同類型的存儲器，在芯片工作過程中，安全芯片內(nèi)部運(yùn)行的密鑰及其他敏感數(shù)據(jù)會存儲在RAM、ROM、FLASH或EEPROM以及寄存器中。無論安全芯片處在工作中或是未工作的狀態(tài)，存儲在ROM、FLASH或EEPROM中的數(shù)據(jù)都有被攻擊

導(dǎo)致數(shù)據(jù)被改寫的風(fēng)險；而RAM和寄存器中的數(shù)據(jù)在安全芯片工作過程中，有可能會被改寫。安全芯片對存儲數(shù)據(jù)采取各種校驗方法來保證數(shù)據(jù)完整性。對于安全芯片中的密碼側(cè)信道分析，隨機(jī)掩碼在理論上是最有效的防護(hù)手段。由于側(cè)信道分析是基于已知輸入輸出數(shù)據(jù)，根據(jù)采集的功耗曲線和密碼運(yùn)算中間值的相關(guān)性來進(jìn)行密鑰分析的技術(shù)，因此改變安

全芯片實際運(yùn)算數(shù)據(jù)和輸入數(shù)據(jù)的相關(guān)性，破壞側(cè)信道分析中密碼運(yùn)算中間值和功耗曲線相關(guān)性的前提條3.2.6.數(shù)據(jù)完整性校驗3.2.7.

隨機(jī)掩碼第三章汽車安全芯片概述17在安全芯片中，無論是密碼算法的密鑰生成，密鑰協(xié)商，還是安全功能的隨機(jī)化操作，隨機(jī)掩碼，有源屏蔽、傳感器輸出保護(hù)等，都不可避免地需要用到高質(zhì)量的隨機(jī)數(shù)。真隨機(jī)數(shù)發(fā)生器為安全芯片提供真隨機(jī)數(shù)輸出，并包含標(biāo)準(zhǔn)要求的完整的真隨機(jī)數(shù)自檢功能。真隨機(jī)

數(shù)發(fā)生器需要滿足AIS20[2011]

PTG.2標(biāo)準(zhǔn)要求，同時如果是支持商密算法的安全芯片，其真隨機(jī)數(shù)發(fā)生

器還要滿足商密相應(yīng)級別對隨機(jī)數(shù)發(fā)生器設(shè)計的要求。隨機(jī)數(shù)發(fā)生器在結(jié)構(gòu)上通常包含物理噪聲源，數(shù)字后處理電路和自檢邏輯電路。PUF，PhysicalUnclonableFunction,物理不可克隆功能，被稱為芯片的“指紋”，因在芯片生產(chǎn)過程中，由于工藝在微觀上的不可控，使不同芯片在微觀上具有不一致性，通過特定的技術(shù)，將此微觀上

的差異進(jìn)行提取，作為系統(tǒng)的信任根，為系統(tǒng)提供安全服務(wù)。鑒于微觀上差異，PUF具有不可預(yù)測性，不可復(fù)制，不需存儲（上電產(chǎn)生），特征隨機(jī)且唯一的特性。安全芯片在制造過程中使用的測試模式一般具有很高的權(quán)限級別。在安全芯片測試過程結(jié)束后，需要保證無法再通過任何手段進(jìn)入測試模式，以保證安全芯片的配置正確和工作安全。功耗噪聲的施加可以在安全芯片進(jìn)行密碼運(yùn)算前后以及運(yùn)算過程中添加，使得真實運(yùn)算隨機(jī)地分布在一個較為廣泛的功耗噪聲之中，使側(cè)信道分析無法找到需要分析的對象，從而抵抗側(cè)信道攻擊。通過內(nèi)置真隨機(jī)數(shù)發(fā)生器，輸出真隨機(jī)數(shù)?？梢员ＷC對設(shè)備過去輸出和內(nèi)部狀態(tài)的了解不能使攻擊者能夠預(yù)測未來的數(shù)據(jù)，對未來輸出和內(nèi)部狀態(tài)的了解不應(yīng)泄露先前的數(shù)據(jù)。3.3.安全芯片安全服務(wù)件，就可以防止安全芯片運(yùn)算過程中的密鑰信息泄露，達(dá)到防止側(cè)信道分析的效果。3.2.11.物理不可克隆功能PUF3.2.8.功耗隱藏/功耗噪聲3.2.10.不可逆測試模式3.2.9.真隨機(jī)數(shù)3.3.1.真隨機(jī)數(shù)生成18基于安全芯片的安全設(shè)計方法，使安全芯片具備安全計算能力，在密碼算法計算過程中抵抗側(cè)信道攻擊等各類攻擊。安全芯片可支持SM2、SM3、SM4商密算法，及ECC、AES、RSA、SHA2等國際算法，為

業(yè)務(wù)層提供廣泛的密碼算法服務(wù)。通過安全芯片內(nèi)部支持的算法接口等可以支持多種身份認(rèn)證方式，如數(shù)字證書、密鑰對等，用于實現(xiàn)車輛與用戶、車輛與云平臺之間的身份認(rèn)證。這有助于防止未經(jīng)授權(quán)的訪問和操作等，確保汽車系統(tǒng)的完

整性和安全性。支持密鑰的生成和加密存儲:所有存儲的密鑰都應(yīng)以加密形式存在，確保即使存儲設(shè)備被非法獲取，密鑰內(nèi)容也無法被輕易解密。訪問控制:對密鑰存儲設(shè)備的訪問應(yīng)嚴(yán)格控制，實施多因素身份認(rèn)證和訪問

權(quán)限管理，確保只有授權(quán)人員能夠訪問密鑰。提供對固件、關(guān)鍵數(shù)據(jù)流等提供硬件級數(shù)據(jù)加密、解密服務(wù)，有效防止數(shù)據(jù)在存儲和傳輸過程中被竊取或篡改，增強(qiáng)數(shù)據(jù)安全性。安全芯片提供安全存儲功能，可以用于存儲汽車中的敏感信息，如車輛識別碼（VIN）、用戶身份信息、加密密鑰等。通過采用高安全級別的加密算法和硬件防護(hù)機(jī)制，確保這些信息不被非法訪問或篡改。其他系統(tǒng)啟動過程中，安全芯片可以對系統(tǒng)的關(guān)鍵組件和軟件進(jìn)行可信度量和認(rèn)證，確保系統(tǒng)啟動的完整性和安全性。防止固件等關(guān)鍵信息被破解篡改。3.3.2.數(shù)據(jù)加密與保護(hù)3.3.4.數(shù)據(jù)安全存儲3.3.5.安全計算3.3.6.身份認(rèn)證3.3.3.密鑰管理3.3.7.可信度量第三章汽車安全芯片概述19車端安全攻防案例介紹0420針對汽車的攻擊行為在近年來引起了較大的關(guān)注，但是對汽車的攻擊行為卻并不是近年才有的。早期的攻擊行為主要是破解汽車的防盜系統(tǒng)，對汽車或車內(nèi)財物進(jìn)行盜竊。隨著智能網(wǎng)聯(lián)汽車的發(fā)展，汽車不

斷向智能化、網(wǎng)聯(lián)化、電動化、自動化的發(fā)展，軟件定義汽車的趨勢日益顯著。目前智能網(wǎng)聯(lián)汽車關(guān)鍵代

碼規(guī)模提升了10-100倍，代碼漏洞呈指數(shù)級增長，同時汽車電子控制單元（ECU）的數(shù)量和車內(nèi)連通性

不斷增長，導(dǎo)致汽車受到信息安全攻擊的風(fēng)險大大增加，汽車也面臨著更多潛在的入侵途徑。對汽車的攻擊行為包括了汽車非法功能激活、汽車控制以及隱私盜竊等多種行為。智能網(wǎng)聯(lián)汽車的環(huán)境增加了攻擊者入侵的途徑和可能性。惡意的攻擊者可能會通過奪取汽車的控制權(quán)對車主進(jìn)行勒索，也可

能在行車過程中引發(fā)安全事故，甚至有可能發(fā)動大規(guī)模的恐怖襲擊。汽車信息安全事件頻發(fā)使得汽車行業(yè)安全態(tài)勢愈發(fā)緊張。這些汽車信息安全攻擊事件，輕則給企業(yè)產(chǎn)品發(fā)布及產(chǎn)品口碑造成影響，重則導(dǎo)致大范圍的汽車召回或股價受損，造成的經(jīng)濟(jì)損失和安全代價不可估

量。早在2011年，德國馬格德堡大學(xué)的研究員針對車載CAN總線網(wǎng)絡(luò)系統(tǒng)，采用向ECU中插入非法代碼、監(jiān)聽內(nèi)部信息、DoS（拒絕服務(wù)）等多種攻擊方法，成功影響了車窗升降、防盜警告指示燈、安全氣囊以

及中央網(wǎng)關(guān)等四個子系統(tǒng)的控制功能，使得上述四個子系統(tǒng)脫離駕駛者的正?？刂?，由此展示了對于車輛

和人員及財產(chǎn)的嚴(yán)重安全隱患。在2015年的美國黑帽大會上，研究人員發(fā)布了攻擊細(xì)節(jié)，展示了攻擊者針對某美國車企的車載娛樂系統(tǒng)發(fā)動偽裝攻擊，成功入侵行駛中車輛的CAN總線網(wǎng)絡(luò)系統(tǒng)，遠(yuǎn)程獲取汽車的關(guān)鍵功能操作權(quán)限，向車

輛發(fā)動機(jī)、變速箱、制動和轉(zhuǎn)向等系統(tǒng)發(fā)送錯誤指令，最終使這輛車翻覆到馬路邊的斜坡下。這次事件直

接導(dǎo)致該公司在全球召回140萬輛汽車，這也是首起因汽車信息安全問題導(dǎo)致的車輛召回。其具體攻擊步驟為：●利用3G偽基站跟汽車通訊模組建立連接，利用通訊端口上開放的后門，獲取聯(lián)網(wǎng)模塊的最高控制

權(quán)限；●通過聯(lián)網(wǎng)模塊，將篡改過的程序刷入CAN控制芯片里，進(jìn)而實現(xiàn)對車內(nèi)CAN總線的完全控制；●通過CAN控制器給車內(nèi)其他控制器發(fā)送控制指令，實現(xiàn)對車輛的非法操控。第四章車端安全攻防案例介紹21攻擊者突破了以往汽車網(wǎng)絡(luò)安全黑客的極限，即成功實現(xiàn)了非物理接觸條件下對車輛進(jìn)行遠(yuǎn)程控制。以往的黑客只能通過物理接觸，或者只能控制單個車輛，最多進(jìn)行近距離攻擊，而上述攻擊者可以攻擊并

控制全國范圍內(nèi)幾乎所有安裝了該型車機(jī)的同品牌車輛。從攻擊實例的分析也可以看出，實現(xiàn)汽車的遠(yuǎn)程控制不是單單通過某一個漏洞，而是通過一系列的漏洞才實現(xiàn)了非物理接觸下的入侵，而另一方面也反映出汽車中的各個子控制器存在很多潛在的漏洞。在此之后，汽車行業(yè)積極應(yīng)對信息安全挑戰(zhàn)，但即使是搭載了先進(jìn)信息通信技術(shù)的新款智能網(wǎng)聯(lián)汽車，同樣無法完全回避網(wǎng)絡(luò)攻擊的威脅。騰訊科恩安全實驗室分別在2016年、2017年兩次攻擊美國某著名新能源車企產(chǎn)品，實現(xiàn)對車輛的無物理接觸遠(yuǎn)程攻擊，利用內(nèi)核、瀏覽器、MCU固件、UDS協(xié)議及OTA更新過程中的多個高危安全漏洞，攻入到汽車的CID、IC、網(wǎng)關(guān)以及自動駕駛模塊，隨后該實驗室將其發(fā)現(xiàn)的安全漏洞提交給該廠商用于安全

性改進(jìn)。該安全實驗室成功利用多個高危安全漏洞對該車型實施了無物理接觸遠(yuǎn)程攻擊，實現(xiàn)了對駐車狀態(tài)下汽車天窗、轉(zhuǎn)向燈、座椅、顯示器、門鎖系統(tǒng)的遠(yuǎn)程控制，以及行駛狀態(tài)下對雨刷、后備箱、剎車系統(tǒng)的

遠(yuǎn)程控制。具體攻擊手段是通過無線（Wi-Fi/蜂窩）進(jìn)入，破壞許多車載系統(tǒng)，如CID（CenterInfor-mationDisplay，中控顯示系統(tǒng)）、IC（InstrumentCluster，儀表組）

、Parrot（無線及藍(lán)牙模塊）和

網(wǎng)關(guān)等，然后將惡意的CAN消息注入CAN總線。這是全球范圍內(nèi)第一次通過安全漏洞成功實現(xiàn)無物理接

觸遠(yuǎn)程攻入該車型，并實現(xiàn)任意車身和行車控制。具體攻擊過程是：由于每輛該型產(chǎn)品都會提供WiFi熱點，很多用戶會將SSID的信息保存在車上，

以便用于自動連接。如果偽造這個Wi-Fi熱點，并將車載瀏覽器的流量重定向到攻擊者的域名，即可實現(xiàn)遠(yuǎn)程攻擊該車型。此外，當(dāng)在蜂窩模式下，通過建立精心設(shè)計的域名，網(wǎng)絡(luò)釣魚和用戶輸入錯誤也會導(dǎo)致遠(yuǎn)程觸發(fā)瀏覽器漏洞，

實現(xiàn)在沒有物理訪問的情況下遠(yuǎn)程交付漏洞利用。另外，通過分析和利用該瀏覽器程序中的漏洞，可以獲

得該車型CID的shell，從而實現(xiàn)任意代碼運(yùn)行，并獲得非法的控制權(quán)限。2019年，騰訊科恩安全實驗室在某歐洲廠商的多款自動駕駛汽車上，展示了利用車載信息娛樂系統(tǒng)和車載信息通信終端的漏洞遠(yuǎn)程無線入侵汽車，并進(jìn)一步利用中央網(wǎng)關(guān)的安全缺陷，

實現(xiàn)了向內(nèi)部核心CAN總線注入惡意消息，獲取了底層安全關(guān)鍵車內(nèi)網(wǎng)絡(luò)的控制權(quán)。222020年，360集團(tuán)智能網(wǎng)聯(lián)汽車安全實驗室針對另一歐洲車企產(chǎn)品的車載娛樂主機(jī)、車載通訊模塊、車聯(lián)網(wǎng)通信協(xié)議及后端服務(wù)等聯(lián)網(wǎng)模塊，發(fā)現(xiàn)了19個安全漏洞并利用漏洞形成攻擊鏈路。2021年，360集團(tuán)智能網(wǎng)聯(lián)汽車安全實驗室發(fā)現(xiàn)了汽車操作系統(tǒng)QNX的多個安全漏洞，其中更有在通用漏洞評分系統(tǒng)(CVSS)中嚴(yán)重級別達(dá)到9.8分(滿分10分)的遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞成為影響車輛安全的重要隱患。作為汽車領(lǐng)域最大的操作系統(tǒng)供應(yīng)商之一，

BlackBerry發(fā)行的QNX在車用市場占有率達(dá)

到75%，目前全球有超過230種車型使用QNX系統(tǒng)，包括大眾、寶馬、奧迪、保時捷、福特等眾多知名汽

車廠商，國內(nèi)外數(shù)千萬輛智能網(wǎng)聯(lián)汽車中均搭載了基于QNX的車載娛樂系統(tǒng)。綜合來看，攻擊者若想成功攻破汽車信息安全系統(tǒng)，大致可以從以下4個層次入手展開攻擊：

通信攻擊：私密通信監(jiān)聽，信息堵塞攻擊，中間人攻擊等。

暴露的功能模塊攻擊：軟件漏洞，硬件漏洞，存儲器溢出，

棧溢出等軟件攻擊。

非侵入式攻擊：時序攻擊，SPA，DPA，EMA等。

半侵入式攻擊：激光攻擊，電壓毛刺攻擊等。

侵入式攻擊：修改PCB/IC的連線，F(xiàn)IB攻擊，微探針讀取等。

遠(yuǎn)程攻擊，通過汽車的外部通道或接口進(jìn)行攻擊；

本地攻擊，通過ECU的用戶或受限的外部接口進(jìn)行攻擊；

本地攻擊，通過PCB上互連線，測試點等進(jìn)行攻擊；——學(xué)本地攻擊，通過對IC芯片（MCU或者電源芯片等）進(jìn)行攻擊;Non-Invasive

AttacksSemi-InvasiveAttacksSemi針對上述攻擊中ECU/PCB/IC這3個層次的攻擊對象，又可以細(xì)分為以下多種攻擊手段：OnExposed

FunctionsOnCommunication汽車信息系統(tǒng)攻擊的侵入點種類第四章車端安全攻防案例介紹本地攻擊的攻擊類型Spike/Gmch/S

ignalInjectionTimingAnalyseSPA/DPALocal

L

ightAttacksEMAAna

lysePCBResourceExhaustionEavesdropReplayDesi

gen

FlawsRowhammerSW

bugsFloodingInsertionDelayringMicro

probingInvasive

Attacks

Known

HWhugs

P

hoto

EmissionModi?cationPenet

rationAnalyse

FIB

AFM

23AlphaParticle汽車安全芯片主要應(yīng)用場景0524T-Box，全稱為Telematics

Box，即車載智能通信終端，是一種安裝在汽車內(nèi)部的智能設(shè)備，它主要負(fù)責(zé)車輛與外部通信和數(shù)據(jù)交換。T-Box是車聯(lián)網(wǎng)（Internet

of

Vehicles）和智能汽車的關(guān)鍵組成部分，

它通過集成多種傳感器和通信模塊，實現(xiàn)車輛的遠(yuǎn)程控制、數(shù)據(jù)采集、故障診斷、信息娛樂等功能。T-Box的應(yīng)用場景非常廣泛，主要包括以下幾個方面：遠(yuǎn)程控制：T-Box可以實現(xiàn)遠(yuǎn)程開鎖、GPS追蹤、動力控制管理、閃燈鳴笛尋車等功能，用戶可以通過手機(jī)APP對車輛進(jìn)行遠(yuǎn)程控制；車況監(jiān)測：T-Box可以實時監(jiān)測車輛的各項參數(shù)，如電池電量、發(fā)動機(jī)狀態(tài)、行駛里程等，幫助用戶

及時了解車輛狀況，預(yù)防潛在故障；故障診斷：T-Box可以實時監(jiān)測車輛的運(yùn)行狀態(tài)，一旦發(fā)現(xiàn)異常情況，會立即向車主發(fā)送警報信息，并為車主提供初步的故障解決方案，確保車輛安全；節(jié)能環(huán)保：通過T-Box收集的車輛運(yùn)行數(shù)據(jù)，用戶可以合理規(guī)劃出行路線，減少不必要的油耗和排放，

降低出行成本，同時也有助于環(huán)保；共享汽車：在共享汽車領(lǐng)域，T-Box可以實現(xiàn)遠(yuǎn)程開鎖、定位、計費(fèi)等功能，提高共享汽車的運(yùn)營效

率和服務(wù)質(zhì)量；充電服務(wù)：T-Box可以與充電樁進(jìn)行通信，實現(xiàn)自動充電、智能充電等功能，提高充電的便捷性和安

全性；駕駛輔助：T-Box可以通過分析車輛運(yùn)行數(shù)據(jù)和道路情況，為駕駛者提供智能化的駕駛輔助建議，提

高駕駛安全性；V2X通信：T-Box支持V2X（Vehicle-to-Everything）通信，能夠提升行駛安全、提高交通效率、提

供出行信息服務(wù)，輔助智能駕駛；緊急呼叫服務(wù)：T-Box支持eCall服務(wù)，包括道路救援、自動碰撞通知等，為駕駛者提供緊急情況下的快速響應(yīng)；隨著車聯(lián)網(wǎng)概念的不斷深化和應(yīng)用場景的不斷增加，T-Box的角色也變得尤為特殊，不僅作為通訊終端要負(fù)責(zé)對外通訊，同時備份了一些重要的車輛數(shù)據(jù)和用戶身份信息，如果其遭受網(wǎng)絡(luò)安全威脅，不管是

對公司，還是對用戶的損失影響都將是巨大的。5.1.乘用車T-Box應(yīng)用5.1.1.應(yīng)用場景功能介紹第五章汽車安全芯片主要應(yīng)用場景25T-Box（TelematicsBox）作為車聯(lián)網(wǎng)中的關(guān)鍵組件，面臨的安全需求非常廣泛，主要包括以下幾個方面：硬件安全

需要具備防拆保護(hù)措施，如開蓋檢測、拆機(jī)告警等

設(shè)備如開放調(diào)試接口的應(yīng)在上市前進(jìn)行禁用或采用安全調(diào)試模式

應(yīng)具備足夠的安全機(jī)制保證密鑰的產(chǎn)生、分發(fā)、存儲和銷毀過程的安全性

關(guān)鍵加密算法實現(xiàn)應(yīng)具備抵抗側(cè)信道分析和故障注入分析等物理攻擊的能力，防止根密鑰被破解操作系統(tǒng)安全

應(yīng)支持安全啟動機(jī)制，對引導(dǎo)程序或固件等進(jìn)行有效性驗證

升級過程應(yīng)對升級文件進(jìn)行簽名校驗和完整性校驗，并確保升級失敗后操作系統(tǒng)能有效恢復(fù)至升級前

的正常工作狀態(tài)

支持對重要事件的日志記錄功能，并具有保證日志文件安全性的措施軟件安全

應(yīng)采用簽名認(rèn)證機(jī)制，未經(jīng)簽名的應(yīng)用軟件須用戶確認(rèn)后才能執(zhí)行下一步操作

不應(yīng)非授權(quán)收集、傳輸用戶個人信息

應(yīng)具備代碼混淆、加殼等安全措施，防止被逆向攻擊

應(yīng)采取訪問控制機(jī)制，防止對系統(tǒng)資源和其他軟件的非授權(quán)訪問數(shù)據(jù)安全

設(shè)備采集用戶數(shù)據(jù)應(yīng)對用戶進(jìn)行明確告知，在用戶授權(quán)后可繼續(xù)下一步操作

重要數(shù)據(jù)應(yīng)加密存儲，保證重要數(shù)據(jù)在存儲過程中的完整性和保密性

數(shù)據(jù)的傳輸應(yīng)進(jìn)行完整性保護(hù)，防止數(shù)據(jù)被篡改和偽造通信安全

應(yīng)具備對通信數(shù)據(jù)的消息校驗和認(rèn)證機(jī)制，防止攻擊者偽造、篡改信息

應(yīng)采用控制策略避免大量集中地向CAN總線發(fā)送數(shù)據(jù)包，以避免造成總線擁塞和拒絕服務(wù)這些安全需求覆蓋了T-Box的硬件、軟件、數(shù)據(jù)和通信等多個方面，通過采用安全芯片的解決方案可以有效保護(hù)車輛網(wǎng)絡(luò)安全、數(shù)據(jù)安全以及用戶隱私，確保車聯(lián)網(wǎng)系統(tǒng)的穩(wěn)定和可靠運(yùn)行。5.1.2.應(yīng)用場景的安全需求說明26硬件安全增強(qiáng)利用安全芯片（SE）的物理防攻擊設(shè)計，提高T-Box的硬件安全防護(hù)能力。安全芯片內(nèi)部集成了密碼算法，能夠抵抗物理攻擊，如側(cè)信道攻擊和故障注入攻擊。安全啟動利用安全芯片實現(xiàn)安全啟動機(jī)制，確保T-Box只運(yùn)行經(jīng)過認(rèn)證的固件，防止惡意固件的執(zhí)行和固件篡改。數(shù)據(jù)加密與安全存儲使用安全芯片提供的數(shù)據(jù)加密功能，對T-Box中傳輸和存儲的敏感數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)的機(jī)密性和完整性安全通信通過安全芯片實現(xiàn)安全的通信協(xié)議，對通訊數(shù)據(jù)進(jìn)行加密、認(rèn)證，防止中間人攻擊、數(shù)據(jù)監(jiān)聽、篡改和否認(rèn)。身份認(rèn)證與訪問控制利用安全芯片存儲密鑰和證書，實現(xiàn)T-Box與外部通信時的身份認(rèn)證和訪問控制，確保只有授權(quán)的設(shè)備和用戶能夠訪問T-Box。安全芯片硬件邏輯圖軟件架構(gòu)圖業(yè)務(wù)流程5.1.3.如何用安全芯片去實現(xiàn)安全方案第五章汽車安全芯片主要應(yīng)用場景27商用車T-Box作為車聯(lián)網(wǎng)信息交換場景的中心，可以實現(xiàn)深度讀取并解析汽車的CAN總線數(shù)據(jù)和私有協(xié)議，實現(xiàn)采集、傳輸、分析車輛狀態(tài)和車況信息等數(shù)據(jù)，并將收集的數(shù)據(jù)和分析處理結(jié)果通過移動通信

網(wǎng)絡(luò)上傳到服務(wù)后臺，實現(xiàn)降低油耗、降低碳排、減少車輛損耗、提升運(yùn)營效率等目標(biāo)。在商用車領(lǐng)域，

以T-Box為核心的車聯(lián)網(wǎng)服務(wù)中，可以幫助車企實現(xiàn)車輛的全生命周期管理，幫助車主實現(xiàn)降本增效，提

升車主的用車體驗等社會效益。商用車T-Box的功能模塊主要包括4G/5G模塊、電話語言模塊、以太網(wǎng)模塊、GPS模塊、CAN通信模塊、電源模塊、藍(lán)牙模塊、Airbag模塊等，各個模塊之間緊密聯(lián)系，形成一個完整的遠(yuǎn)程通信終端。T-Box作為商用車運(yùn)行數(shù)據(jù)的收集者和實時通信的核心器件，其基于固定頻率將車內(nèi)各類控制器和傳感器等功能器件的數(shù)據(jù)按約定的格式發(fā)送到平臺，此類數(shù)據(jù)一般可以按照上報數(shù)據(jù)的業(yè)務(wù)類型、數(shù)據(jù)類型、車型、車號等多個層級進(jìn)行設(shè)計和應(yīng)用。例如，車輛在行駛過程中會將位置、車速、電量等信息按照固定頻率上報云平臺，云端應(yīng)用基于這些數(shù)據(jù)，提供位置查找、超速提醒、電量提醒、地理圍欄服務(wù)等信息給

車主用戶使用，形成良好的人車互動應(yīng)用場景?！吨匦筒裼蛙囄廴疚锱欧畔拗导皽y量方法(中國第六階段)》為國家污染物排放標(biāo)準(zhǔn)，并由生態(tài)環(huán)境部與國家市場監(jiān)督管理總局聯(lián)合發(fā)布，作為強(qiáng)制實施標(biāo)準(zhǔn)，為了監(jiān)控重柴車排放情況，需要對新生產(chǎn)銷售車

輛進(jìn)行車載T-Box前裝改造，對于市場存量車輛，需由地方環(huán)保部門組織實施后裝改造。根據(jù)應(yīng)用場景的安全需求，信大捷安自主研發(fā)的XSDM1505車規(guī)級輕量型安全芯片能夠提供相應(yīng)安全解決方案。此安全芯片具有功耗低和成本低等的特點，能夠提供TLS通信協(xié)議中的身份認(rèn)證、數(shù)據(jù)加密

和數(shù)據(jù)完整性校驗等系列算法能力，滿足GB/T32960等相關(guān)標(biāo)準(zhǔn)要求，為T-Box提供硬件級安全保障。5.2.商用車T-Box應(yīng)用5.2.2.應(yīng)用場景的安全需求說明5.2.1.應(yīng)用場景功能介紹5.1.4.應(yīng)用案例28商用車T-Box利用已經(jīng)安裝在車輛上的車載通訊單元，實現(xiàn)將國家要求的車輛排放相關(guān)靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)和故障狀態(tài)實時傳輸?shù)秸脚_。并要求使用安全芯片SM2算法對采集的車輛數(shù)據(jù)在上傳時進(jìn)行數(shù)

字簽名，防止數(shù)據(jù)被篡改。針對新能源汽車的國標(biāo)

GB/T

32960，其中《電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范

第2部分：車載終端》針對智能汽車的聯(lián)網(wǎng)設(shè)備T-Box做了說明，即單體式車載終端和集成式車載終端給出了明確技術(shù)指

標(biāo)。國標(biāo)GB/T

32960.2-2016定義集成式車載終端為集成設(shè)計在車輛其他裝置或系統(tǒng)的車載終端，而單體

式車載終端則為單獨(dú)設(shè)計為獨(dú)立的裝置或系統(tǒng)的車載終端，同時國標(biāo)GB/T

32960.2-2016對存儲在車載終

端內(nèi)的數(shù)據(jù)及車載終端與企業(yè)平臺傳輸過程中的數(shù)據(jù)也做了相應(yīng)的要求?！?.1.2

存儲在車載終端內(nèi)的數(shù)據(jù)及車載終端與企業(yè)平臺傳輸過程中的數(shù)據(jù)是可加密的，加密數(shù)據(jù)應(yīng)具有完整性、準(zhǔn)確性和不可否認(rèn)性?！痹谛抻喼械?025版本中，要求對采集的車輛狀態(tài)數(shù)據(jù)進(jìn)行數(shù)字簽名后上送，且要求信息安全載體必需具

備硬件安全機(jī)制。根據(jù)應(yīng)用場景的安全需求，紫光同芯T97系列產(chǎn)品是基于安全芯片開發(fā)的一套適用于T-Box場景的安全解決方案，可為用戶提供安全存儲、身份認(rèn)證、安全算法、IoT設(shè)備到云服務(wù)間的安全通信等功能，可

保證芯到云，端到端的安全性。T97系列產(chǎn)品可應(yīng)用于不同的主機(jī)平臺和主機(jī)操作系統(tǒng)T-Box，來保證主

機(jī)中各種不同應(yīng)用的安全性。紫光同芯T9系列產(chǎn)品已助力多個廠家的T-Box在中國重卡市場占有率排名進(jìn)

入前三。華大電子CIU98_B系列車規(guī)級安全芯片,滿足商用車遠(yuǎn)程排放監(jiān)控技術(shù)要求，滿足非道路車輛污染物排放控制技術(shù)要求，通過了商密二級認(rèn)證，已廣泛部署于國內(nèi)商用車與非道路車輛，為遠(yuǎn)程排放監(jiān)控數(shù)據(jù)提

供了安全保障。安全芯片是商用車T-Box中保證數(shù)據(jù)安全和防止車輛被惡意攻擊的關(guān)鍵器件，其可以實現(xiàn)對數(shù)據(jù)進(jìn)行加密和解密，以及實現(xiàn)訪問控制和身份認(rèn)證的安全功能。商用車T-Box中的安全芯片具有高安全的加解密

算法，能夠保護(hù)T-Box中的數(shù)據(jù)免受非法獲取和篡改，保障商用車輛的信息安全?；谏逃密嘥-Box的安全芯片使用場景中，傳輸信道中的數(shù)據(jù)可以采用SM4分組加密算法，以保證數(shù)據(jù)傳輸?shù)臋C(jī)密性，同時可以使用散列算法SM3保證數(shù)據(jù)的完整性，以防止數(shù)據(jù)在傳輸?shù)倪^程中被篡改，還

可以使用非對稱算法SM2的私鑰簽名來保證數(shù)據(jù)的不可抵賴性，確保數(shù)據(jù)歸屬于特定的車輛。5.2.3.如何用安全芯片去實現(xiàn)安全方案5.2.4.應(yīng)用案例第五章汽車安全芯片主要應(yīng)用場景29汽車網(wǎng)關(guān)業(yè)務(wù)流程圖汽車網(wǎng)關(guān)的主要功能如下：數(shù)據(jù)通信：汽車網(wǎng)關(guān)作為連接橋梁，能夠?qū)崿F(xiàn)不同總線類型（如CAN、LIN、FlexRay、以太網(wǎng)等）之間的數(shù)據(jù)交換，確保各個電子控制單元（ECU）能夠高效協(xié)同工作。協(xié)議轉(zhuǎn)換：網(wǎng)關(guān)負(fù)責(zé)將一種通信協(xié)議的數(shù)據(jù)轉(zhuǎn)換為另一種協(xié)議，使得不同類型的設(shè)備能夠相互理解和

交流。例如，它可以將來自發(fā)動機(jī)控制單元的數(shù)據(jù)轉(zhuǎn)發(fā)到儀表盤顯示。安全管理：作為防火墻，汽車網(wǎng)關(guān)控制從外部接口（如互聯(lián)網(wǎng)）到車輛內(nèi)部網(wǎng)絡(luò)的訪問，并確保只有授權(quán)的節(jié)點能夠相互通信。這種功能對于保護(hù)車輛免受網(wǎng)絡(luò)攻擊至關(guān)重要。信息隔離：網(wǎng)關(guān)提供功能域隔離，例如在不受信任的信息娛樂系統(tǒng)和受信任的安全關(guān)鍵系統(tǒng)之間，確

保信息流動的安全性和完整性。故障診斷與維護(hù)：

汽車網(wǎng)關(guān)能監(jiān)控車輛內(nèi)部網(wǎng)絡(luò)的狀態(tài)，

支持故障診斷，

并可通過空中軟件更新

（OTA）進(jìn)行遠(yuǎn)程維護(hù)和升級，以保持系統(tǒng)的最新狀態(tài)和安全性。汽車網(wǎng)關(guān)（VehicleGateway）是一個電子控制單元，通常被稱為中央網(wǎng)關(guān)，旨在安全可靠地在車輛內(nèi)的多個網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)和傳輸。它通過不同網(wǎng)絡(luò)間的隔離和不同通信協(xié)議間的轉(zhuǎn)換，實現(xiàn)各個共享5.3.

網(wǎng)關(guān)應(yīng)用5.3.1.應(yīng)用場景功能介紹通信數(shù)據(jù)的功能域之間的信息交互。30安全芯片在汽車網(wǎng)關(guān)上的應(yīng)用涉及多種安全需求，以確保車輛信息系統(tǒng)的完整性、保密性和可用性。主要的安全需求如下：1.數(shù)據(jù)加密與解密：安全芯片需要提供強(qiáng)大的數(shù)據(jù)加密和解密功能，以保護(hù)車輛內(nèi)部和外部通信中的

敏感信息。這包括對傳輸數(shù)據(jù)進(jìn)行加密，確保信息在傳輸過程中的機(jī)密性和完整性，防止數(shù)據(jù)被截獲或篡

改。2.身份認(rèn)證：安全芯片負(fù)責(zé)對設(shè)備和用戶進(jìn)行身份認(rèn)證，確保只有經(jīng)過授權(quán)的設(shè)備或用戶才能訪問車

輛網(wǎng)絡(luò)。這一功能對于防止未授權(quán)訪問和潛在的網(wǎng)絡(luò)攻擊至關(guān)重要。3.訪問控制：通過訪問控制列表（ACL）等技術(shù)，安全芯片能夠限制對車輛內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限，確

保只有符合特定條件的用戶或設(shè)備可以進(jìn)行數(shù)據(jù)交互，從而增強(qiáng)車輛網(wǎng)絡(luò)的安全性。4.敏感數(shù)據(jù)存儲：安全芯片提供安全的存儲解決方案，用于存放加密密鑰、身份憑證及其他敏感數(shù)據(jù)。

這種物理隔離措施能夠有效防止物理攻擊和側(cè)信道攻擊。5.軟件更新安全：

隨著車輛軟件的不斷更新，安全芯片支持空中軟件更新（FOTA）的安全性，確保

更新過程不被惡意干擾或篡改。安全芯片能夠驗證更新內(nèi)容的完整性和來源，保障系統(tǒng)始終處于安全狀態(tài)。6.物理安全：安全芯片設(shè)計時考慮了物理攻擊防護(hù)，如抗拆卸、抗故障攻擊等。這些硬件級別的保護(hù)

措施確保了芯片及其存儲的數(shù)據(jù)不易被非法訪問或破壞。5.3.2.應(yīng)用場景安全需求第五章汽車安全芯片主要應(yīng)用場景31（1）認(rèn)證管理與訪問控制√

認(rèn)證請求：

當(dāng)外部設(shè)備請求訪問車輛網(wǎng)關(guān)時，SE執(zhí)行身份認(rèn)證，確認(rèn)請求者的合法性。認(rèn)證通過

后，SE決定是否授權(quán)訪問?！淘L問控制：通過

SE

的訪問控制功能，只有獲得授權(quán)的設(shè)備和請求才能訪問系統(tǒng)的敏感數(shù)據(jù)，防止未經(jīng)授權(quán)的訪問。（2）密鑰存儲與關(guān)鍵數(shù)據(jù)保護(hù)SE提供密鑰存儲模塊和關(guān)鍵數(shù)據(jù)存儲模塊，用于安全存儲系統(tǒng)密鑰和敏感數(shù)據(jù)。這些區(qū)域通過硬件保護(hù)，防止未經(jīng)授權(quán)的訪問，確保密鑰和數(shù)據(jù)安全。（3）數(shù)據(jù)加密與傳輸保護(hù)車輛系統(tǒng)與外部網(wǎng)絡(luò)/云服務(wù)器之間的通信由

SE加密保護(hù)。加密技術(shù)確保傳輸過程中的數(shù)據(jù)安全，

防止數(shù)據(jù)被截獲或篡改。常用加密算法包括：√對稱加密：如AES、SM4，適合快速加密大

量數(shù)據(jù)的場景。√非對稱加密：如RSA、ECC、SM2，適合認(rèn)證和密鑰交換等對安全性要求較高的場景。（4）數(shù)字簽名與數(shù)據(jù)完整性在通信過程中，SE

通過數(shù)字簽名（如

SM2

或RSA）驗證數(shù)據(jù)來源，確保消息未被篡改。同時，

哈希算法（如

SM3）用于檢測數(shù)據(jù)完整性，保證接

收到的數(shù)據(jù)與發(fā)送時一致。加密數(shù)據(jù)傳輸車輛網(wǎng)關(guān)安全芯片SE密鑰存儲關(guān)鍵數(shù)據(jù)存儲密文數(shù)據(jù)、認(rèn)證結(jié)果文明數(shù)據(jù)、認(rèn)證申請網(wǎng)關(guān)

ECU外部網(wǎng)絡(luò)/云服務(wù)器安全芯片SE是車輛系統(tǒng)的核心安全模塊，負(fù)責(zé)關(guān)鍵數(shù)據(jù)存儲、認(rèn)證管理、數(shù)據(jù)加密和訪問控制等功能，確保系統(tǒng)內(nèi)部與外部設(shè)備之間通信的安全性。車輛系統(tǒng)數(shù)據(jù)采集子系統(tǒng)傳感器采集數(shù)據(jù)5.3.3.安全方案實現(xiàn)外部設(shè)備認(rèn)證請求ECU傳輸數(shù)據(jù)汽車網(wǎng)關(guān)安全方案的實現(xiàn)概念框圖如下：32智能座艙作為集成多種先進(jìn)的電子技術(shù)和智能化的系統(tǒng)，是實現(xiàn)人、車、生活深度融合的核心平臺。隨著汽車電動化、網(wǎng)聯(lián)化、智能化的發(fā)展，智能座艙已從傳統(tǒng)的信息顯示和娛樂系統(tǒng)，升級成為集信息交

互、智能控制、娛樂服務(wù)、車聯(lián)網(wǎng)等多功能于一體的綜合系統(tǒng)。隨著智能座艙的功能越來越豐富，它與座艙域以外的車內(nèi)控制器或者是對車外的其它網(wǎng)聯(lián)實體的交互也日益增多，這就使得智能座艙的信息安全面臨著多樣化的挑戰(zhàn)。一方面，智能座艙涉及大量用戶的個人隱私信息，如位置、行程、通話記錄等，如果這些信息被泄露或被不法分子利用，將給用戶帶來極大的安

全風(fēng)險及經(jīng)濟(jì)損失。另一方面，智能座艙中的各種控制系統(tǒng)，如車控指令、車載支付等，如果受到網(wǎng)絡(luò)攻擊，可能導(dǎo)致車輛功能失效、財產(chǎn)損失甚至危及生命安全。為了保障智能座艙的信息安全，就需要從硬件、

軟件、網(wǎng)絡(luò)等多個層面采取措施。而汽車安全芯片，作為智能座艙信息安全防護(hù)的基石，提供了加解密、來源認(rèn)證、安全協(xié)議、安全存儲等多方面的基礎(chǔ)信息安全服務(wù)。汽車安全芯片在智能座艙的應(yīng)用場景可分

為以下幾個層面：

用戶個人信息保護(hù)智能座艙系統(tǒng)存儲了大量用戶個人信息，包括聯(lián)系人、行程記錄、支付信息等。這些數(shù)據(jù)必須進(jìn)行加密存儲，并建立嚴(yán)格的訪問控制機(jī)制。系統(tǒng)需要實現(xiàn)數(shù)據(jù)分級管理，對不同敏感級別的數(shù)據(jù)采用不同強(qiáng)度

的加密算法和存儲策略。汽車安全芯片可以提供芯片級別的加密和安全存儲。

位置信息安全導(dǎo)航系統(tǒng)產(chǎn)生的位置信息涉及用戶隱私，汽車安全芯片可以提供完整的位置信息保護(hù)機(jī)制。

車輛狀態(tài)數(shù)據(jù)保護(hù)車輛運(yùn)行狀態(tài)、故障信息等數(shù)據(jù)對車輛安全至關(guān)重要，汽車安全芯片可以提供芯片級的防護(hù)措施，比

如SecOC等技術(shù)用于進(jìn)行實時數(shù)據(jù)的完整性保護(hù)、來源驗證以及數(shù)據(jù)的加密等。信大捷安自主研發(fā)的XSDM3275車規(guī)級安全芯片，具有較高的SM4等對稱算法運(yùn)算性能，能夠面對HPC為代表的智能網(wǎng)關(guān)提供高性能的數(shù)據(jù)加解密能力，滿足包括車載以太網(wǎng)等高速車內(nèi)網(wǎng)通信的安全需求，

并已經(jīng)在國際知名Tier1項目中實現(xiàn)了量產(chǎn)應(yīng)用。5.4.智能座艙應(yīng)用5.3.4.應(yīng)用案例5.4.1.數(shù)據(jù)安全需求第五章汽車安全芯片主要應(yīng)用場景33汽車安全芯片在車載支付中充當(dāng)了“安全守衛(wèi)”的角色，確保支付過程的各個環(huán)節(jié)都具備強(qiáng)大的安全保護(hù)機(jī)制。通過數(shù)據(jù)加密、身份驗證、防止惡意軟件、隔離存儲以及遠(yuǎn)程更新等多重功能，安全芯片能夠

為用戶提供安全便捷的支付體驗。

支付數(shù)據(jù)加密和保護(hù)安全芯片的核心功能之一是加密支付數(shù)據(jù)，以防止支付信息被竊取或篡改。它可以對支付過程中傳輸?shù)拿舾行畔ⅲㄈ缰Ц顿~號、銀行卡信息等）進(jìn)行加密，確保數(shù)據(jù)在傳輸過程中不被惡意攻擊者截獲或利用。

這種保護(hù)機(jī)制可以有效防止支付信息泄露，保障用戶的資金安全。

身份驗證與認(rèn)證安全芯片可以在支付前對用戶進(jìn)行身份驗證，如生物識別（指紋、人臉識別）。這種身份驗證確保只有車主或授權(quán)的駕駛員能夠使用車載支付功能，從而降低支付風(fēng)險。認(rèn)證過程通常在芯片內(nèi)完成，避免將

數(shù)據(jù)暴露在網(wǎng)絡(luò)環(huán)