郗来乐 等: 智能网联汽车自动驾驶安全: 威胁、攻击与防护                                                   1861



                                                   总线通信       ECU 执行          手机
                                         车载                                   APP
                                         部件     ECU ECU ECU ECU ECU ECU

                                                  ECU            ECU          云端
                                                        网关
                                                                              服务
                                                                                   V
                                                路径     运动    行为      控制             2
                                         驾驶     规划     规划    选择      优化       道路   X
                                         模型                                   车辆   通
                                      End-to-end  DNN、CNN、RNN、Dijkstra、ALT、CH、REAL、FSM...  基础  信

                                                目标     物体     语义     场景       设施
                                         环境     检测     跟踪     分割     分析
                                         感知                                   路侧
                                              摄像头、激光雷达、超声波雷达、加速度计、GPS...
                                                                              单元
                 信息域, 又与人们生命财产安全、城市交通安全高度相关, 这导致了许多复杂、隐蔽的新型攻击手段, 它们可以直
                                                       物理环境
                                                 图 1 自动驾驶汽车典型架构

                    驾驶模型是自动驾驶汽车的核心控制模块, 通过深度学习模型                     (CNN、RNN  等) 和经典算法     (Dijkstra、ALT、
                 FSM  等), 实现路径规划、运动规划、行为选择和控制优化等任务, 根据感知语义信息和车辆状态做出超车、避障
                 等驾驶决策, 并转化为车辆控制指令, 以控制车辆的加速、转向、制动等操作, 从而实现最优化的车辆控制, 随着
                 端到端学习的发展, 未来驾驶模型将融合环境感知模块, 承载更多更复杂的任务.
                    车载部件包括油门、制动等执行器和车载信息娱乐系统等, 通过车内通信协议                           (如  CAN  总线、车载以太网
                 等) 接收驾驶模型生成的控制指令, 并将其传输到对应电子控制单元                     (electronic control unit, ECU) 执行, 实际控制
                 车辆运动状态, 确保车辆按照驾驶模型规划的路径行驶, 保证行驶的安全性和稳定性. 从网络结构上看, 自动驾驶
                 汽车是一个异构分布式实时系统, 不同车载网络将                ECU  连接起来, 实现决策指令的下达和执行. 总线作为汽车内
                 部网络的构建核心, 是决策指令的传输通道, 其设计与实现与汽车安全高度相关. 自动驾驶汽车内部普遍采用域控
                 制技术, ECU  作为控制系统的最末端节点, 直接操纵物理器件完成控制指令的执行.
                    V2X (vehicle-to-everything) 通信模块实现车辆与道路基础设施、其他车辆和云端等的实时通信, 是自动驾驶
                 汽车获取高清地图、道路信息的重要途径, 辅助驾驶模型进行路径规划, 从而完成行驶任务. 但                             V2X  也使得自动
                 驾驶汽车及其连接的对象在广义上成为巨大的系统, 从而加剧了自动驾驶汽车安全分析的复杂性.

                 1.2   自动驾驶汽车安全特殊性
                    自动驾驶汽车是一个多层级网络与终端融合的新型信息物理系统, 相比于传统汽车、计算机、工业控制系统
                 等, 自动驾驶汽车具有高度智能化、泛网络连接、高实时要求、强安全保障等特点, 因此其安全也呈现出新特性.
                    1) 物信跨域新威胁
                    传统互联网安全普遍研究信息域内的攻击, 随着物联网技术的发展, 新型传感器和执行器实现了信息域与物
                 理域的连接, 使得安全研究发生了颠覆性的变化, 物理安全得到了更多重视. 自动驾驶汽车天然地连接了物理域和


                 接作用到物理世界, 造成更大破坏.
                    2) 功能安全与信息安全融合
                    功能安全是自动驾驶汽车应用的必要前提, 信息安全是自动驾驶汽车接续发展的内在要求, 随着智能化、网
                 联化程度加深, 自动驾驶汽车逐步成为功能安全与信息安全融合的新型移动终端. 其功能安全与信息安全相互约
                 束、相互作用, 共同使用汽车软硬件、通信等资源, 共同决定了汽车及其驾乘人员的安全. 以驾驶模型为核心的自
                 动驾驶汽车所面临的安全问题往往表现为二者融合的结果, 因此自动驾驶汽车从设计到实现应该更关注功能安全