智能网联汽车安全渗透白皮书3.0

智能网联汽车 安全渗透白皮书 3.0 智能网联驾驶测试与评价工业和信息化部重点实验室中国软件评测中心·智能网联汽车测评工程技术中心普华永道商务咨询（上海）有限公司 2023年3月 版权声明 本白皮书版权属于中国软件评测中心及普华永道商务咨询（上海）有限公司，并受法律保护，转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明来源，违反上述说明的，将追究其相关法律责任。 指导单位 中国电子信息产业发展研究院 指导专家 刘文强中国电子信息产业发展研究院安晖中国电子信息产业发展研究院王宏国家信息技术安全研究中心杨世春北京航空航天大学 编写单位 智能网联驾驶测试与评价工业和信息化部重点实验室中国软件评测中心·智能网联汽车测评工程技术中心普华永道商务咨询（上海）有限公司 测试单位 中国软件评测中心·智能网联汽车测评工程技术中心国家信息技术安全研究中心 北京航空航天大学 赛迪（浙江）汽车检测服务有限公司 智能网联汽车安全渗透白皮书3.0|前言 前言 “安全是智能网联汽车发展的前提” 在智能网联汽车快速发展的背景下，安全问题不仅为业界人士关注，更逐渐成为社会公众尤其是车主关心的核心问题之一。2022年中国电动汽车百人会论坛上，全国政协经济委员会副主任苗圩在主题演讲中提到，安全是智能网联汽车发展的前提。中国工程院院士、国家智能网联汽车创新中心首席科学家、清华大学教授李克强在2022世界新能源汽车大会发言时称，今年上半年针对车联网平台的网络恶意行为已经超过100万次，汽车信息安全威胁问题日益严重。 为此，编写组在《智能网联汽车安全渗透白皮书（2020年）》、《智能网联汽车安全渗透白皮书2.0（2021年）》系列白皮书的研究基础上，持续跟踪、深度剖析行业内法律法规以及标准动态，探索行业内合规实践，围绕关键安全问题展开分析，提出针对智能网联汽车行业的安全措施与发展建议，形成《智能网联汽车安全渗透白皮书3.0》。 本白皮书由赛迪汽车联合普华永道撰写，编写组包括邹博松、王卉捷、翁泽鸿、王爽、陈世威，测试组包括朱科屹、王荣、黄浦、张芝军、曹耀光，在此特别感谢巩潇、傅毓敏对白皮书的撰写指导，刘鸿运对渗透测试的指导。 本白皮书的主要观点和内容仅代表编写组的研判和思考，部分内容存在局限性，欢迎业界同仁提出宝贵意见，批评指正。 目录|智能网联汽车安全渗透白皮书3.0 一、研究背景01 （一）智能程度提升，车端安全要求日益提高 （二）网联技术增强，互联互通导致广泛攻击 （三）新能源产业发展，充电桩及接口威胁增加 二、安全要求05 （一）国外安全法规与标准 法规R155车辆网络安全与网络安全管理体系 标准SAEJ3061 标准ISO/SAE21434 （二）国内安全政策与标准 关于加强智能网联汽车生产企业及产品准入管理的意见 汽车数据安全管理若干规定（试行） 关于试行汽车安全沙盒监管制度的通告 汽车强制性国家标准 三、结果分析15 （一）渗透活动 渗透活动3.0 测试指标3.0 测试结果3.0 问题分析 （二）数据安全问题 问题分析 合规分析 （三）个人隐私问题 问题分析 安全建议 （四）OTA安全问题 风险分析 安全建议 智能网联汽车安全渗透白皮书3.0|研究背景 研究 背景 第一章 近年来，汽车产业智能化、 网联化、电动化、共享化的“新四化”程度进一步深入，电动汽车作为汽车智能化和网联化的最佳载体，正在加快由人工操作的机械产品转变为基于电子电气架构及信息控制系统的智能终端，不断推动智能网联汽车领域的创新发展。 从新技术广泛落地的层面来看，以网联技术和电动技术为代表的新技术，在全球市场的新车中已经广泛搭载，而L3级以上的自动驾驶技术也将在2025年前后迎来量产的爆发。 •汽车保有量和新车技术渗透率（万辆，%） 轻型汽车保有量（百万）轻型汽车保有量（百万） 302308294281 281 289 310 332 13 16 1718 197 22 250 302 31 350 34 28 14171717 互联 （紧急呼叫系统，轻型汽车新车销量占比） 86%100% 100% 100% 87% 100%100% 100% 44% 91% 100%100% 电动 （BEV，轻型汽车新车销量占比） 自动驾驶 （L4/L5，轻型汽车新车销量占比） 67% 4%17%34% 2%5%8%14% 33%55% 4%19% 0% 0% 7% 15% 0% 0%1% 2% 0% 0% 3% 2020 2025 2030 2035 2020 20252030 2035 2020 2025 2030 2035 16% •轻型汽车=<6tGVW的汽车和轻型商用车；BEV=纯电动汽车；ICE=内燃机；TCO=总拥车成本 资料来源：《普华永道思略特2021年数字化汽车报告》 随着智能网联汽车安全的重要性日益凸显，网络安全、数据安全、OTA安全、个人隐私安全引发了越来越多关注，并已成为事关智能网联汽车技术研发和高质量发展的基础性因素，给车企、芯片厂商、零部件供应商等产业链各个环节主体提出了更严苛的安全要求。 1 研究背景|智能网联汽车安全渗透白皮书3.0 （一）智能程度提升，车端安全要求日益提高 2021年，工业和信息化部、国家发改委和科技部联合印发的《汽车产业中长期发展规划》提出，到2025年，汽车L1驾驶辅助（DA）、L2部分自动驾驶（PA）、L3有条件自动驾驶（CA）系统新车装配率达80%，其中PA、CA级新车装配率达25%，L4高度自动驾驶汽车（HA）和L5完全自动驾驶汽车 （FA）开始进入市场。可以看出，汽车的智能化已成为明确的发展方向。从车辆智能化程度现状来看，随着技术的不断进步，车载传感器、计算单元、控制单元的搭载总数从一开始的个位数已达到当前的数十上百之计。根据艾瑞咨询数据，2020年中国智能辅助/自动驾驶系统市场规模为335亿元，2025年将达1150亿元，年复合增速达28%。 人工智能与自动驾驶技术的快速发展，在为车辆带来辅助驾驶与自动驾驶体验提升的同时，也对汽车行车安全提出了更多的挑战。自动驾驶系统异常驾驶行为识别能力、系统与各控件间的数据安全能力、传感器和雷达等设备的抗干扰能力、GPS系统的加密通讯与身份识别能力等各方面都需符合更高的安全要求。根据普华永道报告对三国消费者的调查显示，消费者对于自动驾驶的接受程度高，并在自动驾驶过程中尤其关注“安全”因素。 自动驾驶–消费者态度、影响因素和支付意愿 28 36 消费者对自动驾驶汽车的使用态度（%） 25% 18% 16% 使用自动驾驶汽车的 19%17%15% 47%44%41% 愿意使用 3大激励因素 32 59 26 38 （受访者比例，%） 对自动减少事 驾驶汽故发生 提高道 路交通 对自动减少事出行更 力 驾驶汽故发生轻松省 出行更轻松省 减少事增加可 力间 故发生利用时 自动驾驶汽车 36 仅愿意在低速驾驶/停车时使用自动驾驶汽车 不愿意使用自动驾驶汽车 支付意愿1 “您是否愿意为自动驾驶服务支付额外费用 （如汽车共享、网约车）？如果是，您愿意为每5公里起步价格为 36 €10/$10/¥20的车程额外支付多少费用？” 使用自动驾驶汽车的 9 3大抑制因素 （受访者比例，%） 车感到和超速安全水 10 2 好奇行为平溢价 € 起步价格 更喜欢自担心车辆对自动驾己驾车失去控制驶技术缺 乏信任 22%15% 32% 车感到和超速 好奇行为 102 溢价 $ 起步价格 更喜欢自担心车辆对自动驾己驾车失去控制驶技术缺 19% 14% 乏信任 34% 和超速 行为 溢价 201¥ 起步价格 更喜欢自担心车辆降低道路己驾车失去控制交通安全 水平 7%4%3% 1使用自动驾驶汽车代替司机或自主驾驶的平均溢价支付意愿 资料来源：《普华永道思略特2021年数字化汽车报告》 2 智能网联汽车安全渗透白皮书3.0|研究背景 （二）网联技术增强，互联互通导致广泛攻击 除了智能化自动驾驶技术的提升之外，车路协同、通信网络等关键技术的快速发展正在使得汽车产品从封闭系统走向开放，汽车网联化程度大幅提升。根据IHSMarkit预测，2022年全球网联汽车市场渗透率将达到24%，预计本年度全球车联网市场规模将达到1629亿美元，同比增长约为14%；中国车联网市场增长速度更快，预计增速将达到约24%。 根据《普华永道思略特2021年数字化汽车报告》的统计与预估，到2025年欧洲和美国路面上将有约一半的车辆具有网联功能，在中国这个比例也会超过三分之一。 •汽车保有量和互联车辆占比（万辆，%） 27,22528,87630,98533,186 52% 31% 92% 70% 35,017 30,200 25,049 20,624 33% 35% 56% 72% 31,72330,76429,35128,351 93% 79% 49% 24% 2021202520302035 互联汽车非互联汽车 2021202520302035 2021202520302035 资料来源：《普华永道思略特2021年数字化汽车报告》 不同于传统汽车的封闭性，不断融入的新兴网联化技术使汽车面临着更广泛的攻击。网联汽车关联的云端服务器，具有车控功能的手机APP、蓝牙钥匙，车端搭载的车车通信与路侧通信系统、OTA系统等，都是进行网络安全攻击的重要目标与入口。例如，OTA升级场景给了黑客多个攻击路径。一方面可以通过破解升级过程中的加密协议和校验机制，向车机系统植入木马；另一方面可以截获并反编译OTA升级固件包，从源代码层面查找系统未被发现的漏洞与攻击入口；更有甚者，可以直接攻击OTA升级服务器，获取服务器权限，进而篡改升级软件包并下发升级任务给车辆，达到入侵车机系统的目的。 由此可见，在万物互联的大趋势下，如何进一步加强汽车安全防护，保障人车安全，将是行业内各方需要重点关注和解决的问题。 3 研究背景|智能网联汽车安全渗透白皮书3.0 （三）新能源产业发展，充电桩及接口威胁增加 “双碳”目标下，国内新能源汽车产业继续强化顶层设计，不断优化科技创新和产业布局。近几年国内新能源车的保有量正以每年数百万的速度增加，从2020年的492万辆增长到2021年的784万辆，同比增长59.3%。 放眼全球，以欧盟国家为代表发达国家中的纯电动和插电式混合动力汽车 产销量也在同步大幅增长。 •按动力系统划分的新车销量（万辆，%） 1,6841,7021,725 1,520 9% 13% 6% 34% 16% 84% 7% 78% 3% 50% 64% 27% 9% 1,653 1,669 1,708 1,775 19% 1% 54% 80% 1% 97% 2% 92% 6% 1% 44% 3,438 3,105 2,804 2,362 2%6% 33% 92% 32% 7% 60% 6% 74% 19% 9% 5% 55% 489 463 436409 10% 89% 26% 26% 3% 45% 95% 5% 99% 1% 2021202520302035 2021202520302035 2021202520302035 2021202520302035 燃料电池汽车 纯电动车 插电式混合动力汽车 内燃机汽车（包括油电混动汽车） 资料来源：《普华永道思略特2021年数字化汽车报告》 充电桩作为新能源汽车产业中一个重要的组成部分，呈现出快速发展的趋势。2020年充电桩建设被纳入国家“新基建”，各种充电服务、充电APP也随之涌现市场。根据中国电动汽车充电基础设施促进联盟（EVCIPA）发布的数据，2017-2021年全国充电桩5年复合增长率达56%，2021年充电桩保有量为261.7