华为乾崑智能汽车解决方案网络安全白皮书

微信扫码，打开到小程序

免责声明 您购买的产品、服务或特性等应受深圳引望智能技术有限公司商业合同和条款的约束，本文档中描述的全部或 部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，深圳引望智能技术有限公司对 本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 版权所有 © 深圳引望智能技术有限公司2025。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 深圳引望智能技术有限公司 深圳市龙华区福城街道九龙山社区景悦路1号A1栋101 邮编：518110 https://auto.huawei.com/cn/ 网络安全白皮书 华为乾崑智能汽车解决方案 联合发布单位（排名不分先后） 华为乾崑智能汽车解决方案 网络安全白皮书 Contents 目录 华为乾崑智能汽车解决方案概述 05 01 PART 1 前言 1.1 华为乾崑智能汽车解决方案简介 1.2 华为乾崑智能汽车解决方案技术特征概述 06 08 华为乾崑智能汽车解决方案 网络安全理念与架构 11 PART 2 2.1 零信任网络理念 2.2 纵深韧性架构设计模型 2.3 网络安全解决方案架构 2.4 产品网络安全基线 2.4.1 网络安全基线制定的原则 2.4.2 产品网络安全基线介绍 2.5 AI(Artificial Intelligence)安全 2.5.1 AI安全面临的挑战 2.5.2 构建安全可信的AI系统 12 13 15 16 17 18 21 21 26 华为乾崑智能汽车解决方案 网络安全技术 30 PART 3 3.1 基础安全 3.1.1 系统安全 3.1.2 数据安全保护 3.1.3 可信互联通信 3.2 安全解决方案 3.2.1 远控端到端保护技术 3.2.2 一车一授权防刷车技术 31 31 33 35 36 36 37 华为乾崑智能汽车解决方案 网络安全白皮书 3.2.3 高安全虚拟机技术 3.2.4 信任环车内通信安全技术 3.2.5 诊断安全技术 38 39 40 66 A 缩略语表 / Acronyms and Abbreviations 华为乾崑智能汽车解决方案 网络安全法规标准遵从、测评与认证 42 PART 4 4.1 GB 44495遵从 4.2 UN R155、ISO/SAE 21434遵从 4.3 C-ICAP测评 4.4 IVISTA测评 4.5 CC EAL安全认证 4.6 车联网云平台CCRC认证 4.7 汽车隐私保护测评规范 43 44 45 46 48 49 50 华为乾崑智能汽车解决方案 全生命周期安全保障 51 PART 5 5.1 安全隐私可信工程 5.2 VCSL网络安全实验室 5.3 漏洞管理 5.3.1 漏洞管理是保障网络空间安全的重要工作 5.3.2 漏洞管理是产业链的共同责任，需要协同合作来共同解决 5.3.3 引望遵循行业标准和最佳实践建立漏洞管理体系和工程能力 5.3.3.1 漏洞管理目标 5.3.3.2 漏洞管理原则 5.3.3.3 漏洞处置关键阶段 5.3.3.4 漏洞管理行为准则 5.3.4 引望漏洞管理框架与实践 5.3.4.1 全量漏洞管理 5.3.4.2 全生命周期漏洞管理 5.3.4.3 全供应链管理 5.3.4.4 漏洞管理平台 5.4 应急响应 52 54 55 55 56 57 57 58 59 59 61 61 62 63 64 64 前言 前言 智能汽车正在重塑人类的出行体验，但同时也面临着前所未有的网络安全挑战。随着汽车从机 械产品向"移动的数据中心"转变，网络安全已成为智能汽车的重要因素。每辆现代智能汽车搭 载着上百个ECU（电子控制器）、运行着数亿行代码、每天产生TB级数据，网络安全漏洞可 能带来严重影响。 智能汽车面临的关键网络安全挑战： 威胁持续演进：从简单的车辆盗窃到复杂的数据窃取、隐私侵犯、甚至人身安全威胁； 攻击面急剧扩大：从传统的物理接触攻击扩展到远程网络攻击，攻击数量快速增长； 法规要求趋严：UN R155/R156、GDPR（通用数据保护条例）等全球法规，《网络安全 法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干管理规定（试行）》、GB 44495-2024《汽车整车信息安全技术要求》、GB/T 44464-2024《汽车数据通用要求》等 中国法规或标准，对汽车网络安全提出严格要求。 网络安全威胁演进态势： 1、汽车网络安全威胁呈现出专业化、规模化、产业化的特点； 2、攻击技术日趋高级化和复杂化：从简单的CAN消息注入发展到复杂的多阶段APT攻击； 3、攻击目标从车辆扩展到数据：攻击者更关注有价值的用户数据和商业机密； 4、攻击规模从单车扩展到批量汽车：针对车联网平台的攻击可能影响数百万辆车； 5、攻击动机多元化：除了经济利益，还包括政治目的、恐怖主义等。 01 前言 前言 1）远距离攻击：攻击者与汽车的距离没有限制，通过互联网实施无限距离的攻击。攻击者获 得云的控制权，是远距离批量控制汽车的关键。 2）近距离攻击：攻击者在汽车附近出现，通过近距离通信方式攻击汽车。攻击方式包括蓝牙、 射频（如射频钥匙）、NFC(如NFC钥匙)、声音（如超声波、智慧语音控制）、光线图像（如 激光照射攻击）等。此类攻击需要在汽车周边约200米以内实施，可以不进入汽车座舱内，不破 坏汽车门窗，实施无物理接触的攻击。 3）物理接触攻击（无距离攻击）：攻击者通过硬件连线接入汽车实施攻击，包括：a）进入座 舱内部，连接诊断口、USB口，点击屏幕进行操作；b）打开电门盖，接入充放电口；c）破坏 车灯或者车壳，获得内部连线的接口。 4）组合攻击：组合运用上述多种攻击手段达成攻击目的。此类组合攻击可以实现一次物理接 触后，持久化实现随时的远距离控制。 全球各国政府高度重视汽车网络安全，纷纷出台相关法规、标准或要求： 欧盟：UN R155/R156法规要求汽车制造商建立网络安全管理体系（CSMS）。 美国：NHTSA 发布了《现代汽车的网络安全最佳实践》。 中国：制定《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干管理 规定（试行）》，发布GB 44495-2024《汽车整车信息安全技术要求》，形成了完整的监管 框架。 日本：制定《自动驾驶汽车安全技术指南》，明确网络安全要求。 合规挑战主要体现在：法规要求复杂多样、标准更新频繁、跨国合规成本高昂、违规处罚日趋 严厉。企业须建立全球化的合规管理体系，才能在各个市场顺利开展业务。 为应对上述智能汽车的网络安全挑战，华为乾崑智能汽车解决方案提出了一套分层纵深防御的 安全架构，以整车安全为目标，跨域协同，为用户提供全方位的网络安全保护，以下称为华为 乾崑网络安全解决方案。 对汽车的攻击有多种分类，其中，攻击者与汽车的距离，是在汽车网络安全中关注度比较高的 一种分类，依次可分为远距离攻击、近距离攻击、物理接触攻击（无距离攻击）。 1、按攻击的危害程度分类 智能汽车作为信息系统和载人工具的结合，尤其关心对行车状态的影响。按受到外部攻击后的危 害程度可以分为以下三种： 1）控制车辆行驶状态：此类控制可以直接威胁人身安全，控制的功能包括：启动、停止、加 速、转向、制动、挂挡等。 2）控制车身状态或者车辆状态配置：此类攻击影响到车辆的正常使用，可以间接影响人身安 全，但在及时、有效干预下，可以避免人身安全威胁。被控制的功能包括：门、窗、车尾箱、座 椅、空调、雨刮器、灯、喇叭、音响、仪表盘、悬挂、摄像头、激光雷达、驾驶模式设置、充电 设置等。 3）不影响车辆状态的攻击：此类攻击影响车辆信息系统的功能，影响数字资产、隐私数据、财 务等，包括：音视频窃听、位置跟踪、支付账号盗取、照片录像盗取等。此类攻击不影响人身 安全。 2、按实施攻击的距离分类 03 02 图1：按实施攻击的距离分类 远距离攻击 物理接触攻击 近距离攻击 车 车机 传感器 门窗 网络接口 蓝牙 NFC 射频 声光图 基站 WLAN 运营商网络 云 电脑 手机 手表 攻击面持续扩大，按照攻击危害和攻击距离做如下分类： 前言 04 白皮书主要观点： 1、智能汽车网络安全需要体系化思维，不是单点技术问题； 2、安全必须从设计阶段开始融入，而非事后补救； 3、持续运营和演进是保持安全有效性的关键； 4、技术创新与合规要求必须并重发展。 本文介绍华为乾崑智能汽车解决方案（以下简称“华为乾崑”）的网络安全理念与实践。用户 可以通过本文了解华为乾崑提供的全方位网络安全保护。 本文主要从以下章节进行阐述： 前言：简要说明业界智能汽车面临的网络安全威胁，以及华为乾崑网络安全的业务背景。 第一章：华为乾崑网络安全概述，介绍智能汽车的典型电子电器架构、技术特征、与网络安 全相关的业务。 第二章：华为乾崑网络安全的理念与架构，介绍网络安全解决方案设计所采用的零信任网络 理念，基于ISO/SAE 21434标准对整车进行安全威胁分析，提出分层纵深的网络安全架构。 第三章：展开介绍重要的华为乾崑网络安全解决方案，针对不同的网络安全风险，实施全方 位的网络安全防护技术方案，包括基础安全、远程端到端加密、诊断安全、信任环车内通信安 全、一车一授权防刷车等，联合构成整车安全防线。 第四章：介绍华为乾崑网络安全高质量符合国家标准、国际标准，在行业推荐性安全标准测 评认证中取得优异成绩。 第五章：介绍华为乾崑网络安全如何构建全生命周期安全，保证过程安全、结果安全。通过 优秀的安全工程实践保证安全质量，对智能汽车进行安全测试，在车辆上市前保证问题闭环； 在车辆上市后，时刻关注业界安全动态，第一时间进行安全应急响应，确保汽车的全生命周期 安全。 深圳引望智能技术有限公司（简称“引望”，下同）坚信“质量为企业的生命”，坚持“以质取 胜”。我们致力于为客户提供高质量的产品和服务；我们将多年的质量管理经验延伸到所有的合 作伙伴，构建全流程、端到端的质量管理体系，共同推动相关产业链的高质量发展。网络安全和 隐私保护是数字化、智能化世界发展的基石。作为安全可信有能力、开放合作负责任的智能汽车 解决方案提供商，引望坚持将对网络和业务安全性保障的责任置于公司的商业利益之上。为此 ，引望持续构建完善的网络安全治理体系，在端到端的业务流程中嵌入网络安全要求，协同伙伴 提供安全可信的产品、解决方案和服务，支持客户增强网络韧性。同时，我们积极为网络安全标 准贡献力量，与利益相关方一同，合作共建安全可信的网络空间。 华为乾崑智能汽车解决方案概述 PART 1 PART 1 华为乾崑智能汽车解决方案网络安全概述 1.1 华为乾崑智能汽车 解决方案简介 华为乾崑智能汽车解决方案，包括乾崑智驾、鸿蒙座舱、乾崑车控、乾崑车载光、乾崑车云服 务，并以此为核心，实施一系列整车跨域业务解决方案，实现电动化、网联化、智能化、共享 化，为用户提供智能、舒适、安全可靠的驾乘体验。 乾崑智驾——引领产业迈入新时代：ADS（辅助驾驶系统）全新端到端架构、全向防碰撞系 统、车位到车位和泊车代驾等业界领先功能，人驾更安全，智驾更舒心。 鸿蒙座舱——智能出行空间：基于HarmonyOS开发的鸿蒙座舱重新定义智能座舱体验，更 懂你的小艺语音，多人、多屏、多音区联动，丰富的车机应用和非凡的车载音响，让用户操作 得心应手，让体验丰富多彩。 乾崑车载光——智能汽车新视界：颠覆视觉体验，打造智能车载光解决方案，提供AR-HUD、 百万像素车灯模组、光场屏等产品。助力汽车智能化创新，让驾驶更安全，交互更便捷，驾乘更 舒适。 乾崑车控——数据底盘引擎：内置自研车控模组，实现6合1全域融合架构，实现中央集中全 维协同控制，带来极致驾乘体验。 乾崑车云服务——全生命周期极致体验和贴心服务：提供全系手机无感解闭锁的数字钥匙 服务；实时查看车周情况的乾崑云瞰服务；远程自定义迎宾灯语的乾崑云曦服务；一路记录 的行车记录仪；可随时控车的远程控制功能。 华为乾崑为智能车解决方案提供了一套智能、互联、安全可靠的系统，也对网络安全保护提出 了更高的要求。安全风险较高的功能有： 07 随时联网：智能汽车通过蜂窝网和WLAN随时连接互联网，并可以安装APP应用，在提供 智能、丰富体验的同时，也增加了远程攻击与数据泄露的风险。 远程控制：智能汽车提供通过手机、手表远程控制汽车的功能，包括开门开窗、远程启动、 远程召唤等功能，带来非授权远程控制汽车的风险。 无感解闭锁：智能汽车提供数字车钥匙功能，通过手机蓝牙车钥匙，无需用户操作即可解锁 车辆，带来被攻击无感开门的风险。 辅助驾驶：辅助驾驶系统具备辅助控制动力、转向、刹车等功能，给攻击者提供了软件控制 动力的可能性，带来远程攻击控制动力域的风险。 PART 1 华为乾崑智能汽车解决方案网络安全概述 06 图2：安全架构分层 PART 1 华为乾崑智能汽车解决方案网络安全概述 09 PART 1 华为乾崑智能汽车解决方案网络安全概述 08 1.2 华为乾崑智能汽车 解决方案技术特征概述 华为乾崑在智能网联方面有卓越的进步，提供丰富的网联功能，并且具备辅助驾驶能力。智能 汽车对外提供丰富的互联接口，内部具备丰富的传感器和辅助驾驶控制能力。整车架构由外到 内，可以分为车云与手机、车外通信层、车内通信层、智能控车层、执行ECU等几个层。 4、智能控车层 1）辅助驾驶系统：实现城区辅助驾驶、高速辅助驾驶、远程召唤、辅助自动泊车、遥控泊车的 功能，该系统从智能座舱或者手机获得用户的指令，从激光雷达、毫米波雷达、摄像头等传感器 获得外部道路信息，依据地图规划行进路线，控制车辆的动力系统、转向系统、制动系统，辅助 控制车辆行驶到目的位置。 1）智能座舱：智能座舱是指车内驾驶员、乘客乘坐的空间，包括智能车机、氛围灯、音响、 抬头显示等软硬件。其中，智能车机是智能座舱的核心部件，提供人机交互、车身控制、 音视频娱乐等功能。车机对外进行云连接、人机交互、WLAN和蓝牙通信，包含有麦克风、 摄像头和USB接口，所以归属在车外通信层。车机对内可以设置门窗、空调、座椅等，同 时车机内置有导航、行车记录仪、哨兵模式、通话等功能，并可以通过应用市场安装第三 方应用，提供音乐、电影、短视频等功能。 2）T-BOX：为智能汽车提供远程网络连接的功能，可通过蜂窝网连接上网。远程控制指 令通过云端下发到T-BOX，再转到车内执行。T-BOX还提供数字车钥匙功能，可自动连 接手机，提供无感解锁车门、手机遥控泊车等功能。 2、车外通信层 1）网关：为整车以太网和CAN总线提供连接的网络中心设备。除了提供连接功能以外，网 关具备车辆功能管理、车身控制能力，例如OTA升级管理、诊断管理、VHR日志管理、证 书密钥管理等。网关对外提供诊断接口，用于连接诊断仪进行车辆检修，可以读故障码、升 级系统、配置汽车参数。 2）局域网交换模块：即LAN Switch模块，可内置于SOC（System-On-a-Chip，片上 系统）中，也可能作为独立芯片，支持车内以太网报文转发。 3、车内通信层 1、云与手机 1）云：包括车云、ADS云、智能车连接的其他云。车云为智能车提供丰富的在线服务，包括在 线升级、远程控制、智慧寻车、哨兵模式等。ADS云为辅助驾驶系统提供地图更新、路线规划等 功能。智能车上的APP会连接其服务器所在的云，进行账号登录、数据同步、服务内容交互等。 2）手机和手表：手机上安装有车主APP，配合手机系统的能力，提供远程控制、数字钥匙、遥控 泊车等功能。智能手表和运动手表也能与车辆进行交互，实现远程控制、数字钥匙等功能。 PART 1 华为乾崑智能汽车解决方案网络安全概述 10 2）车身控制器：车身控制器提供对门、窗、座椅、空调、灯光等车身设备的控制功能。车上有 多个车身控制器，例如左侧、右侧、前侧各一个，车上各设备可以就近接入车身控制器。车身控 制器通过以太网连接车机、T-BOX，接收控车指令，通过CAN和LINE连接，对下挂设备进行 控制。 5、执行ECU 域控制器是汽车功能域（如动力、底盘、车身、智能座舱、辅助驾驶）的集中运算单元，由硬件 （主控芯片、存储器件等）和软件（操作系统、中间件、应用算法）构成，实现对域内功能的统 一调度与控制。包含辅助驾驶域控制器、智能座舱域控制器、车身域控制器、联网域控制器等。 除了上述域控制器以外，整车还包含很多其他ECU，此类ECU负责单项功能的执行，统称为执 行ECU。典型的执行ECU有：电池管理系统、热管理系统、电机、灯光、音响、AR-HUD（增 强现实平视显示器）、激光大灯、投影屏等。 华为乾崑智能汽车解决方案 网络安全理念与架构 PART 2 将零信任网络理念用于智能汽车网络安全架构设计，应摒弃“内网默认可信”的假设，车内不 同部件不再视为同一个信任网络，在部件之间的访问需要采取接入认证、访问控制等安全措 施。但车内ECU多达100多个，无法在每两个ECU之间进行访问控制。在华为乾崑网络安全解 决方案中，将部件进行分层部署，以执行ECU为被保护层，构建多层纵深的保护架构。采取零 信任网络理念进行设计，外层访问内层需要进行接入认证、权限鉴定，保护访问的完整性、机 密性、可用性，做到防篡改、抗仿冒、防重放。 PART 2 华为乾崑智能汽车解决方案网络安全理念与架构 2.1 零信任网络理念 2010年，约翰・金德维格（John Kindervag）首次明确提出“零信任”这一术语，他认为零信 任本质是以身份为基石的动态访问控制。该技术强调以身份为核心，运用动态访问控制技术， 将细粒度的应用、接口、数据作为重点保护对象，并遵循最小权限原则，以此构筑端到端的安 全边界。这一阐述为零信任理念奠定了理论基础，使其从模糊设想走向清晰概念。 2014年，国际云安全联盟在零信任理念基础上提出软件定义边界（SDP），并发布标准规范， 进一步推动零信任从理论走向落地应用。SDP协议致力于打造按需、动态配置的隔离网络环 境，将受信任网络与不安全网络有效隔离，缓解基于网络的攻击。 零信任网络摒弃了传统网络安全中“内网默认可信”的假设，主张对网络中的任何访问请求， 无论来自内网还是外网，都不应给予默认信任。它以身份为中心，围绕用户、设备、应用等构 建动态访问控制机制，将安全防护的边界从网络边界延伸到每一次访问行为，确保只有经过授 权且安全的访问才能被允许，从而有效抵御来自内部和外部的网络威胁。 关键原则 最小权限原则：仅授予用户或设备完成特定任务所需的最小权限，且权限会根据环境变化动态 调整。 持续验证与评估：在访问过程中，持续监控设备状态和网络环境。一旦发现如设备出现未授权 软件等异常，立即重新评估访问权限，甚至阻断访