智能网联汽车是新一代通信技术、传感技术、人工智能技术、大数据技术等先进技术的综合体，具有智能化、网联化、电动化的典型特征，相关技术的发展推动着全球汽车产业的快速变革。我国制定了智能汽车发展的总体目标、发展战略，将于2035年建成智能网联汽车技术和产业体系，推进产业生态链的不断完善，显著提升汽车整车的智能化水平，具有高度自动化驾驶功能的汽车将得到大规模应用。

随着汽车智能化、网联化的快速演进，以及自动驾驶、车路云协同、智慧交通等日益丰富的应用发展，针对智能汽车的攻击事件层出不穷。攻击者针对智能网联汽车的高度互联、高可达性、高脆弱性以及涉及很多高价值数据等特征，通过远程、近场或接触式的攻击方法，对智能网联汽车及其关联要素发起攻击，具有网络安全威胁攻击面大、攻击路径多、攻击方式复杂等特点。对智能网联汽车缺乏系统性的安全认知使得汽车难以有效应对各种安全威胁，而软硬件复杂性的不断增长也导致安全问题更加凸显，汽车面临的网络安全形势日趋严峻。

近几年，智能网联汽车网络安全技术得到快速发展与演进，从研发管理体系角度涉及汽车的安全生命周期，从技术的角度需要应对新一代汽车电子电气及软件架构、自动驾驶、OTA（Over The Air，空中下载技术）、车路协同等多元化应用与场景下的安全需求。另外，一系列国内外法规、标准密集出台，安全合规已成为智能网联汽车行业的必然要求。针对智能网联汽车的安全技术研究、设计与应用，需要综合考虑汽车整车电子电气与网络架构、零部件软硬件资源、应用场景、实时可靠性等方面的特性需求，将传统的网络安全技术应用到汽车领域。智能网联汽车网络安全技术呈现出涉及面广、多元复杂的特征，相关专业技术人员的巨大缺口也是制约行业发展的一个重要问题。

本书基于智能网联汽车网络安全生命周期的全局观、系统观和纵深防御的思想，覆盖智能网联汽车的需求阶段、设计开发阶段和验证阶段，建立面向智能网联汽车网络安全的技术体系，包括网络安全威胁模型与风险评估技术、整车级安全技术、零部件级安全技术、安全运营技术、数据安全技术、安全测试与评估技术等。结合智能网联汽车在电子电气架构、车载设备系统的软硬件架构及资源情况、处理性能、应用场景等多方面多维度的特性，涵盖技术、相关标准及其应用，兼具安全防护与监控、安全开发与安全测试等方面。本书一方面对于汽车行业急需的网络安全技术人才的培养具有很重要的作用；另一方面对于汽车行业的网络安全工程师，也能够辅助其开展整车安全设计、零部件安全技术实现，以全面的视角建立更加系统性的思维，对于提升国内汽车产业的网络安全和数据安全水平起到积极的作用。

本书主要内容编排如下：

第1章绪论：对智能网联汽车的发展情况进行概述，以此作为智能网联汽车面临的安全问题的背景知识介绍。对智能网联汽车面临的安全威胁，从安全威胁态势、安全威胁来源、数据安全威胁等方面进行分析，基于此对智能网联汽车网络安全要素进行概要归纳，引出本书的章节内容介绍。

第2章智能网联汽车网络与数据安全法规标准：对国际、国内有关智能网联汽车网络安全、数据安全的法规、标准体系及标准研制情况进行了总结，对国内已发布的重要标准内容进行了简要介绍。一方面，法规标准对智能网联汽车网络安全、数据安全提出了要求，是作为本书读者需要较为全面了解的内容；另一方面，也为本书后续章节的内容提供了相应的依据和参考。

第3章威胁分析与风险评估：该技术在汽车研发的概念阶段实施，对确定汽车整车以及零部件的安全目标、安全需求至关重要，直接影响到后续各环节的开发活动。结合智能网联汽车的电子电气架构、生命周期V模型、典型业务以及有关标准的要求，本章给出了一套结构化的智能网联汽车威胁模型，基于;资产_威胁_安全属性的三维度结构，给出适用于整车业务及零部件的威胁分析与风险评估流程。从安全相关的业务层面，以及安全相关零部件的层面开展分析技术的应用，最终可完成威胁分析和风险评估。基于分析结果明确整车及零部件的网络安全需求，为后续的技术开发和应用提供依据。

第4章密码与证书应用：密码及证书技术是网络安全技术、数据安全技术的基础性、支撑性技术。本章针对密码技术在智能网联汽车中的应用，介绍有关密码算法、密码硬件与软件（包括密码芯片、软件密码算法、密码软件栈和密码模块）等的基础知识，密码技术在汽车身份鉴别、完整性保护方面的应用场景，以及密钥管理方面的内容。在证书认证体系方面，介绍PKI（公钥基础设施）数字证书与身份认证体系、V2X证书体系，以及证书体系的典型场景应用及跨域互信方面的内容。

第5章安全通信：安全通信是整车级网络安全的核心技术之一，本章重点介绍面向车内网络的安全通信技术，给出车载安全通信架构，为车辆内部CAN（控制器局域网）、CANFD（控制器局域网络灵活数据速率）以及车载以太网通信消息的真实性、完整性、抗重放等提供安全保障。本章包含通信安全威胁与安全要求、车载通信安全技术概要、安全板级通信等内容，详细讲解了基于报文认证码的技术、基于威胁分析和风险评估的车辆信号筛选技术，以及安全通信组件在不同类型车载网络和设备上的分布式部署的策略。

第6章代码安全：所有需要软件实现的安全技术最终都主要体现在软件代码上，代码安全的重要性不言而喻。代码安全技术涉及很多方面，本章从安全编码规范、代码安全加固、代码安全检测、代码安全审计以及开源软件安全管理等方面对相关概念、技术进行了介绍。安全编码规范介绍了MISRA C/C十十、CERT C/C十十、内核代码安全、应用软件安全编程指南等内容；代码安全检测介绍了代码安全的静态分析和动态分析技术，以及有关安全检测工具的情况；代码安全加固方面，针对汽车嵌入式设备软硬件资源受限、实时性要求较高的特点，重点讲解与硬件平台无关的嵌入式代码混淆技术，并在典型的车控嵌入式设备上进行代码混淆实验，验证混淆方法的有效性。

第7章系统级安全：本章针对车载设备系统，介绍安全启动、安全可信的执行环境、操作系统安全、外部访问点安全等方面的安全技术，并以IVI/T_BOX(车载网联终端）、多域架构零部件为例，说明各安全技术在设备系统中的部署应用情况。

第8章入侵检测与态势感知：入侵检测是汽车网络安全的重要基础，能够实时监控和识别针对设备及车辆的异常事件、攻击事件，并采取系统性的防御措施，能够支撑并协调云端的安全分析与响应功能，作为车辆安全运营的重要组成部分，提升智能网联汽车的网络安全防护能力。本章基于车辆网络环境及车载设备的特点，具体讲解了车云联动的安全运营体系架构和功能、各类车载IDPS（入侵检测和防御系统）的功能原理及部署策略、汽车安全事件检测与分析、态势感知等内容。在汽车安全事件的检测分析方面，本章介绍了基于规则的汽车安全事件检测分析技术、基于机器学习的汽车安全事件检测分析技术，以及基于知识图谱的汽车安全事件检测分析技术。各种技术在针对汽车安全事件的检测、分析上各有特点，基于对这些方法的综合性运用，实现车辆端与云端的协同联动，可进一步提升对车辆安全事件的分析、预测与态势感知能力。

第9章安全运营管理：安全运营管理是智能网联汽车网络安全、数据安全的重要环节，覆盖汽车生命周期中从交付使用到报废的全过程。本章首先介绍了汽车网络安全运营体系，其次着重讲解了安全应急响应、安全漏洞管理、威胁情报管理与安全信息共享等方面的内容。其中，安全应急响应包含组织机构及职责、网络安全事件分类分级、网络安全应急响应计划/预案、应急响应流程、应急响应平台等内容；安全漏洞管理包含漏洞信息来源、漏洞库的建立与管理、漏洞利用、漏洞全生命周期管理等内容；威胁情报管理与安全信息共享包含威胁情报管理与网络安全信息共享的意义、威胁情报概要、网络攻击定义及描述、威胁情报共享等内容。

第10章面向业务场景的安全：智能网联汽车具有丰富多样的业务和应用场景，多数覆盖;云_管_端_边等要素，涉及多种安全技术的综合性应用。本章以OTA、SOA（面向服务的架构）、车路云一体化系统为典型代表，分析它们的安全需求，对涉及的安全方案和技术进行说明。

第11章数据安全：数据安全是智能网联汽车领域安全的重要分支，本章主要介绍数据安全生命周期、数据资产识别与分类分级、数据采集安全、数据存储安全、数据传输安全、数据安全访问与处理、数据共享安全等方面的内容。

第12章安全测试与评估：安全测试与评估是智能网联汽车安全生命周期过程中的必要环节，是满足合规要求和不断提升汽车安全能力的必要措施。安全测试主要分为合规验证测试和以不断发现汽车安全问题为目标的测试两大类，后者以渗透测试为主要形式。本章对安全符合性/合规测试要求、渗透测试、汽车安全测试内容、测试工具与平台、汽车网络安全渗透测试示例、汽车网络安全仿真测试平台、基于攻击技战术的汽车安全测试评估等内容进行了讲解，帮助读者建立有关智能网联汽车网络安全测试整体的概念和知识。

本书主要面向高校汽车学院、计算机学院的学生，以及车企及研究院所等与汽车网络安全相关的研究人员、开发人员等。本书既可以作为智能网联汽车网络安全的基础理论及实践教材，也可作为智能网联汽车网络安全技术开发与应用的参考工具书。

对于高等院校的汽车、网络安全、软件开发相关专业的学生而言，本书能够帮助其建立针对智能网联汽车网络安全的知识体系，理解传统网络安全技术在智能网联汽车上应用的差异和特殊性，掌握基础性的安全软件开发及测试的方法。对于汽车行业的网络安全工程师，本书能够辅助其开展整车安全设计、零部件安全技术实现，建立系统性的思维，兼顾资源与效率。

由于作者水平有限，书中疏漏之处在所难免，敬请广大读者批评指正。

编者

1.直面智能网联汽车安全威胁，从理论到实践的全面防护方案。随着汽车智能化、网联化深入，网络安全已成为关乎生命财产和产业发展的核心议题。本书直面行业最严峻的安全挑战，系统梳理了从整车到零部件、从开发到运营的全生命周期网络安全知识体系。它不仅揭示了风险所在，更提供了密码技术、安全通信、入侵检测、数据安全等一整套经过验证的解决方案与技术实践。2.构建完整知识体系，融汇技术、标准与工程应用。本书构建了一个逻辑严密、层层递进的知识架构。从宏观的法规标准、威胁分析与风险评估（TARA），到微观的代码安全、系统级防护，再到面向业务场景（如OTA、SOA）的综合安全设计，覆盖全面。其特色在于紧密结合国内外标准的新进展，将传统的网络安全技术与汽车电子电气架构、实时可靠性等特性需求深度融合，体现了;纵深防御和;安全左移的先进理念，极具系统性和前瞻性。3.高校学子入行的基石，行业工程师进阶的阶梯。对于高校学生（汽车、网络安全、软件等专业）： 本书是理想的入门与深化教材。通过本书，读者可以建立起智能网联汽车网络安全的全局观，理解如何在资源受限的嵌入式环境中实现安全功能，为成为行业急需的复合型人才奠定坚实基础。对于行业研发人员（车企、零部件供应商、安全研究员等）： 本书是宝贵的案头参考工具。无论是进行整车网络安全架构设计、零部件开发，还是开展安全测试与评估，书中详实的技术原理、应用示例和标准解读都能提供直接指导，帮助解决实际工程问题，提升产品安全水平。

本书从智能网联汽车的发展开始，引入智能网联汽车面临的严峻安全威胁问题，导出智能网联汽车的安全需求，给出了智能网联汽车网络安全的完整知识架构，介绍了相关的标准体系以及威胁分析与风险评估技术，针对整车和零部件所涉及的诸多网络安全技术进行了深入的讲解。本书还从汽车生命周期的角度介绍了网络安全运营管理，以及近年来受到高度关注的数据安全技术，最后介绍了相关的安全测试与评估的内容。

本书可作为高等院校汽车、网络安全、软件相关专业的教材，也可作为汽车行业相关研发人员以及汽车网络与数据安全技术爱好者的参考书，还可为具身智能系统安全提供借鉴和参考。

罗蕾，电子科技大学教授、博导，长期从事嵌入式基础软件、车联网/低空/具身智能网络与数据安全、金融科技等的研究和产业化工作。孙航，正高级工程师，中国汽车标准化研究院总工程师，中国汽车技术研究中心有限公司首席专家，长期从事智能网联汽车标准化工作。

前言第1章绪论11.1智能网联汽车发展概述11.2智能网联汽车面临的安全威胁21.2.1智能网联汽车安全威胁态势21.2.2智能网联汽车安全威胁来源61.2.3智能网联汽车数据安全威胁81.3智能网联汽车网络安全要素91.4本书内容结构10第2章智能网联汽车网络与数据安全法规标准122.1国际产业政策法规122.1.1网络安全法规122.1.2数据安全法规142.2国内产业政策法规152.3国际标准182.3.1国际标准化组织道路车辆技术委员会(ISO/TC22)182.3.2第三代合作伙伴计划(3GPP)202.3.3国际自动机工程师学会（SAE）222.4国内标准242.4.1车联网产业标准体系概述242.4.2智能网联汽车相关标准242.4.3信息通信相关标准292.4.4智能交通相关标准312.4.5电子产品与服务相关标准312.4.6车辆智能管理相关标准322.4.7车联网网络安全和数据安全标准322.4.8基础地图标准体系352.4.9汽车芯片标准体系352.4.10团体标准37第3章威胁分析与风险评估393.1概述393.1.1威胁分析与风险评估的重要作用393.1.2智能网联汽车的威胁分析与风险评估技术发展概况413.2威胁模型433.3TARA流程443.4TARA示例493.4.1整车级业务TARA示例493.4.2零部件级TARA示例523.5网络安全需求55第4章密码与证书应用604.1密码应用604.1.1密码技术基础604.1.2密码硬件与软件634.1.3身份鉴别734.1.4完整性保护744.1.5密钥管理774.2证书认证体系794.2.1概述794.2.2PKI数字证书与身份认证体系814.2.3V2X证书体系874.2.4典型场景应用及跨域互信88第5章安全通信925.1通信安全威胁与安全要求925.2车载通信安全技术概要945.2.1车载通信安全技术架构945.2.2分域隔离与访问控制955.2.3媒体访问控制安全协议（MACSec）985.2.4互联网安全协议（IPSec）1005.2.5传输层安全协议（TLS）1005.2.6时间敏感网络（TSN）1015.3车载安全通信（SecOC）1025.3.1SecOC概述1025.3.2SecOC原理1035.3.3安全通信组件与接口1045.3.4适配与部署106第6章代码安全1086.1概述1086.2安全编码规范1096.2.1MISRA C/C十十1096.2.2CERT C/C十十1116.2.3内核代码安全1176.2.4应用软件安全编程指南1196.3代码安全检测1216.3.1静态分析技术1226.3.2动态分析技术1256.3.3源代码安全检测工具1266.4代码安全加固1296.4.1代码混淆技术1296.4.2问题分析1296.4.3基本原理1316.4.4代码安全加固的实现1336.5代码安全审计1366.6开源软件安全管理1406.6.1开源软件的价值及安全风险1406.6.2开源软件安全管理1416.6.3开源软件安全工具142第7章系统级安全1437.1概述1437.2安全启动1437.2.1安全启动的原理1437.2.2安全启动具体实现流程1487.3安全可信的执行环境1517.3.1安全隔离要求1517.3.2可信执行环境1527.3.3虚拟化内核1597.3.4机密计算1607.4操作系统安全1657.5外部访问点安全1667.6零部件安全技术应用示例1687.6.1IVI/T_BOX1687.6.2多域架构零部件171第8章入侵检测与态势感知1738.1车云联动的安全运营1738.1.1车云联动安全运营体系架构1738.1.2车端探针1758.1.3VSOC技术架构功能1758.2车载IDPS1788.2.1车载IDPS分类1788.2.2HIDPS功能原理1798.2.3NIDPS功能原理1818.2.4CAN IDS功能原理1838.2.5各类IDPS在车辆中的部署策略1848.3汽车安全事件检测与分析1858.3.1汽车安全事件检测与分析架构1858.3.2基于规则的汽车安全事件检测分析技术1868.3.3基于机器学习的汽车安全事件检测分析技术1928.4态势感知2018.4.1态势感知层次结构2018.4.2态势可视化呈现203第9章安全运营管理2059.1汽车网络安全运营体系2059.2安全应急响应2069.2.1组织机构及职责2069.2.2网络安全事件分类分级2089.2.3应急响应流程2129.2.4应急响应平台2159.3安全漏洞管理2159.3.1漏洞信息来源2159.3.2漏洞库的建立与管理2199.3.3漏洞全生命周期管理2329.4威胁情报管理与安全信息共享2339.4.1威胁情报管理与网络安全信息共享的意义2339.4.2威胁情报概要2339.4.3网络攻击定义及描述2369.4.4威胁情报共享237第10章面向业务场景的安全24410.1OTA安全24410.1.1OTA简介24410.1.2OTA安全需求24710.1.3OTA安全技术24710.2SOA安全25410.2.1面向服务的架构（SOA）概述25410.2.2SOA通信协议25510.2.3SOA的安全风险、需求及方案25710.2.4SOA访问控制26110.3车路云一体化（云控）系统安全26710.3.1车路云一体化（云控）系统简介26710.3.2车路云一体化（云控）系统安全架构270第11章数据安全27211.1概述27211.2数据安全生命周期27411.3数据资产识别与分类分级27611.4数据采集安全28211.5数据存储安全28311.5.1多级数据备份28411.5.2数据加密存储28411.5.3数据访问控制机制28511.6数据传输安全28511.7数据安全访问与处理28811.7.1网络数据处理安全28811.7.2汽车数据处理安全要求29311.8数据共享安全29411.8.1概述29411.8.2数据共享相关技术29511.8.3数据安全共享参考架构及平台301第12章安全测试与评估30612.1安全符合性/合规测试要求30612.2渗透测试30912.2.1概念30912.2.2汽车网络安全渗透测试对象及方法31012.3汽车安全测试内容31212.3.1概述31212.3.2通信安全测试31212.3.3应用安全测试31312.3.4云平台安全测试31312.3.5业务安全测试31412.3.6充电桩安全测试31812.4测试工具与平台32012.5汽车网络安全渗透测试示例32612.6汽车网络安全仿真测试平台33012.6.1智能网联汽车网络仿真平台架构33012.6.2汽车业务仿真子系统（以OTA为例）33312.6.3安全测试用例库工具集子系统33412.6.4仿真平台接入33512.7基于攻击技战术的汽车安全测试评估33812.7.1攻击技战术模型与智能网联汽车安全测试用例33812.7.2测评方法与流程34112.7.3测试实例分析及评价343附录缩略词表346参考文献348