1 自动驾驶繁华背后的阴影

随着智能辅助驾驶技术加速普及，近期发生的各种交通事故引发了业界对自动驾驶安全性的系统性审视。2025年2月午夜时段，一辆搭载特斯拉FSD（Supervised）V13系统的Cybertruck电动皮卡在变道过程中出现异常操作。根据官方披露的监控记录，该车辆行驶至车道线逐渐收窄路段时，未能执行预期避让动作，导致与路侧基础设施发生碰撞，造成直径30厘米的立柱结构断裂。

美国国家公路交通安全管理局（NHTSA）最新技术分析报告指出：事故过程中自动驾驶系统在道路拓扑识别环节存在重大判断失误。当车道边界标识进入渐变消失区域时，车辆决策模块未能及时激活应急接管协议，暴露出当前视觉主导型自动驾驶方案在复杂道路衔接段存在场景适应性缺陷。 

图1 特斯拉皮卡车撞向路边立柱

来源：Jonathan Challinger, software developer, Kraus Hamdani Aerospace

其问题根因在于，在强逆光、隧道出入口、夜间低照度等复杂场景中，摄像头误检率显著上升（如出现车道线偏移、障碍物识别滞后等）。而通过引入4D毫米波雷达（mmWave Radar）建模和多模态数据闭环训练，可大幅降低感知系统在低照度场景的漏检率。

然而，随着针对传感器网络攻击的研究深入，人们也发现，针对传感器的网络攻击可能性和潜在危害也显著增加。2025年3月公布的一项针对市面ADAS（高级驾驶辅助系统）摄像头成品ECU（车载控制单元）的研究显示，黑客利用逆向工程等手段，对摄像头的协议进行分析，发现其开放了两个用户数据报协议（User Datagram Protocol，UDP）端口：动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）和命令与控制（Command and Control，C&C），从而利用这些端口对内部的单元发起了载荷伪造攻击。

图2 传感器网络攻击过程

通过该攻击路径，攻击者可以实施视频流失效或替换攻击，从而达到多种攻击目的：

• 插入循环播放的伪造视频
• 永久阻断真实视频流恢复
• 动态切换不同预录内容

图3 摄像头传感器受网络攻击

来源：https://plaxidityx.com/blog/cyber-security-blog/hacking-automotive-ethernet-cameras/

尽管实验对象为车载摄像头，但同类漏洞可延伸至：

• ADAS毫米波雷达点云数据注入
• 激光雷达（LiDAR）测距信息篡改
• V2X通信中间人攻击（Man-in-the-Middle Attack）

其中，毫米波雷达凭借其全天候工作能力（穿透雨雾、沙尘等）及200米以上有效探测距离，已成为自动驾驶及高级辅助驾驶系统感知层不可替代的核心传感器。一项分析表明，相较摄像头方案，4D毫米波雷达方案的适用性和性能都更为高效，且不受逆光、暗光环境影响。

图4 艰难工况下4D毫米波雷达、激光雷达、摄像头的性能对比^[1]

图5 多传感器融合定位系统受数据欺骗攻击^[2]

如图5所示，当感知系统发生数据失真（Data Anomaly）或信息完整性失效（Information Integrity Failure）时，决策算法将面临显著的误判风险。即便采用多源数据融合校验机制（Multi-Source Data Fusion Verification），系统仍需消耗额外计算资源，进行异常数据滤波（Anomaly Filtering）及多源信息交叉验证（Cross Validation），导致时间敏感型控制指令（Time-Sensitive Control Commands）的生成延迟增加23%-45%。在高速工况（车速≥80 km/h）下，此类延迟将削弱安全冗余架构（Safety Redundancy Architecture）的有效性。

在当前实际案例中，从系统预警到碰撞发生仅间隔 4 秒，而一辆以80 km/h速度行驶的车辆，通常需要2.78秒的制动时间。华为和中国汽车技术研究中心（CATARC）联合评估的一项自动驾驶安全模型表明，中国熟练驾驶员在紧急制动场景的认知决策周期通常约为1.06秒。[3]这意味着攻击者若成功实施160毫秒级的数据欺骗攻击（Data Spoofing Attack）——即通过伪造传感器数据（Sensor Data Fabrication）或注入信号噪声（Signal Noise Injection）使系统丧失有效感知能力，即可在安全冗余机制失效窗口（Safety Redundancy Failure Window）内触发不可逆的决策错误链。

图6 数据欺骗攻击造成的路径偏差^[2]

对攻击者而言，该攻击手段具有以下特殊价值：

1. 精准操控车辆轨迹：可实现车辆横向偏移，包括强制变道或逆向行驶等危险工况
2. 攻击效果可扩展：通过连续触发多个攻击窗口，可导致车辆完全失控
3. 隐蔽性强：系统在受攻击时仍显示"运行正常"，延迟了安全机制的介入

图7 偏离道路攻击与错误道路攻击^[2]

1.1 非受信通信攻击路径分析

在智能网联汽车的安全威胁场景中，针对ADAS的传感器欺骗攻击正呈现出极高的技术可行性和安全危害性。具体而言，黑客可通过供应链渗透或远程漏洞利用等方式，在车辆雷达传感器单元植入恶意代码。这种嵌入式攻击往往利用传感器固件的安全缺陷（如未经验证的固件更新机制），通过建立隐蔽的硬件后门实现持久化驻留。恶意代码能在底层驱动层对原始雷达信号数据进行篡改，精准模拟包括毫米波雷达、激光雷达在内的多模态传感器数据包。

该攻击路径得以实施，其核心漏洞在于车载通信协议缺失基础性安全机制：

• 控制指令和点云数据的传输报文未部署完整性验证机制
• 通信数据缺乏最基本的加密保护层

图8 雷达EE（电子电气）架构

如图8所示，由于早期雷达EE（电子电气）架构的功能定义中，对通信安全机制的考虑不足，同时受到实时性性能的约束，ECU与CCU（中央计算单元）之间的CAN总线通信协议存在明显安全漏洞。具体表现为通信报文缺乏加密保护及完整性校验机制（如MAC或数字签名），使得攻击者可实施中间人攻击，对报文进行协议逆向解析、内容篡改或重放攻击。这种非受信通信可能导致CCU接收伪造或篡改的异常指令（如虚假传感器数据、非法控制命令等），进而引发自动驾驶决策算法的状态异常，严重时可造成车辆操控失效或危险驾驶行为。

2 雷达通信防护架构

从系统安全视角来看，雷达需配置具备固件防护、数据加密及通信报文验证能力的专用安全芯片。这类芯片需在硬件层原生集成密码学协处理器（Cryptographic Coprocessor）、密钥全生命周期管理单元及可信启动引擎，为上层系统提供加密加速服务与信任链锚点。

开发者可依托芯片级安全能力构建防护体系：针对异构车载网络（CAN/Ethernet），协议栈可调用硬件密码学引擎实现符合AUTOSAR标准的安全车载通信（Security Onboard Communication，SecOC）与传输层安全性（Transport Layer Security，TLS）协议 1.3等多维度通信加密，同时扩展安全诊断（通过UDS SecAccess）、空中固件升级（Firmware Over the Air，FOTA）签名验证及X.509证书管理系统。

应用层需实施代码混淆、反调试等加固手段，与硬件可信根共同形成四层防御闭环（芯片、协议、系统、应用），达成整体防护目标。该架构通过密码学原语与安全机制的跨层协同，确保雷达系统在复杂车载环境中的内生安全。

图9 雷达网络安全防护架构

2.1 EVITA-FULL纵深防护

为保障雷达通信安全，加特兰基于EVITA-FULL规范构建了一个纵深防御体系：

图10 满足EVITA-FULL规范的加特兰硬件安全模块（HSM）架构

• 安全域隔离：创建独立安全子系统（含专用CPU/RAM），通过硬件信任根构建密码学隔离区，严格限定密码学服务调用权限；
• 资源安全共享：在安全域与常规域之间部署隔离机制，保障跨域通信及外设访问的安全仲裁；
• SoC安全基线‌：集成密钥存储加密（通过非易失性内存）、安全调试接口、信任链启动引擎及抗侧信道攻击（Anti Side-Channel Attack）机制，满足车载设备安全基线要求。

2.2 安全通信的性能要求

网络安全对于不同架构中的雷达传感器都至关重要。卫星（Satellite）雷达架构中，雷达模块输出原始数据流时，巨大的实时数据吞吐率会对网络安全造成挑战。在芯片选型及系统设计过程中，需要优先评估安全链条完整性、加密总线带宽及实时密钥轮换能力，规避算力瓶颈引发的安全降级风险。

图11 卫星雷达通信

1. 传统CAN网络防护

底层使用SecOC协议保障数据完整性，同时在应用层对协议数据单元（Protocol Data Unit，PDU）进行加密处理，实现机密性保护。

2. 汽车以太网防护

链路层采用MACsec进行加密防护，上层继续沿用SecOC的PDU格式，确保新旧系统兼容。

这种分层设计能有效防范不同层面的攻击，但会增加系统运算负担。以原始数据传输场景为例，系统需要同时支持PDU加密（如AES算法）和SecOC完整性校验（如CMAC算法）。特别是在千兆以太网环境下，加密引擎需达到2000 Mbps以上的处理速度：

• 小型MCU受限于成本，通常难以满足该性能需求
• SoC因具备专用硬件加速模块，处理压力相对较小

3 数据流架构的网络安全

移动行业处理器接口（Mobile Industry Processor Interface，MIPI）联盟针对车载场景开发的摄像头安全框架（基于CSI-2协议），集成三项核心防护机制：

• 组件认证：能够实现成像系统传感器与网络组件的身份认证
• 数据保护：保障图像数据的完整性，并提供可选的加密功能
• 接口防护：保护传感器的指令控制接口免受攻击

同时，这种模块化设计可灵活适配不同安全级别的车载场景需求。

图12 MIPI摄像头安全框架的端到端安全防护^[4]

协议中对如下方面进行了定义：

• 端到端数据保护

图像数据从每个图像传感器的“数据源”传输到其对应SoC和ECU的“数据接收端”过程中，必须实现全程受保护。这一要求倾向于采用应用层安全方案，而非链路层安全方案，因前者不仅能提供端到端安全保障，还能规避底层通信网络技术与拓扑结构的影响。

• 组件身份认证

成像系统中的组件必须可信，SoC和ECU需具备对图像传感器、连接传感器与SoC和ECU的通信网络组件（如SerDes桥接器）进行认证的能力。

• 源选择性安全

SoC和ECU必须能验证图像传感器生成数据的真实性与完整性，这需在图像数据流中嵌入包含消息认证码（Message Authentication Code，MAC）的认证标签。

• 数据加密

若存在图像系统数据被恶意窃取的风险，应启用端到端数据加密功能。

• 安全指令与控制接口

当前普遍采用I2C边带接口的图像传感器指令控制接口，可通过安全加固措施降低传感器配置错误引发的风险。

可以发现，针对摄像头这类高速传感器，标准也会要求通过多层防护的形式，来确保其数据的完整性和机密性，这套框架对于雷达系统未来在通信方面的演进也具备极大的参考价值。

4 结语

在智能辅助驾驶系统向L3+规模化落地的进程中，毫米波雷达作为环境感知的核心传感器，其通信安全已演化为融合信息安全（ISO 21434）与功能安全（ISO 26262）的战略制高点，其危险可能导致智能辅助驾驶系统功能的失效，进而危害车辆和驾乘人员的安全。构建覆盖物理层加密、信号级完整性校验到数据包可信传输的三重防护体系，亟需主机厂、零部件供应商、芯片供应商与安全方案供应商建立协同，共同推动中国智能辅助驾驶安全基座向纵深发展。

参考文献

[1]  Xiangyuan Peng, Miao Tang, Huawei Sun, Lorenzo Servadei and Robert Wille ，“4D mmWave Radar in Adverse Environments for Autonomous Driving: A Survey” https://arxiv.org/abs/2503.24091 . Accessed: 2025-03-31

[2]  Drift with Devil :Security of Multi-Sensor Fusion based Localization in High-Level Autonomous Driving under GPS Spoofing, 2020

[3]  CARTARC, HUAWEI, “自动驾驶安全模型研究”, 2024

[4]  MIPI-Alliance-White-Paper-Guide-to-Camera-Security-Framework-for-Automotive-Applications, 2024

[5]  Mihai Ordean, Flavio D. Garcia ，“Millimeter-Wave Automotive Radar Spoofing” https://arxiv.org/abs/2205.06567. Accessed: 2025-04-07

[6]  T. E. Humphreys, B. M. Ledvina, M. L. Psiaki, B. W. O’Hanlon, and P. M. Kintner, “Assessing the Spoofing Threat: Development of a Portable GPS Civilian Spoofer,” in ION GNSS’08, 2008.

[7]  SAE On-Road Automated Vehicle Standards Committee and others,“Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles,” SAE International: Warrendale, PA, USA, 2018.

[8]  Mohamed Abdel-Aty, Shengxuan Ding,“A matched case-control analysis of autonomous vs human-driven vehicle accidents,”https://www.nature.com/articles/s41467-024-48526-4 . Accessed: 2025-04-07

[9]  Biao Wu，Xichan Zhu，Maozhu Liao, “Research on the Model of Safety Boundary Condition Based on Vehicle Intersection Conflict and Collision”, 2019

全国汽车标准化技术委员会，“面向智能网联汽车的成熟驾驶模型白皮书”，2023