01

引言

圖1 智能網聯汽車對外通信架構[1]

在很多人的認知里，汽車安全往往等同于剎車是否可靠、控制是否穩定，或者再進一步，是否存在車內 CAN 總線、ECU 被攻擊的問題。但在我們長期參與汽車信息安全測試與評估的過程中，一個變化越來越明顯——真正暴露風險最多的，往往不是“車內”，而是“車外”。

隨著智能網聯技術的普及，汽車早已不再是一個封閉運行的機械系統，而是演變為一個長期在線、持續通信、不斷升級的軟件系統。車輛在運行過程中，會持續與云端平臺、路側設施以及各類第三方服務發生數據交互，而這些“對外通信能力”，正在成為整車安全體系中不可忽視的關鍵環節。

從行業實踐來看，越來越多安全問題并非源于控制算法本身的設計缺陷，而是出現在以下場景中：

- 車輛通過公網與云平臺進行遠程通信

- 車輛依賴第三方服務完成定位、內容分發或功能擴展

- 車輛通過 OTA 機制持續接收配置或軟件更新

這些場景的共同特征在于：通信對象多、鏈路復雜、生命周期長，一旦安全邊界設計不當，風險往往具備“遠程性”和“規模性”。

02

智能網聯汽車的對外通信方式

在很多討論中，“對外通信”往往被當作一個整體概念來看待，似乎只要車輛能夠聯網，與外部系統進行數據交互，就完成了對外通信能力的構建。

但從工程體系和安全視角來看，這種理解是明顯不夠的。

智能網聯汽車的對外通信，并不是一條鏈路，而是多種通信機制長期并存、相互疊加的結果。[2]

這些通信機制在設計目標、工程實現和風險特征上差異顯著，如果不加區分地討論，很容易在后續安全分析中失焦。

2.1 V2X：以“消息協同”為核心的實時通信機制

V2X 通信的核心目標，是實現車輛與道路基礎設施、其他車輛之間的實時協同，其工程特點高度集中在“消息”本身。

與傳統客戶端—服務器通信不同，V2X 通信強調：

- 高發送頻率

- 實時性要求高

- 消息類型和觸發場景復雜

在工程實現中，車輛需要持續接收并處理來自外部環境的協同信息，而這些信息往往會直接影響車輛行為決策或系統狀態。

這意味著，V2X 并不僅僅是一種“聯網能力”，而是一種高度依賴消息可信性與行為約束的通信機制。

圖2 V2X通信架構

圖3 協同組網與控制場景

2.2蜂窩通信（4G/5G）：公網環境下的遠程通信主干

基于 4G/5G 的蜂窩通信，是當前智能網聯汽車最核心、也是覆蓋范圍最廣的對外通信方式。

它主要承擔以下職責：

- 車輛與云平臺之間的持續通信

- 遠程服務、遠程控制與運維能力

- OTA 升級與策略下發

從工程角度看，蜂窩通信的顯著特征在于：

- 通信鏈路長期在線

- 依賴公網環境

- 一旦能力失控，影響具備遠程性和規模性

也正因如此，蜂窩通信往往成為對外通信安全評估中最復雜、也是最容易被低估的一部分。

2.3GNSS：以“數據輸入”為主的基礎能力通信

GNSS 在智能網聯汽車中通常不被直觀理解為“通信”，但從系統角度看，它本質上是一種持續從外部環境接收數據的通信機制。

GNSS 提供的核心能力包括：

- 位置信息

- 時間同步

- 運動狀態相關數據

在工程實現中，這類數據往往被視為“基礎輸入”，并被廣泛用于導航、調度、決策甚至安全相關邏輯中。

因此，GNSS 的關鍵特征并不在于“是否可用”，而在于：系統是否對這類外部數據的可信性具備足夠的工程約束。

2.4Wi-Fi：局部場景下的高權限通信能力

Wi-Fi 通信在車輛中通常用于：

- 診斷與維護

- 特定功能配置

- 局部場景下的數據交互

與蜂窩通信相比，Wi-Fi 的使用范圍更有限，但其工程特點恰恰在于：

- 通信距離近

- 接入后權限往往較高

- 使用場景高度集中

這使得 Wi-Fi 成為一種“不常用，但一旦使用就影響較大”的通信機制，在安全討論中不應被簡單忽略。

2.5藍牙：低門檻接入背后的能力擴展通道

藍牙通常被認為是一種“低風險、短距離”的通信方式，但在智能網聯汽車中，其工程角色遠不止如此。

藍牙通信常用于：

- 車機與移動終端交互

- 近距離控制與狀態獲取

- 功能觸發與身份關聯

其工程特征在于：

- 接入門檻低

- 配對成功后通信能力可能被持續保留

- 容易成為其他系統能力的觸發入口

這使得藍牙在對外通信體系中，往往承擔著“入口級通信機制”的角色。

2.6對外通信，本質上是多種通信機制的疊加系統

綜合來看，智能網聯汽車的對外通信，并不是單一能力，而是由多種通信機制共同構成的復雜系統：

-V2X：實時協同、消息驅動

-蜂窩通信：遠程、公網、規模化

-GNSS：外部數據輸入、基礎能力

-Wi-Fi / 藍牙：本地接入、高權限入口

這些通信機制在工程目標、使用場景和風險特征上差異巨大，也正因如此：后續所有關于對外通信安全的討論，都必須回到“具體通信機制”本身。

這將成為理解后續風險分析、測試難點和評估方法的關鍵前提。

03

對外通信鏈路的風險

在單一通信場景下，安全問題往往相對清晰：通信對象明確、數據類型有限、工程假設相對穩定。

但在智能網聯汽車中，對外通信并不是“選擇其中一種”，而是V2X、蜂窩通信、GNSS、Wi-Fi、藍牙等多種機制同時存在、長期并行運行[3]。

從工程與安全視角看，風險并不是簡單相加的，而是在機制疊加過程中被放大、被放寬、被轉移。

3.1不同通信機制的“安全假設”并不一致

每一種通信機制，在設計之初都隱含了一組前提假設：

-V2X 假設：

消息高頻但短生命周期，核心在于完整性與實時性

-蜂窩通信假設：

基于公網環境，通過協議、加密與鑒權建立安全邊界

-GNSS 假設：

定位與時間數據在大多數情況下是可信輸入

-Wi-Fi / 藍牙假設：

通信距離近、使用場景受限、觸發條件明確

單獨看這些假設，往往是合理的；但當它們在同一系統中同時成立時，就會出現一個工程現實問題：系統往往默認“所有假設同時成立”，卻缺乏機制去驗證這些假設是否在同一時刻依然成立。

這正是系統性風險的起點。

3.2通信機制之間并非“相互隔離”，而是存在能力傳導

不同通信機制通常并不是完全獨立的模塊，而是通過系統架構發生耦合，例如：

- 藍牙或 Wi-Fi 用于本地接入或觸發操作

- 蜂窩通信用于將結果同步到云端

- GNSS 數據作為多種功能的基礎輸入

- V2X 消息參與協同決策或狀態判斷

這意味著，一個通信機制中的輸入或觸發，很可能通過系統內部邏輯，間接影響另一種通信機制的行為[4]。

從安全視角看，風險往往并不來自“單一通信鏈路失效”，而來自：低門檻或低風險假設的通信機制，間接觸發了高權限或高影響力的通信能力。

3.3不同通信機制的生命周期差異，導致安全邊界不一致

從工程生命周期看，不同通信機制的變化節奏存在明顯差異：

- 蜂窩通信協議、云接口、服務策略更新頻繁

- 第三方服務與平臺能力持續演進

- GNSS 與 V2X 相關能力更新節奏較慢

- Wi-Fi / 藍牙 通常在早期設計階段就已確定

當這些機制在同一車輛生命周期內長期共存時，很容易出現：

- 某一通信機制的安全策略已更新

- 但其他機制仍然基于舊的工程假設運行

這會導致系統整體安全邊界在時間維度上逐漸失衡。

換句話說：不是系統“突然不安全”，而是安全假設在不知不覺中失效。

3.4多通信機制疊加，使系統狀態空間急劇擴大

從工程建模角度看，系統安全高度依賴于“狀態可控”。

但當多種通信機制并行運行時，系統狀態將同時受到以下因素影響：

- 網絡狀態變化（公網、局域網、短距通信）

- 外部輸入變化（定位、協同消息）

- 平臺與服務狀態變化（策略、配置、版本）

在這種情況下，系統實際運行在一個高維狀態空間中，而大多數測試與驗證，只覆蓋其中極少數“典型狀態”。

這意味著：即便每一種通信機制在單獨測試時表現正常，它們在某些狀態組合下的行為，仍可能超出原始設計預期。

3.5風險往往不是“新增”，而是被“放大和轉移”

在多通信機制并存的系統中，安全問題的表現形式往往具有一個共同特征：

- 風險并非某一機制獨有

- 而是在機制之間被放大、被轉移、被組合利用

例如：

- 原本低影響的數據輸入，被用于更高風險決策

- 原本局部通信能力，觸發了遠程或集中式操作

- 原本短生命周期的消息，被系統長期保存或復用

這些問題在單一機制下并不明顯，但在疊加系統中卻具備現實可行性。

04

對外通信安全問題的原因

圖4 智能網聯汽車的協同應用場景

在智能網聯汽車中，對外通信安全問題并不一定來自“惡意設計”。

大量風險，實際上產生于功能完全正常的工程實現方式——當通信機制的設計假設、實現細節或演進路徑缺乏約束時，系統就會逐步暴露出可被濫用的空間[7]。

4.1V2X：消息機制可用，但“消息可用行為”邊界不清

V2X 通信以消息為核心，其工程實現重點并不在傳統意義上的接口調用，而在于消息的接收、解析與處理邏輯。在工程實踐中，常見的風險來源包括：

（1）消息完整性與處理邏輯脫節

系統能夠校驗消息是否合法，但在工程實現中，消息一旦通過校驗，其后續處理路徑往往缺乏更細粒度的約束，不同類型消息的安全策略強度不一致。

（2）異常或非典型消息缺乏工程級約束

在高頻通信環境下，系統往往更關注“正常消息是否能被及時處理”，而對異常頻率、異常組合或非常規時序的消息缺乏足夠的工程限制。

（3）消息被直接用于協同行為或狀態判斷

當 V2X 消息被用于影響車輛行為或系統狀態時，其工程風險不在于“消息能否收到”，而在于系統是否假設消息始終可信、始終合理。

4.2 蜂窩通信（4G/5G）：協議存在，但工程實現假設過于理想

基于蜂窩網絡的通信，是智能網聯汽車對外通信中最成熟、也是最復雜的一部分。

在多數系統中，協議、加密與鑒權機制是默認配置，但工程風險往往隱藏在“默認合理”的實現假設中。常見問題包括：

（1）通信協議存在兼容或降級路徑

為滿足不同環境或歷史系統兼容需求，工程實現中可能保留多種通信方式，而安全策略并不一定在所有路徑中保持一致。

（2）鑒權憑據生命周期過長

通信憑據在工程上被設計為長期有效，且缺乏使用頻率、作用范圍或車輛狀態綁定等約束，使得憑據一旦被濫用，其影響具有遠程性和規模性。

（3）遠程接口在工程上可被組合使用

單個接口在設計時看似合理，但在系統層面，多個接口或能力被組合后，可能突破原有業務或安全假設[6]。

4.3GNSS：功能正常，但“數據可信性假設”缺乏工程驗證

GNSS 在系統中通常被視為一種穩定可靠的數據輸入，其風險并不體現在“定位是否可用”，而體現在系統如何使用這些數據。工程機制層面的常見問題包括：

（1）對定位數據缺乏合理性與一致性校驗

系統往往直接使用 GNSS 數據，而缺乏對異常跳變、時間一致性或運動邏輯的工程級校驗。

（2）GNSS 數據被用于高風險決策場景

當定位或時間數據被直接用于調度、協同或安全相關邏輯時，其可信性假設一旦失效，影響往往被放大。

（3）缺乏多源數據交叉驗證機制

在工程實現中，系統可能依賴單一數據源，而未對外部輸入建立冗余或校驗路徑。

4.4Wi-Fi：局部通信能力，但工程權限往往過高

Wi-Fi 通信在車輛中通常用于診斷、維護或特定功能場景，其使用頻率不高，但一旦建立連接，往往具備較高系統權限。常見工程風險包括：

（1）接入條件與使用場景脫節

Wi-Fi 接入在工程上可能僅驗證連接條件，而未嚴格限制其使用時機與系統狀態。

（2）調試或維護能力被長期保留

原本用于開發或運維的通信能力，在量產環境中仍然存在，成為潛在的高權限入口。

（3）連接后能力邊界缺乏收斂機制

一旦建立通信，系統往往默認其行為合理，而缺乏進一步的權限收斂與行為限制。

4.5藍牙：配對成功，并不等于通信行為始終可控

藍牙通信在車輛中被廣泛用于近距離交互，其工程風險并不來自通信距離，而來自配對關系與系統能力之間的映射關系。工程層面常見問題包括：

（1）配對關系長期有效且缺乏清理機制

歷史配對關系在工程上被長期保留，即使使用場景已發生變化，通信能力仍然存在。

（2）配對成功后能力被放大

一旦配對完成，藍牙通道可能被用于觸發更高權限的系統能力，而這一過程缺乏足夠的工程約束。

（3）藍牙成為其他通信能力的觸發入口

藍牙通信本身看似低風險，但其在系統中可能作為其他對外通信或控制能力的“入口”。

05

面向不同通信機制的對外通信安全測試重點

在智能網聯汽車中，不同對外通信機制在協議特性、數據交互方式以及工程實現路徑上存在顯著差異，因此其安全測試重點也不盡相同。實際測試工作通常需要圍繞各類通信方式的技術特征展開，分別驗證其在工程實現層面的安全性與可控性。

在 V2X 通信場景下，安全測試的核心關注點通常集中在消息機制本身。測試需要驗證協議棧及相關安全機制是否按設計生效，確保消息在傳輸與處理過程中具備完整性、時效性與可信來源校驗能力。同時，還需要關注系統對不同類型消息的處理邊界，例如在面對異常頻率、非典型時序或組合消息時，是否仍能保持穩定且可預期的處理行為。由于 V2X 消息往往直接參與協同行為或狀態判斷，安全測試還需要評估系統在異常消息條件下是否具備合理的收斂與保護策略。

基于 4G/5G 的蜂窩通信是車輛與云平臺及遠程服務交互的主要通道，其安全測試通常圍繞通信鏈路、身份鑒權與遠程能力邊界展開。一方面，需要驗證通信過程中是否始終采用預期的安全協議與配置，避免出現明文傳輸或策略不一致的實現路徑；另一方面，還需對憑據與會話管理進行檢查，評估其生命周期、權限范圍及一致性控制是否合理。此外，由于蜂窩通信承載了遠程指令、策略下發與 OTA 等關鍵能力，安全測試還應關注這些遠程能力在工程上是否具備明確的使用場景約束、審計記錄與異常回退機制。

在 GNSS 相關測試中，關注點并不在于定位精度本身，而在于系統如何使用來自外部的定位與時間數據。安全測試通常需要驗證系統是否對 GNSS 輸入建立了基本的合理性與一致性校驗機制，以及在定位或授時出現異常特征時是否能夠觸發相應的降級或保護策略。同時，還需要梳理 GNSS 數據在系統中的使用范圍，評估其是否被直接用于關鍵決策或協同行為，從而確認外部輸入在工程上是否始終處于可控的使用邊界內。

Wi-Fi 通信在車輛中多用于本地接入、維護或診斷場景，其安全測試重點通常放在接入控制與權限邊界上。測試需要驗證 Wi-Fi 接入是否采用了合理的認證與加密配置，并與具體使用場景和車輛狀態進行綁定，避免非預期條件下的接入行為。同時，還應評估連接建立后系統所暴露的服務和能力范圍，確認是否存在權限過高或調試、維護能力在量產環境中長期保留的情況。此外，對連接生命周期和操作審計能力的驗證，也有助于評估本地通信通道的整體安全成熟度。

藍牙通信作為近距離交互的重要手段，其安全測試通常圍繞配對關系管理與能力映射展開。測試需要關注配對流程和信任關系的建立與回收機制，確保歷史配對關系在設備更換或使用場景變化后能夠被有效清理。同時，還應評估配對成功后系統所授予的能力是否遵循最小權限原則，以及藍牙通道是否可能在工程上觸發更高權限的系統功能或其他對外通信能力。通過這些測試，可以驗證藍牙在作為本地入口時，其安全邊界是否始終受到有效控制。

06

總 結

在實際工程中，上述各類通信機制的安全測試如果分散開展，往往容易形成“點狀結論”，難以支撐對整車對外通信安全性的整體判斷。因此，行業中逐漸形成了一種更為可行的思路：以通信機制為主線，將 V2X、蜂窩通信、GNSS、Wi-Fi 與藍牙等測試能力進行統一整合，在同一測試體系內完成協同驗證與關聯分析。

基于這一思路，上海控安推出了專為工業互聯網與網聯汽車場景設計的對外通信安全測試解決方案，并在此基礎上構建了自動化智能模糊滲透測試工具SmartRocket TestSec。該工具深度融合模糊測試技術與仿真分析能力，能夠將不同通信方式的安全測試能力統一納入同一技術框架之下，面向 V2X 消息通信、4G/5G 遠程通信、GNSS 外部輸入以及車載 Wi-Fi、藍牙本地通信等典型場景，開展協議與配置檢查、通信行為測試以及權限邊界驗證。

圖5 SmartRocket TestSec智能網聯汽車滲透測試用例

SmartRocket TestSec 既支持針對單一通信機制開展專項安全測試，也能夠從系統層面驗證多種通信機制并行運行時的整體安全邊界。例如，在遠程通信與本地無線通道共存的場景下，可用于評估本地接入是否可能觸發遠程能力；在 GNSS 與 V2X 協同使用的場景中，則可以結合仿真分析能力，對外部輸入數據對協同行為和系統決策的影響范圍進行驗證。通過這種方式，測試結論不再停留在單點風險描述，而是能夠反映整車對外通信能力在真實運行環境下的整體安全狀態。

總體來看，面向網聯汽車的對外通信安全測試，正在從“單一接口或單一協議的檢測”逐步走向“多通信機制協同驗證”的階段。通過以上海控安 SmartRocket TestSec 為代表的統一測試體系，覆蓋 V2X、蜂窩通信、GNSS、Wi-Fi 與藍牙等關鍵通信方式，可以更系統地識別對外通信中的潛在風險，為智能網聯汽車的安全設計、測試驗證和持續演進提供工程化、可落地的技術支撐。

引用：

[1]https://www.catarc.tech/xwzxDetail/f88a19dd4cab449da83a692f97c8a272?utm_source=chatgpt.com

[2]https://www.eet-china.com/mp/a245994.html?utm_source=chatgpt.com

[3]《智能網聯汽車安全白皮書》

[4]https://www.auto-testing.net/news/show-124912.html?utm_source=chatgpt.com

[5]"Contents," in Journal of Communications and Information Networks, vol. 1, no. 2, pp. 1-1, Aug. 2016.

[6]Dibaei, M., Zheng, X., Jiang, K., Maric, S., Abbas, R., Liu, S., ... & Yu, S. (2019). An overview of attacks and defences on intelligent connected vehicles. *arXiv preprint arXiv:1907.07455*.

[7]Wang, B., Han, Y., Wang, S., Tian, D., Cai, M., Liu, M., & Wang, L. (2022). A review of intelligent connected vehicle cooperative driving development. *Mathematics*, *10*(19), 3635.

審核編輯 黃宇