邬江兴 中国自动化学会供图

■邬江兴

目前，车联网已成为物联网在智能交通领域的重要支撑。作为车联网的主体，汽车内外部需要部署大量传感器等信息处理装置。随着各种部件/组件实现互联、设备种类和数量增多，内生安全问题也逐渐增多，车联网安全问题日益凸显。

除设计功能外，一个技术系统总存在隐藏功能或漏洞，例如设计脆弱性导致的漏洞、未向用者声明过的隐藏功能，我们将其称之为“未知安全威胁”。

如何应对或防御基于目标系统的未知安全威胁？这是网络空间安全的一大难事。车联网是网络空间的一部分，因此这也是车联网的难事。

新型安全挑战

车联网产业链较长，涵盖元器件供应商、设备生产商、软硬件技术提供商等，其网络安全问题涉及到体系架构的各个层面。

应用层是车联网数据汇聚与远程管控的核心，从安全防护角度看，应重点关注车联网云端系统的控制接口、Web访问接口、帐户口令、数据保护等问题，现有的主要防护手段包括入侵检测、防火墙、数据隔离、数据加密、身份管理等。

网络层是车与服务平台之间的信息通信通道，从安全防护角度看，应重点关注车内网络、车际网络和车载移动互联网等安全，现有的主要防护手段包括身份认证、访问控制、流量检测、通信加密等。

感知层网络是实现车辆内部各设备交互的特殊无线传感器网络，从安全防护来看，应重点关注芯片安全、终端系统安全和车载应用软件安全等，现有的主要防护手段包括安全启动、硬件加密、应用加密、通信隔离等。

本质上，现有的防护手段是依托既有的防御技术减少黑客对车联网的安全威胁，但传统互联网附加式安全体制和技术方法本身就存在体制机制缺陷，无法保证防火墙、身份认证等附加型或外挂式软硬件防护设施的安全性，难以有效应对基于软硬件的未知安全威胁。

对于新型安全威胁，传统防御几乎没有可信可靠的应对措施。如果这些问题不解决，车联网没有未来。

安全问题如何解决

如果目标对象内部既存在某些传统类型的不确定扰动因素，也存在针对系统软硬件漏洞的未知攻击，我们将其称之为广义不确定扰动。如果一种鲁棒控制构造既能在某些传统类型的不确定因素扰动下保持给定功能或性能在设计余度内，也能在基于系统内部漏洞后门等“暗功能”的不确定攻击作用下维持给定功能或性能，即可称之为内生安全功能，对应的体系构造可称之为广义鲁棒控制构造。

2009年，笔者提出拟态防御理论解决内生安全问题。在不依赖先验知识条件下，管控隐藏功能引发的内生安全问题。笔者发现相对正确公理能将未知问题转换为有感差模/共模问题。笔者借鉴可靠性理论与自动控制理论，发明了动态异构冗余构造（又称拟态构造），通过导入拟态伪装机制增强防御迷雾，形成“测不准效应”，从机理上使试错或盲攻击失能，用时空一致性形成防御壁垒。由此，功能安全与信息安全问题可在同一架构下一并解决。

简而言之，基于拟态防御理论的内生安全功能能在不依赖攻击者先验知识和行为特征信息情况下，将网络空间不确定安全威胁问题统一划为可靠性与鲁棒控制理论和技术能够解决的问题。

拟态防御理论和技术实践表明，内生安全功能能有效抵御任何利用目标系统内部已知、未知软硬件漏洞后门实施的安全威胁，从而在技术架构层面保证了车联网设施提供的服务功能，具有“高可靠、高可信、高可用”三位一体属性。

（作者系中国工程院院士，本报记者韩天琪采访整理）