2026年数字汽车智能网联汽车信息安全技术知识考察试题及答案解析

2026年数字汽车智能网联汽车信息安全技术知识考察试题及答案解析一、单项选择题（共20题，每题1.5分，共30分）1.在智能网联汽车信息安全标准体系中，联合国世界车辆法规协调论坛发布的关于网络安全和OTA升级的法规编号是？A.ISO/SAE21434B.UNECER155C.UNECER156D.ISO26262【答案】C【答案解析】本题考查智能网联汽车相关法规的对应关系。ISO/SAE21434是网络安全工程标准；UNECER155是网络安全法规（CSMS）；UNECER156是关于软件升级与软件更新管理系统（SUMS）的法规；ISO26262是功能安全标准。因此正确答案是C。2.车载以太网安全中，用于保障数据机密性、完整性和重放保护的核心协议是？A.MACsecB.IPsecC.TLSD.DHCP【答案】A【答案解析】MACsec（IEEE802.1AE）是媒体访问控制安全协议，运行在数据链路层（Layer2），为车载以太网提供点对点的链路层加密和完整性保护，非常适合车载局域网场景。IPsec工作在网络层，TLS工作在传输层，DHCP是网络配置协议。故选A。3.在AUTOSAR架构中，用于防止CAN总线报文重放攻击的机制是？A.SecOCB.E2EProtectionC.RTED.BSW【答案】A【答案解析】SecOC（SecureOnboardCommunication）是AUTOSARCP和AP平台中专门用于车载通信安全的模块，通过在报文中添加freshnessvalue（freshnesscounter）和MAC（消息认证码）来验证数据的实时性和完整性，从而有效防御重放攻击。E2EProtection主要用于端到端的E2EProfile（如CRC和数据ID）保护，主要针对信号丢失、数据错乱等功能安全相关故障，不具备抗重放能力。故选A。4.我国发布的《汽车整车信息安全技术要求》等强制性国家标准，其标准编号通常以什么开头？A.GB/TB.GBC.QC/TD.ISO【答案】B【答案解析】GB/T为推荐性国家标准，GB为强制性国家标准。根据国家标准化管理委员会的部署，汽车信息安全关键要求已转为强制性标准（GB），必须严格执行。QC/T为汽车行业标准，ISO为国际标准。故选B。5.针对智能网联汽车的云控平台与车端通信，最常见的身份认证技术是基于？A.预共享密钥（PSK）B.数字证书（PKI体系）C.MAC地址绑定D.IP地址白名单【答案】B【答案解析】在大规模车联网环境中，基于预共享密钥（PSK）管理困难且扩展性差。数字证书及公钥基础设施（PKI）体系是目前主流的车云双向身份认证方案，能够确保每辆车都有唯一的身份标识，并利用CA机构进行信任管理。故选B。6.以下哪种攻击手段属于针对车载ECU芯片的侧信道攻击？A.缓冲区溢出攻击B.故障注入攻击C.中间人攻击C.蓝牙配对攻击【答案】B【答案解析】侧信道攻击利用芯片在运行过程中的物理信息泄露（如功耗、电磁辐射、timing）来获取密钥。故障注入攻击（通过电压毛刺、激光等手段）属于物理攻击的一种，常与侧信道攻击并列，用于破坏芯片正常执行流程。缓冲区溢出属于软件漏洞利用，中间人攻击属于网络层攻击。故选B。7.UDS（UnifiedDiagnosticServices）诊断服务中，用于安全访问（解锁敏感操作）的会话层服务ID是？A.0x10B.0x22C.0x27D.0x2E【答案】C【答案解析】0x10为DiagnosticSessionControl（诊断会话控制）；0x22为ReadDataByIdentifier（读数据）；0x27为SecurityAccess（安全访问）；0x2E为WriteDataByIdentifier（写数据）。故选C。8.在GB/T40455-2021《电动汽车传导充电互操作性测试规范》及相关的充电安全标准中，充电通信安全主要参考哪个标准？A.PKCS#7B.TLS1.2/1.3C.GM/T0024D.WPA2【答案】B【答案解析】目前电动汽车充电通信（如GB/T27930）的升级版本中，明确要求使用TLS协议建立加密通道，保障充电控制指令和报文的机密性与完整性。故选B。9.关于密码算法在车联网中的应用，以下哪种说法符合我国商用密码管理条例要求？A.必须使用RSA算法B.推荐使用SM2、SM3、SM4等国密算法C.禁止使用AES算法D.只能使用DES算法【答案】B【答案解析】在我国关键信息基础设施保护中，明确要求使用商用密码（国密）。SM2（非对称加密/签名）、SM3（哈希）、SM4（对称加密）是主要的国密算法体系。虽然未完全禁止国外算法（如AES、RSA）在非核心领域使用，但在涉及国家安全和关键数据的汽车领域，国密算法是合规首选。故选B。10.智能座舱中，T-Box（TelematicsBox）的主要安全功能不包括？A.远程控制指令的鉴权B.车联网数据的加密传输C.座舱娱乐系统的音视频解码D.APN配置的防火墙保护【答案】C【答案解析】T-Box主要负责车外通信（4G/5G/V2X）、远程控制、OTA下载等安全相关功能。座舱娱乐系统的音视频解码主要由IVI（In-VehicleInfotainment）主芯片（如高通8155）负责，不属于T-Box的功能范畴。故选C。11.为了防止OTA升级包被篡改，升级包在打包和刷写过程中必须进行？A.压缩B.签名与验签C.加密与解密D.格式化【答案】B【答案解析】OTA安全的核心是完整性校验。厂商利用私钥对升级包进行签名，车端Bootloader或OTAAgent利用内置的公钥进行验签。加密是为了保证机密性，但对于通用固件，完整性（防篡改）比机密性更关键。故选B。12.在威胁建模和风险评估（TARA）方法中，用于评估攻击者实施攻击难度的指标是？A.影响等级B.可行性C.概率D.严重性【答案】B【答案解析】在ISO/SAE21434和HEAVENS等模型中，风险通常由“影响”和“可行性”两个维度决定。可行性评估了攻击者的技能水平、所需时间、设备等，即攻击难度。故选B。13.车载入侵检测系统（IDS）部署在中央网关时，主要检测的异常流量特征是？A.仅检测外网攻击IPB.CAN总线报文的频率、载荷异常及违反协议规则的行为C.驾驶员的驾驶行为D.电池包的温度变化【答案】B【答案解析】车载IDS（尤其是基于CAN总线的IDS）主要监控车内网络流量。它通过检测报文发送频率异常（如DoS攻击）、信号值超出物理范围、未定义的CANID出现或MAC校验失败等手段来发现入侵。故选B。14.下列哪种技术属于“零信任”安全架构在车云同步中的具体应用？A.内网隔离B.持续验证与最小权限原则C.边界防火墙D.物理拔网线【答案】B【答案解析】零信任的核心原则是“永不信任，始终验证”。在车联网中，这意味着即使车辆已经连接了云平台，每一次API调用、数据传输都需要重新进行身份验证和权限校验，不依赖网络位置（如内网即安全）。故选B。15.针对智能驾驶系统的传感器（如摄像头、雷达）欺骗攻击，属于哪种安全威胁？A.网络威胁B.物理威胁C.感知层威胁D.逻辑威胁【答案】C【答案解析】智能驾驶系统的感知层负责采集环境信息。攻击者通过adversarialpatches（对抗性补丁）或电磁干扰欺骗传感器，导致感知错误，这属于感知层的安全威胁。虽然可能通过物理手段实施，但归类于感知层威胁更为准确。故选C。16.在SECOC（SecureOnboardCommunication）机制中，用于生成消息认证码（MAC）的算法通常是？A.AES-CMACB.RSA-PSSC.SHA-256D.HMAC-SHA1【答案】A【答案解析】AUTOSAR规范中，SecOC推荐使用AES-CMAC（基于AES的CMAC算法）来生成truncatedMAC（通常截取为3或4字节），以兼顾安全性和总线负载效率。故选A。17.汽车数据出境安全评估中，根据我国《数据安全法》，核心数据必须？A.经过脱敏处理后即可出境B.严禁在境内存储C.在境内存储，确需出境的应当通过国家网信部门组织的安全评估D.只需企业内部审批【答案】C【答案解析】根据《数据安全法》和《汽车数据安全管理若干规定（试行）》，重要数据出境需进行安全评估；核心数据是关系国家安全、国民经济命脉的重要数据，严格限制在境内存储，原则上严禁出境，确需出境的需经过严格评估。故选C。18.下列哪个端口是车载T-Box或IVI系统中最容易被攻击且常被暴露在公网的远程调试端口？A.TCP80(HTTP)B.TCP443(HTTPS)C.TCP5555(ADB)D.UDP67(DHCP)【答案】C【答案解析】ADB（AndroidDebugBridge）端口（通常为5555）是Android系统的调试端口。如果在量产版本中意外开启该端口，攻击者可以通过该端口获得Shell权限，进而完全控制车机系统。这是历史上多起车联网漏洞案例的根源。故选C。19.V2X（Vehicle-to-Everything）通信中，为了保护车辆隐私，同时保证可追溯性，通常采用？A.固定的车辆识别码（VIN）B.假名证书机制C.明文通信D.仅使用IP地址【答案】B【答案解析】V2X通信使用PKI体系。为了防止攻击者通过长期追踪固定证书来获取车辆位置轨迹，系统会定期（如几分钟）更换车辆的假名证书。这样既保证了当前通信的可认证性，又防止了长期隐私泄露。故选B。20.汽车信息安全应急响应（CSIRT）流程中，在漏洞被修复后，还需要进行的步骤是？A.销毁漏洞报告B.经验总结与知识库更新C.忽略该漏洞D.仅通知内部开发人员【答案】B【答案解析】应急响应生命周期（PDCA模型）包括：准备、检测/分析、抑制/根除、恢复、事后活动。事后活动包括总结经验教训、更新应急响应计划、将漏洞特征加入IDS规则库等，以防止同类事件再次发生。故选B。二、多项选择题（共10题，每题3分，共30分。多选、少选、错选均不得分）1.智能网联汽车面临的主要网络安全威胁来源包括哪些？A.外部远程攻击者（通过云、App、V2X）B.内部物理接触攻击者（通过OBD、USB）C.恶意供应链（第三方软硬件后门）D.自然环境因素（如雷击、地震）【答案】A,B,C【答案解析】汽车网络安全威胁主要来源于人为的恶意攻击。A、B、C分别对应远程攻击、近场物理攻击和供应链攻击。自然环境因素属于可靠性或功能安全范畴，不属于网络安全威胁来源。故选ABC。2.ISO/SAE21434《道路车辆网络安全工程》标准中，网络安全生命周期包含哪些阶段？A.概念阶段B.产品开发阶段C.生产阶段D.运行与维护阶段【答案】A,B,C,D【答案解析】ISO/SAE21434覆盖了车辆的全生命周期。概念阶段（ConceptPhase）包括TARA；产品开发阶段包括系统、软硬件设计；生产阶段包括安全provisioning；运行与维护阶段包括事件监测和应急响应。故选ABCD。3.下列哪些属于车用操作系统的安全加固措施？A.启用SELinux或SMACK强制访问控制B.移除不必要的调试工具和setuid权限C.内核地址空间随机化（KASLR）D.禁止所有系统调用【答案】A,B,C【答案解析】SELinux/SMACK是Android和Linux系统常用的MAC机制，能限制进程权限；移除调试工具和特权文件减少攻击面；KASLR是针对内核层面的ASLR技术，防止攻击者定位内核代码地址。禁止所有系统调用会导致系统无法运行，故不选D。故选ABC。4.针对CAN总线的安全风险，以下哪些技术方案是有效的？A.CAN报文加密B.CANID认证与校验C.引入车载以太网作为骨干网进行网关隔离D.增加总线终端电阻【答案】A,B,C【答案解析】CAN总线是广播网络，缺乏认证和加密。A（加密）和B（认证）是直接的技术手段。C（以太网骨干网+网关隔离）通过架构升级，将关键流量隔离在高速网段，通过网关过滤，减少了暴露在CAN总线上的风险。D（终端电阻）是物理层保证信号完整性的措施，与安全无关。故选ABC。5.汽车远程控制APP端的安全测试应重点关注哪些方面？A.证书绑定（CertificatePinning）防止中间人攻击B.代码混淆与反篡改检测C.敏感数据（如Token、PIN码）的本地存储加密D.APP界面的UI美观度【答案】A,B,C【答案解析】APP安全主要涉及通信安全（A）、客户端代码保护（B）和数据安全（C）。UI美观度属于非功能性需求，不属于信息安全范畴。故选ABC。6.以下哪些情况可能触发车辆的OTA回滚攻击防御机制？A.检测到新版本号小于当前版本号B.升级包的签名验证失败C.车辆处于高速行驶状态D.车辆蓄电池电压过低【答案】A,B【答案解析】回滚攻击是指攻击者诱导车辆刷入旧版本的固件（通常包含已知漏洞）。防御机制包括：A（版本号检查，防止降级）和B（签名验证，防止伪造）。C和D是OTA刷写的常规前置条件，不是专门针对回滚攻击的防御机制。故选AB。7.汽车数据分类分级管理中，通常将数据分为哪些级别？A.一般数据B.重要数据C.核心数据D.绝密数据【答案】A,B,C【答案解析】根据我国《汽车数据安全管理若干规定（试行）》及相关数据安全标准，汽车数据通常分为一般数据、重要数据和核心数据。“绝密数据”是传统的商业秘密或国家秘密分级用语，在车联网数据分类标准中通常使用“核心数据”这一术语。故选ABC。8.入侵检测系统（IDS）在检测到异常CAN流量时，可以采取的响应动作包括？A.记录日志并上报云端B.立即切断车辆电源C.通过网关丢弃可疑报文D.将车辆切换至跛行模式【答案】A,C,D【答案解析】IDS的响应应遵循“安全可用性”原则。A是基本动作；C（丢弃报文）是网络层阻断；D（跛行模式）是功能安全降级，限制车速以便检修。B（立即切断电源）在行驶中会造成极度危险，通常不作为自动响应机制，除非检测到会导致即刻生命威胁的极端情况。故选ACD。9.下列哪些属于典型的车联网云平台安全防护组件？A.Web应用防火墙（WAF）B.数据库审计系统C.抗DDoS攻击系统D.车辆VIN码明文查询接口【答案】A,B,C【答案解析】WAF防护Web攻击，数据库审计监控数据访问，抗DDoS防护流量攻击，这些都是云平台必备的安全组件。D是安全漏洞（敏感信息泄露），不是防护组件。故选ABC。10.在进行汽车信息安全渗透测试时，测试人员需要遵循的原则包括？A.授权原则（获得书面授权）B.最小影响原则（避免破坏车辆功能）C.漏洞披露原则（负责任地披露）D.尽可能多地破坏车辆硬件以验证极限【答案】A,B,C【答案解析】渗透测试必须合规合法。A是法律前提；B是测试职业素养，防止造成不可逆损害；C是行业规范。D是恶意破坏行为，违背测试原则。故选ABC。三、判断题（共10题，每题1.5分，共15分）1.CAN总线本身就具备防篡改和防窃听的安全特性。【答案】错误【答案解析】CAN总线基于广播机制，且报文结构中没有任何加密或认证字段，任何接入总线的节点都可以读取和伪造报文，因此不具备先天安全性。2.安全启动是保证车载ECU固件完整性的第一道防线，其验证过程通常是从Bootloader验证Application。【答案】正确【答案解析】安全启动采用信任链传递机制。上电后，ROM代码验证Bootloader的签名，Bootloader验证Application分区（内核/文件系统）的签名，以此确保启动代码未被篡改。3.SM4算法是一种非对称加密算法，常用于数字签名。【答案】错误【答案解析】SM4是我国商用密码标准中的对称分组密码算法（类似AES），用于数据加密。SM2才是非对称算法，用于签名和密钥交换。4.只要车辆通过了UNECER155型式认证，就证明该车辆在生命周期内绝对不会再发生网络安全事件。【答案】错误【答案解析】R155认证的是企业的网络安全管理体系（CSMS）和车辆型式的网络安全合规性。它降低了风险，但无法保证绝对消除所有未知漏洞或未来攻击手段带来的风险。5.在车载以太网中，VLAN（虚拟局域网）技术不仅用于流量隔离，也具备一定的安全隔离属性。【答案】正确【答案解析】VLAN可以将不同域（如娱乐域、底盘域）的广播流量逻辑隔离开，防止跨域的敏感数据被非授权节点侦听或干扰，属于网络层的安全隔离措施。6.为了方便用户远程解锁车辆，T-Box在接收到云端指令后，可以直接转发CAN报文给车门控制节点，无需校验。【答案】错误【答案解析】远程指令属于高危操作。T-Box必须对云端下发的指令进行严格验证（如Token、时间戳、签名），并在转发到CAN总线前，结合本地状态进行二次鉴权，防止云端被攻陷后直接控制车辆。7.代码签名证书的有效期通常很长（如10-20年），因此不需要考虑密钥轮换。【答案】错误【答案解析】虽然证书有效期可能较长，但根据密钥管理最佳实践，一旦发生私钥泄露或算法强度减弱，必须进行密钥轮换。且为了限制损害范围，也应定期更新密钥。8.机器学习算法可以用于车载入侵检测，通过学习正常流量模式来识别异常行为。【答案】正确【答案解析】基于机器学习/深度学习的IDS是当前的研究热点和应用趋势，它能够通过训练建立正常行为的基线，从而识别偏离基线的异常攻击（如未知DoS攻击）。9.汽车制造商在发现重大安全漏洞后，可以自行修复，无需向监管机构或车主报告。【答案】错误【答案解析】根据UNECER155及各国相关法规（如中国的《智能网联汽车道路测试与示范应用管理规范》等），制造商必须建立事件响应机制，对于影响安全的漏洞，通常需要在规定时间内向监管机构报告，并告知车主进行OTA召回或维修。10.对称加密算法比非对称加密算法的计算速度更快，适合于加密大量数据。【答案】正确【答案解析】对称加密（如AES、SM4）主要是位运算和置换，计算效率高；非对称加密（如RSA、ECC）涉及复杂的数学运算（如模幂运算、点乘），计算开销大，因此通常用于加密密钥或签名，大量数据加密使用对称密钥。四、填空题（共10题，每题1.5分，共15分）1.AUTOSARCP平台中，负责管理密码服务接口的模块缩写是____。【答案】Crypto【答案解析】在AUTOSAR架构中，Crypto模块（Csm是密码服务管理器，Crypto是底层接口）提供统一的密码运算接口，支持硬件加密模块（HSM）的调用。2.在公钥基础设施（PKI）中，负责撤销已颁发证书的列表被称为____。【答案】CRL(CertificateRevocationList)【答案解析】CRL是证书撤销列表，另一种常见的撤销状态查询机制是OCSP（在线证书状态协议）。3.我国《数据安全法》将数据从低到高分为一般数据、重要数据和____。【答案】核心数据【答案解析】这是我国数据分类分级的核心制度，核心数据一旦泄露可能危害国家安全。4.车载诊断接口OBD-II的针脚定义中，通常使用高速CAN的针脚是____和____。【答案】6；14（或14；6）【答案解析】ISO15765-4(CAN)标准中，Pin6是CAN_H，Pin14是CAN_L。5.为了防止重放攻击，通信协议中通常包含一个随时间或通信次数单调递增的数值，称为____。【答案】FreshnessValue(或freshnesscounter,Nonce)【答案解析】FreshnessValue（新鲜度值）确保每条消息都是新的，攻击者无法截获旧消息重放。6.车载以太网AVB协议族中，用于流reservation和控制的协议是____。【答案】SRP(StreamReservationProtocol)【答案解析】AVB中的SRP用于建立流预留，保证带宽。注：AVB现已演进为TSN（时间敏感网络）。7.GB/T39741-2020《电动汽车传导充电用互操作性测试规范》中，推荐使用的非对称加密算法是____。【答案】SM2【答案解析】在国标体系中，充电安全应用推荐使用国密SM2算法进行身份认证。8.汽车功能安全（ISO26262）与信息安全（ISO21434）的交互中，由信息安全威胁导致的功能安全违背，属于____。【答案】SafetyGoalviolation(或功能安全目标违背)【答案解析】信息安全漏洞可能引发hazards（危害），从而导致功能安全目标的违背。9.AndroidAutomotiveOS中，用于实现权限隔离和进程沙箱的核心内核机制是____。【答案】LinuxKernel(或Namespace/Cgroups)【答案解析】Android基于Linux，利用Linux内核的Namespace（命名空间）和Cgroups（控制组）等机制实现UID/GID隔离和沙箱效果。10.在威胁建模中，STRIDE模型中的“I”代表____。【答案】InformationDisclosure(或信息泄露)【答案解析】STRIDE代表Spoofing（伪装）、Tampering（篡改）、Repudiation（抵赖）、InformationDisclosure（信息泄露）、DenialofService（拒绝服务）、Elevationofprivilege（权限提升）。五、简答题（封闭型）（共4题，每题5分，共20分）1.请简述车载HSM（HardwareSecurityModule）的主要功能。【答案】车载硬件安全模块（HSM）是独立的硬件组件，其主要功能包括：（1）安全存储：提供不可篡改的密钥存储区域，防止密钥被提取。（2）加密运算：高速执行对称加密（如AES）、非对称加密（如RSA、ECC）和哈希运算，减轻主CPU负担。（3）真随机数生成：生成硬件级的真随机数（TRNG），用于密钥生成和Nonce。（4）安全启动辅助：验证固件签名的信任根。（5）调试保护：锁定JTAG等调试接口，防止物理提取。2.请列举UNECER155法规中要求制造商必须建立的网络安全管理体系（CSMS）的四个核心阶段。【答案】（1）网络安全管理：定义策略、流程和角色。（2）基于风险的网络安全管理：进行TARA（威胁分析与风险评估）。（3）网络安全后续监测：在量产阶段进行漏洞监测和事件响应。（4）全生命周期安全防护：覆盖从设计、生产、运维到报废的全过程。3.简述SecOC（SecureOnboardCommunication）机制是如何防御重放攻击的。【答案】SecOC通过在CAN数据帧中附加一个freshnessvalue（通常是一个递增的计数器）和一个消息认证码（MAC）来防御重放攻击。接收端维护一个同步的计数器窗口，当收到报文时：（1）检查报文中的freshnessvalue是否在接收窗口内。如果该值过小（旧消息）或过大（可能的攻击），则拒绝。（2）通过MAC验证数据完整性。只有当freshnessvalue符合预期范围且MAC验证通过时，报文才被接受，从而确保攻击者无法重放之前截获的旧报文。4.请说明什么是“中间人攻击”（MITM），并简述在车云通信中如何防御它。【答案】中间人攻击是指攻击者秘密拦截并可能篡改两个通信方（如车端和云端）之间消息的攻击方式，使得双方误以为直接在与对方通信。防御措施：（1）强身份认证：使用双向TLS（mTLS），车端验证云端服务器证书，云端验证车端证书。（2）证书绑定：在APP或T-Box代码中硬编码或预置云端服务端的公钥哈希，防止接受伪造的证书。（3）加密通道：全程使用TLS/SSL加密，防止数据被窃听或篡改。六、简答题（开放型）（共3题，每题10分，共30分）1.随着汽车“软件定义汽车”（SDV）的发展，OTA更新成为常态。请分析OTA更新过程中面临的主要安全风险，并提出相应的缓解策略。【答案】主要安全风险：（1）更新包被篡改：攻击者在传输过程中修改固件，植入恶意代码。（2）版本回滚攻击：诱导车辆刷入旧版本固件，利用已修复的漏洞。（3）拒绝服务攻击：阻塞更新通道，导致车辆无法获得关键补丁。（4）更新中断导致变砖：更新过程被恶意干扰或意外中断，导致ECU不可用。（5）密钥泄露：用于签名的私钥泄露，导致攻击者可以签名恶意固件。缓解策略：（1）完整性保护：使用高强度的数字签名算法（如ECDSA/SM2）对升级包进行签名，车端严格验签。（2）防回滚机制：在Bootloader中检查版本号，禁止刷写低于当前版本的固件。（3）安全传输：使用HTTPS/TLS加密通道下载更新包。（4）原子更新与A/B分区：采用双分区机制，确保更新失败时能回滚到旧版本，防止变砖。（5）差分升级加密：差分数据包同样需要加密和签名保护。（6）密钥管理：严格保护代码签名私钥，建议使用HSM存储。2.某智能网联汽车在高速行驶时，通过T-Box接收到一条来自“云端”的“紧急制动”指令。请从网关架构和指令校验的角度，设计一套安全逻辑，以防止黑客利用伪造的云端指令控制车辆。【答案】安全逻辑设计如下：1.通信链路安全：确保T-Box与云端之间建立了双向认证的TLS1.3加密通道。2.指令校验逻辑（在T-Box或中央网关执行）：格式校验：检查指令格式是否符合协议规范（JSON/XML结构，字段完整性）。签名校验：云端指令必须带有云端的私钥签名，T-Box利用内置公钥验签，确保指令来源真实。时效性校验：指令中包含Timestamp或Nonce，拒绝处理超过时间阈值（如5秒）的指令，防止重放。序列号校验：维护指令序列号，防止乱序或重放。3.上下文感知与融合决策（在中央网关或域控制器执行）：状态一致性检查：检查车辆当前状态。例如，如果车辆处于驻车状态（P挡），则“紧急制动”指令可能是异常的；或者结合车速，只有在高速下才响应特定类型的云端干预。传感器数据交叉验证：如果云端指令是“前方障碍物紧急制动”，网关应检查雷达/摄像头数据。如果传感器显示前方无障碍，而云端发制动指令，应判定为潜在攻击，拒绝执行并记录日志。4.执行限制：降级保护：如果连续收到异常指令，切断T-Box与车内网络的连接（DIP模式），仅保留基础报警功能。驾驶员确认：对于非碰撞类的高危远程控制指令，建议增加座舱HMI确认机制（如震动/声音提示），除非是V2X直接参与的防碰撞预警。3.请论述“功能安全”与“信息安全”在智能驾驶领域的联系与区别，并说明二者如何协同工作。【答案】区别：（1）目标不同：功能安全（ISO26262）的目标是防止因电子电气系统故障导致的危害（如硬件随机失效、软件设计错误）；信息安全（ISO21434）的目标是防止因恶意攻击导致的系统失效、数据泄露或控制权丧失。（2）起因不同：功能安全主要关注非人为故意的“错误”和“失效”；信息安全关注人为故意的“威胁”和“攻击”。（3）应对手段不同：功能安全采用冗余、监控、诊断等机制；信息安全采用加密、认证、防火墙、IDS等机制。联系：（1）相互依存：信息安全漏洞可能导致功能安全目标的违背（例如黑客通过蓝牙干扰刹车系统，导致车祸）；反之，功能安全机制的缺失（如缺乏越界检查）可能被黑