引用本文:宋昊辰,杨林,徐华伟,等.智能网联汽车信息安全综述[J].信息安全与通信保密,2020(7):106-114.

智能网联汽车是将网络世界与物理世界结合在一起,为用户带来更加优质的使用体验。在打通物理世界与网络世界的同时,也面临着网络世界中信息安全的风险,甚至因网络世界的安全问题直接影响到物理世界的安全。随着汽车“四化”的提升,信息安全的相关研究成为了汽车领域的重要议题与研究热点。从智能网联汽车信息安全问题、信息安全逻辑架构、测试评价技术、未来研究方向四个方面梳理智能汽车信息安全的研究与应用现状,提出针对当下环境的研究方向建议,为提高我国汽车信息安全水平提供建议和参考。

关键词:智能网联汽车;信息安全;V2X;测试技术

内容目录:

0 引 言

1 智能网联汽车信息安全问题

1.1 间接物理攻击面研究

1.2 短距离无线攻击面研究

1.3 远距离无线攻击面研究

2 智能网联汽车信息安全逻辑架构

2.1 网联汽车智能终端安全问题研究

2.2 车联网通信安全问题研究

2.3 车联网服务平台安全问题研究

3 信息安全测试技术研究

3.1 测评意义及目标

3.2 测试内容研究

3.3 智能网联汽车感知信源层测试研究

3.4 网络传输层测试研究

3.5 应用服务层测试

4 未来研究方向

5 结 语

00 引 言

智能汽车,就是把智能技术和互联网技术运用于汽车中,把互联、网联与汽车集合,形成一个智能网联汽车生态系统。随着智能汽车和车联网技术的发展,汽车电控系统越来越多, 汽车将不再是一个孤立的单元,而是成为可移动的智能网络终端。以车内网、车际网和车云网为基础,按照既定的通信协议和数据交换标准,在车、路、云、人之间进行无线通信数据交换, 构建智能交通管理、信息服务和车辆智能化控制的互联体系。然而,互联互通在带来便利高效体验的同时,也带来越来越严重的信息安全隐患。智能汽车的信息安全问题已经成为网络安全的重要组成部分,例如:可接入汽车控制端的移动终端APP、复杂的多传感器融合车内网络系统、ECU代码与软件漏洞都有可能成为新的攻击向量,现今,黑客也开始针对汽车发起攻击。汽车信息安全继主动安全、被动安全、功能安全之后将成为汽车领域中的第四大安全问题。

自2019年以来,黑客已成功利用信息篡改、病毒入侵和其他手段进行汽车攻击。特别是近年来频繁的汽车信息安全召回事件引起了业界的广泛关注。智能汽车的信息安全不仅构成企业的经济损失和个人隐私的泄漏,而且还可能对人身安全造成严重后果,甚至引起威胁国家的公共安全问题。但是,目前智能汽车信息安全技术的研究还很不成熟,特别是相关的统一标准尚未形成。它是整个生命周期安全必不可少的部分,因此需要对其进行充分研究,以为智能汽车开发过程中的测试和评估活动提供参考。

01 智能网联汽车信息安全问题

信息安全是一个需要从系统层面进行保护的体系。像木桶原理一样,没有任何一个环节可以出错。因为智能汽车已经与当前的通信和网络技术集成在一起,并且具有诸如复杂的环境融合感知、智能决策和协作控制等功能,所以智能汽车的攻击向量是多方面的。汽车信息安全问题的分析可以从两个方面入手:一方面是技术能力,攻击者了解目标车辆,并且攻击者具有开发出针对目标车辆的恶意利用的能力;另一方面是可操作性,它是指攻击者在攻击面上发起攻击时需要克服的条件限制,例如攻击OBD(车载诊断)接口需要物理进入汽车。研究智能车辆信息安全攻击对构建完整的车辆防御体系结构具有重要意义。

总体来看,目前智能网联汽车信息安全面临的主要问题有:

(1)针对智能汽车的信息安全风险测评方法和技术方案与飞速发展的产业环境不相匹配,可借鉴参考的成熟案例经验过少,各方都处于探索阶段;

(2)智能汽车信息安全涉及的云、管、端各方面复杂性高,传统IT 安全技术与汽车通信与控制技术相融合,存在跨学科研究;

(3)汽车整体从研发、生产、交付使用、维修到报废整个生命周期相较于传统终端要长很多,怎样保证全生命周期的安全是重要研究方向;

(4)智能汽车安全被攻击后需承担的后果更为严重,可能涉及财产生命安全及公共安全,因此需要比传统信息安全提出更高的要求标准。

1.1 间接物理攻击面研究

间接物理攻击面是众多攻击面中最普遍的攻击方式,通常涉及对与这些攻击面进行交互的设备、媒介进行攻击。OBD在线诊断接口是汽车上最重要的一个物理接口,可通过接口读取汽车的运行状态数据、进行主动测试等功能,但是攻击者也可以通过这个接口直接访问车内 CAN总线进而完全控制物理功能并造成威胁。同时有些OBD设备可通过4G网络与服务器通信,或者利用蓝牙或WiFi技术与手机通信进而通过手机将数据上传服务器。这些链路如果被攻击同样会使攻击者获得OBD权限,进而对汽车发起攻击。

1.2 短距离无线攻击面研究

短距离无线攻击要更加灵活,对比操作复杂、无法控制攻击时间的间接物理攻击要更具有威胁性。智能汽车的短距离攻击面包括蓝牙、WiFi、无线智能钥匙、RFID(Radio Frequency Identification)、胎压管理系统等,对于这些攻击方法,攻击者可以利用相应的有效设备在汽车附近收发数据。作为车载终端设备的蓝牙已成为现代汽车的标配,有研究表明可以使用定向天线及信号放大器等增加传输距离,进而利用蓝牙漏洞对车辆发起攻击;无线智能钥匙通过433Hz、125Hz、315Hz的无线频段实现遥控与认证,信号基于Keeloq加密算法,通过遥控密钥的泄露或破解ECU找到密钥或利用信号验证代码漏洞进行渗透都可对车辆造成不同程度的负面影响;胎压管理系统将采集到的数据通过短距离无线通信传递给管理模块,工作频率在315MHz左右,但是大多数信号并没有进行加密安全处理,可被篡改或者伪造进而影响接收的ECU解析代码造成对车辆的损害。

1.3 远距离无线攻击面研究

智能汽车上的远距离攻击向量包括GPS(Global Position System)、卫星、数字广播等公用的通信链路,也包括蜂窝网络、远程协助系统及远程控制系统等专用通信链路。这些远距离攻击向量对汽车是最大的威胁,攻击者可以在任何地方发起攻击。如黑洞攻击(Black Hole Attack)是一种典型的网络层DoS攻击方式,由已经被授权的网络内部恶意节点发起的一种攻击方式,利用路由协议中的设计缺陷形成专门吸收数据的黑洞,从而使网络中重要的数据丢失甚至造成篡改;女巫攻击(Sybil)也存在于智能汽车通信中的典型攻击方式,通过伪造车辆身份标识来创建错误的目的地址,从而使原本合法车辆标识失去真实性,达到破坏路由算法机制、改变数据整合结果的目的。

02 智能网联汽车信息安全逻辑架构

“智能网联”是指借助新一代网络通信技术,在固定场景下实现车、人、路和云的全方位网络互联。新的互联形式为用户提供了智能、舒适、安全和高效的全面服务体验。整体逻辑框架以“端管云”模式为整体构架,道路设施为补充设备,包括智能网联汽车、新一代通信环境、移动智能终端、车联网数据云控平台等对象,涉及五种基本的互联应用场景:车间通信、车载通信、人车互联、车路互联和车云互联。

智能网联汽车信息安全架构基于保障“云—管—端”三层架构安全畅通的运行,保证其较好的防御能力及高效的响应与恢复。从防护对象来看,智能网联的逻辑架构应重点关注车内网络安全、移动智能终端安全、车联网数据云控平台安全、通信环境安全,同时保证贯穿于整个系统所产生数据的隐私性和安全性。智能网联汽车复杂的应用场景和还处于探索阶段的信息安全技术手段都使其实现高效的防御保障存在较多挑战,需要采取综合手段来防护,本章将结合上述的智能网联互联互通概念,说明基于“云—管—端”逻辑架构的信息安全技术研究方向及研究现状。

2.1 网联汽车智能终端安全问题研究

智能网联汽车车载终端安全是整个安全逻辑架构的核心,也是行业关注的重点,目前研究重点围绕“黑盒”防御机制,逐步建立以全生命周期安全防护为基础理念,纵深防御体系为技术蓝图,软硬件安全防护为保障的防护体系来保护智能网联汽车安全。

首先,在开发阶段实施安全开发全生命周期管理已成为智能车端信息安全的必要手段,美国 SAE 协会也于 2016 年发布J3061指南,其中把信息安全防护融入车辆研发、生成、测试、安全响应整个生命周期,为识别和评估威胁提供指导。

其次,硬件芯片嵌入到汽车控制系统中已成为抵御攻击的重要载体,通过硬件安全芯片中内置的加密算法、访问控制管理系统、信息完整性检查系统都得以提升智能汽车的安全级别。相应的软件保护方法也成为智能网联汽车安全保护的有效补充。在硬件安全芯片部署成本高的前提下,软件安全也成为一种有效的选择,包括 OTA(Over The Air) 远程更新服务,针对车载操作系统或硬件固件进行升级更新和安全修复;以软件形式部署防火墙,针对访问地址、通信接口和通信协议的访问控制安全进行保护。软硬件协同的防御部署在一定程度上提高了攻击的难度,增强了智能网联汽车的网络安全保护水平。

智能网联汽车中的智能车载终端 T-BOX(Telematics Box)主要用于车端与外界的通信。T-BOX 不仅可以与 CAN 总线通信以实现命令信号传输,还可以使用其内置解调功能与云服务平台进行交互,以获取网络数据、语音及其他消息。基于其强大的通信功能,T-box将面临各种信息安全威胁,如逆向工程、针对秘钥管理获取密钥用于窃听或篡改数据、通过硬件预留的调试接口调取内部数据用于攻击预分析等。

OBD 是用于将智能汽车的外部设备连接到 CAN 总线的重要接口。OBD 接口可以收发诊断命令并与总线系统交互以执行故障诊断。因 OBD 接口可以与 CAN 总线交互并具有可读和可写的权限,因此它也面临信息安全风险,包括攻击者可以通过接口破解总线协议以解析 ECU 指令来控制车辆的行为;连接到 OBD 接口的设备具有携带攻击代码的隐患,接入后有可能会影响到CAN 总线传输,对汽车控制系统构成威胁;当前的 OBD 接口缺少用于识别攻击和恶意消息的身份验证机制,这将给汽车带来更大的风险。其他重要车载部件(例如 ECU)可能会面临硬件和软件设计或证书认证漏洞等风险;车载操作系统可能具有来自继承的操作系统或代码迁移过程的已知漏洞。上述多种车载终端部件面临着不同程度的信息安全领域挑战。

2.2 车联网通信安全问题研究

车联网通信在整个智能网联汽车安全体系中占据重要地位,已成为车联网攻击的主要方式,其中主要威胁是中间人攻击(Man-in-the- middle),攻击者可以通过伪造通信基站进行DNS 劫持等方法监听通信信道进而破解通信协议或者窃取用户敏感数据。车间通信的直连模式或将成为未来车联网体系通信应用场景的重要模式。同时,智能网联汽车将成为频繁接入与退出的网络节点,若其中存在恶意节点入侵, 则存在阻断、伪造、篡改通信信息的风险,影响信息的真实性,破坏路况信息的传递。部署在智能联网车辆中的多种短距离无线通信接口也有遭受攻击者攻击的危险。

当前的车联网通信安全保护主要针对“车云”通信,用于加强访问控制、传输数据加密、设备标识以及进行异常流量监控。现阶段智能网联汽车通常配备两个 APN 接入网络,一个负责车内通信,主要传输汽车控制总线的命令和相关的敏感数据信息;另一个负责信息服务域通信,主要访问与互联网相关的公共资源,通信对象是公共云或第三方服务器。

T-BOX 和 IVI 系统通常连接到公共网络域,因此对车载网和信息服务域使用网络隔离来增强安全控制管理是最有效的方法,形成两个具有不同安全级别的访问控制域,以避免未经授权的访问。此外, 在车载网中使控制单元和非控制单元被安全地分开,并且为控制单元模块建立更高级别的访问控制策略也是行之有效的方法。增加访问 IP 白名单以避免干扰也是加强网络访问控制的有效方法。

传输数据的加密与 PKI 认证体系也是增强车联网通信安全性的有效手段。一方面,该体系可为车辆提供数字证书用于身份认证,授权方将发布受信任的证书,并将其写入车辆的安全芯片,以确保只有经过身份验证的车辆才能与私有云进行通信。与传统的车辆编码绑定相比更不易被伪造。另一方面,车端通过证书加密,进行密钥验证并加密通信数据,增加了攻击者进行窃听和破解的难度,提高了安全性。

2.3 车联网服务平台安全问题研究

车联网云控服务平台当前是基于传统的云计算技术构建。因此,云计算本身的安全性问题也将引入车联网服务平台中,面临的安全威胁主要包括:平台中特定操作系统的漏洞威胁或虚拟资源控制问题;应用面临 SQL(Structured Query Language 结构化查询语言)注入,跨站点脚本安全攻击等问题;访问控制还面临账号验证权限和秘钥泄露等安全问题,并且云控服务平台中还存在传统的拒绝服务攻击。智能汽车数据接入至云平台并由平台进行数据交互与调度控制,因此平台需要很高的操作权限,并且需要完善的访问控制策略来实现与智能汽车的互连,以确保用户敏感信息的私密性。

但是,许多管理平台的访问控制策略在此阶段相对较弱,仅通过固定凭据进行的身份访问控制无法满足较强的控制需求,攻击者可以通过伪造凭据来准备进一步的渗透,从而异常地访问管理平台。根据云平台控制指令功能以及数据的汇聚存储,可以参考成熟的云平台安全保障技术,以确保车联网云控服务平台的安全。通过部署网络防火墙、入侵检测、监视和防御系统等保障手段,并覆盖多个层面,例如系统,网络和应用程序。现今云平台的功能逐步增强,已部署了多种类型的云安全组件,以增强云平台的集中管理和控制能力,包括:安全检测服务,分析特定车型的云端交互数据和车辆日志数据,检测智能终端是否异常、数据是否泄漏等;改进远程 OTA 更新,加强更新验证和签名认证,减少召回成本和漏洞暴露时间;建立用于权鉴认证的证书,为用户的加密密钥和登录凭证提供安全管理,都是云控平台加强智能汽车安全保护的有效手段。

03 信息安全测试技术研究

3.1 测评意义及目标

随着社会信息化的依赖性越来越强,网络和信息系统的安全性变得愈发重要。确保基本网络和通用信息系统的安全,更好地维护国家安全,保障社会和经济的稳定,是信息化发展中必须要解决的问题,对于开展信息安全评估也具有重要意义。总体而言,我国的信息安全工作尚处于起步阶段,信息安全的形式十分严峻,网上斗争变得越来越尖锐复杂,已成为当前最难把握的安全问题之一。

因此,根据国家或行业信息安全相关的技术标准和规范管理,对信息系统进行测试和评估非常重要。通过评估,一是可以了解信息系统的安全状况,排查信息系统的隐患和薄弱环节,明确信息系统的安全建设和整改需要;二是可以衡量信息系统的安全保护管理措施和技术措施是否满足信息安全保护的基本要求。

为了确保智能网联汽车的信息安全,我们不仅要从国家政策层面采取行动,构建智能网联汽车安全测试平台,完善智能网联汽车自主研发体系,制定智能网联汽车和其他设备信息安全预防措施,以形成智能网联汽车的信息安全审查功能。同时,还应该从测试和评估的角度进行研究测试,并开发相关测评工具,协助政府进行不同环节的安全审查工作。建立智能网联汽车的关键零部件、操作系统、通信环境和信息服务系统四个方向的信息安全测试平台,对产品可能存在的缺陷进行挖掘,并辅助汽车行业开发用于汽车系统及设备的智能网联测试和评估服务。

3.2 测试内容研究

根据上文所述的基于“端—管—云”的整体逻辑架构,来划分智能网联汽车测评对象,分为感知信源层、网络传输层及应用服务层。通过研究信息安全共性技术,针对汽车不同产品、不同模块的测评需求,开展安全分析、检测、渗透、扫描及评估技术研究。建立产品的安全威胁模型分析环境,对整车或关键零部件进行缺陷分析、脆弱性分析;完善产品的安全测试环境,针对产品可能存在的缺陷和脆弱性进行检测、挖掘与验证;建设全生命周期的安全评估环境,对已验证的安全隐患进行评估,评定相应信息系统的安全等级。

运用安全分析、检测、评估技术,搭建模拟、硬件在环分析、实物平台测试评价环境,并从设备感知层的多类型传感器、泛在通信终端、网络或寻址可信标识等能力设备,从网络链路层的 V2X 技术的互联互通,从应用层的云构架信息平台、多种下游车辆服务产业等三大方面开展对智能网联汽车信息安全的测试与评价。

3.3 智能网联汽车感知信源层测试研究

感知层是智能汽车的多传感器融合,负责收集和获取车辆的智能信息,感知驾驶障碍物和环境,是具有车载通信、车间通信和车云通信的通信终端,同时使车辆具备寻址和网络可信标识等能力。感知层主要由一系列关键电子单元组成,例如感应、控制和执行等功能。感知层的信息安全相关测试的主要关注点是针对电子单元的相关测试。代码审计是首要应关注的测评方向,ECU中的代码漏洞测试主要有两种评估技术:静态检测技术和动态检测技术。静态检测技术用于扫描电子控制单元的源代码或二进制格式,直接分析程序的特征,并进行漏洞扫描和模糊分析;动态检测技术是运行电子控制单元程序以检测运行结果与预期之间的差异,从而分析运行效率和鲁棒性。评估内容包括代码审计、固件漏洞、接口、存储安全性等。

3.4 网络传输层测试研究

智能网联汽车的网络传输层主要应用场景为 V2X 的互联互通,在功能和性能上保证实时性、可服务性和网络泛在性。所有通信皆通过车载 CAN 网络、V2X 无线通信网络和 LTE 蜂窝网络形成一个智能的车路协同互联互通系统。对于网络传输层的信息安全测试,主要是测试智能网联汽车中通信网络协议的安全性。

目前协议相关的大多数漏洞都与其健壮性有关,协议安全性体现在可以正确地处理或拒绝畸形的PDU(Protocol Data Unit 协议数据单元)并且不会引起漏洞或故障性失效。在此前提下,网络层有代表性的三种安全测试方法包括:车辆通信协议随机测试、变异语法注入测试方法、错误注入方法和车辆通信协议漏洞测试,测试内容包括在智能网联汽车和智慧交通系统的网络传输层中设计的通信协议的安全检查、传输保密性、边界安全性评估、设备标识等。

3.5 应用服务层测试

智能网联汽车的应用服务层主要从汽车信息服务系统的综合评估中进行。其生态链包括物流、货运、汽车维修租赁、车辆管理、保险及救援等。整个系统围绕车辆的数据聚合、计算、调度、监视、管理应用程序和其他方面,涵盖远程信息服务终端(T-box:Telematics Box)的安全性测试、汽车远程服务提供商的安全性评估(TSP:Telematics Services Provider)、手机应用测评、车辆操作系统测试等。T-BOX的安全检测内容是服务接口渗透、终端应用非法注入及检测;TSP 的安全检测内容为服务器高危漏洞检测、服务器操作系统安全评估、服务器系统服务的安全评估。应用服务层的关键测试内容包括汽车信息服务终端的通信认证、数据传输安全、身份鉴别和安全审计。

同时,智能网联汽车的车载操作系统具有很强的抽象性,在安全操作系统的设计中把机密性、完整性、可用性和抗抵抗性作为基本的安全需求。安全操作系统模型抽象出安全策略所表达的安全需求,描述了安全策略所对应的安全机制,进而体现出安全机制在操作系统中的具体表现。

操作系统整体安全检测流程包括形式化分析、渗透性测试、安全功能测试漏洞扫描,首先根据车载操作系统的安全需求分析安全策略进而建立安全模型,根据需要实现的机制进行安全功能检测,最后进行车载操作系统的风险评估。车载操作系统的安全测试重点包括:基于安全模型的形式化系统分析、系统信息安全功能化分析、系统渗透测试、安全漏洞扫描等,测试内容包括:访问控制权限测试、身份鉴别测试、数据保护、管理权限验证等。

04 未来研究方向

由于汽车电动化、智能化和网联化的发展趋势,特殊的多场景使用状态和研发、生产、使用、维修、报废全生命周期的现状,相较于传统的信息安全体系,智能网联汽车的信息安全研究方向需要解决:如何进行高可靠的入侵检测和防护,防止对车辆控制单元的直接控制造成生命财产方面的损失;如何保障复杂通信环境信息安全,提升车辆的防护能力;如何采取高效可靠的响应和回复方案等。强调构建以“检测— 保护—响应—恢复”为体系的全生命周期智能网联汽车信息安全体系以及针对智能汽车的不同安全等级的响应机制和恢复策略是未来智能汽车信息安全的主要发展方向。

(1)构建全生命周期层次分明的纵深防御体系,涵盖产品的设计、研发、生产、维修和报废全阶段,覆盖车载智能终端、移动智能终端、车联网服务平台及多模式的网络通信协议的分级多域防护系统,运用安全分级、访问控制、加密安全、入侵检测技术和安全审计保障技术;

(2)从单点或被动防御方法向动态感知安全检测和主动安全管理相结合的综合防御系统转变,借助大数据、人工智能等技术,实现自动识别、风险管理和攻击溯源;

(3)借助密码技术和可信计算体系,逐步完善车联网的可信环境,从本质上提高安全水平,增强对未知威胁的防御能力和效率。

05 结 语

本文通过研究智能网联汽车信息安全问题、信息安全逻辑架构、测试评价技术,指出了在未来的智能网联汽车发展中,全生命周期的纵深防御体系是智能网联汽车信息安全的核心所在,前景广阔。智能网联汽车安全是保障车联网体系与车路协同理念能否得到广泛应用与推广的基本前提,本文提出针对当下环境的研究方向建议,并对智能网联汽车所存在的多角度攻击向量展开分析,探讨了基于“端—管—云”的逻辑架构防护思路,提出了智能网联汽车测试评价技术是提高整体安全性的必要手段,有助于整个安全系数的增强。望上述几点能为我国车联网发展提供参考与借鉴。

作者简介 

宋昊辰(1992—),男,硕士,工程师,主要研究方向为车载以太网测试技术及车辆信息安全技术;

杨林(1965—),女,硕士,高级工程师,主要研究方向为智能电子产品的检测认证;

徐华伟(1982—),男,博士,高级工程师,主要研究方向为车联网相关技术可靠性测试技术;

杨珺婕(1994—),女, 硕士,工程师,主要研究方向为商用密码测试验证技术;

胡坚耀(1989—),男, 硕士,工程师,主要研究方向为车联网自动驾驶安全测试验证技术;

陈超英(1989—),男,硕士,工程师,主要研究方向为车联网V2X 安全测试验证技术。

选自《信息安全与通信保密》2020年第七期

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。