摘要:本文在分析车联网系统架构及威胁的基础上,研究车联网系统等级保护测评对象、测评重点及测评指标体系,形成车联网网络安全等级保护测评方法及用例库,并介绍车联网等级测评的实践情况。
关键词: 车联网;等级保护;TBOX
Abstract:Based on the analysis of Internet of Vehicles systemarchitecture and threats, this paper studies the key evaluation points andevaluation index system of Internet of Vehicles classified protectionevaluation object, forms Internet of Vehicles security classified protectionevaluation method and use case library, and introduces the practice of Internetof vehicles level evaluation.
Keywords: Internet of Vehicles; classifiedprotection; TBOX
1. 前言
随着汽车智能化、网联化的蓬勃发展,车联网得到快速普及。车联网围绕着人建立起来一个新生态,极大的丰富了人们的驾乘体验,但也带来较大的网络安全风险,如2016年Jeep自由光被黑客破解导致140万辆车被召回,2020年特斯拉大规模断网导致用户无法对车辆进行远程控制。在等级保护2.0及关基信息基础设施保护工作深入开展的大背景下,车联网作为“新基建”的重要形式与载体需要严格按照关基保护及等级保护的要求开展网络安全建设及测评,保障人民生命财产安全。
本文将在分析车联网系统架构及威胁的基础上,研究车联网系统等级保护测评对象、测评重点及测评指标体系,形成车联网网络安全等级保护测评方法及用例库,并介绍车联网等保测评的实践情况。
2. 车联网系统架构概述
车联网是以汽车智能化、网联化为基础,广泛应用新一代通信技术、人工智能技术构建起的新型基础设施。在整体架构上,车联网包括云端应用、通信设施、智能网联车等“云-管-端”三部分。“云”是云端应用,一般是以TSP为主的云端服务,提供了车辆管理、控制、娱乐等功能;“管”是通信设施,实现了云端应用、车机、TBOX、APP及车与车之间的互联,一般会借助4G、5G、WIFI、蓝牙等方式;“端”是指智能网联车,是整个车联网的核心组成部分,包括车端网络架构、TBOX、ECU、IVI、TPMS、APP等设施。
车联网基于“云-管-端”的架构,以智能化、网联化为显著特征,除面对SQL注入、远程命令执行、拒绝服务攻击等传统网络安全威胁,也面临着其特有的安全风险。针对各类威胁,车联网系统一般会采取多种安全防护措施,如访问控制、入侵检测、身份认证、PKI认证、混淆加固。
3. 车联网威胁分析
从系统防护的角度来看,车联网需进一步划分功能组件,以识别不同组件及系统整体安全风险。基于“云-管-端”的系统架构,车联网又可以分为车域网[1]、IVI、TBOX、ECU、TPMS、TSP、APP等组件。
3.1 车域网
车域网实现了汽车内部不同ECU、TBOX、IVI的互联互通,保障了指令控制、状态监测等功能的正常实现。车域网通信协议一般包括CAN总线、LIN总线以及WIFI、蓝牙等无线通信方式。CAN总线及LIN总线两种协议作为开放的标准协议,由于在设计之初缺乏安全机制设计,存在较多安全问题[2],黑客可以通过对CAN总线数据篡改、伪造、重放、防洪等方式实现车辆控制或造成各ECU及功能异常,由此可能带来较为严重的车辆安全事故。
3.2 IVI
车载信息娱乐系统(简称IVI)是基于车载总线和互联网服务,提供综合信息服务的智能多媒体设备。鉴于智能化的提升,IVI一般能够实现辅助驾驶、故障检测、车辆信息、车身控制、导航、娱乐、应用安装等一系列工作。IVI丰富的功能及接口为攻击者提供了较大的攻击面。攻击者可以利用各种手段实施攻击,包括针对软件的攻击和针对硬件的攻击。针对软件的攻击主要是对IVI操作系统及其部署的应用软件实施攻击以获取更高系统权限;针对硬件的攻击,主要是对IVI的主板、硬件接口、芯片、引脚等进行固件提取,通过逆向分析手段挖掘系统漏洞以获得更高权限。
3.3 TBOX
TBOX是车载通信网关,借助4G、5G、蓝牙、WIFI等通信方式实现了车与TSP、APP的通信,主要提供通信、远程控制、远程查询及安防服务等功能[3],是车辆智能化、网联化的核心组件。为保障通信安全,TBOX一般会采取PKI体系实现通信加密。而攻击者一般会试图通过对TBOX固件的逆向分析或者通过TBOX硬件接口,破解密钥及算法,进而实现对通信及指令的篡改,严重影响行车安全。
3.4 ECU
电子控制单元(Electronic Control Unit,简称ECU)是汽车内部实现车辆状态控制、记录及改变的单片机或芯片。随着汽车智能化的发展,汽车内部一般会有数十个ECU单元,不同的ECU控制不同的组件,并通过CAN总线进行互联通信,共同完成车辆控制。ECU固件一般可以被提权进行逆向分析,同时ECU发送到总线上的数据包只有简单标识,无鉴别认证措施。恶意攻击者可以对ECU实施多种类型的攻击,主要包括ECU数据伪造及篡改、ECU数据包重放、ECU烧录恶意程序、虚假信息伪造[4]。
3.5 TSP
汽车远程服务提供商(Telematics Service Provider,简称TSP)在车联网行业中处于核心地位,整合了整车厂、车载设备制造商、网络运营商及内容提供商。目前,TSP一般提供导航、娱乐、安防、车辆管理、功能升级、维修保养等功能,保存有大量用户敏感信息和数据。TSP平台一般存在SQL注入、框架漏洞等常见软件安全漏洞,面临着数据泄漏、密钥泄漏、DDOS、固件升级篡改、个人隐私数据泄露等安全风险。恶意攻击者一旦对TSP平台成功实施入侵,将导致同一平台下大量车辆遭受极大的安全威胁。相关企业需要对TSP平台开展全面的风险识别与分析,基于“一个中心,多重防御”的思路建立起来相对完善网络安全防护体系,而且部分机制与措施需要结合智能网联车、APP通盘考虑,如密码体系、日志审计、监测预警体系等。
3.6 APP
随着智能手机的普及,各智能网联车车企均已开发了与车辆相匹配的APP,提供了车辆控制、车辆管理、娱乐社交等功能,实现了远程开锁、空调开关、车门开关等功能。
不同车企的APP基本会通过4G或者5G网络与TSP平台进行通信,同时又借助蓝牙、WIFI等近场通信手段与车端TBOX进行交互,实现车辆控制。攻击者通常会通过对APP进行逆向分析获取APP与TSP,APP与TBOX的通信协议及指令,了解TSP平台的接口及参数信息,对TSP实施入侵,同时通过近场通信方式入侵车辆,严重威胁车辆安全。
4. 车联网等保测评体系
通过对车联网安全威胁的分析,车联网网络安全等级测评需要在《网络安全等级保护基本要求》的基础上,进一步强化部分原有测评指标,增加与车联网威胁相关的测评指标,同时明确相应的测评要求及测试用例。
4.1总体安全策略
车联网安全以保障乘员安全及周边环境安全为目标,不同的组件需要针对自身所面临的安全威胁采用整体的安全防护策略。云端系统应重点关注应用安全、系统安全、数据安全等,“管”端安全以通信安全及边界安全为主,车端安全关注于硬件安全、通信安全、升级安全及供应链安全,APP安全则关注于应用安全、数据安全、运行安全及隐私安全,针对具体如图所示。
图1、车联网网络安全策略
Fig.1 Strategy of Internet of Vehicles Security
4.2测评指标选择
通常来说,车联网系统一般会包括TSP系统、TBOX、IVI、APP、ECU、TPMS等组件,在测评时一般需要选择安全通用要求,对位于云平台的TSP系统需要选择云计算安全扩展要求,但对TBOX、IVI、APP、ECU、TPMS的测评则需要进一步细化测评指标要求。结合安全威胁分析结果及业务安全需求,初步形成了针对各模块的特殊测评指标。
4.2.1 通信及密码特殊指标
车联网系统TSP与APP、TBOX、IVI之间涉及控制指令、固件升级包的传输,通信信道安全要求较高,需要对通信双方身份、通信信息加密,同时整个平台需要建立在统一的PKI体系开展身份认证及鉴权,形成了如下特殊指标要求:
图2、通信及密码特殊指标
Fig.2 Special Index for Communication and Crypto
安全类 | 安全控制点 | 测评指标 | 测评对象 |
安全通信网络 | 通信传输 | a)应采用密码技术对控制指令通信双方进行双向身份认证; | TSP、APP、TBOX、IVI、TPMS |
b)应采用密码技术对关键控制指令操作进行签名验证,确保动作主体可信。 | |||
接入网要求 | a)车端与TSP之间控制信令信道应通过专用APN网络接入。 | ||
安全区域边界 | 接入控制 | a)应仅允许授权车辆访问TSP业务服务。 | TSP |
表2、通信及密码特殊指标(部分)
Tab.2 Special Index for Communication and Crypto(partial)
4.2.2 车端特殊指标
智能网联车是车联网网络安全的核心。从等保测评的角度来看,车联网系统的网络边界可以扩展到IVI及TBOX,但从功能组件上看,车联网系统还包括车域网、车内ECU及TPMS等组件。结合车端的安全防护需求,编制了车端组件特殊测评指标要求,如下所示:
图3、车端特殊指标
Fig.3 Special Index for Vehicle
安全类 | 安全控制点 | 测评指标 |
车端安全 | 硬件安全 | a)应具有硬件安全模块,保证密钥等关键数据的安全。 |
b)车载终端设备应使用专用管理接口进行连接。 | ||
短距离通信安全 | a)应具备启用与关闭近距离无线连接的管理功能。 | |
b)已建立的短距无线连接,应在相应的输出设备上有明确的连接状态显示。 | ||
c)应只在某种特定状态下接受外来通信连接请求(如蓝牙连接配对请求等)以保证车辆安全,并对发起连接请求的设备进行认证授权。 | ||
d) 应定义无线通讯协议的黑白名单,阻止使用非安全协议或强制执行最低协议版本进行通讯的行为。 | ||
升级安全 | a)应通过版本核对、数字签名机制等方式对升级包的完整性和合法性进行校验。 | |
b)终端与OTA应采用密码技术建立可信信道。 | ||
c)应只接收在约定的工况和车辆系统状态下发起的升级请求,并由用户确认后执行更新操作。 |
表3、车端特殊指标(部分)
Tab.3 Special Index for Vehicle(partial)
4.2.3 APP特殊指标
随着智能网联车的普及,用户一般可以通过APP进行车辆状态查看、控制。APP的安全性对车辆安全显得尤为重要。针对APP的安全需求,形成了如下特殊指标要求:
图4、APP特殊指标
Fig.4 Special Index for APP
安全类 | 安全控制点 | 测评指标 |
APP安全 | 身份鉴别 | a)应在进行重要业务操作(如打开车门、启动发动机等)前进行二次鉴权,避免用户身份被冒用。 |
b)应采取逐字符加密、随机键位软键盘、防键盘劫持等技术,确保敏感信息(如口令、授权码等)输入安全。 | ||
c)使用验证码技术(包括图形和手机短信验证码),则验证码应由服务端生成,图形验证码应具备一定的抗机器识别能力,短信验证码应具备防重放攻击机制。 |
表5、APP特殊指标(部分)
Tab.5 Special Index for APP(Partial)
4.3测试用例
针对车联网测评指标及安全威胁,结合现有的测试手段及测试工具,形成了一套有效的车联网系统等级测评测试用例库,部分测试用例如下:
图5、安全测试用例(部分)
Fig.5 security test use case(partial)
5. 车联网测评实践
为验证测评指标的适用性,选取了几个车联网系统开展了等保测评工作。尽管每个系统功能及架构存在一定的差异,从总体逻辑上来看,各个系统基本符合“云-管-端”三层架构。实际测评对象选取时,将TSP、APP作为重要的测评对象,同时,选取TBOX、IVI作为车端测评对象。在指标选取方面,通信及密码特殊指标、车端特殊指标及APP特殊指标,基本反映了车联网系统基本的安全需求。在某车联网系统等保测评过程中,对APP控车功能的分析后,通过对数据报文的篡改,实现了对任意车辆的泊车及唤车。
图6、车端安全测试
Fig.6 security test for vehicles
6. 总结
随着智能网联汽车的快速普及,车联网安全日益重要,对车联网系统开展等级保护测评需要增加扩展要求势在必行。本文介绍了一种基于风险分析,增加特殊指标的车联网系统等级保护测评方法,从测评实践看能够较好的评价车联网系统的安全防护状况,但还需要进一步改进智能网联汽车测评方法及标准。
参考文献:
[1]杨南,康荣保.车联网安全威胁分析及防护思路[J].通信技术,2015, Vol.48:1421-1426.
[2] 于赫,秦贵和,孙铭会.车载CAN总线网络安全问题及异常检测方法[J].吉林大学学报(工学版),2016, Vol.46:1246-1253.
[3]王文扬,陈正,高夕冉.车载信息交互系统信息安全[J].信息技术与信息化,2018, Vol.12:106-107.
[4]冯志杰,何明.汽车信息安全攻防关键技术研究进展[J].信息安全学报,2018, Vol.2 No.2:1-14.
声明:本文来自测评能手,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
