近年来,伴随中国制造2025、互联网+、深化制造业与互联网融合发展等国家战略的部署实施,以及随着汽车、电子、信息通信等技术的发展,我国车联网技术和产业发展迅速。与此同时,我国车联网发展也面临着巨大的安全挑战。安全作为车联网健康发展的基础和保障,已成为当前研究的热点和难点。在此背景下,本文首先梳理了当前车联网网络安全态势,分析了车联网面临的安全风险和挑战,总结和提出了车联网安全防护的关键技术及发展建议。

一 车联网网络安全态势

(一)全球车联网发展背景

近年来,随着汽车保有量的持续增长,道路承载容量在许多城市已达到饱和,交通安全、出行效率、环境保护等问题日益突出。在此大背景下,智能化和网联化已经成为汽车产业的未来发展趋势,车联网技术也由此应运而生,成为了全球各国关注的重点和热点。同时,车联网也被认为是物联网体系中最有产业潜力、市场需求最明确的领域之一,是信息化与工业化深度融合的重要方向,具有应用空间广、产业潜力大、社会效益强的特点,对促进汽车和信息通信产业创新发展,构建汽车和交通服务新模式新业态,推动自动驾驶技术创新和应用,提高交通效率和安全水平具有重要意义。

从车联网的内涵和边界看,主要包括人、车、路、通信、云服务平台这5类要素。其中,车是车联网的核心,其他要素与车产生关系才成为车联网要素;路是车联网业务的重要外部环境之一;通信是信息交互载体,打通车内、车际、车路、车云信息流;人是道路环境参与者和车联网服务使用者;云服务平台是实现车联网服务能力的业务载体和数据载体。

(二)车联网网络安全现状

随着车联网技术的智能化、网联化进程加快,车联网网络安全问题日益严峻,特别是近年来,网络安全研究人员针对车联网开展了的大量攻击测试,针对车联网的网络安全事件、汽车信息安全召回事件等时有发生,引发了行业内对车联网安全的广泛关注。2015年,克莱斯勒Jeep车型被国外安全专家入侵,利用系统漏洞对汽车多媒体系统实施远程控制,进而逐步获取向汽车控制器局域网络(CAN)总线远程发送指令的权限,实现了对汽车控制动力系统和刹车系统的远程控制,在用户不知情的情况下可以降低汽车的行驶速度、关闭汽车引擎、突然刹车或让刹车失灵。2016年,挪威安全公司Promon专家通过入侵用户手机,可以获取特斯拉App账户的用户名和密码,进而登录特斯拉车联网服务平台实现对车辆的定位、追踪、解锁、启动等。

二 车联网网络安全面临的风险与挑战

车联网的安全风险主要涉及智能网联汽车安全、移动终端安全、通信网络安全、信息服务平台安全和数据安全等五大方面。

(一)智能网联汽车安全风险

智能网联汽车的安全问题主要涉及汽车总线、电子控制单元、车联网通信盒、车载诊断系统、车载信息娱乐系统和操作系统等关键部件。其安全风险具体如下;

1、汽车总线安全风险。CAN总线是目前汽车使用最广泛的总线方式。其在数据的机密性、真实性、有效性、完整性和不可否认性等存在风险:一是在机密性方面,每个在CAN上传输的消息是以广播方式传送至每一个节点,恶意节点很容易在总线上监听每个帧的内容。二是在真实性方面,CAN不包括认证发送者的域,任意节点都能发送消息。三是在有效性方面,由于CAN的仲裁规则,攻击者可能在总线上进行拒绝服务攻击。四是在完整性方面,CAN使用循环冗余校验来验证消息是否因为传输错误而被修改,但不足以完全避免攻击者篡改正确消息和伪造错误消息。五是在不可否认性方面,目前没有办法让一个正常的汽车电子控制单元来证明是否发出或接收过某个消息。

2、汽车电子控制单元(ECU)安全风险。ECU被称为“汽车大脑”,是汽车微机控制器,主要安全风险体现在:一是ECU可能存在漏洞,如芯片和固件应用程序可能存在安全漏洞,易受到拒绝服务攻击,从而影响汽车功能的正常响应,同时ECU更新程序的漏洞也会导致系统固件被改写,如美国曾发生利用ECU调试权限修改固件程序解锁盗窃车辆的案件。二是ECU部署中存在安全隐患。如ECU之间因缺乏隔离而容易成为黑客攻击的入口。

3、车联网通信盒(T-BOX)安全风险。T-BOX是车载智能终端,主要用于车与车联网服务平台之间通信。T-BOX的安全风险主要有两类:一是来自固件逆向,攻击者通过逆向分析T-BOX固件,获取加密算法和密钥,从而解密通信协议,用于窃听或伪造指令。二是对信息的窃取,攻击者通过T-BOX预留调试接口读取内部数据用于攻击分析,或者通过对通信端口的数据抓包,从而获取用户通信数据。

4、车载诊断系统(OBD)接口安全风险。OBD接口是智能网联汽车外部设备接入CAN总线的重要接口,可下发诊断指令与总线进行交互,完成车辆故障诊断、控制指令收发。OBD接口风险在于:攻击者可借助OBD接口破解总线控制协议,从而解析ECU控制指令为后续攻击提供帮助。而且,OBD接口接入的外接设备可能存在攻击代码,接入后容易将安全风险引入到汽车总线网络中,对汽车总线控制带来威胁。另外,OBD接口没有鉴权与认证机制,无法识别恶意消息和攻击报文。

5、车载信息娱乐系统 (IVI)安全风险。IVI是基于车身总线系统和互联网形成的车载综合信息处理系统,可实现包括三维导航、实时路况、辅助驾驶、故障检测、车身控制、移动办公、无线通信、基于在线的娱乐功能等系列应用。IVI的安全风险在于:IVI具有附属功能众多、集成度高的特点,其攻击面大、风险多,所有接口都有可能成为黑客攻击的节点。

6、车载操作系统安全风险。车载操作系统是管理和控制车载硬件与软件资源的程序系统。在车联网时代,汽车通过车载操作系统与智能终端、网络等进行连接,进行车联网信息服务。车载操作系统的安全风险在于:车载操作系统继承自传统操作系统,代码迁移中可能附带移植已知漏洞,如WinCE、Unix、Linux、Android等均出现过内核提权、缓冲区溢出等漏洞,由于现有车载操作系统升级较少,也存在类似系统漏洞风险。另外,车载操作系统可能被攻击者安装恶意应用而影响系统功能,或窃取用户数据。车载操作系统组件及应用存在安全漏洞,例如库文件、Web程序、FTP程序都可能存在代码执行漏洞,导致车载操作系统遭到连带攻击。

7、远程升级(OTA)安全风险。OTA指通过云端升级技术,为具有连网功能的设备以按需、易扩展的方式获取系统升级包,并通过OTA进行云端升级,完成系统修复和优化的功能,现已成为车联网进行自身安全防护能力提升的必备功能。OTA安全风险在于:在升级过程中篡改升级包控制系统,或者升级传输过程中升级包被劫持而遭到中间人攻击,或者是在生成过程中,因云端服务器被攻击而使OTA成为恶意软件源头。另外,OTA升级包还存在被提取控制系统、获取设备超级管理权限(root设备)等隐患。

(二)移动终端安全风险

车联网普遍配套移动终端,用于实现与智能汽车、车联网服务平台的交互。当前,针对移动终端的安全分析和网络攻防技术已相对成熟,成为车联网网络攻击事件日益多发的诱因。一方面,移动App已成为当前车联网的标配,但由于车联网的移动APP易于获取,攻击者可以通过对应用进行调试或者反编译,破解通信密钥或者分析通信协议,并借助车联网的远程锁定、开启天窗等远程控制功能来干扰用户的使用。另一方面,移动智能终端系统存在的安全风险也间接影响着车联网的安全。攻击者可以通过WiFi、蓝牙等无线通信方式直接连接车载娱乐系统,对IVI操作系统进行攻击,并通过渗透攻击智能网联汽车的控制部件。此外,移动App可能存储有车联网云平台的账户、密码等信息,若被攻击者控制可获取账户密码,通过云平台来控制影响联网汽车的安全。

(三)通信网络安全风险

伴随车联网无线通信和接口技术的广泛应用,车联网无线通信安全问题集中两大方面:

1、无线直连车联网(V2X)通信网络安全风险。车联网通信网络安全主要包括车载蜂窝通信网络4G/5G、LTE-V2X和802.11p无线直连通信网络等安全。其风险包括:一是资源授权受限,恶意节点可能同时请求占用无线资源,从而导致合法的车辆节点无法进行通信。二是通信环境安全威胁,通过控制环境信息,向车辆节点或行人节点发送错误的V2X消息,或者通过控制V2X实体上的数据处理使V2X实体发送错误的V2X消息,误导周边的V2X实体做出错误的行为,进而可能发生交通事故。此外,无线直连V2X通信网络还存在其他的安全隐患,如以车际通信为例,不仅涉及到无线通信领域的信号窃取、信号干扰等固有问题,也不能忽视恶意行为人对车间通信的安全性影响。

2、公众通信网络安全风险。车联网信息服务中应用的公众通信网络主要包括蜂窝移动通信网络、WIFI通信、卫星通信等。主要风险如下:一是认证安全,公众通信网络未验证发送者的身份信息,存在伪造身份、动态劫持等风险。二是传输安全,车辆信息没有加密或加密强度弱,或所有车型都使用相同的对称密钥,进而导致密钥信息暴露。三是协议安全,公众通信网络还面临协议伪装等风险。特别是在自动驾驶情况下,汽车根据V2X通信内容判断行驶路线,攻击者就有可能利用伪造消息来诱导车辆发生误判,进而影响车辆自动控制,导致交通事故的发生。

(四)信息服务平台安全风险

车联网信息服务平台是提供车辆管理与信息内容服务的云端平台,负责车辆及相关设备信息的汇聚、计算、监控和管理,提供智能交通管控、远程诊断、电子呼叫中心、道路救援等车辆管理服务,以及天气预报、信息资讯等内容服务。其安全风险主要表现在:一是服务平台面临传统的云平台安全问题。在平台层和应用层都可能存在安全漏洞,使得攻击者利用Web漏洞、数据库漏洞、接口API安全注入漏洞等攻击云平台,窃取敏感信息,以及面临拒绝服务攻击等问题。二是车联网管理平台公网暴露问题。当前与车辆通信,普遍采用车机编码或固定凭证等认证方式,安全认证机制较弱。

(五)数据安全风险

数据安全是车联网面临的主要安全问题之一,车联网数据安全保护需要解决的关键问题包括:一是对数据的访问控制和认知问题;二是数据在共享过程中的信任问题;三是数据共享过程中的安全保护问题;四是车厂和信息服务提供商等数据汇聚的过程中,数据中心的数据存储安全问题;五是数据采集、共享过程中涉及的隐私问题。

三 车联网网络安全防护关键技术发展建议

车联网网络安全防护的关键技术,主要包括智能网联汽车、移动终端、通信网络、信息服务平台和数据安全等五大方面。

(一)智能网联汽车安全技术

1、汽车总线安全技术。目前,主要通过安全加密、异常检测和安全域划分等技术来保证CAN总线安全。具体而言:一是安全加密,通过CAN加密来避免消息被没有解密密钥的节点读取帧内容,但存在的问题是足够有效的加密解密算法需要一定的计算能力,非常消耗时间和资源,对于车辆这种实时系统难以直接应用。现有解决办法是,在ECU中增加硬件安全模块使车内以密文通信。二是异常探测,旨在监控ECU之间数据传输来保证其合理性,异常探测常见的方案包括:使用模块探测,使用二进制污染工具来标注数,建立一个系统实现每条总线上的每个帧ID对应一个ECU,以及部署使用入侵检测系统等。三是安全域划分,即为车内所有CAN子网设置中心网关,将汽车内网划分为动力、舒适娱乐、故障诊断等不同的安全域,将高危要素集中到独立的“局域安全总线”,定义清晰的安全域边界,并在边界部署安全措施,通过安全网关保障动力总线与其他区域的安全通信。

2、ECU安全技术。对于ECU的安全,主要有通过软件和硬件两种方式来提升安全等级。在硬件安全方面,通过增加硬件安全模块,将加密算法、访问控制、完整性检查等功能嵌入到ECU控制系统,以加强ECU的安全性,提升安全级别,具体可包括安全引导、安全调试、安全通信、安全存储、完整性监测、信道防护、硬件快速加密、设备识别、消息认证、执行隔离等功能。在软件安全方面,软件安全防护主要保护ECU软件的完整性,保证汽车关键软件不被攻击所影响。

3、可信操作系统安全。为防止永恒之蓝等类似安全事件在车载系统上发生,需要建立可信车载操作系统。操作系统安全的核心目标是实现操作系统对系统资源调用的监控、保护、提醒,确保涉及安全的系统行为总是处于受控状态下。除收集所选操作系统版本的已知漏洞列表外,还应定期更新漏洞列表,同时确保第一时间发现、解决并更新所有的已知漏洞。同时,为保证操作系统的健壮性,要保证操作系统源代码安全,可通过对操作系统源代码静态审计,快速发现代码的潜在BUG以及安全漏洞,及时修正BUG和漏洞。此外,还需要加强操作系统的自身升级更新的受控性,以及确保操作系统中所有文件、通信、数据之间交互行为的可控和客观,监控全部应用、进程对所有资源的访问并进行必要的访问控制。

4、OTA安全技术。智能网联汽车在升级过程中需要建立安全升级机制,可通过数字签名和认证机制等确保增量升级包的完整性和合法性,同时按照时间、地区、设备数量等信息动态调整升级策略。在增量升级包传输过程中,通过通信加密保证整个升级包的传输安全,避免升级包被截获或者遭受中间人攻击等导致升级失败。另外,在ECU升级过程中,还应进行安全监控,以监控升级进程,确保ECU升级后能够正常工作。同时需要具备相应的固件回滚机制,保证即使升级失败后ECU也可恢复到原来状态。车载终端对更新请求应具备自我检查能力,车载操作系统在更新时,应对设备端合法性进行认证,车载操作系统在更新自身分区时,或向其他设备传输更新文件和更新命令时,要能够及时声明自己身份和权限。同时,升级操作应能正确验证服务器身份,识别出伪造服务器,或者高风险链接链路。升级包在传输过程中,应借助报文签名和加密等措施防篡改、防伪造。

(二)移动终端安全技术

车联网移动终端的安全防护,应注重内部加固和外部防御相结合,重点加强APP防护和数据安全保护。一是关注应用软件安全防护,保证终端应用软件在运行中的安全,防止黑客的入侵,确保终端应用业务流的安全,尽快部署安全加固软件,以有效降低安全更新服务所带来的重大安全风险。二是加强操作系统安全防护。对终端进行各种操作的审计和管控,采取如软件管理、白名单技术等安全机制,进行终端操作系统漏洞检测,以实施终端恶意代码防护。采取恶意代码采集、查杀和防御技术,进行终端操作系统安全加固。三是加强硬件芯片安全防护。采取终端硬件芯片可信技术,确保可信根不能被非授权使用。同时,进行端硬件的虚拟化,以降低终端硬件带来的风险,实现容灾备份与快速恢复。

(三)通信网络安全技术

车联网的通信场景具有联网汽车高速移动、网络种类多样、网络拓扑结构复杂等特点。在网络传输安全方面,一是要采取网络加密技术,进行网络协议加密、网络接口层加密,在网络加密结构设计中采取密码体系并选用合适密钥。二是要建设可信的通信环境,通过建设可信平台环境,为通信传输安全提供保证,从根本上阻止网络攻击,提高数据传输可信度,并在传输网络中配置防火墙以保证传输信息可信。三是基于分级保护设计和实施相应技术方案,加强内部控制和安全保密管理,采取传输信息安全保护策略。

在通信网络边界安全方面,可采取三类车联网网络边界安全技术。一是分段隔离技术。不同网段(车内网、车车通信、车云通信等)实施边界控制(如白名单、数据流向、数据内容等),对车辆控制总线相关的数据进行安全控制和安全监测,对关键网络边界设备进行边界防护,如对中央网关等设备部署入侵检测系统等措施。二是鉴权认证技术,对接入车联网的终端设备(接入汽车的外部设备、移动终端设备等),加强鉴权认证,确保设备可信,避免未经认证的设备接入网络。三是车云通信双向认证技术。在车云通信场景下,除了采取安全接入方式,还应针对业务内容,划分不同的安全通信子系统,对关键业务系统采取认证机制,实现车、云的双向认证,确保访问的合法性。

(四)信息服务平台安全技术

当前车联网信息服务平台均采用云计算技术,平台功能逐步强化,对智能网联汽车安全管理的强化措施可包括:一是设立云端安全检测服务,通过分析云端交互数据及车端日志数据,检测车载终端是否存在异常行为以及隐私数据是否泄露。二是完善远程OTA更新功能,加强更新校验和签名认证,适配固件更新(FOTA)和软件更新(SOTA),在发现安全漏洞时快速更新系统,大幅降低召回成本和漏洞的暴露时间;三是建立车联网证书管理机制,用于智能网联汽车和用户身份验证,为用户加密密钥和登录凭证提供安全管理;四是开展威胁情报共享,在整车厂商、信息服务提供商及政府机构之间进行安全信息共享,并进行软件升级和漏洞修复。

(五)数据安全保护技术

一是数据分类。基于数据分类分级保护需求,建立车联网数据保护安全规范。根据车联网信息服务相关的数据信息按照数据的属性或特征,可以分为五大类:属性类数据、行为类数据、车况类数据、环境类数据和用户个人数据。其中,属性类数据是指车联网信息服务相关主体的属性数据信息,可细分为车辆属性数据和移动终端属性数据两类。行为类数据是指与车辆驾驶行为、操控行为等相关的数据,细分为车辆行为数据、操控行为数据两类。车况类数据是指与车辆运行状态相关的数据,包括但不限于动力系统、底盘系统、车身系统、舒适系统、电子电气等相关的数据。环境类数据主要是与车辆所处环境相关的数据,可细分为车辆外部环境数据、车辆内部环境数据两类。用户个人数据是指车联网信息服务过程中所采集、使用和(或)产生的用户相关数据信息,包含用户基本信息、车辆及车主信息、个人位置信息、身份鉴权信息、个人生物识别信息、通信交互信息、金融支付信息、日志记录信息和其他信息等。

二是数据安全等级划分。在进行数据安全等级划分之前,应先将数据进行重要性分级。依据车联网信息服务数据的安全目标、车联网数据的重要性,以及可能发生的安全事件的影响范围和严重程度,对车联网信息服务相关的数据进行分级,并按照数据的分类分级实施安全保护。可将车联网信息服务数据划分为一般数据、重要数据和敏感数据,并分为基本级和增强级两个等级进行安全防护。基本级规定车联网信息服务数据安全保护的基本技术要求,包含基本级应支持的安全能力集合,车联网信息服务的一般数据将按照基本级要求实施保护。增强级规定在车联网信息服务数据安全保护应满足基本级要求以外,还应满足的增强类安全技术要求,包含增强级应支持的安全能力集合,车联网信息服务的重要数据和敏感数据将按增强级实施安全保护。

(作者:中国信息通信研究院安全研究所 孙娅苹 原文内容节选)

声明:本文来自互联网新技术新业务安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。