姜　建　中國(guó)信息通信研究院安全研究所工程師盧　丹　中國(guó)信息通信研究院安全研究所工程師

車聯(lián)網(wǎng)架構(gòu)與安全問(wèn)題分析

姜建中國(guó)信息通信研究院安全研究所工程師
盧丹中國(guó)信息通信研究院安全研究所工程師

隨著移動(dòng)通信的快速發(fā)展，以及車聯(lián)網(wǎng)應(yīng)用的全面普及，車聯(lián)網(wǎng)的建設(shè)與發(fā)展必然受到安全因素的制約，因此車聯(lián)網(wǎng)安全問(wèn)題備受關(guān)注。本文從車聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)和產(chǎn)業(yè)現(xiàn)狀入手，結(jié)合車聯(lián)網(wǎng)的典型安全案例，對(duì)車聯(lián)網(wǎng)安全問(wèn)題進(jìn)行了分析研究，并針對(duì)所面臨的安全問(wèn)題，簡(jiǎn)要提出應(yīng)對(duì)措施。

車聯(lián)網(wǎng)；網(wǎng)絡(luò)架構(gòu)；安全問(wèn)題；應(yīng)對(duì)措施

1　引言

隨著移動(dòng)通信的快速發(fā)展，以及車聯(lián)網(wǎng)應(yīng)用的全面普及，車聯(lián)網(wǎng)的建設(shè)與發(fā)展必然受到安全因素的制約，因此車聯(lián)網(wǎng)安全問(wèn)題備受關(guān)注。本文從車聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)和產(chǎn)業(yè)現(xiàn)狀入手，結(jié)合車聯(lián)網(wǎng)的典型安全案例，對(duì)車聯(lián)網(wǎng)安全問(wèn)題進(jìn)行了分析研究，并針對(duì)所面臨的安全問(wèn)題，簡(jiǎn)要提出應(yīng)對(duì)措施。

2　車聯(lián)網(wǎng)概念

車聯(lián)網(wǎng)是指借助在車輛上的傳感設(shè)備、車載設(shè)備和通信模塊，通過(guò)移動(dòng)通信技術(shù)、汽車導(dǎo)航系統(tǒng)、智能終端設(shè)備與信息網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)車與路、車與車、車與人以及車與應(yīng)用平臺(tái)的全面網(wǎng)絡(luò)連接，并且通過(guò)業(yè)務(wù)平臺(tái)對(duì)信息進(jìn)行分析、處理和挖掘，實(shí)現(xiàn)更加豐富、舒適、安全、高效的車輛運(yùn)行和綜合信息服務(wù)。

車聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、智能交通系統(tǒng)是物聯(lián)網(wǎng)智能汽車領(lǐng)域備受關(guān)注的3個(gè)概念。其中，車聯(lián)網(wǎng)側(cè)重于信息的聯(lián)網(wǎng)、交互和開(kāi)放服務(wù)；智能網(wǎng)聯(lián)汽車主要從汽車行業(yè)的角度強(qiáng)調(diào)智能、聯(lián)網(wǎng)；智能交通系統(tǒng)則側(cè)重于交通流量、交通運(yùn)輸?shù)墓芾砗捅O(jiān)管。但是，3個(gè)概念又有一定的交疊性，車聯(lián)網(wǎng)是智能網(wǎng)聯(lián)汽車的重要載體，唯有充分利用互聯(lián)技術(shù)上的信息實(shí)時(shí)交互、大數(shù)據(jù)分析和云計(jì)算，才能充分保障汽車的智能；智能網(wǎng)聯(lián)汽車是智能交通系統(tǒng)中與車聯(lián)網(wǎng)交集的汽車產(chǎn)品，是車聯(lián)網(wǎng)不可或缺的組成部分，智能網(wǎng)聯(lián)汽車的技術(shù)進(jìn)步和產(chǎn)業(yè)發(fā)展也有利于支撐車聯(lián)網(wǎng)的發(fā)展；而車聯(lián)網(wǎng)發(fā)展將大幅提升汽車安全和交通安全，對(duì)汽車和交通運(yùn)輸?shù)榷鄠€(gè)行業(yè)的生產(chǎn)方式和產(chǎn)業(yè)分工產(chǎn)生深遠(yuǎn)影響。

總體來(lái)說(shuō)，車聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、智能交通系統(tǒng)3個(gè)概念盡管是從不同的行業(yè)背景提出，但相關(guān)政策是聯(lián)合推動(dòng)的；關(guān)鍵技術(shù)是共性存在的；產(chǎn)業(yè)是區(qū)分主導(dǎo)力量、相互之間互相滲透的；應(yīng)用是面向不同用戶群體和需求的。因此，3個(gè)概念的最終目的和技術(shù)內(nèi)涵是一致的，很多時(shí)候三者的分界線并不是十分清晰，也經(jīng)常會(huì)混用。

3　車聯(lián)網(wǎng)架構(gòu)

根據(jù)車聯(lián)網(wǎng)的概念可知，車聯(lián)網(wǎng)由感知層、網(wǎng)絡(luò)層和應(yīng)用層組成，具體參見(jiàn)圖1。

●感知層

負(fù)責(zé)采集與獲取車輛的智能信息，感知行車狀態(tài)與環(huán)境等。感知層的設(shè)備包括車載終端設(shè)備和路邊設(shè)施。其中，車載終端設(shè)備包括車身傳感器和安裝在車輛上的電子識(shí)別設(shè)備等，負(fù)責(zé)與其他車載終端設(shè)備、用戶設(shè)備、路邊設(shè)施以及應(yīng)用層系統(tǒng)進(jìn)行通信；路邊設(shè)施包括路側(cè)單元、讀卡器、交通設(shè)施等，負(fù)責(zé)采集和分析交通信息，向車載終端設(shè)備提供交通信息、商務(wù)信息、娛樂(lè)信息等。

●網(wǎng)絡(luò)層

負(fù)責(zé)車與路、車與車、車與人、車與應(yīng)用平臺(tái)的互聯(lián)互通，包括公共電信網(wǎng)、互聯(lián)網(wǎng)、短距離無(wú)線通信、行業(yè)專網(wǎng)等，實(shí)現(xiàn)數(shù)據(jù)的有效傳送。

●應(yīng)用層

負(fù)責(zé)車輛信息的匯聚、計(jì)算、管理等，主要提供交通信息服務(wù)、車輛管理、緊急救援、娛樂(lè)信息服務(wù)等提高交通效率、行車安全及用戶便利類應(yīng)用。

圖1　車聯(lián)網(wǎng)架構(gòu)

4　車聯(lián)網(wǎng)發(fā)展趨勢(shì)和產(chǎn)業(yè)規(guī)模

目前，車聯(lián)網(wǎng)在全球市場(chǎng)已具備一定的規(guī)模，且正處于快速上升期。據(jù)GSMA提供的數(shù)據(jù)，2014年全球車聯(lián)網(wǎng)市場(chǎng)規(guī)模約200億歐元，在未來(lái)5年內(nèi)，全球車聯(lián)網(wǎng)市場(chǎng)規(guī)模將達(dá)到390億歐元。全球主要的車聯(lián)網(wǎng)產(chǎn)品包括通用OnStar、豐田G-Book、寶馬互聯(lián)駕駛等，其中日本的車聯(lián)網(wǎng)市場(chǎng)以豐田G-Book、本田Internavi為主，美國(guó)車聯(lián)網(wǎng)市場(chǎng)由通用OnStar占據(jù)主要份額。

車聯(lián)網(wǎng)平臺(tái)的跨行業(yè)特征明顯，涉及到芯片設(shè)備廠商、汽車廠商、交管部門、網(wǎng)絡(luò)運(yùn)營(yíng)商、第三方業(yè)務(wù)提供商等多個(gè)產(chǎn)業(yè)鏈相關(guān)主體。按產(chǎn)業(yè)鏈上相關(guān)主體的主導(dǎo)力量劃分，包含4種比較成熟的平臺(tái)建設(shè)商業(yè)模式：汽車廠商主導(dǎo)、電信運(yùn)營(yíng)商主導(dǎo)、第三方主導(dǎo)和政府及行業(yè)主管部門主導(dǎo)。目前，在車聯(lián)網(wǎng)市場(chǎng)，由汽車廠商主導(dǎo)的車聯(lián)網(wǎng)應(yīng)用占據(jù)主導(dǎo)地位；運(yùn)營(yíng)商和第三方主導(dǎo)的車聯(lián)網(wǎng)應(yīng)用起步較晚，以用戶需求為依托，正在積極搶占車聯(lián)網(wǎng)市場(chǎng)；以政府及行業(yè)主管部門主導(dǎo)的車聯(lián)網(wǎng)應(yīng)用以提升交通安全和交通效率為出發(fā)點(diǎn)，主要負(fù)責(zé)建立全國(guó)范圍的交通導(dǎo)航服務(wù)，目前也正逐漸占據(jù)少量市場(chǎng)。

截至2015年7月，國(guó)內(nèi)車聯(lián)網(wǎng)用戶量已達(dá)到365萬(wàn)，其中排名前五的車企分別為上汽通用累計(jì)200萬(wàn)、寶馬39.5萬(wàn)、長(zhǎng)安33.3萬(wàn)、豐田25萬(wàn)、上汽20萬(wàn)，并且均保持較快的增長(zhǎng)速度，我國(guó)車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的主要特征包括：

（1）國(guó)際性的大型車企（通用、寶馬、戴姆勒）都在大力推廣車聯(lián)網(wǎng)，發(fā)展速度很快，且車聯(lián)網(wǎng)作為標(biāo)配已成為趨勢(shì)。

通用汽車預(yù)計(jì)到2020年將實(shí)現(xiàn)所有車型全部裝配車聯(lián)網(wǎng)應(yīng)用，目前通用在國(guó)內(nèi)銷售的汽車在按照每年大約200萬(wàn)的速度增長(zhǎng)；而寶馬計(jì)劃在2015年年底將所有車型全部裝配車聯(lián)網(wǎng)應(yīng)用，沃爾沃目前全部車型100%配備車聯(lián)網(wǎng)應(yīng)用。大部分國(guó)際車企都是從進(jìn)口高端車開(kāi)始裝配，并逐步擴(kuò)展到成為國(guó)產(chǎn)車的普遍配備。

（2）國(guó)內(nèi)龍頭車企正在加力發(fā)展車聯(lián)網(wǎng)，國(guó)產(chǎn)車輛的配備率也在不斷增加。

國(guó)產(chǎn)車輛中長(zhǎng)安的車聯(lián)網(wǎng)用戶數(shù)最多，目前已有33.3萬(wàn)；宇通客車的配備率達(dá)50%，配備率最高；吉利正在以每月2000左右的數(shù)量增長(zhǎng)，增長(zhǎng)速度較快。

5　車聯(lián)網(wǎng)引發(fā)的安全問(wèn)題分析

車聯(lián)網(wǎng)在帶給人們便捷的同時(shí)，安全問(wèn)題也隨之而來(lái)。與其他信息系統(tǒng)一樣，車聯(lián)網(wǎng)的安全威脅同樣包括拒絕服務(wù)、信息泄露、篡改、重放攻擊、假冒身份和否認(rèn)操作六大類。其中，典型的安全問(wèn)題包括：

（1）身份認(rèn)證功能不足，導(dǎo)致車聯(lián)網(wǎng)的遠(yuǎn)程控制功能極易被操控

多家車企提供了用戶可以遠(yuǎn)程控制車輛的功能，包括啟動(dòng)發(fā)動(dòng)機(jī)、開(kāi)啟空調(diào)、制動(dòng)汽車等，但該功能并沒(méi)有良好的安全防護(hù)能力。2015年7月，兩名美國(guó)黑客通過(guò)網(wǎng)絡(luò)攻破Jeep自由光的Uconnect車聯(lián)網(wǎng)系統(tǒng)，通過(guò)入侵集成在娛樂(lè)系統(tǒng)芯片上的無(wú)線通信模塊漏洞，遠(yuǎn)程控制了汽車，可以實(shí)現(xiàn)車輛的減速、關(guān)閉發(fā)動(dòng)機(jī)等，甚至讓汽車的制動(dòng)失靈。這件事直接導(dǎo)致菲亞特-克萊斯勒集團(tuán)被迫召回約140萬(wàn)輛汽車。部分研究者在此事件之后也對(duì)當(dāng)前汽車的CAN總線技術(shù)產(chǎn)生了質(zhì)疑，CAN總線技術(shù)在設(shè)計(jì)之初并沒(méi)有考慮通信安全問(wèn)題，在訪問(wèn)CAN總線時(shí)，完全無(wú)需身份驗(yàn)證，因此一旦黑客通過(guò)網(wǎng)絡(luò)攻入后，無(wú)需取得權(quán)限即可控制汽車。由此可見(jiàn)，車聯(lián)網(wǎng)系統(tǒng)中的身份認(rèn)證功能不足，不僅使得黑客通過(guò)網(wǎng)絡(luò)侵入到系統(tǒng)，同時(shí)CAN總線的身份認(rèn)證缺失，又進(jìn)一步導(dǎo)致了黑客的非法操控。

（2）APP與平臺(tái)之間的空口傳輸信令，極易被攔截、竊聽(tīng)或篡改

2015年8月，黑客再次宣布攻破了通用公司的安吉星車聯(lián)網(wǎng)信息系統(tǒng)。通過(guò)攔截安吉星RemoteLink APP與安吉星服務(wù)端之間的通信，獲取到服務(wù)器返回的定位信息，實(shí)現(xiàn)了對(duì)車輛的控制。車聯(lián)網(wǎng)提供的APP功能，在方便用戶操作的同時(shí)，也由于空口控制信令安全措施的缺失，使得控制信令被攔截或竊聽(tīng)，入侵者甚至可以冒用身份發(fā)送錯(cuò)誤的信令來(lái)進(jìn)行查詢或操作。

（3）數(shù)據(jù)存儲(chǔ)與管理不善，造成敏感信息或個(gè)人信息泄露

車聯(lián)網(wǎng)系統(tǒng)一般會(huì)在后臺(tái)存儲(chǔ)車輛的位置信息或行車軌跡，或是通過(guò)網(wǎng)頁(yè)提供用戶注冊(cè)、查詢功能。但由于車聯(lián)網(wǎng)平臺(tái)的自身漏洞，極易造成這些個(gè)人信息的泄露。例如，凱迪拉克出現(xiàn)的弱口令、寶馬數(shù)據(jù)庫(kù)出現(xiàn)的注冊(cè)漏洞和奔馳越權(quán)漏洞等，部分黑客通過(guò)網(wǎng)絡(luò)可以直接獲取車主姓名、手機(jī)號(hào)碼、意向購(gòu)車型號(hào)等信息，并在網(wǎng)上兜售。此外，車聯(lián)網(wǎng)還缺乏數(shù)據(jù)流動(dòng)管理政策，存在非法跨境流動(dòng)的風(fēng)險(xiǎn)。

（4）車聯(lián)網(wǎng)組成系統(tǒng)復(fù)雜，安全風(fēng)險(xiǎn)難以防控

車聯(lián)網(wǎng)系統(tǒng)是由平臺(tái)、網(wǎng)絡(luò)、車載和路面終端等多個(gè)子系統(tǒng)組成，在平臺(tái)層還與多個(gè)APP服務(wù)商的子系統(tǒng)連接，因此任何一個(gè)子系統(tǒng)的安全漏洞，都可能會(huì)造成車聯(lián)網(wǎng)系統(tǒng)的安全風(fēng)險(xiǎn)。同時(shí)，部分車企將車聯(lián)網(wǎng)平臺(tái)外包給第三方公司進(jìn)行開(kāi)發(fā)和維護(hù)，安全評(píng)估不足、安全風(fēng)險(xiǎn)難以防控。

6　車聯(lián)網(wǎng)安全工作建議

為了應(yīng)對(duì)車聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)，需要采取相應(yīng)的安全措施，包括加密、身份認(rèn)證、完整性保護(hù)等。盡管部分車企在車聯(lián)網(wǎng)系統(tǒng)中也采取了一些安全防護(hù)措施，但整體的防護(hù)能力仍然“滯后”，相應(yīng)的防護(hù)能力亟待提升，建議盡快開(kāi)展如下工作：

（1）加強(qiáng)頂層設(shè)計(jì)，從應(yīng)用層、網(wǎng)絡(luò)層和感知層協(xié)同建立安全防護(hù)體系

車聯(lián)網(wǎng)是一個(gè)綜合的信息系統(tǒng)，應(yīng)該加強(qiáng)頂層設(shè)計(jì)，從整體上確定各層的安全防護(hù)機(jī)制，從而形成多級(jí)、多層次的安全防護(hù)系統(tǒng)，以應(yīng)對(duì)各種安全攻擊。

（2）應(yīng)用層應(yīng)加強(qiáng)平臺(tái)操作的管理，明確各子系統(tǒng)的互操作界面

應(yīng)用層是車聯(lián)網(wǎng)信息匯聚、處理、轉(zhuǎn)發(fā)的平臺(tái)，各子系統(tǒng)需要通過(guò)平臺(tái)進(jìn)行互操作。為了保障平臺(tái)安全，應(yīng)對(duì)身份進(jìn)行雙向認(rèn)證，僅允許授權(quán)用戶接入。同時(shí)對(duì)操作用戶增加權(quán)限管理，開(kāi)設(shè)不同的操作權(quán)限。此外還應(yīng)明確接入子系統(tǒng)的互操作界面（如地圖、導(dǎo)航等）僅能從平臺(tái)接收請(qǐng)求，不能非法獲取其他數(shù)據(jù)。

（3）網(wǎng)絡(luò)層應(yīng)增強(qiáng)空口傳輸?shù)陌踩浴?/p>

盡管無(wú)線通信網(wǎng)絡(luò)已具備了相應(yīng)的安全機(jī)制，但為了保證關(guān)鍵指令或用戶數(shù)據(jù)的安全，可以對(duì)這些信息進(jìn)行加密傳輸，或通過(guò)IPSec、SSL協(xié)議建立一定的安全通道，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?。此外，還應(yīng)增加完整性保護(hù)、計(jì)數(shù)器等來(lái)防止重放攻擊或數(shù)據(jù)篡改。

（4）感知層應(yīng)明確數(shù)據(jù)采集范圍，增強(qiáng)終端的安全性

車聯(lián)網(wǎng)系統(tǒng)應(yīng)該明確數(shù)據(jù)采集的范圍，并對(duì)記錄敏感數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化處理；同時(shí)，對(duì)于車載終端，在其進(jìn)行涉及車輛安全的操作前應(yīng)進(jìn)行確認(rèn)，保證該操作指令是正確且為授權(quán)用戶發(fā)出的。此外，應(yīng)增強(qiáng)車載終端、手機(jī)終端等車聯(lián)網(wǎng)系統(tǒng)內(nèi)的終端設(shè)備的安全防護(hù)能力，確保登陸密碼、認(rèn)證證書(shū)等信息的終端存儲(chǔ)安全性。

（5）界定車聯(lián)網(wǎng)后臺(tái)中的敏感數(shù)據(jù)，分級(jí)、分類管理，明確安全責(zé)任

車聯(lián)網(wǎng)后臺(tái)數(shù)據(jù)庫(kù)會(huì)存儲(chǔ)用戶個(gè)人資料、歷史采集數(shù)據(jù)等，應(yīng)對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行分級(jí)、分類的管理策略，提升信息安全保障能力，并明確用戶信息管理的責(zé)任主體。

（6）加大產(chǎn)業(yè)扶持力度，推動(dòng)我國(guó)安全可控的平臺(tái)和終端技術(shù)研發(fā)

加大對(duì)我國(guó)車聯(lián)網(wǎng)平臺(tái)、終端企業(yè)的支持，研究安全可控的防護(hù)技術(shù)，提高車聯(lián)網(wǎng)的國(guó)產(chǎn)和自主化能力。

7　結(jié)束語(yǔ)

繼互聯(lián)網(wǎng)、物聯(lián)網(wǎng)之后，車聯(lián)網(wǎng)又將成為未來(lái)智慧城市的另一個(gè)主要標(biāo)志。車聯(lián)網(wǎng)在改善人們生活、增加出行便利性的同時(shí)，也會(huì)帶來(lái)許多安全威脅（如拒絕服務(wù)、信息泄露、篡改、重放攻擊、假冒身份和否認(rèn)操作），嚴(yán)重影響人們的人身和信息安全。應(yīng)當(dāng)把握當(dāng)前萬(wàn)物互聯(lián)的發(fā)展趨勢(shì)，在研究車聯(lián)網(wǎng)發(fā)展趨勢(shì)和核心技術(shù)的同時(shí)，注重車聯(lián)網(wǎng)環(huán)境下的安全防護(hù)建設(shè)，進(jìn)而保證未來(lái)車聯(lián)網(wǎng)的健康有序發(fā)展。

［1］姜竹勝，湯新寧，陳效華.車聯(lián)網(wǎng)架構(gòu)分析及其在智能交通系統(tǒng)中的應(yīng)用［J］.物聯(lián)網(wǎng)技術(shù)，2012（11）：39-41+46.

［2］王建強(qiáng)，吳辰文，李曉軍.車聯(lián)網(wǎng)架構(gòu)與關(guān)鍵技術(shù)研究［J］.微計(jì)算機(jī)信息，2011，04（27）：156-158+130.

［3］唐紅杰.車聯(lián)網(wǎng)系統(tǒng)架構(gòu)及關(guān)鍵技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（9）：42-43.

［4］王群，錢煥延.車聯(lián)網(wǎng)體系結(jié)構(gòu)及感知層關(guān)鍵技術(shù)研究［J］.電信科學(xué)，2012，12：1-9.

［5］程剛，郭達(dá).車聯(lián)網(wǎng)現(xiàn)狀與發(fā)展研究［J］.移動(dòng)通信，2011，17：23-26.

Analysis on the Architecture and Security Problems of IoV

Jiang Jian，LuDan

With the rapid development of mobile communication，and the comprehensive popularization of Internet of Vehicles（IoV），the construction and development of IoV will be limited by security threatens definitely.Therefore，security problems attract attentions from all the world.This paper will start with the network architecture and industry status，and then analyze the security problems of IoV combines with its security cases.Finally，some strategy solutions w ill be given for IoV security issues.

Internet of Vehicles；network architecture；security problem s；strategy solutions

2015-12-16）