1 引言

隨著進(jìn)入物聯(lián)網(wǎng)的時(shí)代，關(guān)于網(wǎng)絡(luò)安全的問(wèn)題就越來(lái)越多地進(jìn)入我們的視野，某些互聯(lián)網(wǎng)設(shè)備的安全性要求并不高，如家庭智能凈水器、智能空調(diào)等，這種設(shè)備同安全性、隱私性并不發(fā)生直接聯(lián)系。但是某些物聯(lián)網(wǎng)設(shè)備則需要非常完善的安全性保護(hù)，如智能攝像頭、智能手機(jī)以及智能網(wǎng)聯(lián)汽車等（見(jiàn)圖1）。

2 車輛T-BOX系統(tǒng)安全測(cè)試和評(píng)價(jià)

圖1 需要非常完善的安全性保護(hù)

智能攝像頭如果被攻擊破解并且挾持，則會(huì)產(chǎn)生智能攝像頭數(shù)據(jù)泄露，嚴(yán)重威脅個(gè)人和企業(yè)的隱私以及信息安全；智能手機(jī)如果存在安全威脅，則會(huì)產(chǎn)生個(gè)人信息泄露、金融交易風(fēng)險(xiǎn)以及隱私泄露的嚴(yán)重威脅；汽車由于其特殊性，除了產(chǎn)生個(gè)人隱私泄露的風(fēng)險(xiǎn)外，還可能產(chǎn)生人身安全威脅。2015年，吉普自有光汽車曾被白帽黑客破解，由此產(chǎn)生高達(dá)上億美元的經(jīng)濟(jì)損失，因此對(duì)于汽車的信息安全測(cè)試則更加重要。

傳統(tǒng)的汽車類似于一個(gè)孤島，物理上同外界隔離，傳統(tǒng)的汽車安全指的是汽車本身的安全性以及E-Call這種緊急救援服務(wù)。但是隨著汽車進(jìn)入智能化時(shí)代，新型的智能網(wǎng)聯(lián)汽車則面臨著更多的信息安全問(wèn)題，可以說(shuō)汽車越智能，連接越多，就會(huì)產(chǎn)生更多的攻擊維度，安全問(wèn)題越需要重視。

如果從產(chǎn)生信息安全的各個(gè)節(jié)點(diǎn)來(lái)考慮，汽車的信息安全可以從幾個(gè)節(jié)點(diǎn)來(lái)進(jìn)行描述。

圖2例舉了整個(gè)T-BOX的工作流程。例如，車主希望能夠通過(guò)手機(jī)中的APP查詢到車輛當(dāng)前的位置信息以及車輛當(dāng)前的充電狀態(tài)。車輛實(shí)時(shí)通過(guò)衛(wèi)星獲得GPS信息，并且通過(guò)ECU將充電狀態(tài)通過(guò)CAN總線傳遞給T-BOX的上層處理器，T-BOX通過(guò)蜂窩移動(dòng)基站將這些信息傳遞給云平臺(tái)，如阿里云或亞馬遜云等，TSP增值服務(wù)商通過(guò)云平臺(tái)獲取數(shù)據(jù)，并通過(guò)無(wú)線基站再次將數(shù)據(jù)傳遞給車主的手機(jī)APP中。

圖2 T-BOX的工作流程

汽車安全包括以下幾個(gè)方面：

（1）智能網(wǎng)聯(lián)汽車安全：主要包括兩個(gè)方面，一個(gè)是CAN總線安全，CAN總線相當(dāng)于汽車的神經(jīng)網(wǎng)絡(luò)，連接著汽車的電子控制單元ECU，目前一般一部汽車大概有50個(gè)以上的ECU，如故障診斷、儀表顯示、安全氣囊等重要ECU。理論上，可以通過(guò)CAN總線控制車載任意的ECU；此外，OBD接口也是對(duì)CAN攻擊的一個(gè)重要途徑，因?yàn)镺BD接口理論上是唯一的一個(gè)ECU同外部通信的接口。另外一個(gè)是車載OS安全，車載OS的安全相當(dāng)于電腦操作系統(tǒng)的安全。

（2）IVI安全：IVI是采用車載專用中央處理器，基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務(wù)，形成的車載綜合信息娛樂(lè)系統(tǒng)。IVI能夠?qū)崿F(xiàn)三維導(dǎo)航、路況、輔助駕駛、故障檢測(cè)、車身控制、無(wú)線通訊、在線娛樂(lè)以及TSP服務(wù)等，正因?yàn)槿绱?，IVI也面臨著非常多的威脅。對(duì)IVI的攻擊可以分為硬件攻擊和軟件攻擊，其中硬件攻擊需要將硬件拆掉，從硬件獲得權(quán)限進(jìn)行攻擊，軟件攻擊包括無(wú)線注入以及軟件升級(jí)攻擊兩個(gè)大的方向。例如，F(xiàn)w升級(jí)問(wèn)題，在升級(jí)版本的過(guò)程中可能遇到安全問(wèn)題，這種問(wèn)題一般通過(guò)F-OTA來(lái)解決。車載IVI系統(tǒng)中的無(wú)線連接技術(shù)，如Bluetooth、WLAN技術(shù)也是潛在的攻擊途徑。

（3）T-BOX安全：狹義上可以認(rèn)為是T-BOX的調(diào)試接口、MCU、總線數(shù)據(jù)的安全。

（4）車聯(lián)網(wǎng)通信安全：可以將車聯(lián)網(wǎng)通信安全認(rèn)為是廣義的T-BOX安全，廣義的T-BOX安全代表終端在整個(gè)T-BOX的應(yīng)用過(guò)程中所產(chǎn)生的安全性問(wèn)題，包括終端安全、終端的APP行為安全、傳輸過(guò)程中數(shù)據(jù)的完整性以及加密方案是否完備。

（5）車聯(lián)網(wǎng)服務(wù)平臺(tái)TSP（Telematics Service Provider）安全：TSP 為汽車遠(yuǎn)程服務(wù)提供商，為汽車和手機(jī)提供內(nèi)容以及流量轉(zhuǎn)發(fā)服務(wù)，如果服務(wù)平臺(tái)被攻擊，則可能產(chǎn)生資料竊?。ㄈ鏕PS軌跡數(shù)據(jù)）、數(shù)據(jù)丟失，甚至冒充合法用戶對(duì)車輛進(jìn)行控制。

（6）Telematics云平臺(tái)安全：指的是云端數(shù)據(jù)的隱私性、可恢復(fù)性、完整性等幾個(gè)方面。

（7）APP安全：一般是指黑客通過(guò)Root終端用戶權(quán)限或者安裝惡意程序，或者給程序植入后門(mén)來(lái)獲取用戶信息，進(jìn)而對(duì)車輛進(jìn)行控制。

如果將上述節(jié)點(diǎn)網(wǎng)絡(luò)抽象化，可以得到如圖3所示?？梢詫⑵渲械腅ndsystem （Initiator）看作是T-BOX網(wǎng)絡(luò)的起點(diǎn)，即Mobile APP或者PC端，Network可以分解成包括移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)、Telematics Cloud Network和Telematics Service Provider，而 Endsystem（Responder）可以看作是車載T-BOX以及后面的IVI系統(tǒng)。在這個(gè)節(jié)點(diǎn)中，Endsystem（Initiator）可以包括智能終端安全、車聯(lián)網(wǎng)APP安全等。從圖3可以看到，網(wǎng)絡(luò)運(yùn)營(yíng)商起到了管道的作用，并且提供所有的承載，包括無(wú)線網(wǎng)絡(luò)以及IP傳輸?shù)某休d。一方面對(duì)接移動(dòng)終端以及APP，另外一個(gè)方面對(duì)接云平臺(tái)以及TSP服務(wù)商，包含了關(guān)于整個(gè)應(yīng)用層最詳細(xì)的信息。但實(shí)際測(cè)試過(guò)程中，沒(méi)有辦法監(jiān)控運(yùn)營(yíng)商的IP網(wǎng)絡(luò)，甚至沒(méi)有辦法去控制基站的信號(hào)強(qiáng)弱等。

圖3 節(jié)點(diǎn)網(wǎng)絡(luò)抽象化

如圖4所示，在實(shí)際測(cè)試過(guò)程中，可以使用帶有IP層測(cè)試的2G/3G/4G網(wǎng)絡(luò)模擬器來(lái)提供這個(gè)接口。一方面提供可控的無(wú)線信號(hào)，保證物理層傳輸?shù)目煽啃?；另一方面提供IP層應(yīng)用接口、IP層吞吐量分析、IP層加密分析的功能。

圖4 實(shí)際測(cè)試過(guò)程

例如，移動(dòng)終端運(yùn)行了1個(gè)APP和一些后臺(tái)運(yùn)行的APP，每個(gè)APP包括了一些連接組，而每個(gè)連接組也包括了一些連接，可以針對(duì)每個(gè)連接進(jìn)行如下的IP加密/非加密分析：

（1）加密業(yè)務(wù)、非加密業(yè)務(wù)分析。

（2）關(guān)鍵詞搜索、地理位置信息顯示。

（3）IP端口分析。

如果從協(xié)議棧的角度考察，主要包含兩個(gè)方面，一方面是傳輸層的通信安全；另一個(gè)方面是應(yīng)用層，即各個(gè)APP本身的安全（見(jiàn)圖5）。對(duì)于傳輸層通信安全，一般依靠傳輸層加密算法來(lái)實(shí)現(xiàn)，傳輸層的加密協(xié)議為SSL/TLS協(xié)議。

圖5 從協(xié)議棧的角度考察包含兩方面

基于傳輸層加密協(xié)議的測(cè)試，可以檢查SSL/TLS證書(shū)是否是合法的機(jī)構(gòu)、加密強(qiáng)度、證書(shū)的有效性等。并且可以以地理信息顯示服務(wù)器的位置，可以通過(guò)關(guān)鍵詞搜索來(lái)查找關(guān)鍵信息是否加密等，還可以進(jìn)一步分析SSL/TLS握手協(xié)議流程等。

3 結(jié)束語(yǔ)

智能網(wǎng)聯(lián)汽車由于其承載人身安全的特殊屬性，因此相比其他物聯(lián)網(wǎng)設(shè)備更加重要，并且隨著智能網(wǎng)聯(lián)汽車的規(guī)?；?、智能化和產(chǎn)業(yè)化，整個(gè)智能網(wǎng)聯(lián)汽車面臨著更多的安全性、隱私性的問(wèn)題。需要國(guó)家政策、行業(yè)法規(guī)以及企業(yè)投入更多的測(cè)試以及評(píng)估以提升智能網(wǎng)聯(lián)汽車的產(chǎn)業(yè)安全性問(wèn)題。

在評(píng)估中，筆者提出了一種基于通信基站模擬器的方法以深入監(jiān)控智能網(wǎng)聯(lián)汽車的信息安全的方法，為之后的行業(yè)法規(guī)提供重要的測(cè)試方法參考。