王林林 董偉 程明敏

摘 要：隨著車聯(lián)網(wǎng)技術的迅速發(fā)展，信息安全問題已成為必須解決的核心問題之一。車聯(lián)網(wǎng)系統(tǒng)面臨的信息安全風險主要來自“端-管-云”三方面，應通過建立全生命周期的信息安全流程，并對系統(tǒng)關鍵點做好防護，來提升車聯(lián)網(wǎng)系統(tǒng)的信息安全。

關鍵詞：信息安全;車聯(lián)網(wǎng);風險;防護;TSP

中圖分類號：U495? 文獻標識碼：A? 文章編號：1671-7988（2020）13-17-03

Risk Analysis and Protection Technology of Internet of Vehicles Information Security

Wang Linlin， Dong Wei， Cheng Mingmin

（Technical center of Anhui Jianghuai Automobile Group Co.， Ltd， Anhui Key Laboratory of

Automobile Intelligent Network Technology， Anhui Hefei 230009 ）

Abstract： With the rapid development of Internet of vehicles technology， information security has become one of the core issues that must be solved. The information security risks faced by the Internet of vehicles system mainly come from the three aspects of "end-pipe-cloud". We should improve the information security of the Internet of vehicles system by establishing the information security process of the whole life cycle and protecting the key points of the system.

Keywords： Information security; Internet of Vehicles; Risk; Protective; TSP

CLC NO.： U495? Document Code： A? Article ID： 1671-7988（2020）13-17-03

前言

隨著信息技術在汽車中的應用不斷深入，汽車已演變成一臺移動的聯(lián)網(wǎng)終端。網(wǎng)聯(lián)化在實現(xiàn)車輛內部及與外界通信的同時，也使得來自外部的信息安全威脅和惡意攻擊增加。如果車輛被攻擊者所控制，將對用戶財產(chǎn)甚至人身安全帶來致命威脅。2015年菲亞特克萊斯勒因其車聯(lián)網(wǎng)系統(tǒng)被破解，攻擊者可遠程控制車輛動力和剎車等關鍵系統(tǒng)，導致大規(guī)模召回140萬輛汽車，經(jīng)濟損失高達1.25億美元。因此，深入開展汽車信息安全的威脅分析并構建系統(tǒng)的防護體系，已成為智能網(wǎng)聯(lián)汽車要解決的關鍵技術之一。

1 車聯(lián)網(wǎng)風險分析

根據(jù)車聯(lián)網(wǎng)系統(tǒng)的組成，總體上可以分為車載終端、網(wǎng)絡通信、TSP平臺三部分。車載終端位于車內，包括中控系統(tǒng)、通信系統(tǒng)、電控系統(tǒng)，是車聯(lián)網(wǎng)的硬件基礎。網(wǎng)絡通信作為車輛與TSP平臺數(shù)據(jù)傳輸通道，是車聯(lián)網(wǎng)系統(tǒng)的連接紐帶。TSP平臺一般搭建于公有云，實現(xiàn)對車輛數(shù)據(jù)的存儲、計算等工作，為用戶提供娛樂、導航、道路救援、OTA升級等服務。車聯(lián)網(wǎng)的信息安全風險主要從這三方面進行分析。車聯(lián)網(wǎng)系統(tǒng)總體架構如圖1所示。

1.1 車載終端信息安全分析

1.1.1 中控系統(tǒng)

中控系統(tǒng)包括中控大屏，通常也提供USB、AUX等接口。在硬件設計過程中一般會預留調試接口，如果被非法接入，攻擊者就可能收集到系統(tǒng)的通信數(shù)據(jù)，甚至可以直接提取系統(tǒng)固件。應用軟件方面，接口調用權限控制、軟件簽名認證機制的缺失，也可能導致攻擊者的越權訪問或非法軟件安裝。操作系統(tǒng)方面，中控系統(tǒng)多基于Linux或安卓開發(fā)，操作系統(tǒng)本身的漏洞也可能被攻擊者利用進而實現(xiàn)入侵。

1.1.2 通信系統(tǒng)

車載終端通信系統(tǒng)核心是T-BOX，一般存儲有車輛通信密鑰、數(shù)字證書私鑰等重要信息，如果沒有嚴格的保護措施，或者將加密關鍵安全參數(shù)的密鑰采用固定密鑰或者直接寫死在代碼中等，則可能導致密鑰泄露。攻擊者也可能通過研究T-BOX的硬件結構、調試引腳或者通過代碼逆向等破解T-BOX安全系統(tǒng)，劫持協(xié)議數(shù)據(jù)，對協(xié)議傳輸數(shù)據(jù)進行篡改，從而可以發(fā)送偽造命令到CAN控制器中，實現(xiàn)對車輛的本地控制或遠程操作控制。

1.1.3 電控系統(tǒng)

電控系統(tǒng)包含各類控制單元，例如BCM（車身控制器）、EMS（發(fā)動機管理系統(tǒng)）等。對電控系統(tǒng)的攻擊最物理簡單的方式就是改寫ECU，攻擊者可以根據(jù)對應芯片廠商的匯編語言架構編寫特殊的ECU程序，然后利用工具和筆記本電腦刷寫至ECU控制器中進而實現(xiàn)對ECU的控制。另外很多車輛已具備遠程刷寫ECU功能，攻擊者也可能通過偽造遠程指令下發(fā)更新包實現(xiàn)對ECU的遠程刷新。同時ECU的通信協(xié)議或通信指令如果被非法獲取，攻擊者也可能直接偽造ECU指令下發(fā)至對應執(zhí)行機構，實現(xiàn)對車輛的控制。

1.2 網(wǎng)絡通信信息安全分析

車聯(lián)網(wǎng)的網(wǎng)絡通信均為無線通信，相比于有線通信更易被非法攔截或攻擊，例如中間人攻擊，攻擊者可通過DNS欺騙和建立偽基站等方式，對T-BOX發(fā)送的數(shù)據(jù)或云平臺下發(fā)的指令進行攔截，竊取其中的重要數(shù)據(jù)，或在數(shù)據(jù)中加入其他信息甚至將雙方的通信模式暗中改變，進而實現(xiàn)攻擊。

1.3 TSP平臺信息安全分析

TSP平臺在車聯(lián)網(wǎng)系統(tǒng)中處于核心地位，為用戶提供強大的信息服務。TSP平臺在設計開發(fā)中的缺陷、漏洞或不合理之處可能被有意或無意地利用，從而對整個車聯(lián)網(wǎng)系統(tǒng)造成嚴重影響。在操作系統(tǒng)層面，用戶權限設置不合理，超出實際權限需求，或者病毒、木馬及系統(tǒng)漏洞，都可能導致重要數(shù)據(jù)丟失、泄密或損壞。軟件代碼層面，編碼漏洞、業(yè)務邏輯及授權的不合理，可能導致SQL注入、XXS攻擊、越權漏洞、數(shù)據(jù)庫泄露等。硬件層面，服務器、存儲設備故障等也可能導致重要數(shù)據(jù)丟失、損壞或者業(yè)務的中斷等。

2 車聯(lián)網(wǎng)信息安全防護

2.1 信息安全流程的建設

車聯(lián)網(wǎng)系統(tǒng)面臨的信息安全威脅來源廣、種類多，存在很大的不確定性，因此對于汽車企業(yè)而言，車聯(lián)網(wǎng)信息安全的建設需要一套體系流程來保證。目前行業(yè)內認可度較高的標準是SAE發(fā)布的J3061《信息物理汽車系統(tǒng)網(wǎng)絡安全指南》，它詳述了一個結構良好的汽車信息安全全生命周期控制流程，把信息安全的要求融入車聯(lián)網(wǎng)產(chǎn)品的開發(fā)和運行過程：在概念設計階段對系統(tǒng)潛在風險進行識別和評估，確定信息安全目標和要求;在產(chǎn)品開發(fā)階段對信息安全要求進行細化，并轉化為技術要求，分解到具體零部件的軟硬件設計過程及測試驗證過程;在產(chǎn)品量產(chǎn)后階段，建立完善的監(jiān)控機制及漏洞處理流程、應急響應流程;在維修報廢階段確定維修過程中信息安全相關要求，并提供產(chǎn)品報廢過程的信息安全指南等。結合汽車企業(yè)的產(chǎn)品研發(fā)過程，總體流程框架如圖2所示。

2.2 信息安全關鍵部分設計

2.2.1 中控系統(tǒng)

中控系統(tǒng)的核心是中控大屏交互系統(tǒng)，負責與用戶的人機交互，并與云平臺通信以獲取信息服務。中控系統(tǒng)的信息安全防護，在硬件層要注意做好調試接口的屏蔽，并建議取消硬件型號標識，以避免攻擊者通過硬件層面進行固件或通信數(shù)據(jù)的提取。在操作系統(tǒng)層面，應具備安全啟動功能和更新失敗回滾機制，并關注對應版本的linux或安卓系統(tǒng)漏洞發(fā)布情況，及時修復漏洞。在應用軟件層面，一是要具備軟件簽名驗證機制，避免非法軟件安裝;二是要做好軟件權限管理，避免不合理或超出功能需求的授權;三是要做好軟件間接口調用管理，檢測和阻止軟件間的未授權訪問，避免數(shù)據(jù)泄漏、非法提權等問題。

2.2.2 T-BOX

T-BOX作為智能汽車的聯(lián)網(wǎng)設備，擁有較多的內外部訪問點，在信息安全防護設計中要關注：①避免固件被逆向，通?？梢圆捎脼楣碳託さ姆绞?，使固件的數(shù)據(jù)格式及含義發(fā)生變化，即使攻擊者拿到數(shù)據(jù)也基本無法破解，同時在設備量產(chǎn)時應取消調試接口，避免攻擊者通過調試接口讀取固件數(shù)據(jù);②要防止通信數(shù)據(jù)被竊取，T-BOX可深度讀取CAN總線數(shù)據(jù)，因此對于數(shù)據(jù)通信要進行加密，避免通信數(shù)據(jù)被非法破解;③要配置硬件實現(xiàn)的安全區(qū)域或模塊，對車輛的關鍵安全參數(shù)如通信密鑰、車輛長期ID等以加密形式安全存儲和隔離;④加強對采集和存儲的敏感信息的訪問權限控制，安全存儲區(qū)域或模塊應具備檢測和處置非授權訪問的能力，以對抗暴力破解行為;⑤設置合理的操作場景控制，例如車速>0km/s的狀態(tài)下禁止所有的升級行為等，以避免非預期的功能操作。

2.2.3 電控單元

汽車電控單元分布眾多，且控制著執(zhí)行機構，因此數(shù)據(jù)通信安全尤為重要。電控單元的信息安全防護設計應關注：①具備安全啟動功能，保證系統(tǒng)的安全、穩(wěn)定;②通信數(shù)據(jù)要加密，并設置安全區(qū)域對加密密鑰等重要數(shù)據(jù)進行存儲和訪問權限管控;③應具備異常指令的檢測和處理，及對抗DDOS攻擊的機制;④對于具備OTA升級功能的電控單元，在升級前應通過數(shù)字簽名等方式進行可信性驗證及升級包的完整性校驗，并應具備回滾功能，一旦更新失敗能恢復至升級前的狀態(tài)。

2.2.4 網(wǎng)絡通信

車聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡通信是基于蜂窩網(wǎng)絡等的無線通信，通信安全應關注：①車載端應使用安全機制，識別偽基站，確保接入真實可靠的網(wǎng)絡，避免信號劫持;②車載端應具備符合標準的身份標識，并可以對所連接的通信節(jié)點進行身份驗證，避免信號欺騙;③車輛終端與其他節(jié)點的通信宜采用專有網(wǎng)絡通信，并對數(shù)據(jù)進行加密，以對抗中間人攻擊;④GPS通信應具有對抗大功率設備干擾的機制，保證通信的穩(wěn)定性。

2.2.5 TSP平臺

在TSP平臺的硬件安全方面應關注：①配備防火墻，對所有接入的用戶進行訪問控制;②配備負載均衡設備，對所有用戶請求統(tǒng)一接受和分發(fā)，平衡各服務器壓力，保證系統(tǒng)功能的實時性;③建立硬件的冗余，通過雙機熱備等技術保證硬件的高可用。在軟件方面應關注：①做好系統(tǒng)漏洞和病

毒的防護;②對用戶權限尤其是系統(tǒng)管理員的權限，要根據(jù)具體職責進行權限劃分，嚴格管理;③對關鍵數(shù)據(jù)進行分類分級，不同級別的數(shù)據(jù)做好訪問權限控制;④系統(tǒng)存儲的關鍵數(shù)據(jù)要做好備份，防止自然災害及有意或無意的丟失、損壞等事故;⑤軟件開發(fā)過程應做好架構的安全設計，定義合理的模塊接口訪問權限，采用安全的編碼規(guī)范保證代碼層面的安全。

3 結束語

智能網(wǎng)聯(lián)汽車作為我國重點發(fā)展的新興產(chǎn)業(yè)，信息安全是必須重視的關鍵技術。對汽車信息安全技術的研究和實踐證明，信息安全問題的解決，必須建立起完善的設計開發(fā)流程，對軟硬件產(chǎn)品開發(fā)的關鍵節(jié)點進行信息安全風險分析，有針對性地進行防護架構設計，并結合產(chǎn)品開發(fā)流程統(tǒng)籌“端-管-云”構建全方位、縱深式的防御架構，才能將信息安全要求落到實處，為智能網(wǎng)聯(lián)汽車的發(fā)展保駕護航。

參考文獻

[1] 葉平，郝鐵亮，趙德華，張曉帆，黃旭玲.從車企的角度對車聯(lián)網(wǎng)信息安全技術研究.汽車實用技術[J]，2019（5）：59-62.

[2] 王文揚，陳正，高夕冉，胡寧，張東偉.車載信息交互系統(tǒng)信息安全信息技術與信息化[J].2018（12）：106-107.

[3] 趙世佳，徐可，薛曉卿，喬英俊.智能網(wǎng)聯(lián)汽車信息安全管理的實施對策[J].中國工程科學，2019（3）：108-113.

[4] 郭輝，羅勇.智能網(wǎng)聯(lián)汽車信息安全關鍵技術[J].上海汽車，2019 （10）：9-14.

[5] 馬超，劉天宇，石培吉.汽車信息安全文獻綜述[J].裝備維修技術， 2019（2）：25-28.

[6] 武翔宇，趙德華，郝鐵亮.車聯(lián)網(wǎng)系統(tǒng)安全研究.汽車實用技術[J]. 2019（20）：28-29.

[7] 鮑克，嚴丹，李富勇，沈笑慧.車聯(lián)網(wǎng)信息安全防護體系研究.軟件，2018（6）：29-31.

[8] 朱景海，馮少嬋，王東生.基于SAE J3061汽車信息安全開發(fā)流程解讀[J].汽車電器，2019（6）：71-76.