寧玉橋，趙浩，霍全瑞，于明明

車聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)研究

寧玉橋，趙浩，霍全瑞，于明明

（中國汽車技術(shù)研究中心有限公司，天津 300300）

車聯(lián)網(wǎng)近幾年的迅速發(fā)展，在推進(jìn)汽車向網(wǎng)聯(lián)化、智能化發(fā)展的同時，也帶來了一定的網(wǎng)絡(luò)安全風(fēng)險。為了提高汽車的網(wǎng)絡(luò)安全防護(hù)水平，針對汽車聯(lián)網(wǎng)部件、云平臺等的防護(hù)技術(shù)成為汽車領(lǐng)域的研究熱點(diǎn)。文章從車端安全、通信安全、平臺安全以及移動應(yīng)用安全等角度，梳理了車聯(lián)網(wǎng)安全的技術(shù)要求，并總結(jié)了當(dāng)前汽車網(wǎng)絡(luò)安全領(lǐng)域的最新研究成果，為今后的車聯(lián)網(wǎng)安全研究提供基礎(chǔ)。

車聯(lián)網(wǎng)；網(wǎng)絡(luò)安全；智能網(wǎng)聯(lián)汽車；防護(hù)技術(shù)

前言

作為智能交通系統(tǒng)快速發(fā)展階段必要的智能管理技術(shù)和應(yīng)用，車聯(lián)網(wǎng)融合了新一代信息通信技術(shù)，以行駛中的車輛為信息感知對象，綜合應(yīng)用了智能傳感器、無線通信、分布式數(shù)據(jù)庫、信息處理與互聯(lián)網(wǎng)等技術(shù)，實(shí)現(xiàn)了車內(nèi)、車與人、車與車、車與路、車與服務(wù)平臺的全方位網(wǎng)絡(luò)連接。車聯(lián)網(wǎng)的信息傳輸網(wǎng)絡(luò)結(jié)構(gòu)主要可劃分三層，由低到高分別為感知層、傳輸層和應(yīng)用層[1-2]。

車聯(lián)網(wǎng)感知層是車聯(lián)網(wǎng)的神經(jīng)末梢。車輛通過智能傳感器、定位技術(shù)等對車輛周圍環(huán)境和自身在交通環(huán)境中的狀況進(jìn)行感知，并實(shí)時采集車輛駕駛環(huán)境信息、位置信息、車內(nèi)控制系統(tǒng)信息、車輛外部周邊道路環(huán)境信息與其他車輛、行人等信息，為車聯(lián)網(wǎng)提供全面的實(shí)時終端信息。

車聯(lián)網(wǎng)傳輸層是感知層和應(yīng)用層的橋梁。傳輸層通過整合感知層的各類異構(gòu)數(shù)據(jù)，并建立可靠的信息傳送通道，為應(yīng)用層提供信息傳輸服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)各元素間的信息交互。與物聯(lián)網(wǎng)不同的是，車聯(lián)網(wǎng)的感知實(shí)體具有高速移動的特征，并且往往涉及到與用戶實(shí)體相關(guān)的信息服務(wù)，使其面臨的網(wǎng)絡(luò)結(jié)構(gòu)和共享環(huán)境更加復(fù)雜。因此，車聯(lián)網(wǎng)傳輸層需要提供可靠安全的信息傳輸機(jī)制以及擴(kuò)展性強(qiáng)的異構(gòu)互通的基礎(chǔ)設(shè)施和應(yīng)用，從而實(shí)現(xiàn)車聯(lián)網(wǎng)信息安全高效的傳輸。

車聯(lián)網(wǎng)應(yīng)用層是促進(jìn)車聯(lián)網(wǎng)技術(shù)不斷發(fā)展和創(chuàng)新的動力。應(yīng)用層主要為智能交通系統(tǒng)以及用戶提供各種不同的應(yīng)用來滿足現(xiàn)代交通的需求，包括智能交通規(guī)劃與管理、車輛安全監(jiān)控、交通事故預(yù)警、協(xié)同防駕駛碰撞等。隨著用戶需求的提高與車輛內(nèi)部裝置和技術(shù)的升級，應(yīng)用層還可為車聯(lián)網(wǎng)提供更多個性化的服務(wù)實(shí)現(xiàn)。

以上述車聯(lián)網(wǎng)網(wǎng)絡(luò)層次劃分為基礎(chǔ)，可根據(jù)防護(hù)對象將車聯(lián)網(wǎng)網(wǎng)絡(luò)安全分為智能汽車車端安全、通信安全、車聯(lián)網(wǎng)服務(wù)平臺安全、移動應(yīng)用安全等幾個部分。

圖1 車聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)層次劃分

1 智能汽車車端安全

圖2 智能汽車車端安全

智能汽車車端安全是車聯(lián)網(wǎng)安全的核心內(nèi)容，針對車端網(wǎng)絡(luò)安全防護(hù)，可采用關(guān)鍵組件系統(tǒng)加固技術(shù)、傳感器安全防護(hù)技術(shù)、CAN 總線加密認(rèn)證技術(shù)、車載入侵檢測技術(shù)、OTA安全升級技術(shù)、IVI漏洞分析技術(shù)等，以實(shí)現(xiàn)全面的車端安全防護(hù)。

1.1 關(guān)鍵組件系統(tǒng)加固

智能汽車車端的關(guān)鍵部件，通常既可以與車內(nèi)的網(wǎng)絡(luò)進(jìn)行通信，獲取車內(nèi)網(wǎng)絡(luò)數(shù)據(jù)，同時也可以與外界進(jìn)行通信，將這些信息傳輸出來。如果這些關(guān)鍵部件的系統(tǒng)被攻擊，數(shù)據(jù)信息被竊取的風(fēng)險會顯著提高，因此需要對關(guān)鍵部件的系統(tǒng)進(jìn)行加固。

針對智能汽車車端關(guān)鍵部件所面臨的安全風(fēng)險，通常采取安全啟動技術(shù)，在設(shè)備啟動的各個階段對啟動過程進(jìn)行安全校驗(yàn)。如采取進(jìn)程白名單技術(shù)，對系統(tǒng)中運(yùn)行的程序進(jìn)行檢測。J. Wang等人[3]提出了一種動態(tài)可擴(kuò)展的橢圓曲線密碼系統(tǒng)，適合車載嵌入式設(shè)備中的應(yīng)用。

1.2 傳感器安全防護(hù)

針對感知層的防護(hù)可從兩個角度出發(fā)。一是從代碼層的角度，通過優(yōu)化傳感器數(shù)據(jù)處理方法，借助一致性判斷、異常數(shù)據(jù)識別、數(shù)據(jù)融合等技術(shù)不斷提高自動駕駛系統(tǒng)感知層的魯棒性。另一方面是從傳感器本體入手，通過布置冗余的傳感器提高感知系統(tǒng)的穩(wěn)定性，并針對不同的傳感器進(jìn)行專門的安全防護(hù)，如針對攝像頭的強(qiáng)光攻擊，可通過優(yōu)化鏡頭材料等方式進(jìn)行防護(hù)；針對無線電中繼攻擊，可采取信號實(shí)時性驗(yàn)證，通信設(shè)備認(rèn)證等方式實(shí)現(xiàn)中繼設(shè)備的識別；針對信號干擾攻擊，可采用匹配濾波器進(jìn)行高斯噪聲信號的過濾等方式進(jìn)行安全防護(hù)。

針對具有多個傳感器測量同一物理變量的車輛系統(tǒng)，其部分傳感器可能遭受惡意攻擊導(dǎo)致系統(tǒng)無法正常工作的攻擊場景，R. Wang等人[4]設(shè)計(jì)了一種彈性傳感器攻擊檢測算法。該算法在系統(tǒng)中增加了一個虛擬傳感器，并為每個傳感器建立故障模型，利用傳感器之間的對偶不一致來檢測攻擊；同時為了提高瞬時故障存在時的檢測率，還考慮了系統(tǒng)動態(tài)模型，并將歷史測量數(shù)據(jù)納入檢測算法中。針對基于衛(wèi)星導(dǎo)航系統(tǒng)（Global Navigation Satellite System, GNSS）的位置感知易遭受欺騙攻擊的特性，N. Souli等人[5]提出了一種位置驗(yàn)證解決方案，使用車載傳感器讀數(shù)（如加速度計(jì)等）和機(jī)會信號作為位置信息的替代來源以防止被欺騙。針對自動駕駛和智能交通系統(tǒng)中的協(xié)同移動性跟蹤問題，W. Pi 等人[6]提出了一種惡意用戶檢測框架，該框架包括兩種順序檢測算法和一種安全的移動數(shù)據(jù)交換融合模型，用于檢測虛假移動性信息，并將提出的檢測算法與以往的數(shù)據(jù)融合算法進(jìn)行了整合。

1.3 CAN總線加密認(rèn)證

隨著智能網(wǎng)聯(lián)汽車的迅速發(fā)展，車內(nèi)總線網(wǎng)絡(luò)逐漸接入互聯(lián)網(wǎng)，車內(nèi)網(wǎng)絡(luò)開始通過各種各樣的通信方式與外界進(jìn)行信息交互。CAN總線設(shè)計(jì)之初并沒有加入安全機(jī)制，這導(dǎo)致現(xiàn)階段車內(nèi)總線網(wǎng)絡(luò)安全容易暴露在互聯(lián)網(wǎng)環(huán)境下，黑客可以輕松監(jiān)聽總線報(bào)文信息，從而逆向破解總線協(xié)議，實(shí)施惡意攻擊。

針對CAN總線的安全風(fēng)險，Lenard等人[7]提出了一種混合不同消息簽名的方法MixCAN，同時可以減少CAN通信的開銷。H.J.Jo等人[8]提出了一種新的身份驗(yàn)證協(xié)議 MAuth-CAN，該協(xié)議可防止偽裝攻擊，且可兼容現(xiàn)有CAN控制器。L.Xiao等人[9]提出了一種CAN總線認(rèn)證框架，利用報(bào)文的物理層特征，基于報(bào)文到達(dá)時間間隔和信號電壓等，利用強(qiáng)化學(xué)習(xí)來選擇認(rèn)證模式和參數(shù)，并提出了利用深度學(xué)習(xí)進(jìn)一步提高 CAN 總線認(rèn)證效率的方法。

1.4 車載入侵檢測

車載入侵檢測（Intrusion Detection and Preven- tion System, IDPS）技術(shù)主要通過對車端的通信數(shù)據(jù)包進(jìn)行識別與過濾進(jìn)行防護(hù)，一般支持通過在線升級或離線升級方式，實(shí)現(xiàn)對特征庫、規(guī)則文件和狀態(tài)機(jī)模型的升級，增強(qiáng)引擎的防護(hù)能力。通過使用車載 IDPS 技術(shù)，并采用多重檢測技術(shù)和多種防御手段，可實(shí)現(xiàn)對車內(nèi)網(wǎng)絡(luò)流量的實(shí)時深度檢測。

車載IDPS技術(shù)的核心在于如何準(zhǔn)確識別異常通信數(shù)據(jù)包。M. Sami等人[10]提出了一種基于監(jiān)督學(xué)習(xí)深度神經(jīng)網(wǎng)絡(luò)架構(gòu)的異常檢測算法，可對抗三種關(guān)鍵攻擊類別：拒絕服務(wù)，模糊攻擊和假冒攻擊。T. Yu等人[11]提出了基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)驗(yàn)證的入侵檢測方法以提高CAN-FD網(wǎng)絡(luò)的安全性，其通過構(gòu)建基于隨機(jī)游走的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和后續(xù)驗(yàn)證，可以識別出接入車內(nèi)CAN網(wǎng)絡(luò)的外部入侵設(shè)備。Z. Khan 等人[12]提出了一種基于長短期記憶神經(jīng)網(wǎng)絡(luò)模型的重放攻擊和幅移攻擊檢測模型。S. C. Kalkan等人[13]提出了一種基于機(jī)器學(xué)習(xí)的入侵檢測系統(tǒng)來保證CAN總線安全，并表明基于決策樹的集成學(xué)習(xí)模型在測試中表現(xiàn)出最佳性能。J. Sunny等人[14]提出了一種基于重復(fù)報(bào)文和報(bào)文間隔時間的CAN總線混合異常檢測系統(tǒng)。

1.5 OTA安全升級技術(shù)

為保障OTA系統(tǒng)的安全性，做到端到端的安全可信，在OTA升級的過程中應(yīng)采用安全的升級機(jī)制，可通過數(shù)字簽名和認(rèn)證機(jī)制確保升級包的完整性和合法性，或通過通信加密保證整個通信包的傳輸安全。通過在固件提供方平臺、T-Box、ECU 上集成安全組件和安全服務(wù)系統(tǒng)，使OTA升級過程中的每個參與方都具備安全通信的能力，可確保OTA升級的安全性。同時車端應(yīng)具備固件回滾機(jī)制，以保證升級失敗時設(shè)備也可恢復(fù)到升級前狀態(tài)。

H Kexun等人[15]提出了智能網(wǎng)聯(lián)汽車OTA升級安全的全方位防護(hù)策略，并提出了基于專業(yè)暗室的綜合測試評估方法。N. S. Mtetwa 等人[16]提出了一種基于區(qū)塊鏈的固件更新機(jī)制，以增強(qiáng)LoRaWAN中的固件更新以及管理更新過程，該機(jī)制旨在確保固件的真實(shí)性、完整性。S. Mahmood等人[17]提出了一種基于模型的安全測試方法來評估汽車OTA更新系統(tǒng)的安全性，包含了集成測試平臺和以攻擊樹作為輸入來自動生成執(zhí)行測試用例的軟件工具。

1.6 IVI漏洞分析技術(shù)

車載信息娛樂系統(tǒng)（In Vehicle Infotainment system, IVI system）采用車載專用中央處理器，基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務(wù)形成。IVI系統(tǒng)基于嵌入式操作系統(tǒng)或移動操作系統(tǒng)架構(gòu)，暴露的攻擊面比其他車載部件更廣。IVI系統(tǒng)的攻擊風(fēng)險可分為以下三種：一是系統(tǒng)本身存在的內(nèi)核漏洞，例如 WinCE、Linux、Android等均出現(xiàn)過內(nèi)核漏洞；二是被攻擊者安裝惡意應(yīng)用的風(fēng)險；三是第三方應(yīng)用可能存在安全漏洞。此外，IVI 系統(tǒng)的底層可信引導(dǎo)程序、系統(tǒng)層證書簽名、PKI 證書框架等也可能存在攻擊風(fēng)險。針對IVI系統(tǒng)可能存在的安全風(fēng)險，A. Moiz 等人[18]研究了車載應(yīng)用程序的攻擊面，并提供了一種靜態(tài)分析方法和檢測數(shù)據(jù)泄漏漏洞的工具，該方法還可以給出降低IVI系統(tǒng)安全風(fēng)險的建議。

2 通信安全防護(hù)

智能汽車內(nèi)部以及和外界的數(shù)據(jù)通信構(gòu)成了車聯(lián)網(wǎng)的基礎(chǔ)，包含了車內(nèi)通信、車云通信以及車與車、人、路的通信等，各場景下的通信安全防護(hù)共同構(gòu)成了車聯(lián)網(wǎng)安全的重要保障。

圖3 通信安全防護(hù)

2.1 車內(nèi)通信安全防護(hù)

車內(nèi)通信主要通過CAN總線方式傳輸信息。CAN總線傳輸協(xié)議由于設(shè)計(jì)問題存在一定安全隱患，如無校驗(yàn)的點(diǎn)到線傳播方式，未做加密的通訊報(bào)文明文傳輸，無合法性校驗(yàn)報(bào)文來源等。針對車內(nèi)通訊存在的安全問題，可以采取的防護(hù)措施具體包括：一是通過軟、硬件集成方式將ECU的CAN收發(fā)器進(jìn)行加密傳輸，可有效保障通訊數(shù)據(jù)的機(jī)密性；二是通過采用 ECU 物理隔離的方式將重要域與信息娛樂域做物理隔離，保障重要信息的真實(shí)性；三是在OBD或網(wǎng)關(guān)處加裝防火墻，設(shè)置黑白名單機(jī)制，防止泛洪攻擊，保障數(shù)據(jù)的有效性[19]。

G.Xie等人[20]針對非獨(dú)立的車載 CAN-FD報(bào)文提出了一種名為前向-后向探索的安全增強(qiáng)技術(shù)，同時保證每個報(bào)文的實(shí)時性，實(shí)驗(yàn)結(jié)果表明了該方法的有效性。G. Costantino 等人[21]提出了一種新的入侵防御系統(tǒng)（EARNEST），旨在防止攻擊者在車內(nèi)網(wǎng)絡(luò)的不同分區(qū)間發(fā)送惡意 CAN 幀，該算法能夠防止重放攻擊和模糊攻擊。G.D’Angelo等人[22]提供了兩種算法來實(shí)現(xiàn)數(shù)據(jù)驅(qū)動的異常檢測系統(tǒng)，其中第一種算法（聚類學(xué)習(xí)算法）用于學(xué)習(xí)在 CAN 總線上傳遞的消息的行為，以達(dá)到基線化的目的，而第二種算法（數(shù)據(jù)驅(qū)動的異常檢測算法）用于對此類消息合法或非法執(zhí)行實(shí)時分類，以便在存在惡意使用時提前發(fā)出警報(bào)。

2.2 車云通信安全防護(hù)

智能汽車和企業(yè)的云服務(wù)平臺通信是所有信息服務(wù)的基礎(chǔ)。保障車輛云端身份正確識別，鑒別每條控制指令的合法性、保障網(wǎng)絡(luò)中傳輸數(shù)據(jù)指令的隱私性等安全問題都是保障車輛聯(lián)網(wǎng)功能安全和可靠部署的必要前提條件。面對車云通信所需的安全防護(hù)需求，目前主要通過使用PKI體系進(jìn)行安全防護(hù)。具體措施包括在服務(wù)器端部署SSL證書來實(shí)現(xiàn)傳輸通道加密，確保機(jī)密數(shù)據(jù)傳輸安全，同時在服務(wù)器上用證書加密存儲機(jī)密數(shù)據(jù)；代碼（包括PC代碼和移動APP代碼）使用數(shù)字簽名來保證真實(shí)性，防止代碼被惡意篡改；各聯(lián)網(wǎng)設(shè)備安裝可信計(jì)算證書，用于證明可信身份和加密通信數(shù)據(jù)。

Song等人[23]提出了一種基于安全橢圓曲線的車輛身份安全認(rèn)證方案，將該方案與相關(guān)方法進(jìn)行比較和分析，結(jié)果表明該方案具有較高的認(rèn)證準(zhǔn)確率，對車聯(lián)網(wǎng)環(huán)境下的高速移動網(wǎng)絡(luò)環(huán)境具有較好的適應(yīng)性。H. Vasudev等人[24]設(shè)計(jì)了一種在車聯(lián)網(wǎng)場景中使用密碼操作的輕量級互認(rèn)證協(xié)議，使得設(shè)備和服務(wù)器能夠建立可用于安全通信的密鑰，同時最小化與該過程相關(guān)聯(lián)的計(jì)算開銷，結(jié)果表明該協(xié)議的性能優(yōu)于現(xiàn)有系統(tǒng)。J. Zhang 等人[25]提出了一種多對多身份驗(yàn)證和密鑰協(xié)商方案，可用于車輛和云服務(wù)提供商之間的安全認(rèn)證，與其他相關(guān)方案相比，該方案具有更好的安全性，而且大大減少了計(jì)算和通信開銷。

2.3 車-車、車-路、車-人通信安全防護(hù)

智能汽車通過 LTE-V2X 等技術(shù)與臨近車輛和路基設(shè)施進(jìn)行數(shù)據(jù)交換，通過WiFi、藍(lán)牙等無線技術(shù)與用戶的移動智能終端進(jìn)行通信。C.Wang等人[26]提出了一種基于隨機(jī)幾何的蜂窩-V2V異構(gòu)物理層安全系統(tǒng)模型，結(jié)果表明，該系統(tǒng)模型可以顯著提高車輛網(wǎng)絡(luò)通信的安全性。A. K. Sutrala等人[27]利用橢圓曲線密碼技術(shù)設(shè)計(jì)了一種應(yīng)用于車聯(lián)網(wǎng)環(huán)境的基于條件隱私保護(hù)的批量驗(yàn)證認(rèn)證機(jī)制，在此機(jī)制下車輛可以對其附近車輛進(jìn)行認(rèn)證，同時路側(cè)單元也可以對其附近車輛進(jìn)行批量認(rèn)證，與相關(guān)方案相比，該方案具有更好的安全性和功能性。Z. Tian等人[28]假設(shè)部署的路邊單元可以與任何車輛之間提供有效的通信，提出了一種用于識別拒絕服務(wù)的信譽(yù)框架。實(shí)驗(yàn)結(jié)果表明，該方案可以避免虛假事件的傳播，并且由于框架中的車輛必須為交通事件檢測作出貢獻(xiàn)才能正常使用交通服務(wù)，這鼓勵了車輛參與交通事件的監(jiān)測和驗(yàn)證。

3 車聯(lián)網(wǎng)服務(wù)平臺安全防護(hù)

車聯(lián)網(wǎng)服務(wù)平臺作為智能汽車數(shù)據(jù)存儲、智能計(jì)算及應(yīng)用服務(wù)的平臺，是車聯(lián)網(wǎng)安全體系中的重要節(jié)點(diǎn)。依據(jù)防護(hù)對象不同，車聯(lián)網(wǎng)服務(wù)平臺安全防護(hù)可分為站點(diǎn)安全、主機(jī)安全、數(shù)據(jù)安全、業(yè)務(wù)安全等內(nèi)容。

Q. Huang 等人[29]提出了一種應(yīng)用于車聯(lián)網(wǎng)的警告信息分發(fā)方法，該方法采用基于屬性的加密技術(shù)對傳播的預(yù)警信息進(jìn)行保護(hù)，并提出了一種有條件的隱私保護(hù)機(jī)制，利用基于匿名身份的簽名技術(shù)來保證匿名車輛認(rèn)證和消息完整性檢查，同時也允許可信機(jī)構(gòu)追蹤惡意車輛的真實(shí)身份。分析表明，該方案具有更高的安全性，并減少了車輛的計(jì)算開銷。I. García Magari?o 等人[30]提出了一種增強(qiáng)聯(lián)網(wǎng)車輛安全的技術(shù)，該方法基于直接觀測信息和從其他車輛接收到的信息進(jìn)行信任和聲譽(yù)管理，可以正確地區(qū)分被劫持車輛與其他車輛。A. Rech等人[31]提出了一種新型的聯(lián)合服務(wù)管理概念，以提高智能交通和智能城市領(lǐng)域不同服務(wù)的互操作性，該方法在汽車、駕駛員和其他信息系統(tǒng)之間提供安全的認(rèn)證和授權(quán)。M. Gupta 等人[32]提出了一個基于屬性的訪問控制系統(tǒng)，根據(jù)不同的屬性將智能設(shè)備分配至不同的組內(nèi)，并提供了細(xì)粒度的安全策略的實(shí)現(xiàn)，并考慮了個性化的隱私偏好以及系統(tǒng)范圍內(nèi)的策略，以接受或拒絕來自不同智能設(shè)備的通知、警報(bào)和廣告等信息。Y.Lu等人[33]提出了一種基于聯(lián)合學(xué)習(xí)的新架構(gòu)，以減輕數(shù)據(jù)傳輸負(fù)擔(dān)并解決隱私安全問題，保證了共享數(shù)據(jù)的可靠性，且具有較高的學(xué)習(xí)精度和較快的收斂速度。

圖4 車聯(lián)網(wǎng)服務(wù)平臺安全防護(hù)

3.1 站點(diǎn)安全

站點(diǎn)安全直接關(guān)系到車聯(lián)網(wǎng)服務(wù)平臺的可靠性，其防護(hù)措施主要有：

（1）利用防火墻技術(shù)實(shí)現(xiàn)WEB應(yīng)用攻擊防護(hù)、DDOS攻擊防護(hù)；

（2）利用病毒過濾網(wǎng)關(guān)過濾攔截病毒、木馬、間諜軟件等惡意軟件；

（3）通過上網(wǎng)行為管理系統(tǒng)進(jìn)行實(shí)時監(jiān)控，防止非法信息傳播、敏感信息泄漏；

（4）通過文件底層驅(qū)動技術(shù)對 Web 站點(diǎn)目錄提供全方位的保護(hù)，防止任何類型的文件被非法篡改和破壞。

3.2 主機(jī)安全

主機(jī)是車聯(lián)網(wǎng)服務(wù)平臺的物理基礎(chǔ)，其安全防護(hù)措施主要有：

（1）利用入侵檢測技術(shù)實(shí)時檢測和阻斷包括溢出攻擊、拒絕服務(wù)攻擊、木馬、蠕蟲、系統(tǒng)漏洞等網(wǎng)絡(luò)攻擊；

（2）針對對木馬、僵尸網(wǎng)絡(luò)等異常行為進(jìn)行高精度監(jiān)測及旁路阻斷；

（3）利用異常流量管理識別出已知或未知的拒絕服務(wù)攻擊流量，并進(jìn)行實(shí)時過濾和清洗，確保網(wǎng)絡(luò)服務(wù)的可用性。

3.3 數(shù)據(jù)安全

針對數(shù)據(jù)安全的防護(hù)可從兩方面展開：

（1）基于統(tǒng)一管理框架，以數(shù)據(jù)防泄漏為基礎(chǔ)，通過深度內(nèi)容分析和事務(wù)安全關(guān)聯(lián)分析等技術(shù)，監(jiān)視、識別和保護(hù)各類數(shù)據(jù)，確保敏感數(shù)據(jù)的合規(guī)使用；

（2）利用數(shù)據(jù)安全網(wǎng)關(guān)實(shí)現(xiàn)黑白名單、高危操作風(fēng)險識別、用戶訪問權(quán)限控制、數(shù)據(jù)庫攻擊檢測、數(shù)據(jù)庫狀態(tài)監(jiān)控、操作行為審計(jì)、綜合報(bào)表等功能，幫助用戶實(shí)時阻斷高風(fēng)險行為，提高對數(shù)據(jù)庫訪問的可控度。

3.4 OTA安全

OTA（Over the Air，在線升級）是聯(lián)網(wǎng)車輛的重要基礎(chǔ)功能，其防護(hù)可主要從以下三個方面展開：

（1）在升級固件包流轉(zhuǎn)的每個網(wǎng)絡(luò)通信過程中進(jìn)行必要的安全防護(hù)；

（2）在T-Box、ECU等部件上集成安全組件，提供簽名計(jì)算、證書解析、加解密等安全能力；

（3）在 OTA平臺繼承安全服務(wù)系統(tǒng)，加入安全組件與安全服務(wù)系統(tǒng)，確保OTA系統(tǒng)中的每個參與方都具備安全通信的能力。

4 移動應(yīng)用安全防護(hù)

為了提供車況確認(rèn)、遠(yuǎn)程控制等功能，許多聯(lián)網(wǎng)汽車提供了手機(jī)APP等移動應(yīng)用供車主使用。然而由于缺少規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和流程，許多廠商未對應(yīng)用軟件執(zhí)行必要的安全性測試，導(dǎo)致智能汽車APP存在可被利用漏洞的可能性極高，對車主的財(cái)產(chǎn)安全乃至人身安全產(chǎn)生威脅。

針對移動應(yīng)用的安全風(fēng)險，通過使用移動應(yīng)用加固技術(shù)、密鑰白盒技術(shù)、敏感數(shù)據(jù)防泄漏系統(tǒng)，移動應(yīng)用安全檢測等技術(shù)確保移動應(yīng)用的安全。

圖5 移動應(yīng)用安全防護(hù)

J. Cui等人[34]提出了一種可隱藏程序基本數(shù)學(xué)運(yùn)算的代碼混淆方法，其將基本運(yùn)算分割成一組子運(yùn)算，并用受保護(hù)的查找表中檢索到的結(jié)果進(jìn)行替換。且為了增加攻擊分析的難度，設(shè)計(jì)了隨機(jī)雙射法和結(jié)構(gòu)相似法，使不同混淆操作的控制流程相互之間無法區(qū)分。S. Homayoun等人[35]提出了一種基于區(qū)塊鏈的惡意軟件檢測框架，用于檢測移動應(yīng)用商店中的惡意移動應(yīng)用。L. Chen等人[36]提出了一種基于規(guī)則匹配的本地拒絕服務(wù)漏洞檢測方法，能夠在大量的移動應(yīng)用中準(zhǔn)確地定位具有此漏洞的樣本。

4.1 移動應(yīng)用加固

在不改變應(yīng)用源代碼的情況下，將針對應(yīng)用各種安全缺陷的加固保護(hù)技術(shù)集成到應(yīng)用的安裝文件，如：

（1）通過文件加殼混淆等技術(shù)的防止逆向破解；

（2）通過分級文件校驗(yàn)等技術(shù)保護(hù)應(yīng)用數(shù)據(jù)；

（3）通過調(diào)試注入防護(hù)等技術(shù)提升應(yīng)用的整體安全水平。

4.2 密鑰白盒

密鑰白盒是將密碼算法白盒化的過程，可分為靜態(tài)密鑰白盒和動態(tài)密鑰白盒。其核心思想是混淆，通過在白盒環(huán)境下安全進(jìn)行加解密操作，保護(hù)智能汽車移動應(yīng)用的密鑰，防止通過逆向分析還原出密鑰，從而保障移動應(yīng)用的安全。

4.3 敏感數(shù)據(jù)泄露防護(hù)

為防止敏感數(shù)據(jù)泄露，應(yīng)對移動應(yīng)用進(jìn)行全方位檢測、監(jiān)控與保護(hù)，如：

（1）建立數(shù)據(jù)安全管理中心，進(jìn)行統(tǒng)一的策略管理、事件分析、可視化風(fēng)險展現(xiàn)等；

（2）監(jiān)視和保護(hù)移動應(yīng)用上靜止的、移動的以及使用中的數(shù)據(jù)，確保敏感數(shù)據(jù)的合規(guī)使用，防止主動或無意識的數(shù)據(jù)泄漏事件發(fā)生。

4.4 移動應(yīng)用安全檢測

通過對移動應(yīng)用進(jìn)行安全檢測，可及時發(fā)現(xiàn)存在的漏洞或安全風(fēng)險。

（1）通過使用靜態(tài)檢測、動態(tài)檢測、內(nèi)容檢測等技術(shù)檢測移動應(yīng)用內(nèi)部存在的安全風(fēng)險，并對發(fā)現(xiàn)的安全問題給出解決建議。

（2）生成準(zhǔn)確、完整的移動應(yīng)用安全分析報(bào)告，協(xié)助開發(fā)或監(jiān)管人員掌控移動應(yīng)用中存在的風(fēng)險，有效提高移動應(yīng)用開發(fā)的安全性。

5 總結(jié)

本文首先分析了車聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)層次的劃分，然后從車端防護(hù)、通信防護(hù)、服務(wù)平臺防護(hù)和移動應(yīng)用防護(hù)四個方面闡述了車聯(lián)網(wǎng)安全體系的組成，并對各類防護(hù)技術(shù)及其當(dāng)前研究成果進(jìn)行了總結(jié)。

隨著自動駕駛、車路協(xié)同等新技術(shù)的發(fā)展與應(yīng)用，未來車聯(lián)網(wǎng)將會變得更加智能與便捷，這需要更加龐大的數(shù)據(jù)通信網(wǎng)絡(luò)、更加豐富的信息交互手段作為支撐，同時也意味著攻擊面的增加和安全風(fēng)險的提高。相比傳統(tǒng)的物聯(lián)網(wǎng)技術(shù)，車聯(lián)網(wǎng)安全不僅影響信息安全，也關(guān)乎生命財(cái)產(chǎn)安全、社會安全乃至國家安全。只有構(gòu)建起高水平的車聯(lián)網(wǎng)安全體系，智能網(wǎng)聯(lián)汽車才能對多種多樣的網(wǎng)絡(luò)攻擊進(jìn)行防護(hù)，從而實(shí)現(xiàn)產(chǎn)業(yè)的安全快速發(fā)展。

[1] 李聰聰.面向車聯(lián)網(wǎng)信息安全問題的安全機(jī)制研究[D].北京:北京交通大學(xué),2019.

[2] 劉宴兵,常光輝,李暾.車聯(lián)網(wǎng)安全關(guān)鍵技術(shù)解析[M].北京:科學(xué)出版社,2019.

[3] Wang J,Li J,Wang H,et al.Dynamic scalable elliptic curve crypto- graphic scheme and its application to in-vehicle security[J]. IEEE Internet of Things Journal, 2018,6(4):5892-5901.

[4] Wang R,Song H, Jing Y, et al. A Sensor Attack Detection Method in Intelligent Vehicle with Multiple Sensors[C]//2019 IEEE International Conference on Industrial Internet (ICII).IEEE,2019: 219-226.

[5] Souli N, Laoudias C, Kolios P, et al. GNSS Location Verification in Connected and Autonomous Vehicles Using in-Vehicle Multimodal Sensor Data Fusion[C]//2020 22nd International Conference on Transparent Optical Networks (ICTON). IEEE, 2020:1-4.

[6] Pi W,Yang P,Duan D,et al.Malicious user detection for coopera- tive mobility tracking in autonomous driving[J].IEEE internet of things journal,2020,7(6):4922-4936.

[7] Lenard T,Bolboac? R,Genge B,et al.MixCAN:Mixed and Back- ward-Compatible Data Authentication Scheme for Controller Area Networks[C]//2020 IFIP Networking Conference (Networ- king).IEEE, 2020:395-403.

[8] Jo H J, Kim J H, Choi H Y, et al. MAuth-CAN: Masquerade- Attack- Proof authentication for in-vehicle networks[J].IEEE transactions on vehicular technology,2019,69(2):2204-2218.

[9] Xiao L, Lu X, Xu T, et al. Reinforcement Learning-Based Physi- cal Layer Authentication for Controller Area Networks[J].IEEE Transactions on Information Forensics and Security,2021,16: 2535-2547.

[10] Sami M,Ibarra M,Esparza A C,et al.Rapid,Multi-vehicle and Feedforward Neural Network based Intrusion Detection System for Controller Area Network Bus[C]//2020 IEEE Green Energy and Smart Systems Conference (IGESSC).IEEE,2020:1-6.

[11] Yu T,Wang X. Topology verification enabled intrusion detection for invehicle CANFD networks[J].IEEE Communications Letters, 2019,24(1):227-230.

[12] Khan Z,Chowdhury M, Islam M, et al. Long short-term memory neural network-based attack detection model for in-vehicle net- work security[J]. IEEE Sensors Letters,2020,4(6):1-4.

[13] Kalkan S C,Sahingoz O K.In-Vehicle Intrusion Detection Sys- tem on Controller Area Network with Machine Learning Models[C]// 2020 11th International Conference on Computing, Communication and Networking Technologies (ICCCNT). IEEE,2020:1-6.

[14] Sunny J, Sankaran S, Saraswat V. A Hybrid Approach for Fast Anomaly Detection in Controller Area Networks[C]//2020 IEEE International Conference on Advanced Networks and Telecommu- nications Systems (ANTS). IEEE,2020:1-6.

[15] Kexun H,Changyuan W,Yanyan H, et al. Research on cyber security Technology and Test Method of OTA for Intelligent Connected Vehicle[C]//2020 International Conference on Big Data, Artificial Intelligence and Internet of Things Engineering (ICBAIE). IEEE, 2020:194-198.

[16] Mtetwa N S,Sibeko N,Tarwireyi P, et al. OTA firmware updates for LoRaWAN using blockchain[C]//2020 2nd International Multidis- ciplinary Information Technology and Engineering Conference (IMITEC). IEEE, 2020:1-8.

[17] Mahmood S,Fouillade A,Nguyen H N,et al.A Model-Based Security Testing Approach for Automotive Over-The-Air Updates[C]//2020 IEEE International Conference on Software Testing, Verification and Validation Workshops (ICSTW).IEEE, 2020:6-13.

[18] Moiz A,Alalfi M H.An Approach for the Identification of Infor- mation Leakage in Automotive Infotainment systems[C]//2020 IEEE 20th International Working Conference on Source Code Analysis and Manipulation (SCAM). IEEE,2020:110-114.

[19] 鄧穩(wěn).基于車聯(lián)網(wǎng)環(huán)境的安全通信技術(shù)研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué), 2020.

[20] Xie G, Yang L T, Liu Y, et al. Security Enhancement for Real- Time Independent In-Vehicle CAN-FD Messages in Vehicular Networks[J].IEEE Transactions on Vehicular Technology, 2021, 70(6):5244- 5253.

[21] Costantino G, Matteucci I, Morales D. EARNEST: A challenge- based intrusion prevention system for CAN messages[C]//2020 IEEE International Symposium on Software Reliability Engine- ering Workshops (ISSREW). IEEE,2020:243-248.

[22] D'Angelo G,Castiglione A,Palmieri F.A cluster-based multidi- mensional approach for detecting attacks on connected vehicles [J].IEEE Internet of Things Journal,2020.

[23] Song L,Sun G, Yu H, et al. Fbia: A fog-based identity authen- tication scheme for privacy preservation in internet of vehicles [J]. IEEE Transactions on Vehicular Technology, 2020, 69(5): 5403-5415.

[24] Vasudev H,Deshpande V,Das D,et al.A lightweight mutual authenti- cation protocol for V2V communication in internet of vehicles[J]. IEEE Transactions on Vehicular Technology,2020,69(6): 6709-6717.

[25] Zhang J,Zhong H, Cui J,et al. SMAKA: Secure Many-to-Many Authentication and Key Agreement Scheme for Vehicular Networks[J].IEEE Transactions on Information Forensics and Security, 2020,16:1810-1824.

[26] Wang C,Song R,Liu Z.Simulation of Vehicle Network Comm- unication Security Based on Random Geometry and Data Mi- ning[J]. IEEE Access,2020,8: 69389-69400.

[27] Sutrala A K,Bagga P,Das A K,et al.On the design of conditional privacy preserving batch verification-based authentication scheme for Internet of vehicles deployment[J].IEEE Transac- tions on Vehi- cular Technology,2020,69(5):5535-5548.

[28] Tian Z, Gao X, Su S, et al. Vcash: a novel reputation framework for identifying denial of traffic service in internet of connected vehicles[J].IEEE Internet of Things Journal,2019,7(5):3901- 3909.

[29] Huang Q,Li N,Zhang Z,et al.Secure and Privacy-Preserving War- ning Message Dissemination in Cloud-Assisted Internet of Vehicles [C]//2019 IEEE Conference on Communications and Network Security(CNS).IEEE,2019:1-8.

[30] García-Magari?o I,Sendra S,Lacuesta R,et al.Security in vehi- cles with IoT by prioritization rules, vehicle certificates, and trust management[J].IEEE Internet of Things Journal,2018,6(4): 5927-5934.

[31] Rech A,Pistauer M,Steger C.A Novel Embedded Platform for Secure and Privacy-Concerned Cross-Domain Service Access [C]//2019 IEEE Intelligent Vehicles Symposium (IV).IEEE, 2019:1961- 1967.

[32] Gupta M,Awaysheh F M,Benson J,et al.An Attribute-Based Access Control for Cloud Enabled Industrial Smart Vehicles [J].IEEE Transactions on Industrial Informatics,2020,17(6): 4288-4297.

[33] Lu Y,Huang X,Zhang K,et al.Blockchain empowered asynch- ronous federated learning for secure data sharing in internet of vehicles[J]. IEEE Transactions on Vehicular Technology,2020,69(4): 4298-4311.

[34] Cui J, Song Z, Liu Q, et al. A Generalized Obfuscation Method to Protect Software of Mobile Apps[C]//2019 15th Interna- tional Conference on Mobile Ad-Hoc and Sensor Networks (MSN).IEEE, 2019:31-36.

[35] Homayoun S,Dehghantanha A,Parizi R M,et al. A blockchain- based framework for detecting malicious mobile applications in app stores[C]//2019 IEEE Canadian Conference of Electrical and Com- puter Engineering (CCECE).IEEE,2019:1-4.

[36] Chen L,Ma Y,Zhipeng S,et al. Research on Mobile Application Local Denial of Service Vulnerability Detection Technology Based on Rule Matching[C]//2019 IEEE International Confe- rence on Energy Internet (ICEI).IEEE,2019:585-590.

Research on Cybersecurity Technique of Internet of Vehicles

NING Yuqiao, ZHAO Hao, HUO Quanrui, YU Mingming

（China Automotive Technology & Research Center Co., Ltd., Tianjin 300300）

The rapid development of Internet of vehicles(IoV) in recent years has not only promoted the development of intelligent connected vehicles, but also brought network security risks. In order to improve the network security protection for IoV, protection technologies for networking components and cloud platforms have been widely studied. This article presents the techniques required for building the security system for the IoV, from the perspectives of vehicle security, communication security, platform security, and mobile application security, and also gives a summary of the latest researches in the field of IoV network security, which can benefit the future researchers in this area.

Internet of vehicles;Network security;Intelligent connected vehicle;Protection technology

U495

A

1671-7988(2021)24-15-07

U495

A

1671-7988(2021)24-15-07

10.16638/j.cnki.1671-7988.2021.024.004

寧玉橋，就職于中國汽車技術(shù)研究中心有限公司，工程師，學(xué)士，主要研究方向?yàn)檐嚶?lián)網(wǎng)安全。

面向車聯(lián)網(wǎng)服務(wù)的邊緣計(jì)算安全與隱私關(guān)鍵技術(shù)研究項(xiàng)目（2018YFE 0126000）資助。