车联网指借助新一代信息和通信技术,实现车内、车与人、车与车、车与路、车与服务平台的全方位网络连接,提升汽车智能化水平和自动驾驶能力,构建汽车和交通服务新业态,从而提高交通效率,改善汽车驾乘感受,为用户提供智能、舒适、安全、节能、高效的综合服务。
车联网以“两端一云”为主体,路基设施为补充,包括智能网联汽车、移动智能终端、车联网服务平台等对象,涉及车-云通信、车-车通信、车-人通信、车-路通信、车内通信五个通信场景。
图1车联网应用场景
网络安全从广义理解,就是:使用一切手段保障车联网网络畅通无阻的运行,保证其尽可能少的被攻击。
车联网作为物联网在交通领域的典型应用,内容丰富,涉及面广。基于“云”、“管”、“端”三层架构,网络安全视角下的车联网如图2所示。
图2网络安全视角下的车联网
1.智能网联汽车安全
网络安全视角下的智能网联汽车如图3所示。主要涉及车内总线、各电子控制单元(ElectronicControlUnit,ECU)、车载诊断(On-BoardDiagnostic,OBD)接口、T-BOX以及车载综合信息系统(In-VehicleInfotainment,IVI)等的安全风险。车内网络一般是基于总线的通信,包括CAN总线、LIN总线等;ECU相当于汽车各个系统的大脑,控制着如发动机、变速箱、车灯等部件的运行,通过与车内总线相连,各ECU之间进行信息传递;车载诊断接口OBD(On-BoardDiagnostic)是外接设备与车内总线进行通信的入口,通过OBD接口,可以通过统一诊断服务UDS(UnifiedDiagnosticServices)向ECU发送读写指令;T-BOX作为车内与外界进行信息交换的网关,实现汽车与车联网服务云平台之间的通信;车载综合信息系统IVI可以提供实时路况、导航、信息娱乐、故障检测和辅助驾驶等功能,为乘客带来新的驾乘体验。
智能网联汽车安全从防护对象来看,包括芯片安全、外围接口安全、传感器安全、车钥匙安全、车载操作系统安全、车载中间件安全和车载应用软件安全。其中芯片安全涉及电子控制单元ECU、车载操作系统等的芯片安全;外围接口安全包括车载通讯模块T-BOX、车载诊断系统接口OBD等安全;传感器安全包括摄像头和雷达等的传感器安全。
2.车联网移动智能终端安全
车联网移动智能终端以智能手机等终端设备为主,用于实现人与智能网联汽车、车联网服务平台等的交互,例如车主通过移动智能终端可以发送远程控制指令到云端服务器,云端服务器再将车主的控制指令发送给智能网联汽车,实现对汽车的远程控制等功能,例如远程开启空调、车辆预热等。
3.车联网服务平台安全
4.车联网通信安全
5.数据安全和隐私保护
(一)智能网联汽车安全威胁分析
1.T-BOX提供无线网络通信接口,是逆向分析和网络攻击的重要对象
T-BOX是车载智能终端,主要用于车与车联网服务平台之间通信。一方面,T-BOX可与CAN总线通信,实现指令和信息的传递;另一方面,其内置调制解调器,可通过数据网络、语音、短信等与车联网服务平台交互,是车内外信息交互的纽带。T-BOX主要面临几方面的安全威胁:一是固件逆向,攻击者通过逆向分析T-BOX固件,获取加密算法和密钥,解密通信协议,用于窃听或伪造指令;二是信息窃取,攻击者通过T-BOX预留调试接口读取内部数据用于攻击分析,或者通过对通信端口的数据抓包,获取用户通信数据。
2.CAN总线是汽车控制中枢,是攻击防护的底线
CAN总线是由德国博世公司研发,遵循ISO11898及ISO11519,已成为汽车控制系统标准总线。CAN总线相当于汽车的神经网络,连接车内各控制系统,其通信采用广播机制,各连接部件均可收发控制消息,通信效率高,可确保通信实时性。CAN总线安全风险在于:一是通信缺乏加密和访问控制机制,可被攻击者逆向总线通信协议,分析出汽车控制指令,用于攻击指令伪造;二是通信缺乏认证及消息校验机制,不能对攻击者伪造、篡改的异常消息进行识别和预警。鉴于CAN总线的特性,攻击者可通过物理侵入或远程侵入的方式实施消息伪造、拒绝服务、重放等攻击,需要通过安全隔离来确保智能网联汽车内部CAN网络不被非法入侵。
OBD是车载诊断系统接口,是智能网联汽车外部设备接入CAN总线的重要接口,可下发诊断指令与总线进行交互,进行车辆故障诊断、控制指令收发。目前OBD和CAN存在三种安全级别的交互模式:一是OBD接口设备对CAN总线数据可读可写,此类安全风险最大;二是OBD接口设备对CAN总线可读不可写;三是OBD接口设备对CAN总线可读,但读取时需遵循特定协议规范且无法修改ECU数据,如商用车遵循CAN总线SAEJ1939协议,后两者安全风险较小。
OBD接口面临的安全风险有三类:一是攻击者可借助OBD接口,破解总线控制协议,解析ECU控制指令,为后续攻击提供帮助;二是OBD接口接入的外接设备可能存在攻击代码,接入后容易将安全风险引入到汽车总线网络中,对汽车总线控制带来威胁;三是OBD接口没有鉴权与认证机制,无法识别恶意消息和攻击报文。目前较多接触式攻击均通过OBD接口实施,2016年BlackHat大会上,查理·米勒和克里斯·瓦拉塞克演示了通过OBD接口设备,攻击汽车CAN总线,干扰汽车驾驶。此外,OBD设备还可采集总线数据、伪造ECU控制信息,造成TCU自动变速箱控制单元等系统故障。
4.ECU事关车辆行驶安全,芯片漏洞及固件漏洞是主要隐患
ECU是汽车微机控制器,也被称为“汽车的大脑”,它和普通的电脑一样,由微处理器(CPU)、存储器(ROM、RAM)等部件组成。ECU的微处理器芯片是最主要的运算单元,其核心技术掌握在英飞凌、飞思卡尔、恩智浦、瑞萨等外资企业手中,技术架构存在一定差异。目前汽车ECU数量众多,可达几十至上百个,类型包括EMS发动机管理系统、TCU自动变速箱控制单元、BCM车身控制模块、ESP车身电子稳定系统、BMS电池管理系统、TPMS轮胎压力监测系统等。且随着汽车技术的发展和功能的增加,汽车ECU的数量逐年增加。
ECU作为微处理器,主要面临如下安全威胁:一是ECU芯片本身可能存在设计漏洞,可能存在认证、鉴权风险。如第一代iPhone3GS就曾经存在硬件漏洞,可用于越狱提权且无法进行软件修复;二是ECU固件应用程序可能存在安全漏洞,可能导致代码执行或拒绝服务。2015年通用汽车TCU软件模块就爆出过memcpy()缓冲区溢出漏洞;三是ECU更新程序可能缺乏签名和校验机制,导致系统固件被改写,修改系统逻辑或预留系统后门。例如美国发生过攻击者利用ECU调试权限修改固件程序,解锁盗窃车辆的案例。
5.车载操作系统基于传统IT操作系统,面临已知漏洞威胁
车载操作系统是管理和控制车载硬件与车载软件资源的程序系统,目前主要有WinCE、QNX、Linux、Android等。其中QNX是第一个符合ISO26262ASILD规范的类Unix实时操作系统,占据较大市场份额。
车载操作系统面临如下传统网络安全威胁:一是系统继承自传统操作系统,代码迁移中可能附带移植已知漏洞,例如WinCE、Unix、Linux、Android等均已出现过内核提权、缓冲区溢出等漏洞,由于现有车载操作系统升级较少,也存在类似系统漏洞风险;二是系统存在被攻击者安装恶意应用的风险,可能影响系统功能,窃取用户数据;三是车载操作系统组件及应用可能存在安全漏洞,例如库文件、Web程序、FTP程序可能存在代码执行漏洞,导致车载操作系统遭到连带攻击。
6.IVI功能复杂攻击面广,面临软硬件攻击
IVI车载信息娱乐系统是采用车载芯片,基于车身总线系统和互联网形成的车载综合信息处理系统,通常具备辅助驾驶、故障检测、车辆信息采集、车身控制、移动办公、无线通信等功能,并与车联网服务平台交互。IVI附属功能众多,常包括蓝牙、WIFI热点、USB等功能,攻击面大、风险多。
IVI面临的主要威胁包括软硬件攻击两方面。一是攻击者可通过软件升级的方式,在升级期间获得访问权限进入目标系统;二是攻击者可拆解IVI的众多硬件接口,包括内部总线、无线访问模块、其他适配接口(如USB)等,通过对车载电路进行窃听、逆向等获取IVI系统内信息,进而采取更多攻击。
7.OTA将成为主流功能,也成为潜在攻击渠道
远程升级(Over-The-Air,OTA)指通过云端升级技术,为具有连网功能的设备以按需、易扩展的方式获取系统升级包,并通过OTA进行云端升级,完成系统修复和优化的功能。远程升级有助于整车厂商快速修复安全漏洞和软件故障,成为车联网必备功能。其面临的主要威胁包括:一是攻击者可能利用固件校验、签名漏洞,刷入篡改固件,例如2015年,查理·米勒和克里斯·瓦拉塞克攻击JeepCherokee车联网系统时,就利用了瑞萨V850ES芯片固件更新没有签名的漏洞,刷入自制固件,进而控制汽车控制;二是攻击者可能阻断远程更新获取,阻止厂商用于修复安全漏洞。
8.传感器是辅助驾驶的基础,面临干扰和拒绝服务攻击
辅助驾驶需要传感器采集周边环境数据,并进行计算分析为汽车自动驾驶、紧急制动等功能服务。目前传感器主要包括超声波雷达、毫米波雷达和摄像头等信息采集设备中所用到传感器。其中,超声波雷达频率低,主要对近距离干扰源进行探测;毫米波雷达探测距离可到50-150米。从安全风险来看,对于超声波雷达,存在外来信源欺骗攻击,易受到相同波长的信号干扰导致识别出不存在的障碍物,干扰或直接影响行车安全;对于毫米波雷达,可能面临噪声攻击而导致无法检测障碍物,使传感器停止工作;对于高清摄像头,存在强光或红外线照射致盲的风险,进而影响行车安全或干扰自动驾驶汽车的整车控制。目前360已多次在安全大会上演示通过信号干扰、强光致盲等干扰雷达和摄像头工作,进而影响特斯拉汽车的正常行驶。
9.多功能汽车钥匙流行,信号中继及算法破解威胁较大
车钥匙目前大多采用无线信号和蓝牙技术。当前面临的威胁有:一是攻击者通过信号中继或者信号重放的方式,窃取用户无线钥匙信号,并发送给智能汽车,进而欺骗车辆开锁。例如新西兰奥克兰发生过攻击者通过使用黑客工具RollJam截取车主钥匙信号,盗窃车辆的案例7。二是寻找汽车钥匙解决方案漏洞,进行攻击。例如HCS滚码芯片和keeloq算法曾爆出安全漏洞,对于满足特定条件的信号,汽车会永久判断成功并开锁。
(一)车联网安全将成为安全产业发展的重点领域
(二)安全标准将成为助推车联网安全发展的必要手段
(三)整车厂商和服务提供商将成为撬动车联网安全的关键角色
(四)构建全链条的综合立体防御体系将是车联网安全发展的必然趋势
随着车联网的不断深化发展,其面临的网络攻击手段日益复杂,构建贯穿车联网云管端的综合立体防御体系将是保障车联网安全发展的必然趋势。一是要建立层次化的纵深防御体系,构建覆盖产品设计、研发、测试、发布全生命周期,涵盖智能网联汽车、移动智能终端、车联网服务平台以及多种类型网络通信的多级、多域的防护体系,综合运用安全分级、访问控制、加密技术、入侵检测技术,实现安全防护技术全覆盖;二是要从单点、被动的安全防护,向被动安全检测和主动安全管控相结合的综合防御体系转变,借助大数据、机器学习、人工智能等技术,实现自动化威胁识别、风险阻断和攻击溯源。借助密码技术和可信计算逐步实现车联网可信安全,从本质上提升车联网安全防御水平,提升对未知威胁的防御能力和防御效率。
(五)安全试点示范将驱动车联网安全产业快速发展
我国已初步构建由北京-河北、重庆、浙江、吉林、湖北,以及上海和无锡组成的“5+2”车联网示范区格局,在推动融合创新、促进产业集聚、培育新业态等方面已开始发挥积极作用。借助车联网示范区的示范带动作用,积极开展车联网安全试点示范工作,遴选车联网安全技术水平领先的企业和典型的车联网安全防护解决方案进行示范推广,进一步促进安全新技术、防护新方案成果转化和市场普及,驱动车联网安全产业的快速发展。