车联网是以汽车智能化、网联化为基础,广泛应用新一代通信技术、人工智能技术构建起的新型基础设施。在整体架构上,车联网包括云端应用、通信设施、智能网联车等“云-管-端”三部分。“云”是云端应用,一般是以TSP为主的云端服务,提供了车辆管理、控制、娱乐等功能;“管”是通信设施,实现了云端应用、车机、TBOX、APP及车与车之间的互联,一般会借助4G、5G、WIFI、蓝牙等方式;“端”是指智能网联车,是整个车联网的核心组成部分,包括车端网络架构、TBOX、ECU、IVI、TPMS、APP等设施。
车联网基于“云-管-端”的架构,以智能化、网联化为显著特征,除面对SQL注入、远程命令执行、拒绝服务攻击等传统网络安全威胁,也面临着其特有的安全风险。针对各类威胁,车联网系统一般会采取多种安全防护措施,如访问控制、入侵检测、身份认证、PKI认证、混淆加固。
从系统防护的角度来看,车联网需进一步划分功能组件,以识别不同组件及系统整体安全风险。基于“云-管-端”的系统架构,车联网又可以分为车域网、IVI、TBOX、ECU、TPMS、TSP、APP等组件。
车域网实现了汽车内部不同ECU、TBOX、IVI的互联互通,保障了指令控制、状态监测等功能的正常实现。
车域网通信协议一般包括CAN总线、LIN总线以及WIFI、蓝牙等无线通信方式。CAN总线及LIN总线两种协议作为开放的标准协议,由于在设计之初缺乏安全机制设计,存在较多安全问题,黑客可以通过对CAN总线数据篡改、伪造、重放、防洪等方式实现车辆控制或造成各ECU及功能异常,由此可能带来较为严重的车辆安全事故。
车载信息娱乐系统(简称IVI)是基于车载总线和互联网服务,提供综合信息服务的智能多媒体设备。鉴于智能化的提升,IVI一般能够实现辅助驾驶、故障检测、车辆信息、车身控制、导航、娱乐、应用安装等一系列工作。
IVI丰富的功能及接口为攻击者提供了较大的攻击面。攻击者可以利用各种手段实施攻击,包括针对软件的攻击和针对硬件的攻击。针对软件的攻击主要是对IVI操作系统及其部署的应用软件实施攻击以获取更高系统权限;针对硬件的攻击,主要是对IVI的主板、硬件接口、芯片、引脚等进行固件提取,通过逆向分析手段挖掘系统漏洞以获得更高权限。
TBOX是车载通信网关,借助4G、5G、蓝牙、WIFI等通信方式实现了车与TSP、APP的通信,主要提供通信、远程控制、远程查询及安防服务等功能,是车辆智能化、网联化的核心组件。为保障通信安全,TBOX一般会采取PKI体系实现通信加密。而攻击者一般会试图通过对TBOX固件的逆向分析或者通过TBOX硬件接口,破解密钥及算法,进而实现对通信及指令的篡改,严重影响行车安全。
电子控制单元(ElectronicControlUnit,简称ECU)是汽车内部实现车辆状态控制、记录及改变的单片机或芯片。随着汽车智能化的发展,汽车内部一般会有数十个ECU单元,不同的ECU控制不同的组件,并通过CAN总线进行互联通信,共同完成车辆控制。
ECU固件一般可以被提权进行逆向分析,同时ECU发送到总线上的数据包只有简单标识,无鉴别认证措施。恶意攻击者可以对ECU实施多种类型的攻击,主要包括ECU数据伪造及篡改、ECU数据包重放、ECU烧录恶意程序、虚假信息伪造。
汽车远程服务提供商(TelematicsServiceProvider,简称TSP)在车联网行业中处于核心地位,整合了整车厂、车载设备制造商、网络运营商及内容提供商。目前,TSP一般提供导航、娱乐、安防、车辆管理、功能升级、维修保养等功能,保存有大量用户敏感信息和数据。
随着智能手机的普及,各智能网联车车企均已开发了与车辆相匹配的APP,提供了车辆控制、车辆管理、娱乐社交等功能,实现了远程开锁、空调开关、车门开关等功能。
不同车企的APP基本会通过4G或者5G网络与TSP平台进行通信,同时又借助蓝牙、WIFI等近场通信手段与车端TBOX进行交互,实现车辆控制。攻击者通常会通过对APP进行逆向分析获取APP与TSP,APP与TBOX的通信协议及指令,了解TSP平台的接口及参数信息,对TSP实施入侵,同时通过近场通信方式入侵车辆,严重威胁车辆安全。
二、车联网安全测试策略
车联网网络安全策略
车联网系统一般会包括TSP系统、TBOX、IVI、APP、ECU、TPMS等组件,在测评时一般需要选择安全通用要求,对位于云平台的TSP系统需要选择云计算安全扩展要求,但对TBOX、IVI、APP、ECU、TPMS的测评则需要进一步细化测评指标要求。结合安全威胁分析结果及业务安全需求,初步形成了针对各模块的特殊测评指标。
车联网系统TSP与APP、TBOX、IVI之间涉及控制指令、固件升级包的传输,通信信道安全要求较高,需要对通信双方身份、通信信息加密,同时整个平台需要建立在统一的PKI体系开展身份认证及鉴权,形成了如下特殊指标要求:
通信及密码特殊指标
通信及密码特殊指标(部分)
智能网联车是车联网网络安全的核心。从等保测评的角度来看,车联网系统的网络边界可以扩展到IVI及TBOX,但从功能组件上看,车联网系统还包括车域网、车内ECU及TPMS等组件。结合车端的安全防护需求,编制了车端组件特殊测评指标要求,如下所示:
车端特殊指标
车端特殊指标(部分)
随着智能网联车的普及,用户一般可以通过APP进行车辆状态查看、控制。APP的安全性对车辆安全显得尤为重要。针对APP的安全需求,形成了如下特殊指标要求:
APP特殊指标
APP特殊指标(部分)
针对车联网测评指标及安全威胁,结合现有的测试手段及测试工具,形成了一套有效的车联网系统等级测评测试用例库,部分测试用例如下:
安全测试用例(部分)
为验证测评指标的适用性,选取了几个车联网系统开展了等保测评工作。尽管每个系统功能及架构存在一定的差异,从总体逻辑上来看,各个系统基本符合“云-管-端”三层架构。实际测评对象选取时,将TSP、APP作为重要的测评对象,同时,选取TBOX、IVI作为车端测评对象。在指标选取方面,通信及密码特殊指标、车端特殊指标及APP特殊指标,基本反映了车联网系统基本的安全需求。在某车联网系统等保测评过程中,对APP控车功能的分析后,通过对数据报文的篡改,实现了对任意车辆的泊车及唤车。