2017车联网网络安全白皮书.docx
CAICT中国信通院(2017年)卜车联网网络安全白皮书中国信息通信研究院2017年9月H由曩槽豆:各VRQ©MS184KOO<)(MVU*»0091】(MBKVNMSo(VMUiA41.4>a(MOC1.(V1.*WBM0M1.ISWM002WBItt1.9saWOOzj(WBWBItsooIVHI1.ddJXWja«««'Hyw_-MXp«一经销商1.5G/建管小套资料涵藕:经销商开店指南、门店运管、汽车活动策划案例,销售提升技巧、促单培训资料、原客异议处理答微信公众号:在职充电社创业投资系列2017最实用创业投资资料300套2017最新研究报告300套全周期创业手册83份最新融资商业计划书0-6岁CEo创业必备秘籍200套世界百强商业计划书前言近年来,随着汽车保有量的持续增长,道路承载容量在许多城市已达到饱和,交通安全、出行效率、环境保护等问题日益突出。车联网作为信息化与工业化深度融合的重要领域,对促进汽车、交通、信息通信产业的融合和升级,对相关产业生态和价值链体系的重塑具有重要意义。伴随车联网智能化和网联化进程的不断推进,车联网网络安全事件出现,用户生命财产安全受到威胁,车联网安全已成为关系到车联网能否快速发展的重要因素。当前.,正多于车联网发展关键时期,结合国际网络安全整体形势,强化车厚网网以安全保障已成为当务之急。八我院联合中国汽车技术研世心、注海安吉星信息服务有限公司、中国第一汽车股份有限勰技篇心、上海观安信息技术有限公司、北京匡恩网络科技有限货莅'司、北京奇虎科技有限公司、北京启明星辰信息安全技术会限雅,共同推出车联网网络安全白皮书(2017版).本白皮书主要从车联网网络安全现状、威胁分析、防护策略等方面进行分析探讨,井展望车联网网络安全趋势,希望与业界分享,共同推动我国车联网产业的安全健康发展。一、车联网网络安全概述()车联网基本概念(二)网络安全视角卜的车联网2二、车联网网络安全现状6三、车联网网络安全威胁分析9()智能网联汽车安全威胁分析9(二)移动智能终端安全威胁分析15(三)车联网服务平台安全威胁分析15(四)(五)四、乍联网网络安全防护策略(一)(三)(四)(五)16182()20232425272831车联网通信安全威胁分析车联网数据安全和隐私保护威胁分析.<智能网联汽车安全防护策略移动智能终湍安全防护策军联网服务平台安全车联网通信安全防数据安全防护五、乍联网网络安全缩略语.一、车联网网络安全概述(一)车联网基本概念车联网指借助新一代信息和通信技术,实现车内、车与人、车与车、乍与路、车与服务平台的全方位网络连接,提升汽车智能化水平和自动驾驶能力,构建汽车和交通服务新业态,从而提高交通效率,改善汽车驾乘感受,为用户提供智能、舒适、安全、节能、高效的综合服务。车联网以“两端一云”为主体,路基设施为水充,包括智能网联汽车、移动型能终端、车联网服务平台等X覆,涉及车-云通信、车-车通信、车-人通信、车-路通良华内面信五个通信场景,如图1所¢-军通信图1车联网应用场景 车-云通信:智能网联汽车通过蜂窝网络、卫星通信等与车联网服务平台通信,传输车辆数据,接受服务平台下达指令。 车-车通信:智能网联汽车通过1.TE-V2X、802.1Ip与临近车辆进行信息传递。 车-路通信:智能网联汽车通过1.TE-V2X、802.1Ip,射频通信(RFID)等技术与路基设施进行通信。 车-人通信:智能网联汽车通过WiFi、蓝牙或蜂窝移动通信技术与用户的移动智能终端进行信息传递。 车内通信:智能网联汽车内部电W器件E间通过总线等方式进行信息交互。车联网是“互联网+”战略落地的建耍领域,对推动汽车、交通、信息通信业的转型升级具有犯渝义。但我国车联网总体发展还处于起步阶段,业务形态"云"、%"、'渊'为主,"车通信和车路通信目前还处于研发侧试阶段,为此后续安全分析主要围绕车-云通信和车内通信场景展开。(一)网络安全视角下的车联网本书所述网络安全从广义理解,就是:使用一切手段保障车联网网络畅通无阻的运行,保证其尽可能少的被攻击。车联网作为物联网在交通领域的典型应用,内容丰富,涉及面广。基于*云"、"管'、"端”三层架构,网络安全视角卜的车联网如图2所示。5*06)*曲2GK4GMHpAT1.VWWEn1.aN11I>一一I田除IS1.1.i,I»31BJ1MU1.1.EnrOYA1.w三=11:图2网络安全视角下的车联网从防护对象来看,年联网的网络安全应重点关注智能网联汽车安全、移动智能终端安全、车联网服务平台;安全和隐私保护贯穿于车联网的各个信安全,同时数据,是车联网网络安全的重要内容。1.智能网联汽车安全各电子控制单元(E网络安全视角下能网联汽车如图3所示。主要涉及车内总线、bnicContro1.Unit,ECU)×下载诊断(On-BoardDiagnostic,OBD)接口、T-BOX以及车载综合信息系统(In-Vchic1.cInfotainmcn1.,IVI)等的安全风险。车内网络一般是基于总线的通信,包括CAN总线、1.IN总线等:ECU相当于汽车各个系统的大脑,控制着如发动机、变速箱、下灯等部件的运行,通过与车内总线相连,各ECU之间进行信息传递;车载诊断接口OBD(On-BoardDiagnostic)是外接设备与车内总线进行通信的入口,通过OBD中IM,"二I:.奇欣网对格安企白皮H4,接口,可以通过统一诊断服务UDS(UnifiedDiagnosticServices)向ECU发送读写指令;T-BOX作为车内与外界进行信息交换的网关,实现汽车与车联网服务云平台之间的通信;车载综合信息系统IVI可以提供实时路况、导航、信息娱乐、故障检测和辅助驾驶等功能,为乘客带来新的驾乘体验。全、传感器安全、?安全、车载操作系统安全、车载中间件安全智能网联汽车安能网联汽车j护对象来看,包括芯片安全、外围接口安和车载应用软件安全。其中芯片安全涉及电子控制单元ECU,车载操作系统等的芯片安全;外围接口安全包括车载通讯模块T-BOX、车载诊断系统接口OBD等安全;传感器安全包括摄像头和雷达等的传感器安全。2 .车联网移动智能终端安全个联网移动智能终端以智能机等终端设备为主,用于实现人与智能网联汽车、车联网服务平台等的交互,例如车主通过移动智能终端可以发送远程控制指令到云端服务器,云端服务器再将车主的控制指令发送给智能网联汽车,实现对汽车的远程控制等功能,例如远程开启空调、车辆预热等。从防护对象来看,车联网移动智能终端安全应重点关注终端系统安全和ApP安全。3 .车联网服务平台安全车联网服务平台是提供车辆管理与信息内容服务的云端平台,负责车辆及相关设备信息的汇聚、计算、监控和芦理,提供智能交通管控、远程诊断、电子呼叫中心、道路救援等车辆档理服务,以及天气预报、信息资讯等内容服务。车联,服务件徐车联网数据汇聚与远程管控的核心,从安全防护对象来看,粒重点关注于.联网服务平台的平价系统、控制接口、WEB勘渝妾口、账户口令、数据保护等问题。4 .年联网通信安全车联网的目的息城车内、车与人、车与车、车与路、车与服务平台之间的信息通信。主要涉及车内网络、车际网络和车载移动互联网络。其中,车内网络包括CAN总线、UN总线等总线通信,以及W旧、RFID,蓝牙、红外线、NFC等无线通信方式。车际网络实现智能网联汽车之间、智能网联汽车与路基设施的通信,目前,直连模式的车际网络主要涉及1.TE-V2X和IEEE802.1Ip这两种通信方式。车载移动互联网络包括2G/3G/4G/5G、卫星通信等无线通信方式。车联网通信安全从安全防护对象角度,应重点关注车内网络、车际网络和车载移动互联网络等安全。5 .数据安全和隐私保护车联网数据安全从安全防护对象来看,涵盖从数据采集、数据传输、开发利用、数据存储、数据备份与恢曳、数据删除等环节,包括但不仅限于用户信息、用户关注内容、汽车基本控制功能运行数据、汽车固有信息、汽车状态信息、软件信息和功能设置信息等安全。用户隐私信息包括车主信息(如姓名、身份证、电话)、乍辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如母置信息、行驶轨迹),以及用户使用习惯等。二、车联网网络安全现状(一)网络安全事件显现,用户生命财产安全受到威胁车联网网络攻击风险加剧,人身安全受到威胁。目前,已出现针对车联网的网络攻占事件,部分案例中攻击者可控制汽车动力系统,导致驾驶者的生命安全遭到威胁。2015年,克莱斯勒的JeeP车型被国外的安全专家入侵,利用1.inux系统漏洞,远程控制汽车的多媒体系统,进而攻击V850控制器,并对其固件进行修改,获取远程向CAN总线发送指令的权限,达到远程控制动力系统和刹车系统的目的,可在用户不知情的情况下降低汽车的行驶速度、关闭汽车引擎、突然制动或者让制动失灵1O2016年,同款JeeP车型在被物理接触的情况下,被攻击者通过OBD接口注入指令,控制车辆的动力系统,可操控方向盘和刹车系统,严重威胁驾驶员人身安全工黑客破解车联网远程控制账户,车主财产安全受到威胁。2016年,来自挪威安全公司Promon的专家在入侵用户手机的情况下,获取特斯拉App账户用户名和密码,通过登录特斯拉车联网服务平台可以随时对车辆进行定位、追踪,并解锁、启动车辆,地终导致车辆被盗,造成用户的财产损失二(二)车联网产业链长、防护环节众多,网络安全问题复杂武车联网作为物联网在智能交吹域的典型应用,其产业链覆盖“两端一云”,主要围绕安全、号能出行和信息娱乐,涵盅元器件供应商、设备生产商、整车(商、渝庾件技术提供商、通信服务商、信息服务提供商等。由广车联扃产业链较长,且网络安全防护对象多样,安全防护环节众多、有血!免存在产业链某一环节,如元器件供应商,无法在产品中实现足够的安全防护措施,导致存在薄弱环节。同时,车联网还面临网络安全需求复杂,网络安全防护手段建设缺乏针对性和系统性等问题。:hUp:/autn.chuia.coni.c«»'iicKVX''20160S(X5i'6775SS.shtni1.ttps,www.ithomc.oo<n,him1.aut,k27542him(三)安全企业、整车厂商加快安全布局,但尚未深入合作目前,国内以比亚迪、上汽等为代表的整车厂商已开始车联网网络安全工作部署,并取得一定进展。在网络安全技术研发方面,企业内部初步形成了跨部门的合作机制:以安全为基准的全新生产线逐步替代传统的生产线,不断加强下联网全生命周期各环节的网络安全管理。而以梆梆安全、奇虎360、匡恩网络为代表的安全企业在安全防护技术研发和产品创新方面也取得初步成效,厚r提供汽车卫士、汽测试、安全评测服车总线安全评估工具等软硬件产品外,还务;比亚迪、蔚来等整车厂商也探索彳网安全解决方案。但整体来看,购和黑盒测试为主,双方£R科恩实验室提供的车联商和安全企业的合作以服务采进行安全方案设计和安全方案评估的案例有限。(四)车联网安全发展势头良好,但难以快速改善当前车联网产业发展迅速,车联网网络安全已得到相关管理部门和业界的普遍关注,相关安全政策、安全标准研究制定工作正在积极推进,车联网安全关犍技术和产品创新得到鼓励和支持,伴随相关工作成果的逐步落地,车联网安全发展的局面将逐步形成。但现阶段车辆安全技术仍在过渡中,部分车联网安全技术研发和应用推广还需时口,生产线升级换代和安全产品部署应用需要一定周期,以ISO26262VSAEJ3061,等为指导原则的开发流程落地实施还有一段距离。此外,存量汽乍的淘汰周期较长,如何加强存量汽车的网络安全能力目前尚无成熟解决方案。三、车联网网络安全威胁分析本章从智能网联汽车、移动智能终端、车联网服务平台、网络通信、数据安全和隐私保护五方面出发,对车联网网络安全威胁进行分析。(一)智能网联汽车安全威胁分析击的重要对象T-BOX是车载智能终端于车与车联网服务平台之间通信。线通信,实现指令和信息的传递:另一一方而,T-BOX可与方/1. T-BOX提供无线网络通信厂是逆向分析和网络攻面,其内置调制解调器,可通过数据网络、语音、短信等与车联网服务平台交互,是车内外信息交互的纽带。T-BOX主要面临几方面的安全威胁:一是固件逆向,攻击者通过逆向分析T-BoX固件,获取加密算法和密钥,解密通信协议,用于窃听或伪造指令:二是信息窃取,攻击者通过T-BOX预留调试接口读取内部数据用于攻击分析,或者通过对通信端口的数据抓包,获取用户通信数据。,定位八。电1旬电广系统安全的nUHMk很,信息物理汽中系饺网络安全指南2. CAN总线是汽车控制中枢,是攻击防护的底线CAN总线是由德国博世公司研发,遵循ISO1.I898及ISoI1.519,已成为汽车控制系统标准总线。CAN总线相当于汽车的神经网络,连接车内各控制系统,其通信采用广播机制,各连接部件均可收发控制消息,通信效率高,可确保通信实时性。CAN总线安全风险在于:一是通信缺乏加密和访问控制机制,可被攻击者逆向总线通信协议,分析出汽车控制指令,用于攻击指令伪造:二是通信缺乏认证及消息校伪造、拒绝服务、重放等攻击,安全隔离来确保智能网联汽验机制,不能对攻击者伪造、篡改的异常消息学行识别和预警。鉴于CAN总线的特性,攻击者可通过物理侵入或远程收人的方式实施消息车内部CAN网络不被非法艾次3. OBD接口连接汽车左外,外接设备成为攻击来源QBD是车载诊断系统接口,是智能网联汽车外部设备接入CAN线的重要接口,可下发诊断指令与总线进行交互,进行车辆故障诊断、控制指令收发。目前OBD和CAN存在三种安全级别的交互模式:是OBD接口设备对CAN总线数据可读可写,此类安全风险最大;:是OBD接口设备对CAN总线可读不可写;三是OBD接口设备对CAN总线可读,但读取时需遵循特定协议规范且无法修改EeU数据,如商用车遵循CAN总线SAEJI939协议,后两者安全风险较小。IO今欣网M皆大勺6:卜;,中国1.;月近1.if匕定OBD接口面临的安全风险有三类:一是攻击者可借助OBD接D,破解总线控制协议,解析ECU控制指令,为后续攻击提供帮助;:是IO隐患ECU是汽车微机控制器,也被脑一样,由微处理器(CPU)、库的大脑“,它和普通的电(ROM、RAM)等部件组成。ECU的微处理器芯片是最主要(E元,其核心技术掌握在英飞凌、飞思OBD接口接入的外接设备可能存在攻击代码,接入后容易将安全风险引入到汽车总线网络中,对汽车总线控制带来威胁;三是OBD接门没有鉴权与认证机制,无法识别恶意消息和攻击报文。目前较多接触式攻击均通过OBD接口实施,2016年B1.aCkHa【大会上,查理米勒和克里斯瓦拉塞克演示了通过OBD接口设备,攻击汽车CAN总线,干扰汽车驾驶。此外,OBD设备还可采集总线数据、伪造ECU控制信息,造成TCU自动变速箱控制单元等系统故障。4. ECU事关车辆行驶安全,芯片漏;同及固件漏洞是主要卡尔、恩智浦、瑞萨y外资企业手中,技术架构存在一定差异。目前汽车ECU数量众多,可达几十至上百个,类型包括EMS发动机管理系统、TCU自动变速箱控制单元、BCM车身控制模块、ESP车身电子稳定系统、BMS电池管理系统、TPMS轮胎压力监测系统等。且随着汽车技术的发展和功能的增加,汽车ECU的数量逐年增加。ECU作为微处理器,主要面临如下安全威胁:一是ECU芯片本身可能存在设计漏洞,可能存在认证、鉴权风险。如第一代iPhone3GS就曾经存在硬件漏洞,可用于越狱提权且无法进行软件修复;二是ECU固件应用程序可能存在安全漏洞,可能导致代码执行或拒绝服务。2015年通用汽车TCU软件模块就爆出过memcpy()缓冲区溢出漏洞":三是ECU更新程序可能缺乏签名和校验机制,导致系统固件被改写,修改系统逻辑或预留系统后门。例如美国发生过攻击者利用ECU调试权限修改固件程序,解锁盗窃车辆的案例。5. 车载操作系统基于传统IT操作系统,面临已知漏洞威胁车载操作系统是管理和控制车载硬件与车载软件资源的程序系统,目前主要有WinCE、QNX、1.inux、AndrOid等。其中QNX是第个符合ISO26262ASI1.D规范的类UniN系统,占据较大市场份额。操作系统,代码迁移中i计带移植已知漏洞,例如WinCE、Unix、1.inux、Android等过内核提权、缓冲区溢出等漏洞,由于现下载操作系统面临如湾:网络安全威胁:一是系统继承自传统有车载操作系统升级较少,也存在类似系统漏洞风险:是系统存在被攻击者安装恶意应用的风险,可能影响系统功能,窃取用户数据;三是车载操作系统组件及应用可能存在安全漏洞,例如库文件、Web程序、FTP程序可能存在代码执行漏洞,导致车载操作系统遭到连带攻击。6. IVI功能复杂攻击而广,面临软硬件攻击IV1.车载信息娱乐系统是采用车载芯片,基于车身总线系统和互军联网网络安全白皮H12017邠)中国馆总迎伶研咒院,mp.,.'darpa-acksgmj)nMar-t-cn0<c<omro1.adc(r1.ct-i1.684593523联网形成的车载综合信息处理系统,通常具备辅助驾驶、故障检测、车辆信息采集、车身控制、移动办公、无线通信等功能,并与车联网服务平台交互。IV1.附属功能众多,常包括蓝牙、W1.F1.热点、USB等功能,攻击面大、风险多。IVI面临的主要威胁包括软硬件攻击两方面。一是攻击者可通过软件升级的方式,在升级期间获得访问权限进入目标系统;:是攻击者可拆解IV1.的众多硬件接口,包括内部总线、无线访问模块、其他适配接口(如USB)等,通过对车载电路进彳磔听、逆向等获取IV1.系统内信息,进而采取更多攻击。、然科7. OTA将成为主流功能,步成为褊攻击渠道远程升级(Over-The-Air,OTA£指通过云端升级技术,为具有连网功能的设备以按需、易扩展口渝获取系统升级包,并通过OTA进快速修复安全漏洞和软件故障,成为车联网必备功能。其面临的主要威胁包括:一是攻击者可能利用固件校验、签名漏洞,刷入篡改固件,例如2015年,查理米勒和克里斯瓦拉塞克攻击JeePChe2kee乍联网系统时,就利用了瑞萨V85OES芯片固件更新没有签名的漏洞,刷入自制固件,进而控制汽车控制:二是攻击者可能阻断远程更新获取,阻止厂商用于修熨安全漏洞。8. 传感器是辅助驾驶的基础,面临干扰和拒绝服务攻辅助驾驶需要传感器采集周边环境数据,并进行计算分析为汽车自动驾驶、紧急制动等功能服务。目前传感器主要包括超声波雷达、毫米波雷达和摄像头等信息采集设备中所用到传感器.其中,超声波雷达频率低,主要对近距离干扰源进行探测:亳米波雷达探测距离可到50-150米。从安全风险来看,对于超声波雷达,存在外来信源欺骗攻击,易受到相同波长的信号干扰导致识别出不存在的障碍物,干扰或直接影响行车安全;对于电米波雷达,可能面临唤声攻击而导致无法检测障碍物,使传感器停止工作;摄像头,存在强光或自动驾驶汽车的整过信号干扰、强光致盲红外线照射致盲的风险,进而影响行不安车控制。目前360已多次在安全大会等干扰雷达和摄像头工作,进而斯拉汽车的正常行驶。9.多功能汽车钥起九信号中继及算法破解威胁较大车钥匙目前大军采用无线信号和蓝牙技术。当前面临的威胁有:一是攻击者通过信号中维或者信号重放的方式,窃取用户无线钥匙信号,并发送给智能汽车,进而欺骗车辆开锁。例如新西兰奥克兰发生过攻击者通过使用黑客工具RoIIJam截取车主钥匙信号,盗窃车辆的案例'二是寻找汽车钥匙解决方案漏洞,进行攻击。例如HCS滚码芯片和kee1.oq算法曾爆出安全漏洞,对于满足特定条件的信号,汽车会永久判断成功并开锁。;htscc.chinnbyc.con,340,1360WH().sh(m1.(二)移动智能终端安全威胁分析1 .移动APP成为车联网标配,应用破解成为主要威胁移动APP及远程控制已经成为众多车企的选择,具备远程开启空调、门锁,远程启动车辆等功能,目前通用、比亚迪等汽乍厂商均已有相关产品。车联网APP因其广泛应用及易于获取等特点成为黑客攻击的热点,尤其是AndrOid及iOS应用逆向技术的成熟,越来越多的攻击者选择通过调试或者反编译应用来获取通信密钥、分析通信协议,并结合车联网远程控制功能伪造控制指令干扰夕户使用,例如进行远程锁定、开启天窗等操作。、西科2 .移动智能终端系统安契接影车联网安全移动智能终端是车联网重啰1成之二,对车联网安全的威胁体现在两方面。一是移动智能(端赢入车内WiFi局域网,可作为攻击智能网联汽车的跳板。/移动智能终端无论是AndrOid还是iOS,:者都存在被攻击横德意代码的风险。在连接车内热点的情况下,可作为跳板进一步对IV1.和车载操作系统进行攻击,渗透到智能网联汽车内部,威胁汽车行驶。二是移动智能终端可能存有客户敏感数据,被攻击后存在泄露风险,如车联网服务平台账户、密码、认证凭证等信息,攻击者若控制移动智能终端,可进一步获取账户密码,登录服务平台控制影响汽车安全。(三)车联网服务平台安全威胁分析1 .车联网服务云平台面临传统的云平台安全问题车联网服务平台一般基于云计算技术,也容易将云冲算本身的安全问题引入到平台中,主要包括如下几方面安全威胁:平台层面存在传统的操作系统漏洞威胁及虚拟资源调度问题;应用层面,服务平台同样面临SQ1.注入、跨站脚本安全攻击:访问控制方面,而临用户鉴权、账户口令安全等问题;此外,还包括拒绝服务攻击等其他网络安全风险。2 .弱身份认证使得车联网管理平台暴露给攻击者,面临网络攻击年联网管理平台负责不辆控制和敏感与车辆通信应基于互信原则。在基于较强的访问控制策略来实现通信立及输,操作权限较高,络通信的条件下,需通过保仅有安全可信的用户才能求,使得攻击者仍f伪造凭证的方式访问车联网管理平台,并进访问管理平台,但目前较多管理平台实现的访问控制策略偏弱,仅通过车机编码或固定凭i田方式进行认证,无法满足较强的访问控制需行网络攻击。(四)车联网通信安全威胁分析1 .通信协议破解和中间人攻击成为车-云通信主要威车-云通信在车联网安全中占据重要地位,成为车联网攻击的主要方式,面临的主要威胁是中间人等攻击。攻击者通过伪基站、DNS劫持等手段劫持T-BoX会话,监听通信数据,一方面可以用于通信协议破解,另一方面可窃取汽车敏感数据,如汽车标识VIN、用户账户信息等。此外,在破解协议基础上,结合会话劫持,攻击者可以基于中间人伪造协议而实施对汽车动力系统的非法控制。2015年1月来H德国ADAC安全研究员基于中间人对宝马ConnectedDrive进行攻击,通过伪基站逆向了通信控制协议后伪造控制指令解锁车门二引起了人们的关注。2 .恶意节点成为车-车通信威胁,可信通信面临挑战在未来车联网应用场景中,宜连模式的多车通信将成为路况信息传递、路障报警的重要途径。车联网中M联汽陞面临节点频繁接入昌退出,现阶段1.TE-V2X网络接工,退出海中,不能有效实施对辆节点的安全接入控制,线可信i襄控节点的隔离与惩罚机制还未建立完善,1.TE-V2X可信网,环境的安全隐患突出。一旦存在恶意节铲点入侵,可通过俄I0z物造、其改车-车通信或者通过重放攻击影响车-车通信信息的真实性,破坏车-车通信消息的真实性,影响路况信息的传递。3 .协议破解及认证是车联网短距离通信主要威胁伴随多种无线通信技术和接口的广泛应用,车辆节点需要部署多个无线接口,实现WiFi、蓝牙、802.1Ip.1.TE-V2X等多种网络的连接。短距离通信中的协议破解及认证机制的破解已成为当前的主要威hctpswww.prcss.bfnwrupcm1.oba1.articte,dciui.T<>202503EN't>mw-rup-cc<c(oddrivc-ircascdauMrcun1.ynid-re)xn>eu*tvportH4ron-(1.wgerna-auU>11M)b1.earta1.in1.acZhngmgeen胁。通过实现WiFi、蓝牙等认证口令破解,攻击者可以通过WiFi或蓝牙接入到汽车内部网络,获取汽车内部数据信息或者进行渗透攻击。(五)车联网数据安全和隐私保护威胁分析车联网中的数据来源于用户、ECU、传感器、IV1.及操作系统、第三方应用及车联网服务平台等,种类包括用户身份信息、汽车运行状态、用户驾驶习惯、地理位置信息、用户关注内容等敏感信息,在车辆保险、用户行为分析等方面具备很大价值,将是未来车联网安全重点,主要面临如下安全风险:目前,车联网相关数据主要存处智能网联汽车和车联网服务平台上,存储和传输方案主要由绛W厂点:车联网服务商设计实现。由于数据的采集、传输、存储等环急有统一的安全要求,可能因访问控制不严、数据存短不当遍因导致数据被窃。如汽车端数据可能被OBD外接设备IF.法/取、IV1.系统数据可能被第三方应用越界读取、网络传输数据可能被攻击者嗅探或遭受中间人攻击、车联网服务平台端数据可能被非法和越权访问。数据被窃通常与业务设计、技术实现有关,将是车联网安全防护的重要内容。2 .数据过度采集和越界使用成为隐私保护主要问题车联网信息服务所采集的如车主身份信息(如姓名、身份证、电话)、车辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如位置信息、行班!轨迹),以及用户的驾驶习惯等,都属于用户个人隐私信息。目前由整车厂商、车联网服务平台商采集和利用。根据我国个人信息保护原则,个人信息的搜集需遵循“知情同意”、“最小必要、'、"目的限定”三大原则,但由于车联网属于新兴行业,管理还在完善中,对于哪些数据可被采集、数据如何利用、是否可以分享给第三方等关键问题,目前还需要细化管理要求,因此目前数据采集和使用还存在侵犯用户隐私的风险。3 .数据跨境流动问题成为威胁国家安全潜在隐患车联网数据包含道路、地理等信息,涉及I嬖安全,应加强管理,目前车联网数据汇总于车联网服务平台,存在云阜台数据跨境流动管理问题,主要体现在两个方面:一夕存在凝那联网服务商跨界服务隐患。我国部分汽车属于境外强i汽车;其网络服务及后台服务可能由境外通信企业和整车企业提援r通信数据及车联网数据传往境外,可能泄露国家地理位置信息:危害国家安全。二是存在境内外云平台数据共享隐患。我M石.大多为合资企业,车联网服务以境内云平台为主,但其外资公司通常负贡全球车联网运营,境内平台与境外平台是否互联,是否存在数据传输共享,是国家数据管理需要关注的重点内容。此外,随着新能源汽车应用,以充电桩为代表的车联网外部设备也存在数据窃取、篡改、非法访问等风险,鉴于其属于外部设备,此处未将其纳入分析.四、车联网网络安全防护策略车联网复杂的应用场景和技术实现使其存在较多安全风险,需要采取综合手段来防护,为此我院经过多轮调研,总结了汽车企业、通信企业、互联网企业及安全企业的代表性防护措施,以供行业参考借鉴。(一)智能网联汽车安全防护策略智能网联汽车安全是车联网网络安全的核心,也是企业安全防护的重点,主要责任主体是整车厂商,目前以':黑卷留护”为主线,逐步建立以安全生命周期管理为基础,以夕:硬件宓全防护为保障的防护体系,抵御攻击破解和逆向分析,保护智晶网联汽车安全。1 .整车厂商采用私克曲护线,隐藏技术实现增加攻击难度0"目前,不同整车/V两爱用的车辆技术方案不同,通常为自行研发或者采用TiCrI供应赢供的解决方案,系统的技术实现、接口和通信协议也存在差异,主流的设备如T-Box、IV1.和车载操作系统H行定制、:次开发较多,不同产品采用的硬件架构、操作系统均有差异。各整车厂习惯隐藏技术细节,关闭调试接口,增加攻击者分析难度,将保护对象藏在“黑盒”中保护起来。2 .安全开发生命周期管理成为智能网联汽车网络安全防护的必要手段安全开发生命周期管理成为当前智能网联汽车网络安全防护的统做法,ISo26262汽车安全完整性水平为汽车安全提供r生命周期管理理念,涉及管理、开发、生产、经营、服务、报废等环节。美国SAE也于2016年发布SAEJ306I信息物理汽车系统网络安全指南,作为汽车网络安全方面的过程框架,把网络安全融入车辆研发、生成、测试、安全响应等整个生命周期,为识别和评估网络安全威胁提供指导。日本信息处理推进机构提出了】PACar模型,按照汽车的生命周期(策划、开发、使用、废弃),侬出相应的信息安全对-比亚迪、上汽等整车厂商已初艾形成了羽部网络安全工作机制,将安全开发生命周期相关的信息安全洛理部门纳入智能网联汽车网络安全管控体系中,进行,风企蠹,涵盖汽车规划、设计、研发等各个阶段。规划阶%、对麻网联汽车建设的安全需求进行梳理,编制智能网联汽车网M卷的可行性方案:系统设计阶段,通过网络安全分析确定并设置系统的网络安全等级,落实“最小特权”原则、“深度防御”原则;系统开发阶段,开展渗透测试、安全需求的认证、信息安全评估等工作;产品系统发布后,完成后续产品的网络安全规划、监控与事件响应,并完成相关的辅助管理。3 .硬件安全芯片成为抵御攻击、保障智能网联汽车安全可控的载体通过硬件安全芯片强化智能网联汽车安全防护已成为未来重要方向,当前相关企业已研发出硬件安全模块(HardWareSecurityModu1.e,HSM),将加密算法、访问控制、完整性检查嵌入到汽车控制系统,以加强ECU的安全性,提升安全级别。目前汽车安全芯片的主流设计规范有SHE(SecureHiudwareExtension)和EVITA(E-safetyvehic1.eintrusionprotectedapp1.ications)等,前者主要是宝马、通用大量采用,后者主要由欧洲其他的车企参与。SHE主要以提供AES-128密码计算为主。EVrrA架构中,通过在EeU的CPU中配套部署密码协处理器HSM,负责执行所有密码计昊入包括加解密、完整性4*校验、数字签名等。EV1.TA分为完整蜜、中也实现和轻量级实现三个级别,不同级别实现的加密算法种类、余理和存储单元访问控制策略上有所区别。基于EV1.TA架构的HsM可实现安全引导、认证和加密等功能。,4目前硬件防护主要提供的安全功能包括:安全引导、安全调试、安全通信、安全存储、完整性监测、信道防护、硬件快速加密、设备识别、消息认证、执行隔离等,这些措施可有效的加强ECU的安全性,不过硬件安全部署成本高,目前尚未广泛应用。4 .软件防护手段成为智能网联汽车安全防护有效补充在智能网联汽车硬件安全模块尚未规模部署的情况下,软件安全防护成为保障智能网联汽车安全的替代方案。主流防护手段包括:是搭建自有OTA更新服务,提供智能网联汽车操作系统、固件、应用等软件服务的远程升级更新,进行功能更新或安全修复:二是软件形式实现防火墙及访问控制功能,对智能网联汽车进出流量进行控制、过滤,典型做法是在T-BOX中配置安全策略,限定网络可访问地址、通信端口、通信协议,加强网络访问控制。部分车型通过部署CAN总线网关,对多路总线间的通信指令进行过漉,加强控制指令管理;三是在IVI系统中加入签名认证服务,实行可信管理.,仅允许运行经过可信签名的应用,避免第三方应用对车载操作系统造成危害:四是通过软件方式实现加密,包括固件加密、通信内容加密、数据存储加密、数字签名等功能,防范固件逆向、窃听和数据?取;五是部分安全厂商基于自身业务研发乍联网安全检测类工、具及车薇TI上类应用,对车载系统进行恶意软件安全检测;六外对耐旋器干扰等拒绝服务攻击,在传感器控制系统中增加智能峻和:i处理机制,防止恶意用户干扰造成传感器功能异常。卜,众多软件安全防护功能匕定程度上增加了攻击者远程攻击的难度,提升了智能网星网络安全防护水平。(二)移动智能终端安全防护策略鉴于移动应用风险较大,采取应用加固和渗透测试成为车联网终端应用防护的主要手段。移动应用基于通用架构,安全逆向技术成熟,常成为攻击者进行协议分析和发起网络攻击的突破口。目前较多整车厂商已与梆梆安全、奇虎360、腾讯科恩等安全公司开展合作,一方面通过代码混淆、加密、反调试等方式对车联网移动应用进行加固,另一方面在应用正式发布前,邀请安全团队对车联网应用开展安全渗透测试,寻找漏洞并进行修梵,借助安全厂商的力量提升移动智能终端应用的安全。<三)车联网服务平台安全防护策略车联网服务平台承载着控制指令下达、数据汇聚存储的重要功能,目前防护手段主要有:1.利用成熟云平台安全技术保障车联网服务平台安全当前车联网服务平台均采用云计第技术,通过现有网络安全防护技术手段进行安全加固,部署有网络防火墙、,侵检测系统、入侵防护系统、Web防火墙等安全设备,覆盖系煞网络、应用等多个层面,并由专业团队运营。如上汽和阿里夕资成赢"智行有限公司,负责上汽乘用乍云平台运营,利用呀:云也:能力搭建可信云平台。比亚迪将新能源云平台搭建在私有群%上,由集团内独立业务部门运营,搭建相对安全的云平台。2.部署云平分集备管控能力,强化智能网联汽车安全防护能力车联网服务平台功能逐步强化,已成为集数据采集、功能管控于一体的核心平台,并部署多类安全云服务,强化智能网联汽车安全管理,具体包括:一是设立云端安全检测服务,部分车型通过分析云端交互数据及车端日志数据,检测乍载终端是否存在异常行为以及隐私数据是否泄露,进行安全防范。此外,云平台还具备远程删除恶意软件能力;二是完善远程OTA更新功能,加强更新校验和签名认证,适配固件更新(FOTA)和软件更新(SOTA),在发现安全漏洞时快速更新系统,大幅降低召回成本和漏洞的暴露时间;三是建立车联网证书管理机制,用于智能网联汽车和用户身份验证,为用户加密密钥和登录凭证提供安全管理;四是开展威胁情报共享,在整车厂商、服务提供商及政府机构之间进行安全信息共享,并进行软件升级和漏洞修复。(四)车联网通信安全防护策略目前的车联网通信安全防护主要针对“车-云”通信,以加强访问控制并开展异常流量监测为主。S1 .加强军教端访问控制、实施分域管施;降低安全风险建立安全分级访问机制,智能网联汽福%配备有两个APN接入网络。APN1.负责车辆控制域(QCanZCnC)通信,主要传输汽车控制指令及智能