車載終端信息安全威脅與防范

羅瓔珞　中國信息通信研究院泰爾終端實驗室工程師方　強　阿里巴巴（北京）軟件服務(wù)有限公司資深專員

車載終端信息安全威脅與防范

羅瓔珞中國信息通信研究院泰爾終端實驗室工程師
方強阿里巴巴（北京）軟件服務(wù)有限公司資深專員

隨著車聯(lián)網(wǎng)的迅速發(fā)展，車載終端的應(yīng)用越來越廣泛，也增加了對各種信息安全威脅的暴露，形成了針對車載終端功能特點的安全需求。本文從多個角度分析了車載終端所面臨的各種信息安全威脅，總結(jié)了信息安全需求，并提出相應(yīng)的技術(shù)方法措施。

車載終端；安全需求；安全威脅

1　引言

隨著汽車電子和互聯(lián)網(wǎng)的不斷發(fā)展，車載終端正在快速向智能化、網(wǎng)聯(lián)化方向演進，不僅承擔越來越多的車身控制、電子電氣系統(tǒng)控制的功能，也為包括駕駛員和乘客在內(nèi)的車輛使用人員提供豐富的信息娛樂服務(wù)。在功能不斷增加的同時，其使用過程中的安全問題被越來越多的用戶所關(guān)注。相對于原來封閉的車內(nèi)電子電氣系統(tǒng)網(wǎng)絡(luò)，能夠與互聯(lián)網(wǎng)連接的車載終端，無論其本身的功能是T-Box還是Infotainment，或者是兩者的融合和升級，信息安全風(fēng)險都會大大增加。近年來，由于信息安全疏忽導(dǎo)致的車輛安全事件屢有發(fā)生，甚至導(dǎo)致汽車廠商大量召回。為了探究車載終端的信息安全問題，保證其良性健康的發(fā)展，有必要對車載終端的安全威脅和安全需求進行分析和探討，從而深入研究所需要的關(guān)鍵安全技術(shù)。本文針對車載終端系統(tǒng)的信息安全需求進行分析，對威脅進行分類，并提出滿足需求對抗威脅的相應(yīng)的技術(shù)防范措施。

2　車載終端的業(yè)務(wù)功能及相應(yīng)的信息安全需求

車載終端的出現(xiàn)和普及是為駕駛?cè)藛T和乘客提供更便利的使用和更愉悅的體驗，因此功能也十分豐富，并且在不斷增加。目前的車載終端主要包括以下幾項功能：

（1）基本車況收集顯示

這類功能起步較早，早期車況信息包括胎壓、油量、水箱溫度以及車外溫度等參數(shù)，在傳統(tǒng)的儀表盤中都會顯示。新興的電動汽車也會顯示電量信息。當智能車載終端廣泛應(yīng)用后，這些信息會集中顯示在車載終端的顯示屏上，用戶有統(tǒng)一的操控界面，提升用戶體驗。

（3）遠程操作

包括遠程開鎖、遠程發(fā)動車輛、遠程開啟空調(diào)等應(yīng)用。這些應(yīng)用通常和網(wǎng)絡(luò)相結(jié)合，使用者通過手機APP或者提供相應(yīng)服務(wù)的Web頁面，遠程對車輛進行操作，大大提升了方便性。

（3）求助與遠程救援

同樣是通過網(wǎng)絡(luò)完成。目前，大量車輛已經(jīng)內(nèi)置了T-Box系統(tǒng)，系統(tǒng)集成了SIM卡，可以連接運營商網(wǎng)絡(luò)，將車輛各ECU中存儲的狀態(tài)系統(tǒng)上傳到TSP平臺，供維修人員參考診斷。很多T-Box提供一鍵救援業(yè)務(wù)，系統(tǒng)自動完成包括診斷、定位車輛等多項任務(wù)，提升了處理緊急問題的效率。

（4）導(dǎo)航

是汽車Infotainment系統(tǒng)的主要功能。實際使用時，導(dǎo)航應(yīng)用會連接網(wǎng)絡(luò)，以獲取實時的路況信息。連接網(wǎng)絡(luò)的方式可以使用車輛使用者用手機提供的Wi-Fi熱點，也可以通過內(nèi)置的SIM卡直接接入蜂窩網(wǎng)絡(luò)。

（5）車內(nèi)娛樂

這類應(yīng)用已逐步走向網(wǎng)絡(luò)化，下載、在線收看等多種方式的普及，給車輛使用者帶來了更好的用戶體驗。為了提高視頻的清晰度和流暢性，車載終端硬件的圖像處理能力也在逐步提升。

（6）自動駕駛

自動駕駛是個熱門應(yīng)用，從自動泊車開始，駕駛者對車的操控在減少，開車變得越來越簡單，越來越放松。目前，已經(jīng)有自動駕駛的汽車通過實際道路檢測，但是這種技術(shù)還需要一定的時間投入才能正式大規(guī)模商用。在自動駕駛過程中，車輛收集大量道路信息，車身周圍人與物體的位置信息，根據(jù)這些信息與車輛的速度方向、交通管理規(guī)定等信息進行運算，這要求車載終端具有足夠的計算能力和實時性。隨著車車通信、車路通信的發(fā)展，車輛收集和運算的信息量將進一步增加，對車載終端處理能力的要求也越來越高。

功能的豐富導(dǎo)致系統(tǒng)復(fù)雜度的增加，包括在芯片、傳感器、移動互聯(lián)操作系統(tǒng)、通信設(shè)備及通信服務(wù)等方面的協(xié)同發(fā)展。整體網(wǎng)絡(luò)架構(gòu)的復(fù)雜化，增加了車輛對各種攻擊的暴露，信息安全需求也變得更加重要和緊迫。信息安全根本屬性中的保密性、完整性、可用性、可認證性和可審計性，在車載終端這一具體應(yīng)用領(lǐng)域，呈現(xiàn)出不同的優(yōu)先級。

●車載終端對訪問和使用的認證需求尤為突出——能夠確保信息被正確的人使用，下達命令的是具備相應(yīng)權(quán)限的正確用戶等。換言之，惡意攻擊者能否破壞車載終端的安全防護，肆意向車輛電子電氣系統(tǒng)各ECU下發(fā)各種指令，威脅到車輛正常使用者的安全，是車載終端設(shè)計和實現(xiàn)時必須要考慮的信息安全首要問題。

●與可認證性相比，完整性也是信息安全各屬性中，相對重要的一方面。傳輸?shù)男畔⒑椭噶钜坏┍淮鄹?，會?dǎo)致與授權(quán)用戶意圖不同，甚至完全相反的操作，發(fā)生信息安全和涉及人身安全的嚴重事件。

●可用性對于依賴車載終端的行車應(yīng)用也是需要保護的安全屬性。很多攻擊在不熟悉車輛系統(tǒng)的漏洞時，往往最先攻擊的是可用性。在擾亂系統(tǒng)的正常運行后，尋找安全薄弱環(huán)節(jié)，進行深度突破。

●保密性是信息安全屬性的基礎(chǔ)。大多數(shù)攻擊通常從嗅探開始，獲取到用戶傳輸?shù)拿魑男畔⒒蛘咝盘?，包括用戶名、密碼等，了解用戶使用的應(yīng)用。破壞保密性，不僅侵犯隱私，同時也為其它攻擊方式提供方便。

●可審計性是信息安全工作的基礎(chǔ)。只有信息安全事件可以審計，才能發(fā)現(xiàn)出現(xiàn)的問題并及時進行處理，避免問題擴大或者更加嚴重。

3　車載終端所面臨的信息安全威脅分類

3.1按照對車載終端信息安全屬性的破壞進行分類

如上文所述，車載終端的信息安全屬性包括機密性、完整性、可用性、可認證性和可審計性。有的威脅針對車載終端的機密性，收集用戶數(shù)據(jù)，導(dǎo)致隱私泄露；有的威脅破壞完整性，有的甚至同時破壞信息安全幾個屬性。本文按照對車載終端信息安全屬性的破壞對威脅進行分類，有針對性地一一進行介紹（見表1）。

表1　按照對車載終端信息安全屬性的破壞對威脅進行分類

（1）竊聽

最基本的威脅，是其它攻擊方式的基礎(chǔ)。車載終端與云端的連接用來傳輸用戶大量隱私數(shù)據(jù)，例如行車數(shù)據(jù)、車輛狀態(tài)信息等會在網(wǎng)絡(luò)中被嗅探。對于車內(nèi)網(wǎng)絡(luò)，當車載終端接入到汽車總線后，CAN總線上明文傳輸?shù)母鞣N控制指令和系統(tǒng)信息被攻擊者竊聽的風(fēng)險增加。攻擊者一旦獲取的車載智能終端的控制權(quán)，很容易獲取所連接總線上傳輸?shù)男畔ⅰ?/p>

（2）偽造

由于缺少對數(shù)據(jù)的認證，攻擊者可以向車載終端注入感染病毒的代碼或者可能導(dǎo)致堆棧溢出的代碼，或者未授權(quán)的指令，對車載終端操作系統(tǒng)、應(yīng)用和車內(nèi)ECU進行任意操作。

（3）阻斷

云端向汽車發(fā)送的信息和指令，可能被攻擊者在網(wǎng)絡(luò)層面進行干擾，而不能正常到達車載終端。而車載終端一旦被非法控制，攻擊者可以屏蔽CAN網(wǎng)絡(luò)的通信網(wǎng)關(guān)轉(zhuǎn)發(fā)的信息，從而實施對車內(nèi)電子電氣系統(tǒng)的阻斷攻擊。

（4）篡改

篡改攻擊是組合了竊聽、阻斷和偽造等多種方式，形成的比較復(fù)雜的攻擊。攻擊既可以篡改車輛駕駛者從云端接收的例如行車路線等相關(guān)數(shù)據(jù)，也可能是從車內(nèi)各ECU回送的狀態(tài)信息，影響駕駛員的正常判斷和操作；或者將車輛駕駛者向ECU發(fā)送的指令進行修改，干擾車輛正常行駛。其后果都十分嚴重。

（5）拒絕服務(wù)

惡意攻擊者通過控制車載終端，向其所連接的總線網(wǎng)絡(luò)發(fā)送大量偽造的數(shù)據(jù)包，占領(lǐng)總線資源，從而導(dǎo)致ECU拒絕服務(wù)。這是針對可用性的常見攻擊方式。

（6）重放

缺少對所收到消息的時效性的驗證，使利用重放攻擊而導(dǎo)致的汽車安全事件屢屢發(fā)生。攻擊者通過竊聽獲得重要的消息，并在自己需要的時候，再次發(fā)送，從而進行非授權(quán)的任意操作。

3.2按照攻擊者發(fā)起的位置對威脅進行分類

（1）遠車攻擊

攻擊者通過網(wǎng)絡(luò)發(fā)起的攻擊，包括通過攻擊汽車各網(wǎng)絡(luò)應(yīng)用平臺，攻擊相應(yīng)的手機APP，或者在通信網(wǎng)絡(luò)中采取各種措施的攻擊（見圖1）。這類攻擊成本低，突破環(huán)節(jié)多，威脅發(fā)生的可能性高。攻擊者也會SQL注入有安全漏洞的Web服務(wù)器端，監(jiān)聽通信信道，甚至利用車載終端遠程通信協(xié)議中的漏洞，比如用于車載終端與遠程呼叫中心通信的AQLINK協(xié)議中缺少控制信息包長的檢驗，或者隨機數(shù)缺陷等漏洞，發(fā)起攻擊。已經(jīng)出現(xiàn)的安全事件包括車載智能系統(tǒng)“Uconnect”被攻破，黑客可以實現(xiàn)遠程控制汽車剎車、油門和方向盤，為此克萊斯勒在美國緊急召回了140萬輛汽車。

（2）近車攻擊

攻擊者在車附近，通過短距離通信的各種協(xié)議，與車輛建立網(wǎng)絡(luò)連接，訪問車輛的信息系統(tǒng)（見圖2）。既包括通過Wi-Fi或者藍牙協(xié)議的連接，也包括使用RKE，胎壓監(jiān)測、RFID車鑰匙的應(yīng)用，甚至攻擊者已經(jīng)開始分析802.11p或者DSRC等新興的，用于車車通信的短距離通信協(xié)議。2015年就有國內(nèi)安全團隊繞過幾款車的門鎖遙控滾碼機制，演示了非授權(quán)開車門的試驗。

（3）車內(nèi)攻擊

是指攻擊者已經(jīng)可以連接到車內(nèi)系統(tǒng)的各接口，包括用于診斷的OBD接口，車載終端提供的USB接口，或者能插入SD卡、CD、DVD的存儲介質(zhì)（見圖3）。這些接口和讀取存儲介質(zhì)的系統(tǒng)都與車內(nèi)總線相連，同時總線也連接了汽車的各ECU。例如，攻擊者通過特別的硬件裝置連接到OBD接口，同時硬件裝置與電腦通過USB或者Wi-Fi進行連接，電腦就接入了車內(nèi)總線，可以發(fā)起探測和攻擊。也有試驗證明，攻擊者也可以通過惡意構(gòu)造的音頻或者視頻文件，對車載終端進行破解。這種攻擊的前提是知道播放器等應(yīng)用的安全漏洞。

圖1　遠車攻擊示意圖

圖2　近車攻擊示意圖

圖3　車內(nèi)攻擊示意圖

4　車載終端發(fā)展趨勢和防范重點

隨著車載終端處理能力的發(fā)展，其功能也將T-Box和Infotainment進行了融合。車載終端本身代碼量的增加，與車輛電子電氣系統(tǒng)的網(wǎng)絡(luò)連通，與云端信息的交互，終端升級機制的簡化，這些車載終端發(fā)展的趨勢以及威脅的特點、威脅發(fā)生的位置等因素決定了圍繞車載終端和針對其自身的安全機制的使用和安全防范的重點。應(yīng)在車載終端設(shè)計開發(fā)的過程中，使用科學(xué)的方法，實現(xiàn)真正的安全措施實施。

4.1加強車載終端文件系統(tǒng)完整性校驗

采用完整性校驗手段對關(guān)鍵代碼或文件進行完整性保護。例如，在硬件的特殊分區(qū)中，保存一份當前操作系統(tǒng)的指紋信息，定期對指紋信息進行校驗，確認操作系統(tǒng)關(guān)鍵文件未被修改。

車載智能終端硬件安全引導(dǎo)應(yīng)提供安全機制，保證只能加載可信的車載操作系統(tǒng)內(nèi)核組件。例如，操作系統(tǒng)的鏡像需要進行廠商簽名。在車載系統(tǒng)啟動時，需要進行簽名驗證，以發(fā)現(xiàn)對操作系統(tǒng)內(nèi)核的非法篡改。

4.2與云端通信的信道安全

車載終端與外部通信，應(yīng)保證所使用信道安全。例如，使用支持網(wǎng)絡(luò)側(cè)和終端側(cè)雙向鑒權(quán)的SIM解決方案，并且在基帶處理中，增加對偽基站識別分析的能力，拒絕接入偽基站。在車載終端和TSP平臺建立相應(yīng)的VPN/VPDN/專用APN等，使車聯(lián)網(wǎng)系統(tǒng)使用相對的專用網(wǎng)絡(luò)，利用加密機制和完整性校驗等技術(shù)手段，對抗竊聽、偽造等多種攻擊。同時，加強云端服務(wù)器安全，嚴格訪問控制策略，加強用戶權(quán)限設(shè)置管理，對口令強度采取必要要求，定期漏洞修補，從而保證平臺測安全。

4.3車內(nèi)安全域隔離和訪問控制

車載終端與車內(nèi)各電子電氣系統(tǒng)劃分安全域，每個安全域有只屬于自己的，不能偽造的標示，并通過相應(yīng)的密鑰對所傳輸?shù)臄?shù)據(jù)進行加密和完整性保護。增加獨立的安全通信模塊，內(nèi)置集成高性能密碼安全芯片和安全操作系統(tǒng)，負責密鑰管理。必要時，在車載終端與車內(nèi)電子電氣系統(tǒng)總線之間添加串行防火墻，對車載終端傳送到各ECU的指令進行檢查，滿足安全性要求再傳遞。

車載終端自身內(nèi)核強制訪問控制：對用戶（或其他主體）與文件（或其他客體）標記固定的安全屬性（如安全級、訪問權(quán)限等），在每次訪問發(fā)生時，系統(tǒng)檢測安全屬性，確定用戶是否有權(quán)訪問該文件。

4.4車載終端應(yīng)用程序安全

必須對應(yīng)用程序在運行過程中使用的文件訪問權(quán)限進行控制。對于使用客戶端數(shù)據(jù)庫存儲數(shù)據(jù)的車載終端，應(yīng)限制數(shù)據(jù)庫訪問權(quán)限。敏感信息需采用安全方式加密存儲，包括計算哈希值、對稱加密、非對稱加密等技術(shù)手段。

應(yīng)用程序自身應(yīng)采取加殼、代碼混淆等適用的對抗逆向安全分析方法的保護，防止攻擊者查找系統(tǒng)漏洞加以利用。

對于程序所收集、產(chǎn)生的用戶數(shù)據(jù)應(yīng)通過計算哈希值方式進行保護時，應(yīng)在計算的源數(shù)據(jù)中加入隨機數(shù)據(jù)，防止敏感信息的哈希值被重放利用。使用對稱加密、非對稱加密等加密算法對敏感信息進行保護時，應(yīng)使用健壯的加密算法，并使用足夠長度的加密密鑰。

4.5終端升級的安全機制

車載終端對更新請求應(yīng)具備自我檢查能力，車載操作系統(tǒng)在更新自身分區(qū)或向其他設(shè)備傳輸更新文件和更新命令的時候，應(yīng)能夠及時聲明自己的身份和權(quán)限。升級操作應(yīng)能正確驗證服務(wù)器身份，識別出偽造的服務(wù)器，或者是高風(fēng)險的鏈接鏈路。升級包在傳輸過程中，通過報文簽名和加密，防篡改和偽造。

4.6加強安全審計安全

車載終端應(yīng)具備記錄所有用戶訪問日志的功能，便于進行適當?shù)膶徲嫼捅O(jiān)控。在完成安裝時應(yīng)開始記錄所有用戶（特別是具有管理權(quán)限的用戶）的訪問。車載終端的日志記錄功能應(yīng)能自動啟動，并將日志文件定向到統(tǒng)一的外部服務(wù)器，便于審計。

在車內(nèi)電子電氣系統(tǒng)總線上也應(yīng)增加入侵檢測功能的模塊，對各類信息進行監(jiān)控，特別是從對外開放的車載終端傳入的數(shù)據(jù)，如有異常立即報警。

5　結(jié)束語

車載終端的信息安全問題必須得到足夠的重視，否則可能由于信息安全問題導(dǎo)致更為嚴重的人身安全問題，這是車聯(lián)網(wǎng)的新特點。按照系統(tǒng)的方法，分析威脅，匯總需求，進一步實施部署安全措施進行防范，才能保證安全措施有效和科學(xué)地執(zhí)行。

Vehicle on-board terminal information security threats and countermeasures

LUO Yingluo，F(xiàn)ANG Qiang

With the rapid development of the Internet of Vehicle， on-board terminal with more and more applications grows very fast. It increases the exposure to information security threats， and leads to specific security requirements. In this paper，we analyze the threats against on-board terminals from different points of view and summarize the requirements. In the end， we list corresponding technical countermeasures.

on-board terminal； security requirement； security threat

2016-05-10）