網(wǎng)聯(lián)汽車信息交互系統(tǒng)安全分析

于奇，寧玉橋，霍全瑞

網(wǎng)聯(lián)汽車信息交互系統(tǒng)安全分析

于奇，寧玉橋，霍全瑞

（中汽數(shù)據(jù)有限公司，天津 300300）

隨著車聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)聯(lián)汽車通信、娛樂功能越來越豐富，復(fù)雜的車載信息交互系統(tǒng)所面臨的安全威脅也越來越嚴重。文章從硬件、通信協(xié)議與接口、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)五個方面對車載信息交互系統(tǒng)所面臨的安全威脅進行了介紹，并提出了相應(yīng)防護措施。

信息交互系統(tǒng)；安全威脅；防護措施

前言

隨著智能網(wǎng)聯(lián)汽車的推廣與應(yīng)用，智能網(wǎng)聯(lián)汽車的車聯(lián)網(wǎng)系統(tǒng)和智能終端設(shè)備所帶來的信息安全問題也亟待解決，包括無鑰匙進入和啟動系統(tǒng)被破解，安卓車機系統(tǒng)被持久root等，未來在V2X自動駕駛場景下的任何信息安全威脅，包括消息偽造、消息篡改、身份偽造等，均會對車輛和駕乘人員造成嚴重威脅，嚴重的甚至?xí){到國家安全、社會安全，因此亟需成熟的解決方案來對這些安全問題進行體系化、持續(xù)化測試[1]。

車載信息交互系統(tǒng)是網(wǎng)聯(lián)汽車最重要的組成部分之一，它關(guān)系到遠程車載信息交互系統(tǒng)（T-Box）、車載綜合信息處理系統(tǒng)（IVI）以及其混合體的安全，一旦被黑客攻破，后果不堪設(shè)想。

目前汽車安全測試人員更多憑借自身測試經(jīng)驗與技術(shù)能力，依賴人工手段對智能網(wǎng)聯(lián)汽車進行測試，缺乏可對標的具體測試要求。如何切實有效的對一輛智能網(wǎng)聯(lián)汽車進行信息安全測試，并且能夠體系化對標相關(guān)測試標準，成為汽車信息安全測試行業(yè)目前面臨的亟待解決的難題。且隨著《車載信息交互系統(tǒng)信息安全技術(shù)要求》國家標準的發(fā)布，尋找一種方便快捷的網(wǎng)聯(lián)汽車信息交互系統(tǒng)安全檢測方法十分必要，這就要求我們首先需要了解車載信息交互系統(tǒng)所面臨的安全威脅有哪些，才能更好地針對這些威脅進行安全防護。

1 國內(nèi)外車企信息安全現(xiàn)狀

1.1 國外研究現(xiàn)狀

歐美日等發(fā)達國家在關(guān)鍵零部件、核心芯片、研發(fā)系統(tǒng)、技術(shù)規(guī)范等方面有著十分明顯的優(yōu)勢。歐洲在信息安全方面發(fā)展較早，在整車及零部件制造方面十分強大，著重交通一體化的建設(shè)，對車內(nèi)關(guān)鍵零部件安全、智能交通安全和V2X通信安全十分重視，并完成了相關(guān)產(chǎn)品研發(fā)和技術(shù)推廣應(yīng)用；美國則主張標準和技術(shù)先行的觀點，擁有十分強大的汽車網(wǎng)聯(lián)化、智能化技術(shù)和芯片制作技術(shù)；而日本則更注重對自動駕駛汽車信息安全的研究，擁有先進的汽車智能化技術(shù)[2]。

根據(jù)Upstream發(fā)布的“2021年全球汽車網(wǎng)絡(luò)安全報告”統(tǒng)計，從2010年到2020年十年間，49.3%的攻擊事件是由黑客造成的，其中其他事件是由企業(yè)活動導(dǎo)致私人信息無意泄露或被消費者發(fā)現(xiàn)的事件。

圖1 攻擊事件比例

1.2 國內(nèi)研究現(xiàn)狀

我國直到最近幾年才開始關(guān)注汽車信息安全問題，然而由于發(fā)展時間較晚，技術(shù)積累有限，導(dǎo)致我們信息安全技術(shù)較弱。2016年底，工信部對國內(nèi)的車企、零部件生產(chǎn)商進行了調(diào)研[3]，調(diào)研結(jié)果表明，大部分國內(nèi)車企并未設(shè)置信息安全管理機構(gòu)，缺少信息安全威脅應(yīng)對方案，無法保證網(wǎng)聯(lián)汽車用戶進行實名認證等問題。

2 網(wǎng)聯(lián)汽車信息交互系統(tǒng)安全威脅

車載信息交互系統(tǒng)由T-box（遠程信息處理器）和IVI（車載信息娛樂系統(tǒng)）組成，其示意圖如圖2，主要提供對外通信，遠程控制，信息采集，定位防盜以及影音娛樂等功能。由于其系統(tǒng)復(fù)雜性、對外接口多樣性以及可讀寫CAN總線信息，因此其更容易被攻擊者利用，從而導(dǎo)致信息泄露甚至影響車輛安全駕駛[4]。

圖2 車載信息交互系統(tǒng)

車載信息交互系統(tǒng)所面臨的威脅包括硬件安全威脅、通信協(xié)議與接口安全威脅、操作系統(tǒng)安全威脅、應(yīng)用軟件安全威脅以及數(shù)據(jù)安全威脅這五個部分，下面分別對這五個部分所包含的部分威脅進行詳細介紹。

2.1 硬件安全威脅

汽車零件制造商在制作T-Box和IVI時，為了調(diào)試方便，會在設(shè)備PCB上保留一些調(diào)試口，如JTAG，UART，USB等調(diào)試口，通常這些調(diào)試口信息并沒有進行安全加密，通過這些接口，可登錄到系統(tǒng)內(nèi)部，甚至獲取到root權(quán)限，這就導(dǎo)致系統(tǒng)內(nèi)的用戶數(shù)據(jù)信息面臨著被泄漏的風(fēng)險，更嚴重的是通過篡改系統(tǒng)內(nèi)部文件實現(xiàn)對車輛動力系統(tǒng)的控制；且部分零部件生產(chǎn)廠商在系統(tǒng)芯片上保留了芯片型號絲印，攻擊者可通過芯片型號，輕松查詢到該芯片各個引腳的定義，然后通過設(shè)備直接提取芯片固件或讀取芯片信息，獲取芯片內(nèi)的信息。

2.2 通信協(xié)議安全威脅

通信協(xié)議包括對外通信協(xié)議和內(nèi)部通信協(xié)議，對外通信協(xié)議包括公有遠程通信協(xié)議（例如HTTP、FTP等）、私有遠程通信協(xié)議、藍牙通信協(xié)議和Wi-Fi通信協(xié)議等，內(nèi)部通信協(xié)議主要指CAN總線協(xié)議和以太網(wǎng)協(xié)議。無論是對外通信協(xié)議還是內(nèi)部通信協(xié)議，均面臨著被攻擊的安全威脅。

對外通信協(xié)議可能受到中間人攻擊威脅、洪泛攻擊等。所謂中間人攻擊就是在通信雙方無法察覺的情況下，攻擊者將一臺設(shè)備放置在通訊車輛與服務(wù)平臺之間，對正常通訊信息進行監(jiān)聽或篡改[5]。

車內(nèi)通信如CAN總線協(xié)議可能面臨洪泛攻擊、重放攻擊等。洪泛攻擊是拒絕服務(wù)攻擊的一種[6]。由于車輛CAN總線采取的是基于優(yōu)先級的串行通信機制，在兩個節(jié)點同時發(fā)送信息時，會發(fā)生總線訪問沖突，根據(jù)逐位仲裁原則，借助幀開始部分的標識符，優(yōu)先級低的節(jié)點主動停止發(fā)送數(shù)據(jù)，而優(yōu)先級高的節(jié)點繼續(xù)發(fā)送信息。因此攻擊者可通過OBD等總線接口向CAN總線發(fā)送大量的優(yōu)先級較高的報文或者發(fā)送大量的ping包，導(dǎo)致系統(tǒng)忙于處理攻擊者所發(fā)送的報文，而無法對正常請求報文進行處理，導(dǎo)致車輛正常報文信息無法被識別從而造成危害。

重放攻擊可以利用總線數(shù)據(jù)檢測軟件，總線監(jiān)聽軟件可通過OBD接口錄制車輛動作報文，并通過軟件replay功能重放該報文，從而實現(xiàn)對CAN總線進行攻擊。

2.3 操作系統(tǒng)安全威脅

網(wǎng)聯(lián)汽車操作系統(tǒng)以嵌入式Linux、QNX、Android操作系統(tǒng)為主，但是這些操作系統(tǒng)所使用的代碼十分復(fù)雜，不可避免的會產(chǎn)生安全漏洞，因此操作系統(tǒng)具有安全脆弱性，從而導(dǎo)致網(wǎng)聯(lián)汽車系統(tǒng)面臨著被惡意入侵、控制的風(fēng)險。

操作系統(tǒng)除了面對自身漏洞的威脅，還面臨著系統(tǒng)提權(quán)、操作系統(tǒng)升級文件篡改等威脅。部分汽車操作系統(tǒng)保留了管理員權(quán)限，攻擊者可以通過命令獲取到管理員權(quán)限，從而對系統(tǒng)內(nèi)的文件進行查看或修改。另外目前車輛幾乎均采用遠程無線下載方式進行升級，這種升級方式增強自身安全防護能力，但是這種升級方式也面臨著各種威脅，如：升級過程中，攻擊者通過篡改操作系統(tǒng)文件和MD5文件從而使篡改后的升級包通過系統(tǒng)校驗；傳輸過程中，攻擊者劫持升級包，進行中間人攻擊；生成過程中，若云端的服務(wù)器受到攻擊，會使惡意軟件隨升級包的下載而傳播。

2.4 應(yīng)用軟件安全威脅

據(jù)調(diào)查表明，車載信息交互系統(tǒng)自帶的應(yīng)用軟件和市場上的網(wǎng)聯(lián)汽車遠程控制App普遍缺乏軟件防護機制和安全保護機制。大部分車輛并未對未知應(yīng)用軟件的安裝進行限制，甚至保留了瀏覽器的隱藏入口，這就導(dǎo)致黑客可以通過瀏覽器下載惡意軟件，從而發(fā)起對車載信息交互系統(tǒng)的攻擊。

而對于那些沒有保護機制的遠程控制App，攻擊者可以通過逆向分析軟件對這些App進行分析，可以查詢到TSP的接口、參數(shù)信息。而那些采取了軟件防護機制的遠程控制App也存在防護強度不夠的問題，具備一定黑客技術(shù)的攻擊者還是可以分析出App中存儲的秘鑰、接口等信息。

很多車載應(yīng)用軟件在存儲車主敏感信息時，并未進行加密，攻擊者一旦登錄到車載信息交互系統(tǒng)內(nèi)部，并獲取到根用戶權(quán)限，就可以輕松獲取用戶的個人信息。攻擊者還可以通過欺騙用戶下載木馬程序，從而獲取用戶登錄密碼。或者制作一個假的登錄界面，誘導(dǎo)用戶在假的登錄界面進行登錄，從而盜取登錄信息。

2.5 數(shù)據(jù)安全威脅

網(wǎng)聯(lián)汽車數(shù)據(jù)安全同樣面臨著各種各樣的威脅，網(wǎng)聯(lián)汽車數(shù)據(jù)包括車主個人敏感數(shù)據(jù)、位置信息和Wi-Fi密碼等。大部分網(wǎng)聯(lián)汽車數(shù)據(jù)采取分布式技術(shù)進行存儲，然而在存儲這些數(shù)據(jù)的時候部分廠家并未進行數(shù)據(jù)加密，從而攻擊者很容易通過系統(tǒng)漏洞對這些數(shù)據(jù)進行竊取訪問、非法利用。

目前數(shù)據(jù)安全面臨著數(shù)據(jù)完整性、隱私性和可恢復(fù)性三大挑戰(zhàn)。完整性指的是信息在傳輸、交換、存儲和處理過程中，保持信息不被破壞或篡改、不丟失的特性，也是最基本的安全特征；隱私性即指不將有用信息泄漏給非授權(quán)用戶的特性；可恢復(fù)性指信息資源可被授權(quán)實體按要求訪問、正常使用或在非正常情況下能恢復(fù)使用的特性。

3 信息交互系統(tǒng)防護

3.1 硬件安全防護

硬件安全防護方面，可以將PCB上的絲印去除，增加攻擊者尋找調(diào)試口的難度；PCB上的調(diào)試點分布采取隨機化方式，增加尋找調(diào)試口的時間成本；制造商在產(chǎn)測結(jié)束后，燒掉CPU里的熔絲，從而禁止調(diào)試口的使用。

3.2 通信協(xié)議安全防護

通信協(xié)議安全防護方面，對外通信可使用安全機密的匹配模式，如雙向數(shù)字比較等，來進行安全機密的配對；通過對設(shè)備協(xié)議信息的加密保護，防止攻擊者嗅探到設(shè)備的關(guān)鍵信息并針對性的進行數(shù)據(jù)包破解分析、協(xié)議拒絕服務(wù)攻擊；內(nèi)部通信可以在OBD處做好接入設(shè)備的認證鑒權(quán)機制，AUTOSAR架構(gòu)中使用message counter等防止重放攻擊；關(guān)閉不必要的服務(wù)端口，防止攻擊者通過未關(guān)閉的端口登錄系統(tǒng)；設(shè)置指令白名單，對車載信息交互系統(tǒng)所發(fā)送或接受的信息進行白名單過濾，保證指令的合法性；對于總線上的控制指令進行指令來源校驗，防止惡意程序?qū)囕v的控制。

3.3 操作系統(tǒng)安全防護

操作系統(tǒng)安全防護方面，供應(yīng)商應(yīng)確認未授權(quán)的用戶無法獲取根權(quán)限；操作系統(tǒng)安全啟動信任根存儲區(qū)域應(yīng)禁止寫入數(shù)據(jù)，并且系統(tǒng)啟動時，應(yīng)對啟動文件進行校驗，檢查文件的完整性和可用性；系統(tǒng)升級時，可以在云端保留升級包的MD5文件，升級時網(wǎng)聯(lián)車系統(tǒng)與云端MD5文件進行校驗，防止升級包被篡改；除了某些必要的接口與數(shù)據(jù)外，不同操作系統(tǒng)之前應(yīng)禁止任何通信；系統(tǒng)應(yīng)定期進行內(nèi)存和系統(tǒng)垃圾的清理；非授權(quán)身份應(yīng)禁止訪問系統(tǒng)日志，防止用戶信息等數(shù)據(jù)的泄漏。

3.4 應(yīng)用軟件安全防護

車載應(yīng)用軟件安全防護方面，可以通過代碼混淆、簽名校驗或加殼處理方式對應(yīng)用軟件進行加固，防止黑客對應(yīng)用軟件的逆向，從而保證信息不被泄露；應(yīng)用軟件可采用代碼簽名機制，保證軟件代碼不會被篡改；系統(tǒng)應(yīng)禁止安裝非官方授權(quán)的應(yīng)用軟件，同時用戶也應(yīng)該避免下載不明應(yīng)用程序，防止惡意程序竊取信息；應(yīng)用軟件對外通信的數(shù)據(jù)，應(yīng)對用戶的個人敏感信息進行加密處理，并且進行雙向認證，防止數(shù)據(jù)被竊聽。

3.5 數(shù)據(jù)安全防護

數(shù)據(jù)安全防護方面，在數(shù)據(jù)采集時需要征求被采集人同意，并標明數(shù)據(jù)使用范圍；在數(shù)據(jù)傳輸過程中應(yīng)采取加密傳輸方式，同時對數(shù)據(jù)的完整性進行校驗；在數(shù)據(jù)存儲時，應(yīng)采用加密存儲方式，并對數(shù)據(jù)進行備份且進行安全隔離；訪問數(shù)據(jù)時，用戶只能在授權(quán)范圍內(nèi)對數(shù)據(jù)進行訪問；數(shù)據(jù)銷毀時，對授權(quán)銷毀范圍內(nèi)的數(shù)據(jù)進行銷毀，同時刪除備份數(shù)據(jù)，確保刪除的數(shù)據(jù)無法恢復(fù)。

4 結(jié)論

本文從硬件安全、通信協(xié)議安全、操作系統(tǒng)安全、應(yīng)用軟件安全和數(shù)據(jù)安全這五個方面對網(wǎng)聯(lián)汽車所面臨的主要威脅進行了分析介紹，并針對這些安全威脅給出了相應(yīng)的防護手段。除了汽車生產(chǎn)商需加強對網(wǎng)聯(lián)汽車信息交互系統(tǒng)安全防護措施外，還需完善法律法規(guī)和相應(yīng)的檢測標準和技術(shù)規(guī)范，同時作為用戶也需提高安全防范意識，防止信息泄露。

[1] 蔣樹國,王建海,王小臣.智能網(wǎng)聯(lián)汽車落地面臨的挑戰(zhàn)與建議[J]. 微計算機信息,2018(7):33-37.

[2] 中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟.智能網(wǎng)聯(lián)汽車信息安全白皮書[J].汽車工程,2017,39(06):697.

[3] 趙振堂.車載網(wǎng)絡(luò)異常檢測技術(shù)研究[D].天津:天津理工大學(xué),2018.

[4] 王文揚,陳正,高夕冉,等.車載信息交互系統(tǒng)信息安全[J].信息技術(shù)與信息化,2018(12):106-107.

[5] 劉紅強.密碼與數(shù)據(jù)加密技術(shù)[J].活力,2019(5):229-229.

[6] 王效武,劉英.基于方向的重放攻擊防御機制[J].通信技術(shù), 2019 (6):1500-1503.

Security Analysis of Information Interaction System for Networked Vehicles

YU Qi, NING Yuqiao, HUO Quanrui

( Automotive Data of China Co., Ltd., TianJin 300300 )

With the development of the internet of vehicles technology, the communication and entertainment functions of connected vehicles are becoming more and more abundant, and the security threats faced by the complex in-vehicle information interaction system are becoming more and more serious. This article introduces the security threats faced by the vehicle information interaction system from five aspects: hardware, communication protocol, operating system, application software and data, and gives corresponding protective measures.

Information interaction system;Security threats; Protective measures

U495

A

1671-7988(2021)20-34-04

U495

A

1671-7988(2021)20-34-04

10.16638/j.cnki.1671-7988.2021.020.009

于奇，就職于中汽數(shù)據(jù)有限公司，主要從事汽車信息安全技術(shù)研究等。