車載終端信息安全威脅與防范

羅瓔珞　中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室工程師方　強(qiáng)　阿里巴巴（北京）軟件服務(wù)有限公司資深專員

車載終端信息安全威脅與防范

羅瓔珞中國(guó)信息通信研究院泰爾終端實(shí)驗(yàn)室工程師
方強(qiáng)阿里巴巴（北京）軟件服務(wù)有限公司資深專員

隨著車聯(lián)網(wǎng)的迅速發(fā)展，車載終端的應(yīng)用越來(lái)越廣泛，也增加了對(duì)各種信息安全威脅的暴露，形成了針對(duì)車載終端功能特點(diǎn)的安全需求。本文從多個(gè)角度分析了車載終端所面臨的各種信息安全威脅，總結(jié)了信息安全需求，并提出相應(yīng)的技術(shù)方法措施。

車載終端；安全需求；安全威脅

1　引言

隨著汽車電子和互聯(lián)網(wǎng)的不斷發(fā)展，車載終端正在快速向智能化、網(wǎng)聯(lián)化方向演進(jìn)，不僅承擔(dān)越來(lái)越多的車身控制、電子電氣系統(tǒng)控制的功能，也為包括駕駛員和乘客在內(nèi)的車輛使用人員提供豐富的信息娛樂服務(wù)。在功能不斷增加的同時(shí)，其使用過(guò)程中的安全問(wèn)題被越來(lái)越多的用戶所關(guān)注。相對(duì)于原來(lái)封閉的車內(nèi)電子電氣系統(tǒng)網(wǎng)絡(luò)，能夠與互聯(lián)網(wǎng)連接的車載終端，無(wú)論其本身的功能是T-Box還是Infotainment，或者是兩者的融合和升級(jí)，信息安全風(fēng)險(xiǎn)都會(huì)大大增加。近年來(lái)，由于信息安全疏忽導(dǎo)致的車輛安全事件屢有發(fā)生，甚至導(dǎo)致汽車廠商大量召回。為了探究車載終端的信息安全問(wèn)題，保證其良性健康的發(fā)展，有必要對(duì)車載終端的安全威脅和安全需求進(jìn)行分析和探討，從而深入研究所需要的關(guān)鍵安全技術(shù)。本文針對(duì)車載終端系統(tǒng)的信息安全需求進(jìn)行分析，對(duì)威脅進(jìn)行分類，并提出滿足需求對(duì)抗威脅的相應(yīng)的技術(shù)防范措施。

2　車載終端的業(yè)務(wù)功能及相應(yīng)的信息安全需求

車載終端的出現(xiàn)和普及是為駕駛?cè)藛T和乘客提供更便利的使用和更愉悅的體驗(yàn)，因此功能也十分豐富，并且在不斷增加。目前的車載終端主要包括以下幾項(xiàng)功能：

（1）基本車況收集顯示

這類功能起步較早，早期車況信息包括胎壓、油量、水箱溫度以及車外溫度等參數(shù)，在傳統(tǒng)的儀表盤中都會(huì)顯示。新興的電動(dòng)汽車也會(huì)顯示電量信息。當(dāng)智能車載終端廣泛應(yīng)用后，這些信息會(huì)集中顯示在車載終端的顯示屏上，用戶有統(tǒng)一的操控界面，提升用戶體驗(yàn)。

（3）遠(yuǎn)程操作

包括遠(yuǎn)程開鎖、遠(yuǎn)程發(fā)動(dòng)車輛、遠(yuǎn)程開啟空調(diào)等應(yīng)用。這些應(yīng)用通常和網(wǎng)絡(luò)相結(jié)合，使用者通過(guò)手機(jī)APP或者提供相應(yīng)服務(wù)的Web頁(yè)面，遠(yuǎn)程對(duì)車輛進(jìn)行操作，大大提升了方便性。

（3）求助與遠(yuǎn)程救援

同樣是通過(guò)網(wǎng)絡(luò)完成。目前，大量車輛已經(jīng)內(nèi)置了T-Box系統(tǒng)，系統(tǒng)集成了SIM卡，可以連接運(yùn)營(yíng)商網(wǎng)絡(luò)，將車輛各ECU中存儲(chǔ)的狀態(tài)系統(tǒng)上傳到TSP平臺(tái)，供維修人員參考診斷。很多T-Box提供一鍵救援業(yè)務(wù)，系統(tǒng)自動(dòng)完成包括診斷、定位車輛等多項(xiàng)任務(wù)，提升了處理緊急問(wèn)題的效率。

（4）導(dǎo)航

是汽車Infotainment系統(tǒng)的主要功能。實(shí)際使用時(shí)，導(dǎo)航應(yīng)用會(huì)連接網(wǎng)絡(luò)，以獲取實(shí)時(shí)的路況信息。連接網(wǎng)絡(luò)的方式可以使用車輛使用者用手機(jī)提供的Wi-Fi熱點(diǎn)，也可以通過(guò)內(nèi)置的SIM卡直接接入蜂窩網(wǎng)絡(luò)。

（5）車內(nèi)娛樂

這類應(yīng)用已逐步走向網(wǎng)絡(luò)化，下載、在線收看等多種方式的普及，給車輛使用者帶來(lái)了更好的用戶體驗(yàn)。為了提高視頻的清晰度和流暢性，車載終端硬件的圖像處理能力也在逐步提升。

（6）自動(dòng)駕駛

自動(dòng)駕駛是個(gè)熱門應(yīng)用，從自動(dòng)泊車開始，駕駛者對(duì)車的操控在減少，開車變得越來(lái)越簡(jiǎn)單，越來(lái)越放松。目前，已經(jīng)有自動(dòng)駕駛的汽車通過(guò)實(shí)際道路檢測(cè)，但是這種技術(shù)還需要一定的時(shí)間投入才能正式大規(guī)模商用。在自動(dòng)駕駛過(guò)程中，車輛收集大量道路信息，車身周圍人與物體的位置信息，根據(jù)這些信息與車輛的速度方向、交通管理規(guī)定等信息進(jìn)行運(yùn)算，這要求車載終端具有足夠的計(jì)算能力和實(shí)時(shí)性。隨著車車通信、車路通信的發(fā)展，車輛收集和運(yùn)算的信息量將進(jìn)一步增加，對(duì)車載終端處理能力的要求也越來(lái)越高。

功能的豐富導(dǎo)致系統(tǒng)復(fù)雜度的增加，包括在芯片、傳感器、移動(dòng)互聯(lián)操作系統(tǒng)、通信設(shè)備及通信服務(wù)等方面的協(xié)同發(fā)展。整體網(wǎng)絡(luò)架構(gòu)的復(fù)雜化，增加了車輛對(duì)各種攻擊的暴露，信息安全需求也變得更加重要和緊迫。信息安全根本屬性中的保密性、完整性、可用性、可認(rèn)證性和可審計(jì)性，在車載終端這一具體應(yīng)用領(lǐng)域，呈現(xiàn)出不同的優(yōu)先級(jí)。

●車載終端對(duì)訪問(wèn)和使用的認(rèn)證需求尤為突出——能夠確保信息被正確的人使用，下達(dá)命令的是具備相應(yīng)權(quán)限的正確用戶等。換言之，惡意攻擊者能否破壞車載終端的安全防護(hù)，肆意向車輛電子電氣系統(tǒng)各ECU下發(fā)各種指令，威脅到車輛正常使用者的安全，是車載終端設(shè)計(jì)和實(shí)現(xiàn)時(shí)必須要考慮的信息安全首要問(wèn)題。

●與可認(rèn)證性相比，完整性也是信息安全各屬性中，相對(duì)重要的一方面。傳輸?shù)男畔⒑椭噶钜坏┍淮鄹模瑫?huì)導(dǎo)致與授權(quán)用戶意圖不同，甚至完全相反的操作，發(fā)生信息安全和涉及人身安全的嚴(yán)重事件。

●可用性對(duì)于依賴車載終端的行車應(yīng)用也是需要保護(hù)的安全屬性。很多攻擊在不熟悉車輛系統(tǒng)的漏洞時(shí)，往往最先攻擊的是可用性。在擾亂系統(tǒng)的正常運(yùn)行后，尋找安全薄弱環(huán)節(jié)，進(jìn)行深度突破。

●保密性是信息安全屬性的基礎(chǔ)。大多數(shù)攻擊通常從嗅探開始，獲取到用戶傳輸?shù)拿魑男畔⒒蛘咝盘?hào)，包括用戶名、密碼等，了解用戶使用的應(yīng)用。破壞保密性，不僅侵犯隱私，同時(shí)也為其它攻擊方式提供方便。

●可審計(jì)性是信息安全工作的基礎(chǔ)。只有信息安全事件可以審計(jì)，才能發(fā)現(xiàn)出現(xiàn)的問(wèn)題并及時(shí)進(jìn)行處理，避免問(wèn)題擴(kuò)大或者更加嚴(yán)重。

3　車載終端所面臨的信息安全威脅分類

3.1按照對(duì)車載終端信息安全屬性的破壞進(jìn)行分類

如上文所述，車載終端的信息安全屬性包括機(jī)密性、完整性、可用性、可認(rèn)證性和可審計(jì)性。有的威脅針對(duì)車載終端的機(jī)密性，收集用戶數(shù)據(jù)，導(dǎo)致隱私泄露；有的威脅破壞完整性，有的甚至同時(shí)破壞信息安全幾個(gè)屬性。本文按照對(duì)車載終端信息安全屬性的破壞對(duì)威脅進(jìn)行分類，有針對(duì)性地一一進(jìn)行介紹（見表1）。

表1　按照對(duì)車載終端信息安全屬性的破壞對(duì)威脅進(jìn)行分類

（1）竊聽

最基本的威脅，是其它攻擊方式的基礎(chǔ)。車載終端與云端的連接用來(lái)傳輸用戶大量隱私數(shù)據(jù)，例如行車數(shù)據(jù)、車輛狀態(tài)信息等會(huì)在網(wǎng)絡(luò)中被嗅探。對(duì)于車內(nèi)網(wǎng)絡(luò)，當(dāng)車載終端接入到汽車總線后，CAN總線上明文傳輸?shù)母鞣N控制指令和系統(tǒng)信息被攻擊者竊聽的風(fēng)險(xiǎn)增加。攻擊者一旦獲取的車載智能終端的控制權(quán)，很容易獲取所連接總線上傳輸?shù)男畔ⅰ?/p>

（2）偽造

由于缺少對(duì)數(shù)據(jù)的認(rèn)證，攻擊者可以向車載終端注入感染病毒的代碼或者可能導(dǎo)致堆棧溢出的代碼，或者未授權(quán)的指令，對(duì)車載終端操作系統(tǒng)、應(yīng)用和車內(nèi)ECU進(jìn)行任意操作。

（3）阻斷

云端向汽車發(fā)送的信息和指令，可能被攻擊者在網(wǎng)絡(luò)層面進(jìn)行干擾，而不能正常到達(dá)車載終端。而車載終端一旦被非法控制，攻擊者可以屏蔽CAN網(wǎng)絡(luò)的通信網(wǎng)關(guān)轉(zhuǎn)發(fā)的信息，從而實(shí)施對(duì)車內(nèi)電子電氣系統(tǒng)的阻斷攻擊。

（4）篡改

篡改攻擊是組合了竊聽、阻斷和偽造等多種方式，形成的比較復(fù)雜的攻擊。攻擊既可以篡改車輛駕駛者從云端接收的例如行車路線等相關(guān)數(shù)據(jù)，也可能是從車內(nèi)各ECU回送的狀態(tài)信息，影響駕駛員的正常判斷和操作；或者將車輛駕駛者向ECU發(fā)送的指令進(jìn)行修改，干擾車輛正常行駛。其后果都十分嚴(yán)重。

（5）拒絕服務(wù)

惡意攻擊者通過(guò)控制車載終端，向其所連接的總線網(wǎng)絡(luò)發(fā)送大量偽造的數(shù)據(jù)包，占領(lǐng)總線資源，從而導(dǎo)致ECU拒絕服務(wù)。這是針對(duì)可用性的常見攻擊方式。

（6）重放

缺少對(duì)所收到消息的時(shí)效性的驗(yàn)證，使利用重放攻擊而導(dǎo)致的汽車安全事件屢屢發(fā)生。攻擊者通過(guò)竊聽獲得重要的消息，并在自己需要的時(shí)候，再次發(fā)送，從而進(jìn)行非授權(quán)的任意操作。

3.2按照攻擊者發(fā)起的位置對(duì)威脅進(jìn)行分類

（1）遠(yuǎn)車攻擊

攻擊者通過(guò)網(wǎng)絡(luò)發(fā)起的攻擊，包括通過(guò)攻擊汽車各網(wǎng)絡(luò)應(yīng)用平臺(tái)，攻擊相應(yīng)的手機(jī)APP，或者在通信網(wǎng)絡(luò)中采取各種措施的攻擊（見圖1）。這類攻擊成本低，突破環(huán)節(jié)多，威脅發(fā)生的可能性高。攻擊者也會(huì)SQL注入有安全漏洞的Web服務(wù)器端，監(jiān)聽通信信道，甚至利用車載終端遠(yuǎn)程通信協(xié)議中的漏洞，比如用于車載終端與遠(yuǎn)程呼叫中心通信的AQLINK協(xié)議中缺少控制信息包長(zhǎng)的檢驗(yàn)，或者隨機(jī)數(shù)缺陷等漏洞，發(fā)起攻擊。已經(jīng)出現(xiàn)的安全事件包括車載智能系統(tǒng)“Uconnect”被攻破，黑客可以實(shí)現(xiàn)遠(yuǎn)程控制汽車剎車、油門和方向盤，為此克萊斯勒在美國(guó)緊急召回了140萬(wàn)輛汽車。

（2）近車攻擊

攻擊者在車附近，通過(guò)短距離通信的各種協(xié)議，與車輛建立網(wǎng)絡(luò)連接，訪問(wèn)車輛的信息系統(tǒng)（見圖2）。既包括通過(guò)Wi-Fi或者藍(lán)牙協(xié)議的連接，也包括使用RKE，胎壓監(jiān)測(cè)、RFID車鑰匙的應(yīng)用，甚至攻擊者已經(jīng)開始分析802.11p或者DSRC等新興的，用于車車通信的短距離通信協(xié)議。2015年就有國(guó)內(nèi)安全團(tuán)隊(duì)繞過(guò)幾款車的門鎖遙控滾碼機(jī)制，演示了非授權(quán)開車門的試驗(yàn)。

（3）車內(nèi)攻擊

是指攻擊者已經(jīng)可以連接到車內(nèi)系統(tǒng)的各接口，包括用于診斷的OBD接口，車載終端提供的USB接口，或者能插入SD卡、CD、DVD的存儲(chǔ)介質(zhì)（見圖3）。這些接口和讀取存儲(chǔ)介質(zhì)的系統(tǒng)都與車內(nèi)總線相連，同時(shí)總線也連接了汽車的各ECU。例如，攻擊者通過(guò)特別的硬件裝置連接到OBD接口，同時(shí)硬件裝置與電腦通過(guò)USB或者Wi-Fi進(jìn)行連接，電腦就接入了車內(nèi)總線，可以發(fā)起探測(cè)和攻擊。也有試驗(yàn)證明，攻擊者也可以通過(guò)惡意構(gòu)造的音頻或者視頻文件，對(duì)車載終端進(jìn)行破解。這種攻擊的前提是知道播放器等應(yīng)用的安全漏洞。

圖1　遠(yuǎn)車攻擊示意圖

圖2　近車攻擊示意圖

圖3　車內(nèi)攻擊示意圖

4　車載終端發(fā)展趨勢(shì)和防范重點(diǎn)

隨著車載終端處理能力的發(fā)展，其功能也將T-Box和Infotainment進(jìn)行了融合。車載終端本身代碼量的增加，與車輛電子電氣系統(tǒng)的網(wǎng)絡(luò)連通，與云端信息的交互，終端升級(jí)機(jī)制的簡(jiǎn)化，這些車載終端發(fā)展的趨勢(shì)以及威脅的特點(diǎn)、威脅發(fā)生的位置等因素決定了圍繞車載終端和針對(duì)其自身的安全機(jī)制的使用和安全防范的重點(diǎn)。應(yīng)在車載終端設(shè)計(jì)開發(fā)的過(guò)程中，使用科學(xué)的方法，實(shí)現(xiàn)真正的安全措施實(shí)施。

4.1加強(qiáng)車載終端文件系統(tǒng)完整性校驗(yàn)

采用完整性校驗(yàn)手段對(duì)關(guān)鍵代碼或文件進(jìn)行完整性保護(hù)。例如，在硬件的特殊分區(qū)中，保存一份當(dāng)前操作系統(tǒng)的指紋信息，定期對(duì)指紋信息進(jìn)行校驗(yàn)，確認(rèn)操作系統(tǒng)關(guān)鍵文件未被修改。

車載智能終端硬件安全引導(dǎo)應(yīng)提供安全機(jī)制，保證只能加載可信的車載操作系統(tǒng)內(nèi)核組件。例如，操作系統(tǒng)的鏡像需要進(jìn)行廠商簽名。在車載系統(tǒng)啟動(dòng)時(shí)，需要進(jìn)行簽名驗(yàn)證，以發(fā)現(xiàn)對(duì)操作系統(tǒng)內(nèi)核的非法篡改。

4.2與云端通信的信道安全

車載終端與外部通信，應(yīng)保證所使用信道安全。例如，使用支持網(wǎng)絡(luò)側(cè)和終端側(cè)雙向鑒權(quán)的SIM解決方案，并且在基帶處理中，增加對(duì)偽基站識(shí)別分析的能力，拒絕接入偽基站。在車載終端和TSP平臺(tái)建立相應(yīng)的VPN/VPDN/專用APN等，使車聯(lián)網(wǎng)系統(tǒng)使用相對(duì)的專用網(wǎng)絡(luò)，利用加密機(jī)制和完整性校驗(yàn)等技術(shù)手段，對(duì)抗竊聽、偽造等多種攻擊。同時(shí)，加強(qiáng)云端服務(wù)器安全，嚴(yán)格訪問(wèn)控制策略，加強(qiáng)用戶權(quán)限設(shè)置管理，對(duì)口令強(qiáng)度采取必要要求，定期漏洞修補(bǔ)，從而保證平臺(tái)測(cè)安全。

4.3車內(nèi)安全域隔離和訪問(wèn)控制

車載終端與車內(nèi)各電子電氣系統(tǒng)劃分安全域，每個(gè)安全域有只屬于自己的，不能偽造的標(biāo)示，并通過(guò)相應(yīng)的密鑰對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加密和完整性保護(hù)。增加獨(dú)立的安全通信模塊，內(nèi)置集成高性能密碼安全芯片和安全操作系統(tǒng)，負(fù)責(zé)密鑰管理。必要時(shí)，在車載終端與車內(nèi)電子電氣系統(tǒng)總線之間添加串行防火墻，對(duì)車載終端傳送到各ECU的指令進(jìn)行檢查，滿足安全性要求再傳遞。

車載終端自身內(nèi)核強(qiáng)制訪問(wèn)控制：對(duì)用戶（或其他主體）與文件（或其他客體）標(biāo)記固定的安全屬性（如安全級(jí)、訪問(wèn)權(quán)限等），在每次訪問(wèn)發(fā)生時(shí)，系統(tǒng)檢測(cè)安全屬性，確定用戶是否有權(quán)訪問(wèn)該文件。

4.4車載終端應(yīng)用程序安全

必須對(duì)應(yīng)用程序在運(yùn)行過(guò)程中使用的文件訪問(wèn)權(quán)限進(jìn)行控制。對(duì)于使用客戶端數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)的車載終端，應(yīng)限制數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限。敏感信息需采用安全方式加密存儲(chǔ)，包括計(jì)算哈希值、對(duì)稱加密、非對(duì)稱加密等技術(shù)手段。

應(yīng)用程序自身應(yīng)采取加殼、代碼混淆等適用的對(duì)抗逆向安全分析方法的保護(hù)，防止攻擊者查找系統(tǒng)漏洞加以利用。

對(duì)于程序所收集、產(chǎn)生的用戶數(shù)據(jù)應(yīng)通過(guò)計(jì)算哈希值方式進(jìn)行保護(hù)時(shí)，應(yīng)在計(jì)算的源數(shù)據(jù)中加入隨機(jī)數(shù)據(jù)，防止敏感信息的哈希值被重放利用。使用對(duì)稱加密、非對(duì)稱加密等加密算法對(duì)敏感信息進(jìn)行保護(hù)時(shí)，應(yīng)使用健壯的加密算法，并使用足夠長(zhǎng)度的加密密鑰。

4.5終端升級(jí)的安全機(jī)制

車載終端對(duì)更新請(qǐng)求應(yīng)具備自我檢查能力，車載操作系統(tǒng)在更新自身分區(qū)或向其他設(shè)備傳輸更新文件和更新命令的時(shí)候，應(yīng)能夠及時(shí)聲明自己的身份和權(quán)限。升級(jí)操作應(yīng)能正確驗(yàn)證服務(wù)器身份，識(shí)別出偽造的服務(wù)器，或者是高風(fēng)險(xiǎn)的鏈接鏈路。升級(jí)包在傳輸過(guò)程中，通過(guò)報(bào)文簽名和加密，防篡改和偽造。

4.6加強(qiáng)安全審計(jì)安全

車載終端應(yīng)具備記錄所有用戶訪問(wèn)日志的功能，便于進(jìn)行適當(dāng)?shù)膶徲?jì)和監(jiān)控。在完成安裝時(shí)應(yīng)開始記錄所有用戶（特別是具有管理權(quán)限的用戶）的訪問(wèn)。車載終端的日志記錄功能應(yīng)能自動(dòng)啟動(dòng)，并將日志文件定向到統(tǒng)一的外部服務(wù)器，便于審計(jì)。

在車內(nèi)電子電氣系統(tǒng)總線上也應(yīng)增加入侵檢測(cè)功能的模塊，對(duì)各類信息進(jìn)行監(jiān)控，特別是從對(duì)外開放的車載終端傳入的數(shù)據(jù)，如有異常立即報(bào)警。

5　結(jié)束語(yǔ)

車載終端的信息安全問(wèn)題必須得到足夠的重視，否則可能由于信息安全問(wèn)題導(dǎo)致更為嚴(yán)重的人身安全問(wèn)題，這是車聯(lián)網(wǎng)的新特點(diǎn)。按照系統(tǒng)的方法，分析威脅，匯總需求，進(jìn)一步實(shí)施部署安全措施進(jìn)行防范，才能保證安全措施有效和科學(xué)地執(zhí)行。

Vehicle on-board terminal information security threats and countermeasures

LUO Yingluo，F(xiàn)ANG Qiang

With the rapid development of the Internet of Vehicle， on-board terminal with more and more applications grows very fast. It increases the exposure to information security threats， and leads to specific security requirements. In this paper，we analyze the threats against on-board terminals from different points of view and summarize the requirements. In the end， we list corresponding technical countermeasures.

on-board terminal； security requirement； security threat

2016-05-10）