智能網聯汽車網絡安全漏洞及防護研究

王永峰 石教學 于永彥

摘要：汽車網聯化逐步提高，車內外交互信息越來越多，之前獨立的汽車個體，在聯網帶來便利和多樣性功能的同時，汽車網絡安全問題也隨之產生。近些年來汽車網絡安全問題主要是互聯網公司提出，并牽頭相關標準的制定，整車廠處于被動配合的地位。本文從整車廠的角度，主要對車內終端和車內網絡通信兩個方面解析。首先對目前出現的汽車網絡安全事件分析，得出真止影響車輛的因素。然后運用STRIDE方法分析網絡安全威脅，最終從短期和長期措施兩個方面提出網絡安全防護措施。

關鍵詞：安全漏洞;STR|DE;TBOX;CAN總線

1背景

汽車網聯化程度提高，網聯功能逐漸增多。汽車由原來的封閉個體變成了丌放的移動終端，車車通信和車后臺交互信息增多，給生活帶來了便利，但同時也引入了網絡安全的風險。隨著近幾年汽車網絡安全事件增多，對于該問題的關注逐步提升。

整車廠對于網絡安全相關知識儲備及意識小足，互聯網公司及個人對于網聯汽車的攻擊興趣高，便于成名，危害火。這些公司和個人確實發現了一些漏洞，部分也在極力倡導建市網絡安傘相關標準和法律，目前主要是將互聯網的一套標準直接照搬到汽車上，存在一定的弊端。所以本文從整車廠的角度丌展汽車網絡安傘漏洞的研究，并提出防護措施。

2 國內外網絡安全現狀

2.1汽車網絡安全定義

根據同際標準化組織（ISO）定義，網絡信息安全是指通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。網絡信息安傘包含：物理安傘、網絡安全、云平臺安全、系統安全、應用安全和數據安傘6個層面^[1]。日前無統一標準定義汽車網絡信息安全

2.2 網絡安全事件分析

根據近些年發生的網絡安傘事件，發現汽車網絡安全旱現以下趨勢：

2.國內外各大汽車品牌均有涉及;

3從單一車輛攻擊到大規模的可復制性攻擊;

4.從單體入侵到車輛可被控制。

網絡攻擊從攻擊位置分為本地物理攻擊和遠程攻擊。

本地攻擊常見方式足通過在車內OBD接口接人設備，對整車CAN網絡進行監測和發送指令。實施本地攻擊的前提是進入車輛，并且在0BD接口接入設備，該方式發現的網絡漏洞發生的可能性小，不在本文研究范疇。本文豐要研究具備可復制性的遠程攻擊。

實施遠程攻擊一般步驟為遠程連接車輛、確定攻出日標、發現可用的遠程服務、遠程竊取車輛的數據或者遠程攻擊。

車主主要關注的是車輛安全、隱私保護。

3 漏洞分析

系統主要包括車內終端（TBOX）、網絡、后臺，TBOX通過CAN總線與車內其他控制器進行交互。

3.1車內終端

1） TBOX

一般車輛都是通過TBOX與車外交互，TBOX是整車的第一道防護。

使用STRIDE方法進行網絡安全威脅分析，具體如下^[2]：

2）網關

車內網關主要承擔不同網段之問CAN報文和信號的轉發，從而滿足整車中不同網段控制器的信息交互和功能。網關是整車的第二道防護。

如果與車外交互設備，如TBOX被入侵，通過TBOX往整車上發送非法CAN報文，如果網關不加以過濾，直接將這些報文轉發到網段2上，則可能可以對車輛的加速、制動、轉向進行控制。

3.2車內通信

目前絕大多數車輛的車內總線還是以CAN為主，尤其是德系車，總線控制器和涵蓋的功能包括動力、車身、娛樂等領域。

整車廠CAN設計的物理層和數據鏈路層沿用博世CAN2.0，應用層采用自定義的方式。CAN信號的傳輸采用明文和廣播方式，任何連接到整車CAN中的節點均可以收發信息，從而獲取車輛實時數據，并控制車輛”^[3]。

3.3網絡、后臺

該部分的設計與車輛本身關系不大，汽車無特殊要求，可以沿用現有互聯網相關的設計要求，本文不做贅述。

4 防護措施

4.1短期

4.1.1終端的防護

1）硬件保護

安全的調試接口^[4]

表9 禁止不使用的端口鄺艮制調試端口使用

安全boot

Boot過程中的根密鑰保存在控制器的rom中或免收干擾的硬件中;

關閉debug接口或者進入恢復模式前需要鑒權。

篡改保護

芯片檢測到暴力拆解，會采取相應措施：如擦除key，重置或發出警報。

2）軟件保護^[5]

代碼分析保護：代碼混淆;

安全訪問控制：網絡訪問、存儲訪問;

應用隔離：一個應用的漏洞不能影響其他應用使用密鑰的安全通道（對稱、非對稱）;

安全升級：加密機制、安裝完成前不能再次訪問;

用戶管理：l、不同用戶采用不同的安全等級;2、不能使用匿名用戶。

4.1.2車內網關的防護

網關過濾：對于非預期的報文信號直接丟棄，不予轉發和處理;

身份認證：轉發前對源節點進行鑒權，保證發送節點的合法性。

4.1.3車內CAN通信防護

總線隔離：不同安全級別的部件要放在不同的網絡中;

車內CAN通信加密，尤其是對于安全相關的信號，增加校驗和數據加密。

4.2長期

建立響應機制：主動防御，建立渠道收集市場上的漏洞信息，成立專門的團隊來處理網絡安全相關的緊急事件;

正向開發：在系統設計的初始階段，綜合考慮網絡安全的要素，并在開發過程中不斷修正。開發過程中各階段對網絡安全進行測試。

5 總結

本文主要進行智能網聯汽車的網絡安全漏洞和防護措施進行研究。首先分析了市場上智能網絡汽車發生的網絡安全事件，使用STRIDE方法梳理出網絡安全威脅，并提出網絡安全防護措施。本次研究的關注重點主要是車內終端和車內通信，從整車廠能夠管控的部分進行重點研究，提出解決方案。因為網絡安全對于整車廠是個新事物，后續將隨著研究的深入逐步完善相關設計。

參考文獻：

[1]吳多勝，王帆.網絡安全從入門到精通[M].電子工業出版社.2008

[2]張靈通.信息網絡安全在汽車行業的應用[J].信息安全與通信保密，2009（5）：15-15

[3]孟娜.基于CAN總線的汽車網絡安全系統的研究[J].沈陽理工大學，2011年12期

[4]盧卡.戴爾格羅斯，張濤.車用安全通信：協議、安全及隱私[M].北京理工出版社，2015年4月

[5]林曉東，陸榮幸.車載ad hoc網絡的安全性與隱私保護[M].機械工業出版社，2016年10月