車聯網信息安全防護體系研究

鮑　克，嚴　丹，李富勇，沈笑慧

（浙江省電子信息產品檢驗所，江蘇 杭州　310007）

0　引言

隨著移動互聯、云計算等新技術的發(fā)展，以萬物互聯為目標的物聯網技術正受到越來越多的關注。車聯網是物聯網技術在傳統(tǒng)汽車行業(yè)的具體應用[1-2]。在車聯網構架中，智能車輛通過車載無線設備來實現車輛與車輛間、車輛與路基設備間、車輛與云端間的通信[3]，通過車載傳感設備來感知車內乘客和車外行人的狀況，實時收集車輛的行駛情況、周邊交通狀況等動態(tài)信息，并將這些信息通過無線網絡傳輸到云端進行篩選、計算、分析和存儲，由云端反饋的信息可為智能聯網車輛提供高效精準的道路導航、路況報送、信息共享、應急搶險等綜合服務[4-5]。在車聯網技術給用戶帶來豐富的智能化體驗的同時，卻也使車主面臨隱私信息泄露、車輛被非法控制等安全風險[6-7]。車聯網信息安全方面的問題日益突顯。

本文在詳細分析車聯網網絡構架和信息安全風險的基礎上，結合等級保護基本要求，提出了一套適用于車聯網的信息安全防護體系。

1　車聯網典型構架

車聯網的網絡架構可分為三個區(qū)域，分別為車載終端域、網絡傳輸域、云平臺域。車載終端域位于感知層，包含車載終端設備和路基感知設施等硬件設備，主要負責采集聯網車輛的智能信息，感知車輛行駛狀態(tài)和車內乘客狀況，同時讓聯網汽車具備通信、尋址和可信標識功能。網絡傳輸域位于網絡層，主要負責車輛與車輛、車輛與路網、車輛與云平臺、車輛與車主的互聯互通，實現車輛與各類異構網絡之間的通信。云平臺域位于應用層，負責對車輛上傳的數據進行匯聚篩選、計算分析和存儲，并建立身份鑒別、日志審計、訪問控制、剩余信息保護等安全機制，為聯網車輛提供交通信息、公共支付、娛樂傳媒、緊急救援等應用服務。

2　車聯網安全風險

2.1　車載終端域安全風險

車載終端域的主要任務是感知聯網車輛內外的各類信息，在車聯網技術中，各類前端傳感設備大多采用無線通信方式傳輸數據。較有線通信方式而言，無線數據在傳輸過程中更可能被非法攔截和獲取。同時，通過對前端傳感設備的非授權控制，可以向車輛駕駛者傳輸惡意信息，造成車輛駕駛者的誤判。

車載終端域的安全風險還體現在車載智能系統(tǒng)和車載應用軟件上，為了更好的體驗車輛的增值服務，車主可以下載應用軟件并安裝至車載智能系統(tǒng)上，這為聯網車輛帶來了新的風險。（1）車載智能系統(tǒng)本身包含漏洞，未及時更新補丁程序。（2）應用軟件被非法篡改并植入惡意代碼。（3）通過水坑攻擊等方式，誘使車主下載木馬程序。

此外，車輛大多保留有OBD接口進行故障自動診斷，OBD接口發(fā)出的代碼直接進入CAN總線，如果攻擊者通過 OBD接口將惡意程序植入汽車總線，將會給車輛和用戶帶來巨大的安全威脅。車聯網的運行需要大量的基站設施收集道路信息，并將收集到的信息交互至聯網車輛和云平臺。由于基站設施往往設在公共地帶，工作場景不受運營者的控制，相對車聯網其他組成部分而言，更易受到物理破壞等安全威脅。

2.2　網絡傳輸域安全風險

網絡傳輸域主要完成信息的傳輸工作，是連接車載終端域和云平臺域的通道。其主要風險來自以下幾個方面：（1）攻擊者采用DDOS攻擊擁塞網絡，造成服務中斷。（2）在對網絡設備進行管理時，未采用加密方式，導致身份鑒別信息被盜取。（3）未啟用網絡設備的登錄失敗處理策略和口令復雜度策略，致使口令遭受暴力破解。

2.3　云平臺域安全風險

云平臺域主要完成信息的整合分析，并為車輛提供服務。其主要風險來自以下幾個方面：（1）云平臺自身的安全漏洞，包括虛擬主機操作系統(tǒng)漏洞等。（2）邊界防護設備的訪問控制策略不完善，導致數據資源被非授權訪問。（3）存儲車聯網用戶身份鑒別信息和重要數據的硬盤和內存，在分配給下一位用戶前未能徹底清除，造成隱私數據泄漏。（4）云平臺對入駐的應用軟件提供商缺少審核標準，應用軟件的漏洞影響云平臺的整體安全。

3　車聯網安全防護體系

結合車聯網的威脅分析和信息安全等級保護基本要求，從主機層面、網絡層面和終端層面設計安全防護體系。

3.1　車聯網終端層安全防護要求

終端層面應主要關注聯網車輛車載智能系統(tǒng)、車載應用軟件和前端感知設備的安全性。

車載智能系統(tǒng)應具備較強的防“越獄”能力和防“刷機”能力；應具備自動檢測下載升級文件的功能，并在確保不影響車輛運行的情況下升級；應限制單個進程對系統(tǒng)資源的最大使用量，在發(fā)生系統(tǒng)資源不足時，能夠優(yōu)先保證關系行車安全的應用軟件的運行。

車載應用軟件開發(fā)者應根據應用開發(fā)規(guī)范進行應用開發(fā)，并委托第三方機構對應用軟件進行安全測評，由智能車輛生產廠商依據安全測評報告對車載應用軟件進行上線審核并確定是否發(fā)布。對于涉及個人隱私的車載應用軟件應具備身份鑒別功能，并強制要求鑒別方式強度；應具備登錄失敗處理功能，包括非法登錄次數限制和車輛熄火后的超時退出時間設置；應提供覆蓋到每個用戶的安全審計功能，審計內容包括事件的日期、時間、發(fā)起者信息、動作和結果，審計記錄無法刪除或修改并能保存規(guī)定時長以上；車載應用系統(tǒng)的客戶端和服務端應采用加密協(xié)議進行通信，對數據庫中的鑒別信息和敏感業(yè)務數據進行加密存儲；提供數據合理性檢驗功能，具備防御SQL注入和跨站腳本攻擊的能力。

部署在聯網車輛內部和道路周邊的前端感知設備應具備一定的物理強度，降低物理損傷造成設備停機出現的概率，在發(fā)生故障時，可實現自動激活恢復功能；前端感知設備應具備唯一的身份標識，作為身份鑒別的重要依據，僅經合法授權的身份標識方可進行網絡通信；具備較強的抗電磁干擾能力，防止不法分子干擾感知設備的正常運行；具備較強的抗雷擊能力，降低雷暴等惡劣天氣對設備的影響；對重要節(jié)點的感知設備應采用雙路供電或配備備份電源。

3.2　車聯網網絡層安全防護要求

網絡層面安全防護主要從網絡設備、安全設備、準入設備和通信鏈路方面開展。（1）對交換機、路由器等網絡設備，應邏輯關閉未使用的物理端口和服務端口，實時監(jiān)控硬件運行狀態(tài)和系統(tǒng)性能，關鍵節(jié)點上的網絡設備應具備性能冗余能力，在遠程管理網絡設備時應采用SSH等加密協(xié)議。（2）在網絡邊界部署防火墻、安全網關等安全設備，設置細粒度的訪問策略并刪除多余的訪問控制規(guī)則，保證跨越網絡區(qū)域的數據訪問僅能通過邊界安全設備的受控接口進行；在關鍵節(jié)點處應部署入侵檢測設備，防止或限制從外部發(fā)起的網絡攻擊，并能向安全管理中心報警。（3）部署安全準入設備對接入設備進行認證，僅允許已授權設備接入，拒絕非授權設備和惡意設備，收集聯網車輛的固件版本、標識、配置信息校驗值等健康性信息，防止已被非法控制的車輛聯入網絡。（4）采用隧道加密技術保證聯網車輛、基站和云平臺通信的完整性和保密性，防止信息在傳輸過程中受到截取甚至篡改。

3.3　車聯網主機層安全防護要求

主機層面安全防護主要圍繞云平臺域內的服務器開展。（1）在服務器上部署可統(tǒng)一管理的殺毒軟件進行惡意代碼防護，并通過預設策略實現病毒庫的及時升級。（2）服務器應遵循最小安裝原則，僅安裝必須的應用軟件，關閉默認共享、不需要的系統(tǒng)服務和端口；定期對服務器管理賬戶進行梳理，刪除無用賬戶。（3）冗余配置關鍵服務器，并預設策略實現重要數據的實時備份；配備數據庫審計設備，實現對數據庫操作的審計。（4）在服務器前端部署Web應用防火墻和防毒墻，防御Web攻擊和網絡層惡意代碼。

4　結語

隨著物聯網技術和云計算的快速發(fā)展，車聯網將成為智慧城市的重要一環(huán)。當前，車聯網的安全防護技術已成為影響智能車輛和車聯網發(fā)展的重要因素，而業(yè)界對此還缺乏一致的解決方案。本文以車聯網的典型構架為切入點，分析了車聯網在車載終端域、網絡傳輸域和云平臺域面臨的安全風險，并結合等級保護基本要求從網絡、主機、終端等層面提出了車聯網信息安全防護體系。當前，國內外對車聯網安全技術的研究和應用都還處于起步階段，如何將車聯網安全技術納入智慧交通信息安全框架應是今后研究的重要方向。