從車企的角度對車聯網信息安全技術研究

葉平，郝鐵亮，趙德華，張曉帆，黃旭玲

?

從車企的角度對車聯網信息安全技術研究

葉平，郝鐵亮，趙德華，張曉帆，黃旭玲

（華晨汽車集團控股有限公司 華晨汽車工程研究院，遼寧 沈陽 110141）

隨著車聯網技術的不斷發展，車聯網技術已經在各大車廠的量產車型實現了廣泛的應用，但隨之而來的車聯網技術相關問題已經日益凸顯。文章主要從車聯網的行業動態、車聯系統的功能、車聯網信息安全的重要性、安全架構設計等方面進行了介紹，并對車聯網信息安全技術的開發流程、信息安全機制、策略設計、實車滲透測試以及響應機制體系建立進行了講解，從車聯網端、管、云三個層面進行車聯網信息安全設計的解析，其中包括手機APP、數據中心、通信運營商、車載通信終端的安全設計，以及車廠在未來信息安全持續加固、信息安全測試驗證、相關標準制定，面臨的挑戰。

車聯網；信息安全；安全策略；信息安全測試驗證

1 車聯網概念

傳統的車聯網定義是指裝載在車輛上的電子標簽通過無線射頻等識別技術，實現在信息網絡平臺上對所有車輛的屬性信息和靜、動態信息進行提取和有效利用，并根據不同的功能需求對所有車輛的運行狀態進行有效的監管和提供綜合服務的系統。

隨著車聯網技術與產業的發展，上述定義已經不能涵蓋車聯網的全部內容。根據車聯網產業技術創新戰略聯盟的定義，車聯網是以車內網、車際網和車載移動互聯網為基礎，按照約定的通信協議和數據交互標準，在車-X（X：車、路、行人及互聯網等）之間進行無線通訊和信息交換的大系統網絡，是能夠實現智能化交通管理、智能動態信息服務和車輛智能化控制的一體化網絡，是物聯網技術在交通系統領域的典型應用。利用車聯網的相關技術能夠實現車與基礎設施、建筑物、車與車之間的通信。就像互聯網一樣將多個車輛或者基礎設施進行聯接，實現信息互通，車主可以通過實時信息了解路況等相關信息，從而減少了交通事故的發生。

2 車聯網信息安全行業動態

針對車聯網功能各大車廠主要圍繞車輛安防（車輛控制）、娛樂資訊、便捷服務、緊急救援、V2X（車與車通信、車與基礎設計通信等）等技術進行開發。隨著車聯網技術的不斷的量產應用，汽車信息安全的問題成為整車廠、互聯網行業、信息安全公司關注的焦點，成為車聯網技術設計開發的重中之重，是推進車聯網技術不斷進步、發展的重要的環節。是車聯網技術能否量產應用的重要保障。目前國內相關的學術組織、論壇、高校、企業都在進行車聯網信息安全的研究，同時進行相關標準的制定，例如：由中國汽車工程學會牽頭，相關企業、高校、研究所參與，成立了智能網聯汽車創新產業聯盟，建立車聯網信息安全研究小組，進行車聯網信息安全標準的制定和技術的研究。整車企業也逐步建立專業部門，聯合相關的安全公司，成立合作實驗室，共同推進汽車信息安全技術的研究和標準的制定。

3 車聯網信息安全現狀

從車企的角度，車輛的安全是非常重要的，車從一個封閉的載體，成為一個開放性的載體，融入互聯網中進行信息的交互。黑客可以通過互聯網的技術，進行車輛的攻擊，使車輛熄火、主動剎車、解鎖等動作，也可以通過截獲通訊信息、攻擊云端服務器，達到竊取用戶信息及車輛數據。所以如何保證車輛的安全是一個關鍵的課題。另外，車輛網絡安全的等級也要比普通的網絡和手機網絡要高，普通的網絡和手機網絡可以承受一定程度的錯誤狀態，比如網絡癱瘓、手機系統死機，但是車輛網絡安全卻不能也不允許出現類似的事情，否則會直接造成用戶的財產損失，甚至威脅生命安全。此外，在相關技術方面整車廠的儲備是比較缺乏的，需要融入互聯網安全技術，進行數據的加密、認證，增加防火墻等手段，保證車輛的安全。當然從車內網的角度，車企會從車內網架構的角度去考慮，例如增加安全網關、交互策略等手段，保證車輛的安全。

通過權威機構的分析，隨著車聯網技術的在車輛上的廣泛的應用，因為信息安全問題，車輛受到非法攻擊的事件頻繁發生。2010年，研究人員通過破解汽車內部信息系統，攻擊車載信息系統，成功偽造了部分品牌汽車的胎壓傳感器，干擾并毀壞汽車的胎壓監測系統。2013年至今，發生了多次汽車攻擊案例：2013年Charlie Miller& Chris Valasek 通過OBD破解了豐田普銳斯；2014年360公司破解Tesla汽車遠程控制功能；2015年2月，寶馬Connected Drive服務被曝出漏洞，其主要是由于TSP平臺和T-BOX之間的信息傳輸沒有使用加密，泄露了包括VIN、控制指令等在內的汽車信息，黑客利用偽基站，可以讓寶馬汽車的網絡連接注冊到一個假的TSP中，然后利用分析出來的控制指令給汽車下發指令，最終可以實現車門控制，汽車啟動控制等功能；2015年Samy Kamkar 破解了通用安吉星onstart 系統；2015年Charlie Miller& Chris Valasek 遠程破解了吉普車的Uconnect系統，遠程操控了該車的電臺和雨刷等電子設備；2015年360公司破解了BYD汽車云服務、遙控駕駛功能、打開車門、后備箱。通過對以上車聯網攻擊事件的分析，可以清晰的看到車聯網信息安全主要存在三大方面的風險：1.車內網絡架構容易遭受信息安全的挑戰；2.無限通信面臨更為復雜的安全通信環境；3.云平臺的安全管理中存在更多的潛在攻擊接口：主要涉及車聯網服務平臺、車載通信終端、人機交互系統、手機APP，網絡通信、數據安全和隱私包括等多方面。

4 車聯網信息安全設計思路

車聯網的安全設計，需要從端、管、云，以及車內網、車際網、車載移動互聯網多個角度進行考慮和開發，分析汽車所面臨的威脅。從開發流程、標準要求、架構設計、算法設計、加密機制、軟件防護、硬件防護、代碼審計以及最終的實車滲透測試等多個角度進行把控，做到各個環節進行安全防護。并建立應急響應機制，成立專業技術部門，一旦出現攻擊事件或發現漏洞第一時間進行處理。

那么從車企的角度，如何考慮和進行車聯網信息安全的開發，需要從以下方面進行研究。

4.1 車聯網所面臨的威脅分析

隨著現代汽車功能越來越多，加之車聯網技術融入，使得整車電氣系統越來越復雜。根據權威機構統計，固化于數十個ECU中的代碼行數可以達到1億行之多，是windows7系統的兩倍。加之汽車的使用環境復雜，又不同于傳統的互聯網安全問題，導致汽車所面臨的網絡安全問題更為復雜，包括傳統網站攻擊、服務器的攻擊、云端攻擊、網絡層攻擊、手機病毒、偽基站等，加之汽車自身的藍牙、通信通斷、遙控鑰匙、USB接口等多個可侵入點的存在，導致汽車的安全設計要遠高于其它領域。

汽車所面臨的威脅，一是車載端的安全漏洞，包括應用程序漏洞、操作系統漏洞、近場通信漏洞、固件安全漏洞等等；二是通信安全方面的漏洞，包括身份認證漏洞、安全通信漏洞、網絡端口漏洞等；三是系統平臺安全方面的漏洞，包括SQL注入漏洞、腳本攻擊漏洞、訪問控制漏洞等等；四是客戶端的安全風險，包括APP重打包、反編譯、木馬植入等等。

4.2 多項措施融合保證車聯網安全

通過對車聯網系統漏洞及攻擊行為、途徑的研究，對于信息安全工作，必須要在整個系統設計之初，就要建立合理的安全架構，多項措施一并實施。在開發階段采用嚴密的安全策略，從車載通信終端到車聯網平臺TSP，再到手機APP客戶端，以及車內網CAN總線，整個通信鏈路的各個環節都要兼顧；同時，車內控制模塊與模塊的身份認證、控制指令的認證等等，都需要有嚴密的加密策略，保證數據的一致性、可信性、合法性。在開發過程中，要嚴格遵循信息安全技術國家標準；增加平臺、通信終端等硬件的防護；制定軟件開發安全規范；認真落實代碼的審計測試工作；同時委托第三方進行后續的實車滲透測試、漏洞掃描；在正式上線后的運維階段，要建立應急響應體制，在受到攻擊后能夠第一時間妥善解決。通過以上多項措施的融合，全面保證整個車聯網系統的安全。

4.3 車聯網平臺安全體系統建立

車聯網平臺作為整個車聯網系統的核心，是車輛與外界交互數據處理的紐帶，一旦遭到攻擊或入侵，會導致整個系統內所有車聯網配置車輛都會受到威脅。因此，車聯網平臺信息安全的問題，是整個信息安全建設的重中之重。車聯網平臺安全體系的設計，可以總結為“五維三關注”，其中五維包括架構安全、功能安全、開發安全、運維安全及管理安全，三關注是指業務運行穩定、數據安全有效、系統操作安全。如圖1所示：

圖1 車聯網平臺安全設計體系關注點

5 車聯網關鍵部分信息安全設計

5.1 車聯網TSP平臺安全策略

從軟件開發的角度，針對平臺的應用層、系統層進行安全建設。應用層主要關注平臺功能、開發、運維及管理等全流程的安全，系統層關注平臺的硬件、網絡基礎設施及架構的安全。在平臺的軟件規劃設計階段，進行安全功能概設、安全功能詳設、安全域劃分及設計、安全資源配置。建設開發階段進行安全代碼安全測試、安全配置審查、安全資源加固。在上線前階段進行滲透測試、回歸測試、代碼安全審計、安全配置回歸測試。運維階段建立安全指導手冊、攻擊監控平臺、代碼更新、安全資源配置，不斷的加強防護，保證系統的安全。如圖2 所示：

圖2 車聯網平臺安全設計說明

從平臺硬件的角度，要從以下幾個方面入手：1.對防火墻進行加固，用戶接入均通過防火墻進行最外層的訪問控制，并且防火墻自帶有“抗DDOS”模塊，可以對集群式攻擊進行有效防護；2.配備負載均衡設備，統一接受全部請求，再按規則進行分配，分解單個服務器壓力，從而保證客戶功能的實時性；3.對所有數據交換行為進行加密，禁止明文傳輸，保證數據訪問安全；4設備冗余設計，杜絕單點故障，保證客戶功能；5.對重要的數據進行備份處理，防止惡意損毀或自然災害等事件造成數據丟失。如圖3所示：

圖3 車聯網平臺TSP硬件部署

針對平臺安全管控機制，從以下角度進行管控。

身份認證：保證只有合法的用戶（車機和手機）訪問智能行車平臺，這些用戶必須經過安全的認證。盡量減少智能行車平臺的入口，每個入口都必須經過安全的身份認證。

輸入輸出驗證：所有的前端用戶（車機和手機）的輸入、輸出在智能行車平臺使用之前必須驗證有效性之后方能使用，驗證內容包含：長度、格式、類型等，對于各種注入攻擊的特殊字符應進行過濾和阻斷。

會話管理：具備會話超時管理。對Session、Cookie的使用進行安全設置。使用安全的Cookie,嚴禁在Cookie中明文存儲敏感信息。

訪問控制：采用基于角色的訪問控制機制。

異常管理：使用結構化異常處理機制，并捕捉異常現象。

日志記錄：平臺應記錄所有的車機和手機用戶的訪問日志以及平臺自身的錯誤。

日志；記錄應用處理日志，尤其是關鍵業務功能的操作日志以及系統錯誤日志。如圖4所示：

圖4 平臺安全管控示意圖

5.2 車載通信終端安全策略

車載通信終端支持全網通2G，3G，4G網絡，自身采用硬件加密芯片，保證交互數據的安全。與車輛相關控制模塊之間控制指令的交互，均采用嚴密的加密的策略以保證身份的合法。根據汽車的安全設計要求制定相關的策略，例如：當車速大于3km/h時，不允許執行外部控制指令。

5.3 手機APP安全策略

手機APP的安全策略，主要針對以下方面進行防護：防惡意注入；防護敏感數據；防止被惡意分析和調用；防止二次打包和反編譯。具體策略包括：1.當應用程序接受外部數據（如Internet、藍牙等）時，要對訪問的身份及訪問的內容進行校驗，并將應用程序使用的數據和需要的權限降至最低；2.對關鍵功能使用二次密碼確認；3.對主要功能及數據采用加密傳輸；4.對用戶密碼采用加密傳輸，以防密碼泄漏；5.本地存儲關鍵數據需要進行加密，禁止明文存儲，以防數據泄漏；6.針對蘋果軟件和安卓系統軟件進行詳細安全開發和測試。

5.4 通信渠道安全策略

圖5 通訊渠道安全策略

通信渠道配置即通信運營商網絡配置。根據車聯網的功能進行專屬APN設置，采用GRE隧道形式，通信運營商通過建設獨立的專網GGSN服務，與公共互聯網進行物理隔離，遠程控制等關鍵功能采用此種方式進行數據交互；娛樂部分功能采用移動互聯網APN，與傳統手機連接網絡類似，利用公網進行數據交互。如圖5 所示。

5.5 車聯網平臺安全體制建立

信息安全的防護，需要建立車聯網信息安全防護體系，從車內網、車載移動互聯網、車際網，從端管云多個角度系統的防護外界的攻擊，并且隨時的做出響應和處理，保證車輛數據，用戶數據、車輛行駛的安全。對于智能車載終端（端）進行車聯網安全架構、車聯網安全防護體系、智能安全防護網關的建立；對于通信網絡（管）進行安全通信協議、4G/5G通信安全架構、智能網聯汽車無線通信體系的建立；對于車聯網TSP進行基礎防護、應急響應，完善防御體系，主動防御、自動修復功能的建立。對于每個部分進行安全機制的考慮，保證車聯網的信息安全。如圖6所示：

圖6 安全體制建立示意圖

6 總結

車聯網的出現，使汽車不再是一個封閉的獨立個體，一旦與互聯網相連，就意味著打開了風險的大門。加之近幾年層出不窮的汽車被攻擊事件，可以說車聯網安全建設任重而道遠，唯一的解決辦法就是多方協作。

對于汽車來說，車聯網架構在設計之初就要充分的考慮信息安全，同時對零部件廠商要進行技術上的要求，采用最先進的技術方案，在保證車內網安全的同時，使整個車聯網系統做的更嚴謹。

對于通信運營商，要能提供安全的通信渠道，例如前面提到的專線等技術，同時為了滿足車聯網的特殊需求，還要開發相應的接口，比如與TSP（Telematics service provider）平臺交互接口、SIM卡狀態查詢接口、流量查詢接口、充值繳費接口等，同時要保證這些接口的安全性。

車聯網運營平臺既要維護軟、硬件的穩定運行，又要開發新的車聯網功能和策略，因此要不斷的更新軟件和硬件，保證系統的技術先進性和穩定性。同時還要對系統的運行情況進行實施監控，一旦發現異常或攻擊，要第一時間進行處理。

對于互聯網的部分，并不是主機廠所擅長的領域，互聯網攻擊有其自身的特點，比如開放的網聯環境、攻擊者身份隱秘、攻擊方法多樣、可用于攻擊的設備數量巨大等等，因此我們需要也有必要與一些比較有實力的、專業的網絡安全公司進行緊密的合作，來為我們的車聯網安全保駕護航。

[1] 許新,王體龍,張靜鶴,孫英坤.車聯網技術研究[J].科技創新與應用, 2014,36:59.

[2] 王娟.車聯網技術概論[J].河南科技,2014,21:3.

[3] 中國汽車工程學會,北京航空航天大學,梆梆安全研究院.智能網聯網汽車信息安全白皮書[R].北京:中國汽車工程學會,2016.

[4]馮志杰,何明,李彬,等汽車信息安全攻防關鍵技術研究進展[J],信息安全學報,2017,2（2）:1-14.

[5] 許彩霞,車聯網信息安全的威脅及防護策略.信息通信2018(7):1-2.

[6] 郝成龍,郝鐵亮,劉濤等,車聯網安全問題分析[J].汽車實用技術, 2017(20),139-140.

[7] 張曉帆,陶明明,車聯網TSP平臺軟件安全建設研究與應用.汽車電器,2017(3),40-41,43.

[8] 趙德華,張曉帆,車聯網TSP平臺軟件漏洞分析與安全測試.汽車實用技術,2016,(12),136-137,185.

Research on the Information Security Technology of Car Networking from the Perspective of Automobile Enterprise

Ye Ping, Hao Tieliang, Zhao Dehua, Zhang Xiaofan, Huang Xuling

( Huachen Automobile Group Holdings Co., Ltd.. Huachen Automobile Engineering Research Institute, Liaoning Shenyang 110141 )

With the continuous development of vehicle networking technology, vehicle network technology has been widely used in mass production vehicles in major automobile factories, but the related problems of vehicle networking technology have become increasingly prominent. This paper mainly introduces the industry dynamics of vehicle networ -king, the function of vehicle-to-vehicle system, the importance and design of vehicle networking information security, and explains the development process, information security mechanism, strategy design, vehicle penetration test and response mechanism system of vehicle networking information security technology. Network end, management, cloud three levels of vehicle network information security design analysis, including mobile phone APP, data center, communication opera -tors, vehicle communication terminal security design, as well as car factory in the future information security design, infor -mation security testing and verification, related standards formulation, challenges.

Internet of Vehicle; Information security; Security strategy; Information security test verification

A

1671-7988(2019)05-59-05

TN915

A

1671-7988(2019)05-59-05

TN915

葉平，女，華晨汽車工程研究院測試工程師，主要負責電氣功能測試及車聯網測試工作。

10.16638/j.cnki.1671-7988.2019.05.018