車聯網網絡安全架構

李慧娟，李 巖，張文翠

（中汽數據（天津）有限公司 智能網聯部，天津 300000）

隨著汽車市場保有量的不斷升高，交通擁堵、事故頻發的問題日益凸顯。車聯網技術做為提高交通效率與安全性的重要手段，成為了汽車行業發展的重點與熱點。車聯網是以車輛為感知對象，綜合應用智能感知、信息處理、無線通信等關鍵技術，實現由單車智能到車聯網生態的轉變，汽車行業的信息安全問題也從單車安全演變為車聯網網絡安全。

安全是車聯網產業發展的前提和保障，只有構建覆蓋車聯網各防護對象、全產業鏈與全生命周期的的安全體系，完善安全技術能力和相應管理機制，才能有效識別和抵御安全威脅、化解安全風險，進而確保車聯網健康有序發展。本文將從網絡層次、防護對象、保障體系三個維度構建車聯網網絡安全架構，解決車聯網行業面臨的網絡攻擊風險。

1 車聯網網絡安全架構

如圖1所示，網絡層次是從網絡分段的角度進行劃分，包括車輛外部設施、車輛通訊接口、車輛路由模塊、車輛底層關鍵電子控制單元（Electronic Control Unit, ECU）四層。不同網絡 層次中所涉及的安全問題即防護對象可概括為五個方面：硬件安全、系統安全、數據安全、應用安全及網絡安全。針對五大安全防護對象，可通過采取風險評估、檢測評估、態勢感知、應急處置四大手段構建網絡安全保障體系，實現車聯網網絡安全的管理。

圖1 車聯網網絡安全架構

2 車聯網網絡層次

如圖2所示，從網絡分段的角度，車聯網網絡分為四個層次，由內而外，依次為ECU、車輛路由、車輛通訊接口與車輛外部設施。

圖2 車聯網網絡層次

車輛關鍵ECU是車聯網的神經末梢，主要由車輛內部具有感知、執行能力或網絡連接功能的組件構成，如車載終端設備（Telematics BOX, TBOX）、車載信息娛樂系統（In-Vehicle Infotain- ment, IVI）、車載單元（On Board Unit, OBU）、車身控制器、高級駕駛輔助系統（Advanced Driving Assistance System, ADAS）感知系統等。

車輛路由指用于實現車輛內部各車載網絡的連接以及與接入設備的連接功能的部件，如網關、域控制器等。

車輛通訊接口指連接車輛與其外部環境的各種車載接入設備、組件、網絡協議等，其連接方式可以是有線或無線的，包括近距離無線通訊（Near Field Communication, NFC）、汽車故障診斷系統（On Board Diagnostics, OBD）、無線網絡、藍牙、蜂窩通信接口/直連通信接口（LTE-Uu/PC5）等。

車輛外部設施指車聯網中除車輛以外的其他主體，涵蓋車輛外部所有的元素，包括云服務平臺、移動終端、路邊設施等。

3 車聯網網絡安全防護對象

在車聯網網絡層次中涉及的車內、車外設備面臨的安全問題可歸結為硬件安全、系統安全、數據安全、通信安全、應用安全，這五大安全問題成為了車聯網網絡安全的防護對象。

硬件安全是指各種車載設備、路測設施的安全，例如TBOX、IVI、各類傳感器硬件等。目前面臨的主要安全問題有數據讀取、接口暴露、存儲安全等。黑客可以通過調試口直接訪問設備文件系統，修改里面的數據和配置文件，極大威脅了車輛安全。保障硬件安全的防護措施包括隱藏 調試接口、使用加密芯片保護核心加密算法、增加訪問權限控制等。

系統安全面臨的安全風險主要包括：系統提權攻擊、緩沖區溢出、中間人劫持攻擊、敏感數據竊取、越權訪問等。保障系統安全的防護措施包括：從源碼層面，通過源碼靜態檢測等方式，減少安全漏洞、關鍵組件系統加固、可信程序加載、安全啟動、敏感數據加密等。

數據安全威脅存在于數據采集、數據傳輸、數據存儲、數據使用、數據遷移、數據銷毀、備份與恢復等全生命周期的各個階段。保障數據安全的防護措施包括：基于統一管理框架，以數據防泄漏為基礎，通過深度內容分析和事務安全關聯分析技術來識別、監視和保護靜止、移動以及使用中的數據，確保敏感數據的合規使用；利用數據安全網關實現黑白名單、高危操作風險識別、用戶訪問權限控制等功能，阻斷高風險行為，提高對數據訪問的可控度。

圖3 車聯網通信場景

如圖3所示，車聯網的通信包含了車云通信、車人通信、車路通信、車車通信及車內通信。車云、車人、車路及車車的通信主要依賴于基于蜂窩通信的車用無線通信技術，由于LTE-Uu/PC5無線接口的開放性，車與外界的通信面臨的安全風險主要包括假冒終端、偽基站、信令/數據篡改、 敏感信息泄露等，可采用基于公鑰證書的公鑰基礎設施機制確保通信設備間的安全認證與安全通信。車內通信是以車載終端、ADAS傳感系統、執行控制裝置為主體的車內通信網絡，主要涉及控制器局域網絡、FlexRay等通信協議，面臨的安全風險主要包括錄制重放、泛洪攻擊、數據明文傳輸、通信數據篡改等，可采取身份校驗、OBD隔離防火墻、安全芯片加密等防護措施。

應用安全主要包括移動應用軟件安全和車載端應用軟件安全，主要面臨的安全風險包括源碼反編譯、二次打包、中間人攻擊風險、惡意代碼植入、權限訪問控制等，可通過移動應用加固、移動應用安全檢測、密鑰白盒等技術確保應用軟件的安全。

4 車聯網網絡安全保障體系

為全面保障車聯網網絡安全，除針對不同的網絡安全問題采取行之有效的防護措施外，應從管理角度建立安全保障體系。全方位的車聯網網絡安全保障體系由開發階段的風險評估、檢測評估以及運行階段的態勢感知、應急處置構成。

風險評估做為車聯網網絡安全工程的起點，已成為智能網聯汽車網絡安全功能開發的基礎和前提，其中EVITA與HEAVENS是常用的風險評估方法。EVITA方法主要參考ISO/IEC 15408 (7)和ISO 26262，對車聯網每個網絡安全目標基于攻擊樹進行威脅識別與威脅分類，確定信息安全開發優先級，合理分配研發資源。與EVITA方法相比，HEAVENS方法是一套完整的針對汽車電子電氣系統的風險評估流程，主要的過程是基于安全要素進行威脅分析、風險評估、安全需求，結構化和系統化得發現潛在威脅。

檢測評估是對車聯網網絡安全五大防護對象的安全檢測，主要利用的核心技術：硬件安全分析、源代碼及固件分析、固件逆向、滲透測試、移動應用安全檢測等。車聯網中所有設備在投入使用前均需經過安全檢測評估，從源頭減少安全漏洞，確保車聯網網絡安全。

態勢感知、應急處置屬于后處理手段。態勢感知是一種動態洞悉安全風險的能力，通過在網 絡、中間件、主機中部署日志程序，獲取車端、移動終端、路測設施、云平臺、移動應用的日志信息，結合資產分析、威脅分析及安全檢測結果，利用大數據分析技術，輸出當前的風險態勢。應急處置是對即將或已出現的網絡安全事故進行應急響應處理，避免安全事故帶來危害人民生命或影響社會穩定的問題。實現的方式主要包括，通過建立汽車專有的漏洞數據庫，對已知的汽車漏洞進行分類分級處理，針對每一個漏洞制定應急解決措施；關注并收納信息安全領域的重大安全漏洞，制定針對汽車的安全解決方案。

5 結束語

本文首先分析總結了車聯網網絡層次，從技術的角度闡述了車聯網網絡安全五大防護對象的的防護措施，從流程管理角度整理了車聯網網絡安全的保障體系。后續將進一步研究車聯網網絡安全攻防技術、安全檢測技術，探索信息安全管理系統與軟件升級管理系統等車聯網網絡安全領域管理體系的建設思路。