車聯(lián)網(wǎng)安全保護研究

田苗+王松+蔡蕾+申萬萬+盧沖

摘要：該文通過對車聯(lián)網(wǎng)概念的介紹引出車聯(lián)網(wǎng)存在信息安全問題，車聯(lián)網(wǎng)的信息安全問題越來越多的引起大家的普遍關(guān)注。該文通過分析近年來發(fā)生的信息安全事件和信息安全攻擊方式，給出了四種信息安全保護方法，并介紹了車聯(lián)網(wǎng)相關(guān)行業(yè)對車聯(lián)網(wǎng)安全所做的努力和推動作用。

關(guān)鍵詞：車聯(lián)網(wǎng)；信息安全；信息安全保護

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）06-0072-04

1 概述

有人曾經(jīng)把智能汽車比喻為四個輪子的電腦。目前汽車的普通車型擁有25到200個不等的ECU（Electronic Control Unit，電子控制單元），高級轎車有144個ECU連接，軟件代碼超過6500萬行，無人駕駛的軟件代碼超過2億行；5年之后，每一輛智能汽車每天產(chǎn)生的數(shù)據(jù)量在4000GB左右。隨著汽車中ECU和連接的增加，將大大增加黑客對汽車的攻擊面，尤其是汽車通過通信網(wǎng)絡(luò)接入互聯(lián)網(wǎng)連接到云端之后，每個計算、控制和傳感單元，每個連接路徑都有可能因存在安全漏洞從而被黑客利用，實現(xiàn)對汽車的攻擊和控制。隨著互聯(lián)網(wǎng)、人工智能、無線網(wǎng)絡(luò)和云計算、大數(shù)據(jù)等技術(shù)的應(yīng)用，今天的汽車的智能化、聯(lián)網(wǎng)化程度越來越高。汽車中使用的計算和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計算和聯(lián)網(wǎng)架構(gòu)，也繼承了這些系統(tǒng)天然的安全缺陷。智能車采用感知—決策—控制來代替人對機械部分直接控制。信息安全不僅經(jīng)濟損失，可能會成為社會安全問題。

2 車聯(lián)網(wǎng)

如圖1所示，從網(wǎng)絡(luò)上看，車聯(lián)網(wǎng)系統(tǒng)可以分為車內(nèi)網(wǎng)，車際網(wǎng)和車載移動互聯(lián)網(wǎng)。車內(nèi)網(wǎng)也就是位于汽車內(nèi)部的網(wǎng)絡(luò)通信。這其中包括車載顯示器、車載傳感器與控制器以及車載資訊中心等。主要是負責(zé)采集與獲取車輛的智能信息，感知行車狀態(tài)與環(huán)境。 車際網(wǎng)主要是為了解決車與車、車與路、車與網(wǎng)、車與人等的互聯(lián)互通。監(jiān)測街上行駛的其他車輛的速度、位置等對其他駕駛員無法開放的隱私數(shù)據(jù)，同時自動預(yù)測出在該車行車道路前方是否有發(fā)生碰撞的可能。 根據(jù)計算機技術(shù)，可以計算不同車輛的最佳路線、及時匯報路況和安排信號燈周期。車載移動互聯(lián)網(wǎng)是利用車載4G，實現(xiàn)汽車同智能手機、移動互聯(lián)網(wǎng)和互聯(lián)網(wǎng)的互聯(lián)互通。車聯(lián)網(wǎng)是一個云架構(gòu)的車輛運行信息平臺，是多源海量信息的匯聚。它的生態(tài)鏈包含了ITS、物流、客貨運、危特車輛、汽修汽配、汽車租賃、企事業(yè)車輛管理、汽車制造商、4S店、車管、保險、緊急救援、移動互聯(lián)網(wǎng)等。

3 汽車信息安全事件

2013年，Charlie Miller & Chris Valasek通過OBD破解了豐田普銳斯；2014年，Charlie Miller & Chris Valasek 發(fā)布了12款車型的汽車安全報告；2014年，360公司破解Tesla汽車遠程控制功能；2015年1月，寶馬汽車Connected Drive功能存在漏洞，召回220萬輛汽車；2015年2月，Samy Kamkar 破解了通用安吉星onstar系統(tǒng)；2015年7月，Charlie Miller & Chris Valasek 遠程破解并控制了JEEP自由光，克萊斯特召回140萬輛汽車；2015年，360公司破解了BYD汽車云服務(wù)、遙控駕駛功能；2015年，360公司破解Tesla汽車毫米波雷達系統(tǒng)；2015年8月，國內(nèi)某汽車廠商的云服務(wù)也曾被爆存在漏洞，可導(dǎo)致車主信息泄露和汽車被遠程控制；2016年8月，360汽車安全實驗室首次通過傳感器漏洞破解了特斯拉自動駕駛系統(tǒng)。

通過以上分析，我們清楚地可以看到事件發(fā)生頻率越來越密集。2013年之前汽車安全事件是按照年為單位，2014年按照月為單位，但是到了2015年以后汽車攻擊事件或者研究演示是按照天為單位了。

4 攻擊方式

4.1 OBD攻擊方式

OBD（On-Board Diagnostic，車載診斷系統(tǒng)），能隨時監(jiān)控發(fā)動機的運行狀況和尾氣后處理系統(tǒng)的工作狀態(tài)。OBD作為汽車的對外接口，他能訪問CANbus， 也就是汽車的內(nèi)部總線，實現(xiàn)對車輛的控制，甚至修改一些行車電腦的配置，所以把專門的控制設(shè)備外接入OBD端口，便能實現(xiàn)對汽車的控制。

4.2 WIFI和藍牙攻擊方式

兩名美國黑客破解Jeep自由光就是通過破解WI-FI然后入侵到車內(nèi)的影音娛樂系統(tǒng)。由于汽車的影音娛樂系統(tǒng)也是能與CANBus總線交換數(shù)據(jù)的， CANbus總線能夠連接諸如發(fā)動機控制器、電子剎車控制器。黑客通過WI-FI這一橋梁連接到汽車終端的執(zhí)行控制機構(gòu)，然后利用電腦將固件刷入其中，從而完成了對汽車油門和剎車系統(tǒng)的破解。

比亞迪的速銳、秦以及唐均配備了藍牙遙控鑰匙，從實用性的角度來說，這確實是一項非常好的設(shè)計，方便了我們將車停入狹窄的車位，但比亞迪忽略的是其藍牙安全性。為了實現(xiàn)遙控汽車的功能，比亞迪將藍牙系統(tǒng)與CANBus總線相連，并且其中包括了連接汽車動力控制部分的CANBus線路，這是一件非常危險的事情，因為這意味著破解了藍牙系統(tǒng)就能啟動并遙控車輛了。因此，對于比亞迪秦，360破解團隊采用的對策是通過藍牙系統(tǒng)破解。首先，通過Ubertooth軟件破解比亞迪秦的藍牙PIN碼。成功之后，用手機等移動設(shè)備連接藍牙，再依靠無鑰匙進入系統(tǒng)與手機App控制程序之間的漏洞，就可以解鎖車門并進行啟動車輛了。

4.3 破壞運營商網(wǎng)絡(luò)和云服務(wù)系統(tǒng)

此前有報道稱安吉星（OnStar）系統(tǒng)被黑客發(fā)現(xiàn)漏洞，可被遠程控制。360破解團隊同樣發(fā)現(xiàn)了比亞迪的云端控制系統(tǒng)漏洞，通過這個漏洞他們能夠獲知車主的信息（如姓名、車牌號、車架號、身份證號、第二聯(lián)系人姓名、手機號等），獲知了車主的賬戶名之后，再進一步破解此賬戶的密碼。一旦密碼再破解之后，就能登錄到比亞迪的車聯(lián)網(wǎng)平臺。通過車聯(lián)網(wǎng)云服務(wù)平臺，即可以遠程遙控汽車開空調(diào)、解鎖、上鎖、導(dǎo)航及定位、整車體檢、應(yīng)用商店以及電話通訊等功能。

另一種遠程控制室通過車內(nèi)的通訊運營商服務(wù)（3G、4G等），現(xiàn)在很多車為實現(xiàn)網(wǎng)絡(luò)通訊都內(nèi)置有SIM卡，而兩名美國黑客正是通過破解內(nèi)置在Jeep自由光內(nèi)的運營商服務(wù)實現(xiàn)遠程控制的。

4.4遠程和近程結(jié)合

360團隊曾成功地破解了特斯拉的MODEL S車型。這次破解是基于他們發(fā)現(xiàn)的特斯拉手機App的漏洞，根據(jù)這個漏洞可以遠程解鎖特斯拉的車門。想要啟動這臺特斯拉就必須要有鑰匙在車內(nèi)，360破解團隊的做法是提前錄制車主鑰匙的射頻信號，然后在車內(nèi)用設(shè)備播放錄制的射頻信號，便能讓特斯拉誤以為是車鑰匙在車內(nèi)，所以360團隊成功將特斯拉破解了。

5 信息安全保護方法

5.1 以攻防平衡為核心的安全評估

安全評估主要分為五個階段。首先要確定評估范圍，包括系統(tǒng)的資產(chǎn)清單，拓撲圖，系統(tǒng)功能介紹等。然后根據(jù)評估范圍制定評估計劃，評估方法，并確立一個評估目標。在實施評估過程中會從多方面角度去檢查系統(tǒng)的安全性，涉及多種檢查方法。評估結(jié)束后會輸出安全報告供主機廠參考，對系統(tǒng)進行加固。加固完成后，進行二次驗證，確定漏洞不存在。而且在漏洞修復(fù)后沒有新的岡險?；蛘叱霈F(xiàn)次生風(fēng)險。通過完成安全評估后，會發(fā)現(xiàn)有些問題可以通過加固來解決，有些則需要調(diào)整架構(gòu)，采購安全產(chǎn)品。

安全評估是能夠快速有效地檢測出整個系統(tǒng)的安全狀態(tài)的全貌， 可以看到整個系統(tǒng)的脆弱性存在的方面，后期可以根據(jù)安全評估的結(jié)果對系統(tǒng)薄弱的環(huán)節(jié)進行防護. 通過安全評估可以梳理出來攻擊鏈，采用一定技術(shù)手段，進行加固，降低網(wǎng)絡(luò)攻擊造成的損失。

5.2 能夠防范于未然的大數(shù)據(jù)監(jiān)測

我們把安全能力按照事情狀態(tài)的發(fā)展進度分為三級。首先能夠做到事后分析，發(fā)現(xiàn)了攻擊事件，應(yīng)該能夠快速找到漏洞，并且根據(jù)線索查找到攻擊源，降低由攻擊帶來的損失。第二個級別是事中防御，主要通過各方面的監(jiān)控平臺進行事件監(jiān)控，發(fā)生攻擊事件時可以快速地應(yīng)急響應(yīng)，阻斷攻擊，并且分析攻擊的漏洞，快速的更新補丁?？梢栽诒还舫晒χ扒袛喙?。最后一個級別是事前感知級別，通過對自身系統(tǒng)的漏洞的主動研究，關(guān)注國內(nèi)外應(yīng)用技術(shù)的威脅報告，結(jié)合大數(shù)據(jù)分析，可以預(yù)測到在車聯(lián)網(wǎng)應(yīng)用技術(shù)存在重大漏洞時，自身系統(tǒng)可能會受到危害，可以提前采取其他方式進行安全防護，降低攻擊發(fā)生的可能性。

5.3 基于全生命周期的安全咨詢

針對未建設(shè)車聯(lián)網(wǎng)系統(tǒng)的主機廠，可以考慮針對車聯(lián)網(wǎng)安全生命周期安全開發(fā)管理咨詢服務(wù)，通過該服務(wù)可以在規(guī)劃設(shè)計階段就可以把安全需求落入到車聯(lián)網(wǎng)系統(tǒng)開發(fā)過程當(dāng)中，對于開發(fā)人員的安全意識培訓(xùn)也進行同步培訓(xùn)。在系統(tǒng)建設(shè)階段對各方面的安全要求開發(fā)程度進行檢查. 在上線驗收階段進行安全驗收從而保證系統(tǒng)自身的安全性。后期進入安全運維階段需要有專職的人員對安全策略進行調(diào)整。在系統(tǒng)退服階段，也要保證數(shù)據(jù)的安全性等。車聯(lián)網(wǎng)屬于移動互聯(lián)網(wǎng)系統(tǒng)，由于車輛終端自身的移動性較高，未來的數(shù)量較多。所以傳統(tǒng)的安全防護手段是無法滿足移動互聯(lián)網(wǎng)安全的需求，這里的核心原則是打造能夠“自主防御”的車聯(lián)網(wǎng)平臺， 對于安全事件能夠快速感知，積極響應(yīng)并處理。

5.4 整體解決方案

談到對互聯(lián)網(wǎng)安全采取的措施，劉健皓表示360方面提出了自己的安全框架。這個框架主要從安全服務(wù)、安全產(chǎn)品、應(yīng)急響應(yīng)、安全咨詢、威脅情報、安全監(jiān)控等幾個方面規(guī)劃了車聯(lián)網(wǎng)信息安全的方案。通過汽車安全評估發(fā)現(xiàn)現(xiàn)有系統(tǒng)的安全問題，有些問題可以通過修改配置，打補丁，增強訪問控制來解決。

對此，劉健皓給出的解決方案是在網(wǎng)絡(luò)關(guān)鍵節(jié)點加裝安全產(chǎn)品——“FUSE”車聯(lián)網(wǎng)安全防護系統(tǒng)。這個防護系統(tǒng)是部署在車內(nèi)接口的一個過濾器，能夠檢測并阻斷對汽車總線的攻擊；同時支持遠程的OTA升級和數(shù)據(jù)采集，可以監(jiān)控汽車是否遭受到了攻擊；再通過外圍的APP防護、TSP防護的產(chǎn)品保障車聯(lián)網(wǎng)系統(tǒng)的整體安全。

通過高效的應(yīng)急響應(yīng)服務(wù)可以降低由安全攻擊給主機廠帶來的損失。通過威脅情報監(jiān)控國內(nèi)外的安全態(tài)勢，為車聯(lián)網(wǎng)的規(guī)劃和發(fā)展提供有效可靠的論據(jù)， 最后通過安全監(jiān)控平臺可以看到車聯(lián)網(wǎng)汽車運行的全貌，一旦發(fā)生攻擊事件可以馬上發(fā)現(xiàn)、快速處理、達到攻防平衡的手段。

6 行業(yè)推動

6.1 標準

· 日本信息處理推進機構(gòu)IPA發(fā)布指南《Vehicle information security guide》；

· 美國SAE J3061于2016年1月14日發(fā)布標準《Cybersecurity Guidebook for Cyber-Physical Vehicle Systems》；

· 美國NHTSA于2016年10月24日發(fā)布《汽車最佳網(wǎng)絡(luò)安全指南》（《Cybersecurity Best Practices for Modern Vehicles》）。

6.2 發(fā)布

· 2014年10月美國國家標準與技術(shù)研究院制定《車聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊防護安全框架》；

· 2015年2月美國馬薩諸塞州參議員Ed Markey辦公室發(fā)布《車聯(lián)網(wǎng)安全漏洞研究報告》；

· 2015年5月8日，國務(wù)院正式印發(fā)《中國制造2025》，將汽車信息安全作為關(guān)鍵基礎(chǔ)問題進行研究；

· 2016年3月份，美國交通部（DOT）、美國國家公路交通安全管理局（DTNHTSA）、聯(lián)邦調(diào)查局（FBI）等部門一起發(fā)布公共服務(wù)公告；

· 2016年9月13日，ACIA在成立儀式上，正式對外發(fā)布《車載信息安全技術(shù)要求白皮書》；

· 2016年10月，我國正式發(fā)布《節(jié)能與新能源汽車技術(shù)路線圖》。

6.3 組織成立

· 2015年伊始，公司依托美國硅谷的技術(shù)優(yōu)勢，成立了全球第一家車聯(lián)網(wǎng)安全測試實驗室（VisualThreat Auto Cybersecurity Testing Lab）；

· 2016年9月13日，車載信息安全產(chǎn)業(yè)聯(lián)盟（英文名稱：Automotive Cybersecurity Industry Alliance 縮寫：ACIA）在京正式宣布成立；

· 2016年11月，日本汽車制造商們也宣布將在2017年開始建立一個共同的工作組以分享有關(guān)黑客入侵和數(shù)據(jù)外泄的信息，以加強汽車信息安全保護；

· 2016年11月24日，SyScan360亞太前瞻信息安全技術(shù)年會上，360宣布正式成立車聯(lián)網(wǎng)安全中心，并發(fā)布全套汽車安全解決方案；

· 2016年12月7日，第九屆TC汽車互聯(lián)網(wǎng)大會在上海開幕，主題是“汽車+移動互聯(lián)網(wǎng)”。

6.4 方案

· 極豆車聯(lián)網(wǎng)：隔離汽車底層加硬件防火墻的方式來保障車輛安全；

· 飛馳鎂物：前裝車聯(lián)網(wǎng)設(shè)備及車聯(lián)網(wǎng)平臺運營商采用終端硬件防護、云端密鑰應(yīng)用的方式；

· 華為的謝爾德實驗室：通訊服務(wù)商采用層級安全架構(gòu)確保設(shè)備的安全隔離；

· 東軟集團發(fā)布了國內(nèi)首款車載信息安全產(chǎn)品——東軟S-Car整體解決方案，覆蓋了車聯(lián)網(wǎng)的整個生命周期；

· 百度自動駕駛事業(yè)部旗下的云驍安全實驗室通過更加全面的技術(shù)對車聯(lián)網(wǎng)核心控制系統(tǒng)T-BOX（Telematics BOX）進行了安全分析并成功破解；

· 中企通信私有云/混合云/云備份解決方案，基于可靠的云計算基礎(chǔ)設(shè)施，不僅可令車聯(lián)網(wǎng)企業(yè)大幅降低運營成本及提升靈活性，同時令其享有企業(yè)級的信息安全保護，提升保密性及可用性；

· 中企通信TrustCSI 系列托管式安全解決方案，防御不斷涌現(xiàn)的網(wǎng)絡(luò)威脅，可為車聯(lián)網(wǎng)提供全面的網(wǎng)絡(luò)安全解決方案。

6.5 平臺&產(chǎn)品

· 2016年11月24日，SyScan360亞太前瞻信息安全技術(shù)年會上，率先推出360汽車衛(wèi)士、CANPICK等多個汽車安全防護和檢測產(chǎn)品，基于安全大數(shù)據(jù)的360車聯(lián)網(wǎng)安全運營平臺目前也已經(jīng)投入運行。

6.6 計劃&研究

· 通用、特斯拉、大眾等多家汽車廠商通過公開招募安全人員、成立安全公司或者與安全機構(gòu)合作；

· 美國司法部也在計劃通過立法來推動汽車行業(yè)必須確保旗下車輛內(nèi)置網(wǎng)絡(luò)安全保護系統(tǒng)；

· 具國外媒體報道，最新的調(diào)研是由總部位于馬薩諸塞州的國際數(shù)據(jù)公司（InternationalDataCorp.）委托安全公司Veracode展開的，主要針對汽車制造商、零部件供應(yīng)商以及歐洲司機們收集數(shù)據(jù)；

· 偉世通和思科合作研發(fā)的OASIS概念座艙使得人們在享受車聯(lián)網(wǎng)技術(shù)帶來的便利同時，還能夠保證汽車與云端服務(wù)器進行數(shù)據(jù)通訊時的安全。

7 結(jié)束語

車聯(lián)網(wǎng)的未來發(fā)展趨勢是不可逆的，各大車企和互聯(lián)網(wǎng)公司都在進行相應(yīng)的硬件、云端和通訊方式的研發(fā)，但是現(xiàn)階段各走各路的模式肯定是無法走通的，各方數(shù)據(jù)、技術(shù)以及標準都應(yīng)趨于整合。當(dāng)所有車聯(lián)網(wǎng)領(lǐng)域的企業(yè)都能夠遵循標準之后，車聯(lián)網(wǎng)或許才能迎來真正的爆發(fā)。

此外，車聯(lián)網(wǎng)，從誕生至今一直存在爭議，也可以說一直沒有被消費者所能信賴，正是由于它的安全性還沒有絕對的保障?，F(xiàn)階段的車聯(lián)網(wǎng)普及程度還未達到，它強大的智能表現(xiàn)還需要在更多用戶使用同等應(yīng)用之后，相應(yīng)的大數(shù)據(jù)才可以達到人們所期待的效應(yīng)。

我們設(shè)想一下，當(dāng)車聯(lián)網(wǎng)成為未來汽車市場的主流產(chǎn)品之后，由此帶來的安全問題恐怕會更頻繁出現(xiàn)。雖然相關(guān)的企業(yè)也一直在做產(chǎn)品的安全維護、升級，但是世界上本就沒有絕對安全的防火墻，人們肯定不希望自己駕駛車輛有隨時被他人接管的風(fēng)險。畢竟車輛的安全關(guān)乎我們的生命安危，所以說安全性才是車聯(lián)網(wǎng)發(fā)展道路上的重中之重。我們不應(yīng)只看到車聯(lián)網(wǎng)如何是我們的生活更加高效、便捷，而忽視其隨時可能帶來的危險。

參考文獻：

[1] 2015汽車信息安全年度報告[Z].2016.

[2] 余貴珍.智能車與信息安全[Z].2016.

[3] 車聯(lián)網(wǎng)不安全？ 看黑客們?nèi)绾纹平馄嘯EB/OL].http：//www.autohome.com.cn/tech/201510/880650.html.