車聯(lián)網(wǎng)信息安全防護(hù)體系研究

鮑　克，嚴(yán)　丹，李富勇，沈笑慧

（浙江省電子信息產(chǎn)品檢驗所，江蘇 杭州　310007）

0　引言

隨著移動互聯(lián)、云計算等新技術(shù)的發(fā)展，以萬物互聯(lián)為目標(biāo)的物聯(lián)網(wǎng)技術(shù)正受到越來越多的關(guān)注。車聯(lián)網(wǎng)是物聯(lián)網(wǎng)技術(shù)在傳統(tǒng)汽車行業(yè)的具體應(yīng)用[1-2]。在車聯(lián)網(wǎng)構(gòu)架中，智能車輛通過車載無線設(shè)備來實(shí)現(xiàn)車輛與車輛間、車輛與路基設(shè)備間、車輛與云端間的通信[3]，通過車載傳感設(shè)備來感知車內(nèi)乘客和車外行人的狀況，實(shí)時收集車輛的行駛情況、周邊交通狀況等動態(tài)信息，并將這些信息通過無線網(wǎng)絡(luò)傳輸?shù)皆贫诉M(jìn)行篩選、計算、分析和存儲，由云端反饋的信息可為智能聯(lián)網(wǎng)車輛提供高效精準(zhǔn)的道路導(dǎo)航、路況報送、信息共享、應(yīng)急搶險等綜合服務(wù)[4-5]。在車聯(lián)網(wǎng)技術(shù)給用戶帶來豐富的智能化體驗的同時，卻也使車主面臨隱私信息泄露、車輛被非法控制等安全風(fēng)險[6-7]。車聯(lián)網(wǎng)信息安全方面的問題日益突顯。

本文在詳細(xì)分析車聯(lián)網(wǎng)網(wǎng)絡(luò)構(gòu)架和信息安全風(fēng)險的基礎(chǔ)上，結(jié)合等級保護(hù)基本要求，提出了一套適用于車聯(lián)網(wǎng)的信息安全防護(hù)體系。

1　車聯(lián)網(wǎng)典型構(gòu)架

車聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)可分為三個區(qū)域，分別為車載終端域、網(wǎng)絡(luò)傳輸域、云平臺域。車載終端域位于感知層，包含車載終端設(shè)備和路基感知設(shè)施等硬件設(shè)備，主要負(fù)責(zé)采集聯(lián)網(wǎng)車輛的智能信息，感知車輛行駛狀態(tài)和車內(nèi)乘客狀況，同時讓聯(lián)網(wǎng)汽車具備通信、尋址和可信標(biāo)識功能。網(wǎng)絡(luò)傳輸域位于網(wǎng)絡(luò)層，主要負(fù)責(zé)車輛與車輛、車輛與路網(wǎng)、車輛與云平臺、車輛與車主的互聯(lián)互通，實(shí)現(xiàn)車輛與各類異構(gòu)網(wǎng)絡(luò)之間的通信。云平臺域位于應(yīng)用層，負(fù)責(zé)對車輛上傳的數(shù)據(jù)進(jìn)行匯聚篩選、計算分析和存儲，并建立身份鑒別、日志審計、訪問控制、剩余信息保護(hù)等安全機(jī)制，為聯(lián)網(wǎng)車輛提供交通信息、公共支付、娛樂傳媒、緊急救援等應(yīng)用服務(wù)。

2　車聯(lián)網(wǎng)安全風(fēng)險

2.1　車載終端域安全風(fēng)險

車載終端域的主要任務(wù)是感知聯(lián)網(wǎng)車輛內(nèi)外的各類信息，在車聯(lián)網(wǎng)技術(shù)中，各類前端傳感設(shè)備大多采用無線通信方式傳輸數(shù)據(jù)。較有線通信方式而言，無線數(shù)據(jù)在傳輸過程中更可能被非法攔截和獲取。同時，通過對前端傳感設(shè)備的非授權(quán)控制，可以向車輛駕駛者傳輸惡意信息，造成車輛駕駛者的誤判。

車載終端域的安全風(fēng)險還體現(xiàn)在車載智能系統(tǒng)和車載應(yīng)用軟件上，為了更好的體驗車輛的增值服務(wù)，車主可以下載應(yīng)用軟件并安裝至車載智能系統(tǒng)上，這為聯(lián)網(wǎng)車輛帶來了新的風(fēng)險。（1）車載智能系統(tǒng)本身包含漏洞，未及時更新補(bǔ)丁程序。（2）應(yīng)用軟件被非法篡改并植入惡意代碼。（3）通過水坑攻擊等方式，誘使車主下載木馬程序。

此外，車輛大多保留有OBD接口進(jìn)行故障自動診斷，OBD接口發(fā)出的代碼直接進(jìn)入CAN總線，如果攻擊者通過 OBD接口將惡意程序植入汽車總線，將會給車輛和用戶帶來巨大的安全威脅。車聯(lián)網(wǎng)的運(yùn)行需要大量的基站設(shè)施收集道路信息，并將收集到的信息交互至聯(lián)網(wǎng)車輛和云平臺。由于基站設(shè)施往往設(shè)在公共地帶，工作場景不受運(yùn)營者的控制，相對車聯(lián)網(wǎng)其他組成部分而言，更易受到物理破壞等安全威脅。

2.2　網(wǎng)絡(luò)傳輸域安全風(fēng)險

網(wǎng)絡(luò)傳輸域主要完成信息的傳輸工作，是連接車載終端域和云平臺域的通道。其主要風(fēng)險來自以下幾個方面：（1）攻擊者采用DDOS攻擊擁塞網(wǎng)絡(luò)，造成服務(wù)中斷。（2）在對網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，未采用加密方式，導(dǎo)致身份鑒別信息被盜取。（3）未啟用網(wǎng)絡(luò)設(shè)備的登錄失敗處理策略和口令復(fù)雜度策略，致使口令遭受暴力破解。

2.3　云平臺域安全風(fēng)險

云平臺域主要完成信息的整合分析，并為車輛提供服務(wù)。其主要風(fēng)險來自以下幾個方面：（1）云平臺自身的安全漏洞，包括虛擬主機(jī)操作系統(tǒng)漏洞等。（2）邊界防護(hù)設(shè)備的訪問控制策略不完善，導(dǎo)致數(shù)據(jù)資源被非授權(quán)訪問。（3）存儲車聯(lián)網(wǎng)用戶身份鑒別信息和重要數(shù)據(jù)的硬盤和內(nèi)存，在分配給下一位用戶前未能徹底清除，造成隱私數(shù)據(jù)泄漏。（4）云平臺對入駐的應(yīng)用軟件提供商缺少審核標(biāo)準(zhǔn)，應(yīng)用軟件的漏洞影響云平臺的整體安全。

3　車聯(lián)網(wǎng)安全防護(hù)體系

結(jié)合車聯(lián)網(wǎng)的威脅分析和信息安全等級保護(hù)基本要求，從主機(jī)層面、網(wǎng)絡(luò)層面和終端層面設(shè)計安全防護(hù)體系。

3.1　車聯(lián)網(wǎng)終端層安全防護(hù)要求

終端層面應(yīng)主要關(guān)注聯(lián)網(wǎng)車輛車載智能系統(tǒng)、車載應(yīng)用軟件和前端感知設(shè)備的安全性。

車載智能系統(tǒng)應(yīng)具備較強(qiáng)的防“越獄”能力和防“刷機(jī)”能力；應(yīng)具備自動檢測下載升級文件的功能，并在確保不影響車輛運(yùn)行的情況下升級；應(yīng)限制單個進(jìn)程對系統(tǒng)資源的最大使用量，在發(fā)生系統(tǒng)資源不足時，能夠優(yōu)先保證關(guān)系行車安全的應(yīng)用軟件的運(yùn)行。

車載應(yīng)用軟件開發(fā)者應(yīng)根據(jù)應(yīng)用開發(fā)規(guī)范進(jìn)行應(yīng)用開發(fā)，并委托第三方機(jī)構(gòu)對應(yīng)用軟件進(jìn)行安全測評，由智能車輛生產(chǎn)廠商依據(jù)安全測評報告對車載應(yīng)用軟件進(jìn)行上線審核并確定是否發(fā)布。對于涉及個人隱私的車載應(yīng)用軟件應(yīng)具備身份鑒別功能，并強(qiáng)制要求鑒別方式強(qiáng)度；應(yīng)具備登錄失敗處理功能，包括非法登錄次數(shù)限制和車輛熄火后的超時退出時間設(shè)置；應(yīng)提供覆蓋到每個用戶的安全審計功能，審計內(nèi)容包括事件的日期、時間、發(fā)起者信息、動作和結(jié)果，審計記錄無法刪除或修改并能保存規(guī)定時長以上；車載應(yīng)用系統(tǒng)的客戶端和服務(wù)端應(yīng)采用加密協(xié)議進(jìn)行通信，對數(shù)據(jù)庫中的鑒別信息和敏感業(yè)務(wù)數(shù)據(jù)進(jìn)行加密存儲；提供數(shù)據(jù)合理性檢驗功能，具備防御SQL注入和跨站腳本攻擊的能力。

部署在聯(lián)網(wǎng)車輛內(nèi)部和道路周邊的前端感知設(shè)備應(yīng)具備一定的物理強(qiáng)度，降低物理損傷造成設(shè)備停機(jī)出現(xiàn)的概率，在發(fā)生故障時，可實(shí)現(xiàn)自動激活恢復(fù)功能；前端感知設(shè)備應(yīng)具備唯一的身份標(biāo)識，作為身份鑒別的重要依據(jù)，僅經(jīng)合法授權(quán)的身份標(biāo)識方可進(jìn)行網(wǎng)絡(luò)通信；具備較強(qiáng)的抗電磁干擾能力，防止不法分子干擾感知設(shè)備的正常運(yùn)行；具備較強(qiáng)的抗雷擊能力，降低雷暴等惡劣天氣對設(shè)備的影響；對重要節(jié)點(diǎn)的感知設(shè)備應(yīng)采用雙路供電或配備備份電源。

3.2　車聯(lián)網(wǎng)網(wǎng)絡(luò)層安全防護(hù)要求

網(wǎng)絡(luò)層面安全防護(hù)主要從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、準(zhǔn)入設(shè)備和通信鏈路方面開展。（1）對交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，應(yīng)邏輯關(guān)閉未使用的物理端口和服務(wù)端口，實(shí)時監(jiān)控硬件運(yùn)行狀態(tài)和系統(tǒng)性能，關(guān)鍵節(jié)點(diǎn)上的網(wǎng)絡(luò)設(shè)備應(yīng)具備性能冗余能力，在遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備時應(yīng)采用SSH等加密協(xié)議。（2）在網(wǎng)絡(luò)邊界部署防火墻、安全網(wǎng)關(guān)等安全設(shè)備，設(shè)置細(xì)粒度的訪問策略并刪除多余的訪問控制規(guī)則，保證跨越網(wǎng)絡(luò)區(qū)域的數(shù)據(jù)訪問僅能通過邊界安全設(shè)備的受控接口進(jìn)行；在關(guān)鍵節(jié)點(diǎn)處應(yīng)部署入侵檢測設(shè)備，防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊，并能向安全管理中心報警。（3）部署安全準(zhǔn)入設(shè)備對接入設(shè)備進(jìn)行認(rèn)證，僅允許已授權(quán)設(shè)備接入，拒絕非授權(quán)設(shè)備和惡意設(shè)備，收集聯(lián)網(wǎng)車輛的固件版本、標(biāo)識、配置信息校驗值等健康性信息，防止已被非法控制的車輛聯(lián)入網(wǎng)絡(luò)。（4）采用隧道加密技術(shù)保證聯(lián)網(wǎng)車輛、基站和云平臺通信的完整性和保密性，防止信息在傳輸過程中受到截取甚至篡改。

3.3　車聯(lián)網(wǎng)主機(jī)層安全防護(hù)要求

主機(jī)層面安全防護(hù)主要圍繞云平臺域內(nèi)的服務(wù)器開展。（1）在服務(wù)器上部署可統(tǒng)一管理的殺毒軟件進(jìn)行惡意代碼防護(hù)，并通過預(yù)設(shè)策略實(shí)現(xiàn)病毒庫的及時升級。（2）服務(wù)器應(yīng)遵循最小安裝原則，僅安裝必須的應(yīng)用軟件，關(guān)閉默認(rèn)共享、不需要的系統(tǒng)服務(wù)和端口；定期對服務(wù)器管理賬戶進(jìn)行梳理，刪除無用賬戶。（3）冗余配置關(guān)鍵服務(wù)器，并預(yù)設(shè)策略實(shí)現(xiàn)重要數(shù)據(jù)的實(shí)時備份；配備數(shù)據(jù)庫審計設(shè)備，實(shí)現(xiàn)對數(shù)據(jù)庫操作的審計。（4）在服務(wù)器前端部署Web應(yīng)用防火墻和防毒墻，防御Web攻擊和網(wǎng)絡(luò)層惡意代碼。

4　結(jié)語

隨著物聯(lián)網(wǎng)技術(shù)和云計算的快速發(fā)展，車聯(lián)網(wǎng)將成為智慧城市的重要一環(huán)。當(dāng)前，車聯(lián)網(wǎng)的安全防護(hù)技術(shù)已成為影響智能車輛和車聯(lián)網(wǎng)發(fā)展的重要因素，而業(yè)界對此還缺乏一致的解決方案。本文以車聯(lián)網(wǎng)的典型構(gòu)架為切入點(diǎn)，分析了車聯(lián)網(wǎng)在車載終端域、網(wǎng)絡(luò)傳輸域和云平臺域面臨的安全風(fēng)險，并結(jié)合等級保護(hù)基本要求從網(wǎng)絡(luò)、主機(jī)、終端等層面提出了車聯(lián)網(wǎng)信息安全防護(hù)體系。當(dāng)前，國內(nèi)外對車聯(lián)網(wǎng)安全技術(shù)的研究和應(yīng)用都還處于起步階段，如何將車聯(lián)網(wǎng)安全技術(shù)納入智慧交通信息安全框架應(yīng)是今后研究的重要方向。