智能網(wǎng)聯(lián)汽車信息安全測評體系

王新年，張傳楨Wang Xinnian，Zhang Chuanzhen

智能網(wǎng)聯(lián)汽車信息安全測評體系

王新年，張傳楨
Wang Xinnian，Zhang Chuanzhen

（北京汽車研究總院有限公司，北京 101300）

目前智能網(wǎng)聯(lián)汽車信息安全工作主要集中在分析、挖掘安全漏洞等方面，缺乏全面、系統(tǒng)的信息安全評估體系?；谥悄芫W(wǎng)聯(lián)汽車存在的安全威脅，提出一套從汽車自身安全水平、車輛智能網(wǎng)聯(lián)化水平和企業(yè)應(yīng)急響應(yīng)體系3個方面綜合分析汽車信息安全的測試評估體系，并通過實車驗證了該測評體系合理可行，為汽車研發(fā)過程中信息安全風(fēng)險分析提供技術(shù)支撐。

汽車信息安全；安全測試評估體系；安全威脅；安全漏洞

0 引 言

隨著汽車智能網(wǎng)聯(lián)化技術(shù)的快速發(fā)展，智能網(wǎng)聯(lián)汽車通過3G/4G、藍牙、Wi-Fi、V2X（Vehicle to Everything，車輛與外界交互）、射頻、USB、OBD-II（On Board Diagnostics Ⅱ，Ⅱ型車載診斷系統(tǒng)）等途徑對外互聯(lián)的應(yīng)用場景、智能駕駛等新技術(shù)越來越多，智能網(wǎng)聯(lián)汽車面臨的信息安全威脅越來越大[1-3]。

2015年，黑客利用克萊斯勒JEEP車型娛樂系統(tǒng)芯片存在的安全問題將正在道路上行駛的汽車開到路旁的水溝里，該事件導(dǎo)致近140萬輛汽車被召回[4]；2016年，Promon公司利用特斯拉APP（Application，應(yīng)用程序）的安全漏洞獲取了車主用戶名和口令，實現(xiàn)車輛解鎖、啟動等操作[5]；2018年，寶馬多款車型上存在14個通用安全漏洞，可以通過物理接觸和遠程無接觸等破解車載信息娛樂系統(tǒng)、車載通信模塊等，獲取CAN（Controller Area Network，控制器局域網(wǎng)絡(luò)）總線的控制權(quán)[6]；2020年，騰訊科恩實驗室利用特斯拉Model S無線模塊Parrot中存在的兩個漏洞，實現(xiàn)了在Parrot模塊的Linux系統(tǒng)中執(zhí)行任意命令。

目前主機廠對信息安全研究工作主要集中在智能網(wǎng)聯(lián)汽車安全漏洞挖掘、面臨的威脅及有效的攻擊方式分析等方面，缺乏一套完善統(tǒng)一的智能網(wǎng)聯(lián)汽車信息安全測評體系來評估汽車的信息安全水平；汽車信息安全貫穿于汽車設(shè)計、開發(fā)、使用、報廢等環(huán)節(jié)[7]，因此，構(gòu)建一套高效全面的智能網(wǎng)聯(lián)汽車信息安全測試評估體系十分重要。

1 智能網(wǎng)聯(lián)汽車存在的安全威脅

智能網(wǎng)聯(lián)汽車信息安全風(fēng)險主要包括7個方面：網(wǎng)絡(luò)架構(gòu)、ECU （Electronic Control Unit，電子控制單元）、T-BOX （Telematics BOX，遠程信息處理器）、IVI（In-Vehicle Infotainment，車載信息娛樂系統(tǒng)）、無線通信、TSP（Telematics Services Platform，云服務(wù)平臺）和APP，如圖1所示[8]。

注：BCM（Body Control Module，車身控制模塊），ESP（Electronic Stability Program，車身穩(wěn)定控制系統(tǒng)）。

對智能網(wǎng)聯(lián)汽車中的7個威脅風(fēng)險點，惡意攻擊者可以利用CAN總線廣播機制，實施數(shù)據(jù)包竊聽、偽造及數(shù)據(jù)重放等[9]；可以劫持ECU設(shè)備制造廠商的訪問機制，對源代碼進行逆向破解，對芯片內(nèi)固件代碼進行提取、篡改、分析等操作[10]；利用T-BOX模塊存在的調(diào)試引腳、串口等，深入到系統(tǒng)內(nèi)部，對協(xié)議傳輸數(shù)據(jù)進行篡改，實現(xiàn)對車輛遠程操控[11]；利用IVI系統(tǒng)軟件升級的方式獲取到Root訪問權(quán)限，進入系統(tǒng)內(nèi)部，實現(xiàn)對車輛的控制，此外，還可以通過分析IVI系統(tǒng)硬件的主板、芯片、接口、引腳、標識等提取固件信息進行逆向分析，獲取敏感的關(guān)鍵信息，挖掘隱藏的安全漏洞[12]；利用旁聽設(shè)備獲取通信內(nèi)容，對通信內(nèi)容進一步分析，破解無線通信安全特征，對劫持的通信數(shù)據(jù)進行重放、篡改、丟棄等操作[13]；利用TSP云平臺系統(tǒng)軟件設(shè)計時的缺陷、編碼時產(chǎn)生的錯誤、業(yè)務(wù)交互過程中的邏輯錯誤實施攻擊[14]；攻擊者可以通過逆向APP的APK（Android application package，Android應(yīng)用程序包）獲取到APP所有內(nèi)容后，對源代碼進行篡改或植入惡意代碼，重新封裝后實施惡意攻擊；此外，攻擊者還可以通過調(diào)用各類接口達到控制車輛的目的[15]。

2 整車信息安全測評體系

參考ISO/SAE 21434中道路車輛安全、EVITA（E-safety Vehicle Insrusion Protected Application，車輛電子安全的入侵保護應(yīng)用）威脅嚴重性分類模型、HEAVENS（Healing Vulnerabilities to Enhance Software Security and Safety，漏洞修復(fù)增強軟件安全分析模型）和CVSS（Common Vulnerability Scoring System，通用漏洞評級系統(tǒng)）中關(guān)于界定安全漏洞的標準，提出了一套由汽車自身的安全風(fēng)險水平、車輛智能網(wǎng)聯(lián)化程度和企業(yè)應(yīng)急響應(yīng)的綜合評估體系，定量地評估智能網(wǎng)聯(lián)汽車的整體信息安全水平[16,17]。

整車信息安全測評體系采取滿分100分制，其中汽車自身安全水平、車輛智能網(wǎng)聯(lián)化水平、企業(yè)應(yīng)急響應(yīng)體系3個方面滿分分別為70分、20分、10分。汽車自身安全水平是通過汽車上存在的安全風(fēng)險進行評判，智能網(wǎng)聯(lián)汽車的安全風(fēng)險主要為圖1所示的7個方面，每個風(fēng)險點計10分，共計70分；車輛智能網(wǎng)聯(lián)化水平根據(jù)被測車輛相關(guān)配置進行評判；企業(yè)應(yīng)急響應(yīng)體系根據(jù)企業(yè)自身具備的應(yīng)急響應(yīng)機制進行評判。智能網(wǎng)聯(lián)汽車整車信息安全測評體系如圖2所示。

圖2 智能網(wǎng)聯(lián)汽車整車信息安全測評體系

2.1 汽車自身安全水平

針對智能網(wǎng)聯(lián)汽車存在的安全風(fēng)險，參考上述關(guān)于界定安全漏洞的評估標準，對出現(xiàn)的安全漏洞進行風(fēng)險評估，得到汽車自身的安全水平。

2.1.1 汽車安全漏洞評估指標

參考漏洞評估模型的評估要素，將汽車的安全漏洞評估指標分為攻擊可行性參數(shù)和影響程度參數(shù)2個方面，結(jié)合這2個方面的不同影響因素計算智能網(wǎng)聯(lián)汽車單個安全漏洞的得分，進而計算出整車各個安全漏洞的得分。汽車自身安全水平評價流程如圖3所示。

圖3 汽車自身安全水平評價流程圖

1）攻擊可行性參數(shù)。

攻擊可行性參數(shù)表示在發(fā)動攻擊時車輛上存在的安全漏洞可被利用的各類影響因素，包括攻擊路徑、攻擊耗時、攻擊區(qū)域、攻擊設(shè)備、所需專業(yè)知識、目標資源、攻擊授權(quán)、車輛工況、機密性、完整性和可用性[18]。各影響因素的具體參數(shù)、賦值及說明見表1，攻擊可行性計算式為

S=1.905V+0.952V+1.905S+0.952E+0.952V+

0.952V+A+1.905C+0.333 (I+I+I) （1）

式中：S為攻擊可行性；V為攻擊路徑；V為攻擊耗時；S為攻擊區(qū)域；E為攻擊設(shè)備；V為所需專業(yè)知識；V為目標資源；A為攻擊授權(quán)；C為車輛工況；I為機密性；I為完整性；I為可用性。

攻擊可行性各影響因素的權(quán)重參考了CTS CAC-PV18-03《汽車產(chǎn)品信息安全測試評價規(guī)范》[18]，利用層次分析法對專家進行問卷調(diào)查后加權(quán)得到。

2）影響程度參數(shù)。

影響程度參數(shù)是指攻擊者利用汽車上存在的安全漏洞對車輛實施攻擊后產(chǎn)生的安全威脅，包括人身安全、財產(chǎn)安全、隱私安全、功能安全、公共安全及法規(guī)、危害持續(xù)時間[19]，其具體參數(shù)、賦值及說明見表2。

表1 攻擊可行性影響因素

續(xù)表1

注：①JTAG（Joint Test Action Group，聯(lián)合測試工作組）。

表2 影響程度的具體參數(shù)

續(xù)表2

汽車受攻擊后，影響程度的計算式為

S=3.333V+1.429V+0.952V+0.953V+2.381R+0.952T（2）

式中：S為影響程度；V為人身安全；V為財產(chǎn)安全；V為隱私安全；V為功能失效；R為公共安全及法規(guī)；T為危害持續(xù)時間。

影響程度各因子的權(quán)重參考CTS CAC-PV18-03《汽車產(chǎn)品信息安全測試評價規(guī) 范》[18]，利用層次分析法對專家進行問卷調(diào)查后加權(quán)得到。

2.1.2 汽車安全漏洞風(fēng)險等級

根據(jù)表1、表2和式（1）、式（2）可計算得到攻擊可行性、影響程度的得分，相應(yīng)的度量值和程度值見表3、表4。

表3 攻擊可行性程度范圍

表4 影響程度范圍

參考前文關(guān)于界定安全漏洞的評估標準，將汽車的安全漏洞分為A、B、C、D 4個等級，分別為低危、中危、高危和嚴重[20-21]。結(jié)合攻擊可行性度量值和影響程度值，得出汽車安全漏洞的風(fēng)險評估等級，具體見表5。

表5 安全漏洞風(fēng)險評估等級

2.1.3 汽車自身安全水平

為了計算整車7個風(fēng)險點所有的安全漏洞得分，對安全漏洞的4個風(fēng)險評估等級賦值，低危漏洞系數(shù)為1，中危漏洞系數(shù)為2，高危漏洞系數(shù)為3，嚴重漏洞系數(shù)為4，則整車7個風(fēng)險點的安全漏洞為

整車自身的信息安全得分為

式中：W為網(wǎng)絡(luò)架構(gòu)、ECU、T-BOX、IVI、無線通信、TSP云平臺、APP 7個風(fēng)險點的產(chǎn)品安全試驗得分，其中單個W的最低分為0分；li為7個風(fēng)險點的產(chǎn)品檢測出的低危漏洞個數(shù)；mi為7個風(fēng)險點的產(chǎn)品檢測出的中危漏洞個數(shù)；hi為7個風(fēng)險點的產(chǎn)品檢測出的高危漏洞個數(shù)；si為7個風(fēng)險點的產(chǎn)品檢測出的嚴重漏洞個數(shù)；為整車自身的信息安全水平。

2.2 車輛智能網(wǎng)聯(lián)化水平

為了評價車輛智能網(wǎng)聯(lián)化水平，需對被測車輛智能網(wǎng)聯(lián)化功能進行計算，車輛智能網(wǎng)聯(lián)化水平主要分為智能網(wǎng)聯(lián)化配置、遠程控制、遠程查詢、安防服務(wù)和舒適娛樂方面，具體見表6（目前市場上主流智能網(wǎng)聯(lián)化功能），被測車輛每具備其中一項功能，評價分數(shù)加0.5分，滿分20分，超過部分不計。

表6 智能網(wǎng)聯(lián)汽車功能配置表

注：①ACC(Adaptive Cruise Control，自適應(yīng)巡航控制)；②HUD（Heads Up Display，抬頭數(shù)字顯示儀）。

2.3 企業(yè)應(yīng)急響應(yīng)體系

智能網(wǎng)聯(lián)汽車企業(yè)應(yīng)急響應(yīng)體系主要包括技術(shù)防御、組織保障和響應(yīng)實施3個方面[22,23]，共計20個指標項，具體見表7，每具備其中一項指標，評價分數(shù)加0.5分，滿分10分。

表7 智能網(wǎng)聯(lián)汽車應(yīng)急響應(yīng)體系

續(xù)表7

2.4 整車信息安全水平評價

綜上可知，智能網(wǎng)聯(lián)汽車整車信息安全定量評價為

=++（5）

式中：為智能網(wǎng)聯(lián)汽車整車信息安全水平；為汽車自身信息安全得分；為車輛智能網(wǎng)聯(lián)化配置得分；為企業(yè)應(yīng)急響應(yīng)體系得分。

為了充分直觀地評估整車的信息安全水平，結(jié)合CTS CAC-PV18-03《汽車產(chǎn)品信息安全測試評價規(guī)范》[18]和智能網(wǎng)聯(lián)汽車整體信息安全分值，將汽車信息安全水平分為高、中和低3個等級，見表8。

表8 汽車信息安全水平評價

3 測評實施案例

對某開發(fā)階段的智能網(wǎng)聯(lián)汽車信息安全進行測試，共發(fā)現(xiàn)5個安全漏洞：總線拒絕服務(wù)攻擊漏洞、總線重放攻擊漏洞、車載娛樂系統(tǒng)越權(quán)訪問漏洞、手機遠程控制APP中間人劫持漏洞以及手機遠程控制APP數(shù)據(jù)傳輸未加密漏洞。

3.1 試驗車輛信息安全漏洞風(fēng)險評估

利用整車信息安全風(fēng)險等級評估系統(tǒng)對5個漏洞進行分析，見表9。

（1）總線拒絕服務(wù)攻擊漏洞。物理接觸汽車、在汽車CAN總線上高頻率地發(fā)送優(yōu)先級高的數(shù)據(jù)幀，導(dǎo)致汽車輔助駕駛系統(tǒng)故障、轉(zhuǎn)向助力失效、電子手剎、儀表盤故障和轉(zhuǎn)速表失效等，在汽車行駛過程中可能導(dǎo)致重大的人身安全和車輛的財產(chǎn)損失，屬于網(wǎng)絡(luò)架構(gòu)中的嚴重漏洞。

表9 某智能網(wǎng)聯(lián)汽車安全漏洞分析

（2）總線重放攻擊漏洞。向汽車CAN總線發(fā)送儀表盤狀態(tài)顯示（如轉(zhuǎn)向燈、遠近光燈等）數(shù)據(jù)幀，導(dǎo)致儀表盤顯示故障，可能會導(dǎo)致駕乘人員對車輛狀態(tài)做出錯誤判斷，屬于網(wǎng)絡(luò)架構(gòu)中的中危漏洞。

（3）車載娛樂系統(tǒng)越權(quán)訪問漏洞。車載娛樂系統(tǒng)中開啟了開發(fā)者選項并存在網(wǎng)絡(luò)調(diào)試端口，惡意攻擊者可以通過Wi-Fi、藍牙等方式直接訪問車機，滲透到車機內(nèi)部并以Root身份執(zhí)行任意操作，屬于車載娛樂系統(tǒng)IVI中的嚴重漏洞。

（4）手機遠程控制APP中間人劫持攻擊漏洞。手機遠程控制APP與服務(wù)器間通信未使用雙向證書校驗，惡意攻擊者可以通過偽造代理、DNS（Domain Name System，域名系統(tǒng)）欺騙等手段獲取正常用戶的請求，并將篡改偽造后的請求發(fā)送給服務(wù)端，達到登錄、遠程控制汽車的目的，屬于APP中的嚴重漏洞。

（5）手機遠程控制APP數(shù)據(jù)傳輸未加密漏洞。手機端遠程控制APP的傳輸數(shù)據(jù)未進行加密，容易被攻擊者攔截，造成用戶關(guān)鍵隱私數(shù)據(jù)泄露，屬于APP中的中危漏洞。

3.2 試驗車輛信息安全水平

該款智能網(wǎng)聯(lián)汽車具備智能網(wǎng)聯(lián)化配置、遠程控制、遠程查詢、安防服務(wù)和舒適娛樂類共計32項智能網(wǎng)聯(lián)功能，該車輛智能化程度得分=0.5í32=16分。

企業(yè)的應(yīng)急響應(yīng)能力具備風(fēng)險評估、入侵檢測、確定漏洞、事件跟蹤、預(yù)防指南、應(yīng)急管理組、專家顧問組、事件分類、應(yīng)急響應(yīng)、信息發(fā)布、專家?guī)旖ㄔO(shè)及應(yīng)急預(yù)案管理等12項，則企業(yè)應(yīng)急響應(yīng)體系得分=0.5í12=6分。

綜上所述，根據(jù)式（5）得到該款智能網(wǎng)聯(lián)汽車信息安全得分=++=54+16+6=76分，通過表8可知該車輛的信息安全屬于中等水平。

4 結(jié) 論

提出面向智能網(wǎng)聯(lián)汽車信息安全水平的測試評估體系，通過汽車自身安全、車輛智能網(wǎng)聯(lián)化水平和企業(yè)應(yīng)急響應(yīng)體系3個方面進行綜合定量分析，對智能網(wǎng)聯(lián)汽車安全漏洞評估要素的選取、漏洞評分的制定、漏洞風(fēng)險等級評定等內(nèi)容進行深入的研究分析，并利用該測評體系對某款智能網(wǎng)聯(lián)汽車的試驗車輛進行整車信息安全水平定量評估。該測評體系有助于推進國內(nèi)外汽車行業(yè)對汽車安全漏洞等級劃分、車輛整體信息安全水平評估等工作開展，為智能網(wǎng)聯(lián)汽車的信息安全防御提供了有力的技術(shù)支撐。

[1]藺宏良，黃曉鵬. 車聯(lián)網(wǎng)技術(shù)研究綜述[J]. 機電工程，2014，31（9）：1235-1238.

[2]李馥娟，王群，錢煥延，等. 車聯(lián)網(wǎng)安全威脅綜述[J]. 電子技術(shù)應(yīng)用，2017，43（5）：29-33.

[3]RIZVI S，WILLET J，PERINO D，et al. A Threat to Vehicular Cyber Security and the Urgency for Correction[J]. Procedia Computer Science，2017（114）：100-105.

[4]KOSCHER K，CZESKIS A，ROESNER F，et al. Experimental Security Analysis of a Modern Automobile[C]// 31st IEEE Symposium on Security and Privacy,16-19 May 2010, Berleley/Oakland, California, USA，2010：447-462.

[5]馮志杰，何明，李彬，等，汽車信息安全攻防關(guān)鍵技術(shù)研究進展[J]. 信息安全學(xué)報，2017，2（2）：1-11.

[6]NIE S，LIU L，DU Y. Experimental Security Assessment of BMW Cars by Keenlab[R/OL].(2018-05-22)[2020-10-12].https://keenlab.tencent. com/en/2018/05/22/New-CarHacking-Research-by-KeenLab-Experimental-Security-Assessment-of-BMW-Cars/.

[7]席榮榮，云曉春，張永錚.CVSS環(huán)境評分值的分布特點的研究[J]. 高技術(shù)通訊，2014（1）：10-15.

[8]楊南，康榮保. 車聯(lián)網(wǎng)安全威脅分析及防護思路[J]. 通信技術(shù)，2015，12（48）：1421-1426.

[9]于赫，秦貴和，孫銘會，等. 車載CAN 總線網(wǎng)絡(luò)安全問題及異常檢測方法[J]. 吉林大學(xué)學(xué)報（工學(xué)版），2016，46（4）：1246-1253.

[10]MILLER C，VALASEK C. Adventures in Automotive Networks and Control Units[J]. Def Con，2013（21）：260-264.

[11]王瑋. 車輛T-BOX系統(tǒng)安全測試和評價[J]. 電信網(wǎng)技術(shù)，2018（1）：85-88.

[12]KONG H K，KIM T S，HONG M K. A Security Risk Assessment Framework for Smart Car[C]//International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing，2016：102-108.

[13]JUELS A. RFID Security and Privacy：A Research Survey[J]. IEEE Journal on Selected Areas in Communications，2006，24（2）：381-394.

[14]趙德華，張曉帆. 車聯(lián)網(wǎng)TSP平臺軟件漏洞分析與安全測試[J]. 汽車實用技術(shù)，2016（12）：136-138.

[15]MILLER C，VALASEK C. Remote Exploitation of an Unaltered Passenger Vehicle[C]// Black Hat USA，2015：1-91.

[16]席榮榮，云曉春，張永錚.CVSS環(huán)境評分值的分布特點的研究[J]. 高技術(shù)通訊，2014（1）：10-15.

[17]周亮，李俊娥，陸天波，等.信息系統(tǒng)漏洞風(fēng)險定量評估模型研究[J]. 通信學(xué)報，2009（2）：70-78.

[18]中國汽車技術(shù)研究中心有限公司. 汽車產(chǎn)品信息安全測試評價規(guī)范：CTS CAC-PV18-03[R]. 2020.

[19]王磊磊.安全漏洞多維度分析與量化評估方法研究[D]. 大連：大連理工大學(xué)，2010.

[20]王秋艷. 通用安全漏洞評級研究[D]. 西安：西安電子科技大學(xué)，2008.

[21]王瑞剛. 網(wǎng)絡(luò)與信息安全事件應(yīng)急響應(yīng)體系層次結(jié)構(gòu)與聯(lián)動研究[J]. 計算機應(yīng)用于軟件，2011，28（10）：117-119.

[22]楊磊，郭志博. 信息安全等級保護的等級測評[J]. 中國人民公安大學(xué)學(xué)報（自然科學(xué)版），2007，13（1）：50-53.

[23]張玉清，高有行. 網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)聯(lián)動系統(tǒng)研究[J]. 計算機工程，2012（2）：25-27.

2020-11-17

U463.61

A

10.14175/j.issn.1002-4581.2021.01.006

1002-4581（2021）01-0025-08