網(wǎng)聯(lián)汽車車載終端的威脅模型和風(fēng)險評估

張雄，張海春，劉政林

網(wǎng)聯(lián)汽車車載終端的威脅模型和風(fēng)險評估

張雄1，張海春2，劉政林2

（1.華中科技大學(xué)中歐清潔與可再生能源學(xué)院，湖北 武漢 430074；2.華中科技大學(xué)光學(xué)與電子信息學(xué)院，湖北 武漢 430074）

網(wǎng)聯(lián)汽車車載終端系統(tǒng)與外界網(wǎng)絡(luò)連通特性引入了大量的信息安全隱患。文章系統(tǒng)地分析了網(wǎng)聯(lián)汽車車載終端的外部威脅面，并抽象出五種基本的外部攻擊向量，建立了車載終端系統(tǒng)的威脅模型；同時綜合考慮攻擊者的效用問題和實際可能造成的危害提出了相應(yīng)的風(fēng)險評估框架，在具有代表性的某款網(wǎng)聯(lián)汽車上進行相關(guān)攻擊和測試實驗后，發(fā)現(xiàn)其車載終端存在著一些可被利用的攻擊面，最后利用該威脅模型和風(fēng)險評估框架有效地對車載終端進行了安全風(fēng)險評估。

車聯(lián)網(wǎng)；車載終端；威脅模型；風(fēng)險評估

前言

網(wǎng)聯(lián)汽車車載終端為用戶帶來導(dǎo)航、車輛監(jiān)控、故障檢測、遠程控制、互聯(lián)網(wǎng)應(yīng)用等眾多智慧便捷的服務(wù)，但同時也引入了大量的信息安全隱患。車載終端系統(tǒng)與車內(nèi)電子電氣網(wǎng)絡(luò)連通，與云端平臺通信交互的特性，極大地增加了汽車面臨的信息安全風(fēng)險。2015年，Miller 等人在 DEFCON 會議上指出智能網(wǎng)聯(lián)汽車中存在大量可被利用的攻擊面[1]，騰訊科恩實驗室利用了特斯拉車載終端系統(tǒng)內(nèi)核和瀏覽器中的多個漏洞遠程入侵到汽車網(wǎng)關(guān)和自動駕駛模塊[2]，弗吉尼亞理工研究人員利用車載終端導(dǎo)航系統(tǒng)的漏洞成功實現(xiàn)GPS（Global Positioning System）欺騙攻擊[3]，車載終端系統(tǒng)成為攻擊者入侵網(wǎng)聯(lián)汽車的典型入口。

對汽車電子系統(tǒng)網(wǎng)絡(luò)的威脅分析主要分為兩個層面：一是車輛內(nèi)部網(wǎng)絡(luò)中的ECU（Electronic Control Unit）、傳感器、執(zhí)行器以及它們連接成的車內(nèi)總線網(wǎng)絡(luò)，國內(nèi)外已經(jīng)有較深入的研究[4-6]，旨在分析車輛物理網(wǎng)絡(luò)系統(tǒng)的安全性，另一層面是連接車輛和外部環(huán)境的車載終端，網(wǎng)聯(lián)汽車的外部攻擊面主要來源于車載終端系統(tǒng)提供的各種有線或無線接口，針對車載終端系統(tǒng)的威脅分析和風(fēng)險評估顯得愈發(fā)重要，文獻[7-8]對傳統(tǒng)汽車外部攻擊面進行了綜合實驗分析。在汽車上進行了具體的攻擊實例。但研究者們沒有對這些攻擊面進行系統(tǒng)的威脅分析和風(fēng)險評估。文獻[9]提出了一種針對汽車嵌入式系統(tǒng)的風(fēng)險評估框架，但不能完全適用于車載終端的外部威脅面評估。

本文提出了針對網(wǎng)聯(lián)汽車車載終端系統(tǒng)的威脅模型和風(fēng)險評估框架。從車載終端的網(wǎng)絡(luò)架構(gòu)和外部威脅面著手，分析攻擊者入侵車載終端系統(tǒng)的主要路徑；評估每一個攻擊路徑可能存在的威脅，將車載終端面臨的威脅抽象出五種攻擊模型；根據(jù)提出的威脅模型，綜合考慮威脅和風(fēng)險，評估每個攻擊面實際可能造成的影響；最后進行針對車載終端系統(tǒng)蜂窩網(wǎng)絡(luò)接口和診斷端口的攻擊和測試實驗，利用威脅模型和風(fēng)險評估框架有效地評估其安全風(fēng)險。

1 車載終端

車載終端是網(wǎng)聯(lián)汽車上嵌入式系統(tǒng)的統(tǒng)稱，包括遠程信息處理單元（Telematics）、車載信息娛樂系統(tǒng)（In-Vehicle Info- tainment，IVI）和車載故障診斷終端（On Board Diagnostics，OBD）等。車載終端的融合和發(fā)展，使現(xiàn)代汽車變得智能化、網(wǎng)聯(lián)化。

圖1 網(wǎng)聯(lián)汽車車載終端的外部網(wǎng)絡(luò)拓撲

遠程信息處理單元是提供遠程服務(wù)和汽車定位的類UNIX環(huán)境ECU（Electronic Control Unit），將分布式車內(nèi)網(wǎng)絡(luò)連接到遠程信息處理接口，實現(xiàn)對汽車遠程訪問和控制，車載信息娛樂系統(tǒng)起源于汽車多媒體服務(wù)，不斷地發(fā)展并與遠程信息處理單元融合，成為集導(dǎo)航、車輛監(jiān)控、車身控制、遠程通訊等各種服務(wù)于一體的車載綜合信息處理終端，極大地提升的車輛電子化、網(wǎng)絡(luò)化和智能化水平，如福特SYNC系統(tǒng)，克萊斯勒Uconnect系統(tǒng)等。

在網(wǎng)聯(lián)汽車的強烈需求驅(qū)動下，車載終端系統(tǒng)變得越來越復(fù)雜，提供有大量的有線和無線接口，圖1為網(wǎng)聯(lián)汽車車載終端的典型網(wǎng)絡(luò)拓撲。

2 威脅模型

2.1 外部威脅面

經(jīng)歸納分析，根據(jù)攻擊者入侵車載終端的路徑差異可大致將車載終端的外部威脅面分為三類：物理接口、短程無線接口和遠程無線接口。

（1）物理接口

攻擊者直接接觸車載終端建立物理連接，如OBD-II、USB接口等。OBD-II口一般位于車輛離合踏板和方向盤之間的隱蔽位置，是汽車比較重要的一類物理接口。通過OBD-II可以直接或間接訪問汽車車載內(nèi)部網(wǎng)絡(luò)，攻擊者只需短暫的接觸車輛將惡意組件隱蔽地附著在OBD接口，即可輕易地入侵到汽車內(nèi)部網(wǎng)絡(luò)。暴露的OBD接口是攻擊者入侵車載系統(tǒng)的有效載體。

（2）近程無線接口

攻擊者在汽車附近或一定范圍內(nèi)，通過短距離通信與車輛建立網(wǎng)絡(luò)連接入侵汽車終端，如藍牙、WiFi等。藍牙是車載信息娛樂終端中支持免提呼叫的標(biāo)準(zhǔn)協(xié)議，攻擊者能夠利用藍牙接口漏洞在車載終端系統(tǒng)上執(zhí)行惡意代碼，獲取系統(tǒng)權(quán)限進而控制終端系統(tǒng)部分功能[7]。藍牙協(xié)議和底層數(shù)據(jù)的復(fù)雜性使其成為車載終端上威脅較大的攻擊路徑之一。網(wǎng)聯(lián)汽車的Wi-Fi同樣存在巨大安全隱患，攻擊者容易侵入 Wi-Fi 局域網(wǎng)執(zhí)行惡意操作[10]，包括在IVI系統(tǒng)植入惡意軟件遠程訪問車內(nèi)網(wǎng)絡(luò)、劫持監(jiān)控汽車網(wǎng)絡(luò)流量等。

（3）遠程無線接口

攻擊者可以在任意角落通過遠程通信協(xié)議與車輛交互，實施入侵，如衛(wèi)星導(dǎo)航、蜂窩網(wǎng)絡(luò)、互聯(lián)網(wǎng)服務(wù)等。車載終端導(dǎo)航系統(tǒng)依靠GPS和北斗衛(wèi)星信號進行汽車導(dǎo)航和定位，為汽車提供正確的行駛路線。攻擊者容易利用偽造信號騙過車載終端導(dǎo)航系統(tǒng)，威脅汽車行駛安全。

網(wǎng)聯(lián)汽車遠程通信終端通過蜂窩網(wǎng)絡(luò)與云端平臺通信，提供車輛狀態(tài)監(jiān)控、汽車輔助駕駛等功能，并能為汽車車載信息娛樂服務(wù)提供持續(xù)的移動網(wǎng)絡(luò)連接，蜂窩網(wǎng)絡(luò)解決了網(wǎng)聯(lián)汽車遠程通信的難題，但也存在安全隱患，由于蜂窩網(wǎng)絡(luò)基礎(chǔ)設(shè)施的廣泛覆蓋，攻擊者可以在任意距離以匿名的方式訪問和控制車輛。

2.2 攻擊模型

攻擊者主要通過外部威脅面入侵車載終端系統(tǒng)進而實施攻擊和破壞。綜合來看，攻擊者實施的攻擊可以抽象為五種基本的攻擊模型：（1）竊聽攻擊。攻擊者在車載終端外部接口以監(jiān)聽抓包等方式手段獲取通信數(shù)據(jù)，初步地會造成車載終端系統(tǒng)以及汽車的隱私數(shù)據(jù)泄露。竊聽攻擊是攻擊者實施入侵的第一步，車載終端中可被竊聽攻擊的通信路徑有Telematics終端與云端平臺的蜂窩通信、IVI終端與移動設(shè)備的藍牙和WiFi通信、OBD終端與汽車車內(nèi)網(wǎng)絡(luò)通信等。（2）偽造攻擊。攻擊者偽造虛假數(shù)據(jù)注入到車載終端系統(tǒng)的通信端口，對其操作系統(tǒng)、應(yīng)用及車內(nèi)ECU執(zhí)行操作。車載終端系統(tǒng)中可被偽造的通信路徑有：車載導(dǎo)航終端與定位衛(wèi)星的通信；IVI終端與移動設(shè)備的藍牙和WiFi通信；Telematics終端與云端平臺的蜂窩通信。（3）中間人攻擊。中間人攻擊是一種對通信鏈路的間接攻擊方式，將攻擊者置于通信鏈中，竊聽、偽造以及篡改通信數(shù)據(jù)。如在車載終端與云端通信過程中，攻擊者以中間人身份與通信雙方建立連接，通過篡改云端下發(fā)的控制指令和汽車回送的狀態(tài)信息，影響汽車的正常運行和行駛。（4）非授權(quán)訪問。攻擊者試圖利用漏洞在沒有授權(quán)的情況下獲取被保護數(shù)據(jù)或資源的訪問權(quán)限。攻擊者可以通過繞過身份認證和植入惡意軟件等方式實現(xiàn)非授權(quán)訪問，典型的攻擊場景如攻擊者試圖利用漏洞和旁路訪問實現(xiàn)權(quán)限提升，利用未關(guān)閉的端口試圖進行非授權(quán)訪問。（5）拒絕服務(wù)攻擊。攻擊者向車載終端發(fā)送高頻率的服務(wù)器請求，服務(wù)器資源因請求超載而癱瘓，導(dǎo)致車載終端無法提供服務(wù).同樣地，攻擊者可以通過車載OBD終端向總線網(wǎng)絡(luò)發(fā)送大量偽造的數(shù)據(jù)包占領(lǐng)總線資源，從而導(dǎo)致車內(nèi)總線上ECU設(shè)備拒絕服務(wù)。

在具體分析后，得出網(wǎng)聯(lián)汽車車載終端的外部威脅面與可實施的攻擊模型間映射關(guān)系如表1所示，每一個外部接口可能面臨著多種攻擊模型的威脅。

表1 車載終端威脅面分析

接口類型外部威脅面被攻擊終端威脅分析 物理接口OBD-IIOBDa,b,e USBIVIa,d 短程無線接口藍牙IVIa,b,c,d WiFiIVIa,b,c,d 遠程無線接口GPS/北斗Telematicsb 蜂窩網(wǎng)絡(luò)Telematics/IVIa,b,c,d,e

3 風(fēng)險評估

3.1 威脅等級

威脅等級（Threat Level，TL）表征某種特定威脅發(fā)生的“可能性”。綜合考慮，我們從四個方面來評估車載終端的威脅等級：攻擊者能力（e）、信息來源（i）、攻擊方式（d）和攻擊設(shè)備（t）。其中，攻擊能力是指對發(fā)動攻擊者的技能的綜合考量；信息來源是指發(fā)動攻擊者獲取信息的難易程度；攻擊方式是指發(fā)動攻擊時的攻擊途徑；攻擊設(shè)備是指發(fā)動攻擊時對專業(yè)設(shè)備、工具和軟件的需求。每個參數(shù)都有三個帶有關(guān)聯(lián)值的級別，如表2所示。

表2 威脅等級評分表

評估參數(shù)分值 210 攻擊能力(e)業(yè)余人員一般攻擊者專業(yè)攻擊團隊 信息來源(i)公開汽車制造商開發(fā)者文檔 攻擊方式(d)遠程無線近程無線物理接觸 攻擊工具(t)無需工具一般設(shè)備或軟件專業(yè)設(shè)備軟件

簡單地以四個參數(shù)值的線性累加作為威脅等級分值，即：Sthreat=e+i+d+t.評估者可以根據(jù)對各項參數(shù)的重視程度相應(yīng)改變各項權(quán)重，此處我們考慮四項參數(shù)指標(biāo)權(quán)重相同. 參數(shù)值越高，表征威脅發(fā)生的可能性越大，依據(jù)威脅參數(shù)值分為低、中、高和嚴(yán)重四個威脅等級.具體對應(yīng)關(guān)系如下：

Sthreat∈[0,1]，為低威脅等級；

Sthreat∈[2,3]，為中威脅等級；

Sthreat∈[4,6]，為高威脅等級；

Sthreat∈[7,8]，為嚴(yán)重威脅等級。

如針對某一攻擊事件：攻擊者是專業(yè)攻擊者團隊，所利用的信息為公開信息，攻擊方式需近程無線訪問，攻擊工具為專業(yè)設(shè)備軟件，則該事件Sthreat=0+2+1+0=3，屬于中威脅等級。

與通用標(biāo)準(zhǔn)中的威脅等級計算相比，我們不將執(zhí)行特定攻擊所需的運行時間視為單獨的參數(shù)，因為它可以從其他參數(shù)派生出來。例如，根據(jù)攻擊者的技能級別和安裝攻擊所需設(shè)備的可用性，所用的時間可能會有很大差異。同時威脅級別參數(shù)本質(zhì)上是高度動態(tài)的，會隨著時間和技術(shù)進步而變化。

3.2 影響等級

影響等級（Impact Level，IL）表征風(fēng)險的“影響”程度，主要是指攻擊發(fā)生后對車輛、乘客以及其他相關(guān)方的安全影響。借鑒ISO 26262-3中HARA的相關(guān)評估參數(shù)，將攻擊事件產(chǎn)生的影響由安全（s）、資產(chǎn)（f）、隱私性（p）、和功能性（o）四項指標(biāo)進行評估。其中安全參數(shù)表征對駕駛員和乘車人員的人身安全影響；資產(chǎn)參數(shù)表征對汽車公司、車主等利益相關(guān)者造成的經(jīng)濟損失；隱私參數(shù)是指發(fā)動攻擊時后造成汽車和車主隱私數(shù)據(jù)泄露的損失；功能性性是發(fā)動攻擊后對車輛功能方面造成的損失。

與威脅等級評估不同的是，影響等級參數(shù)應(yīng)該有不同的權(quán)重。相比于隱私和操作性，安全和資產(chǎn)的影響明顯會給利益相關(guān)者帶來更嚴(yán)重的后果。考慮增加安全和資產(chǎn)方面的權(quán)重，影響等級參數(shù)可由公式計算：SImpact=10*(s+f)+(p+o).利用表3得到影響參數(shù)總和SImpact：

SImpact∈[0,19]為低影響等級；

SImpact∈[20,99]為中影響等級；

SImpact∈[100,999]為高影響等級；

SImpact∈[1000,2200]為嚴(yán)重影響等級。

表3 影響等級評分表

評估參數(shù)分值 1001010 安全（s）嚴(yán)重傷害中度損傷輕微損傷無影響 資產(chǎn)（f）嚴(yán)重損失較大損失輕微損失無損失 隱私（p）嚴(yán)重泄露有限泄露輕微泄露無泄露 操作（o）功能喪失中度損壞輕微損壞無損壞

3.3 風(fēng)險評估

通過威脅等級和影響等級兩個維度可以共同確定車載終端外部威脅面的安全風(fēng)險等級，如表4所示。

表4 安全等級風(fēng)險評估表

威脅等級（TL）風(fēng)險等級（IL） 低中高嚴(yán)重 低低低低中 中低中中高 高低中高嚴(yán)重 嚴(yán)重中高嚴(yán)重嚴(yán)重

4 實驗研究

我們在東風(fēng)某款網(wǎng)聯(lián)汽車上進行了相關(guān)攻擊研究，并利用該威脅模型和風(fēng)險評估框架有效評估了相關(guān)接口的安全風(fēng)險。

4.1 蜂窩通信接口風(fēng)險評估—低風(fēng)險

針對車載Telematics終端上的蜂窩通信接口，通過搭建OAI蜂窩網(wǎng)絡(luò)接入和測試平臺進行入侵攻擊。平臺利用開源SDR LTE項目，實現(xiàn)了LTE協(xié)議的核心網(wǎng)（EPC），基站（eNB）和用戶（UE）三個部分的模擬。我們的測試平臺由主機（Ubuntu16.04系統(tǒng)）、無線電收發(fā)設(shè)備（USRP B210）、屏蔽箱等主要部分組成。通過3G和4G蜂窩網(wǎng)絡(luò)通信方式與車載終端建立網(wǎng)絡(luò)連接和傳輸通道，在測試主機上運行測試用例庫入侵車載終端系統(tǒng)。

根據(jù)第二節(jié)提出的威脅模型，針對車載終端蜂窩網(wǎng)絡(luò)通信鏈路的攻擊模型包括：竊聽攻擊、偽造攻擊、中間人攻擊、權(quán)限提升和拒絕服務(wù)攻擊。我們的測試主機中的用例庫主要包括端口掃描、數(shù)據(jù)抓包解析、權(quán)限提升、拒絕服務(wù)攻擊.端口掃描是向待測設(shè)備發(fā)送端口掃描指令，了解其提供的網(wǎng)絡(luò)服務(wù)類型和端口，是入侵系統(tǒng)的第一步；數(shù)據(jù)抓包解析是確定通信數(shù)據(jù)能否被偽造和篡改，以及能否實施中間人攻擊；權(quán)限提升是指利用弱口令等相關(guān)漏洞繞過安全認證獲得更高的權(quán)限；拒絕服務(wù)類攻擊是偽造大量網(wǎng)絡(luò)請求，耗盡網(wǎng)絡(luò)帶寬、系統(tǒng)進程等資源，導(dǎo)致系統(tǒng)無法響應(yīng)其他請求，如SYN泛洪攻擊等，這些攻擊測試實例，涵蓋五類攻擊模型。

圖2 OAI蜂窩網(wǎng)絡(luò)接入和測試平臺

在對車載終端Telematics進行端口和服務(wù)掃描后發(fā)現(xiàn)沒有開啟的相關(guān)端口和服務(wù)，可能是防火墻阻隔了外界網(wǎng)絡(luò)的惡意入侵。在測試主機上通過wireshark監(jiān)聽抓包車載終端與云端通信數(shù)據(jù)，發(fā)現(xiàn)車載終端與云端通信的關(guān)鍵業(yè)務(wù)采用TLS通信協(xié)議，通信采用了雙向證書校驗機制：在Certificate階段服務(wù)端下發(fā)證書，客戶端驗證服務(wù)端的身份，并且取出證書攜帶的公鑰，在Certificate Client Key Exchange階段客戶端通過之前客戶端和服務(wù)端生成的隨機數(shù)生成新隨機數(shù)，使用協(xié)商的 EC Diffie-Hellman 算法進行加密傳輸給服務(wù)端，服務(wù)器端使用自己的私鑰解開這個隨機數(shù)驗證客戶端身份，完成雙向認證過程.因此車載終端與云端通信鏈路數(shù)據(jù)難以被偽造和篡改，無法實施中間人攻擊。

對蜂窩網(wǎng)絡(luò)通信鏈路進行風(fēng)險評估時，根據(jù)實際攻擊實例為此威脅選擇相關(guān)的威脅級別和影響級別參數(shù)，得到相應(yīng)的風(fēng)險級別。威脅等級參數(shù)如下：

→攻擊者需要了解蜂窩通信協(xié)議及其基本架構(gòu)，故需要攻擊能力參數(shù)“2”；

→攻擊者需要通過互聯(lián)網(wǎng)獲得相關(guān)必要信息，故信息來源參數(shù)為“2”；

→攻擊者可以通過遠程線的方式發(fā)動攻擊，故攻擊方式參數(shù)為“2”；

→攻擊者需要使用多種專業(yè)的攻擊設(shè)備和工具，故攻擊工具為“0”；

通過威脅等級計算方式得到威脅等級參數(shù)和為“6”，為高威脅等級。同樣地，我們可以得到風(fēng)險等級參數(shù)如下：

→無安全影響，外界網(wǎng)絡(luò)無法入侵車載終端系統(tǒng)，不會引發(fā)相關(guān)安全問題；

→無資產(chǎn)影響，車主和汽車廠商無相關(guān)資產(chǎn)損失；

→無操作性影響，車載終端設(shè)備功能性沒有受到影響；

→輕微隱私影響，車載終端與云端通信數(shù)據(jù)有泄露和被破解的風(fēng)險；

→通過影響等級計算方得到影響等級參數(shù)和為“1”，為低影響等級，最終可以通過表4確定該車型車載終端蜂窩網(wǎng)絡(luò)接口的安全風(fēng)險等級為低。

4.2 OBD端口風(fēng)險評估—高風(fēng)險

實驗中通過OBD-II端口，可以入侵到網(wǎng)聯(lián)汽車車載網(wǎng)絡(luò)，實現(xiàn)了對汽車指令和信號的破解以及汽車狀態(tài)控制。實驗中的OBD-II端口入侵攻擊設(shè)備如圖所示，根據(jù)攻擊模型可實施竊聽、偽造及拒絕服務(wù)攻擊。

圖3 OBD端口入侵攻擊工具

（1）竊聽攻擊。將設(shè)備連接到汽車OBD端口后，在汽車上執(zhí)行相關(guān)操作同時竊聽CAN總線上的數(shù)據(jù)，根據(jù)總線上消息幀頻率差異可以逆向分析獲得汽車控制指令。進一步地，通過分析數(shù)據(jù)位的變化差異，可以找出控制汽車某項功能的具體指令。在該東風(fēng)汽車上獲得的指令如表所示：

表5 汽車部分控制指令

數(shù)據(jù)幀ID功能控制數(shù)據(jù)幀（標(biāo)黑部分為有效控制位） 0x235中控鎖控制單元0x00 00 00 00 00 00 00 00//打開車門中控鎖 0x265轉(zhuǎn)向燈控制單元0x20 00 00 00 00 00 00 00//左轉(zhuǎn)向燈0x40 00 00 00 00 00 00 00//右轉(zhuǎn)向燈 0x285空調(diào)控制單元暫未確定有效控制位 0x201儀表盤控制單元0xff ff 00 00 ff ff 00 00//儀表盤顯示車速和發(fā)動機轉(zhuǎn)速控制位 0x225車窗控制單元0x00 00 ff ff 00 00 00 00//四扇車窗升降控制位

（2）偽造攻擊。在獲得這些汽車控制指令后，可以輕松從OBD-II端口偽造數(shù)據(jù)控制汽車，儀表盤時速轉(zhuǎn)速會顯示異常，照明、轉(zhuǎn)向燈系統(tǒng)不受控制地亮起，影響汽車安全性，可以通過幀ID為 0x235、0x225的相關(guān)指令打開汽車中控鎖和窗戶，造成嚴(yán)重安全危害和財產(chǎn)損失。

表6 OBD終端攻擊風(fēng)險評估

威脅參數(shù)風(fēng)險參數(shù) 攻擊能力2安全100 信息來源2資產(chǎn)100 攻擊方式0隱私100 攻擊工具1操作性10 威脅等級高(5)影響等級嚴(yán)重(2110) 風(fēng)險等級嚴(yán)重

（3）拒絕服務(wù)攻擊。車內(nèi)CAN總線采用優(yōu)先級策略進行數(shù)據(jù)轉(zhuǎn)發(fā)，數(shù)據(jù)幀ID 越低傳輸?shù)膬?yōu)先級就越高。實驗通過向CAN總線連續(xù)發(fā)送幀ID為 0x0000 等低值的數(shù)據(jù)分組，沒有發(fā)現(xiàn)總線拒絕服務(wù)的癱瘓情況，其他 ECU 依舊能正常接收和發(fā)送消息，說明該款汽車有相應(yīng)的屏蔽處理機制抵御DOS攻擊。

相似地，用第三節(jié)的框架對OBD終端接口進行了安全風(fēng)險評估，結(jié)果如表6所示。該款網(wǎng)聯(lián)汽車的OBD終端接口存在嚴(yán)重的安全隱患。

5 結(jié)語

本文系統(tǒng)分析了網(wǎng)聯(lián)汽車車載終端的外部威脅面，提出針對車載終端系統(tǒng)的外部威脅模型和風(fēng)險評估框架.本文實驗集中在一款具有代表性的東風(fēng)網(wǎng)聯(lián)汽車上，通過具體的研究案例闡述了車載終端系統(tǒng)存在的外部信息安全威脅，并用相應(yīng)方法評估了風(fēng)險說明了該框架的適用性；理論和實驗研究為網(wǎng)聯(lián)汽車車載終端系統(tǒng)的威脅分析和風(fēng)險評估提供了新的依據(jù)。希望以此推動汽車廠商加強車載終端系統(tǒng)的信息安全防護，提升網(wǎng)聯(lián)汽車的整體安全性，促進汽車產(chǎn)業(yè)提升信息安全能力。

[1] MILLER C,VALASEK C.Remote exploitation of an unaltered pas- senger vehicle[C]//DEFCON, 2015: 1-91.

[2] NIE S, LIU L, DU Y. How we remotely compromised the gateway, BCM,and autopilot ECUs of tesla cars[C]//2017 Black Hat.2017.

[3] ZENG K C,LIU S,SHU Y.All your GPS are belong to us: towards stealthy manipulation of road navigation systems[C]//27th USENIX Security Symposium. 2018: 1527-1544.

[4] XUN Y J, LIU J J, NING J, et al. An experimental study towards the in-vehicle network of intelligent and connected vehicles[C]//2018 IEEE Global Communications Conference. IEEE, 2018.

[5] HUANG J, ZHAO M, ZHOU Y, et al. In-vehicle networking: Proto- cols,challenges, and solutions[J].IEEE Network,2018,33(1):92-98.

[6] MILLER C,VALASEK C. Adventures in automotive networks and control units[J]. Black Hat USA, 2013, 21: 260-264.

[7] CHECKOWAT S, MCCOY D, KANTOR B, et al. Comprehensive experimental analyses of automotive attack surfaces.[C]//USENIX Security Symposium. 2011,4:447-462.

[8] Koscher K,Czeskis A,Roesner F,et al.Experimental Security Analysis of a Modern Automobile. IEEE Symposium on Security and Privacy. IEEE Computer Society, 2010.

[9] Islam M,Lautenbach A,Sandberg C,et al.A risk assessment frame- work for automotive embedded systems[C]//In Proceedings of the 2nd ACM International Workshop on Cyber-Physical System Secu- rity,2016:3-14.

[10] NIE S,LIU L,DU Y.Free-fall: hacking Tesla from wireless to can bus[C]//2017 Black Hat. 2017:1-16.

Threat Model and Risk Assessment of Connected Vehicle Terminal

ZHANG Xiong1, ZHANG Haichun2, LIU Zhenglin2

( 1.China-EU School of Clean and Renewable Energy, Huazhong University of Science and Technology, Hubei Wuhan 430074; 2.School of Optics and Electronic Information, Huazhong University of Science and Technology, Hubei Wuhan 430074 )

The connectivity between the vehicle terminal system and the external network has introduced a lot of information security risks. This paper systematically analyzes the external threat surface of terminals, abstracts five basic external attack vectors, and established the threat model of vehicle terminal system. At the same time, considering the problem of attacker's "utility" and the actual possible harm, a corresponding framework of threat analysis and risk assessment is proposed. After carrying out relevant attacks and test experiments on a representative connected vehicle, it is found that there are some attack surfaces that can be used in the terminals, and we used the framework to effectively carry out the security risk assessment.

Internet of Vehicles;Vehicle terminal;Threat model;Risk assessment

U461

A

1671-7988(2021)20-26-05

U461

A

1671-7988(2021)20-26-05

10.16638/j.cnki.1671-7988.2021.020.007

張雄（1997—），男，就讀于華中科技大學(xué)中歐清潔與可再生能源學(xué)院新能源科學(xué)與工程專業(yè)，研究方向為新能源汽車，車聯(lián)網(wǎng)安全等。

劉政林（1969—），男，博士研究生，教授，就職于華中科技大學(xué)光學(xué)與電子信息學(xué)院。

國家重點研發(fā)計劃資助項目（2019YFB1310001）。