車聯(lián)網(wǎng)網(wǎng)絡(luò)安全架構(gòu)

李慧娟，李 巖，張文翠

（中汽數(shù)據(jù)（天津）有限公司 智能網(wǎng)聯(lián)部，天津 300000）

隨著汽車市場保有量的不斷升高，交通擁堵、事故頻發(fā)的問題日益凸顯。車聯(lián)網(wǎng)技術(shù)做為提高交通效率與安全性的重要手段，成為了汽車行業(yè)發(fā)展的重點與熱點。車聯(lián)網(wǎng)是以車輛為感知對象，綜合應(yīng)用智能感知、信息處理、無線通信等關(guān)鍵技術(shù)，實現(xiàn)由單車智能到車聯(lián)網(wǎng)生態(tài)的轉(zhuǎn)變，汽車行業(yè)的信息安全問題也從單車安全演變?yōu)檐嚶?lián)網(wǎng)網(wǎng)絡(luò)安全。

安全是車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的前提和保障，只有構(gòu)建覆蓋車聯(lián)網(wǎng)各防護對象、全產(chǎn)業(yè)鏈與全生命周期的的安全體系，完善安全技術(shù)能力和相應(yīng)管理機制，才能有效識別和抵御安全威脅、化解安全風險，進而確保車聯(lián)網(wǎng)健康有序發(fā)展。本文將從網(wǎng)絡(luò)層次、防護對象、保障體系三個維度構(gòu)建車聯(lián)網(wǎng)網(wǎng)絡(luò)安全架構(gòu)，解決車聯(lián)網(wǎng)行業(yè)面臨的網(wǎng)絡(luò)攻擊風險。

1 車聯(lián)網(wǎng)網(wǎng)絡(luò)安全架構(gòu)

如圖1所示，網(wǎng)絡(luò)層次是從網(wǎng)絡(luò)分段的角度進行劃分，包括車輛外部設(shè)施、車輛通訊接口、車輛路由模塊、車輛底層關(guān)鍵電子控制單元（Electronic Control Unit, ECU）四層。不同網(wǎng)絡(luò) 層次中所涉及的安全問題即防護對象可概括為五個方面：硬件安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全及網(wǎng)絡(luò)安全。針對五大安全防護對象，可通過采取風險評估、檢測評估、態(tài)勢感知、應(yīng)急處置四大手段構(gòu)建網(wǎng)絡(luò)安全保障體系，實現(xiàn)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全的管理。

圖1 車聯(lián)網(wǎng)網(wǎng)絡(luò)安全架構(gòu)

2 車聯(lián)網(wǎng)網(wǎng)絡(luò)層次

如圖2所示，從網(wǎng)絡(luò)分段的角度，車聯(lián)網(wǎng)網(wǎng)絡(luò)分為四個層次，由內(nèi)而外，依次為ECU、車輛路由、車輛通訊接口與車輛外部設(shè)施。

圖2 車聯(lián)網(wǎng)網(wǎng)絡(luò)層次

車輛關(guān)鍵ECU是車聯(lián)網(wǎng)的神經(jīng)末梢，主要由車輛內(nèi)部具有感知、執(zhí)行能力或網(wǎng)絡(luò)連接功能的組件構(gòu)成，如車載終端設(shè)備（Telematics BOX, TBOX）、車載信息娛樂系統(tǒng)（In-Vehicle Infotain- ment, IVI）、車載單元（On Board Unit, OBU）、車身控制器、高級駕駛輔助系統(tǒng)（Advanced Driving Assistance System, ADAS）感知系統(tǒng)等。

車輛路由指用于實現(xiàn)車輛內(nèi)部各車載網(wǎng)絡(luò)的連接以及與接入設(shè)備的連接功能的部件，如網(wǎng)關(guān)、域控制器等。

車輛通訊接口指連接車輛與其外部環(huán)境的各種車載接入設(shè)備、組件、網(wǎng)絡(luò)協(xié)議等，其連接方式可以是有線或無線的，包括近距離無線通訊（Near Field Communication, NFC）、汽車故障診斷系統(tǒng)（On Board Diagnostics, OBD）、無線網(wǎng)絡(luò)、藍牙、蜂窩通信接口/直連通信接口（LTE-Uu/PC5）等。

車輛外部設(shè)施指車聯(lián)網(wǎng)中除車輛以外的其他主體，涵蓋車輛外部所有的元素，包括云服務(wù)平臺、移動終端、路邊設(shè)施等。

3 車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護對象

在車聯(lián)網(wǎng)網(wǎng)絡(luò)層次中涉及的車內(nèi)、車外設(shè)備面臨的安全問題可歸結(jié)為硬件安全、系統(tǒng)安全、數(shù)據(jù)安全、通信安全、應(yīng)用安全，這五大安全問題成為了車聯(lián)網(wǎng)網(wǎng)絡(luò)安全的防護對象。

硬件安全是指各種車載設(shè)備、路測設(shè)施的安全，例如TBOX、IVI、各類傳感器硬件等。目前面臨的主要安全問題有數(shù)據(jù)讀取、接口暴露、存儲安全等。黑客可以通過調(diào)試口直接訪問設(shè)備文件系統(tǒng)，修改里面的數(shù)據(jù)和配置文件，極大威脅了車輛安全。保障硬件安全的防護措施包括隱藏 調(diào)試接口、使用加密芯片保護核心加密算法、增加訪問權(quán)限控制等。

系統(tǒng)安全面臨的安全風險主要包括：系統(tǒng)提權(quán)攻擊、緩沖區(qū)溢出、中間人劫持攻擊、敏感數(shù)據(jù)竊取、越權(quán)訪問等。保障系統(tǒng)安全的防護措施包括：從源碼層面，通過源碼靜態(tài)檢測等方式，減少安全漏洞、關(guān)鍵組件系統(tǒng)加固、可信程序加載、安全啟動、敏感數(shù)據(jù)加密等。

數(shù)據(jù)安全威脅存在于數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)遷移、數(shù)據(jù)銷毀、備份與恢復等全生命周期的各個階段。保障數(shù)據(jù)安全的防護措施包括：基于統(tǒng)一管理框架，以數(shù)據(jù)防泄漏為基礎(chǔ)，通過深度內(nèi)容分析和事務(wù)安全關(guān)聯(lián)分析技術(shù)來識別、監(jiān)視和保護靜止、移動以及使用中的數(shù)據(jù)，確保敏感數(shù)據(jù)的合規(guī)使用；利用數(shù)據(jù)安全網(wǎng)關(guān)實現(xiàn)黑白名單、高危操作風險識別、用戶訪問權(quán)限控制等功能，阻斷高風險行為，提高對數(shù)據(jù)訪問的可控度。

圖3 車聯(lián)網(wǎng)通信場景

如圖3所示，車聯(lián)網(wǎng)的通信包含了車云通信、車人通信、車路通信、車車通信及車內(nèi)通信。車云、車人、車路及車車的通信主要依賴于基于蜂窩通信的車用無線通信技術(shù)，由于LTE-Uu/PC5無線接口的開放性，車與外界的通信面臨的安全風險主要包括假冒終端、偽基站、信令/數(shù)據(jù)篡改、 敏感信息泄露等，可采用基于公鑰證書的公鑰基礎(chǔ)設(shè)施機制確保通信設(shè)備間的安全認證與安全通信。車內(nèi)通信是以車載終端、ADAS傳感系統(tǒng)、執(zhí)行控制裝置為主體的車內(nèi)通信網(wǎng)絡(luò)，主要涉及控制器局域網(wǎng)絡(luò)、FlexRay等通信協(xié)議，面臨的安全風險主要包括錄制重放、泛洪攻擊、數(shù)據(jù)明文傳輸、通信數(shù)據(jù)篡改等，可采取身份校驗、OBD隔離防火墻、安全芯片加密等防護措施。

應(yīng)用安全主要包括移動應(yīng)用軟件安全和車載端應(yīng)用軟件安全，主要面臨的安全風險包括源碼反編譯、二次打包、中間人攻擊風險、惡意代碼植入、權(quán)限訪問控制等，可通過移動應(yīng)用加固、移動應(yīng)用安全檢測、密鑰白盒等技術(shù)確保應(yīng)用軟件的安全。

4 車聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障體系

為全面保障車聯(lián)網(wǎng)網(wǎng)絡(luò)安全，除針對不同的網(wǎng)絡(luò)安全問題采取行之有效的防護措施外，應(yīng)從管理角度建立安全保障體系。全方位的車聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障體系由開發(fā)階段的風險評估、檢測評估以及運行階段的態(tài)勢感知、應(yīng)急處置構(gòu)成。

風險評估做為車聯(lián)網(wǎng)網(wǎng)絡(luò)安全工程的起點，已成為智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全功能開發(fā)的基礎(chǔ)和前提，其中EVITA與HEAVENS是常用的風險評估方法。EVITA方法主要參考ISO/IEC 15408 (7)和ISO 26262，對車聯(lián)網(wǎng)每個網(wǎng)絡(luò)安全目標基于攻擊樹進行威脅識別與威脅分類，確定信息安全開發(fā)優(yōu)先級，合理分配研發(fā)資源。與EVITA方法相比，HEAVENS方法是一套完整的針對汽車電子電氣系統(tǒng)的風險評估流程，主要的過程是基于安全要素進行威脅分析、風險評估、安全需求，結(jié)構(gòu)化和系統(tǒng)化得發(fā)現(xiàn)潛在威脅。

檢測評估是對車聯(lián)網(wǎng)網(wǎng)絡(luò)安全五大防護對象的安全檢測，主要利用的核心技術(shù)：硬件安全分析、源代碼及固件分析、固件逆向、滲透測試、移動應(yīng)用安全檢測等。車聯(lián)網(wǎng)中所有設(shè)備在投入使用前均需經(jīng)過安全檢測評估，從源頭減少安全漏洞，確保車聯(lián)網(wǎng)網(wǎng)絡(luò)安全。

態(tài)勢感知、應(yīng)急處置屬于后處理手段。態(tài)勢感知是一種動態(tài)洞悉安全風險的能力，通過在網(wǎng) 絡(luò)、中間件、主機中部署日志程序，獲取車端、移動終端、路測設(shè)施、云平臺、移動應(yīng)用的日志信息，結(jié)合資產(chǎn)分析、威脅分析及安全檢測結(jié)果，利用大數(shù)據(jù)分析技術(shù)，輸出當前的風險態(tài)勢。應(yīng)急處置是對即將或已出現(xiàn)的網(wǎng)絡(luò)安全事故進行應(yīng)急響應(yīng)處理，避免安全事故帶來危害人民生命或影響社會穩(wěn)定的問題。實現(xiàn)的方式主要包括，通過建立汽車專有的漏洞數(shù)據(jù)庫，對已知的汽車漏洞進行分類分級處理，針對每一個漏洞制定應(yīng)急解決措施；關(guān)注并收納信息安全領(lǐng)域的重大安全漏洞，制定針對汽車的安全解決方案。

5 結(jié)束語

本文首先分析總結(jié)了車聯(lián)網(wǎng)網(wǎng)絡(luò)層次，從技術(shù)的角度闡述了車聯(lián)網(wǎng)網(wǎng)絡(luò)安全五大防護對象的的防護措施，從流程管理角度整理了車聯(lián)網(wǎng)網(wǎng)絡(luò)安全的保障體系。后續(xù)將進一步研究車聯(lián)網(wǎng)網(wǎng)絡(luò)安全攻防技術(shù)、安全檢測技術(shù)，探索信息安全管理系統(tǒng)與軟件升級管理系統(tǒng)等車聯(lián)網(wǎng)網(wǎng)絡(luò)安全領(lǐng)域管理體系的建設(shè)思路。