姜　建　中國信息通信研究院安全研究所工程師盧　丹　中國信息通信研究院安全研究所工程師

車聯(lián)網(wǎng)架構(gòu)與安全問題分析

姜建中國信息通信研究院安全研究所工程師
盧丹中國信息通信研究院安全研究所工程師

隨著移動通信的快速發(fā)展，以及車聯(lián)網(wǎng)應(yīng)用的全面普及，車聯(lián)網(wǎng)的建設(shè)與發(fā)展必然受到安全因素的制約，因此車聯(lián)網(wǎng)安全問題備受關(guān)注。本文從車聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)和產(chǎn)業(yè)現(xiàn)狀入手，結(jié)合車聯(lián)網(wǎng)的典型安全案例，對車聯(lián)網(wǎng)安全問題進(jìn)行了分析研究，并針對所面臨的安全問題，簡要提出應(yīng)對措施。

車聯(lián)網(wǎng)；網(wǎng)絡(luò)架構(gòu)；安全問題；應(yīng)對措施

1　引言

隨著移動通信的快速發(fā)展，以及車聯(lián)網(wǎng)應(yīng)用的全面普及，車聯(lián)網(wǎng)的建設(shè)與發(fā)展必然受到安全因素的制約，因此車聯(lián)網(wǎng)安全問題備受關(guān)注。本文從車聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)和產(chǎn)業(yè)現(xiàn)狀入手，結(jié)合車聯(lián)網(wǎng)的典型安全案例，對車聯(lián)網(wǎng)安全問題進(jìn)行了分析研究，并針對所面臨的安全問題，簡要提出應(yīng)對措施。

2　車聯(lián)網(wǎng)概念

車聯(lián)網(wǎng)是指借助在車輛上的傳感設(shè)備、車載設(shè)備和通信模塊，通過移動通信技術(shù)、汽車導(dǎo)航系統(tǒng)、智能終端設(shè)備與信息網(wǎng)絡(luò)平臺，實現(xiàn)車與路、車與車、車與人以及車與應(yīng)用平臺的全面網(wǎng)絡(luò)連接，并且通過業(yè)務(wù)平臺對信息進(jìn)行分析、處理和挖掘，實現(xiàn)更加豐富、舒適、安全、高效的車輛運(yùn)行和綜合信息服務(wù)。

車聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、智能交通系統(tǒng)是物聯(lián)網(wǎng)智能汽車領(lǐng)域備受關(guān)注的3個概念。其中，車聯(lián)網(wǎng)側(cè)重于信息的聯(lián)網(wǎng)、交互和開放服務(wù)；智能網(wǎng)聯(lián)汽車主要從汽車行業(yè)的角度強(qiáng)調(diào)智能、聯(lián)網(wǎng)；智能交通系統(tǒng)則側(cè)重于交通流量、交通運(yùn)輸?shù)墓芾砗捅O(jiān)管。但是，3個概念又有一定的交疊性，車聯(lián)網(wǎng)是智能網(wǎng)聯(lián)汽車的重要載體，唯有充分利用互聯(lián)技術(shù)上的信息實時交互、大數(shù)據(jù)分析和云計算，才能充分保障汽車的智能；智能網(wǎng)聯(lián)汽車是智能交通系統(tǒng)中與車聯(lián)網(wǎng)交集的汽車產(chǎn)品，是車聯(lián)網(wǎng)不可或缺的組成部分，智能網(wǎng)聯(lián)汽車的技術(shù)進(jìn)步和產(chǎn)業(yè)發(fā)展也有利于支撐車聯(lián)網(wǎng)的發(fā)展；而車聯(lián)網(wǎng)發(fā)展將大幅提升汽車安全和交通安全，對汽車和交通運(yùn)輸?shù)榷鄠€行業(yè)的生產(chǎn)方式和產(chǎn)業(yè)分工產(chǎn)生深遠(yuǎn)影響。

總體來說，車聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、智能交通系統(tǒng)3個概念盡管是從不同的行業(yè)背景提出，但相關(guān)政策是聯(lián)合推動的；關(guān)鍵技術(shù)是共性存在的；產(chǎn)業(yè)是區(qū)分主導(dǎo)力量、相互之間互相滲透的；應(yīng)用是面向不同用戶群體和需求的。因此，3個概念的最終目的和技術(shù)內(nèi)涵是一致的，很多時候三者的分界線并不是十分清晰，也經(jīng)常會混用。

3　車聯(lián)網(wǎng)架構(gòu)

根據(jù)車聯(lián)網(wǎng)的概念可知，車聯(lián)網(wǎng)由感知層、網(wǎng)絡(luò)層和應(yīng)用層組成，具體參見圖1。

●感知層

負(fù)責(zé)采集與獲取車輛的智能信息，感知行車狀態(tài)與環(huán)境等。感知層的設(shè)備包括車載終端設(shè)備和路邊設(shè)施。其中，車載終端設(shè)備包括車身傳感器和安裝在車輛上的電子識別設(shè)備等，負(fù)責(zé)與其他車載終端設(shè)備、用戶設(shè)備、路邊設(shè)施以及應(yīng)用層系統(tǒng)進(jìn)行通信；路邊設(shè)施包括路側(cè)單元、讀卡器、交通設(shè)施等，負(fù)責(zé)采集和分析交通信息，向車載終端設(shè)備提供交通信息、商務(wù)信息、娛樂信息等。

●網(wǎng)絡(luò)層

負(fù)責(zé)車與路、車與車、車與人、車與應(yīng)用平臺的互聯(lián)互通，包括公共電信網(wǎng)、互聯(lián)網(wǎng)、短距離無線通信、行業(yè)專網(wǎng)等，實現(xiàn)數(shù)據(jù)的有效傳送。

●應(yīng)用層

負(fù)責(zé)車輛信息的匯聚、計算、管理等，主要提供交通信息服務(wù)、車輛管理、緊急救援、娛樂信息服務(wù)等提高交通效率、行車安全及用戶便利類應(yīng)用。

圖1　車聯(lián)網(wǎng)架構(gòu)

4　車聯(lián)網(wǎng)發(fā)展趨勢和產(chǎn)業(yè)規(guī)模

目前，車聯(lián)網(wǎng)在全球市場已具備一定的規(guī)模，且正處于快速上升期。據(jù)GSMA提供的數(shù)據(jù)，2014年全球車聯(lián)網(wǎng)市場規(guī)模約200億歐元，在未來5年內(nèi)，全球車聯(lián)網(wǎng)市場規(guī)模將達(dá)到390億歐元。全球主要的車聯(lián)網(wǎng)產(chǎn)品包括通用OnStar、豐田G-Book、寶馬互聯(lián)駕駛等，其中日本的車聯(lián)網(wǎng)市場以豐田G-Book、本田Internavi為主，美國車聯(lián)網(wǎng)市場由通用OnStar占據(jù)主要份額。

車聯(lián)網(wǎng)平臺的跨行業(yè)特征明顯，涉及到芯片設(shè)備廠商、汽車廠商、交管部門、網(wǎng)絡(luò)運(yùn)營商、第三方業(yè)務(wù)提供商等多個產(chǎn)業(yè)鏈相關(guān)主體。按產(chǎn)業(yè)鏈上相關(guān)主體的主導(dǎo)力量劃分，包含4種比較成熟的平臺建設(shè)商業(yè)模式：汽車廠商主導(dǎo)、電信運(yùn)營商主導(dǎo)、第三方主導(dǎo)和政府及行業(yè)主管部門主導(dǎo)。目前，在車聯(lián)網(wǎng)市場，由汽車廠商主導(dǎo)的車聯(lián)網(wǎng)應(yīng)用占據(jù)主導(dǎo)地位；運(yùn)營商和第三方主導(dǎo)的車聯(lián)網(wǎng)應(yīng)用起步較晚，以用戶需求為依托，正在積極搶占車聯(lián)網(wǎng)市場；以政府及行業(yè)主管部門主導(dǎo)的車聯(lián)網(wǎng)應(yīng)用以提升交通安全和交通效率為出發(fā)點(diǎn)，主要負(fù)責(zé)建立全國范圍的交通導(dǎo)航服務(wù)，目前也正逐漸占據(jù)少量市場。

截至2015年7月，國內(nèi)車聯(lián)網(wǎng)用戶量已達(dá)到365萬，其中排名前五的車企分別為上汽通用累計200萬、寶馬39.5萬、長安33.3萬、豐田25萬、上汽20萬，并且均保持較快的增長速度，我國車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的主要特征包括：

（1）國際性的大型車企（通用、寶馬、戴姆勒）都在大力推廣車聯(lián)網(wǎng)，發(fā)展速度很快，且車聯(lián)網(wǎng)作為標(biāo)配已成為趨勢。

通用汽車預(yù)計到2020年將實現(xiàn)所有車型全部裝配車聯(lián)網(wǎng)應(yīng)用，目前通用在國內(nèi)銷售的汽車在按照每年大約200萬的速度增長；而寶馬計劃在2015年年底將所有車型全部裝配車聯(lián)網(wǎng)應(yīng)用，沃爾沃目前全部車型100%配備車聯(lián)網(wǎng)應(yīng)用。大部分國際車企都是從進(jìn)口高端車開始裝配，并逐步擴(kuò)展到成為國產(chǎn)車的普遍配備。

（2）國內(nèi)龍頭車企正在加力發(fā)展車聯(lián)網(wǎng)，國產(chǎn)車輛的配備率也在不斷增加。

國產(chǎn)車輛中長安的車聯(lián)網(wǎng)用戶數(shù)最多，目前已有33.3萬；宇通客車的配備率達(dá)50%，配備率最高；吉利正在以每月2000左右的數(shù)量增長，增長速度較快。

5　車聯(lián)網(wǎng)引發(fā)的安全問題分析

車聯(lián)網(wǎng)在帶給人們便捷的同時，安全問題也隨之而來。與其他信息系統(tǒng)一樣，車聯(lián)網(wǎng)的安全威脅同樣包括拒絕服務(wù)、信息泄露、篡改、重放攻擊、假冒身份和否認(rèn)操作六大類。其中，典型的安全問題包括：

（1）身份認(rèn)證功能不足，導(dǎo)致車聯(lián)網(wǎng)的遠(yuǎn)程控制功能極易被操控

多家車企提供了用戶可以遠(yuǎn)程控制車輛的功能，包括啟動發(fā)動機(jī)、開啟空調(diào)、制動汽車等，但該功能并沒有良好的安全防護(hù)能力。2015年7月，兩名美國黑客通過網(wǎng)絡(luò)攻破Jeep自由光的Uconnect車聯(lián)網(wǎng)系統(tǒng)，通過入侵集成在娛樂系統(tǒng)芯片上的無線通信模塊漏洞，遠(yuǎn)程控制了汽車，可以實現(xiàn)車輛的減速、關(guān)閉發(fā)動機(jī)等，甚至讓汽車的制動失靈。這件事直接導(dǎo)致菲亞特-克萊斯勒集團(tuán)被迫召回約140萬輛汽車。部分研究者在此事件之后也對當(dāng)前汽車的CAN總線技術(shù)產(chǎn)生了質(zhì)疑，CAN總線技術(shù)在設(shè)計之初并沒有考慮通信安全問題，在訪問CAN總線時，完全無需身份驗證，因此一旦黑客通過網(wǎng)絡(luò)攻入后，無需取得權(quán)限即可控制汽車。由此可見，車聯(lián)網(wǎng)系統(tǒng)中的身份認(rèn)證功能不足，不僅使得黑客通過網(wǎng)絡(luò)侵入到系統(tǒng)，同時CAN總線的身份認(rèn)證缺失，又進(jìn)一步導(dǎo)致了黑客的非法操控。

（2）APP與平臺之間的空口傳輸信令，極易被攔截、竊聽或篡改

2015年8月，黑客再次宣布攻破了通用公司的安吉星車聯(lián)網(wǎng)信息系統(tǒng)。通過攔截安吉星RemoteLink APP與安吉星服務(wù)端之間的通信，獲取到服務(wù)器返回的定位信息，實現(xiàn)了對車輛的控制。車聯(lián)網(wǎng)提供的APP功能，在方便用戶操作的同時，也由于空口控制信令安全措施的缺失，使得控制信令被攔截或竊聽，入侵者甚至可以冒用身份發(fā)送錯誤的信令來進(jìn)行查詢或操作。

（3）數(shù)據(jù)存儲與管理不善，造成敏感信息或個人信息泄露

車聯(lián)網(wǎng)系統(tǒng)一般會在后臺存儲車輛的位置信息或行車軌跡，或是通過網(wǎng)頁提供用戶注冊、查詢功能。但由于車聯(lián)網(wǎng)平臺的自身漏洞，極易造成這些個人信息的泄露。例如，凱迪拉克出現(xiàn)的弱口令、寶馬數(shù)據(jù)庫出現(xiàn)的注冊漏洞和奔馳越權(quán)漏洞等，部分黑客通過網(wǎng)絡(luò)可以直接獲取車主姓名、手機(jī)號碼、意向購車型號等信息，并在網(wǎng)上兜售。此外，車聯(lián)網(wǎng)還缺乏數(shù)據(jù)流動管理政策，存在非法跨境流動的風(fēng)險。

（4）車聯(lián)網(wǎng)組成系統(tǒng)復(fù)雜，安全風(fēng)險難以防控

車聯(lián)網(wǎng)系統(tǒng)是由平臺、網(wǎng)絡(luò)、車載和路面終端等多個子系統(tǒng)組成，在平臺層還與多個APP服務(wù)商的子系統(tǒng)連接，因此任何一個子系統(tǒng)的安全漏洞，都可能會造成車聯(lián)網(wǎng)系統(tǒng)的安全風(fēng)險。同時，部分車企將車聯(lián)網(wǎng)平臺外包給第三方公司進(jìn)行開發(fā)和維護(hù)，安全評估不足、安全風(fēng)險難以防控。

6　車聯(lián)網(wǎng)安全工作建議

為了應(yīng)對車聯(lián)網(wǎng)的安全風(fēng)險，需要采取相應(yīng)的安全措施，包括加密、身份認(rèn)證、完整性保護(hù)等。盡管部分車企在車聯(lián)網(wǎng)系統(tǒng)中也采取了一些安全防護(hù)措施，但整體的防護(hù)能力仍然“滯后”，相應(yīng)的防護(hù)能力亟待提升，建議盡快開展如下工作：

（1）加強(qiáng)頂層設(shè)計，從應(yīng)用層、網(wǎng)絡(luò)層和感知層協(xié)同建立安全防護(hù)體系

車聯(lián)網(wǎng)是一個綜合的信息系統(tǒng)，應(yīng)該加強(qiáng)頂層設(shè)計，從整體上確定各層的安全防護(hù)機(jī)制，從而形成多級、多層次的安全防護(hù)系統(tǒng)，以應(yīng)對各種安全攻擊。

（2）應(yīng)用層應(yīng)加強(qiáng)平臺操作的管理，明確各子系統(tǒng)的互操作界面

應(yīng)用層是車聯(lián)網(wǎng)信息匯聚、處理、轉(zhuǎn)發(fā)的平臺，各子系統(tǒng)需要通過平臺進(jìn)行互操作。為了保障平臺安全，應(yīng)對身份進(jìn)行雙向認(rèn)證，僅允許授權(quán)用戶接入。同時對操作用戶增加權(quán)限管理，開設(shè)不同的操作權(quán)限。此外還應(yīng)明確接入子系統(tǒng)的互操作界面（如地圖、導(dǎo)航等）僅能從平臺接收請求，不能非法獲取其他數(shù)據(jù)。

（3）網(wǎng)絡(luò)層應(yīng)增強(qiáng)空口傳輸?shù)陌踩浴?/p>

盡管無線通信網(wǎng)絡(luò)已具備了相應(yīng)的安全機(jī)制，但為了保證關(guān)鍵指令或用戶數(shù)據(jù)的安全，可以對這些信息進(jìn)行加密傳輸，或通過IPSec、SSL協(xié)議建立一定的安全通道，來保證數(shù)據(jù)傳輸?shù)陌踩?。此外，還應(yīng)增加完整性保護(hù)、計數(shù)器等來防止重放攻擊或數(shù)據(jù)篡改。

（4）感知層應(yīng)明確數(shù)據(jù)采集范圍，增強(qiáng)終端的安全性

車聯(lián)網(wǎng)系統(tǒng)應(yīng)該明確數(shù)據(jù)采集的范圍，并對記錄敏感數(shù)據(jù)進(jìn)行去標(biāo)識化處理；同時，對于車載終端，在其進(jìn)行涉及車輛安全的操作前應(yīng)進(jìn)行確認(rèn)，保證該操作指令是正確且為授權(quán)用戶發(fā)出的。此外，應(yīng)增強(qiáng)車載終端、手機(jī)終端等車聯(lián)網(wǎng)系統(tǒng)內(nèi)的終端設(shè)備的安全防護(hù)能力，確保登陸密碼、認(rèn)證證書等信息的終端存儲安全性。

（5）界定車聯(lián)網(wǎng)后臺中的敏感數(shù)據(jù)，分級、分類管理，明確安全責(zé)任

車聯(lián)網(wǎng)后臺數(shù)據(jù)庫會存儲用戶個人資料、歷史采集數(shù)據(jù)等，應(yīng)對存儲數(shù)據(jù)進(jìn)行分級、分類的管理策略，提升信息安全保障能力，并明確用戶信息管理的責(zé)任主體。

（6）加大產(chǎn)業(yè)扶持力度，推動我國安全可控的平臺和終端技術(shù)研發(fā)

加大對我國車聯(lián)網(wǎng)平臺、終端企業(yè)的支持，研究安全可控的防護(hù)技術(shù)，提高車聯(lián)網(wǎng)的國產(chǎn)和自主化能力。

7　結(jié)束語

繼互聯(lián)網(wǎng)、物聯(lián)網(wǎng)之后，車聯(lián)網(wǎng)又將成為未來智慧城市的另一個主要標(biāo)志。車聯(lián)網(wǎng)在改善人們生活、增加出行便利性的同時，也會帶來許多安全威脅（如拒絕服務(wù)、信息泄露、篡改、重放攻擊、假冒身份和否認(rèn)操作），嚴(yán)重影響人們的人身和信息安全。應(yīng)當(dāng)把握當(dāng)前萬物互聯(lián)的發(fā)展趨勢，在研究車聯(lián)網(wǎng)發(fā)展趨勢和核心技術(shù)的同時，注重車聯(lián)網(wǎng)環(huán)境下的安全防護(hù)建設(shè)，進(jìn)而保證未來車聯(lián)網(wǎng)的健康有序發(fā)展。

［1］姜竹勝，湯新寧，陳效華.車聯(lián)網(wǎng)架構(gòu)分析及其在智能交通系統(tǒng)中的應(yīng)用［J］.物聯(lián)網(wǎng)技術(shù)，2012（11）：39-41+46.

［2］王建強(qiáng)，吳辰文，李曉軍.車聯(lián)網(wǎng)架構(gòu)與關(guān)鍵技術(shù)研究［J］.微計算機(jī)信息，2011，04（27）：156-158+130.

［3］唐紅杰.車聯(lián)網(wǎng)系統(tǒng)架構(gòu)及關(guān)鍵技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（9）：42-43.

［4］王群，錢煥延.車聯(lián)網(wǎng)體系結(jié)構(gòu)及感知層關(guān)鍵技術(shù)研究［J］.電信科學(xué)，2012，12：1-9.

［5］程剛，郭達(dá).車聯(lián)網(wǎng)現(xiàn)狀與發(fā)展研究［J］.移動通信，2011，17：23-26.

Analysis on the Architecture and Security Problems of IoV

Jiang Jian，LuDan

With the rapid development of mobile communication，and the comprehensive popularization of Internet of Vehicles（IoV），the construction and development of IoV will be limited by security threatens definitely.Therefore，security problems attract attentions from all the world.This paper will start with the network architecture and industry status，and then analyze the security problems of IoV combines with its security cases.Finally，some strategy solutions w ill be given for IoV security issues.

Internet of Vehicles；network architecture；security problem s；strategy solutions

2015-12-16）