常玲　趙蓓　薛姍　張晨

摘要：為解決車(chē)聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)日益突顯的問(wèn)題，首先，概述車(chē)聯(lián)網(wǎng)的網(wǎng)絡(luò)體系架構(gòu)，包括感知層、網(wǎng)絡(luò)層和應(yīng)用層;其次，從車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)體系的三個(gè)層面，分析其面臨的安全風(fēng)險(xiǎn)，例如通信數(shù)據(jù)被監(jiān)聽(tīng)、身份鑒別信息被盜取、車(chē)輛被非法控制等;最后，從落實(shí)安全開(kāi)發(fā)、“端—管—云”安全防護(hù)、主動(dòng)安全防御這三個(gè)方面，有針對(duì)性地闡述安全防護(hù)思路，為車(chē)聯(lián)網(wǎng)的大規(guī)模應(yīng)用提供安全基礎(chǔ)。

關(guān)鍵詞：車(chē)聯(lián)網(wǎng);安全風(fēng)險(xiǎn);主動(dòng)防御;安全開(kāi)發(fā)

doi：10.3969/j.issn.1006-1010.2019.11.008? ? ? ? 中圖分類(lèi)號(hào)：TN929.5

文獻(xiàn)標(biāo)志碼：A? ? ? ? 文章編號(hào)：1006-1010（2019）11-0047-04

引用格式：常玲，趙蓓，薛姍，等. 車(chē)聯(lián)網(wǎng)信息安全威脅分析及防護(hù)思路[J]. 移動(dòng)通信， 2019，43（11）： 47-50.

Information Security Threat Analysis and Protection Thoughts for Internet of Vehicles

CHANG Ling， ZHAO Bei， XUE Shan， ZHANG Chen

（China Mobile Group Design Institute Co.， Ltd.， Beijing 100080， China）

[Abstract]

In order to solve the problem of increasing information security risks of Internet of vehicles， firstly， this paper outlines the network architecture of Internet of vehicles including the sensing layer， the network layer and the application layer. Secondly， the security risks faced by Internet of vehicles are analyzed from three aspects of the network system of Internet of vehicles， such as monitoring the communication data， stealing the identity identification information， illegally controlling the vehicles， etc. Finally， security protection ideas are specifically described from three aspects， such as security development， "terminal-tube-cloud" security protection and active security defense， which provide a secure foundation for large-scale applications of Internet of Vehicles.

[Key words]Internet of Vehicles; security risks; proactive defense; security development.

0? ?引言

近年來(lái)，全球汽車(chē)產(chǎn)業(yè)快速增長(zhǎng)，通過(guò)人機(jī)交互等方式提升駕駛體驗(yàn)及自動(dòng)駕駛等也成為汽車(chē)行業(yè)發(fā)展的重要方向。而5G、大數(shù)據(jù)、人工智能等新技術(shù)為物聯(lián)網(wǎng)帶來(lái)了創(chuàng)新活力，車(chē)聯(lián)網(wǎng)就是物聯(lián)網(wǎng)技術(shù)在汽車(chē)行業(yè)的具體應(yīng)用。車(chē)聯(lián)網(wǎng)為智能聯(lián)網(wǎng)車(chē)輛提供道路導(dǎo)航、路況報(bào)送等各類(lèi)綜合服務(wù)，給用戶帶來(lái)了豐富的智能化體驗(yàn)，同時(shí)也使車(chē)主面臨隱私信息泄露、車(chē)輛被非法控制等安全風(fēng)險(xiǎn)。車(chē)聯(lián)網(wǎng)信息安全方面的問(wèn)題日益突顯。

研究云安全防護(hù)的安全廠商Upstream Security發(fā)布的《2019全球汽車(chē)行業(yè)網(wǎng)絡(luò)安全報(bào)告》中，預(yù)估網(wǎng)絡(luò)黑客行為令汽車(chē)制造商損失11億美元，到2023年，該數(shù)字可達(dá)240億美元。并且在報(bào)告中指出，42%的汽車(chē)網(wǎng)絡(luò)安全事件涉及后端應(yīng)用服務(wù)器。另外，2019年某安全研究機(jī)構(gòu)披露了一款CarsBlues藍(lán)牙漏洞，影響全球數(shù)千萬(wàn)輛汽車(chē)，該攻擊通過(guò)藍(lán)牙協(xié)議利用多款汽車(chē)上的資訊娛樂(lè)系統(tǒng)，即可控制汽車(chē)。由此可見(jiàn)，車(chē)聯(lián)網(wǎng)安全問(wèn)題涉及到車(chē)輛前端及后臺(tái)服務(wù)器等方面，呈現(xiàn)多層次多維度的安全現(xiàn)狀，因此車(chē)聯(lián)網(wǎng)安全防護(hù)也應(yīng)是多層次的深度防御。

由此可見(jiàn)，有必要研究如何加強(qiáng)車(chē)聯(lián)網(wǎng)的信息安全防護(hù)。本文首先介紹車(chē)聯(lián)網(wǎng)的概念和網(wǎng)絡(luò)體系架構(gòu)，再對(duì)車(chē)聯(lián)網(wǎng)面臨的安全風(fēng)險(xiǎn)進(jìn)行分析，最后給出有針對(duì)性的安全防護(hù)思路。

1? ?車(chē)聯(lián)網(wǎng)概述

車(chē)聯(lián)網(wǎng)是按照約定的通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn)，在車(chē)輛與車(chē)主、車(chē)輛與車(chē)輛、車(chē)輛與路網(wǎng)、車(chē)輛與云平臺(tái)之間，進(jìn)行無(wú)線通信和信息交換的大系統(tǒng)網(wǎng)絡(luò)，是物聯(lián)網(wǎng)技術(shù)在智能交通領(lǐng)域的典型應(yīng)用[1]。

車(chē)聯(lián)網(wǎng)的網(wǎng)絡(luò)體系架構(gòu)可以分為：感知層、網(wǎng)絡(luò)層和應(yīng)用層，如圖1所示。感知層主要是完成聯(lián)網(wǎng)車(chē)輛數(shù)據(jù)的采集和轉(zhuǎn)換，包含車(chē)載終端設(shè)備和路基感知設(shè)施等硬件設(shè)備，感知汽車(chē)行駛狀態(tài)、車(chē)內(nèi)狀況和周邊的行車(chē)環(huán)境。網(wǎng)絡(luò)層主要是實(shí)現(xiàn)車(chē)輛與各類(lèi)異構(gòu)網(wǎng)絡(luò)之間的通信，將感知層采集的數(shù)據(jù)傳送給用戶或處理中心，同時(shí)也可以將用戶或處理中心的指令回傳給感知層，解決車(chē)輛與車(chē)主、車(chē)輛與車(chē)輛、車(chē)輛與路網(wǎng)、車(chē)輛與云平臺(tái)的互聯(lián)互通。應(yīng)用層主要包括應(yīng)用程序?qū)雍腿藱C(jī)交互界面，對(duì)車(chē)輛上傳的數(shù)據(jù)進(jìn)行匯聚篩選、計(jì)算分析和存儲(chǔ)，為聯(lián)網(wǎng)車(chē)輛提供人機(jī)交互、智能交通信息、緊急救援等智能化服務(wù)。

2? ?車(chē)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

車(chē)聯(lián)網(wǎng)的終端是智能網(wǎng)聯(lián)汽車(chē)，與普通物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)相比較，其終端的各項(xiàng)功能更加復(fù)雜，性能要求更高。因此，車(chē)聯(lián)網(wǎng)會(huì)面臨各種復(fù)雜的攻擊形式，以下從車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)體系的三個(gè)層面對(duì)其面臨的安全風(fēng)險(xiǎn)進(jìn)行分析。

2.1? 感知層安全風(fēng)險(xiǎn)

感知層的主要任務(wù)是獲取聯(lián)網(wǎng)車(chē)輛內(nèi)部和外部的各類(lèi)信息。車(chē)聯(lián)網(wǎng)前端的各類(lèi)信源主要利用無(wú)線通信進(jìn)行傳輸，在無(wú)線傳輸過(guò)程中數(shù)據(jù)易于被非法監(jiān)聽(tīng)、獲取和攔截。另外，如果攻擊者控制感知節(jié)點(diǎn)，傳輸某些惡意信息，就會(huì)對(duì)信息接收方有所干擾，造成車(chē)輛駕駛者的誤判。例如車(chē)輛的Wi-Fi及藍(lán)牙功能，主要用于移動(dòng)終端控制車(chē)載軟件系統(tǒng)，包括車(chē)載娛樂(lè)系統(tǒng)等，然而這些軟件系統(tǒng)同時(shí)又與車(chē)輛總線（CAN bus）進(jìn)行數(shù)據(jù)交換，因此如果攻擊者破解Wi-Fi或者藍(lán)牙密碼，進(jìn)入到車(chē)載軟件系統(tǒng)，就有途徑入侵到CAN總線，實(shí)現(xiàn)對(duì)車(chē)輛的非法控制[2]。

此外，大多數(shù)車(chē)輛仍保留有車(chē)載診斷接口（OBD接口）進(jìn)行自動(dòng)故障診斷，通常情況下，OBD接口位于方向盤(pán)下方的前內(nèi)飾板內(nèi)，攻擊者接入OBD端口，進(jìn)行物理接觸攻擊，便可以通過(guò)車(chē)載診斷系統(tǒng)訪問(wèn)CAN總線，實(shí)現(xiàn)對(duì)車(chē)輛的控制，甚至能修改車(chē)輛內(nèi)部系統(tǒng)的某些配置，給車(chē)輛和用戶帶來(lái)巨大的安全威脅。

2.2? 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)層的主要任務(wù)是完成信息的傳輸工作，是連接感知層和應(yīng)用層的通道。網(wǎng)絡(luò)層安全主要包括網(wǎng)絡(luò)層設(shè)備的安全防護(hù)問(wèn)題以及設(shè)備間數(shù)據(jù)傳輸?shù)陌踩雷o(hù)問(wèn)題。車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)層面臨如下安全風(fēng)險(xiǎn)。

（1）攻擊者可能發(fā)起DDOS攻擊擁塞網(wǎng)絡(luò)，使服務(wù)器服務(wù)中斷，對(duì)聯(lián)網(wǎng)車(chē)輛造成安全威脅[3]。

（2）信息在傳輸過(guò)程中，攻擊者可能發(fā)起中間人攻擊。例如攻擊者通過(guò)設(shè)置偽基站、利用DNS劫持等手段竊取車(chē)載通信終端（T-BOX）會(huì)話數(shù)據(jù)[4]。

（3）網(wǎng)絡(luò)層設(shè)備若未啟用登錄失敗處理策略和口令復(fù)雜度策略，攻擊者可能采取暴力破解方式，獲取賬號(hào)信息。

（4）若網(wǎng)絡(luò)層設(shè)備管理未采用加密手段，攻擊者通過(guò)監(jiān)聽(tīng)無(wú)線傳輸數(shù)據(jù)等方式，竊取系統(tǒng)賬號(hào)密碼等關(guān)鍵信息，導(dǎo)致身份鑒別信息被盜取。攻擊者就能夠登錄系統(tǒng)，竊取更重要的信息。

2.3? 應(yīng)用層安全風(fēng)險(xiǎn)

應(yīng)用層的主要任務(wù)是完成信息處理及分析，為車(chē)輛提供服務(wù)，實(shí)現(xiàn)智能控制。車(chē)聯(lián)網(wǎng)應(yīng)用系統(tǒng)復(fù)雜多樣，可能會(huì)引入多種應(yīng)用程序，例如Web Server、FTP服務(wù)、Email等，應(yīng)用程序自身的安全漏洞以及彼此之間配置不當(dāng)?shù)龋紩?huì)導(dǎo)致整體安全性下降。另外，系統(tǒng)存儲(chǔ)和處理的數(shù)據(jù)大量增加，可能存在安全漏洞。而云計(jì)算技術(shù)作為車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的基礎(chǔ)，其自身安全問(wèn)題也會(huì)引入到車(chē)輛網(wǎng)服務(wù)平臺(tái)中。因此，車(chē)聯(lián)網(wǎng)應(yīng)用層面臨如下安全風(fēng)險(xiǎn)：

（1）云計(jì)算技術(shù)引入的安全漏洞，例如資源調(diào)度問(wèn)題、虛擬主機(jī)操作系統(tǒng)漏洞等。

（2）如果應(yīng)用層的邊界防護(hù)設(shè)備未配置完善的訪問(wèn)控制策略，則易導(dǎo)致其中存儲(chǔ)的數(shù)據(jù)被非授權(quán)訪問(wèn)。

（3）如果車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)中存儲(chǔ)用戶數(shù)據(jù)的內(nèi)存空間，在分配給其他用戶之前沒(méi)有徹底刪除，則會(huì)造成用戶隱私數(shù)據(jù)泄漏。

（4）應(yīng)用軟件的安全漏洞以及彼此之間配置不當(dāng)問(wèn)題，會(huì)降低車(chē)聯(lián)網(wǎng)應(yīng)用層的整體安全性。

3? ?防護(hù)思路

基于第2節(jié)對(duì)車(chē)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的分析，可以得知車(chē)聯(lián)網(wǎng)的安全威脅包括不同層次和不同類(lèi)型，其中主要安全風(fēng)險(xiǎn)是數(shù)據(jù)泄露和車(chē)輛被非法入侵。因此，防護(hù)思路可以從落實(shí)安全開(kāi)發(fā)、“端—管—云”安全防護(hù)、主動(dòng)安全防御這三個(gè)方面進(jìn)行考慮。

3.1? 落實(shí)安全開(kāi)發(fā)

車(chē)聯(lián)網(wǎng)安全事件頻發(fā)的根源在于車(chē)聯(lián)網(wǎng)服務(wù)提供商信息安全意識(shí)的缺失，具體體現(xiàn)在開(kāi)發(fā)流程和管理規(guī)范的不完善，導(dǎo)致出現(xiàn)了多起汽車(chē)的敏感信息泄露及被破解的事件出現(xiàn)。因此，需要在生產(chǎn)階段重視信息安全需求，遵循信息安全開(kāi)發(fā)流程，才能在車(chē)輛正式上市運(yùn)行時(shí)保證其信息安全水平，有效降低被攻擊的安全風(fēng)險(xiǎn)。

車(chē)聯(lián)網(wǎng)安全開(kāi)發(fā)全生命周期管理包括六個(gè)階段，如圖2所示，即安全規(guī)劃、安全設(shè)計(jì)、安全開(kāi)發(fā)、上線驗(yàn)收、安全運(yùn)維和系統(tǒng)退服。在安全規(guī)劃階段就需要把安全需求落實(shí)到車(chē)聯(lián)網(wǎng)系統(tǒng)開(kāi)發(fā)過(guò)程中，并對(duì)開(kāi)發(fā)人員進(jìn)行安全培訓(xùn)，提升安全意識(shí)。在安全設(shè)計(jì)階段要保證硬件及軟件的設(shè)計(jì)安全。在安全開(kāi)發(fā)階段要保證系統(tǒng)架構(gòu)安全和依賴(lài)環(huán)境安全，對(duì)通信加密、身份驗(yàn)證和安全編碼等方面的安全要求開(kāi)發(fā)程度進(jìn)行檢查。在上線驗(yàn)收階段要進(jìn)行安全功能測(cè)試、安全漏洞測(cè)試及供應(yīng)商方案測(cè)試等，從而保證系統(tǒng)自身的安全性。在安全運(yùn)維階段需要進(jìn)行安全監(jiān)控，有專(zhuān)職的人員對(duì)安全策略進(jìn)行調(diào)整，并且對(duì)人員進(jìn)行安全培訓(xùn)和應(yīng)急演練，以便發(fā)生突發(fā)事件時(shí)，能夠及時(shí)啟動(dòng)應(yīng)急響應(yīng)。在系統(tǒng)退服階段要保證數(shù)據(jù)及時(shí)銷(xiāo)毀、設(shè)備及時(shí)處理和業(yè)務(wù)下線等。

3.2? “端—管—云”安全防護(hù)

車(chē)聯(lián)網(wǎng)是集成的綜合系統(tǒng)，在進(jìn)行安全防護(hù)時(shí)，應(yīng)加強(qiáng)各個(gè)層級(jí)的安全防護(hù)，如圖3所示，即感知層、網(wǎng)絡(luò)層和應(yīng)用層，加強(qiáng)聯(lián)網(wǎng)車(chē)輛在“端—管—云”各個(gè)環(huán)節(jié)的信息安全防護(hù)能力，加強(qiáng)車(chē)聯(lián)網(wǎng)數(shù)據(jù)在全生命周期的訪問(wèn)控制，完善車(chē)輛使用過(guò)程中的身份認(rèn)證體系，搭建多方聯(lián)動(dòng)、信息共享、實(shí)時(shí)精準(zhǔn)的安全防護(hù)體系[5]。

車(chē)聯(lián)網(wǎng)感知層的安全措施包括對(duì)各類(lèi)數(shù)據(jù)進(jìn)行有效的分類(lèi)處理，同類(lèi)數(shù)據(jù)可執(zhí)行統(tǒng)一的安全措施，包括加密和簽名等;對(duì)數(shù)據(jù)進(jìn)行分級(jí)防護(hù)，例如駕駛員個(gè)人信息、車(chē)輛位置信息、行駛軌跡等用戶敏感數(shù)據(jù)，需要采取較高級(jí)別的安全措施;利用訪問(wèn)控制，包括用戶權(quán)限控制等，防止被攻擊者非法入侵;通過(guò)多重身份認(rèn)證模式，防止被攻擊者盜取或者破解身份鑒別信息，從而進(jìn)行非法訪問(wèn)等。

車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)層的安全措施包括對(duì)系統(tǒng)設(shè)備端口、運(yùn)行狀態(tài)等進(jìn)行監(jiān)控，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)并處理。對(duì)數(shù)據(jù)進(jìn)行加密，防止其被破解或者篡改。

車(chē)聯(lián)網(wǎng)應(yīng)用層的安全措施包括部署應(yīng)用防火墻，防御多種類(lèi)型的攻擊;對(duì)車(chē)聯(lián)網(wǎng)數(shù)據(jù)庫(kù)存儲(chǔ)的各類(lèi)數(shù)據(jù)進(jìn)行分類(lèi)管理和分級(jí)防護(hù)，提升數(shù)據(jù)安全防護(hù)能力;具備容災(zāi)備份與恢復(fù)能力，保證發(fā)生突發(fā)事件時(shí)，服務(wù)能夠不中斷;部署安全審計(jì)系統(tǒng)，對(duì)所有訪問(wèn)內(nèi)部業(yè)務(wù)的行為進(jìn)行監(jiān)控和審計(jì);定期進(jìn)行漏洞掃描，發(fā)現(xiàn)安全隱患;部署防病毒系統(tǒng)，抵御外部或內(nèi)部病毒、惡意代碼、木馬等攻擊;具備集中監(jiān)控能力，對(duì)網(wǎng)絡(luò)中所有安全設(shè)備進(jìn)行集中監(jiān)控，對(duì)其產(chǎn)生的大量日志和報(bào)警信息進(jìn)行匯總，并且分析和審計(jì)。

3.3? 主動(dòng)安全防御

隨著攻擊手段的不斷更新，車(chē)聯(lián)網(wǎng)的安全防護(hù)工作除了應(yīng)用傳統(tǒng)防護(hù)手段，還需要達(dá)到“主動(dòng)安全防御”的目標(biāo)，即建立車(chē)聯(lián)網(wǎng)威脅態(tài)勢(shì)感知系統(tǒng)，如圖4所示。通過(guò)關(guān)注國(guó)內(nèi)外相關(guān)應(yīng)用技術(shù)的威脅報(bào)告及對(duì)車(chē)聯(lián)網(wǎng)系統(tǒng)各種漏洞的主動(dòng)研究，結(jié)合針對(duì)現(xiàn)網(wǎng)海量數(shù)據(jù)的大數(shù)據(jù)分析和挖掘，預(yù)測(cè)車(chē)聯(lián)網(wǎng)應(yīng)用技術(shù)中存在的漏洞及系統(tǒng)可能面臨的各種攻擊方式，提前采取措施進(jìn)行安全防護(hù)，降低攻擊發(fā)生的可能性。

要對(duì)車(chē)聯(lián)網(wǎng)相關(guān)威脅進(jìn)行預(yù)測(cè)，首先需要進(jìn)行數(shù)據(jù)采集工作，在車(chē)聯(lián)網(wǎng)感知層能夠采集到的數(shù)據(jù)包括網(wǎng)絡(luò)傳輸相關(guān)數(shù)據(jù)、車(chē)載通信終端相關(guān)數(shù)據(jù)、車(chē)載診斷接口相關(guān)數(shù)據(jù)、CAN總線相關(guān)數(shù)據(jù)等。在車(chē)聯(lián)網(wǎng)應(yīng)用層能夠采集到的數(shù)據(jù)包括APP相關(guān)數(shù)據(jù)、車(chē)載智能系統(tǒng)等相關(guān)數(shù)據(jù)、網(wǎng)絡(luò)傳輸相關(guān)數(shù)據(jù)等[6]。將采集到的海量數(shù)據(jù)通過(guò)核心安全分析引擎進(jìn)行融合優(yōu)化，再經(jīng)過(guò)大數(shù)據(jù)分析技術(shù)例如機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)等進(jìn)行深入挖掘，最終形成可視化的數(shù)據(jù)視圖進(jìn)行展現(xiàn)。

4? ?結(jié)束語(yǔ)

車(chē)聯(lián)網(wǎng)實(shí)現(xiàn)了汽車(chē)的智能控制，提升駕駛體驗(yàn)，緩解交通擁堵，減少環(huán)境污染，有效利用能源，減少事故發(fā)生率，而車(chē)聯(lián)網(wǎng)的安全是將其推向大規(guī)模應(yīng)用的前提，本文全面分析了車(chē)聯(lián)網(wǎng)面臨的安全風(fēng)險(xiǎn)，提出了有針對(duì)性地安全防護(hù)思路。

然而，圍繞著車(chē)聯(lián)網(wǎng)的各類(lèi)新技術(shù)層出不窮，導(dǎo)致車(chē)聯(lián)網(wǎng)的安全防護(hù)方式也必須要不斷優(yōu)化和進(jìn)步，才能滿足不斷發(fā)展的智能車(chē)聯(lián)網(wǎng)安全防護(hù)目標(biāo)。

參考文獻(xiàn)：

[1] 許彩霞. 車(chē)聯(lián)網(wǎng)信息安全的威脅及防護(hù)策略[J]. 信息通信， 2018（7）： 191-192.

[2] 徐文超. 淺析車(chē)聯(lián)網(wǎng)安全技術(shù)要點(diǎn)[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)， 2017（13）： 56-57.

[3] 彭?xiàng)?，戎輝，王文揚(yáng)，等. 車(chē)聯(lián)網(wǎng)安全威脅[J]. 現(xiàn)代制造技術(shù)與裝備， 2017（6）： 6-7.

[4] 鮑克，嚴(yán)丹，李富勇，等. 車(chē)聯(lián)網(wǎng)信息安全防護(hù)體系研究[J]. 軟件， 2018，39（6）： 29-31.

[5] 中國(guó)信息通信研究院. 車(chē)聯(lián)網(wǎng)白皮書(shū)[R]. 2018.

[6] 程智力. 智能車(chē)聯(lián)網(wǎng)主動(dòng)防御體系探析[J]. 摩托車(chē)技術(shù)， 2018（6）： 29-31. ★