龔強生 范婷雯 劉美君

摘? 要：車聯(lián)網(wǎng)綜合應(yīng)用體系的基本建成和車聯(lián)網(wǎng)通信系統(tǒng)的快速發(fā)展，使我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)步入雛形階段。通過對國內(nèi)外車聯(lián)網(wǎng)的發(fā)展現(xiàn)狀進行研究，結(jié)合攻擊實例分析當前智能網(wǎng)聯(lián)汽車所面臨的部分威脅，將車聯(lián)網(wǎng)終端的安全問題總結(jié)為四大層面：信息泄露、云端的安全威脅、身份驗證威脅和通信中斷威脅。通過對native層的服務(wù)進程，動態(tài)庫和應(yīng)用層的APP等進行分析，提出了一套車載終端安全增強方案。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車;安全威脅;安全加固

中圖分類號：TP393.08;U463.6? ? ? 文獻標識碼：A 文章編號：2096-4706（2020）22-0164-03

Safety Analysis and Enhancement Scheme Design of Vehicle Intelligent System

GONG Qiangsheng，F(xiàn)AN Tingwen，LIU Meijun

（Chongqing University of Posts and Telecommunications，Chongqing? 400065，China）

Abstract：With the basic construction of the comprehensive application system of the internet of vehicles and the rapid development of the communication system of the internet of vehicles，Chinas intelligent connected vehicle industry has entered the embryonic stage. Through the research on the development status of the internet of vehicles at home and abroad，combined with the attack examples to analyze some of the threats facing the current intelligent connected vehicle，the security issues of the internet of vehicles terminals are summarized into four major levels：information leakage，security threat in the cloud，authentication threat and communication interruption threat. Through the analysis of service process of native layer，dynamic library and APP of application layer，a set of vehicle terminal security enhancement scheme is proposed.

Keywords：intelligent connected vehicle;security threat;safety reinforcement

0? 引? 言

車聯(lián)網(wǎng)是為了使車與車、車與人、車與云等進行交互，實現(xiàn)車輛能與公眾網(wǎng)絡(luò)進行通信的動態(tài)移動通信系統(tǒng)。典型的應(yīng)用有遠程診斷、遠程升級、遠程控制。車聯(lián)網(wǎng)給生活帶來便利的同時，也給車載智能終端的安全帶來了隱患。在網(wǎng)絡(luò)安全中，車載智能終端遭受網(wǎng)絡(luò)攻擊。在設(shè)備安全中，車載設(shè)備中的敏感信息被竊取和利用。筆者基于專業(yè)課程對網(wǎng)絡(luò)信息安全領(lǐng)域進行研究，針對車載智能終端的安全隱患，設(shè)計了安全增強方案。

1? 智能網(wǎng)聯(lián)汽車系統(tǒng)概述

智能網(wǎng)聯(lián)汽車系統(tǒng)是以車內(nèi)網(wǎng)、車際網(wǎng)和車云網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交換標準實現(xiàn)車與車、車與路、車與人、車與環(huán)境之間無線通信的大網(wǎng)絡(luò)系統(tǒng)。智能網(wǎng)聯(lián)汽車系統(tǒng)根據(jù)車輛的位置、速度和城市的路線等信息，運用先進技術(shù)，收集、處理和共享信息，使車輛、行人、道路和城市網(wǎng)絡(luò)等相互關(guān)聯(lián)，提高車輛的智能化和自動化水平，實現(xiàn)對所有車輛的有效監(jiān)管并給用戶提供更加便捷更加安全的綜合服務(wù)。智能網(wǎng)聯(lián)汽車搭載先進的車載傳感器、控制器、執(zhí)行器，融合了現(xiàn)代信息科學技術(shù)，實現(xiàn)車與外界進行智能化信息交換與共享，具備良好的環(huán)境感知能力、智能決策能力、協(xié)同控制能力。在2010年10月28日，中國國際物聯(lián)網(wǎng)博覽會暨中國物聯(lián)網(wǎng)大會首次提出了“車聯(lián)網(wǎng)（Internet of Vehicles）”一詞，這一年也被稱之為車聯(lián)網(wǎng)元年[1]。到2018年12月，工信部印發(fā)了《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動計劃》，發(fā)展行動計劃的目標是在2020年，實現(xiàn)車聯(lián)網(wǎng)產(chǎn)業(yè)與其他行業(yè)融合的突破，具備高級自動駕駛功能的智能網(wǎng)聯(lián)汽車將在現(xiàn)實中應(yīng)用，車聯(lián)網(wǎng)綜合應(yīng)用體系將基本構(gòu)建，用戶使用率大幅提高。目前，我國智能網(wǎng)聯(lián)汽車還處于產(chǎn)業(yè)形成雛形的階段。中國華為、大唐等企業(yè)大力推薦的車間通信長期演進技術(shù)LTE-V系統(tǒng)相比于DSRC技術(shù)，具有兼容蜂窩網(wǎng)、可平穩(wěn)過渡至5G系統(tǒng)等優(yōu)勢，目前LTE-V系統(tǒng)已發(fā)展成為我國特色的車聯(lián)網(wǎng)通信系統(tǒng)。

隨著信息技術(shù)的發(fā)展與進步，智能網(wǎng)聯(lián)汽車系統(tǒng)給人們的生活帶來便捷的同時，系統(tǒng)的安全也面臨許多問題[2]。車載信息系統(tǒng)的安全性是智能網(wǎng)聯(lián)汽車系統(tǒng)所面臨的最大問題。2016年我國制定了智能網(wǎng)聯(lián)汽車的信息安全路線圖。2018年12月，工信部印發(fā)的《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動計劃》要求到2020年實現(xiàn)安全管理制度與安全防護機制落地實施，安全保障和服務(wù)能力逐步完善。智能網(wǎng)聯(lián)汽車的安全威脅不僅僅是設(shè)備故障威脅，更大的威脅是信息是否得到保護，是否安全。2019年，360 Sky-Go團隊在針對梅賽德斯-奔馳聯(lián)網(wǎng)汽車的安全研究項目中發(fā)現(xiàn)了多達19個安全漏洞。這表明智能網(wǎng)聯(lián)汽車還存在很多不足，仍然需要繼續(xù)加大力度研究安全保障系統(tǒng)。目前國內(nèi)多家科學院所對現(xiàn)在智能網(wǎng)聯(lián)汽車系統(tǒng)的性能要求不斷提高，車載信息系統(tǒng)技術(shù)領(lǐng)域也取得快速發(fā)展，越來越多的汽車信息安全系統(tǒng)必將成為車輛的標準配置[3]。汽車的信息安全是智能網(wǎng)聯(lián)汽車發(fā)展的先決條件，只有實現(xiàn)汽車的信息安全才能保障智能網(wǎng)聯(lián)汽車的健康發(fā)展。

2? 智能網(wǎng)聯(lián)汽車終端安全威脅

智能網(wǎng)聯(lián)汽車終端會遭受到計算機病毒、惡意程序、黑客入侵、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全威脅，本文將其面臨的安全威脅大致分為以下幾類：

（1）信息泄露，車聯(lián)網(wǎng)中駕駛員身份信息，涉車信息，車輛控制信息等信息被竊取的風險。

（2）云端的安全威脅，黑客利用云端服務(wù)平臺的漏洞，通過欺騙攻擊、服務(wù)攻擊等攻擊導致云端計算平臺服務(wù)中斷，通過發(fā)送惡意文件等方式對車輛下達錯誤指令[4]。

（3）身份驗證威脅，黑客通過暴力破解、網(wǎng)絡(luò)抓包、滲透攻擊等方式獲得合法登錄權(quán)限以此惡意操縱車輛。

（4）通信中斷威脅，黑客可以通過木馬病毒使網(wǎng)絡(luò)癱瘓，或有意或無意使得車輛無法及時收到指令而使車輛面臨安全威脅。

此外，由于汽車制造商采用不安全的開發(fā)組件也引發(fā)了多起汽車安全性事件，目前鮮有學者針對此方面進行分析，本文主要基于操作系統(tǒng)層面、應(yīng)用層面、密鑰安全層面展開案例論述。大部分車企采用操作系統(tǒng)開源方案，僅考慮到成本問題，而忽略源代碼調(diào)用不安全甚至不合法的函數(shù)，導致系統(tǒng)組件漏洞、缺乏操作系統(tǒng)層面的行為監(jiān)控等諸多層面的安全問題。2017年俄羅斯反病毒與計算機安全公司卡巴斯基有研究顯示，許多汽車制造商都提供可使用戶開啟車門或啟動汽車的專用APP，一旦黑客成功入侵，就可獲得諸如解鎖車門、關(guān)閉安全警報等控制汽車的權(quán)限，甚至可能獲得汽車的GPS定位坐標、啟動發(fā)動機等權(quán)限。2020年3月初，英國伯明翰大學和比利時魯汶大學也通過研究發(fā)現(xiàn)豐田、現(xiàn)代、起亞等品牌汽車廠商所提供的DST80（Digital Signature Transponder）加密系統(tǒng)存在漏洞。汽車制造商錯誤使用了該數(shù)字簽名轉(zhuǎn)發(fā)器，將DST80提供的密碼長度降級為24位，潛在黑客只要靠近搭載DST80的汽車，通過相對無線射頻識別掃描儀，就能獲取到汽車加密鑰匙并進行復制。

綜上所述，目前智能網(wǎng)聯(lián)汽車終端安全存在嚴重威脅，黑客可通過諸如上述漏洞對車輛進行非法操作或者進行某些非法活動以牟利。因此，分析智能網(wǎng)聯(lián)汽車終端面臨的安全問題，并就此提出可行性強的解決方案是汽車研究領(lǐng)域及產(chǎn)業(yè)領(lǐng)域的共同需求。

3? 智能網(wǎng)連汽車終端安全增強方案

3.1? OTA升級包的加固

針對OTA升級包的安全加固，我們采用服務(wù)器端加密簽名、本地端解密驗簽發(fā)包的方式來保證OTA升級包的完整性，以防升級包被惡意篡改。

首先，我們將OTA升級包制作完成后，修改bootable/recovery路徑下的文件，Andorid.mk 增加共享庫。然后注釋掉：external/openssl/include/openssl/rsa.h中364行函數(shù)RSA_verify，該函數(shù)和systen/core/mincrypt/rsa.h定義沖突。使用Encode.c編譯好的軟件UPSM_tool對原始升級包進行加密與簽名處理，并且修改install.cpp，加固后的升級包在發(fā)布后，可有效抵御逆向分析。在本地進行升級時，使用加密后的OTA升級包進行升級。我們在解密函數(shù)前面增加一個簽名函數(shù)，先對OTA升級包進行驗證簽名，當跑到升級的函數(shù)時，自動對文件進行解密。如果文件包是經(jīng)過篡改的，則會解密不成功，如果解密不成功，則無法進行升級，從而達到增加安全性的目的。OTA升級包加固流程如圖1所示。

3.2? APK加固工具加固

APK是Android Package的縮寫，即Android安裝包（APK）。APK文件是把Android sdk編譯的工程打包成一個安裝程序文件，格式為APK。逆向工程，是一種產(chǎn)品技術(shù)再現(xiàn)過程，即對一項目標產(chǎn)品進行逆向分析及研究，從而演繹并得出該產(chǎn)品的處理流程、組織結(jié)構(gòu)等設(shè)計要素，從而制作出功能相近卻又不一樣的產(chǎn)品。APK加固工具主要用于對Android應(yīng)用程序簽名加密，可以對多個APK文件批量加密，也可以自定義更改加固文件和簽名文件。以此有效防止逆向工程，保護應(yīng)用程序不被篡改。通過用APK加固工具對車載系統(tǒng)進行簽名加密，比較加密前后APK文件的變化，檢測運行結(jié)果是否一致，以此判斷車載系統(tǒng)的安全性。APK加固工具加固流程如圖2所示。

3.3? 啟動安全加固

對系統(tǒng)的啟動引導器（U-boot）進行修改以進行安全啟動的相關(guān)認證。調(diào)用該引導器自帶的Hash函數(shù)對系統(tǒng)鏡像進行認證，在認證通過后才允許系統(tǒng)正常啟動。這種修改可以通過對源碼打補丁的方式進行傳遞。整個認證過程中無須人為干預(yù)，而顯示輸出此時會停留在廠商徽標狀態(tài)。認證成功，內(nèi)核正常裝入內(nèi)存并啟動。認證失敗，啟動過程被攔截。啟動安全加固的流程如圖3所示。

3.4? 防火墻加固

iptables內(nèi)置四個規(guī)則表提供特定功能，其優(yōu)先順序及功能為：數(shù)據(jù)跟蹤處理（raw）→包重構(gòu)（mangle）→網(wǎng)絡(luò)地址轉(zhuǎn)換（nat）→包過濾（filter）。iptables也采用鏈結(jié)構(gòu)確定數(shù)據(jù)包傳播路徑，每一條鏈包含一條或多條規(guī)則，每當一個數(shù)據(jù)包到達一條鏈，就從該條鏈的第一條規(guī)則開始檢查，按照符合規(guī)則所定義條件的方法處理數(shù)據(jù)包。故可通過對filter表中指定的INPUT鏈添加新規(guī)則，實現(xiàn)對進來的數(shù)據(jù)包的管制，進而實現(xiàn)對特定網(wǎng)站的黑名單或白名單訪問。防火墻加固流程如圖4所示。

添加iptables默認規(guī)則的具體步驟為：

（1）iptables防火墻黑名單策略：

iptables -A INPUT -j NFLOG --nflog-group NUM --nflog-prefix STRING

該命令中NUM標識消息寫入哪個消息池，當消息池不存在時不會寫消息，STRING為本條消息的前綴。

iptables -A INPUT -s IP -j DROP

該命令中IP為需要攔截的特定網(wǎng)站IP。

（2）iptables防火墻白名單策略：

iptables -A INPUT -j whitelist

iptables -A whitelist -s IP -j ACCEPT

該命令中IP為進入白名單的特定網(wǎng)站IP。

4? 結(jié)? 論

現(xiàn)在科學技術(shù)飛速發(fā)展，車載智能終端給人們的出行帶來極大的便利，提供了優(yōu)質(zhì)的駕駛服務(wù)，規(guī)劃好城市的交通路線，但同時它的安全也面臨一系列問題，該問題得到人們越來越多的重視。本文分析了車載系統(tǒng)面臨的攻擊，在安卓系統(tǒng)的基礎(chǔ)上，設(shè)計了幾種安全增強方案，一是OTA升級包的加固方案，二是使用APK加固工具加固，三是對啟動安全的加固，四是修改安卓自帶的iptables防火墻的方式來增強車載系統(tǒng)的安全性，有效保護用戶的信息安全，提高車載系統(tǒng)的安全性，對我國汽車行業(yè)發(fā)展具有極大的推進作用。

參考文獻：

[1] 王雷，王傳磊.車聯(lián)網(wǎng)及關(guān)鍵技術(shù)的應(yīng)用分析 [J].物聯(lián)網(wǎng)技術(shù)，2018，8（7）：63-65+68.

[2] 胥建鵬.探討智能車載網(wǎng)絡(luò)系統(tǒng)的安全和隱私保護策略優(yōu)化 [J].信息通信，2019（5）：164-165.

[3] 馮志杰，何明，李彬，等.汽車信息安全攻防關(guān)鍵技術(shù)研究進展 [J].信息安全學報，2017，2（2）：1-14.

[4] 馮聰.智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全問題的治理與執(zhí)法探索 [C]//公安部網(wǎng)絡(luò)安全保衛(wèi)局.2020互聯(lián)網(wǎng)安全與治理論壇論文集.北京：《信息網(wǎng)絡(luò)安全》北京編輯部，2020：47-50.

作者簡介：龔強生（1998—），男，漢族，重慶人，本科在讀，研究方向：信息安全;范婷雯（1999—），女，漢族，重慶人，本科在讀，研究方向：信息安全;劉美君（1999—），女，漢族，重慶人，本科在讀，研究方向：信息安全。