袁峰 朱臣鑫

浙江吉潤(rùn)汽車有限公司寧波杭州灣分公司 浙江杭州 315336

1 智能網(wǎng)聯(lián)汽車存在的安全威脅

智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)主要包括7個(gè)方面：網(wǎng)絡(luò)架構(gòu)、ECU（Electronic Control Unit，電子控制單元）、T-BOX（Telematics BOX，遠(yuǎn)程信息處理器）、IVI（In-Vehicle Infotainment，車載信息娛樂系統(tǒng)）、無線通信、TSP（Telematics Services Platform，云服務(wù)平臺(tái)）和APP。

對(duì)智能網(wǎng)聯(lián)汽車中的7個(gè)威脅風(fēng)險(xiǎn)點(diǎn)，惡意攻擊者可以利用CAN總線廣播機(jī)制，實(shí)施數(shù)據(jù)包竊聽、偽造及數(shù)據(jù)重放等；可以劫持ECU設(shè)備制造廠商的訪問機(jī)制，對(duì)源代碼進(jìn)行逆向破解，對(duì)芯片內(nèi)固件代碼進(jìn)行提取、篡改、分析等操作；利用T-BOX模塊存在的調(diào)試引腳、串口等，深入到系統(tǒng)內(nèi)部，對(duì)協(xié)議傳輸數(shù)據(jù)進(jìn)行篡改，實(shí)現(xiàn)對(duì)車輛遠(yuǎn)程操控；利用IVI系統(tǒng)軟件升級(jí)的方式獲取到Root訪問權(quán)限，進(jìn)入系統(tǒng)內(nèi)部，實(shí)現(xiàn)對(duì)車輛的控制，此外，還可以通過分析IVI系統(tǒng)硬件的主板、芯片、接口、引腳、標(biāo)識(shí)等提取固件信息進(jìn)行逆向分析，獲取敏感的關(guān)鍵信息，挖掘隱藏的安全漏洞；利用旁聽設(shè)備獲取通信內(nèi)容，對(duì)通信內(nèi)容進(jìn)一步分析，破解無線通信安全特征，對(duì)劫持的通信數(shù)據(jù)進(jìn)行重放、篡改、丟棄等操作；利用TSP云平臺(tái)系統(tǒng)軟件設(shè)計(jì)時(shí)的缺陷、編碼時(shí)產(chǎn)生的錯(cuò)誤、業(yè)務(wù)交互過程中的邏輯錯(cuò)誤實(shí)施攻擊；攻擊者可以通過逆向APP的APK（Android application package，Android應(yīng)用程序包）獲取到APP所有內(nèi)容后，對(duì)源代碼進(jìn)行篡改或植入惡意代碼，重新封裝后實(shí)施惡意攻擊；此外，攻擊者還可以通過調(diào)用各類接口達(dá)到控制車輛的目的[1]。

2 整車信息安全測(cè)評(píng)體系

2.1 汽車自身安全水平

針對(duì)智能網(wǎng)聯(lián)汽車存在的安全風(fēng)險(xiǎn)，參考上述關(guān)于界定安全漏洞的評(píng)估標(biāo)準(zhǔn)，對(duì)出現(xiàn)的安全漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，得到汽車自身的安全水平。汽車安全漏洞評(píng)估指標(biāo)：

（1）攻擊可行性參數(shù)。攻擊可行性參數(shù)表示在發(fā)動(dòng)攻擊時(shí)車輛上存在的安全漏洞可被利用的各類影響因素，包括攻擊路徑、攻擊耗時(shí)、攻擊區(qū)域、攻擊設(shè)備、所需專業(yè)知識(shí)、目標(biāo)資源、攻擊授權(quán)、車輛工況、機(jī)密性、完整性和可用性。各影響因素的具體參數(shù)、賦值及說明見表1，攻擊可行性計(jì)算式為：

式中：ES為攻擊可行性；AV為攻擊路徑；TV為攻擊耗時(shí)；AS為攻擊區(qū)域；AE為攻擊設(shè)備；EV為所需專業(yè)知識(shí)；KV為目標(biāo)資源；AA為攻擊授權(quán)；VC為車輛工況；CI為機(jī)密性；II為完整性；AI為可用性。攻擊可行性各影響因素的權(quán)重參考了CTS CACPV18-03《汽車產(chǎn)品信息安全測(cè)試評(píng)價(jià)規(guī)范》，利用層次分析法對(duì)專家進(jìn)行問卷調(diào)查后加權(quán)得到。

（2）影響程度參數(shù)。影響程度參數(shù)是指攻擊者利用汽車上存在的安全漏洞對(duì)車輛實(shí)施攻擊后產(chǎn)生的安全威脅，包括人身安全、財(cái)產(chǎn)安全、隱私安全、功能安全、公共安全及法規(guī)、危害持續(xù)時(shí)間。

汽車受攻擊后，影響程度的計(jì)算式為：

式中：SS為影響程度；SV為人身安全；FV為財(cái)產(chǎn)安全；PV為隱私安全；OV為功能失效；PR為公共安全及法規(guī)；DT為危害持續(xù)時(shí)間。影響程度各因子的權(quán)重參考CTS CAC-PV18-03《汽車產(chǎn)品信息安全測(cè)試評(píng)價(jià)規(guī)范》，利用層次分析法對(duì)專家進(jìn)行問卷調(diào)查后加權(quán)得到。

（2）汽車安全漏洞風(fēng)險(xiǎn)等級(jí)。參考前文關(guān)于界定安全漏洞的評(píng)估標(biāo)準(zhǔn)，將汽車的安全漏洞分為A、B、C、D 4個(gè)等級(jí)，分別為低危、中危、高危和嚴(yán)重。結(jié)合攻擊可行性度量值和影響程度值，得出汽車安全漏洞的風(fēng)險(xiǎn)評(píng)估等級(jí)。

（3）汽車自身安全水平。為了計(jì)算整車7個(gè)風(fēng)險(xiǎn)點(diǎn)所有的安全漏洞得分，對(duì)安全漏洞的4個(gè)風(fēng)險(xiǎn)評(píng)估等級(jí)賦值，低危漏洞系數(shù)為1，中危漏洞系數(shù)為2，高危漏洞系數(shù)為3，嚴(yán)重漏洞系數(shù)為4，則整車7個(gè)風(fēng)險(xiǎn)點(diǎn)的安全漏洞為：

整車自身的信息安全得分為

式中：Wi為網(wǎng)絡(luò)架構(gòu)、ECU、T-BOX、IVI、無線通信、TSP云平臺(tái)、APP 7個(gè)風(fēng)險(xiǎn)點(diǎn)的產(chǎn)品安全試驗(yàn)得分，其中單個(gè)Wi的最低分為0分；Vli為7個(gè)風(fēng)險(xiǎn)點(diǎn)的產(chǎn)品檢測(cè)出的低危漏洞個(gè)數(shù)；Vmi為7個(gè)風(fēng)險(xiǎn)點(diǎn)的產(chǎn)品檢測(cè)出的中危漏洞個(gè)數(shù)；Vhi為7個(gè)風(fēng)險(xiǎn)點(diǎn)的產(chǎn)品檢測(cè)出的高危漏洞個(gè)數(shù)；Vsi為7個(gè)風(fēng)險(xiǎn)點(diǎn)的產(chǎn)品檢測(cè)出的嚴(yán)重漏洞個(gè)數(shù)；T為整車自身的信息安全水平。

2.2 車輛智能網(wǎng)聯(lián)化水平

為了評(píng)價(jià)車輛智能網(wǎng)聯(lián)化水平，需對(duì)被測(cè)車輛智能網(wǎng)聯(lián)化功能進(jìn)行計(jì)算，車輛智能網(wǎng)聯(lián)化水平主要分為智能網(wǎng)聯(lián)化配置、遠(yuǎn)程控制、遠(yuǎn)程查詢、安防服務(wù)和舒適娛樂方面（目前市場(chǎng)上主流智能網(wǎng)聯(lián)化功能），被測(cè)車輛每具備其中一項(xiàng)功能，評(píng)價(jià)分?jǐn)?shù)加0.5分，滿分20分，超過部分不計(jì)[2]。

3 結(jié)語

通過汽車自身安全、車輛智能網(wǎng)聯(lián)化水平和企業(yè)應(yīng)急響應(yīng)體系3個(gè)方面進(jìn)行綜合定量分析，對(duì)智能網(wǎng)聯(lián)汽車安全漏洞評(píng)估要素的選取、漏洞評(píng)分的制定、漏洞風(fēng)險(xiǎn)等級(jí)評(píng)定等內(nèi)容進(jìn)行深入的研究分析，并利用該測(cè)評(píng)體系對(duì)某款智能網(wǎng)聯(lián)汽車的試驗(yàn)車輛進(jìn)行整車信息安全水平定量評(píng)估。該測(cè)評(píng)體系有助于推進(jìn)國內(nèi)外汽車行業(yè)對(duì)汽車安全漏洞等級(jí)劃分、車輛整體信息安全水平評(píng)估等工作開展，為智能網(wǎng)聯(lián)汽車的信息安全防御提供了有力的技術(shù)支撐。