張雄，張海春，劉政林

網(wǎng)聯(lián)汽車車載終端的威脅模型和風(fēng)險(xiǎn)評(píng)估

張雄1，張海春2，劉政林2

（1.華中科技大學(xué)中歐清潔與可再生能源學(xué)院，湖北 武漢 430074；2.華中科技大學(xué)光學(xué)與電子信息學(xué)院，湖北 武漢 430074）

網(wǎng)聯(lián)汽車車載終端系統(tǒng)與外界網(wǎng)絡(luò)連通特性引入了大量的信息安全隱患。文章系統(tǒng)地分析了網(wǎng)聯(lián)汽車車載終端的外部威脅面，并抽象出五種基本的外部攻擊向量，建立了車載終端系統(tǒng)的威脅模型；同時(shí)綜合考慮攻擊者的效用問(wèn)題和實(shí)際可能造成的危害提出了相應(yīng)的風(fēng)險(xiǎn)評(píng)估框架，在具有代表性的某款網(wǎng)聯(lián)汽車上進(jìn)行相關(guān)攻擊和測(cè)試實(shí)驗(yàn)后，發(fā)現(xiàn)其車載終端存在著一些可被利用的攻擊面，最后利用該威脅模型和風(fēng)險(xiǎn)評(píng)估框架有效地對(duì)車載終端進(jìn)行了安全風(fēng)險(xiǎn)評(píng)估。

車聯(lián)網(wǎng)；車載終端；威脅模型；風(fēng)險(xiǎn)評(píng)估

前言

網(wǎng)聯(lián)汽車車載終端為用戶帶來(lái)導(dǎo)航、車輛監(jiān)控、故障檢測(cè)、遠(yuǎn)程控制、互聯(lián)網(wǎng)應(yīng)用等眾多智慧便捷的服務(wù)，但同時(shí)也引入了大量的信息安全隱患。車載終端系統(tǒng)與車內(nèi)電子電氣網(wǎng)絡(luò)連通，與云端平臺(tái)通信交互的特性，極大地增加了汽車面臨的信息安全風(fēng)險(xiǎn)。2015年，Miller 等人在 DEFCON 會(huì)議上指出智能網(wǎng)聯(lián)汽車中存在大量可被利用的攻擊面[1]，騰訊科恩實(shí)驗(yàn)室利用了特斯拉車載終端系統(tǒng)內(nèi)核和瀏覽器中的多個(gè)漏洞遠(yuǎn)程入侵到汽車網(wǎng)關(guān)和自動(dòng)駕駛模塊[2]，弗吉尼亞理工研究人員利用車載終端導(dǎo)航系統(tǒng)的漏洞成功實(shí)現(xiàn)GPS（Global Positioning System）欺騙攻擊[3]，車載終端系統(tǒng)成為攻擊者入侵網(wǎng)聯(lián)汽車的典型入口。

對(duì)汽車電子系統(tǒng)網(wǎng)絡(luò)的威脅分析主要分為兩個(gè)層面：一是車輛內(nèi)部網(wǎng)絡(luò)中的ECU（Electronic Control Unit）、傳感器、執(zhí)行器以及它們連接成的車內(nèi)總線網(wǎng)絡(luò)，國(guó)內(nèi)外已經(jīng)有較深入的研究[4-6]，旨在分析車輛物理網(wǎng)絡(luò)系統(tǒng)的安全性，另一層面是連接車輛和外部環(huán)境的車載終端，網(wǎng)聯(lián)汽車的外部攻擊面主要來(lái)源于車載終端系統(tǒng)提供的各種有線或無(wú)線接口，針對(duì)車載終端系統(tǒng)的威脅分析和風(fēng)險(xiǎn)評(píng)估顯得愈發(fā)重要，文獻(xiàn)[7-8]對(duì)傳統(tǒng)汽車外部攻擊面進(jìn)行了綜合實(shí)驗(yàn)分析。在汽車上進(jìn)行了具體的攻擊實(shí)例。但研究者們沒(méi)有對(duì)這些攻擊面進(jìn)行系統(tǒng)的威脅分析和風(fēng)險(xiǎn)評(píng)估。文獻(xiàn)[9]提出了一種針對(duì)汽車嵌入式系統(tǒng)的風(fēng)險(xiǎn)評(píng)估框架，但不能完全適用于車載終端的外部威脅面評(píng)估。

本文提出了針對(duì)網(wǎng)聯(lián)汽車車載終端系統(tǒng)的威脅模型和風(fēng)險(xiǎn)評(píng)估框架。從車載終端的網(wǎng)絡(luò)架構(gòu)和外部威脅面著手，分析攻擊者入侵車載終端系統(tǒng)的主要路徑；評(píng)估每一個(gè)攻擊路徑可能存在的威脅，將車載終端面臨的威脅抽象出五種攻擊模型；根據(jù)提出的威脅模型，綜合考慮威脅和風(fēng)險(xiǎn)，評(píng)估每個(gè)攻擊面實(shí)際可能造成的影響；最后進(jìn)行針對(duì)車載終端系統(tǒng)蜂窩網(wǎng)絡(luò)接口和診斷端口的攻擊和測(cè)試實(shí)驗(yàn)，利用威脅模型和風(fēng)險(xiǎn)評(píng)估框架有效地評(píng)估其安全風(fēng)險(xiǎn)。

1 車載終端

車載終端是網(wǎng)聯(lián)汽車上嵌入式系統(tǒng)的統(tǒng)稱，包括遠(yuǎn)程信息處理單元（Telematics）、車載信息娛樂(lè)系統(tǒng)（In-Vehicle Info- tainment，IVI）和車載故障診斷終端（On Board Diagnostics，OBD）等。車載終端的融合和發(fā)展，使現(xiàn)代汽車變得智能化、網(wǎng)聯(lián)化。

圖1 網(wǎng)聯(lián)汽車車載終端的外部網(wǎng)絡(luò)拓?fù)?/p>

遠(yuǎn)程信息處理單元是提供遠(yuǎn)程服務(wù)和汽車定位的類UNIX環(huán)境ECU（Electronic Control Unit），將分布式車內(nèi)網(wǎng)絡(luò)連接到遠(yuǎn)程信息處理接口，實(shí)現(xiàn)對(duì)汽車遠(yuǎn)程訪問(wèn)和控制，車載信息娛樂(lè)系統(tǒng)起源于汽車多媒體服務(wù)，不斷地發(fā)展并與遠(yuǎn)程信息處理單元融合，成為集導(dǎo)航、車輛監(jiān)控、車身控制、遠(yuǎn)程通訊等各種服務(wù)于一體的車載綜合信息處理終端，極大地提升的車輛電子化、網(wǎng)絡(luò)化和智能化水平，如福特SYNC系統(tǒng)，克萊斯勒Uconnect系統(tǒng)等。

在網(wǎng)聯(lián)汽車的強(qiáng)烈需求驅(qū)動(dòng)下，車載終端系統(tǒng)變得越來(lái)越復(fù)雜，提供有大量的有線和無(wú)線接口，圖1為網(wǎng)聯(lián)汽車車載終端的典型網(wǎng)絡(luò)拓?fù)洹?/p>

2 威脅模型

2.1 外部威脅面

經(jīng)歸納分析，根據(jù)攻擊者入侵車載終端的路徑差異可大致將車載終端的外部威脅面分為三類：物理接口、短程無(wú)線接口和遠(yuǎn)程無(wú)線接口。

（1）物理接口

攻擊者直接接觸車載終端建立物理連接，如OBD-II、USB接口等。OBD-II口一般位于車輛離合踏板和方向盤之間的隱蔽位置，是汽車比較重要的一類物理接口。通過(guò)OBD-II可以直接或間接訪問(wèn)汽車車載內(nèi)部網(wǎng)絡(luò)，攻擊者只需短暫的接觸車輛將惡意組件隱蔽地附著在OBD接口，即可輕易地入侵到汽車內(nèi)部網(wǎng)絡(luò)。暴露的OBD接口是攻擊者入侵車載系統(tǒng)的有效載體。

（2）近程無(wú)線接口

攻擊者在汽車附近或一定范圍內(nèi)，通過(guò)短距離通信與車輛建立網(wǎng)絡(luò)連接入侵汽車終端，如藍(lán)牙、WiFi等。藍(lán)牙是車載信息娛樂(lè)終端中支持免提呼叫的標(biāo)準(zhǔn)協(xié)議，攻擊者能夠利用藍(lán)牙接口漏洞在車載終端系統(tǒng)上執(zhí)行惡意代碼，獲取系統(tǒng)權(quán)限進(jìn)而控制終端系統(tǒng)部分功能[7]。藍(lán)牙協(xié)議和底層數(shù)據(jù)的復(fù)雜性使其成為車載終端上威脅較大的攻擊路徑之一。網(wǎng)聯(lián)汽車的Wi-Fi同樣存在巨大安全隱患，攻擊者容易侵入 Wi-Fi 局域網(wǎng)執(zhí)行惡意操作[10]，包括在IVI系統(tǒng)植入惡意軟件遠(yuǎn)程訪問(wèn)車內(nèi)網(wǎng)絡(luò)、劫持監(jiān)控汽車網(wǎng)絡(luò)流量等。

（3）遠(yuǎn)程無(wú)線接口

攻擊者可以在任意角落通過(guò)遠(yuǎn)程通信協(xié)議與車輛交互，實(shí)施入侵，如衛(wèi)星導(dǎo)航、蜂窩網(wǎng)絡(luò)、互聯(lián)網(wǎng)服務(wù)等。車載終端導(dǎo)航系統(tǒng)依靠GPS和北斗衛(wèi)星信號(hào)進(jìn)行汽車導(dǎo)航和定位，為汽車提供正確的行駛路線。攻擊者容易利用偽造信號(hào)騙過(guò)車載終端導(dǎo)航系統(tǒng)，威脅汽車行駛安全。

網(wǎng)聯(lián)汽車遠(yuǎn)程通信終端通過(guò)蜂窩網(wǎng)絡(luò)與云端平臺(tái)通信，提供車輛狀態(tài)監(jiān)控、汽車輔助駕駛等功能，并能為汽車車載信息娛樂(lè)服務(wù)提供持續(xù)的移動(dòng)網(wǎng)絡(luò)連接，蜂窩網(wǎng)絡(luò)解決了網(wǎng)聯(lián)汽車遠(yuǎn)程通信的難題，但也存在安全隱患，由于蜂窩網(wǎng)絡(luò)基礎(chǔ)設(shè)施的廣泛覆蓋，攻擊者可以在任意距離以匿名的方式訪問(wèn)和控制車輛。

2.2 攻擊模型

攻擊者主要通過(guò)外部威脅面入侵車載終端系統(tǒng)進(jìn)而實(shí)施攻擊和破壞。綜合來(lái)看，攻擊者實(shí)施的攻擊可以抽象為五種基本的攻擊模型：（1）竊聽攻擊。攻擊者在車載終端外部接口以監(jiān)聽抓包等方式手段獲取通信數(shù)據(jù)，初步地會(huì)造成車載終端系統(tǒng)以及汽車的隱私數(shù)據(jù)泄露。竊聽攻擊是攻擊者實(shí)施入侵的第一步，車載終端中可被竊聽攻擊的通信路徑有Telematics終端與云端平臺(tái)的蜂窩通信、IVI終端與移動(dòng)設(shè)備的藍(lán)牙和WiFi通信、OBD終端與汽車車內(nèi)網(wǎng)絡(luò)通信等。（2）偽造攻擊。攻擊者偽造虛假數(shù)據(jù)注入到車載終端系統(tǒng)的通信端口，對(duì)其操作系統(tǒng)、應(yīng)用及車內(nèi)ECU執(zhí)行操作。車載終端系統(tǒng)中可被偽造的通信路徑有：車載導(dǎo)航終端與定位衛(wèi)星的通信；IVI終端與移動(dòng)設(shè)備的藍(lán)牙和WiFi通信；Telematics終端與云端平臺(tái)的蜂窩通信。（3）中間人攻擊。中間人攻擊是一種對(duì)通信鏈路的間接攻擊方式，將攻擊者置于通信鏈中，竊聽、偽造以及篡改通信數(shù)據(jù)。如在車載終端與云端通信過(guò)程中，攻擊者以中間人身份與通信雙方建立連接，通過(guò)篡改云端下發(fā)的控制指令和汽車回送的狀態(tài)信息，影響汽車的正常運(yùn)行和行駛。（4）非授權(quán)訪問(wèn)。攻擊者試圖利用漏洞在沒(méi)有授權(quán)的情況下獲取被保護(hù)數(shù)據(jù)或資源的訪問(wèn)權(quán)限。攻擊者可以通過(guò)繞過(guò)身份認(rèn)證和植入惡意軟件等方式實(shí)現(xiàn)非授權(quán)訪問(wèn)，典型的攻擊場(chǎng)景如攻擊者試圖利用漏洞和旁路訪問(wèn)實(shí)現(xiàn)權(quán)限提升，利用未關(guān)閉的端口試圖進(jìn)行非授權(quán)訪問(wèn)。（5）拒絕服務(wù)攻擊。攻擊者向車載終端發(fā)送高頻率的服務(wù)器請(qǐng)求，服務(wù)器資源因請(qǐng)求超載而癱瘓，導(dǎo)致車載終端無(wú)法提供服務(wù).同樣地，攻擊者可以通過(guò)車載OBD終端向總線網(wǎng)絡(luò)發(fā)送大量偽造的數(shù)據(jù)包占領(lǐng)總線資源，從而導(dǎo)致車內(nèi)總線上ECU設(shè)備拒絕服務(wù)。

在具體分析后，得出網(wǎng)聯(lián)汽車車載終端的外部威脅面與可實(shí)施的攻擊模型間映射關(guān)系如表1所示，每一個(gè)外部接口可能面臨著多種攻擊模型的威脅。

表1 車載終端威脅面分析

接口類型外部威脅面被攻擊終端威脅分析 物理接口OBD-IIOBDa,b,e USBIVIa,d 短程無(wú)線接口藍(lán)牙IVIa,b,c,d WiFiIVIa,b,c,d 遠(yuǎn)程無(wú)線接口GPS/北斗Telematicsb 蜂窩網(wǎng)絡(luò)Telematics/IVIa,b,c,d,e

3 風(fēng)險(xiǎn)評(píng)估

3.1 威脅等級(jí)

威脅等級(jí)（Threat Level，TL）表征某種特定威脅發(fā)生的“可能性”。綜合考慮，我們從四個(gè)方面來(lái)評(píng)估車載終端的威脅等級(jí)：攻擊者能力（e）、信息來(lái)源（i）、攻擊方式（d）和攻擊設(shè)備（t）。其中，攻擊能力是指對(duì)發(fā)動(dòng)攻擊者的技能的綜合考量；信息來(lái)源是指發(fā)動(dòng)攻擊者獲取信息的難易程度；攻擊方式是指發(fā)動(dòng)攻擊時(shí)的攻擊途徑；攻擊設(shè)備是指發(fā)動(dòng)攻擊時(shí)對(duì)專業(yè)設(shè)備、工具和軟件的需求。每個(gè)參數(shù)都有三個(gè)帶有關(guān)聯(lián)值的級(jí)別，如表2所示。

表2 威脅等級(jí)評(píng)分表

評(píng)估參數(shù)分值 210 攻擊能力(e)業(yè)余人員一般攻擊者專業(yè)攻擊團(tuán)隊(duì) 信息來(lái)源(i)公開汽車制造商開發(fā)者文檔 攻擊方式(d)遠(yuǎn)程無(wú)線近程無(wú)線物理接觸 攻擊工具(t)無(wú)需工具一般設(shè)備或軟件專業(yè)設(shè)備軟件

簡(jiǎn)單地以四個(gè)參數(shù)值的線性累加作為威脅等級(jí)分值，即：Sthreat=e+i+d+t.評(píng)估者可以根據(jù)對(duì)各項(xiàng)參數(shù)的重視程度相應(yīng)改變各項(xiàng)權(quán)重，此處我們考慮四項(xiàng)參數(shù)指標(biāo)權(quán)重相同. 參數(shù)值越高，表征威脅發(fā)生的可能性越大，依據(jù)威脅參數(shù)值分為低、中、高和嚴(yán)重四個(gè)威脅等級(jí).具體對(duì)應(yīng)關(guān)系如下：

Sthreat∈[0,1]，為低威脅等級(jí)；

Sthreat∈[2,3]，為中威脅等級(jí)；

Sthreat∈[4,6]，為高威脅等級(jí)；

Sthreat∈[7,8]，為嚴(yán)重威脅等級(jí)。

如針對(duì)某一攻擊事件：攻擊者是專業(yè)攻擊者團(tuán)隊(duì)，所利用的信息為公開信息，攻擊方式需近程無(wú)線訪問(wèn)，攻擊工具為專業(yè)設(shè)備軟件，則該事件Sthreat=0+2+1+0=3，屬于中威脅等級(jí)。

與通用標(biāo)準(zhǔn)中的威脅等級(jí)計(jì)算相比，我們不將執(zhí)行特定攻擊所需的運(yùn)行時(shí)間視為單獨(dú)的參數(shù)，因?yàn)樗梢詮钠渌麉?shù)派生出來(lái)。例如，根據(jù)攻擊者的技能級(jí)別和安裝攻擊所需設(shè)備的可用性，所用的時(shí)間可能會(huì)有很大差異。同時(shí)威脅級(jí)別參數(shù)本質(zhì)上是高度動(dòng)態(tài)的，會(huì)隨著時(shí)間和技術(shù)進(jìn)步而變化。

3.2 影響等級(jí)

影響等級(jí)（Impact Level，IL）表征風(fēng)險(xiǎn)的“影響”程度，主要是指攻擊發(fā)生后對(duì)車輛、乘客以及其他相關(guān)方的安全影響。借鑒ISO 26262-3中HARA的相關(guān)評(píng)估參數(shù)，將攻擊事件產(chǎn)生的影響由安全（s）、資產(chǎn)（f）、隱私性（p）、和功能性（o）四項(xiàng)指標(biāo)進(jìn)行評(píng)估。其中安全參數(shù)表征對(duì)駕駛員和乘車人員的人身安全影響；資產(chǎn)參數(shù)表征對(duì)汽車公司、車主等利益相關(guān)者造成的經(jīng)濟(jì)損失；隱私參數(shù)是指發(fā)動(dòng)攻擊時(shí)后造成汽車和車主隱私數(shù)據(jù)泄露的損失；功能性性是發(fā)動(dòng)攻擊后對(duì)車輛功能方面造成的損失。

與威脅等級(jí)評(píng)估不同的是，影響等級(jí)參數(shù)應(yīng)該有不同的權(quán)重。相比于隱私和操作性，安全和資產(chǎn)的影響明顯會(huì)給利益相關(guān)者帶來(lái)更嚴(yán)重的后果。考慮增加安全和資產(chǎn)方面的權(quán)重，影響等級(jí)參數(shù)可由公式計(jì)算：SImpact=10*(s+f)+(p+o).利用表3得到影響參數(shù)總和SImpact：

SImpact∈[0,19]為低影響等級(jí)；

SImpact∈[20,99]為中影響等級(jí)；

SImpact∈[100,999]為高影響等級(jí)；

SImpact∈[1000,2200]為嚴(yán)重影響等級(jí)。

表3 影響等級(jí)評(píng)分表

評(píng)估參數(shù)分值 1001010 安全（s）嚴(yán)重傷害中度損傷輕微損傷無(wú)影響 資產(chǎn)（f）嚴(yán)重?fù)p失較大損失輕微損失無(wú)損失 隱私（p）嚴(yán)重泄露有限泄露輕微泄露無(wú)泄露 操作（o）功能喪失中度損壞輕微損壞無(wú)損壞

3.3 風(fēng)險(xiǎn)評(píng)估

通過(guò)威脅等級(jí)和影響等級(jí)兩個(gè)維度可以共同確定車載終端外部威脅面的安全風(fēng)險(xiǎn)等級(jí)，如表4所示。

表4 安全等級(jí)風(fēng)險(xiǎn)評(píng)估表

威脅等級(jí)（TL）風(fēng)險(xiǎn)等級(jí)（IL） 低中高嚴(yán)重 低低低低中 中低中中高 高低中高嚴(yán)重 嚴(yán)重中高嚴(yán)重嚴(yán)重

4 實(shí)驗(yàn)研究

我們?cè)跂|風(fēng)某款網(wǎng)聯(lián)汽車上進(jìn)行了相關(guān)攻擊研究，并利用該威脅模型和風(fēng)險(xiǎn)評(píng)估框架有效評(píng)估了相關(guān)接口的安全風(fēng)險(xiǎn)。

4.1 蜂窩通信接口風(fēng)險(xiǎn)評(píng)估—低風(fēng)險(xiǎn)

針對(duì)車載Telematics終端上的蜂窩通信接口，通過(guò)搭建OAI蜂窩網(wǎng)絡(luò)接入和測(cè)試平臺(tái)進(jìn)行入侵攻擊。平臺(tái)利用開源SDR LTE項(xiàng)目，實(shí)現(xiàn)了LTE協(xié)議的核心網(wǎng)（EPC），基站（eNB）和用戶（UE）三個(gè)部分的模擬。我們的測(cè)試平臺(tái)由主機(jī)（Ubuntu16.04系統(tǒng)）、無(wú)線電收發(fā)設(shè)備（USRP B210）、屏蔽箱等主要部分組成。通過(guò)3G和4G蜂窩網(wǎng)絡(luò)通信方式與車載終端建立網(wǎng)絡(luò)連接和傳輸通道，在測(cè)試主機(jī)上運(yùn)行測(cè)試用例庫(kù)入侵車載終端系統(tǒng)。

根據(jù)第二節(jié)提出的威脅模型，針對(duì)車載終端蜂窩網(wǎng)絡(luò)通信鏈路的攻擊模型包括：竊聽攻擊、偽造攻擊、中間人攻擊、權(quán)限提升和拒絕服務(wù)攻擊。我們的測(cè)試主機(jī)中的用例庫(kù)主要包括端口掃描、數(shù)據(jù)抓包解析、權(quán)限提升、拒絕服務(wù)攻擊.端口掃描是向待測(cè)設(shè)備發(fā)送端口掃描指令，了解其提供的網(wǎng)絡(luò)服務(wù)類型和端口，是入侵系統(tǒng)的第一步；數(shù)據(jù)抓包解析是確定通信數(shù)據(jù)能否被偽造和篡改，以及能否實(shí)施中間人攻擊；權(quán)限提升是指利用弱口令等相關(guān)漏洞繞過(guò)安全認(rèn)證獲得更高的權(quán)限；拒絕服務(wù)類攻擊是偽造大量網(wǎng)絡(luò)請(qǐng)求，耗盡網(wǎng)絡(luò)帶寬、系統(tǒng)進(jìn)程等資源，導(dǎo)致系統(tǒng)無(wú)法響應(yīng)其他請(qǐng)求，如SYN泛洪攻擊等，這些攻擊測(cè)試實(shí)例，涵蓋五類攻擊模型。

圖2 OAI蜂窩網(wǎng)絡(luò)接入和測(cè)試平臺(tái)

在對(duì)車載終端Telematics進(jìn)行端口和服務(wù)掃描后發(fā)現(xiàn)沒(méi)有開啟的相關(guān)端口和服務(wù)，可能是防火墻阻隔了外界網(wǎng)絡(luò)的惡意入侵。在測(cè)試主機(jī)上通過(guò)wireshark監(jiān)聽抓包車載終端與云端通信數(shù)據(jù)，發(fā)現(xiàn)車載終端與云端通信的關(guān)鍵業(yè)務(wù)采用TLS通信協(xié)議，通信采用了雙向證書校驗(yàn)機(jī)制：在Certificate階段服務(wù)端下發(fā)證書，客戶端驗(yàn)證服務(wù)端的身份，并且取出證書攜帶的公鑰，在Certificate Client Key Exchange階段客戶端通過(guò)之前客戶端和服務(wù)端生成的隨機(jī)數(shù)生成新隨機(jī)數(shù)，使用協(xié)商的 EC Diffie-Hellman 算法進(jìn)行加密傳輸給服務(wù)端，服務(wù)器端使用自己的私鑰解開這個(gè)隨機(jī)數(shù)驗(yàn)證客戶端身份，完成雙向認(rèn)證過(guò)程.因此車載終端與云端通信鏈路數(shù)據(jù)難以被偽造和篡改，無(wú)法實(shí)施中間人攻擊。

對(duì)蜂窩網(wǎng)絡(luò)通信鏈路進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，根據(jù)實(shí)際攻擊實(shí)例為此威脅選擇相關(guān)的威脅級(jí)別和影響級(jí)別參數(shù)，得到相應(yīng)的風(fēng)險(xiǎn)級(jí)別。威脅等級(jí)參數(shù)如下：

→攻擊者需要了解蜂窩通信協(xié)議及其基本架構(gòu)，故需要攻擊能力參數(shù)“2”；

→攻擊者需要通過(guò)互聯(lián)網(wǎng)獲得相關(guān)必要信息，故信息來(lái)源參數(shù)為“2”；

→攻擊者可以通過(guò)遠(yuǎn)程線的方式發(fā)動(dòng)攻擊，故攻擊方式參數(shù)為“2”；

→攻擊者需要使用多種專業(yè)的攻擊設(shè)備和工具，故攻擊工具為“0”；

通過(guò)威脅等級(jí)計(jì)算方式得到威脅等級(jí)參數(shù)和為“6”，為高威脅等級(jí)。同樣地，我們可以得到風(fēng)險(xiǎn)等級(jí)參數(shù)如下：

→無(wú)安全影響，外界網(wǎng)絡(luò)無(wú)法入侵車載終端系統(tǒng)，不會(huì)引發(fā)相關(guān)安全問(wèn)題；

→無(wú)資產(chǎn)影響，車主和汽車廠商無(wú)相關(guān)資產(chǎn)損失；

→無(wú)操作性影響，車載終端設(shè)備功能性沒(méi)有受到影響；

→輕微隱私影響，車載終端與云端通信數(shù)據(jù)有泄露和被破解的風(fēng)險(xiǎn)；

→通過(guò)影響等級(jí)計(jì)算方得到影響等級(jí)參數(shù)和為“1”，為低影響等級(jí)，最終可以通過(guò)表4確定該車型車載終端蜂窩網(wǎng)絡(luò)接口的安全風(fēng)險(xiǎn)等級(jí)為低。

4.2 OBD端口風(fēng)險(xiǎn)評(píng)估—高風(fēng)險(xiǎn)

實(shí)驗(yàn)中通過(guò)OBD-II端口，可以入侵到網(wǎng)聯(lián)汽車車載網(wǎng)絡(luò)，實(shí)現(xiàn)了對(duì)汽車指令和信號(hào)的破解以及汽車狀態(tài)控制。實(shí)驗(yàn)中的OBD-II端口入侵攻擊設(shè)備如圖所示，根據(jù)攻擊模型可實(shí)施竊聽、偽造及拒絕服務(wù)攻擊。

圖3 OBD端口入侵攻擊工具

（1）竊聽攻擊。將設(shè)備連接到汽車OBD端口后，在汽車上執(zhí)行相關(guān)操作同時(shí)竊聽CAN總線上的數(shù)據(jù)，根據(jù)總線上消息幀頻率差異可以逆向分析獲得汽車控制指令。進(jìn)一步地，通過(guò)分析數(shù)據(jù)位的變化差異，可以找出控制汽車某項(xiàng)功能的具體指令。在該東風(fēng)汽車上獲得的指令如表所示：

表5 汽車部分控制指令

數(shù)據(jù)幀ID功能控制數(shù)據(jù)幀（標(biāo)黑部分為有效控制位） 0x235中控鎖控制單元0x00 00 00 00 00 00 00 00//打開車門中控鎖 0x265轉(zhuǎn)向燈控制單元0x20 00 00 00 00 00 00 00//左轉(zhuǎn)向燈0x40 00 00 00 00 00 00 00//右轉(zhuǎn)向燈 0x285空調(diào)控制單元暫未確定有效控制位 0x201儀表盤控制單元0xff ff 00 00 ff ff 00 00//儀表盤顯示車速和發(fā)動(dòng)機(jī)轉(zhuǎn)速控制位 0x225車窗控制單元0x00 00 ff ff 00 00 00 00//四扇車窗升降控制位

（2）偽造攻擊。在獲得這些汽車控制指令后，可以輕松從OBD-II端口偽造數(shù)據(jù)控制汽車，儀表盤時(shí)速轉(zhuǎn)速會(huì)顯示異常，照明、轉(zhuǎn)向燈系統(tǒng)不受控制地亮起，影響汽車安全性，可以通過(guò)幀ID為 0x235、0x225的相關(guān)指令打開汽車中控鎖和窗戶，造成嚴(yán)重安全危害和財(cái)產(chǎn)損失。

表6 OBD終端攻擊風(fēng)險(xiǎn)評(píng)估

威脅參數(shù)風(fēng)險(xiǎn)參數(shù) 攻擊能力2安全100 信息來(lái)源2資產(chǎn)100 攻擊方式0隱私100 攻擊工具1操作性10 威脅等級(jí)高(5)影響等級(jí)嚴(yán)重(2110) 風(fēng)險(xiǎn)等級(jí)嚴(yán)重

（3）拒絕服務(wù)攻擊。車內(nèi)CAN總線采用優(yōu)先級(jí)策略進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，數(shù)據(jù)幀ID 越低傳輸?shù)膬?yōu)先級(jí)就越高。實(shí)驗(yàn)通過(guò)向CAN總線連續(xù)發(fā)送幀ID為 0x0000 等低值的數(shù)據(jù)分組，沒(méi)有發(fā)現(xiàn)總線拒絕服務(wù)的癱瘓情況，其他 ECU 依舊能正常接收和發(fā)送消息，說(shuō)明該款汽車有相應(yīng)的屏蔽處理機(jī)制抵御DOS攻擊。

相似地，用第三節(jié)的框架對(duì)OBD終端接口進(jìn)行了安全風(fēng)險(xiǎn)評(píng)估，結(jié)果如表6所示。該款網(wǎng)聯(lián)汽車的OBD終端接口存在嚴(yán)重的安全隱患。

5 結(jié)語(yǔ)

本文系統(tǒng)分析了網(wǎng)聯(lián)汽車車載終端的外部威脅面，提出針對(duì)車載終端系統(tǒng)的外部威脅模型和風(fēng)險(xiǎn)評(píng)估框架.本文實(shí)驗(yàn)集中在一款具有代表性的東風(fēng)網(wǎng)聯(lián)汽車上，通過(guò)具體的研究案例闡述了車載終端系統(tǒng)存在的外部信息安全威脅，并用相應(yīng)方法評(píng)估了風(fēng)險(xiǎn)說(shuō)明了該框架的適用性；理論和實(shí)驗(yàn)研究為網(wǎng)聯(lián)汽車車載終端系統(tǒng)的威脅分析和風(fēng)險(xiǎn)評(píng)估提供了新的依據(jù)。希望以此推動(dòng)汽車廠商加強(qiáng)車載終端系統(tǒng)的信息安全防護(hù)，提升網(wǎng)聯(lián)汽車的整體安全性，促進(jìn)汽車產(chǎn)業(yè)提升信息安全能力。

[1] MILLER C,VALASEK C.Remote exploitation of an unaltered pas- senger vehicle[C]//DEFCON, 2015: 1-91.

[2] NIE S, LIU L, DU Y. How we remotely compromised the gateway, BCM,and autopilot ECUs of tesla cars[C]//2017 Black Hat.2017.

[3] ZENG K C,LIU S,SHU Y.All your GPS are belong to us: towards stealthy manipulation of road navigation systems[C]//27th USENIX Security Symposium. 2018: 1527-1544.

[4] XUN Y J, LIU J J, NING J, et al. An experimental study towards the in-vehicle network of intelligent and connected vehicles[C]//2018 IEEE Global Communications Conference. IEEE, 2018.

[5] HUANG J, ZHAO M, ZHOU Y, et al. In-vehicle networking: Proto- cols,challenges, and solutions[J].IEEE Network,2018,33(1):92-98.

[6] MILLER C,VALASEK C. Adventures in automotive networks and control units[J]. Black Hat USA, 2013, 21: 260-264.

[7] CHECKOWAT S, MCCOY D, KANTOR B, et al. Comprehensive experimental analyses of automotive attack surfaces.[C]//USENIX Security Symposium. 2011,4:447-462.

[8] Koscher K,Czeskis A,Roesner F,et al.Experimental Security Analysis of a Modern Automobile. IEEE Symposium on Security and Privacy. IEEE Computer Society, 2010.

[9] Islam M,Lautenbach A,Sandberg C,et al.A risk assessment frame- work for automotive embedded systems[C]//In Proceedings of the 2nd ACM International Workshop on Cyber-Physical System Secu- rity,2016:3-14.

[10] NIE S,LIU L,DU Y.Free-fall: hacking Tesla from wireless to can bus[C]//2017 Black Hat. 2017:1-16.

Threat Model and Risk Assessment of Connected Vehicle Terminal

ZHANG Xiong1, ZHANG Haichun2, LIU Zhenglin2

( 1.China-EU School of Clean and Renewable Energy, Huazhong University of Science and Technology, Hubei Wuhan 430074; 2.School of Optics and Electronic Information, Huazhong University of Science and Technology, Hubei Wuhan 430074 )

The connectivity between the vehicle terminal system and the external network has introduced a lot of information security risks. This paper systematically analyzes the external threat surface of terminals, abstracts five basic external attack vectors, and established the threat model of vehicle terminal system. At the same time, considering the problem of attacker's "utility" and the actual possible harm, a corresponding framework of threat analysis and risk assessment is proposed. After carrying out relevant attacks and test experiments on a representative connected vehicle, it is found that there are some attack surfaces that can be used in the terminals, and we used the framework to effectively carry out the security risk assessment.

Internet of Vehicles;Vehicle terminal;Threat model;Risk assessment

U461

A

1671-7988(2021)20-26-05

U461

A

1671-7988(2021)20-26-05

10.16638/j.cnki.1671-7988.2021.020.007

張雄（1997—），男，就讀于華中科技大學(xué)中歐清潔與可再生能源學(xué)院新能源科學(xué)與工程專業(yè)，研究方向?yàn)樾履茉雌?，車?lián)網(wǎng)安全等。

劉政林（1969—），男，博士研究生，教授，就職于華中科技大學(xué)光學(xué)與電子信息學(xué)院。

國(guó)家重點(diǎn)研發(fā)計(jì)劃資助項(xiàng)目（2019YFB1310001）。