胡津銘 顧欣 陸臻

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車，個人信息，關(guān)鍵零部件，信息安全

0 引言

近年來，隨著傳統(tǒng)制造業(yè)向智能制造轉(zhuǎn)型升級的趨勢日益明顯，汽車產(chǎn)業(yè)作為國民經(jīng)濟(jì)的支柱，已成為中國制造業(yè)轉(zhuǎn)型升級的重要領(lǐng)域。相對于傳統(tǒng)汽車，智能網(wǎng)聯(lián)汽車優(yōu)勢明顯，智能網(wǎng)聯(lián)汽車配備了先進(jìn)的傳感器、控制器和執(zhí)行器等設(shè)備，除了具有復(fù)雜的環(huán)境感知、智能決策和協(xié)同控制功能外，還可以實(shí)現(xiàn)汽車與汽車、汽車與道路之間的信息智能交換和共享，實(shí)現(xiàn)“安全、高效、舒適、高效、安全”的目標(biāo)[1]。

從技術(shù)角度來看，智能網(wǎng)聯(lián)汽車是集前端環(huán)境感知、規(guī)劃決策、自動駕駛、數(shù)據(jù)集中處理等多功能于一體的綜合產(chǎn)品，集中運(yùn)用了計(jì)算機(jī)、現(xiàn)代傳感、信息融合、網(wǎng)絡(luò)通訊、自動控制等技術(shù)。此外，伴隨移動通信技術(shù)的發(fā)展，車輛具有了與外部環(huán)境交互的功能，車輛也不再被視為一個封閉的框架[2-3]。這些改變雖然給智能網(wǎng)聯(lián)汽車帶來了更多的功能和更舒適的駕駛體驗(yàn)，但也暴露出了更多可能被攻擊者利用的信息安全風(fēng)險面，使得智能網(wǎng)聯(lián)汽車成為攻擊者的目標(biāo)。由于智能網(wǎng)聯(lián)汽車收集了大量的用戶和環(huán)境數(shù)據(jù)，一旦遭到惡意的網(wǎng)絡(luò)攻擊，不僅會導(dǎo)致數(shù)據(jù)泄露或車輛系統(tǒng)服務(wù)中斷，還可能導(dǎo)致用戶生命財(cái)產(chǎn)損失。

為了保障智能網(wǎng)聯(lián)汽車的信息安全，在政策標(biāo)準(zhǔn)上，國內(nèi)外積極建立智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)法規(guī)體系。歐盟法規(guī)UN R1555《信息安全與信息安全管理系統(tǒng)》和UN R156《軟件升級與軟件升級管理系統(tǒng)》，對智能網(wǎng)聯(lián)汽車在信息安全上進(jìn)行了認(rèn)證規(guī)定，不滿足要求則不能銷售。我國智能運(yùn)輸系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC 268）也已完成智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系構(gòu)建，將開展涵蓋整車、系統(tǒng)部件等技術(shù)的15項(xiàng)標(biāo)準(zhǔn)制定和研究項(xiàng)目。在測試方法上，華鋒等[4]提出了一種汽車整車網(wǎng)絡(luò)安全測試框架，該框架給出了智能網(wǎng)聯(lián)汽車整車的測試思路和建議。Phu等[5]對包括智能網(wǎng)聯(lián)汽車在內(nèi)的物理網(wǎng)絡(luò)系統(tǒng)領(lǐng)域中的網(wǎng)絡(luò)安全測試方法進(jìn)行了總結(jié)，指出了基于模型的網(wǎng)絡(luò)安全測試方法的趨勢，但是上述兩文獻(xiàn)并未提出具體的測試方法。

綜上所述，為了研究切實(shí)可行的智能網(wǎng)聯(lián)汽車的信息安全測試方案，本文將首先對智能網(wǎng)聯(lián)汽車所面臨的安全威脅層面進(jìn)行分析和總結(jié)，進(jìn)而基于智能網(wǎng)聯(lián)汽車信息安全檢測的問題，提出切實(shí)可行的智能網(wǎng)聯(lián)汽車信息安全測試方案，促進(jìn)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康有序發(fā)展。

1 智能網(wǎng)聯(lián)汽車安全威脅分析

當(dāng)前，智能網(wǎng)聯(lián)汽車已經(jīng)與網(wǎng)絡(luò)和通信技術(shù)深度融合，具有了環(huán)境感知、智能決策和協(xié)作控制等功能。因此，智能網(wǎng)聯(lián)汽車暴露出的可攻擊面相比于傳統(tǒng)汽車更多。分析智能網(wǎng)聯(lián)汽車的信息安全風(fēng)險可以從兩個方面進(jìn)行：首先是技術(shù)層面，攻擊者通過了解目標(biāo)車輛，開發(fā)出可以惡意控制目標(biāo)車輛的工具；其次是可操作性層面，攻擊者在發(fā)起攻擊時克服條件限制，例如通過攻擊OBD接口物理進(jìn)入汽車等?？傮w而言，智能網(wǎng)聯(lián)汽車主要包括以下層面的信息安全隱患。

1.1 間接物理攻擊

間接物理攻擊是針對智能網(wǎng)聯(lián)汽車眾多攻擊中最普遍的攻擊方式，例如OBD接口作為汽車上最重要的一個物理接口，可以通過該接口讀取汽車的運(yùn)行狀態(tài)數(shù)據(jù)等[6]，攻擊者可以直接通過OBD接口訪問CAN-Bus進(jìn)而完全控制汽車的物理功能并造成威脅。同時有些車載設(shè)備可通過藍(lán)牙或WiFi技術(shù)與手機(jī)通信，并通過手機(jī)將數(shù)據(jù)上傳服務(wù)器。如果這些鏈路被攻擊者利用，同樣可以對汽車發(fā)起攻擊進(jìn)而控制智能網(wǎng)聯(lián)汽車。

1.2 短距離無線攻擊

比起間接物理攻擊的方式，短距離的無線攻擊應(yīng)該更靈活，威脅更大[7]。短距離無線攻擊方式包括WiFi、藍(lán)牙、無線數(shù)字鑰匙等，對于這些攻擊方法，攻擊者可以利用相應(yīng)的有效設(shè)備在汽車附近收發(fā)數(shù)據(jù)。例如，作為目前智能網(wǎng)聯(lián)汽車標(biāo)配的無線數(shù)字鑰匙，主要通過無線433HZ、125HZ、315HZ 三種頻率，以及基于KeeloQ加密算法的信號實(shí)現(xiàn)遠(yuǎn)程控制和認(rèn)證，攻擊者可以通過對無線數(shù)字鑰匙密鑰的破解，找到密鑰進(jìn)而對車輛造成負(fù)面影響。

1.3 遠(yuǎn)距離無線攻擊

遠(yuǎn)距離攻擊方式主要針對GPS、數(shù)字廣播等公用的通信鏈路，也包括蜂窩網(wǎng)絡(luò)、遠(yuǎn)程控制系統(tǒng)等專用通信鏈路。攻擊者可以在任何地方發(fā)起攻擊，這對汽車而言是最大的威脅。例如女巫攻擊（Sybil）是針對智能網(wǎng)聯(lián)汽車通信的一種典型攻擊方式[8]，通過偽造車輛身份標(biāo)識來創(chuàng)建錯誤的目的地址，使原本合法的車輛標(biāo)識失去了真實(shí)性，從而達(dá)到破壞路由算法機(jī)制、修改數(shù)據(jù)整合結(jié)果的目的。

2 智能網(wǎng)聯(lián)汽車信息安全檢測存在的問題

2.1 檢測因素多，檢測指標(biāo)繁雜

與傳統(tǒng)汽車相比，智能網(wǎng)聯(lián)汽車架構(gòu)設(shè)計(jì)更為復(fù)雜，涉及的通信協(xié)議更多。智能網(wǎng)聯(lián)汽車信息安全檢測所涉及的因素比傳統(tǒng)汽車更加復(fù)雜，包括感知系統(tǒng)、操作系統(tǒng)、通信系統(tǒng)、控制系統(tǒng)等[9]。由于智能網(wǎng)聯(lián)汽車的各個部件和系統(tǒng)都有其獨(dú)特的檢測指標(biāo)和標(biāo)準(zhǔn)，因此，如何確定這些指標(biāo)和標(biāo)準(zhǔn)也是一項(xiàng)難題。

2.2 檢測手段落后，檢測效率低

智能網(wǎng)聯(lián)汽車主要是通過各種傳感器對實(shí)時數(shù)據(jù)進(jìn)行收集，進(jìn)而通過智能分析，協(xié)助駕駛員操作，提高駕駛的安全性和舒適性[10]。然而，由于有些檢測技術(shù)較為落后，缺乏能夠充分滿足智能網(wǎng)聯(lián)汽車信息安全檢測需求全面性的檢測手段和設(shè)備，不僅會導(dǎo)致檢測效率低下，還會增加智能網(wǎng)聯(lián)汽車檢測的難度和成本。

3 安全性測試方案研究及分析

3.1 安全性測試方案

為減少智能網(wǎng)聯(lián)汽車產(chǎn)品存在潛在的信息安全隱患，針對智能網(wǎng)聯(lián)汽車開展信息安全測試工作極其重要。本文根據(jù)前述對智能網(wǎng)聯(lián)汽車信息安全威脅的分析，利用 Nmap、IDA Pro、BurpSuite、Putty、Wireshark等測試工具，結(jié)合滲透測試、API攻擊、協(xié)議破解等方法，形成一套系統(tǒng)的智能網(wǎng)聯(lián)汽車信息安全測試方法，具體測試流程如圖1所示。

主要的測試項(xiàng)如表1所示，表1中為部分主要測試項(xiàng)目，隨著智能網(wǎng)聯(lián)汽車的發(fā)展，后續(xù)會繼續(xù)添加更多的測試項(xiàng)目。

3.2 安全性測試實(shí)例及分析

為了驗(yàn)證所提出智能網(wǎng)聯(lián)汽車信息安全測試方法的可行性，在本節(jié)中，選取某款智能網(wǎng)聯(lián)汽車開展信息安全測試。本次測試中通過搭建測試環(huán)境，使智能網(wǎng)聯(lián)汽車關(guān)鍵零部件設(shè)備正常運(yùn)行并實(shí)現(xiàn)其功能，對設(shè)備運(yùn)行狀態(tài)下的安全進(jìn)行測試，并且通過對固件進(jìn)行代碼分析，開展深度安全測試，對該款智能網(wǎng)聯(lián)汽車的剎車輔助、自動巡航、自動泊車等自動駕駛功能進(jìn)行測試。

結(jié)合GB/T 30279—2013《信息安全技術(shù)安全漏洞等級劃分指南》中訪問路徑、利用復(fù)雜度和影響程度3個方面和GB／T 40861-2021《汽車信息安全通用技術(shù)要求》等技術(shù)標(biāo)準(zhǔn)，選擇了靜態(tài)分析、動態(tài)測試結(jié)合模擬仿真及滲透測試的方法，對系統(tǒng)可能存在的漏洞和安全隱患進(jìn)行檢測，并對系統(tǒng)的代碼規(guī)格、安全標(biāo)準(zhǔn)等進(jìn)行靜態(tài)分析，對輔助駕駛系統(tǒng)的源碼、配置文件進(jìn)行檢查和評價；通過對輔助駕駛系統(tǒng)進(jìn)行各種攻擊模擬的動態(tài)測試，測試系統(tǒng)的抗攻擊能力和穩(wěn)定性，以及對系統(tǒng)的響應(yīng)速度、準(zhǔn)確性、可靠性等進(jìn)行測試和評估；通過模擬黑客攻擊等手段，對系統(tǒng)進(jìn)行安全滲透測試，評估系統(tǒng)的安全性和抵御攻擊的能力；最后，模擬仿真不同的駕駛場景和情況，測試輔助駕駛系統(tǒng)的適應(yīng)性和準(zhǔn)確性，并檢測系統(tǒng)可能存在的漏洞和安全隱患。經(jīng)過檢測，發(fā)現(xiàn)該款智能網(wǎng)聯(lián)汽車通信鏈路層自動泊車數(shù)據(jù)傳輸加密、決策層固件可信根簽名安全和感知層ADAS通信可信根簽名等方面存在安全性問題。

目前智能網(wǎng)聯(lián)汽車的測試主要在智能網(wǎng)聯(lián)試驗(yàn)場或示范區(qū)進(jìn)行，測試場大多采用在傳統(tǒng)試驗(yàn)場，很難復(fù)現(xiàn)智能網(wǎng)聯(lián)汽車實(shí)際運(yùn)行情況，針對智能網(wǎng)聯(lián)汽車的關(guān)鍵零部件測試，主要采用單獨(dú)測試零部件的方式，未考慮數(shù)據(jù)流流轉(zhuǎn)過程中的數(shù)據(jù)安全問題[11]。本文所提智能網(wǎng)聯(lián)汽車信息安全測試方法在綜合考慮了智能網(wǎng)聯(lián)汽車組成結(jié)構(gòu)及關(guān)鍵零部件內(nèi)生關(guān)系、輔助駕駛采集數(shù)據(jù)流動方向及生命周期基礎(chǔ)上，基于信息安全威脅分析，給出了智能網(wǎng)聯(lián)汽車信息安全測試方法，可對智能網(wǎng)聯(lián)汽車車信息安全和個人信息保護(hù)進(jìn)行一體化測試。

4 結(jié)語

智能網(wǎng)聯(lián)汽車信息安全是高效安全交通運(yùn)輸?shù)幕A(chǔ)和保障，也是保障人民群眾生命財(cái)產(chǎn)安全的必要選擇，是當(dāng)前國際汽車業(yè)備受關(guān)注的主題之一。隨著現(xiàn)代汽車已明顯向集成化、智能化和網(wǎng)絡(luò)化三個方向發(fā)展，在國家安全、社會經(jīng)濟(jì)安全方面對汽車信息安全提出了更高的要求。本文通過對智能網(wǎng)聯(lián)汽車架構(gòu)和安全威脅進(jìn)行分析，提出智能網(wǎng)聯(lián)汽車安全性測試項(xiàng)目和測試驗(yàn)證方法，為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)進(jìn)行信息安全檢測提供有效可行的方案，有助于促進(jìn)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康有序發(fā)展。