網(wǎng)絡(luò)信息安全評估部 袁豪杰

　　一、車聯(lián)網(wǎng)簡述
　　由機(jī)械工業(yè)出版社出版、中國汽車工程學(xué)會主編的《節(jié)能與新能源汽車技術(shù)路線圖年度評估報告2018》對智能網(wǎng)聯(lián)汽車做出定義：智能網(wǎng)聯(lián)汽車是指搭載先進(jìn)的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，實現(xiàn)車與X（車、路、人、云端等）智能信息交換、共享，具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等功能，可實現(xiàn)“安全、高效、舒適、節(jié)能”行駛，并最終可實現(xiàn)替代人來操作的新一代汽車。
　　針對車聯(lián)網(wǎng)安全技術(shù)研究，從網(wǎng)絡(luò)體系角度出發(fā)，以國際電信聯(lián)盟ITU-T的物聯(lián)網(wǎng)體系結(jié)構(gòu)參考模型為基礎(chǔ)，車聯(lián)網(wǎng)體系結(jié)構(gòu)自車載終端至遠(yuǎn)端服務(wù)器可劃分為感知層、網(wǎng)絡(luò)層（傳輸層）和應(yīng)用層。
　　車聯(lián)網(wǎng)感知層是指車輛通過傳感器、信息通訊等實時地收發(fā)車輛自身與交通環(huán)境相關(guān)狀況信息。其實時信息交互具體包括車內(nèi)駕駛系統(tǒng)與控制系統(tǒng)信息、車身駕駛環(huán)境信息、車輛位置與速度信息、車輛外部環(huán)境信息、其它車輛、行人、道路信息與整體交通系統(tǒng)信息等。
　　車聯(lián)網(wǎng)網(wǎng)絡(luò)層包括核心網(wǎng)和接入網(wǎng)兩部分，是車輛信息接收與發(fā)射所建立的信息通信網(wǎng)絡(luò)。核心網(wǎng)負(fù)責(zé)從基站到云端服務(wù)器的路由選擇和數(shù)據(jù)傳輸，接入網(wǎng)主要負(fù)責(zé)車與車、車與基站之間的交互通信。傳輸信息從感知層獲取進(jìn)而提供給應(yīng)用層，車聯(lián)網(wǎng)傳輸層需要通過安全可靠的信息傳輸機(jī)制來確保通信安全進(jìn)而確保應(yīng)用安全、車輛安全、交通安全、人身安全。目前主流的車聯(lián)網(wǎng)專用通信協(xié)議分為DSRC與LTE-V兩類。
　　車聯(lián)網(wǎng)應(yīng)用層是車聯(lián)網(wǎng)技術(shù)發(fā)展與創(chuàng)新的驅(qū)動力，應(yīng)用層不僅僅包括車載信息服務(wù)類應(yīng)用，更包括面向所有車輛交通的安全效率類應(yīng)用和以自動駕駛為基礎(chǔ)的協(xié)同服務(wù)類應(yīng)用，依賴于人、車、路、云的全方位連接與信息交互。
　　二、從網(wǎng)絡(luò)體系看車聯(lián)網(wǎng)安全與檢測
　　1.車聯(lián)網(wǎng)感知層安全
　　對感知層的安全而言，安全問題主要集中在由通信、計算、存儲等構(gòu)成的車載終端上。車載智能終端包含兩類重要信息：一是個人信息隱私；二是車輛控制協(xié)議信息，包括遠(yuǎn)程控制命令、身份驗證信息等。受限于使用環(huán)境，車載終端性能較遠(yuǎn)端服務(wù)器差，安全防護(hù)措施不足，可能存在漏洞利用終端接口將惡意程序植入終端，進(jìn)而干擾車載終智能端的信息通信與計算決策。然而目前車載智能終端操作系統(tǒng)的發(fā)布與更新往往是由各個車載終端廠商獨(dú)立完成，缺少規(guī)范的安全監(jiān)管政策和流程，無法對其車載終端的硬件、操作系統(tǒng)和應(yīng)用軟件進(jìn)行必要的安全性測試，因此會降低產(chǎn)品的安全性，使車載智能終端面臨更加嚴(yán)重的安全問題。
　　2.車聯(lián)網(wǎng)網(wǎng)絡(luò)層安全
　　由于網(wǎng)絡(luò)層主要負(fù)責(zé)數(shù)據(jù)傳輸工作，對網(wǎng)絡(luò)層而言，其安全隱患主要集中于數(shù)據(jù)的惡意攔截、獲取、泄露、篡改，通過節(jié)點(diǎn)進(jìn)行攻擊等，具體可表現(xiàn)為
　　? 竊聽與篡改攻擊
　　在車聯(lián)網(wǎng)無線通信環(huán)境中的通信信道往往是開放式的，攻擊者可以通過發(fā)動竊聽攻擊獲取車輛節(jié)點(diǎn)之間傳輸?shù)男畔?，造成用戶隱私信息泄露帶來安全威脅。當(dāng)竊聽攻擊發(fā)生時，攻擊者同樣可對信息進(jìn)行非法篡改進(jìn)而發(fā)送給目標(biāo)用戶，使用戶收到錯誤信息，進(jìn)而影響到車聯(lián)網(wǎng)安全。由于竊聽與篡改攻擊的特性，用戶無法發(fā)覺信息是否遭到竊聽，因此需要對信息傳輸是否加密進(jìn)行檢測，來確保信息傳輸?shù)陌踩浴?br> 　　? 回放攻擊
　　回放攻擊與竊聽、篡改攻擊往往同時發(fā)生，攻擊者通過竊聽截取通信信道內(nèi)傳輸?shù)男畔?，再以同樣的方式將消息重?fù)發(fā)送至車聯(lián)網(wǎng)中的實體，使得接受者以為是合法用戶所發(fā)，混淆了本應(yīng)該接受的交通信息，發(fā)生誤判。因此需要檢測相關(guān)安全協(xié)議是否設(shè)置時間戳或隨機(jī)值以抵御此類攻擊。
　　3.車聯(lián)網(wǎng)應(yīng)用層安全
　　對應(yīng)用層的安全而言，其安全隱患主要集中于應(yīng)用本身的身份認(rèn)證、密鑰管理、數(shù)據(jù)安全、隱私保護(hù)等。具體體現(xiàn)為：
　　? 節(jié)點(diǎn)捕獲攻擊與檢測
　　節(jié)點(diǎn)捕獲攻擊既可以劃分到網(wǎng)絡(luò)層，也可以劃分到應(yīng)用層。節(jié)點(diǎn)攻擊通常指Sybil攻擊或女巫攻擊，該類攻擊是指在車聯(lián)網(wǎng)中單一節(jié)點(diǎn)具有多個身份標(biāo)識，攻擊者利用車聯(lián)網(wǎng)中的少數(shù)節(jié)點(diǎn)控制多個虛假身份，冒充或偽造合法車輛發(fā)送信息至信息網(wǎng)絡(luò)，從而控制或影響網(wǎng)絡(luò)的大量正常節(jié)點(diǎn)。在車聯(lián)網(wǎng)系統(tǒng)中，由于汽車本身節(jié)點(diǎn)具有移動性，從而網(wǎng)絡(luò)被影響范圍隨節(jié)點(diǎn)的移動而擴(kuò)大。
　　對節(jié)點(diǎn)攻擊的主要檢測手段有以下三種：
　　(1) 對節(jié)點(diǎn)進(jìn)行身份驗證。在節(jié)點(diǎn)加入網(wǎng)絡(luò)之前向某認(rèn)證中心進(jìn)行身份認(rèn)證并獲得相應(yīng)通信密鑰，使得每一個節(jié)點(diǎn)都具有合法身份。此外利用匿名技術(shù)可以確保節(jié)點(diǎn)在通信過程中的私密性。Yu H等提出利用算法將汽車所獲得的所有偽名都通過特定的哈希算法對應(yīng)于同一值，從而快速發(fā)現(xiàn)車輛同時使用多個身份的現(xiàn)象。但對于合法身份的節(jié)點(diǎn)仍存在被盜用、共享的安全威脅
　　(2) 對節(jié)點(diǎn)位置進(jìn)行檢測。車聯(lián)網(wǎng)的一個重要特點(diǎn)是每一個節(jié)點(diǎn)都具有移動性，雖然攻擊者具有多個身份，但這些身份都對應(yīng)于同一個物理節(jié)點(diǎn)，從而導(dǎo)致其行為具有高相似性，同理，不同的車輛一般都具有不同的移動軌跡，因此通過對節(jié)點(diǎn)移動行為、移動軌跡相似度的分析可實現(xiàn)對Sybil節(jié)點(diǎn)的有效檢測。
　　(3) 對節(jié)點(diǎn)匹配資源進(jìn)行檢測。通常對于大多數(shù)車輛節(jié)點(diǎn)，其所具備的通信帶寬、計算能力、存儲空間等大致相等。因此，若存在多個節(jié)點(diǎn)所擁有的資源與數(shù)量無法匹配，則可以判定節(jié)點(diǎn)中存在虛假節(jié)點(diǎn)。
　　? 系統(tǒng)內(nèi)部人員攻擊與檢測
　　系統(tǒng)內(nèi)部人員發(fā)動攻擊往往是該人員具有用戶密碼管理權(quán)限，相關(guān)人員如果非法盜用和使用存儲與系統(tǒng)服務(wù)器中的用戶與密碼，就可以發(fā)起對整個網(wǎng)絡(luò)的攻擊，甚至對信息進(jìn)行轉(zhuǎn)賣。因此需要建立安全管理制度，設(shè)置管理員操作權(quán)限對管理員操作行為進(jìn)行檢查。
　　三、從設(shè)備終端看車聯(lián)網(wǎng)安全與檢測
　　1.移動終端安全檢測
　　隨著車聯(lián)網(wǎng)的發(fā)展，參與車聯(lián)網(wǎng)網(wǎng)絡(luò)的共享服務(wù)不僅局限于車內(nèi)單元和外部基礎(chǔ)設(shè)施，用戶所攜帶的智能移動終端也參與其中。這些電子設(shè)備內(nèi)部往往包含用戶的隱私信息，攻擊者常常可以利用設(shè)備內(nèi)部的秘密信息非法訪問資源和服務(wù)，或冒充合法用戶發(fā)送虛假消息至車聯(lián)網(wǎng)中。移動終端的安全檢測主要包括：
　　賬戶安全檢測：檢測密碼是否采用明文進(jìn)行傳輸和存儲、賬戶鎖定策略、注銷機(jī)制等。
　　數(shù)據(jù)通信安全檢測：檢測數(shù)據(jù)是否加密、是否使用安全通信（如HTTPS）、是否驗證數(shù)字證書和數(shù)據(jù)的合法性等。
　　服務(wù)端接口檢測：檢測是否存在SQL注入、XSS跨站腳本攻擊、CSRF跨站請求偽造、越權(quán)訪問等。
　　除此之外還包括安裝包檢測、組件安全檢測、敏感信息檢測等
　　2.網(wǎng)絡(luò)及安全設(shè)備安全檢測
　　網(wǎng)聯(lián)汽車依據(jù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)拓展感知網(wǎng)絡(luò)和應(yīng)用平臺，是互聯(lián)網(wǎng)的延伸，且汽車本身也不再是一個孤立的單元，因此針對智能網(wǎng)聯(lián)汽車的檢測要保證車輛自組網(wǎng)與多種異構(gòu)網(wǎng)絡(luò)之間的通信與漫游，實現(xiàn)V2X的雙向數(shù)據(jù)通信鏈路之間的傳輸安全。
　　針對車聯(lián)網(wǎng)網(wǎng)絡(luò)安全，其主要檢測應(yīng)包含：
　　通信協(xié)議安全檢測：檢測通信協(xié)議一致性與通信互操作性；進(jìn)行通信協(xié)議身份認(rèn)證漏洞檢測、假冒攻擊漏洞檢測、保密數(shù)據(jù)泄露漏洞檢測、新鮮性漏洞檢測、類型攻擊漏洞檢測、攻擊者不道德漏洞檢測等。
　　傳輸保密檢測：檢測通信數(shù)據(jù)是否為加密傳輸，是否確保數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和一致性。
　　網(wǎng)絡(luò)邊界檢測：檢測是否支持連接外部系統(tǒng)，是否在內(nèi)部系統(tǒng)邊界進(jìn)行監(jiān)控、是否部署邊界保護(hù)設(shè)備等
　　設(shè)備識別檢測等：檢測是否對固定設(shè)備進(jìn)行唯一性標(biāo)識和鑒別能力
　　3.服務(wù)器/存儲設(shè)備安全檢測
　　車聯(lián)網(wǎng)服務(wù)器架構(gòu)一般可分為身份認(rèn)證管理平臺、遠(yuǎn)程信息服務(wù)終端（Telematics Box, T-BOX）管理服務(wù)器和應(yīng)用服務(wù)器，身份認(rèn)證管理平臺為整個系統(tǒng)提供身份認(rèn)證方案和基礎(chǔ)服務(wù)，在管理服務(wù)器和應(yīng)用服務(wù)器上部署身份認(rèn)證相關(guān)功能，車輛和智能終端通過無線訪問點(diǎn)，使用移動通訊技術(shù)連接網(wǎng)絡(luò),用戶操作手機(jī)獲取系統(tǒng)服務(wù)。攻擊者常可利用身份認(rèn)證協(xié)議自身的漏洞造成認(rèn)證失效，進(jìn)而破壞整個服務(wù)器架構(gòu)。
　　車聯(lián)網(wǎng)服務(wù)器安全檢測除T-BOX安全檢測外還應(yīng)包含移動終端OS安全檢測，其檢測內(nèi)容部分相同，具體表現(xiàn)為：
　　會話認(rèn)證檢測、身份鑒別檢測、訪問控制檢測、數(shù)據(jù)完整性和保密性檢測、登錄失敗限制檢測、安全審計檢測、日志管理檢測、數(shù)據(jù)備份與恢復(fù)檢測等。
　　針對T-BOX安全檢測還應(yīng)包含：T-BOX服務(wù)接口滲透檢測、T-BOX非法注入檢測、T-BOX非法控制檢測等
　　除此以外，對服務(wù)器系統(tǒng)檢測應(yīng)包含基本功能性檢測，其目的是要實現(xiàn)對服務(wù)器設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用在服務(wù)器上性能的全面監(jiān)控?；竟δ苄詸z測包含功能測試和性能測試兩方面。功能測試從用戶觀點(diǎn)出發(fā)，采用黑盒測試證明系統(tǒng)功能的可操作性和正確性；性能測試則利用自動化工具模擬多種正常、異常、峰值負(fù)載條件來測試系統(tǒng)的各項性能指標(biāo)，針對服務(wù)器端也可采用系統(tǒng)本身的監(jiān)控命令進(jìn)行檢測。
　　四、小結(jié)
　　中國軟件評測中心認(rèn)為智能網(wǎng)聯(lián)汽車處于發(fā)展的初階段，對于車聯(lián)網(wǎng)的安全與檢測技術(shù)研究以及安全標(biāo)準(zhǔn)的建立也處于起步階段，從不同的角度看待車聯(lián)網(wǎng)的安全將有利于推動行業(yè)的發(fā)展與相關(guān)標(biāo)準(zhǔn)的建立。