智能網聯汽車信息安全風險分析及實踐探討

智能網聯汽車是汽車與信息、通訊等產業跨界融合的典型應用，被認爲是全球創新熱點和將來產業發展制高點。隨着汽車智能化、網聯化程度的加深，人們實現了對汽車的更多控制，爲生活帶來了各類便利，但隨之而來的遠程攻擊、惡意控制甚至入網車輛被操控等安全隱患也日益明顯，如何保障智能車輛安全，實現便捷性與安全性之間的矛盾成爲汽車智能化發展的重要環節。

巨大發展潛力下的安全隱患

智能網聯汽車是搭載先進的車載傳感器、控制器、執行器等裝置，並融合現代通訊與網絡技術，實現車與X（人、車、路、雲端等）智能信息交換、共享，具有複雜環境感知、智能決策、協同控制等功能，可實現「安全、高效、溫馨、節能」行駛，並最終可實現替代人來操做的新一代汽車，隨着技術的發展，智能化功能愈來愈豐富。

2018年1月，國家發改委發佈的《智能汽車創新發展戰略》（徵求意見稿）中提出，到2020年，智能汽車新車佔比將達到50%。按照該戰略的規劃，汽車產品將由以往的機械化產品向智能化控制產品轉變；在應用層上，汽車將成爲兼顧辦公、居家、娛樂的智能化移動空間。

智能汽車從規模到應用都極具潛力，但使人擔心的是，車聯網功能的安全性問題也日益凸顯。2015年，兩名白帽黑客遠程入侵了一輛正在路上行駛的切諾基（自由光），並對其作出減速、關閉引擎、忽然制動或者制動失靈等操控，克萊斯勒爲了防止汽車被黑客攻擊，在全球召回了140萬輛車並安裝了相應補丁。2016年，騰訊科恩實驗室宣佈他們以「遠程無物理接觸」的方式成功入侵了特斯拉汽車，從而對車輛的停車狀態和行進狀態進行遠程控制。黑客們實現了不用鑰匙打開了汽車車門，在行駛中忽然打開後備箱、關閉後視鏡及忽然剎車等遠程控制。2017年，一家網絡安全公司稱現代汽車App存在漏洞，黑客可以遠程啓動現代公司的汽車，現代證明了這個漏洞的存在。同年，軟件安全工程師Jay Turla對馬自達汽車展開了一項開源網絡攻擊項目，使得任何人都能利用一個U盤就對馬自達汽車執行惡意軟件代碼。不久前據英國廣播公司報道，國內一家網絡安全實驗室的研究顯示寶馬汽車的電腦系統存在14處漏洞，黑客可利用這些漏洞在汽車行駛時取得部分控制權，可經過插入U盤、使用藍牙以及車輛自帶的3G/4G數據鏈接等方式控制汽車。甚至隨着技術的發展，如《速度與激情8》中，黑客經過入侵智能網聯汽車自動駕駛系統給控制上千輛無人汽車組成的「殭屍車」軍團也再也不只是存在於熒幕的特效，更讓人不得不在享受到其溫馨、便利的同時，加速對智能汽車信息安全問題的深刻審視。

智能汽車安全保障勢在必行

智能網聯汽車信息安全能夠分爲內外兩套安全體系，分別是「端-管-雲」的車外網絡信息安全和「車載端、車內網關-車內網絡、ECU節點」的車內網絡信息安全，隨着汽車智能化和網聯化的增加，內外體系的數據交互會逐漸增長。信息安全做爲汽車的一個屬性，須要創建在汽車內部網絡架構的基礎上，安全保障體系也須要與智能網聯汽車應用同步部署。

2017年6正式施行的《中華人民共和國網絡安全法》要求智能網聯汽車製造廠商、車聯網運營商「採起技術措施和其餘必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防範網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。」 2017年12月，工信部、國家標準化管理委員會聯合發佈《國家車聯網產業標準體系建設指南》（如下簡稱指南），肯定了智能網聯汽車的標準體系，其中就包括信息安全方面的通用規範類標準。今年3月，工信部裝備工業司發佈《2018年智能網聯汽車標準化工做要點》工信部發布的工做要點共說起五項重點標準，「汽車信息安全標準」是其中之一。推動該標準制定的具體工做包括完成汽車信息安全通用技術、車載網關、信息交互系統、電動汽車遠程管理與服務、電動汽車充電等5項基礎通用標準的立項工做；啓動汽車信息安全風險評估、安全漏洞與應急響應、軟件升級及整車信息安全測試評價等4項國家標準項目的預研和立項。

根據《智能網聯汽車技術路線圖》，智能網聯汽車可分爲智能化與網聯化兩個層面；智能網聯汽車經過智能化與網聯化兩條技術路徑協同實現「信息感知」和「決策控制」功能，產品物理結構功能安全和信息安全做爲重要組成部分貫穿始終。

（一） 技術邏輯結構

智能網聯汽車技術邏輯的兩條主線是「信息感知」和「決策控制」，其發展的核心是由系統進行信息感知、決策預警和智能控制，逐漸替代駕駛員的駕駛任務，並最終徹底自主執行所有駕駛任務（如圖1 所示）。

圖1 智能網聯汽車技術邏輯結構

（二） 產品物理結構

《國家車聯網產業標準體系建設指南》中肯定了智能網聯汽車的標準體系，也明確了信息安全方面的通用規範類標準。

智能網聯汽車的產品物理結構是把技術邏輯結構所涉及的各類「信息感知」與「決策控制」功能落實到物理載體上。車輛控制系統、車載終端、交通設施、外接設備等按照不一樣的用途，經過不一樣的網絡通道、軟件或平臺對採集或接收到的信息進行傳輸、處理和執行，從而實現了不一樣的功能或應用。其中，產品物理結構功能安全和信息安全做爲智能網聯汽車各種產品和應用須要廣泛知足的基本條件，貫穿於整個產品物理結構之中，是智能網聯汽車各種產品和應用實現安全、穩定、有序運行的可靠保障。

圖2 智能網聯汽車產品物理結構

（三） 相關標準體系

按照智能網聯汽車的技術邏輯結構、產品物理結構的構建方法，《國家車聯網產業標準體系建設指南》綜合不一樣的功能要求、產品和技術類型、各子系統間的信息流，將智能網聯汽車標準體系框架定義爲「基礎」、「通用規範」、「產品與技術應用」、「相關標準」四個部分，造成14個子類。

在該標準體系中，功能安全標準側重於規範智能網聯汽車各主要功能節點及其下屬系統在安全性保障能力方面的要求，其主要目的是確保智能網聯汽車總體及子系統功能運行的可靠性，並在系統部分或所有發生失效後仍能最大程度地保證車輛安全運行；信息安全標準在聽從信息安全通用要求的基礎上，以保障車輛安全、穩定、可靠運行爲核心，主要針對車輛及車載系統通訊、數據、軟硬件安全，從整車、系統、關鍵節點以及車輛與外界接口等方面提出風險評估、安全防禦與測試評價要求，防範對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。

智能網聯汽車信息安全風險分析

智能網聯汽車從架構上可分爲四個不一樣的功能區，分別是基本控制功能區，如傳感單元、底盤系統等；擴展功能區，如遠程信息處理、信息娛樂管理、車體系統等；外部接口，譬如LTE-V、藍牙、WIFI等；以及手機、存儲器、各類診斷儀表、雲服務等外部功能區。每一個功能區對於安全的定義和需求都不相同，須要定義合理規範的系統架構，將不一樣功能區進行隔離，並對不一樣區域間的信息流轉進行嚴格的控制，包括接入身份認證和數據加密，來保證信息安全傳輸，從而達到智能駕駛功能的高可用性、便利性和保護用戶信息隱私的目的。根據分析研究，智能網聯汽車系統面臨的攻擊主要來自兩方面——內部攻擊和遠程攻擊。其中，內部攻擊主要由智能網聯自身缺陷引發，好比總線、網關、ECU等安全程度不夠所致使。將來智能網聯汽車面臨的信息安全威脅梳理爲來自雲端、通道、終端三個維度。

（一）終端層安全風險
一、T-BOX 安全風險

T-BOX（Telematics BOX）的網絡安全係數決定了汽車行駛和整個智能交通網絡的安全，是車聯網發展的核心技術之一，惡意攻擊者經過分析固件內部代碼可以輕易獲取加密方法和密鑰，可實現對消息會話內容的破解。

二、IVI 安全風險

車載信息娛樂系統（In-Vehicle Infotainment，IVI）的高集成度使其全部接口均可能成爲黑客的攻擊節點，所以IVI的被攻擊面將比其餘任何車輛部件都多。

三、終端升級安全風險

智能網聯汽車如不及時升級更新，就會因爲潛在安全漏洞而遭受各方面（如 4G、 USB、 SD 卡、 OBD 等渠道）的惡意攻擊，致使車主我的隱私泄露、車載軟件及數據被竊取或車輛控制系統遭受惡意攻擊等安全問題。

四、車載 OS 安全風險

車載電腦系統常採用嵌入式 Linux、 QNX、 Android等做爲操做系統，其代碼龐大且存在不一樣程度的安全漏洞，且車聯網應用系統複雜多樣，某一種特定的安全技術不能徹底解決應用系統的全部安全問題。而智能終端還存在被入侵、控制的風險。

五、移動App安全風險

對於沒有進行保護的App進行逆向分析挖掘，可直接看到 TSP（遠程服務提供商）的接口、參數等信息。

（二）傳輸通道安全風險

一、車載診斷系統接口

基於車載診斷系統接口(OBD)的攻擊如今的智能網聯汽車內部都會有十幾個到幾十個不等的 ECU，不一樣 ECU 控制不一樣的模塊。OBD 接口做爲總線上的一個節點，不只能監聽總線上面的消息，並且還能僞造消息（如傳感器消息）來欺騙 ECU，從而達到改變汽車行爲狀態的目的。

二、車內無線傳感器安全風險

傳感器存在通信信息被竊聽、被中斷、被注入等潛在威脅，甚至經過干擾傳感器通訊設備還會形成無人駕駛汽車偏行、緊急停車等危險動做。

三、車內網絡傳輸安全風險

汽車內部相對封閉的網絡環境看似安全，但其中存在不少可被攻擊的安全缺口，如胎壓監測系統、 Wi-Fi、藍牙等短距離通訊設備等。

四、車載終端架構安全風險

如今每輛智能網聯汽車基本上都裝有五六十個 ECU 來實現移動互聯的不一樣功能，進入智能網聯汽車時代後， 其接收的數據不只包含從雲端下載的內容，還有可能接收到那些經過網絡鏈接端口植入的惡意軟件，所以大大增長了智能網聯汽車被「黑」的風險。

五、網絡傳輸安全風險

「車-X」（人、車、路、互聯網等）經過 Wi-Fi、移動通訊網(2.5G/3G/4G等)、DSRC等無線通訊手段與其它車輛、交通專網、互聯網等進行鏈接。網絡傳輸安全威脅指車聯網終端與網絡中心的雙向數據傳輸安全威脅。

（三） 雲平臺安全威脅

目前大部分車聯網數據使用分佈式技術進行存儲，主要面臨的安全威脅包括黑客對數據惡意竊取和篡改、敏感數據被非法訪問。

智能網聯汽車信息安全實踐

結合國家戰略指引、技術研究和實際案例分析，幾維安全對智能網聯汽車的雲端、APP端、T-Box端的風險點和安全保障措施進行深度分析，推出了多維度基於底層算法的安全保障技術。

圖3 幾維安全基於智能網聯汽車雲管端的信息安全防禦

（一）APP防禦

一、JAVA代碼反編譯防禦

利用Android彙編語言的高強度Java2C技術進行Android APP的JAVA代碼進行保護。

二、SO虛擬化保護

利用幾維安全獨有KiwiVM代碼虛擬化保護對So核心代碼邏輯進行保護，保護關鍵協議代碼和通訊模塊。

三、Android APK完整性保護

加固經過對APP安裝包全部文件內容作交叉校驗，而且作校驗數據及校驗代碼作加密保護，能夠及時檢測到APP是不是原有官方版本，並阻止非官方版本啓動運行。

四、APP動態運行防禦

加固提供的動態防護技術以反調試保護爲基礎，同時針對關鍵函數及環節作監控，藉助於輪詢查看，主動偵測等方法，保護移動APP在運行時的安全。

五、APP本地文件及數據加密保護

經過安全SDK在Android文件系統層實現的透明化數據加密機制，有效的對全部資源文件讀寫操做作保護。

（二）T-BOX防禦

一、固件協議代碼保護

利用MBS塊調度或KiwiVM代碼虛擬化保護技術進行固件協議模塊保護

二、固件數據加密

經過幾維安全SDK對終端數據進行安全加密存儲，關鍵密鑰隱藏於KiwiVM虛擬機中。

三、固件完整性校驗算法保護

對固件完整性校驗等關鍵算法進行MBS塊調度或KiwiVM代碼虛擬化保護，避免攻擊者繞過校驗邏輯。

（三）通訊安全

一、通訊數據加密

使用基於KiwiVM代碼虛擬化保護技術的白盒密鑰SDK，密鑰隱藏於虛擬機中，隱藏算法逆向特徵，使得密鑰沒法提取及解密數據。

二、通訊數據校驗

經過幾維安全基於通訊協議加密SDK的驗籤功能，經過hash函數生成簽名，經過KiwiVM隱藏算法特徵和校驗過程。

小結

智能網聯汽車是汽車與信息、通訊等產業跨界融合的重要載體和典型應用，是全球創新熱點和將來產業發展制高點，更是人們將來生活的一部分。做爲智能網聯汽車發展的基石，信息安全保障與智能化應用同步部署必要性日益凸顯，便利、安全的兼顧還需共同持續努力。