網(wǎng)絡(luò)信息安全評(píng)估部 袁豪杰

　　一、車聯(lián)網(wǎng)簡(jiǎn)述
　　由機(jī)械工業(yè)出版社出版、中國(guó)汽車工程學(xué)會(huì)主編的《節(jié)能與新能源汽車技術(shù)路線圖年度評(píng)估報(bào)告2018》對(duì)智能網(wǎng)聯(lián)汽車做出定義：智能網(wǎng)聯(lián)汽車是指搭載先進(jìn)的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)車與X（車、路、人、云端等）智能信息交換、共享，具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等功能，可實(shí)現(xiàn)“安全、高效、舒適、節(jié)能”行駛，并最終可實(shí)現(xiàn)替代人來(lái)操作的新一代汽車。
　　針對(duì)車聯(lián)網(wǎng)安全技術(shù)研究，從網(wǎng)絡(luò)體系角度出發(fā)，以國(guó)際電信聯(lián)盟ITU-T的物聯(lián)網(wǎng)體系結(jié)構(gòu)參考模型為基礎(chǔ)，車聯(lián)網(wǎng)體系結(jié)構(gòu)自車載終端至遠(yuǎn)端服務(wù)器可劃分為感知層、網(wǎng)絡(luò)層（傳輸層）和應(yīng)用層。
　　車聯(lián)網(wǎng)感知層是指車輛通過(guò)傳感器、信息通訊等實(shí)時(shí)地收發(fā)車輛自身與交通環(huán)境相關(guān)狀況信息。其實(shí)時(shí)信息交互具體包括車內(nèi)駕駛系統(tǒng)與控制系統(tǒng)信息、車身駕駛環(huán)境信息、車輛位置與速度信息、車輛外部環(huán)境信息、其它車輛、行人、道路信息與整體交通系統(tǒng)信息等。
　　車聯(lián)網(wǎng)網(wǎng)絡(luò)層包括核心網(wǎng)和接入網(wǎng)兩部分，是車輛信息接收與發(fā)射所建立的信息通信網(wǎng)絡(luò)。核心網(wǎng)負(fù)責(zé)從基站到云端服務(wù)器的路由選擇和數(shù)據(jù)傳輸，接入網(wǎng)主要負(fù)責(zé)車與車、車與基站之間的交互通信。傳輸信息從感知層獲取進(jìn)而提供給應(yīng)用層，車聯(lián)網(wǎng)傳輸層需要通過(guò)安全可靠的信息傳輸機(jī)制來(lái)確保通信安全進(jìn)而確保應(yīng)用安全、車輛安全、交通安全、人身安全。目前主流的車聯(lián)網(wǎng)專用通信協(xié)議分為DSRC與LTE-V兩類。
　　車聯(lián)網(wǎng)應(yīng)用層是車聯(lián)網(wǎng)技術(shù)發(fā)展與創(chuàng)新的驅(qū)動(dòng)力，應(yīng)用層不僅僅包括車載信息服務(wù)類應(yīng)用，更包括面向所有車輛交通的安全效率類應(yīng)用和以自動(dòng)駕駛為基礎(chǔ)的協(xié)同服務(wù)類應(yīng)用，依賴于人、車、路、云的全方位連接與信息交互。
　　二、從網(wǎng)絡(luò)體系看車聯(lián)網(wǎng)安全與檢測(cè)
　　1.車聯(lián)網(wǎng)感知層安全
　　對(duì)感知層的安全而言，安全問(wèn)題主要集中在由通信、計(jì)算、存儲(chǔ)等構(gòu)成的車載終端上。車載智能終端包含兩類重要信息：一是個(gè)人信息隱私；二是車輛控制協(xié)議信息，包括遠(yuǎn)程控制命令、身份驗(yàn)證信息等。受限于使用環(huán)境，車載終端性能較遠(yuǎn)端服務(wù)器差，安全防護(hù)措施不足，可能存在漏洞利用終端接口將惡意程序植入終端，進(jìn)而干擾車載終智能端的信息通信與計(jì)算決策。然而目前車載智能終端操作系統(tǒng)的發(fā)布與更新往往是由各個(gè)車載終端廠商獨(dú)立完成，缺少規(guī)范的安全監(jiān)管政策和流程，無(wú)法對(duì)其車載終端的硬件、操作系統(tǒng)和應(yīng)用軟件進(jìn)行必要的安全性測(cè)試，因此會(huì)降低產(chǎn)品的安全性，使車載智能終端面臨更加嚴(yán)重的安全問(wèn)題。
　　2.車聯(lián)網(wǎng)網(wǎng)絡(luò)層安全
　　由于網(wǎng)絡(luò)層主要負(fù)責(zé)數(shù)據(jù)傳輸工作，對(duì)網(wǎng)絡(luò)層而言，其安全隱患主要集中于數(shù)據(jù)的惡意攔截、獲取、泄露、篡改，通過(guò)節(jié)點(diǎn)進(jìn)行攻擊等，具體可表現(xiàn)為
　　? 竊聽(tīng)與篡改攻擊
　　在車聯(lián)網(wǎng)無(wú)線通信環(huán)境中的通信信道往往是開(kāi)放式的，攻擊者可以通過(guò)發(fā)動(dòng)竊聽(tīng)攻擊獲取車輛節(jié)點(diǎn)之間傳輸?shù)男畔ⅲ斐捎脩綦[私信息泄露帶來(lái)安全威脅。當(dāng)竊聽(tīng)攻擊發(fā)生時(shí)，攻擊者同樣可對(duì)信息進(jìn)行非法篡改進(jìn)而發(fā)送給目標(biāo)用戶，使用戶收到錯(cuò)誤信息，進(jìn)而影響到車聯(lián)網(wǎng)安全。由于竊聽(tīng)與篡改攻擊的特性，用戶無(wú)法發(fā)覺(jué)信息是否遭到竊聽(tīng)，因此需要對(duì)信息傳輸是否加密進(jìn)行檢測(cè)，來(lái)確保信息傳輸?shù)陌踩浴?br> 　　? 回放攻擊
　　回放攻擊與竊聽(tīng)、篡改攻擊往往同時(shí)發(fā)生，攻擊者通過(guò)竊聽(tīng)截取通信信道內(nèi)傳輸?shù)男畔ⅲ僖酝瑯拥姆绞綄⑾⒅貜?fù)發(fā)送至車聯(lián)網(wǎng)中的實(shí)體，使得接受者以為是合法用戶所發(fā)，混淆了本應(yīng)該接受的交通信息，發(fā)生誤判。因此需要檢測(cè)相關(guān)安全協(xié)議是否設(shè)置時(shí)間戳或隨機(jī)值以抵御此類攻擊。
　　3.車聯(lián)網(wǎng)應(yīng)用層安全
　　對(duì)應(yīng)用層的安全而言，其安全隱患主要集中于應(yīng)用本身的身份認(rèn)證、密鑰管理、數(shù)據(jù)安全、隱私保護(hù)等。具體體現(xiàn)為：
　　? 節(jié)點(diǎn)捕獲攻擊與檢測(cè)
　　節(jié)點(diǎn)捕獲攻擊既可以劃分到網(wǎng)絡(luò)層，也可以劃分到應(yīng)用層。節(jié)點(diǎn)攻擊通常指Sybil攻擊或女巫攻擊，該類攻擊是指在車聯(lián)網(wǎng)中單一節(jié)點(diǎn)具有多個(gè)身份標(biāo)識(shí)，攻擊者利用車聯(lián)網(wǎng)中的少數(shù)節(jié)點(diǎn)控制多個(gè)虛假身份，冒充或偽造合法車輛發(fā)送信息至信息網(wǎng)絡(luò)，從而控制或影響網(wǎng)絡(luò)的大量正常節(jié)點(diǎn)。在車聯(lián)網(wǎng)系統(tǒng)中，由于汽車本身節(jié)點(diǎn)具有移動(dòng)性，從而網(wǎng)絡(luò)被影響范圍隨節(jié)點(diǎn)的移動(dòng)而擴(kuò)大。
　　對(duì)節(jié)點(diǎn)攻擊的主要檢測(cè)手段有以下三種：
　　(1) 對(duì)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證。在節(jié)點(diǎn)加入網(wǎng)絡(luò)之前向某認(rèn)證中心進(jìn)行身份認(rèn)證并獲得相應(yīng)通信密鑰，使得每一個(gè)節(jié)點(diǎn)都具有合法身份。此外利用匿名技術(shù)可以確保節(jié)點(diǎn)在通信過(guò)程中的私密性。Yu H等提出利用算法將汽車所獲得的所有偽名都通過(guò)特定的哈希算法對(duì)應(yīng)于同一值，從而快速發(fā)現(xiàn)車輛同時(shí)使用多個(gè)身份的現(xiàn)象。但對(duì)于合法身份的節(jié)點(diǎn)仍存在被盜用、共享的安全威脅
　　(2) 對(duì)節(jié)點(diǎn)位置進(jìn)行檢測(cè)。車聯(lián)網(wǎng)的一個(gè)重要特點(diǎn)是每一個(gè)節(jié)點(diǎn)都具有移動(dòng)性，雖然攻擊者具有多個(gè)身份，但這些身份都對(duì)應(yīng)于同一個(gè)物理節(jié)點(diǎn)，從而導(dǎo)致其行為具有高相似性，同理，不同的車輛一般都具有不同的移動(dòng)軌跡，因此通過(guò)對(duì)節(jié)點(diǎn)移動(dòng)行為、移動(dòng)軌跡相似度的分析可實(shí)現(xiàn)對(duì)Sybil節(jié)點(diǎn)的有效檢測(cè)。
　　(3) 對(duì)節(jié)點(diǎn)匹配資源進(jìn)行檢測(cè)。通常對(duì)于大多數(shù)車輛節(jié)點(diǎn)，其所具備的通信帶寬、計(jì)算能力、存儲(chǔ)空間等大致相等。因此，若存在多個(gè)節(jié)點(diǎn)所擁有的資源與數(shù)量無(wú)法匹配，則可以判定節(jié)點(diǎn)中存在虛假節(jié)點(diǎn)。
　　? 系統(tǒng)內(nèi)部人員攻擊與檢測(cè)
　　系統(tǒng)內(nèi)部人員發(fā)動(dòng)攻擊往往是該人員具有用戶密碼管理權(quán)限，相關(guān)人員如果非法盜用和使用存儲(chǔ)與系統(tǒng)服務(wù)器中的用戶與密碼，就可以發(fā)起對(duì)整個(gè)網(wǎng)絡(luò)的攻擊，甚至對(duì)信息進(jìn)行轉(zhuǎn)賣。因此需要建立安全管理制度，設(shè)置管理員操作權(quán)限對(duì)管理員操作行為進(jìn)行檢查。
　　三、從設(shè)備終端看車聯(lián)網(wǎng)安全與檢測(cè)
　　1.移動(dòng)終端安全檢測(cè)
　　隨著車聯(lián)網(wǎng)的發(fā)展，參與車聯(lián)網(wǎng)網(wǎng)絡(luò)的共享服務(wù)不僅局限于車內(nèi)單元和外部基礎(chǔ)設(shè)施，用戶所攜帶的智能移動(dòng)終端也參與其中。這些電子設(shè)備內(nèi)部往往包含用戶的隱私信息，攻擊者常?？梢岳迷O(shè)備內(nèi)部的秘密信息非法訪問(wèn)資源和服務(wù)，或冒充合法用戶發(fā)送虛假消息至車聯(lián)網(wǎng)中。移動(dòng)終端的安全檢測(cè)主要包括：
　　賬戶安全檢測(cè)：檢測(cè)密碼是否采用明文進(jìn)行傳輸和存儲(chǔ)、賬戶鎖定策略、注銷機(jī)制等。
　　數(shù)據(jù)通信安全檢測(cè)：檢測(cè)數(shù)據(jù)是否加密、是否使用安全通信（如HTTPS）、是否驗(yàn)證數(shù)字證書(shū)和數(shù)據(jù)的合法性等。
　　服務(wù)端接口檢測(cè)：檢測(cè)是否存在SQL注入、XSS跨站腳本攻擊、CSRF跨站請(qǐng)求偽造、越權(quán)訪問(wèn)等。
　　除此之外還包括安裝包檢測(cè)、組件安全檢測(cè)、敏感信息檢測(cè)等
　　2.網(wǎng)絡(luò)及安全設(shè)備安全檢測(cè)
　　網(wǎng)聯(lián)汽車依據(jù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)拓展感知網(wǎng)絡(luò)和應(yīng)用平臺(tái)，是互聯(lián)網(wǎng)的延伸，且汽車本身也不再是一個(gè)孤立的單元，因此針對(duì)智能網(wǎng)聯(lián)汽車的檢測(cè)要保證車輛自組網(wǎng)與多種異構(gòu)網(wǎng)絡(luò)之間的通信與漫游，實(shí)現(xiàn)V2X的雙向數(shù)據(jù)通信鏈路之間的傳輸安全。
　　針對(duì)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全，其主要檢測(cè)應(yīng)包含：
　　通信協(xié)議安全檢測(cè)：檢測(cè)通信協(xié)議一致性與通信互操作性；進(jìn)行通信協(xié)議身份認(rèn)證漏洞檢測(cè)、假冒攻擊漏洞檢測(cè)、保密數(shù)據(jù)泄露漏洞檢測(cè)、新鮮性漏洞檢測(cè)、類型攻擊漏洞檢測(cè)、攻擊者不道德漏洞檢測(cè)等。
　　傳輸保密檢測(cè)：檢測(cè)通信數(shù)據(jù)是否為加密傳輸，是否確保數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和一致性。
　　網(wǎng)絡(luò)邊界檢測(cè)：檢測(cè)是否支持連接外部系統(tǒng)，是否在內(nèi)部系統(tǒng)邊界進(jìn)行監(jiān)控、是否部署邊界保護(hù)設(shè)備等
　　設(shè)備識(shí)別檢測(cè)等：檢測(cè)是否對(duì)固定設(shè)備進(jìn)行唯一性標(biāo)識(shí)和鑒別能力
　　3.服務(wù)器/存儲(chǔ)設(shè)備安全檢測(cè)
　　車聯(lián)網(wǎng)服務(wù)器架構(gòu)一般可分為身份認(rèn)證管理平臺(tái)、遠(yuǎn)程信息服務(wù)終端（Telematics Box, T-BOX）管理服務(wù)器和應(yīng)用服務(wù)器，身份認(rèn)證管理平臺(tái)為整個(gè)系統(tǒng)提供身份認(rèn)證方案和基礎(chǔ)服務(wù)，在管理服務(wù)器和應(yīng)用服務(wù)器上部署身份認(rèn)證相關(guān)功能，車輛和智能終端通過(guò)無(wú)線訪問(wèn)點(diǎn)，使用移動(dòng)通訊技術(shù)連接網(wǎng)絡(luò),用戶操作手機(jī)獲取系統(tǒng)服務(wù)。攻擊者?？衫蒙矸菡J(rèn)證協(xié)議自身的漏洞造成認(rèn)證失效，進(jìn)而破壞整個(gè)服務(wù)器架構(gòu)。
　　車聯(lián)網(wǎng)服務(wù)器安全檢測(cè)除T-BOX安全檢測(cè)外還應(yīng)包含移動(dòng)終端OS安全檢測(cè)，其檢測(cè)內(nèi)容部分相同，具體表現(xiàn)為：
　　會(huì)話認(rèn)證檢測(cè)、身份鑒別檢測(cè)、訪問(wèn)控制檢測(cè)、數(shù)據(jù)完整性和保密性檢測(cè)、登錄失敗限制檢測(cè)、安全審計(jì)檢測(cè)、日志管理檢測(cè)、數(shù)據(jù)備份與恢復(fù)檢測(cè)等。
　　針對(duì)T-BOX安全檢測(cè)還應(yīng)包含：T-BOX服務(wù)接口滲透檢測(cè)、T-BOX非法注入檢測(cè)、T-BOX非法控制檢測(cè)等
　　除此以外，對(duì)服務(wù)器系統(tǒng)檢測(cè)應(yīng)包含基本功能性檢測(cè)，其目的是要實(shí)現(xiàn)對(duì)服務(wù)器設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用在服務(wù)器上性能的全面監(jiān)控?；竟δ苄詸z測(cè)包含功能測(cè)試和性能測(cè)試兩方面。功能測(cè)試從用戶觀點(diǎn)出發(fā)，采用黑盒測(cè)試證明系統(tǒng)功能的可操作性和正確性；性能測(cè)試則利用自動(dòng)化工具模擬多種正常、異常、峰值負(fù)載條件來(lái)測(cè)試系統(tǒng)的各項(xiàng)性能指標(biāo)，針對(duì)服務(wù)器端也可采用系統(tǒng)本身的監(jiān)控命令進(jìn)行檢測(cè)。
　　四、小結(jié)
　　中國(guó)軟件評(píng)測(cè)中心認(rèn)為智能網(wǎng)聯(lián)汽車處于發(fā)展的初階段，對(duì)于車聯(lián)網(wǎng)的安全與檢測(cè)技術(shù)研究以及安全標(biāo)準(zhǔn)的建立也處于起步階段，從不同的角度看待車聯(lián)網(wǎng)的安全將有利于推動(dòng)行業(yè)的發(fā)展與相關(guān)標(biāo)準(zhǔn)的建立。