車載終端信息安全威脅與防范

羅瓔珞　中國信息通信研究院泰爾終端實驗室工程師方　強　阿里巴巴（北京）軟件服務有限公司資深專員

車載終端信息安全威脅與防范

羅瓔珞中國信息通信研究院泰爾終端實驗室工程師
方強阿里巴巴（北京）軟件服務有限公司資深專員

隨著車聯網的迅速發展，車載終端的應用越來越廣泛，也增加了對各種信息安全威脅的暴露，形成了針對車載終端功能特點的安全需求。本文從多個角度分析了車載終端所面臨的各種信息安全威脅，總結了信息安全需求，并提出相應的技術方法措施。

車載終端；安全需求；安全威脅

1　引言

隨著汽車電子和互聯網的不斷發展，車載終端正在快速向智能化、網聯化方向演進，不僅承擔越來越多的車身控制、電子電氣系統控制的功能，也為包括駕駛員和乘客在內的車輛使用人員提供豐富的信息娛樂服務。在功能不斷增加的同時，其使用過程中的安全問題被越來越多的用戶所關注。相對于原來封閉的車內電子電氣系統網絡，能夠與互聯網連接的車載終端，無論其本身的功能是T-Box還是Infotainment，或者是兩者的融合和升級，信息安全風險都會大大增加。近年來，由于信息安全疏忽導致的車輛安全事件屢有發生，甚至導致汽車廠商大量召回。為了探究車載終端的信息安全問題，保證其良性健康的發展，有必要對車載終端的安全威脅和安全需求進行分析和探討，從而深入研究所需要的關鍵安全技術。本文針對車載終端系統的信息安全需求進行分析，對威脅進行分類，并提出滿足需求對抗威脅的相應的技術防范措施。

2　車載終端的業務功能及相應的信息安全需求

車載終端的出現和普及是為駕駛人員和乘客提供更便利的使用和更愉悅的體驗，因此功能也十分豐富，并且在不斷增加。目前的車載終端主要包括以下幾項功能：

（1）基本車況收集顯示

這類功能起步較早，早期車況信息包括胎壓、油量、水箱溫度以及車外溫度等參數，在傳統的儀表盤中都會顯示。新興的電動汽車也會顯示電量信息。當智能車載終端廣泛應用后，這些信息會集中顯示在車載終端的顯示屏上，用戶有統一的操控界面，提升用戶體驗。

（3）遠程操作

包括遠程開鎖、遠程發動車輛、遠程開啟空調等應用。這些應用通常和網絡相結合，使用者通過手機APP或者提供相應服務的Web頁面，遠程對車輛進行操作，大大提升了方便性。

（3）求助與遠程救援

同樣是通過網絡完成。目前，大量車輛已經內置了T-Box系統，系統集成了SIM卡，可以連接運營商網絡，將車輛各ECU中存儲的狀態系統上傳到TSP平臺，供維修人員參考診斷。很多T-Box提供一鍵救援業務，系統自動完成包括診斷、定位車輛等多項任務，提升了處理緊急問題的效率。

（4）導航

是汽車Infotainment系統的主要功能。實際使用時，導航應用會連接網絡，以獲取實時的路況信息。連接網絡的方式可以使用車輛使用者用手機提供的Wi-Fi熱點，也可以通過內置的SIM卡直接接入蜂窩網絡。

（5）車內娛樂

這類應用已逐步走向網絡化，下載、在線收看等多種方式的普及，給車輛使用者帶來了更好的用戶體驗。為了提高視頻的清晰度和流暢性，車載終端硬件的圖像處理能力也在逐步提升。

（6）自動駕駛

自動駕駛是個熱門應用，從自動泊車開始，駕駛者對車的操控在減少，開車變得越來越簡單，越來越放松。目前，已經有自動駕駛的汽車通過實際道路檢測，但是這種技術還需要一定的時間投入才能正式大規模商用。在自動駕駛過程中，車輛收集大量道路信息，車身周圍人與物體的位置信息，根據這些信息與車輛的速度方向、交通管理規定等信息進行運算，這要求車載終端具有足夠的計算能力和實時性。隨著車車通信、車路通信的發展，車輛收集和運算的信息量將進一步增加，對車載終端處理能力的要求也越來越高。

功能的豐富導致系統復雜度的增加，包括在芯片、傳感器、移動互聯操作系統、通信設備及通信服務等方面的協同發展。整體網絡架構的復雜化，增加了車輛對各種攻擊的暴露，信息安全需求也變得更加重要和緊迫。信息安全根本屬性中的保密性、完整性、可用性、可認證性和可審計性，在車載終端這一具體應用領域，呈現出不同的優先級。

●車載終端對訪問和使用的認證需求尤為突出——能夠確保信息被正確的人使用，下達命令的是具備相應權限的正確用戶等。換言之，惡意攻擊者能否破壞車載終端的安全防護，肆意向車輛電子電氣系統各ECU下發各種指令，威脅到車輛正常使用者的安全，是車載終端設計和實現時必須要考慮的信息安全首要問題。

●與可認證性相比，完整性也是信息安全各屬性中，相對重要的一方面。傳輸的信息和指令一旦被篡改，會導致與授權用戶意圖不同，甚至完全相反的操作，發生信息安全和涉及人身安全的嚴重事件。

●可用性對于依賴車載終端的行車應用也是需要保護的安全屬性。很多攻擊在不熟悉車輛系統的漏洞時，往往最先攻擊的是可用性。在擾亂系統的正常運行后，尋找安全薄弱環節，進行深度突破。

●保密性是信息安全屬性的基礎。大多數攻擊通常從嗅探開始，獲取到用戶傳輸的明文信息或者信號，包括用戶名、密碼等，了解用戶使用的應用。破壞保密性，不僅侵犯隱私，同時也為其它攻擊方式提供方便。

●可審計性是信息安全工作的基礎。只有信息安全事件可以審計，才能發現出現的問題并及時進行處理，避免問題擴大或者更加嚴重。

3　車載終端所面臨的信息安全威脅分類

3.1按照對車載終端信息安全屬性的破壞進行分類

如上文所述，車載終端的信息安全屬性包括機密性、完整性、可用性、可認證性和可審計性。有的威脅針對車載終端的機密性，收集用戶數據，導致隱私泄露；有的威脅破壞完整性，有的甚至同時破壞信息安全幾個屬性。本文按照對車載終端信息安全屬性的破壞對威脅進行分類，有針對性地一一進行介紹（見表1）。

表1　按照對車載終端信息安全屬性的破壞對威脅進行分類

（1）竊聽

最基本的威脅，是其它攻擊方式的基礎。車載終端與云端的連接用來傳輸用戶大量隱私數據，例如行車數據、車輛狀態信息等會在網絡中被嗅探。對于車內網絡，當車載終端接入到汽車總線后，CAN總線上明文傳輸的各種控制指令和系統信息被攻擊者竊聽的風險增加。攻擊者一旦獲取的車載智能終端的控制權，很容易獲取所連接總線上傳輸的信息。

（2）偽造

由于缺少對數據的認證，攻擊者可以向車載終端注入感染病毒的代碼或者可能導致堆棧溢出的代碼，或者未授權的指令，對車載終端操作系統、應用和車內ECU進行任意操作。

（3）阻斷

云端向汽車發送的信息和指令，可能被攻擊者在網絡層面進行干擾，而不能正常到達車載終端。而車載終端一旦被非法控制，攻擊者可以屏蔽CAN網絡的通信網關轉發的信息，從而實施對車內電子電氣系統的阻斷攻擊。

（4）篡改

篡改攻擊是組合了竊聽、阻斷和偽造等多種方式，形成的比較復雜的攻擊。攻擊既可以篡改車輛駕駛者從云端接收的例如行車路線等相關數據，也可能是從車內各ECU回送的狀態信息，影響駕駛員的正常判斷和操作；或者將車輛駕駛者向ECU發送的指令進行修改，干擾車輛正常行駛。其后果都十分嚴重。

（5）拒絕服務

惡意攻擊者通過控制車載終端，向其所連接的總線網絡發送大量偽造的數據包，占領總線資源，從而導致ECU拒絕服務。這是針對可用性的常見攻擊方式。

（6）重放

缺少對所收到消息的時效性的驗證，使利用重放攻擊而導致的汽車安全事件屢屢發生。攻擊者通過竊聽獲得重要的消息，并在自己需要的時候，再次發送，從而進行非授權的任意操作。

3.2按照攻擊者發起的位置對威脅進行分類

（1）遠車攻擊

攻擊者通過網絡發起的攻擊，包括通過攻擊汽車各網絡應用平臺，攻擊相應的手機APP，或者在通信網絡中采取各種措施的攻擊（見圖1）。這類攻擊成本低，突破環節多，威脅發生的可能性高。攻擊者也會SQL注入有安全漏洞的Web服務器端，監聽通信信道，甚至利用車載終端遠程通信協議中的漏洞，比如用于車載終端與遠程呼叫中心通信的AQLINK協議中缺少控制信息包長的檢驗，或者隨機數缺陷等漏洞，發起攻擊。已經出現的安全事件包括車載智能系統“Uconnect”被攻破，黑客可以實現遠程控制汽車剎車、油門和方向盤，為此克萊斯勒在美國緊急召回了140萬輛汽車。

（2）近車攻擊

攻擊者在車附近，通過短距離通信的各種協議，與車輛建立網絡連接，訪問車輛的信息系統（見圖2）。既包括通過Wi-Fi或者藍牙協議的連接，也包括使用RKE，胎壓監測、RFID車鑰匙的應用，甚至攻擊者已經開始分析802.11p或者DSRC等新興的，用于車車通信的短距離通信協議。2015年就有國內安全團隊繞過幾款車的門鎖遙控滾碼機制，演示了非授權開車門的試驗。

（3）車內攻擊

是指攻擊者已經可以連接到車內系統的各接口，包括用于診斷的OBD接口，車載終端提供的USB接口，或者能插入SD卡、CD、DVD的存儲介質（見圖3）。這些接口和讀取存儲介質的系統都與車內總線相連，同時總線也連接了汽車的各ECU。例如，攻擊者通過特別的硬件裝置連接到OBD接口，同時硬件裝置與電腦通過USB或者Wi-Fi進行連接，電腦就接入了車內總線，可以發起探測和攻擊。也有試驗證明，攻擊者也可以通過惡意構造的音頻或者視頻文件，對車載終端進行破解。這種攻擊的前提是知道播放器等應用的安全漏洞。

圖1　遠車攻擊示意圖

圖2　近車攻擊示意圖

圖3　車內攻擊示意圖

4　車載終端發展趨勢和防范重點

隨著車載終端處理能力的發展，其功能也將T-Box和Infotainment進行了融合。車載終端本身代碼量的增加，與車輛電子電氣系統的網絡連通，與云端信息的交互，終端升級機制的簡化，這些車載終端發展的趨勢以及威脅的特點、威脅發生的位置等因素決定了圍繞車載終端和針對其自身的安全機制的使用和安全防范的重點。應在車載終端設計開發的過程中，使用科學的方法，實現真正的安全措施實施。

4.1加強車載終端文件系統完整性校驗

采用完整性校驗手段對關鍵代碼或文件進行完整性保護。例如，在硬件的特殊分區中，保存一份當前操作系統的指紋信息，定期對指紋信息進行校驗，確認操作系統關鍵文件未被修改。

車載智能終端硬件安全引導應提供安全機制，保證只能加載可信的車載操作系統內核組件。例如，操作系統的鏡像需要進行廠商簽名。在車載系統啟動時，需要進行簽名驗證，以發現對操作系統內核的非法篡改。

4.2與云端通信的信道安全

車載終端與外部通信，應保證所使用信道安全。例如，使用支持網絡側和終端側雙向鑒權的SIM解決方案，并且在基帶處理中，增加對偽基站識別分析的能力，拒絕接入偽基站。在車載終端和TSP平臺建立相應的VPN/VPDN/專用APN等，使車聯網系統使用相對的專用網絡，利用加密機制和完整性校驗等技術手段，對抗竊聽、偽造等多種攻擊。同時，加強云端服務器安全，嚴格訪問控制策略，加強用戶權限設置管理，對口令強度采取必要要求，定期漏洞修補，從而保證平臺測安全。

4.3車內安全域隔離和訪問控制

車載終端與車內各電子電氣系統劃分安全域，每個安全域有只屬于自己的，不能偽造的標示，并通過相應的密鑰對所傳輸的數據進行加密和完整性保護。增加獨立的安全通信模塊，內置集成高性能密碼安全芯片和安全操作系統，負責密鑰管理。必要時，在車載終端與車內電子電氣系統總線之間添加串行防火墻，對車載終端傳送到各ECU的指令進行檢查，滿足安全性要求再傳遞。

車載終端自身內核強制訪問控制：對用戶（或其他主體）與文件（或其他客體）標記固定的安全屬性（如安全級、訪問權限等），在每次訪問發生時，系統檢測安全屬性，確定用戶是否有權訪問該文件。

4.4車載終端應用程序安全

必須對應用程序在運行過程中使用的文件訪問權限進行控制。對于使用客戶端數據庫存儲數據的車載終端，應限制數據庫訪問權限。敏感信息需采用安全方式加密存儲，包括計算哈希值、對稱加密、非對稱加密等技術手段。

應用程序自身應采取加殼、代碼混淆等適用的對抗逆向安全分析方法的保護，防止攻擊者查找系統漏洞加以利用。

對于程序所收集、產生的用戶數據應通過計算哈希值方式進行保護時，應在計算的源數據中加入隨機數據，防止敏感信息的哈希值被重放利用。使用對稱加密、非對稱加密等加密算法對敏感信息進行保護時，應使用健壯的加密算法，并使用足夠長度的加密密鑰。

4.5終端升級的安全機制

車載終端對更新請求應具備自我檢查能力，車載操作系統在更新自身分區或向其他設備傳輸更新文件和更新命令的時候，應能夠及時聲明自己的身份和權限。升級操作應能正確驗證服務器身份，識別出偽造的服務器，或者是高風險的鏈接鏈路。升級包在傳輸過程中，通過報文簽名和加密，防篡改和偽造。

4.6加強安全審計安全

車載終端應具備記錄所有用戶訪問日志的功能，便于進行適當的審計和監控。在完成安裝時應開始記錄所有用戶（特別是具有管理權限的用戶）的訪問。車載終端的日志記錄功能應能自動啟動，并將日志文件定向到統一的外部服務器，便于審計。

在車內電子電氣系統總線上也應增加入侵檢測功能的模塊，對各類信息進行監控，特別是從對外開放的車載終端傳入的數據，如有異常立即報警。

5　結束語

車載終端的信息安全問題必須得到足夠的重視，否則可能由于信息安全問題導致更為嚴重的人身安全問題，這是車聯網的新特點。按照系統的方法，分析威脅，匯總需求，進一步實施部署安全措施進行防范，才能保證安全措施有效和科學地執行。

Vehicle on-board terminal information security threats and countermeasures

LUO Yingluo，FANG Qiang

With the rapid development of the Internet of Vehicle， on-board terminal with more and more applications grows very fast. It increases the exposure to information security threats， and leads to specific security requirements. In this paper，we analyze the threats against on-board terminals from different points of view and summarize the requirements. In the end， we list corresponding technical countermeasures.

on-board terminal； security requirement； security threat

2016-05-10）