車聯網系統安全研究

武翔宇，趙德華，郝鐵亮

（華晨汽車工程研究院 電器工程室，遼寧 沈陽 110141）

1 車聯網系統組成

車聯網系統大致分為三個部分，分別為車載終端、網絡傳輸、TSP 平臺。車載終端位于汽車內，包括TBOX、車機等設備，主要負責收集上傳車輛相關信息，實現車輛與外界互聯網的連接。網絡傳輸主要負責TBOX 與TSP 平臺、車輛與車主的互聯，實現車輛與TSP 平臺以及車主的通信。TSP平臺負責對車輛上傳的數據進行存儲、計算分析和管理，并對聯網用戶提供包括提供遠程控制、在線娛樂、支付、緊急救援等服務。

2 車聯網系統安全分析

2.1 車載終端安全分析

TBOX 采用無線通信方式傳輸數據到TSP 平臺。相較于有線通信方式，無線通信數據在傳輸過程中更容易被非法攔截和獲取。例如，通過TSP 平臺的非授權控制，可以泄露車主以及車輛信息，并且遠程控制車輛。此外，大部分TBOX通過USB 接口給車機提供聯網服務。攻擊者可憑借此接口使用TBOX 的網絡服務，該接口需要具備服務端設備的鑒別能力，對不信任的服務端拒絕提供網絡服務。并且MICRO USB接口的接插件方式建議改為使用HSD 連接器。同時建議涂抹TBOX 主控MCU 芯片型號，如果沒有涂抹攻擊者就可以根據芯片手冊可以直接定位該芯片調試接口，如果芯片沒有做固件保護，則有被提取固件的風險。最后建議將私有TBOX網絡和企業內網做隔離和訪問控制，僅允許TBOX 訪問特定的業務，不可隨意訪問內網中的服務器。

車載終端的安全風險還體現在車機操作系統和車機的應用軟件上，當車主在線升級車機操作系統更好的體驗車輛的增值服務時，為聯網車輛帶來了新的風險：（1）車機操作系統本身包含漏洞，未及時更新補丁程序。（2）應用軟件被非法篡改并植入惡意代碼。

2.2 網絡傳輸安全分析

網絡傳輸域主要完成信息的傳輸工作，是連接TBOX 和TSP 平臺的通道。建議采取以下安全措施：

（1）在客戶端和服務端進行雙向的身份的證書校驗機制。

（2）對密碼等敏感信息在傳輸中進行加密處理。

（3）對安全有極高要求的業務，建議自定義私有協議完成文件的上傳下載任務。

如果通信不采用證書雙向驗證那么攻擊者可以通過抓包分析發現服務端未對客戶端進行身份校驗。此問題可以通過替換證書，進行中間人攻擊，截獲https 的通信數據，進行數據包的偽造或重放。

2.3 TSP 平臺安全分析

針對TSP 平臺本身的安全風險應該做好基本的加固操作，例如口令賬號的復雜設定，部署在邊界的服務器要加強訪問及接入審計策略，避免無關的人員可以訪問服務器，若服務器被未指定的網段訪問則服務器應該能夠向管理員發出報警郵件。在業務相關節點增加安全監控設備和安全審計設備，對訪問服務器的人員訪問進行安全審計以便可以在發生安全攻擊后有效的快速溯源。針對車聯網核心業務網絡按照資產重要度合理制定網絡架構，對相關業務進行安全域的劃分后，進行分級防護。防止單點被攻擊后發生可以串聯影響危害到其他服務器或者業務。另外在相關業務平臺管理上需要進一步規范，針對不相關的業務、端口不應暴露在公網。平臺以及管理員的用戶口令等敏感信息進行統一管理。加大力度檢查合規性配置等安全。建議TSP 平臺可參考OWASP Web、Mobile 等安全開發標準進行開發。

3 車聯網系統整體安全建議

經過全面對車聯網系統安全分析，發現TSP 平臺存在的比較高危的風險。通過手機APP 的安全漏洞可以橫向的獲取到其他車輛的敏感信息，PIN 碼繞過、越權修改用戶資料等邏輯漏洞會對用戶賬號安全造成極大威脅。如果將密碼爆破和PIN 碼繞過修改手機號兩個漏洞組合利用，可以批量獲取大量車聯網用戶賬號的控制權，進而橫向批量控制其他汽車。建議逐一進行風險點的修改加固和堵截。對于易整改，好加固的風險點進行一一檢查和修復。

3.1 開展車聯網安全測試工作

簡單的安全問題會對車聯網用戶以及整個車輛網業務造成很嚴重的威脅。由于整個車聯網系統中TBOX 部分有著重要作用，它承載著車聯網整體的網絡出口的介質，車內所有的數據都會經過TBOX 傳輸到整車廠的TSP 平臺。同時，車機系統也是車聯網系統重要的組成部分，車機系統承載著用戶娛樂以及反饋車身狀態的功能，車機一旦開放過多與車身交互的權限就無形中暴露出更多的安全風險。綜上所述，建議針對TBOX 和車機系統進行一次專項的安全評估，以便于發現相關未知的安全風險，加強整體車聯網系統的安全健康度。

3.2 制定和梳理對應開發文檔

安全開發設計文檔以及安全問題收集可以對車聯網系統起到安全引導的作用，以便于在后期產品開發可以規避一些常見的安全漏洞和風險。節約后期漏洞整改成本，這樣做的好處可以解決很多的測試人力成本經理，提高相應的軟件開發的效率。

3.3 安全運營平臺

車聯網信息安全是一件長期持續的事情，建議進行信息安全方面的運營，對在網的車載系統進行實時的監控檢測防護，全面的發現安全風險，保障汽車信息安全。加強安全設備和安全管控系統部署后一定程度上可以保證車聯網就安全穩定運行，同時對業務車聯網安全漏洞有效監測，周期的安全測試和全面監測保證車聯網出現漏洞或被入侵時及時響應確保車聯網安全可靠運行。在對車聯網業務上線后進行構建安全防護平臺，保證車聯網業務的安全開展。

4 總結

車聯網系統安全防護是一項較為復雜和系統的工作。在實際運用中，以上方法并不是獨立的。不會因為幾次測試就可以解決所有的安全風險，建議從以上述幾方面進行科學有效設計開發、管理、運維和監控監管并且提高對相關供應商的安全標準要求，保障新車車輛在SOP 前的安全，避免后期市場，存在車輛盜取或大批量被攻擊的風險。

當前，國內外對車聯網安全技術的研究和應用都還處于起步階段，如何將車聯網安全技術納入整車開發應是今后研究的重要方向。