網聯汽車信息交互系統安全分析

于奇，寧玉橋，霍全瑞

網聯汽車信息交互系統安全分析

于奇，寧玉橋，霍全瑞

（中汽數據有限公司，天津 300300）

隨著車聯網技術的發展，網聯汽車通信、娛樂功能越來越豐富，復雜的車載信息交互系統所面臨的安全威脅也越來越嚴重。文章從硬件、通信協議與接口、操作系統、應用軟件和數據五個方面對車載信息交互系統所面臨的安全威脅進行了介紹，并提出了相應防護措施。

信息交互系統；安全威脅；防護措施

前言

隨著智能網聯汽車的推廣與應用，智能網聯汽車的車聯網系統和智能終端設備所帶來的信息安全問題也亟待解決，包括無鑰匙進入和啟動系統被破解，安卓車機系統被持久root等，未來在V2X自動駕駛場景下的任何信息安全威脅，包括消息偽造、消息篡改、身份偽造等，均會對車輛和駕乘人員造成嚴重威脅，嚴重的甚至會威脅到國家安全、社會安全，因此亟需成熟的解決方案來對這些安全問題進行體系化、持續化測試[1]。

車載信息交互系統是網聯汽車最重要的組成部分之一，它關系到遠程車載信息交互系統（T-Box）、車載綜合信息處理系統（IVI）以及其混合體的安全，一旦被黑客攻破，后果不堪設想。

目前汽車安全測試人員更多憑借自身測試經驗與技術能力，依賴人工手段對智能網聯汽車進行測試，缺乏可對標的具體測試要求。如何切實有效的對一輛智能網聯汽車進行信息安全測試，并且能夠體系化對標相關測試標準，成為汽車信息安全測試行業目前面臨的亟待解決的難題。且隨著《車載信息交互系統信息安全技術要求》國家標準的發布，尋找一種方便快捷的網聯汽車信息交互系統安全檢測方法十分必要，這就要求我們首先需要了解車載信息交互系統所面臨的安全威脅有哪些，才能更好地針對這些威脅進行安全防護。

1 國內外車企信息安全現狀

1.1 國外研究現狀

歐美日等發達國家在關鍵零部件、核心芯片、研發系統、技術規范等方面有著十分明顯的優勢。歐洲在信息安全方面發展較早，在整車及零部件制造方面十分強大，著重交通一體化的建設，對車內關鍵零部件安全、智能交通安全和V2X通信安全十分重視，并完成了相關產品研發和技術推廣應用；美國則主張標準和技術先行的觀點，擁有十分強大的汽車網聯化、智能化技術和芯片制作技術；而日本則更注重對自動駕駛汽車信息安全的研究，擁有先進的汽車智能化技術[2]。

根據Upstream發布的“2021年全球汽車網絡安全報告”統計，從2010年到2020年十年間，49.3%的攻擊事件是由黑客造成的，其中其他事件是由企業活動導致私人信息無意泄露或被消費者發現的事件。

圖1 攻擊事件比例

1.2 國內研究現狀

我國直到最近幾年才開始關注汽車信息安全問題，然而由于發展時間較晚，技術積累有限，導致我們信息安全技術較弱。2016年底，工信部對國內的車企、零部件生產商進行了調研[3]，調研結果表明，大部分國內車企并未設置信息安全管理機構，缺少信息安全威脅應對方案，無法保證網聯汽車用戶進行實名認證等問題。

2 網聯汽車信息交互系統安全威脅

車載信息交互系統由T-box（遠程信息處理器）和IVI（車載信息娛樂系統）組成，其示意圖如圖2，主要提供對外通信，遠程控制，信息采集，定位防盜以及影音娛樂等功能。由于其系統復雜性、對外接口多樣性以及可讀寫CAN總線信息，因此其更容易被攻擊者利用，從而導致信息泄露甚至影響車輛安全駕駛[4]。

圖2 車載信息交互系統

車載信息交互系統所面臨的威脅包括硬件安全威脅、通信協議與接口安全威脅、操作系統安全威脅、應用軟件安全威脅以及數據安全威脅這五個部分，下面分別對這五個部分所包含的部分威脅進行詳細介紹。

2.1 硬件安全威脅

汽車零件制造商在制作T-Box和IVI時，為了調試方便，會在設備PCB上保留一些調試口，如JTAG，UART，USB等調試口，通常這些調試口信息并沒有進行安全加密，通過這些接口，可登錄到系統內部，甚至獲取到root權限，這就導致系統內的用戶數據信息面臨著被泄漏的風險，更嚴重的是通過篡改系統內部文件實現對車輛動力系統的控制；且部分零部件生產廠商在系統芯片上保留了芯片型號絲印，攻擊者可通過芯片型號，輕松查詢到該芯片各個引腳的定義，然后通過設備直接提取芯片固件或讀取芯片信息，獲取芯片內的信息。

2.2 通信協議安全威脅

通信協議包括對外通信協議和內部通信協議，對外通信協議包括公有遠程通信協議（例如HTTP、FTP等）、私有遠程通信協議、藍牙通信協議和Wi-Fi通信協議等，內部通信協議主要指CAN總線協議和以太網協議。無論是對外通信協議還是內部通信協議，均面臨著被攻擊的安全威脅。

對外通信協議可能受到中間人攻擊威脅、洪泛攻擊等。所謂中間人攻擊就是在通信雙方無法察覺的情況下，攻擊者將一臺設備放置在通訊車輛與服務平臺之間，對正常通訊信息進行監聽或篡改[5]。

車內通信如CAN總線協議可能面臨洪泛攻擊、重放攻擊等。洪泛攻擊是拒絕服務攻擊的一種[6]。由于車輛CAN總線采取的是基于優先級的串行通信機制，在兩個節點同時發送信息時，會發生總線訪問沖突，根據逐位仲裁原則，借助幀開始部分的標識符，優先級低的節點主動停止發送數據，而優先級高的節點繼續發送信息。因此攻擊者可通過OBD等總線接口向CAN總線發送大量的優先級較高的報文或者發送大量的ping包，導致系統忙于處理攻擊者所發送的報文，而無法對正常請求報文進行處理，導致車輛正常報文信息無法被識別從而造成危害。

重放攻擊可以利用總線數據檢測軟件，總線監聽軟件可通過OBD接口錄制車輛動作報文，并通過軟件replay功能重放該報文，從而實現對CAN總線進行攻擊。

2.3 操作系統安全威脅

網聯汽車操作系統以嵌入式Linux、QNX、Android操作系統為主，但是這些操作系統所使用的代碼十分復雜，不可避免的會產生安全漏洞，因此操作系統具有安全脆弱性，從而導致網聯汽車系統面臨著被惡意入侵、控制的風險。

操作系統除了面對自身漏洞的威脅，還面臨著系統提權、操作系統升級文件篡改等威脅。部分汽車操作系統保留了管理員權限，攻擊者可以通過命令獲取到管理員權限，從而對系統內的文件進行查看或修改。另外目前車輛幾乎均采用遠程無線下載方式進行升級，這種升級方式增強自身安全防護能力，但是這種升級方式也面臨著各種威脅，如：升級過程中，攻擊者通過篡改操作系統文件和MD5文件從而使篡改后的升級包通過系統校驗；傳輸過程中，攻擊者劫持升級包，進行中間人攻擊；生成過程中，若云端的服務器受到攻擊，會使惡意軟件隨升級包的下載而傳播。

2.4 應用軟件安全威脅

據調查表明，車載信息交互系統自帶的應用軟件和市場上的網聯汽車遠程控制App普遍缺乏軟件防護機制和安全保護機制。大部分車輛并未對未知應用軟件的安裝進行限制，甚至保留了瀏覽器的隱藏入口，這就導致黑客可以通過瀏覽器下載惡意軟件，從而發起對車載信息交互系統的攻擊。

而對于那些沒有保護機制的遠程控制App，攻擊者可以通過逆向分析軟件對這些App進行分析，可以查詢到TSP的接口、參數信息。而那些采取了軟件防護機制的遠程控制App也存在防護強度不夠的問題，具備一定黑客技術的攻擊者還是可以分析出App中存儲的秘鑰、接口等信息。

很多車載應用軟件在存儲車主敏感信息時，并未進行加密，攻擊者一旦登錄到車載信息交互系統內部，并獲取到根用戶權限，就可以輕松獲取用戶的個人信息。攻擊者還可以通過欺騙用戶下載木馬程序，從而獲取用戶登錄密碼?；蛘咧谱饕粋€假的登錄界面，誘導用戶在假的登錄界面進行登錄，從而盜取登錄信息。

2.5 數據安全威脅

網聯汽車數據安全同樣面臨著各種各樣的威脅，網聯汽車數據包括車主個人敏感數據、位置信息和Wi-Fi密碼等。大部分網聯汽車數據采取分布式技術進行存儲，然而在存儲這些數據的時候部分廠家并未進行數據加密，從而攻擊者很容易通過系統漏洞對這些數據進行竊取訪問、非法利用。

目前數據安全面臨著數據完整性、隱私性和可恢復性三大挑戰。完整性指的是信息在傳輸、交換、存儲和處理過程中，保持信息不被破壞或篡改、不丟失的特性，也是最基本的安全特征；隱私性即指不將有用信息泄漏給非授權用戶的特性；可恢復性指信息資源可被授權實體按要求訪問、正常使用或在非正常情況下能恢復使用的特性。

3 信息交互系統防護

3.1 硬件安全防護

硬件安全防護方面，可以將PCB上的絲印去除，增加攻擊者尋找調試口的難度；PCB上的調試點分布采取隨機化方式，增加尋找調試口的時間成本；制造商在產測結束后，燒掉CPU里的熔絲，從而禁止調試口的使用。

3.2 通信協議安全防護

通信協議安全防護方面，對外通信可使用安全機密的匹配模式，如雙向數字比較等，來進行安全機密的配對；通過對設備協議信息的加密保護，防止攻擊者嗅探到設備的關鍵信息并針對性的進行數據包破解分析、協議拒絕服務攻擊；內部通信可以在OBD處做好接入設備的認證鑒權機制，AUTOSAR架構中使用message counter等防止重放攻擊；關閉不必要的服務端口，防止攻擊者通過未關閉的端口登錄系統；設置指令白名單，對車載信息交互系統所發送或接受的信息進行白名單過濾，保證指令的合法性；對于總線上的控制指令進行指令來源校驗，防止惡意程序對車輛的控制。

3.3 操作系統安全防護

操作系統安全防護方面，供應商應確認未授權的用戶無法獲取根權限；操作系統安全啟動信任根存儲區域應禁止寫入數據，并且系統啟動時，應對啟動文件進行校驗，檢查文件的完整性和可用性；系統升級時，可以在云端保留升級包的MD5文件，升級時網聯車系統與云端MD5文件進行校驗，防止升級包被篡改；除了某些必要的接口與數據外，不同操作系統之前應禁止任何通信；系統應定期進行內存和系統垃圾的清理；非授權身份應禁止訪問系統日志，防止用戶信息等數據的泄漏。

3.4 應用軟件安全防護

車載應用軟件安全防護方面，可以通過代碼混淆、簽名校驗或加殼處理方式對應用軟件進行加固，防止黑客對應用軟件的逆向，從而保證信息不被泄露；應用軟件可采用代碼簽名機制，保證軟件代碼不會被篡改；系統應禁止安裝非官方授權的應用軟件，同時用戶也應該避免下載不明應用程序，防止惡意程序竊取信息；應用軟件對外通信的數據，應對用戶的個人敏感信息進行加密處理，并且進行雙向認證，防止數據被竊聽。

3.5 數據安全防護

數據安全防護方面，在數據采集時需要征求被采集人同意，并標明數據使用范圍；在數據傳輸過程中應采取加密傳輸方式，同時對數據的完整性進行校驗；在數據存儲時，應采用加密存儲方式，并對數據進行備份且進行安全隔離；訪問數據時，用戶只能在授權范圍內對數據進行訪問；數據銷毀時，對授權銷毀范圍內的數據進行銷毀，同時刪除備份數據，確保刪除的數據無法恢復。

4 結論

本文從硬件安全、通信協議安全、操作系統安全、應用軟件安全和數據安全這五個方面對網聯汽車所面臨的主要威脅進行了分析介紹，并針對這些安全威脅給出了相應的防護手段。除了汽車生產商需加強對網聯汽車信息交互系統安全防護措施外，還需完善法律法規和相應的檢測標準和技術規范，同時作為用戶也需提高安全防范意識，防止信息泄露。

[1] 蔣樹國,王建海,王小臣.智能網聯汽車落地面臨的挑戰與建議[J]. 微計算機信息,2018(7):33-37.

[2] 中國智能網聯汽車產業創新聯盟.智能網聯汽車信息安全白皮書[J].汽車工程,2017,39(06):697.

[3] 趙振堂.車載網絡異常檢測技術研究[D].天津:天津理工大學,2018.

[4] 王文揚,陳正,高夕冉,等.車載信息交互系統信息安全[J].信息技術與信息化,2018(12):106-107.

[5] 劉紅強.密碼與數據加密技術[J].活力,2019(5):229-229.

[6] 王效武,劉英.基于方向的重放攻擊防御機制[J].通信技術, 2019 (6):1500-1503.

Security Analysis of Information Interaction System for Networked Vehicles

YU Qi, NING Yuqiao, HUO Quanrui

( Automotive Data of China Co., Ltd., TianJin 300300 )

With the development of the internet of vehicles technology, the communication and entertainment functions of connected vehicles are becoming more and more abundant, and the security threats faced by the complex in-vehicle information interaction system are becoming more and more serious. This article introduces the security threats faced by the vehicle information interaction system from five aspects: hardware, communication protocol, operating system, application software and data, and gives corresponding protective measures.

Information interaction system;Security threats; Protective measures

U495

A

1671-7988(2021)20-34-04

U495

A

1671-7988(2021)20-34-04

10.16638/j.cnki.1671-7988.2021.020.009

于奇，就職于中汽數據有限公司，主要從事汽車信息安全技術研究等。