2023年12月13日发(作者:哈飞路宝油耗)
《智能网联汽车信息安全白皮书(2016)》
顾问委员会
主 任
李 骏
委 员
张进华 李克强 公维洁 李 斌 阚志刚
谢 飞 王 兆 李红建 刘法旺 陈晓东
编写委员会
主 任
王云鹏
委 员
余贵珍 卢佐华 秦洪懋 吴新开 罗璎珞 刘 丁 彭建芬
李 磊 叶林华 刘建行 许 庆 胡满江 孙海鹏 冀浩杰
王朋成 周云水前 言
自从 1886 年第一辆汽车诞生以来,便捷性与安全性之间的矛盾就在愈演愈
烈。2015 年 7 月,“白帽黑客”查理·米勒(Charlie Miller)和克里斯·瓦拉塞克
(Chris Valasek)演示了如何通过入侵克莱斯勒公司 Uconnect 车载系统,以远程指令
方式“劫持”正在行驶中的 Jeep 自由光,并最终导致其“翻车”。一连串对智能网
联汽车的攻击破解,使得人们对其安全性画上了一个大大的问号。而在 2017 年上
映的《速度与激情 8》里,黑客通过入侵智能网联汽车自动驾驶系统,控制上千辆
无人汽车组成了一支庞大的“僵尸车”军团,其超强的破坏能力不仅令人印象深
刻,更加速了人们对于智能网联汽车信息安全问题的深入审视。
早在 2015 年国务院印发的《中国制造 2025》里,就已经将无人驾驶汽车作为
汽车产业未来转型升级的重要方向之一,“十三五”规划中更是提出要积极发展智
能网联汽车的目标。2017 年 4 月,由工业和信息化部、国家发展和改革委员会、
科技部联合印发的《汽车产业中长期发展规划》中,明确提出到 2020 年,要培育
形成若干家进入世界前十的新能源汽车企业,智能网联汽车与国际同步发展;到
2025 年,新能源汽车骨干企业在全球的影响力和市场份额进一步提升,智能网联
汽车进入世界先进行列。
有调查数据显示,2015 年中国乘用车销量达 2114.6 万台,预计到 2020 年销量
将达 2773.3 万台。2015 年中国智能驾驶乘用车渗透率为 15%,预计到 2019 年这一
数据将上升至 50%。而 2015 年中国智能驾驶的市场规模已经达到 353 亿元人民
币,预计到 2020 年中国智能驾驶市场规模将超过千亿人民币大关。
智能网联汽车的未来发展态势十分明确,那么如何才能解决日益凸显的便捷性
与安全性之间的矛盾就显得极为重要了。作为物联网重要节点之一的智能网联汽车,具有十分显著的终端设备属性。智
能网联汽车内部包含了车载传感器、控制器、执行器等装置,融合了现代通信与网
络技术,能够实现车与 X(车、路、人、云等)的智能信息交换、共享,能够感知
周边复杂环境即时做出智能决策,帮助驾驶人员达成对智能网联汽车自身的协同控
制,并最终可替代人实现“安全、高效、舒适、节能”的自动化智能驾驶。
于 2017 年 6 月 1 日正式施行的《中华人民共和国网络安全法》要求智能网联
汽车制造厂商、车联网运营商“采取技术措施和其他必要措施,保障网络安全、稳
定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整
性、保密性和可用性。”
而在 2016 年 11 月美国国家公路交通安全管理局所发布的《汽车最佳网络安全
指南》里也明确指出,要对智能网联汽车实施广泛的网络安全测试,防止汽车接入
未授权的网络,保护关键安全系统和个人数据。同时还需要智能网联汽车具有能够
从网络攻击中快速恢复的能力。
近两年,随着人们对于智能网联汽车安全性重视的提升,国内外各类相关安全
白皮书纷纷发布,并从智能网联汽车安全技术、车联网网络安全问题等角度进行了
探索。人们在不断对传统信息安全与智能网联汽车信息安全之间的异同进行剖析,
并借鉴传统信息安全思路探寻构建更适于智能网联汽车的信息安全思维模式与组织
框架。本次所撰写的白皮书会更为深入地探讨智能网联汽车的本质安全问题所在,
构筑能够对智能网联汽车未来信息安全起到核心支撑作用的方法论,描绘出智能网
联汽车整体信息安全框架。
本白皮书将综合分析国内外智能网联汽车安全产业现状与发展趋势,解析智能
网联汽车所面临的安全威胁,提出智能网联汽车信息安全方法论,构建智能网联汽
车安全保障体系。并深入探讨智能网联汽车关键安全防护技术,绘制典型智能网联汽车攻击路径图。希望白皮书的编撰能够为车联网与智能网联汽车的安全发展提供
科学决策依据,促进智能网联汽车产业的健康成长。目 录
一、国内外智能网联汽车产业现状和发展趋势 .............................................................1
1.1 智能网联汽车信息安全发展态势 ......................................................................1
1.2 国内外车企信息安全现状 ..................................................................................2
1.3 国内外汽车信息安全标准规范现状 ..................................................................3
二、智能网联汽车面临的信息安全威胁和挑战 .............................................................6
2.1 车载终端节点层安全威胁分析 ..........................................................................7
2.1.1 终端节点层安全威胁 ...............................................................................7
2.1.2 车内网络传输安全威胁 .........................................................................11
2.1.3 车载终端架构安全威胁 .........................................................................12
2.2 网络传输安全威胁 ............................................................................................12
2.3 云平台安全威胁................................................................................................14
2.4 外部互联生态安全威胁 ....................................................................................15
2.4.1 移动 App 安全威胁 ................................................................................15
2.4.2 充电桩信息安全威胁 .............................................................................15
2.5 智能网联汽车信息安全威胁总结分析 ............................................................16
三、智能网联汽车信息安全方法论 ...............................................................................18
四、智能网联汽车安全保障体系 ...................................................................................22
五、智能网联汽车关键安全防护技术 ...........................................................................26
5.1 车辆安全防护技术 ............................................................................................26
5.1.1 可信操作系统安全 .................................................................................26
5.1.2 固件安全 .................................................................................................27
5.1.3 数据安全 .................................................................................................28
5.1.4 密钥安全 .................................................................................................29
5.1.5 FOTA ........................................................................................................30
5.2 网络安全防护技术 ............................................................................................30
5.2.1 网络传输安全 .........................................................................................30
5.2.2 网络边界安全 .........................................................................................32
5.3 云平台安全防护技术 ........................................................................................33
5.3.1 云平台安全 .............................................................................................335.3.2 云平台可视化管理 .................................................................................34
5.4 新兴外部生态安全防护技术之移动 App 安全................................................35
5.5 智能网联汽车生态安全检测 .............................................................................37
六、典型智能网联汽车攻击路径图 ...............................................................................39
6.1 窃取车辆 GPS 轨迹数据...................................................................................39
6.2 攻击主动刹车功能 ............................................................................................42
七、结束语.......................................................................................................................46智能网联汽车信息安全白皮书
一、国内外智能网联汽车产业现状和发展趋势
1.1 智能网联汽车信息安全发展态势
当今世界,在互联网多模式发展和工业智能化趋势的背景下,传统制造业逐渐
向“智能制造”转型升级。在此背景下,汽车产业在移动互联、大数据及云计算等
技术的推动下向智能化、网联化发展的趋势愈发明显。智能网联汽车作为创新发展
的新方向,将汽车产业带入到多领域、大系统融合的高速发展时期,整车厂、零部
件厂商、互联网公司等都在积极开展相关技术研发和产业布局,并不断推出互联智
能汽车、自动驾驶汽车、共享汽车、车联网等概念和技术。2017 年 4 月,由工业和
信息化部、国家发展和改革委员会、科技部印发的《汽车产业中长期发展规划》更
是将智能网联汽车作为汽车产业的战略目标之一。据中国产业信息网预测,至 2020
年,智能网联汽车市场规模可达 1000 亿元以上。可以预见,智能网联汽车在未来
必将推动汽车产业的转型升级与结构优化。
而随着汽车智能化、网联化和电动化程度的不断提高,智能网联汽车信息安全
问题日益严峻,信息篡改、病毒入侵等手段已成功被黑客应用于汽车攻击中,特别
是近年来不断频发的汽车信息安全召回事件更是引发行业的高度关注。智能网联汽
车的信息安全危机不仅能够造成个人隐私、企业经济损失,还能造成车毁人亡的严
重后果,甚至上升成为国家公共安全问题。尽管当前智能网联汽车的安全漏洞尚未
被广泛利用,但是据统计,有 56%的消费者表示信息安全和隐私保护将成为他们未
来购买车辆时主要考虑的因素。由此可见,智能网联汽车信息安全已经成为汽车产
业甚至社会关注的焦点。
1智能网联汽车信息安全白皮书
1.2 国内外车企信息安全现状
信息安全问题是汽车智能化和网联化发展的必然产物,各个汽车产业强国在发
展智能汽车过程中不同程度地意识到信息安全的潜在危害,特别是整车厂和零部件
厂商均在研发不同的应对策略。
欧美日等国家因为数十年的工业积累拥有先天的资源优势,尤其在核心芯片、
关键零部件、研发系统、技术规范等方面。其中美国在汽车网联化技术、智能化技
术和芯片技术方面优势明显,提倡汽车从全生命周期各个流程考虑信息安全因素,
主张标准和技术规范先行;欧洲拥有强大的整车及零部件企业,侧重于交通一体化
建设,在信息安全方面更多关注于车内关键零部件安全、智能交通安全和 V2X 通
信安全,并已完成相关产品研发和技术推广应用;日本在汽车智能化发展较为领先,
信息安全方面更多侧重于自动驾驶汽车。
2015 年 2 月,美国麻州参议员爱德华?马基针对智能网联技术的普及程度、车
企现阶段的黑客安防措施、个人数据收集储存和管理、数据防恶意攻击安全措施等
问题,调研了包括宝马、克莱斯勒、大众、本田、现代、奔驰、丰田、沃尔沃等在
内的 16 家车企。调研结果发现:大多数车企尚未意识到信息安全威胁,现有的安
全保护措施未标准化且较随意,大多数车企不能实时或者主动应对安全入侵,车企
当前收集的用户数据没有保护措施且用途不明。近年来特斯拉、宝马、克莱斯勒、
丰田等国外众多汽车品牌信息安全漏洞频频曝光,这也凸显了国外汽车行业当前信
息安全防护能力依然不足的严峻问题。
在国内,汽车信息安全问题近两年来才逐渐受到关注,但是行业普遍缺乏系统
认知,安全技术参差不齐。为此,2016 年底工信部委托车载信息服务产业联盟网络
安全委员会对我国自主及在华外资车企、终端、零部件厂商等 15 家单位展开调研。
通过调研发现存在国内整车厂基本没有专门信息安全管理机构,现有 TSP 供应商
2智能网联汽车信息安全白皮书
在服务平台信息安全建设方面较为初级且缺乏系统性解决方案,车主用户数据管理
体系缺失,车辆系统安全漏洞修复机制匮乏,网联车辆用户实名认证无法保证等问
题。
1.3 国内外汽车信息安全标准规范现状
智能网联汽车信息安全标准规范研究方面,欧美日等世界汽车强国都在积极推
动相关标准和技术规范制定工作。美国在谷歌、苹果、微软等互联网巨头以及福特、
通用、特斯拉等汽车制造商的大力支持下,政府和行业对汽车信息安全关注较早。
2016 年 1 月,美国汽车工程师学会(SAE)率先推出了全球首部汽车信息安全指南
SAE J3061,为汽车产业提供了参考和建议。同年 10 月份,美国 NHTSA 发布了《现
代汽车信息安全最佳实践》,针对快速发展的智能网联汽车信息安全及隐私保护等
问题推出了最佳实践框架结构。
欧洲依托强大的汽车制造商和零部件厂商,专注于汽车零部件及网络通信安全。
欧盟委员会自 2008 年开始分别开展了 EVITA、OVERSEE、PRESERVE 等项目,
从汽车硬件安全、车辆通信系统架构、V2X 通信安全等方面提出了解决方案和技术
规范,部分技术成果已实现产业化应用。另外,欧洲电信标准协会(ETSI)针对智能
网联汽车与智能交通系统(ITS)制定了系列信息安全标准,涉及 ITS 安全服务架构、
ITS 通信安全架构与安全管理、可信与隐私管理、访问控制和保密服务等方面。
日本作为全球网联车辆的先行者,政府很早就开始重视智能网联汽车的信息安
全问题,并且制订了相关对策和管理方针。2013 年,日本信息处理推进机构(IPA)
根 据国 内汽车 行业调 研情 况推出 汽车 信息安 全指 南 (Approaches for Vehicle
Information Security),该指南从汽车可靠性角度出发,通过对汽车安全的攻击方式
和途径分析定义了一种汽车信息安全模型“IPA Car”,并提出了汽车生命周期安全
保护措施。
3智能网联汽车信息安全白皮书
国际上,世界车辆法规协调论坛(UN/WP.29)于 2014 年 12 月成立了智能交通与
自动驾驶非正式工作组 ITS/AD,同时将汽车信息安全标准纳入协调范围,并于 2016
年 12 月组建了信息安全标准制定任务组,围绕汽车网络安全、数据保护及软件升
级三部分内容开展相关国际法规及标准制定工作。2016 年 10 月,ISO/TC22 道路
车辆技术委员会与美国 SAE 以联合工作组的形式成立了 ISO/SAE/JWG Automotive
Security 信息安全工作组,正式启动了 ISO 层面的国际标准法规制定工作。
国内近两年也开始重视智能网联汽车的信息安全问题,在以政府引导、产业联
盟推动、标准委员会执行的模式下积极开展汽车信息安全系列标准制定工作。政府
引导方面,国务院在 2015 年推出的《中国制造 2025》中提出建立智能制造标准体
系和信息安全保障体系,首次将汽车信息安全纳入到国家重大发展战略当中。2016
年 11 月 7 日,国家发布了《中华人民共和国网络安全法》,明确要求包括车厂、车
联网运营商在内的网络运营者需“履行网络安全保护义务,应当依照法律、行政法
规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、
稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整
性、保密性和可用性。”该法于 2017 年 6 月 1 日起正式施行,客观上对网联车辆运
营者提升网络安全意识、积极采取网络安全防护措施具有重要意义。
产业联盟推动方面,2016 年 7 月在长春,由中国一汽集团和北京航空航天大
学发起,依托于中国汽车工程学会成立的国内首个汽车信息安全委员会,主要致力
于推动行业资源融合、标准立项、技术推广等内容。同年 11 月,由车载信息服务
产业应用联盟(TIAA)发起,国家互联网应急中心、工信部情报研究所、中国电科第
30 研究所等成员单位牵头在成都正式成立了车载信息服务产业应用联盟网络安全
委员会,主要立足于电子信息技术与汽车、交通行业的深度融合,推动网络安全技
术体系和核心技术标准形成,构建安全、和谐的车载信息服务应用环境。2017 年 2
月,TIAA 在第六届车载信息服务产业年会期间发布了《2016 年车联网网络安全白
4智能网联汽车信息安全白皮书
皮书》和《车联网网络安全防护指南细则(讨论稿)》,介绍了我国当前车联网网络
安全政策、法规、标准、产品、应用等方面的实际情况与现实需求,总结了当前我
国车联网的网络安全发展情况。
标准制定方面,全国汽车标准化技术委员会(简称“汽标委”)于 2016 年推出
了《智能网联汽车标准体系建设方案》(第 1 版),信息安全标准体系(204)作为其重
要组成部分,支撑着智能网联汽车标准体系的整体架构。2016 年底,汽标委 ADAS
标准工作组组织行业内外汽车信息安全相关技术机构、企事业单位专家组成了汽车
信息安全标准任务组,开展了国内汽车信息安全标准制定及联合国、ISO 等层面国
际汽车信息安全标准法规协调的工作。
5智能网联汽车信息安全白皮书
二、智能网联汽车面临的信息安全威胁和挑战
随着网络通信技术的不断发展,汽车的网络化程度也在不断提高。人们借助各
种网络通信技术实现了对汽车的更多控制,例如导航定位,“车、人、路”三方通
信等功能。智能网联汽车的发展为人们生活带来了各种便利,但也暴露出汽车容易
被远程攻击、恶意控制的安全隐患,甚至存在入网车辆被大批量操控,造成重大社
会事件的巨大风险。智能网联汽车目前面临的主要风险威胁如下图所示:
图 1 智能网联汽车的 4 层威胁+12 大风险
6智能网联汽车信息安全白皮书
2.1 车载终端节点层安全威胁分析
2.1.1 终端节点层安全威胁
2.1.1.1 T-BOX 安全威胁
T-BOX(Telematics BOX,简称 T-BOX)在汽车内部扮演“Modem”角色,实
现车内网和车际网之间的通信,负责将数据发送到云服务器。T-BOX 是实现智能化
交通管理、智能动态信息服务和车辆智能化控制不可或缺的部分。某种程度上来说,
T-BOX 的网络安全系数决定了汽车行驶和整个智能交通网络的安全,是车联网发
展的核心技术之一,T-BOX 系统架构图如下:
图 2 T-BOX 系统架构图
常规条件下,汽车消息指令在 T-BOX 内部生成,并且在传输层面对指令进行
加密处理,无法直接看到具体信息内容。但恶意攻击者通过分析固件内部代码能够
轻易获取加密方法和密钥,实现对消息会话内容的破解。尤其是有些 T-BOX 出厂
时会预留调试接口,如果完整分析 T-BOX 的硬件结构、调试引脚、Wi-Fi 系统、串
7智能网联汽车信息安全白皮书
口通信、MCU 固件、CAN 总线数据、T-BOX 指纹特征等研究点,攻破 T-BOX 的
软硬件安全防护将非常容易。而一旦 ARM 和 MCU 单片机之间的串口协议数据被
恶意劫持,攻击者就能够对协议传输数据进行篡改,进而可以修改用户指令或者发
送伪造命令到 CAN 控制器中,实现对车辆的本地控制与远程操控。
2.1.1.2 IVI 安全威胁
车载信息娱乐系统(In-Vehicle Infotainment,简称 IVI),是采用车载专用中央
处理器,基于车身总线系统和互联网服务形成的车载综合信息娱乐系统。IVI 能够
实现包括三维导航、实时路况、IPTV、辅助驾驶、故障检测、车辆信息、车身控制、
移动办公、无线通讯、基于在线的娱乐功能及 TSP 服务等一系列应用,极大地提升
了车辆电子化、网络化和智能化水平。但车载综合娱乐系统的高集成度使其所有接
口都可能成为黑客的攻击节点,因此 IVI 的被攻击面将比其他任何车辆部件都多。
攻击者既可以借助软件升级的特殊时期获得访问权限进入目标系统,也可以将 IVI
从目标车上“拆”下来,分解 IVI 单元连接,通过对电路、接口进行逆向分析获得
内部源代码。
例如,2016 年宝马车载娱乐系统 ConnectedDrive 所曝出的远程操控 0day 漏洞
里,其中就包含会话漏洞,恶意攻击者可以借助这个会话漏洞绕过 VIN(车辆识别
号)会话验证获取另一用户的 VIN,然后利用 VIN 接入访问编辑其他用户的汽车
设置。
2.1.1.3 终端升级安全威胁
智能网联汽车如果不能及时升级更新,就会由于潜在安全漏洞而遭受各方面
(如 4G、USB、SD 卡 、OBD 等渠道)的恶意攻击,导致车主个人隐私泄露、车载
软件及数据被窃取或车辆控制系统遭受恶意攻击等安全问题。特斯拉、Jeep 等就曾
因类似信息安全事件而不得不实施汽车召回。
8智能网联汽车信息安全白皮书
因此,智能网联汽车需要通过 OTA 升级的方式来增强自身安全防护能力。但
OTA 升级过程中也面临着各种威胁风险,包括:
(1)升级过程中,篡改升级包控制系统,或者升级包被分析发现安全漏洞;
(2)传输过程中,升级包被劫持,实施中间人攻击;
(3)生成过程中,云端服务器被攻击,OTA 成为恶意软件源头。
另外 OTA 升级包还存在被提权控制系统、ROOT 设备等隐患。
因此车载终端对更新请求应具备自我检查能力,车载操作系统在更新自身分区
或向其他设备传输更新文件和更新命令时,应能够及时声明自己身份和权限,也就
是对设备端合法性进行认证。同时,升级操作应能正确验证服务器身份,识别出伪
造服务器,或者是高风险链接链路。升级包在传输过程中,应借助报文签名和加密
等措施防篡改、防伪造。如果升级失败,系统要能够自动回滚,以便恢复至升级前
的状态。
2.1.1.4 车载 OS 安全威胁
车联网时代,汽车通过车载电脑系统可与智能终端、互联网等进行连接,实现
娱乐、导航、交通信息等服务。车载电脑系统常采用嵌入式 Linux、QNX、Android
等作为操作系统,由于操作系统代码庞大且存在不同程度的安全漏洞,操作系统自
身的安全脆弱性将直接导致业务应用系统的安全智能终端面临被恶意入侵、控制的
风险。
另外,由于车联网应用系统复杂多样,某一种特定的安全技术不能完全解决应
用系统的所有安全问题。一些通用的应用程序如 Web Server 程序、FTP 服务程序、
E-mail 服务程序、浏览器和 Office 办公软件等自身的安全漏洞及由于配置不当所造
成的安全隐患都会导致车载网络整体安全性下降。
除此之外,智能终端还存在被入侵、控制的风险,一旦智能终端被植入恶意代
9智能网联汽车信息安全白皮书
码,用户在使用智能终端与车载系统互连时,智能终端里的恶意软件就会利用车载
电脑系统可能存在的安全漏洞,实施恶意代码植入、攻击或传播,从而导致车载电
脑系统异常甚至接管控制汽车。
如果类似“永恒之蓝 WannaCry”的勒索软件病毒感染了车载电脑系统,其将
锁定智能网联汽车的操控界面,对处于正常状态下的车辆造成干扰,甚至导致驾驶
者失去车辆的控制权。如果“失控”车辆正好处于高速行驶状态,那么车毁人亡惨
剧发生的几率将会极高。
2.1.1.5 接入风险:基于车载诊断系统接口(OBD)的攻击
现在的智能网联汽车内部都会有十几个到几十个不等的 ECU,不 同 ECU 控制
不同的模块。OBD 接口是汽车 ECU 与外部进行交互的唯一接口,它具备以下功能:
(1)能够读取汽车 ECU 的信息,比如 17 位 VIN 码、ECU 硬件信息等;
(2)能够读取汽车的当前状态,比如当前车速、胎压等等;
(3)能够读取汽车的故障码,快速定位汽车故障位置,并且清除故障码;
(4)能够对汽车预设置动作行为进行测试,比如车窗升降、引擎关闭等;
(5)除上述基本的诊断功能之外,还可能具备刷动力、里程表修改等复杂的特殊
功能。
OBD 接口作为总线上的一个节点,不仅能监听总线上面的消息,而且还能伪
造消息(如传感器消息)来欺骗 ECU,从而达到改变汽车行为状态的目的。通过在
汽车 OBD 接口植入具有无线收发功能的恶意硬件,攻击者可远程向该硬件发送恶
意 ECU 控制指令,强制让处于高速行驶状态下的车辆发动机熄火、恶意转动方向
盘等,从而达到车毁人亡的目的。
2.1.1.6 车内无线传感器安全威胁
智能网联汽车为确保其便捷性和安全性,使用了大量传感器网络通信设备。但
10智能网联汽车信息安全白皮书
是传感器也存在通讯信息被窃听、被中断、被注入等潜在威胁,甚至通过干扰传感
器通信设备还会造成无人驾驶汽车偏行、紧急停车等危险动作。
例如,汽车智能无钥匙进入系统(PKE),是由发射器、遥控中央锁控制模块、
驾驶授权系统控制模块三个接收器及相关线束组成的控制系统。这种系统采用
RFID(无线射频识别)技术,通常情况下,当车主走近车辆大约一米以内距离时,
门锁就会自动打开并解除防盗;当离开车辆时,门锁会自动锁上并进入防盗状态。
但是黑客可以通过寻找无线发射器信号规律、挖掘安全漏洞等方式着手,进行破解,
最终达到非授权条件下的开门。2016 年就曾爆出黑客通过对 PKE 无线信号进行“录
制重放”的方法破解了特斯拉 Model S 车型的 PKE 系统。
2.1.2 车内网络传输安全威胁
汽车内部相对封闭的网络环境看似安全,但其中存在很多可被攻击的安全缺口,
如胎压监测系统、Wi-Fi、蓝牙等短距离通信设备等。
车载网络通信协议安全防护措施较弱,如 CAN 和 LIN 由于应用在相对封闭环
境,加之传感器计算能力有限,采用的安全防护措施薄弱,除简单校验外未作更多
机密性保护动作,不能抵御攻击者针对性的传感器信息采集、攻击报文构造、报文
协议分析和报文重放等攻击。而车内的 ECU 单元又是通过 CAN、LIN 等网络进行
连接,如果黑客攻入了车内网络则可以任意控制 ECU,或者通过发送大量错误报
文导致 CAN 总线失效,进而致使 ECU 失效。由此可见,车内网络传输安全极为重
要。
11智能网联汽车信息安全白皮书
图 3 车内网络传输概况
2.1.3 车载终端架构安全威胁
现在每辆智能网联汽车基本上都装有五六十个 ECU 来实现移动互联的不同功
能,甚至是车与车之间的自由“交流”,操作系统生态数据的无缝交换等。因此,
智能网联汽车的信息安全需要考虑车载终端架构的安全问题。
传统车载软件仅需处理 ECU 通过传感器或其他电控单元接收的数据即可。然
而,ECU 设计之初并不具备检测每个 CAN 上传数据包的功能,进入智能网联汽车
时代后,其接收的数据不仅包含从云端下载的内容,还有可能接收到那些通过网络
连接端口植入的恶意软件,因此大大增加了智能网联汽车被“黑”的风险。
2.2 网络传输安全威胁
车联网系统由平台、网络、车载和终端等多个子系统组成,在平台层还与多个
12智能网联汽车信息安全白皮书
App 服务商的子系统连接。“车-X”(人、车、路、互联网等)通过 Wi-Fi、移动通
信网(2.5G/3G/4G 等)、DSRC 等无线通信手段与其它车辆、交通专网、互联网等进
行连接。
上述无线通信方式自身就存在网络加密、认证等方面的安全问题,因而“车-X”
网络也继承了上述通信网络所面临的安全风险。此外车联网的互联网应用平台作为
互联网上的服务,不可避免地面临因互联网服务应用漏洞带来的安全威胁。
网络传输安全威胁指车联网终端与网络中心的双向数据传输安全威胁,主要存
在三大安全风险:
(1)认证风险:没有验证发送者的身份信息、伪造身份、动态劫持等;
(2)传输风险:车辆信息没有加密或强度不够、密钥信息暴露、所有车型使
用相同的对称密钥;
(3)协议风险:通信流程伪装,把一种协议伪装成另一种协议。
在自动驾驶情况下,汽车会按照 V2X 通信内容判断行驶路线,攻击者可以利
用伪消息诱导车辆发生误判,影响车辆自动控制,促发交通事故。从如下来源于《美
国交通运输省》的一张图片上可以比较清晰地看出 V2X 通信的潜在威胁。
13智能网联汽车信息安全白皮书
图 4 V2X 通信潜在威胁
2.3 云平台安全威胁
智能网联汽车管控中心的云平台同样面临着各种恶意威胁,除了需要病毒防护、
中间件安全防护以及访问控制防护外,还需要重视数据安全防护问题,防止车主存
储到云端的数据(特别是隐私数据)意外丢失,或被别人窃取访问、非法利用。
目前大部分车联网数据使用分布式技术进行存储,主要面临的安全威胁包括黑
客对数据恶意窃取和篡改、敏感数据被非法访问等,目前云平台数据安全问题主要
面临以下三大挑战:
(1)数据的隐私性:通过智能终端 GID 或 OBD 设备采集上传到云平台中的
数据,会涉及到车主车辆相关的私密数据,如何保证车云平台存储的用户隐私信息
不被泄露?
(2)数据的完整性:数据的完整性是车联网大数据研究的基础,如何保证存
14智能网联汽车信息安全白皮书
储在云端的用户数据完整性不被破坏?
(3)数据的可恢复性:用户对存储在车云平台的数据进行访问时,服务商需
要无差错响应用户的请求,如遇到安全攻击事件,服务商如何保证出错数据的可恢
复性?
未来,随着智能网联汽车持续发展,数据安全、访问控制等风险威胁也会越来
越多,云端安全威胁不容忽视。
2.4 外部互联生态安全威胁
2.4.1 移动 App 安全威胁
目前,市场上大多数智能网联汽车远程控制 App 甚至连最基础的软件防护和
安全保障都不具备。黑客只需对那些没有进行保护的 App 进行逆向分析挖掘,就
可以直接看到 TSP(远程服务提供商)的接口、参数等信息。即使某些车辆远程控
制 App 采取了一定安全防护措施,但由于安全强度不够,黑客只需具备一定的技
术功底,仍然可以轻松发现 App 内的核心内容,包括存放在 App 中的密钥、重要
控制接口等。
2017 年 2 月,卡巴斯基爆出多款汽车 App 存在安全漏洞。目前许多远程控制
App 的车主个人隐私信息都是以未加密形态简单储存于车主手机中,黑客只需
ROOT 用户手机,就能以根用户名义将用户信息发送到后台主机。黑客还可以诱导
用户下载恶意程序,窃取登录信息,或者通过其他恶意软件进行“覆盖”攻击,在
用户启动 App 的同时创建一个伪造登录界面诱导用户登录,实现对用户信息的窃
取。此外黑客亦可进行多重覆盖攻击,理论上可以窃取用户的全部个人信息。
2.4.2 充电桩信息安全威胁
充电桩是电动汽车服务运营的重要基础设施,其输入端与交流电网直接连接,
15智能网联汽车信息安全白皮书
输出端装有充电插头用于为电动汽车充电。由充电桩组成的网络称之为“桩联网”,
目前很多“桩联网”解决方案都是承载在传统以太网或者是无线传输网络当中。人
们可以在充电桩提供的人机交互操作界面上刷卡,进行相应的充电方式、充电时间、
费用数据打印等操作,充电桩显示屏能显示充电量、费用、充电时间等数据。
“桩联网”在为大家出行带去便利的同时,也面临着各种信息安全问题。在充
电桩网络中传输的数据信息可能遭到截获、窃取、破译、被动攻击或者非法冒充、
恶意篡改等恶意威胁,而且充电桩内部网络基本上没有采取任何安全防护措施,一
旦黑客通过互联网入侵到“桩联网”,就可以控制充电桩的电压,甚至可以随意修
改充电金额等数据,对充电桩的健康发展造成无法弥补的影响。
2.5 智能网联汽车信息安全威胁总结分析
从整体趋势来看,车载终端类型和数量的不断增多,导致车载终端所面临的安
全威胁类型也在不断增多,终端的节点层、车内传输层、终端架构层的安全风险将
持续增大。车载终端的信息安全问题必须得到足够重视。以智能网联汽车信息安全
方法论为指导,系统分析漏洞与威胁风险,实施有针对性的安全防护策略,并部署
相关安全解决方案,才能保证整体安全防护的有效性及科学执行。
同时,智能网联汽车在移动终端、移动通信网络、移动接入管理和业务平台之
间的网络传输风险也需引起足够重视,尤其是车联网终端与网络中心的双向数据传
输安全威胁。
除此之外,未来随着智能网联汽车地持续发展,云端安全威胁不容忽视。考虑
到车联网中的数据采集上传方式和云端平台的海量数据存储处理特性,需要尽快找
寻更为适合的智能网联汽车云平台数据安全解决方案。
最后,智能网联汽车的快速发展,使得越来越多的操控 App、充电桩等外部生
态组件开始频繁接入汽车,而每个接入点都意味着新风险点的引入。考虑到智能网
16智能网联汽车信息安全白皮书
联汽车外联设备组件获取成本低及安全防护能力不足的特性,其必将成为黑客的攻
击重点,更应该引起人们重视。
17三、智能网联汽车信息安全方法论
与传统信息安全相同的是,针对智能网联汽车的各类入侵攻击依然需要利用
其自身各个维度、层面的安全漏洞方可实施,这意味着封堵软件(各类智能网联
汽车控制代码)、硬件(各类智能网联汽车构成物理组件)与生态系统等维度层面
的安全漏洞是当前解决智能网联汽车信息安全的核心重点。然而智能网联汽车典
型的智能终端属性特征,又使得对其的安全防护不能直接采用传统安全解决方
案,需要依照智能网联汽车的系统架构特性,实施更具针对性的安全保护,从智
能网联汽车的生命周期着手,既要深入到智能网联汽车内部的小微生态环境中,
更要结合其所处场景环境。智能网联汽车拥有诸多功能模块,需要考虑将这些模
块按照功能属性进行划分,实施不同的防御策略。而当智能网联汽车遭遇恶意攻
击后,如何应急响应、如何升级防护也十分重要。
这里有一点需要特别强调:智能网联汽车由于智能性的极大提升,虽然使得
驾驶者能够享受更多便捷,但其复杂度也在变得更高。驾驶者对于智能网联汽车
操控使用的正确与否,将直接左右智能网联汽车信息安全问题变得更为糟糕或者
更为稳固。所以,“人”这个要素也需要在智能网联汽车信息安全方法论里予以考
量。
本白皮书首次建立智能网联汽车信息安全方法论,用于指导智能网联汽车信
息安全建设工作的全面展开。
1、智能网联汽车信息安全生命周期融合化
18智能网联汽车信息安全白皮书
智能网联汽车生命周期可以划分为:策划设计阶段、生产阶段、交付使用阶
段、废弃阶段这四个部分。智能网联汽车的信息安全防护需要完整贯穿全生命周
期,并能够与之彻底融合,实现全生命周期的智能网联汽车信息安全防护。
策划设计阶段:在新款智能网联汽车策划设计伊始,就需要将信息安全作为
必选项予以考虑。需要汽车工业设计人员与信息安全人员,分别从智能网联汽车
自身安全性与其信息安全性两方面实施联合可行性论证。在具体功能模块设计过
程中,要综合考虑该模块的功能、性能与信息安全,制定相关威胁模型、安全防
护模型以及应对防御策略模型。通过多层面的安全检测,验证整体设计方案的正
确性、安全性与可行性。
生产阶段:在开发生产样车过程中,要严格遵循信息安全开发准则,避免此
阶段新安全隐患问题的意外引入。同时要展开阶段性的安全测评工作,随时发现
安全漏洞,随时进行整改。当进入批量生产阶段时,更需要执行严格的智能网联
汽车信息安全检测、监控、验证工作。
交付使用阶段:威胁情报分析预警、智能网联汽车安全运营、安全事件应急
响应三者紧密关联,做到严密监控、提前防御、平稳运营、响应及时、应对精
准。
废弃阶段:当智能网联汽车进入最后的废弃阶段时,需要提前将各模块里的
数据信息进行彻底擦除,对重要信息进行备份。
2、分域隔离、纵深防御
现在智能网联汽车内部一般会有十几个到数十个不等的 ECU,不 同 ECU 控制
不同功能模块。“智能化”作为智能网联汽车的核心要素,使得其内部功能模块增
多,恶意攻击面变大,安全防护难度增加。随着汽车智能化和网联化程度的提升,
汽车内部的 ECU 模块越来越多。为便于控制和节省空间,相同功能或类似功能的
ECU 会逐渐进行集成,车辆内部网络将逐步采用“域控制”的集成控制方式。根据
19信息安全保护思想,在智能车辆内部的感知域、控制域、决策域等不同域之间需实
行物理隔离或软件分割,从而达到分域保护的信息安全理念。
目前对于智能网联汽车的信息安全防护集中在车载端,主要依靠具备信息安全
防护功能的 T-BOX 或 IVI 保护智能车辆,而依据信息安全防护理念,单独的车载
端防护根本无法实现智能网联汽车的整体安全,参考传统信息安全的纵深防御思路,
必须构建智能网联汽车“架构层-传输层-节点层”的多层纵深防御体系,覆盖智能
网联汽车的 T-BOX 边界、安全网关、ECU 认证、域控制器、车内/外网络监控等层
面,形成多维度全联合的深度防御体系。
架构层上,在汽车车内电子电器架构的 V 型开发过程中,融合信息安全的基
本理念,实现电子电气架构开发的信息安全评估、等级保护、安全审计和测试认证;
传输层上,实现车内传输网络结构安全、访问控制、权限管理、可信平台和安
全网关控制;
节点层上,实现轻量化加解密、数据签名、身份认证和可信认证。
3、车内小微生态环境安全防御细粒化
虽然智能网联汽车的自身体积很大,但具体到其内部信息系统处理模块的体积
却很小。同时,由于其内部包含了车载传感器、控制器、执行器等装置,形成了一
个车内小微生态环境。所以,需要安全防护实现对车内小微生态环境的覆盖,需要
每个功能模块上的安全能力具有足够的细粒度,并且能够应对该小微生态环境里各
类复杂的安全问题。另外需要注意的是,具有足够细粒度的安全能力还要能够延伸
至智能网联汽车的内网区域以及各个节点之间。
4、场景化信息安全防御
智能网联汽车在停止与行驶状态下会处于不同场景之中,这意味着其将面临不
同的恶意威胁。所以,要结合智能网联汽车所处场景环境特征,实施与之对应的安
全防御策略,做到场景化的信息安全防御。例如在高速网络队列控制时,减小驾驶
20智能网联汽车信息安全白皮书
员的控制权限,提升队列整体的安全控制能力。
5、培训提升驾驶者安全强度
“人”是智能网联汽车系统生态中的重要组成要素之一,人对于智能网联汽车
的错误配置、由外部带来的有问题存储介质,都容易引发智能网联汽车的安全问题。
因此,需要将“人”作为智能网联汽车信息安全防护的重要环节,通过培训提升驾
驶者的安全意识、安全操作能力,增强“人”这一智能网联汽车关键要素的安全强
度,降低由人引入恶意威胁的可能性。
6、强可控性应急响应与安全升级相结合
当遭遇恶意攻击事件后,需对智能网联汽车实施强可控性应急响应,压制恶
意攻击在车联网络内部的扩散传播,安全策略强调限制为主。对问题固件的升
级,不仅要第一时间弥补安全漏洞,更要注意升级自身的安全性,杜绝二次恶意
威胁的引入。
21智能网联汽车信息安全白皮书
四、智能网联汽车安全保障体系
智能网联汽车是以车联网为信息传输载体,通过搭载先进的车载传感器、控制
器、执行器等装置,使车辆具备复杂环境感知、智能化决策与控制功能,能综合实
现安全、节能、环保及舒适行驶的新一代智能汽车。而车联网主要包括车内网、车
际网和车载移动互联网,具体而言,车内网是指通过应用成熟总线技术建立的标准
化整车网络,车载移动互联网是指车载终端通过 3G/4G 等通信技术与互联网进行
无线连接,车际网是指基于 DSRC 技术和 IEEE 802.11 系列无线局域网协议的动态
网络。
图 5 车联网、智能汽车及智能交通系统关系图
由于汽车电动化、智能化和网联化的发展趋势,传统车内电子电气架构及
Telematics 的信息安全隐患愈发突出。目前国内外对智能网联汽车信息安全体系的
研究尚处于研发阶段,美国 SAE、欧洲 EVITA 都开始重点研究汽车信息安全体系,
例如美国 SAEJ3061 号文件就涉及汽车信息安全完整性等级、测试方法和测试工具
等方面。与此同时,IEEE 通信与网络安全会议(CNS)、国际车联网与互联大会
(ICCVE)等国际会议也在更为关注汽车信息安全体系的构建工作。
相较于传统的信息安全体系,智能网联汽车的信息安全需要解决以下问题和难
22点:
(1)如何进行高效可靠的入侵检测和防护,防止对车辆控制单元的直接控制;
(2)如何保障复杂通信环境信息安全,提升车辆的防护能力;
(3)如何采取高效可靠的响应和恢复方案,减少经济损失和人员伤亡。
即如何构建“检测-保护-响应-恢复”的全生命周期智能网联汽车信息安全体系
以及面向智能网联汽车的软硬件集成防护系统。关键技术包括以下两点:
(1)智能网联汽车复杂通信环境的高效可靠检测保护和高效响应恢复体系;
(2)面向智能网联汽车新型电子电气架构演进的软硬件集成防护系统。
通过研究多域分层入侵检测和主动防护信息安全模型,建立新型车车-车云协
同的攻击防御和无线通信安全防护机制,设计不同安全等级的响应机制和恢复策略,
构建面向智能网联汽车新型电子电气架构演进的软硬件集成防护系统,形成智能网
联汽车“检测-保护-响应-恢复”全生命周期信息安全体系,具体内容包括:
(1)构建多域分层入侵检测和主动防护信息安全模型
针对车内网络、车载传感器和车载通信系统脆弱性和信息安全威胁,研究车内
主干以太网和总线的分层加密认证、入侵检测和等级保护体系,车载感知域、决策
域和控制域的访问控制、数据管理和多域防护体系,以及车载通信系统长、短距离
通信接口的鉴权认证、安全审计和主动防御体系;构建智能网联汽车网络异常状态
监控和安全网关主动防护机制,建设基于车内网络、车载网络和车载通信系统的可
信平台,建立智能网联汽车高性能电子电气架构信息安全模型。
(2)建立车车-车云协同的攻击防御和无线通信安全防护机制
进一步提升智能网联汽车攻击和漏洞防御能力,研究车车和车云协同攻击防御
方法,建立高效实时的分布式车车联合防御机制,形成长效可靠的车云信息共享式
的协同攻击防御体系;针对“人-车-路-环境”的无线通信和信息安全,研究面向智
能网联汽车非理想信道状态信息下的物理安全和机会连接的分布式网络安全,研究
23智能网联汽车信息安全白皮书
车车、车云之间的隐私保护机制。
(3)设计不同安全等级的响应机制和恢复策略
针对智能网联汽车的各种非法入侵攻击和意外事件,研究智能网联汽车安全等
级划分,不同安全等级对功能安全的映射关系,不同安全等级的响应速度、影响及
社会效应,不同安全等级的“漂移”与恢复策略,云平台应急响应机制,研究智能
网联汽车基于需求识别、资源探索、方案评价、服务恢复、参数更新的五级模型恢
复过程,针对不同安全等级的服务恢复决策评价标准和策略。
(4)构建面向智能网联汽车新型电子电气架构演进的软硬件集成防护系统
针对当前汽车总线和电子控制单元存在的信息不安全传输、不可溯源、无防护
措施等特点,基于现有汽车总线和电子控制单元演进式研究面向智能网联汽车新型
电子电气架构的软硬件集成防护系统,研究电子控制单元的轻量级加密算法,基于
机器时钟的电子控制单元指纹技术识别溯源,电子控制单元与功能安全的映射关系,
基于功能安全等级的软硬件加密,利用入侵检测系统进行总线报文检测。研究以上
策略在新型电子电器架构的演进。
在研究新型电子电器架构演进的同时,也需要关注新型嵌入式操作系统的设计
框架,从架构层面上即保证操作系统的安全性。参考国际标准制定相应行业开发规
范,确保系统设计和开发数据的完整性,在代码内检时应注意解决潜在安全风险,
并对已知安全缺陷做详细记录,系统控制的敏感配置文件应加密保护并实时监控其
状态,同时还需研究新型操作系统自我保护技术。
面向智能网联汽车的“检测-保护-响应-恢复”全生命周期和车联网“端-管-云”
的信息安全防护体系,构建多域分层入侵检测和主动防护信息安全模型,加强车车
-车云协同的攻击防御和无线通信安全防护机制,建立基于不同安全等级的应急响
应和恢复策略,实现面向新型电子电气架构演进的软硬件集成防护系统。
24图 6 智能网联汽车信息安全技术路线图
图 7 智能网联汽车生命周期管理体系
25智能网联汽车信息安全白皮书
五、智能网联汽车关键安全防护技术
智能网联汽车的安全防护并非仅指车辆本身信息安全,而是一个包含通信、云
平台和外部新兴生态系统的整体生态安全防护,同时安全防护需要长期进行,需要
定期对整个生态做安全检测以便发现潜在的风险。因此,智能网联汽车安全防护技
术可按照通用的“端”、“管”、“云”、新兴的外部生态系统以及全生态安全检测五
个方面进行描述。
5.1 车辆安全防护技术
5.1.1 可信操作系统安全
操作系统是智能网联汽车的核心部件,同时也是整个汽车系统的大脑,所有的
应用程序都在操作系统之上运行,操作系统向上承载应用、通信等应用功能,向下
承接底层资源调用和管理。当前主流的智能网联汽车操作系统分为两个方向:非开
源和开源。非开源操作系统完全由车厂自己开发,比如宝马 iDrive。开源操作系统
主要有 Android、QNX 和 Linux。当前大部分车厂采用的都是开源方案,开源虽然
能够极大降低开发成本,但其自身安全风险不容小觑,如已知和未知漏洞风险、安
全和健壮性的缺失以及缺乏对操作系统行为的监控等。
尽管并不是所有车厂都有能力自主开发操作系统,但是考虑到智能网联汽车的
特殊性,在选择并使用操作系统时除了要考虑成本、易用性、商业生态等方面因素
外,还需要对安全性做特别关注。
针对开源系统漏洞问题,除应收集已知所选操作系统版本漏洞列表外,还
应该定期更新漏洞列表,同时扩大漏洞收集途径,确保能够及时了解各种
26漏洞,确保在第一时间内发现、解决并更新所有已知漏洞。
操作系统安全核心目标在于实现操作系统对系统资源调用的监控、保护、
提醒,确保涉及安全的系统行为总是处于受控状态下,不会出现用户在不
知情情况下某种行为的执行或者用户不可控行为的执行。同时,操作系统
还要确保自身升级更新的受控性。而操作系统的健壮性则主要取决于操作
系统源代码,源代码安全是整个操作系统健壮性以及安全性的根本。通过
对操作系统源代码静态审计,可以快速发现代码的潜在 BUG 以及安全漏
洞,及时修正潜在 BUG 和漏洞一方面可提高代码健壮性,另一方面也增
加了操作系统的安全性。
操作系统作为整个智能网联汽车的核心部分复杂性不言而喻,所有文件、
I/O、通信、数据之间的交互非常频繁,因此需要确保每个行为可控和可管
成为必然,监控全部应用、进程对所有资源的访问并进行必要的访问控制
是安全可信操作系统所必须具备的。
5.1.2 固件安全
固件是指保存在具有永久存储功能器件中的二进制程序。在微控制器为核心的
ECU 中,固件主要用于实现 ECU 的全部功能,其不但提供硬件初始化、操作系统
加载功能,同时也为上层软件有效使用硬件资源提供调用接口,因此是 ECU 系统
的重要组成部分。
随着智能网联汽车的普及和智能化程度的提高,ECU 得到了广泛应用,而作
为 ECU 核心器件之一的微处理器和微控制器也随之呈现爆发式增长趋势。固件作
为 ECU 系统的重要组成部分,以灵活、多样的存在形式更加方便了用户的使用,
但同时也为汽车信息系统安全带来了极大的隐患。比如通过提取 ECU 固件逆向分
析其代码然后反编译更改相应参数、向 ECU 固件插入恶意代码从而改变整个系统
执行流程,或者使用未经厂商认证的固件程序进行升级等,这些都将威胁到智能网
27智能网联汽车信息安全白皮书
联汽车,并对驾驶员造成极大的安全威胁。
针对 ECU 固件安全问题,当前的重中之重主要集中在固件代码无法提取、固
件代码防反汇编和逆向以及固件安全升级:
由于固件代码保存在具有永久存储功能的器件中,因此选择器件时需特别
考虑其是否支持加密算法、芯片中是否有保护寄存器、是否可以通过设置
Read-only 模式等方式对固件存储器件进行保护。建议将固件存储在微处
理器或者微控制器内部自带的固件存储单元中,以便增加固件提取难度。
尽量去除或者软件禁用 ECU 上的 JTAG、RS232 和 USB 等对外调试接口,
以便减少固件可能被读取的风险。
固件代码防止反汇编和逆向,一方面可以通过修改编译器的方式,自定义
指令集,尽量避免使用微处理器或微控制器的通用指令集;另一方面也可
以在固件代码中加入相应的混淆或者花指令,在不改变整个功能逻辑的前
提下,改变整个代码的层次结构让代码变得晦涩难懂,从而加大反汇编和
逆向难度,增加固件可靠性。
固件安全升级方面,车主需使用车厂认定的固件升级程序,不要从第三方
下载非认证固件升级程序,禁止通过修改 ECU 固件对车辆进行改装。车
厂应在发布的固件中增加认证,在执行升级时,ECU 需要支持固件认证,
同时做完整性校验。在升级完成后支持回滚机制,确保升级失败后的固件
版本回退,确保整个升级的安全性与可靠性。
5.1.3 数据安全
智能网联汽车的数据不单单包括存储在 T-BOX 上的车辆数据,也包含存储在
App 端的用户数据以及存储在 TSP 云端的用户与车辆全部数据。数据安全除了涉
及到数据的存储安全,也包含数据备份和数据传输安全,而这里主要讨论两方面的
智能网联汽车数据安全防护问题:密钥存储安全和轻量级密码算法。
28在密钥存储方面,针对 T-BOX 上的数据安全,考虑到可能发生的白盒攻击,
当前的主流解决方案是软件白盒和硬件 eSE 芯片方案,将密钥通过预制或者动态
下发的方式存储在白盒或者 eSE 芯片当中,所有加解密操作均在白盒或者 eSE 中
进行,这样做可以有效预防白盒攻击,确保密钥安全,从而保障数据在 T-BOX 上
的存储安全。除此之外,数据在传输的时候也要经过白盒或 eSE 芯片加密后进行,
由此保障数据的传输安全。针对 App 端的数据安全,由于大部分手机都没有内置
eSE 芯片,因此当前主流的解决方案是软件白盒,通过软件白盒保证数据存储和传
输安全。针对 TSP 云平台的数据存储安全,应该采用体系化的信息安全建设,从物
理、网络、计算、存储、信息和应用等方面构建信息安全防御体系,并在管理方面
将信息安全管理纳入到考虑范围,以有效降低数据泄露等安全风险。
由于 T-BOX 上通常采用 MCU 且资源十分有限,因此如果密码算法存在能源
消耗过大、占用计算资源过多等问题,会造成无法在 T-BOX 上部署的窘境。轻量
级密码算法是依据密码应用环境、实现时的资源需求而提出,其中的“轻量级”是
相对于普通密码提供的安全保护级别和实现所需资源而言,其具有如下特点:应用
于资源受限计算能力相对较弱的设备;计算可使用存储往往较小;能耗可以限制在
某个可控范围之内;可根据具体应用场景选择合适的安全级别。因此轻量级密码算
法非常适合部署在资源紧张的 T-BOX 环境当中,当前主流的轻量级密码技术有 ISO
29192 上列举的轻量级密码算法,如 PRESENT。
5.1.4 密钥安全
智能网联汽车除了要建立一套完整的密钥管理体系外,还需要在密钥存储方面
做特别关注。保护数据隐私与机密性的通常做法是实施数据加密,在这种情况下合
法用户需要访问的解密密钥同样必须予以保护,因为一旦密钥被泄露,加密数据的
安全性将荡然无存。这对存储在不能被信任的 T-BOX 开源 Linux 操作系统和手机
Android 操作系统环境里的密钥来说,安全性更是无法得到保障。
29智能网联汽车信息安全白皮书
解决在不被信任操作系统中保证密钥安全的方案是采用白盒系统,尤其是
Android 操作系统。白盒系统将密钥信息隐藏在加密库中,在程序运行的任何阶段
密钥均以巨大查找表的形式存在,即只能输入明文得到密文,或者相反操作得到明
文。在这样的场景下,入侵者无法得到隐藏在查找表背后的密钥,从而保证了信息
的安全。同时需要支持动态密钥,保证在密钥库不变的情况下更换密钥,进一步提
高密钥的安全性。
5.1.5 FOTA
智能网联汽车的 ECU 越来越多,代码行数也越来越多,软件在汽车价值中的
占比不断提升,可开发周期却又被迫缩减,随之带来的则是潜在风险的加大。FOTA
可以有效解决软件故障问题,不需要去 4S 店或者返厂,通过 FOTA 升级即可解决
90%以上的软件故障。
虽然当前 FOTA 技术已经非常成熟,但升级过程的安全性仍然需要格外重视。
智能网联汽车 ECU 升级时需要配合安全升级机制,通过数字签名和认证机制确保
增量升级包的完整性和合法性;可按照时间、地区、设备数量等信息动态调整升级
策略;在增量升级包传输过程中,通过通信加密保证整个升级包的传输安全,避免
升级包被截获或者遭受中间人攻击导致升级失败。在智能网联汽车 ECU 升级过程
中还需时刻监控升级进程,确保 ECU 升级后能够正常工作,同时需要具备相应的
固件回滚机制,保证即使升级失败 ECU 也可恢复到原来状态,通过双重保护确保
整个 ECU 升级过程的安全可靠。
5.2 网络安全防护技术
5.2.1 网络传输安全
智能网联汽车的网络可分为车内、车际和车云网络,网络拓扑复杂多样,因此
30确保数据在网络传输时的安全性变得尤为重要,是提高智能网联汽车网络安全性的
重要保证。智能网联汽车网络传输安全主要体现在三个方面。
实施网络加密技术。数据在传输过程中,如果传输网络被攻击,传输的数
据会被篡改,进而影响数据的安全性,所以需要加强网络加密技术,对传
输数据进行加密。基于网络的层次性结构,安全也应具有一定层次性。结
合安全管理的内容,需要加强 TCP/IP 协议各个层次的防范措施,对每个
层次都实施加密技术,以便保证网络的安全性服务。因此,要对网络中的
各种协议进行加密。另外,在网络加密结构设计中需要注意加密采用的密
码体制,并注意选择适合网络的密钥。对网络接口层进行加密时,相邻节
点之间需要加强在线传输的保护形式,加强加密的透明程度。对数据的运
输层进行加密时,要加强对节点和传输数据的保护机制,对用户来说,加
密操作要具有透明性。在源端用户以及目标用户之间传输数据时,加密操
作则不能透明。
对传输信息实行安全保护策略。传输信息安全保护策略主要涉及到分级保
护,从技术角度出发实现对方案的设计管理,规范其中的安全性。其中需
要具备一套完整的标准规范,严格落实安全保密体系,按照信息的安全程
度划分网络,同时对网络的安全控制实行全面的保护与控制。加强网络安
全监测,实现边界防护。强化内部控制和安全保密策略,提高涉密人员的
安全保护策略。同时还需要加强对网络信息的安全管理,实现信息传输的
有效性和安全性。
加强可信计算机的实施。建立计算机可信技术平台,从可信的基础性数据
出发,以密码的形式,实现计算机网络系统的安全性。另外,可信技术平
台能够确保用户身份的唯一性、工作空间的完整性,同时也能够保证环境
配置的安全性,从根本上阻止黑客的入侵,提高了数据传输的可信度。这
31智能网联汽车信息安全白皮书
种信任扩展到计算机系统中,能够确保网络环境可信性的增强,实现网络
信息的安全性传输。另外,在网络中传输信息还需要加强防火墙的应用,
提高传输信息的可信性。
5.2.2 网络边界安全
由于智能网联汽车的极强移动性和网络种类的多样性与复杂性,网络边界已经
消失殆尽,传统的边界安全解决方案已经不适用于智能网联汽车。在这样的背景下,
传统边界安全正在向微边界甚至无边界安全方向转换。
智能网联汽车网络边界具备三个特征:安全边界的扩大、分散和不确定导致无
法找出边界,从而造成边界隔离困难;可接入智能网联汽车的设备种类多,造成接
入安全风险点增加;智能网联汽车身份验证困难。针对目前智能网联汽车边界安全
的现状,可以在如下方面进行加强。
在车辆体系架构设计中,采用网络分段和隔离技术。对不同网段(如车辆
内部不同类型网络,以及车辆与外部通信的移动通信网络、Wi-Fi 等)进
行边界控制(如白名单、数据流向、数据内容等),对进入车辆内部控制
总线的数据进行安全控制和安全监测。同时车辆端关键网络边界设备(如
T-BOX、中央网关等)需提供边界安全防护功能,比如采用车载入侵检测
系统用于保护 ECU 安全,防止黑客针对 ECU 的攻击。
在终端设备接入智能网联汽车网络前,需要增加针对终端设备的认证机制,
确保终端设备的可信性,避免未经认证的终端设备连入智能网联汽车,对
智能网联汽车造成安全威胁。
在车云网络中,车辆与云通信除了采用安全接入方式(如 VPN 等),及对
业务进行划分,通过不同的安全通信子系统接入网络外,还需要采用基于
PKI 或者 IBC 的认证机制对车辆和云平台进行双向认证,确保双方的合法
性,从而保障整个信息接入与传输的安全。
325.3 云平台安全防护技术
5.3.1 云平台安全
智能网联汽车 TSP 云平台的安全控制及合规模型以及新一代的自适应安全架
构,与通用云平台安全相似,具体架构如下图所示:
图 8 智能网联汽车协同互联云平台安全架构
物理环境安全:在物理层,通过门禁系统、视频监控、环境监控、物理访
问控制等措施实现云运行的物理环境、环境设施等层面的安全。
计算存储安全:通过对服务主机/设备进行安全配置和加固,部属主机防
火墙、主机 IDS,以及恶意代码防护、访问控制等技术手段对虚拟主机进
行保护,确保主机能够持续提供稳定的服务。
可信计算:保证硬件、软件系统的行为/执行安全,包括安全的输入输出、
内存安全、远程认证等服务。
网络安全:在网络层,基于完全域划分,通过防火墙、IPS、VLAN ACL
33智能网联汽车信息安全白皮书
手段进行边界隔离和访问控制,通过 VPN 技术保障网络通信完整和用户
的认证接入,在网络的重要区域部署入侵监测系统(IDS)以实现对网络攻
击的实时监测和预警,部署流量监测和清洗设备以抵御 DDoS 攻击,部
署恶意代码监测和防护系统以实现对恶意代码的防范。需要说明的是这
里的网络包括了实体网络和虚拟网络,通过整体防御保障网络通信安全。
安全管理:根据 ISO27001、COBIT、ITIL 等标准及相关要求,制定覆盖
安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全
事件管理、业务连续性管理等方面的安全管理制度、规范和流程,并配置
相应的安全管理组织和人员,建立相应的技术支撑平台,保证系统得到有
效管理。
信息安全:实现数据的保护,从数据隔离、数据加密、数据防泄露、剩余
数据防护、文档权限管理、数据库防火墙、数据审计方面加强数据保护,
以及离线、备份数据的安全。
应用安全:保护应用的程序安全;通过 PKI 等机制对用户身份进行标识
和鉴别,部署严格的访问控制策略;关键操作的多重授权等措施保护应用
层安全;同时采用电子邮件防护、Web 应用防火墙、Web 网页防篡改、
网站安全监控等应用安全防护解决方案确保特定应用的安全。
可信安全管理平台:包括建设并管理基于 PKI、身份管理等的安全基础支
撑设施;管理平台综合利用成熟的安全控制措施,并构建良好的安全实现
机制,保障系统的良好运转,以提供满足各层面需求的安全能力。
5.3.2 云平台可视化管理
智能网联汽车安全可视化管理是指将车辆内所有 ECU、固件、操作系统和应
用的安全风险和威胁实时上报至厂商云平台,将整个车辆的安全态势呈现给用户,
帮助用户快速掌握车辆安全状况,识别异常、入侵,把握智能网联汽车安全事件发
34展趋势,全方位预警和感知智能网联汽车安全态势,对所有智能网联汽车综合安全
信息进行安全态势分析和安全事件预警。此外,系统应提供全面的智能网联汽车威
胁入侵检测分析功能,支持多种图表的威胁和风险告警方式,让威胁和风险一目了
然,并提供智能网联汽车安全威胁事件的详细信息,同时支持自定义告警策略,包
括设置告警范围、阈值等。
针对智能网联汽车威胁的攻击行为及过程常常隐藏在海量数据中,为了使用
户捕捉到隐藏在数据背后的线索,对潜在的智能网联汽车安全威胁进行监测及防
范,阻断智能网联汽车威胁源头,保障智能网联汽车安全运行,就需要对智能网
联汽车数据进行多维分析,并通过高效的交互挖掘分析工具,将分散的信息要素
进行集中、统计、检索、过滤、挖掘、分析,实现线索的深度挖掘和智能分析,
帮助用户洞悉智能网联汽车安全的态势,更加主动、弹性地应对复杂、未知多变
的威胁和风险。
5.4 新兴外部生态安全防护技术之移动 App 安全
智能网联汽车移动 App 主要承载了简单的车辆控制动作,如开车门、开空调、
开车灯、车辆打火启动等功能。近期通过移动 App 直接攻击汽车的案例时有发生,
比如软件开发者借助任何一辆汽车前挡风玻璃上的 VIN 码,便可通过手机客户端
的身份验证,获取车主身份及车辆充电量等信息,并获得车内空调的操控权。类似
攻击将随着移动 App 在智能网联汽车上的推广变得愈加频繁,尤其是 Android App,
类似安全问题尤为突出。
智能网联汽车移动 App 安全涉及的范围非常广泛,其生命周期可分为三大部
分:设计开发阶段、发布阶段和运维阶段。
设计开发阶段。移动 App 的安全需要从设计开发阶段开始介入,从框架、
业务、规范、核心功能模块等维度进行统一安全设计,使得整体安全框架
35智能网联汽车信息安全白皮书
可满足长远规划、可重用、标准化、可扩展和可整合等原则,使得代码工
程满足通用安全原则,极大程度提升应用程序安全性,降低后期漏洞风险,
降低运维阶段安全应急运维压力。
发布阶段。在移动 App 发布前需要对其进行必要的加固处理,解决移动
端系统开源性(半开源性)带来的安全缺陷,通过反编译、完整性保护、
内存数据保护、本地数据保护、SO 库保护、源代码混淆等技术的综合运
用,保障移动 App 的安全性。
运维阶段。在移动 App 发布后需要对其运行状态进行监控,包括移动 App
在运行过程中的漏洞以及在分发渠道中的盗版。做到及时发现解决各类漏
洞事件,防止潜在业务、资金和声誉损失。
365.5 智能网联汽车生态安全检测
智能网联汽车本身是一个完整的生态系统,包括整车安全检测、车辆-TSP 云
平台-移动 App 间通信与业务交互安全检测、移动 App 安全检测以及 TSP 云平台安
全检测,因此在进行安全测试的时候需要对这四个部分进行定期安全检查。
整车安全检测。车辆端安全检测主要针对 CAN 总线协议、ECU、T-BOX
和 IVI 系统进行。CAN 总线协议检测一方面需要对 CAN 协议一致性做判
断,看车辆 CAN 总线是否符合 AUTOSAR 标准;另一方面需要对 CAN
总线同其他总线的操作性进行评估,以便了解 CAN 总线同其他总线的交
互能力;同时需要对其健壮性做评估,判断在总线上发送干扰是否能够引
起整条 CAN 总线的异常。ECU 检测需要对其硬件、固件、更新等方面进
行检测,包括对硬件设计中的调试接口、硬件总线设计和电磁兼容性做评
估;对固件的可逆性、可读性、防反汇编等方面进行检测,确保固件程序
的安全;对 ECU 更新安全性实施评估,包括升级安全性、增量升级包认
证和完整性校验、安全回滚机制等。T-BOX 和 IVI 安全检测可关注其硬件
和软件两方面的安全检测。硬件安全主要关注核心器件安全、主板安全和
接口的安全性;软件安全需要重点对数据存储安全性、防篡改、对外通信
安全性、操作系统安全性等方面进行评估和检测。
车辆-TSP 云平台-移动 App 间通信与业务交互检测。车辆与 TSP 云平台
通信通过 T-BOX 实现,同时移动 App 也是通过 TSP 云平台与车辆进行控
制交互。在这部分安全检测中,主要对三者之间通信和数据传输安全做评
估,例如在通信过程中是否已经考虑到网络层安全(例如使用 4G或VPN),
所传输的车辆命令数据是否已经经过加密处理以及传输数据的完整性校
验,确保通信的三方是经过授权的,使黑客无法通过中间环节获取到这些
37智能网联汽车信息安全白皮书
车辆命令数据。此外,检测通信三方对双向通信认证的支持非常有必要。
移动 App 安全检测。移动 App 检测主要包括源代码、资源文件、数据存
储、传输以及业务功能方面的安全检测,确保 App 在发布过程中的安全
性。
TSP 云平台安全检测。基本上和通用云平台检测类似,检测 TSP 云平台
是否具有 OWASP Top 10 或者 CWE Top 25 安全威胁。
38六、典型智能网联汽车攻击路径图
通常来说,分析一个攻击路径,除了要分析所要攻击的设备外,还要分析攻击
者本身。每个攻击者都会有不同的攻击意图和身份,例如,某个黑客会仅为证明自
己的技术实力,发动一次针对智能网联汽车的攻击,以此来表明自己能力超群;也
有可能一名 4S 店的修理工为了报复店长,而发动一次针对智能网联汽车的网络攻
击,以便破坏这个 4S 店的经营。何种身份的攻击者、出于何种意图、为了何种目
的……所有这些都是我们在分析一个攻击时所必须要考虑到的。
另外,攻击者在攻击的时候,选择的攻击方式和攻击手段也各不相同。例如,
DDoS 攻击主要采用远距离攻击方式;如果想通过无线通讯接入车辆主机渗透到车
载网络中,则需要采用近距离攻击方式。
从攻击入口来看,由于现在智能网联汽车的攻击面很多,攻击者有可能从任意
一点发起攻击。典型的攻击者都是先花费大量时间,对某个或多个攻击点进行攻击
研究,掌握其漏洞及利用方法,这时一般采用的是物理攻击及近场攻击。单个攻击
点的渗透实现后,攻击者会精心设计攻击路径,以远程攻击的方式从车辆外部开始,
最终实现对车的控制。
本节我们将从直观的攻击路径、攻击树和涉及到的车内电子系统几个角度,对
智能网联汽车典型攻击案例进行分析。
6.1 窃取车辆 GPS 轨迹数据
GPS 轨迹数据可以清晰记录车辆所在位置,在互联网时代属于个人隐私范畴。
但其也会为车辆犯罪(如盗窃车辆等)提供非常便利的条件,犯罪分子在获取车辆
39智能网联汽车信息安全白皮书
的各种地理位置信息后,即可选择合适的时间、地点实施盗窃行动。另外,GPS 轨
迹数据的泄露也会对车主人身安全造成潜在威胁,因此属于非常严重的安全风险。
在智能网联汽车时代,车辆 GPS 轨迹数据通常会存储在车辆主机和 TSP 云平
台上,云平台的车辆 GPS 轨迹数据泄露很多人已经非常熟悉,此处不做重点讨论。
在这里主要介绍如何通过手机针对智能网联汽车的车载主机实施对车辆 GPS 轨迹
数据的窃取。窃取车辆 GPS 轨迹数据的攻击如下所示:
攻击者
车主
窃贼
4S店/修理厂
经济犯罪者
黑客
竞争者
攻击意图
恶意破坏
获取隐私
经济犯罪
偶然事件
能力证明
其他
攻击方式
物理攻击
攻击手段
窃听
注入
移动终端 云 管
无钥匙进入
系统
RFID
TPMS
DSRC
Wi-Fi/蓝牙
3G/4G/5G
车辆端
节点(ECU)
物理接口(OBD)
车载网关/T-BOX
车载主机
CAN/LIN/MOST/
FlexRay/ZigBee
远程遥控车门
远程故障诊断
开启空调
定位服务
车况检测
终端设备
其他
紧急救援
在线升级
娱乐资讯
路径规划
其他
近距离攻击
重放
DDoS攻击
远距离攻击
篡改
其他
其他
图 9 窃取车辆 GPS 轨迹数据攻击路径图
如上分析可见,恶意攻击者可以通过近距离攻击方式,使用移动终端连接车载
主机蓝牙或者 USB 接口,窃取车辆 GPS 轨迹数据。具体攻击树如下所示:
40智能网联汽车信息安全白皮书
恶意攻击者会在移动设备里预先植入恶意软件,当移动设备通过 USB、蓝牙等
连入车载主机后,发起对车内网关的攻击,窃取车辆 GPS 轨迹数据,从而实现盗
取用户敏感数据的目的。具体涉及到的车载电子系统如下所示:
图 11 窃取车辆 GPS 轨迹数据所涉车载电子系统
6.2 攻击主动刹车功能
主动刹车是车辆安全的核心部分,刹车系统受到攻击将会对驾驶员生命造成严
重威胁。随着智能网联汽车的发展,攻击者可以攻击的路径也会增多起来,除了近
距离对车辆主动刹车系统进行攻击外,还可以远程对其进行攻击。这类攻击可以多
种形式进行,如攻击者可以完全抑制有效制动,或攻击者可以通过延迟制动或者降
低主动制动器的制动质量来达到攻击目的。具体攻击路径如下所示:
42
更多推荐
汽车,智能网,车辆,数据,网络,攻击,进行,防护
发布评论