網絡信息安全評估部 袁豪杰

　　一、車聯網簡述
　　由機械工業出版社出版、中國汽車工程學會主編的《節能與新能源汽車技術路線圖年度評估報告2018》對智能網聯汽車做出定義：智能網聯汽車是指搭載先進的車載傳感器、控制器、執行器等裝置，并融合現代通信與網絡技術，實現車與X（車、路、人、云端等）智能信息交換、共享，具備復雜環境感知、智能決策、協同控制等功能，可實現“安全、高效、舒適、節能”行駛，并最終可實現替代人來操作的新一代汽車。
　　針對車聯網安全技術研究，從網絡體系角度出發，以國際電信聯盟ITU-T的物聯網體系結構參考模型為基礎，車聯網體系結構自車載終端至遠端服務器可劃分為感知層、網絡層（傳輸層）和應用層。
　　車聯網感知層是指車輛通過傳感器、信息通訊等實時地收發車輛自身與交通環境相關狀況信息。其實時信息交互具體包括車內駕駛系統與控制系統信息、車身駕駛環境信息、車輛位置與速度信息、車輛外部環境信息、其它車輛、行人、道路信息與整體交通系統信息等。
　　車聯網網絡層包括核心網和接入網兩部分，是車輛信息接收與發射所建立的信息通信網絡。核心網負責從基站到云端服務器的路由選擇和數據傳輸，接入網主要負責車與車、車與基站之間的交互通信。傳輸信息從感知層獲取進而提供給應用層，車聯網傳輸層需要通過安全可靠的信息傳輸機制來確保通信安全進而確保應用安全、車輛安全、交通安全、人身安全。目前主流的車聯網專用通信協議分為DSRC與LTE-V兩類。
　　車聯網應用層是車聯網技術發展與創新的驅動力，應用層不僅僅包括車載信息服務類應用，更包括面向所有車輛交通的安全效率類應用和以自動駕駛為基礎的協同服務類應用，依賴于人、車、路、云的全方位連接與信息交互。
　　二、從網絡體系看車聯網安全與檢測
　　1.車聯網感知層安全
　　對感知層的安全而言，安全問題主要集中在由通信、計算、存儲等構成的車載終端上。車載智能終端包含兩類重要信息：一是個人信息隱私；二是車輛控制協議信息，包括遠程控制命令、身份驗證信息等。受限于使用環境，車載終端性能較遠端服務器差，安全防護措施不足，可能存在漏洞利用終端接口將惡意程序植入終端，進而干擾車載終智能端的信息通信與計算決策。然而目前車載智能終端操作系統的發布與更新往往是由各個車載終端廠商獨立完成，缺少規范的安全監管政策和流程，無法對其車載終端的硬件、操作系統和應用軟件進行必要的安全性測試，因此會降低產品的安全性，使車載智能終端面臨更加嚴重的安全問題。
　　2.車聯網網絡層安全
　　由于網絡層主要負責數據傳輸工作，對網絡層而言，其安全隱患主要集中于數據的惡意攔截、獲取、泄露、篡改，通過節點進行攻擊等，具體可表現為
　　? 竊聽與篡改攻擊
　　在車聯網無線通信環境中的通信信道往往是開放式的，攻擊者可以通過發動竊聽攻擊獲取車輛節點之間傳輸的信息，造成用戶隱私信息泄露帶來安全威脅。當竊聽攻擊發生時，攻擊者同樣可對信息進行非法篡改進而發送給目標用戶，使用戶收到錯誤信息，進而影響到車聯網安全。由于竊聽與篡改攻擊的特性，用戶無法發覺信息是否遭到竊聽，因此需要對信息傳輸是否加密進行檢測，來確保信息傳輸的安全性。
　　? 回放攻擊
　　回放攻擊與竊聽、篡改攻擊往往同時發生，攻擊者通過竊聽截取通信信道內傳輸的信息，再以同樣的方式將消息重復發送至車聯網中的實體，使得接受者以為是合法用戶所發，混淆了本應該接受的交通信息，發生誤判。因此需要檢測相關安全協議是否設置時間戳或隨機值以抵御此類攻擊。
　　3.車聯網應用層安全
　　對應用層的安全而言，其安全隱患主要集中于應用本身的身份認證、密鑰管理、數據安全、隱私保護等。具體體現為：
　　? 節點捕獲攻擊與檢測
　　節點捕獲攻擊既可以劃分到網絡層，也可以劃分到應用層。節點攻擊通常指Sybil攻擊或女巫攻擊，該類攻擊是指在車聯網中單一節點具有多個身份標識，攻擊者利用車聯網中的少數節點控制多個虛假身份，冒充或偽造合法車輛發送信息至信息網絡，從而控制或影響網絡的大量正常節點。在車聯網系統中，由于汽車本身節點具有移動性，從而網絡被影響范圍隨節點的移動而擴大。
　　對節點攻擊的主要檢測手段有以下三種：
　　(1) 對節點進行身份驗證。在節點加入網絡之前向某認證中心進行身份認證并獲得相應通信密鑰，使得每一個節點都具有合法身份。此外利用匿名技術可以確保節點在通信過程中的私密性。Yu H等提出利用算法將汽車所獲得的所有偽名都通過特定的哈希算法對應于同一值，從而快速發現車輛同時使用多個身份的現象。但對于合法身份的節點仍存在被盜用、共享的安全威脅
　　(2) 對節點位置進行檢測。車聯網的一個重要特點是每一個節點都具有移動性，雖然攻擊者具有多個身份，但這些身份都對應于同一個物理節點，從而導致其行為具有高相似性，同理，不同的車輛一般都具有不同的移動軌跡，因此通過對節點移動行為、移動軌跡相似度的分析可實現對Sybil節點的有效檢測。
　　(3) 對節點匹配資源進行檢測。通常對于大多數車輛節點，其所具備的通信帶寬、計算能力、存儲空間等大致相等。因此，若存在多個節點所擁有的資源與數量無法匹配，則可以判定節點中存在虛假節點。
　　? 系統內部人員攻擊與檢測
　　系統內部人員發動攻擊往往是該人員具有用戶密碼管理權限，相關人員如果非法盜用和使用存儲與系統服務器中的用戶與密碼，就可以發起對整個網絡的攻擊，甚至對信息進行轉賣。因此需要建立安全管理制度，設置管理員操作權限對管理員操作行為進行檢查。
　　三、從設備終端看車聯網安全與檢測
　　1.移動終端安全檢測
　　隨著車聯網的發展，參與車聯網網絡的共享服務不僅局限于車內單元和外部基礎設施，用戶所攜帶的智能移動終端也參與其中。這些電子設備內部往往包含用戶的隱私信息，攻擊者常?？梢岳迷O備內部的秘密信息非法訪問資源和服務，或冒充合法用戶發送虛假消息至車聯網中。移動終端的安全檢測主要包括：
　　賬戶安全檢測：檢測密碼是否采用明文進行傳輸和存儲、賬戶鎖定策略、注銷機制等。
　　數據通信安全檢測：檢測數據是否加密、是否使用安全通信（如HTTPS）、是否驗證數字證書和數據的合法性等。
　　服務端接口檢測：檢測是否存在SQL注入、XSS跨站腳本攻擊、CSRF跨站請求偽造、越權訪問等。
　　除此之外還包括安裝包檢測、組件安全檢測、敏感信息檢測等
　　2.網絡及安全設備安全檢測
　　網聯汽車依據現有網絡基礎拓展感知網絡和應用平臺，是互聯網的延伸，且汽車本身也不再是一個孤立的單元，因此針對智能網聯汽車的檢測要保證車輛自組網與多種異構網絡之間的通信與漫游，實現V2X的雙向數據通信鏈路之間的傳輸安全。
　　針對車聯網網絡安全，其主要檢測應包含：
　　通信協議安全檢測：檢測通信協議一致性與通信互操作性；進行通信協議身份認證漏洞檢測、假冒攻擊漏洞檢測、保密數據泄露漏洞檢測、新鮮性漏洞檢測、類型攻擊漏洞檢測、攻擊者不道德漏洞檢測等。
　　傳輸保密檢測：檢測通信數據是否為加密傳輸，是否確保數據傳輸的準確性和一致性。
　　網絡邊界檢測：檢測是否支持連接外部系統，是否在內部系統邊界進行監控、是否部署邊界保護設備等
　　設備識別檢測等：檢測是否對固定設備進行唯一性標識和鑒別能力
　　3.服務器/存儲設備安全檢測
　　車聯網服務器架構一般可分為身份認證管理平臺、遠程信息服務終端（Telematics Box, T-BOX）管理服務器和應用服務器，身份認證管理平臺為整個系統提供身份認證方案和基礎服務，在管理服務器和應用服務器上部署身份認證相關功能，車輛和智能終端通過無線訪問點，使用移動通訊技術連接網絡,用戶操作手機獲取系統服務。攻擊者?？衫蒙矸菡J證協議自身的漏洞造成認證失效，進而破壞整個服務器架構。
　　車聯網服務器安全檢測除T-BOX安全檢測外還應包含移動終端OS安全檢測，其檢測內容部分相同，具體表現為：
　　會話認證檢測、身份鑒別檢測、訪問控制檢測、數據完整性和保密性檢測、登錄失敗限制檢測、安全審計檢測、日志管理檢測、數據備份與恢復檢測等。
　　針對T-BOX安全檢測還應包含：T-BOX服務接口滲透檢測、T-BOX非法注入檢測、T-BOX非法控制檢測等
　　除此以外，對服務器系統檢測應包含基本功能性檢測，其目的是要實現對服務器設備、服務器操作系統、數據庫系統、應用在服務器上性能的全面監控?；竟δ苄詸z測包含功能測試和性能測試兩方面。功能測試從用戶觀點出發，采用黑盒測試證明系統功能的可操作性和正確性；性能測試則利用自動化工具模擬多種正常、異常、峰值負載條件來測試系統的各項性能指標，針對服務器端也可采用系統本身的監控命令進行檢測。
　　四、小結
　　中國軟件評測中心認為智能網聯汽車處于發展的初階段，對于車聯網的安全與檢測技術研究以及安全標準的建立也處于起步階段，從不同的角度看待車聯網的安全將有利于推動行業的發展與相關標準的建立。