从车企的角度对车联网信息安全技术研究

叶平，郝铁亮，赵德华，张晓帆，黄旭玲



从车企的角度对车联网信息安全技术研究

叶平，郝铁亮，赵德华，张晓帆，黄旭玲

（华晨汽车集团控股有限公司 华晨汽车工程研究院，辽宁 沈阳 110141）

随着车联网技术的不断发展，车联网技术已经在各大车厂的量产车型实现了广泛的应用，但随之而来的车联网技术相关问题已经日益凸显。文章主要从车联网的行业动态、车联系统的功能、车联网信息安全的重要性、安全架构设计等方面进行了介绍，并对车联网信息安全技术的开发流程、信息安全机制、策略设计、实车渗透测试以及响应机制体系建立进行了讲解，从车联网端、管、云三个层面进行车联网信息安全设计的解析，其中包括手机APP、数据中心、通信运营商、车载通信终端的安全设计，以及车厂在未来信息安全持续加固、信息安全测试验证、相关标准制定，面临的挑战。

车联网；信息安全；安全策略；信息安全测试验证

1 车联网概念

传统的车联网定义是指装载在车辆上的电子标签通过无线射频等识别技术，实现在信息网络平台上对所有车辆的属性信息和静、动态信息进行提取和有效利用，并根据不同的功能需求对所有车辆的运行状态进行有效的监管和提供综合服务的系统。

随着车联网技术与产业的发展，上述定义已经不能涵盖车联网的全部内容。根据车联网产业技术创新战略联盟的定义，车联网是以车内网、车际网和车载移动互联网为基础，按照约定的通信协议和数据交互标准，在车-X（X：车、路、行人及互联网等）之间进行无线通讯和信息交换的大系统网络，是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络，是物联网技术在交通系统领域的典型应用。利用车联网的相关技术能够实现车与基础设施、建筑物、车与车之间的通信。就像互联网一样将多个车辆或者基础设施进行联接，实现信息互通，车主可以通过实时信息了解路况等相关信息，从而减少了交通事故的发生。

2 车联网信息安全行业动态

针对车联网功能各大车厂主要围绕车辆安防（车辆控制）、娱乐资讯、便捷服务、紧急救援、V2X（车与车通信、车与基础设计通信等）等技术进行开发。随着车联网技术的不断的量产应用，汽车信息安全的问题成为整车厂、互联网行业、信息安全公司关注的焦点，成为车联网技术设计开发的重中之重，是推进车联网技术不断进步、发展的重要的环节。是车联网技术能否量产应用的重要保障。目前国内相关的学术组织、论坛、高校、企业都在进行车联网信息安全的研究，同时进行相关标准的制定，例如：由中国汽车工程学会牵头，相关企业、高校、研究所参与，成立了智能网联汽车创新产业联盟，建立车联网信息安全研究小组，进行车联网信息安全标准的制定和技术的研究。整车企业也逐步建立专业部门，联合相关的安全公司，成立合作实验室，共同推进汽车信息安全技术的研究和标准的制定。

3 车联网信息安全现状

从车企的角度，车辆的安全是非常重要的，车从一个封闭的载体，成为一个开放性的载体，融入互联网中进行信息的交互。黑客可以通过互联网的技术，进行车辆的攻击，使车辆熄火、主动刹车、解锁等动作，也可以通过截获通讯信息、攻击云端服务器，达到窃取用户信息及车辆数据。所以如何保证车辆的安全是一个关键的课题。另外，车辆网络安全的等级也要比普通的网络和手机网络要高，普通的网络和手机网络可以承受一定程度的错误状态，比如网络瘫痪、手机系统死机，但是车辆网络安全却不能也不允许出现类似的事情，否则会直接造成用户的财产损失，甚至威胁生命安全。此外，在相关技术方面整车厂的储备是比较缺乏的，需要融入互联网安全技术，进行数据的加密、认证，增加防火墙等手段，保证车辆的安全。当然从车内网的角度，车企会从车内网架构的角度去考虑，例如增加安全网关、交互策略等手段，保证车辆的安全。

通过权威机构的分析，随着车联网技术的在车辆上的广泛的应用，因为信息安全问题，车辆受到非法攻击的事件频繁发生。2010年，研究人员通过破解汽车内部信息系统，攻击车载信息系统，成功伪造了部分品牌汽车的胎压传感器，干扰并毁坏汽车的胎压监测系统。2013年至今，发生了多次汽车攻击案例：2013年Charlie Miller& Chris Valasek 通过OBD破解了丰田普锐斯；2014年360公司破解Tesla汽车远程控制功能；2015年2月，宝马Connected Drive服务被曝出漏洞，其主要是由于TSP平台和T-BOX之间的信息传输没有使用加密，泄露了包括VIN、控制指令等在内的汽车信息，黑客利用伪基站，可以让宝马汽车的网络连接注册到一个假的TSP中，然后利用分析出来的控制指令给汽车下发指令，最终可以实现车门控制，汽车启动控制等功能；2015年Samy Kamkar 破解了通用安吉星onstart 系统；2015年Charlie Miller& Chris Valasek 远程破解了吉普车的Uconnect系统，远程操控了该车的电台和雨刷等电子设备；2015年360公司破解了BYD汽车云服务、遥控驾驶功能、打开车门、后备箱。通过对以上车联网攻击事件的分析，可以清晰的看到车联网信息安全主要存在三大方面的风险：1.车内网络架构容易遭受信息安全的挑战；2.无限通信面临更为复杂的安全通信环境；3.云平台的安全管理中存在更多的潜在攻击接口：主要涉及车联网服务平台、车载通信终端、人机交互系统、手机APP，网络通信、数据安全和隐私包括等多方面。

4 车联网信息安全设计思路

车联网的安全设计，需要从端、管、云，以及车内网、车际网、车载移动互联网多个角度进行考虑和开发，分析汽车所面临的威胁。从开发流程、标准要求、架构设计、算法设计、加密机制、软件防护、硬件防护、代码审计以及最终的实车渗透测试等多个角度进行把控，做到各个环节进行安全防护。并建立应急响应机制，成立专业技术部门，一旦出现攻击事件或发现漏洞第一时间进行处理。

那么从车企的角度，如何考虑和进行车联网信息安全的开发，需要从以下方面进行研究。

4.1 车联网所面临的威胁分析

随着现代汽车功能越来越多，加之车联网技术融入，使得整车电气系统越来越复杂。根据权威机构统计，固化于数十个ECU中的代码行数可以达到1亿行之多，是windows7系统的两倍。加之汽车的使用环境复杂，又不同于传统的互联网安全问题，导致汽车所面临的网络安全问题更为复杂，包括传统网站攻击、服务器的攻击、云端攻击、网络层攻击、手机病毒、伪基站等，加之汽车自身的蓝牙、通信通断、遥控钥匙、USB接口等多个可侵入点的存在，导致汽车的安全设计要远高于其它领域。

汽车所面临的威胁，一是车载端的安全漏洞，包括应用程序漏洞、操作系统漏洞、近场通信漏洞、固件安全漏洞等等；二是通信安全方面的漏洞，包括身份认证漏洞、安全通信漏洞、网络端口漏洞等；三是系统平台安全方面的漏洞，包括SQL注入漏洞、脚本攻击漏洞、访问控制漏洞等等；四是客户端的安全风险，包括APP重打包、反编译、木马植入等等。

4.2 多项措施融合保证车联网安全

通过对车联网系统漏洞及攻击行为、途径的研究，对于信息安全工作，必须要在整个系统设计之初，就要建立合理的安全架构，多项措施一并实施。在开发阶段采用严密的安全策略，从车载通信终端到车联网平台TSP，再到手机APP客户端，以及车内网CAN总线，整个通信链路的各个环节都要兼顾；同时，车内控制模块与模块的身份认证、控制指令的认证等等，都需要有严密的加密策略，保证数据的一致性、可信性、合法性。在开发过程中，要严格遵循信息安全技术国家标准；增加平台、通信终端等硬件的防护；制定软件开发安全规范；认真落实代码的审计测试工作；同时委托第三方进行后续的实车渗透测试、漏洞扫描；在正式上线后的运维阶段，要建立应急响应体制，在受到攻击后能够第一时间妥善解决。通过以上多项措施的融合，全面保证整个车联网系统的安全。

4.3 车联网平台安全体系统建立

车联网平台作为整个车联网系统的核心，是车辆与外界交互数据处理的纽带，一旦遭到攻击或入侵，会导致整个系统内所有车联网配置车辆都会受到威胁。因此，车联网平台信息安全的问题，是整个信息安全建设的重中之重。车联网平台安全体系的设计，可以总结为“五维三关注”，其中五维包括架构安全、功能安全、开发安全、运维安全及管理安全，三关注是指业务运行稳定、数据安全有效、系统操作安全。如图1所示：

图1 车联网平台安全设计体系关注点

5 车联网关键部分信息安全设计

5.1 车联网TSP平台安全策略

从软件开发的角度，针对平台的应用层、系统层进行安全建设。应用层主要关注平台功能、开发、运维及管理等全流程的安全，系统层关注平台的硬件、网络基础设施及架构的安全。在平台的软件规划设计阶段，进行安全功能概设、安全功能详设、安全域划分及设计、安全资源配置。建设开发阶段进行安全代码安全测试、安全配置审查、安全资源加固。在上线前阶段进行渗透测试、回归测试、代码安全审计、安全配置回归测试。运维阶段建立安全指导手册、攻击监控平台、代码更新、安全资源配置，不断的加强防护，保证系统的安全。如图2 所示：

图2 车联网平台安全设计说明

从平台硬件的角度，要从以下几个方面入手：1.对防火墙进行加固，用户接入均通过防火墙进行最外层的访问控制，并且防火墙自带有“抗DDOS”模块，可以对集群式攻击进行有效防护；2.配备负载均衡设备，统一接受全部请求，再按规则进行分配，分解单个服务器压力，从而保证客户功能的实时性；3.对所有数据交换行为进行加密，禁止明文传输，保证数据访问安全；4设备冗余设计，杜绝单点故障，保证客户功能；5.对重要的数据进行备份处理，防止恶意损毁或自然灾害等事件造成数据丢失。如图3所示：

图3 车联网平台TSP硬件部署

针对平台安全管控机制，从以下角度进行管控。

身份认证：保证只有合法的用户（车机和手机）访问智能行车平台，这些用户必须经过安全的认证。尽量减少智能行车平台的入口，每个入口都必须经过安全的身份认证。

输入输出验证：所有的前端用户（车机和手机）的输入、输出在智能行车平台使用之前必须验证有效性之后方能使用，验证内容包含：长度、格式、类型等，对于各种注入攻击的特殊字符应进行过滤和阻断。

会话管理：具备会话超时管理。对Session、Cookie的使用进行安全设置。使用安全的Cookie,严禁在Cookie中明文存储敏感信息。

访问控制：采用基于角色的访问控制机制。

异常管理：使用结构化异常处理机制，并捕捉异常现象。

日志记录：平台应记录所有的车机和手机用户的访问日志以及平台自身的错误。

日志；记录应用处理日志，尤其是关键业务功能的操作日志以及系统错误日志。如图4所示：

图4 平台安全管控示意图

5.2 车载通信终端安全策略

车载通信终端支持全网通2G，3G，4G网络，自身采用硬件加密芯片，保证交互数据的安全。与车辆相关控制模块之间控制指令的交互，均采用严密的加密的策略以保证身份的合法。根据汽车的安全设计要求制定相关的策略，例如：当车速大于3km/h时，不允许执行外部控制指令。

5.3 手机APP安全策略

手机APP的安全策略，主要针对以下方面进行防护：防恶意注入；防护敏感数据；防止被恶意分析和调用；防止二次打包和反编译。具体策略包括：1.当应用程序接受外部数据（如Internet、蓝牙等）时，要对访问的身份及访问的内容进行校验，并将应用程序使用的数据和需要的权限降至最低；2.对关键功能使用二次密码确认；3.对主要功能及数据采用加密传输；4.对用户密码采用加密传输，以防密码泄漏；5.本地存储关键数据需要进行加密，禁止明文存储，以防数据泄漏；6.针对苹果软件和安卓系统软件进行详细安全开发和测试。

5.4 通信渠道安全策略

图5 通讯渠道安全策略

通信渠道配置即通信运营商网络配置。根据车联网的功能进行专属APN设置，采用GRE隧道形式，通信运营商通过建设独立的专网GGSN服务，与公共互联网进行物理隔离，远程控制等关键功能采用此种方式进行数据交互；娱乐部分功能采用移动互联网APN，与传统手机连接网络类似，利用公网进行数据交互。如图5 所示。

5.5 车联网平台安全体制建立

信息安全的防护，需要建立车联网信息安全防护体系，从车内网、车载移动互联网、车际网，从端管云多个角度系统的防护外界的攻击，并且随时的做出响应和处理，保证车辆数据，用户数据、车辆行驶的安全。对于智能车载终端（端）进行车联网安全架构、车联网安全防护体系、智能安全防护网关的建立；对于通信网络（管）进行安全通信协议、4G/5G通信安全架构、智能网联汽车无线通信体系的建立；对于车联网TSP进行基础防护、应急响应，完善防御体系，主动防御、自动修复功能的建立。对于每个部分进行安全机制的考虑，保证车联网的信息安全。如图6所示：

图6 安全体制建立示意图

6 总结

车联网的出现，使汽车不再是一个封闭的独立个体，一旦与互联网相连，就意味着打开了风险的大门。加之近几年层出不穷的汽车被攻击事件，可以说车联网安全建设任重而道远，唯一的解决办法就是多方协作。

对于汽车来说，车联网架构在设计之初就要充分的考虑信息安全，同时对零部件厂商要进行技术上的要求，采用最先进的技术方案，在保证车内网安全的同时，使整个车联网系统做的更严谨。

对于通信运营商，要能提供安全的通信渠道，例如前面提到的专线等技术，同时为了满足车联网的特殊需求，还要开发相应的接口，比如与TSP（Telematics service provider）平台交互接口、SIM卡状态查询接口、流量查询接口、充值缴费接口等，同时要保证这些接口的安全性。

车联网运营平台既要维护软、硬件的稳定运行，又要开发新的车联网功能和策略，因此要不断的更新软件和硬件，保证系统的技术先进性和稳定性。同时还要对系统的运行情况进行实施监控，一旦发现异常或攻击，要第一时间进行处理。

对于互联网的部分，并不是主机厂所擅长的领域，互联网攻击有其自身的特点，比如开放的网联环境、攻击者身份隐秘、攻击方法多样、可用于攻击的设备数量巨大等等，因此我们需要也有必要与一些比较有实力的、专业的网络安全公司进行紧密的合作，来为我们的车联网安全保驾护航。

[1] 许新,王体龙,张静鹤,孙英坤.车联网技术研究[J].科技创新与应用, 2014,36:59.

[2] 王娟.车联网技术概论[J].河南科技,2014,21:3.

[3] 中国汽车工程学会,北京航空航天大学,梆梆安全研究院.智能网联网汽车信息安全白皮书[R].北京:中国汽车工程学会,2016.

[4]冯志杰,何明,李彬,等汽车信息安全攻防关键技术研究进展[J],信息安全学报,2017,2（2）:1-14.

[5] 许彩霞,车联网信息安全的威胁及防护策略.信息通信2018(7):1-2.

[6] 郝成龙,郝铁亮,刘涛等,车联网安全问题分析[J].汽车实用技术, 2017(20),139-140.

[7] 张晓帆,陶明明,车联网TSP平台软件安全建设研究与应用.汽车电器,2017(3),40-41,43.

[8] 赵德华,张晓帆,车联网TSP平台软件漏洞分析与安全测试.汽车实用技术,2016,(12),136-137,185.

Research on the Information Security Technology of Car Networking from the Perspective of Automobile Enterprise

Ye Ping, Hao Tieliang, Zhao Dehua, Zhang Xiaofan, Huang Xuling

( Huachen Automobile Group Holdings Co., Ltd.. Huachen Automobile Engineering Research Institute, Liaoning Shenyang 110141 )

With the continuous development of vehicle networking technology, vehicle network technology has been widely used in mass production vehicles in major automobile factories, but the related problems of vehicle networking technology have become increasingly prominent. This paper mainly introduces the industry dynamics of vehicle networ -king, the function of vehicle-to-vehicle system, the importance and design of vehicle networking information security, and explains the development process, information security mechanism, strategy design, vehicle penetration test and response mechanism system of vehicle networking information security technology. Network end, management, cloud three levels of vehicle network information security design analysis, including mobile phone APP, data center, communication opera -tors, vehicle communication terminal security design, as well as car factory in the future information security design, infor -mation security testing and verification, related standards formulation, challenges.

Internet of Vehicle; Information security; Security strategy; Information security test verification

A

1671-7988(2019)05-59-05

TN915

A

1671-7988(2019)05-59-05

TN915

叶平，女，华晨汽车工程研究院测试工程师，主要负责电气功能测试及车联网测试工作。

10.16638/j.cnki.1671-7988.2019.05.018