網(wǎng)絡(luò)信息安全評(píng)估部 袁豪杰
一、車(chē)聯(lián)網(wǎng)簡(jiǎn)述
由機(jī)械工業(yè)出版社出版、中國(guó)汽車(chē)工程學(xué)會(huì)主編的《節(jié)能與新能源汽車(chē)技術(shù)路線圖年度評(píng)估報(bào)告2018》對(duì)智能網(wǎng)聯(lián)汽車(chē)做出定義:智能網(wǎng)聯(lián)汽車(chē)是指搭載先進(jìn)的車(chē)載傳感器、控制器、執(zhí)行器等裝置,并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù),實(shí)現(xiàn)車(chē)與X(車(chē)、路、人、云端等)智能信息交換、共享,具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等功能,可實(shí)現(xiàn)“安全、高效、舒適、節(jié)能”行駛,并最終可實(shí)現(xiàn)替代人來(lái)操作的新一代汽車(chē)。
針對(duì)車(chē)聯(lián)網(wǎng)安全技術(shù)研究,從網(wǎng)絡(luò)體系角度出發(fā),以國(guó)際電信聯(lián)盟ITU-T的物聯(lián)網(wǎng)體系結(jié)構(gòu)參考模型為基礎(chǔ),車(chē)聯(lián)網(wǎng)體系結(jié)構(gòu)自車(chē)載終端至遠(yuǎn)端服務(wù)器可劃分為感知層、網(wǎng)絡(luò)層(傳輸層)和應(yīng)用層。
車(chē)聯(lián)網(wǎng)感知層是指車(chē)輛通過(guò)傳感器、信息通訊等實(shí)時(shí)地收發(fā)車(chē)輛自身與交通環(huán)境相關(guān)狀況信息。其實(shí)時(shí)信息交互具體包括車(chē)內(nèi)駕駛系統(tǒng)與控制系統(tǒng)信息、車(chē)身駕駛環(huán)境信息、車(chē)輛位置與速度信息、車(chē)輛外部環(huán)境信息、其它車(chē)輛、行人、道路信息與整體交通系統(tǒng)信息等。
車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)層包括核心網(wǎng)和接入網(wǎng)兩部分,是車(chē)輛信息接收與發(fā)射所建立的信息通信網(wǎng)絡(luò)。核心網(wǎng)負(fù)責(zé)從基站到云端服務(wù)器的路由選擇和數(shù)據(jù)傳輸,接入網(wǎng)主要負(fù)責(zé)車(chē)與車(chē)、車(chē)與基站之間的交互通信。傳輸信息從感知層獲取進(jìn)而提供給應(yīng)用層,車(chē)聯(lián)網(wǎng)傳輸層需要通過(guò)安全可靠的信息傳輸機(jī)制來(lái)確保通信安全進(jìn)而確保應(yīng)用安全、車(chē)輛安全、交通安全、人身安全。目前主流的車(chē)聯(lián)網(wǎng)專用通信協(xié)議分為DSRC與LTE-V兩類。
車(chē)聯(lián)網(wǎng)應(yīng)用層是車(chē)聯(lián)網(wǎng)技術(shù)發(fā)展與創(chuàng)新的驅(qū)動(dòng)力,應(yīng)用層不僅僅包括車(chē)載信息服務(wù)類應(yīng)用,更包括面向所有車(chē)輛交通的安全效率類應(yīng)用和以自動(dòng)駕駛為基礎(chǔ)的協(xié)同服務(wù)類應(yīng)用,依賴于人、車(chē)、路、云的全方位連接與信息交互。
二、從網(wǎng)絡(luò)體系看車(chē)聯(lián)網(wǎng)安全與檢測(cè)
1.車(chē)聯(lián)網(wǎng)感知層安全
對(duì)感知層的安全而言,安全問(wèn)題主要集中在由通信、計(jì)算、存儲(chǔ)等構(gòu)成的車(chē)載終端上。車(chē)載智能終端包含兩類重要信息:一是個(gè)人信息隱私;二是車(chē)輛控制協(xié)議信息,包括遠(yuǎn)程控制命令、身份驗(yàn)證信息等。受限于使用環(huán)境,車(chē)載終端性能較遠(yuǎn)端服務(wù)器差,安全防護(hù)措施不足,可能存在漏洞利用終端接口將惡意程序植入終端,進(jìn)而干擾車(chē)載終智能端的信息通信與計(jì)算決策。然而目前車(chē)載智能終端操作系統(tǒng)的發(fā)布與更新往往是由各個(gè)車(chē)載終端廠商獨(dú)立完成,缺少規(guī)范的安全監(jiān)管政策和流程,無(wú)法對(duì)其車(chē)載終端的硬件、操作系統(tǒng)和應(yīng)用軟件進(jìn)行必要的安全性測(cè)試,因此會(huì)降低產(chǎn)品的安全性,使車(chē)載智能終端面臨更加嚴(yán)重的安全問(wèn)題。
2.車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)層安全
由于網(wǎng)絡(luò)層主要負(fù)責(zé)數(shù)據(jù)傳輸工作,對(duì)網(wǎng)絡(luò)層而言,其安全隱患主要集中于數(shù)據(jù)的惡意攔截、獲取、泄露、篡改,通過(guò)節(jié)點(diǎn)進(jìn)行攻擊等,具體可表現(xiàn)為
? 竊聽(tīng)與篡改攻擊
在車(chē)聯(lián)網(wǎng)無(wú)線通信環(huán)境中的通信信道往往是開(kāi)放式的,攻擊者可以通過(guò)發(fā)動(dòng)竊聽(tīng)攻擊獲取車(chē)輛節(jié)點(diǎn)之間傳輸?shù)男畔?,造成用戶隱私信息泄露帶來(lái)安全威脅。當(dāng)竊聽(tīng)攻擊發(fā)生時(shí),攻擊者同樣可對(duì)信息進(jìn)行非法篡改進(jìn)而發(fā)送給目標(biāo)用戶,使用戶收到錯(cuò)誤信息,進(jìn)而影響到車(chē)聯(lián)網(wǎng)安全。由于竊聽(tīng)與篡改攻擊的特性,用戶無(wú)法發(fā)覺(jué)信息是否遭到竊聽(tīng),因此需要對(duì)信息傳輸是否加密進(jìn)行檢測(cè),來(lái)確保信息傳輸?shù)陌踩浴?br>
? 回放攻擊
回放攻擊與竊聽(tīng)、篡改攻擊往往同時(shí)發(fā)生,攻擊者通過(guò)竊聽(tīng)截取通信信道內(nèi)傳輸?shù)男畔?,再以同樣的方式將消息重?fù)發(fā)送至車(chē)聯(lián)網(wǎng)中的實(shí)體,使得接受者以為是合法用戶所發(fā),混淆了本應(yīng)該接受的交通信息,發(fā)生誤判。因此需要檢測(cè)相關(guān)安全協(xié)議是否設(shè)置時(shí)間戳或隨機(jī)值以抵御此類攻擊。
3.車(chē)聯(lián)網(wǎng)應(yīng)用層安全
對(duì)應(yīng)用層的安全而言,其安全隱患主要集中于應(yīng)用本身的身份認(rèn)證、密鑰管理、數(shù)據(jù)安全、隱私保護(hù)等。具體體現(xiàn)為:
? 節(jié)點(diǎn)捕獲攻擊與檢測(cè)
節(jié)點(diǎn)捕獲攻擊既可以劃分到網(wǎng)絡(luò)層,也可以劃分到應(yīng)用層。節(jié)點(diǎn)攻擊通常指Sybil攻擊或女巫攻擊,該類攻擊是指在車(chē)聯(lián)網(wǎng)中單一節(jié)點(diǎn)具有多個(gè)身份標(biāo)識(shí),攻擊者利用車(chē)聯(lián)網(wǎng)中的少數(shù)節(jié)點(diǎn)控制多個(gè)虛假身份,冒充或偽造合法車(chē)輛發(fā)送信息至信息網(wǎng)絡(luò),從而控制或影響網(wǎng)絡(luò)的大量正常節(jié)點(diǎn)。在車(chē)聯(lián)網(wǎng)系統(tǒng)中,由于汽車(chē)本身節(jié)點(diǎn)具有移動(dòng)性,從而網(wǎng)絡(luò)被影響范圍隨節(jié)點(diǎn)的移動(dòng)而擴(kuò)大。
對(duì)節(jié)點(diǎn)攻擊的主要檢測(cè)手段有以下三種:
(1) 對(duì)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證。在節(jié)點(diǎn)加入網(wǎng)絡(luò)之前向某認(rèn)證中心進(jìn)行身份認(rèn)證并獲得相應(yīng)通信密鑰,使得每一個(gè)節(jié)點(diǎn)都具有合法身份。此外利用匿名技術(shù)可以確保節(jié)點(diǎn)在通信過(guò)程中的私密性。Yu H等提出利用算法將汽車(chē)所獲得的所有偽名都通過(guò)特定的哈希算法對(duì)應(yīng)于同一值,從而快速發(fā)現(xiàn)車(chē)輛同時(shí)使用多個(gè)身份的現(xiàn)象。但對(duì)于合法身份的節(jié)點(diǎn)仍存在被盜用、共享的安全威脅
(2) 對(duì)節(jié)點(diǎn)位置進(jìn)行檢測(cè)。車(chē)聯(lián)網(wǎng)的一個(gè)重要特點(diǎn)是每一個(gè)節(jié)點(diǎn)都具有移動(dòng)性,雖然攻擊者具有多個(gè)身份,但這些身份都對(duì)應(yīng)于同一個(gè)物理節(jié)點(diǎn),從而導(dǎo)致其行為具有高相似性,同理,不同的車(chē)輛一般都具有不同的移動(dòng)軌跡,因此通過(guò)對(duì)節(jié)點(diǎn)移動(dòng)行為、移動(dòng)軌跡相似度的分析可實(shí)現(xiàn)對(duì)Sybil節(jié)點(diǎn)的有效檢測(cè)。
(3) 對(duì)節(jié)點(diǎn)匹配資源進(jìn)行檢測(cè)。通常對(duì)于大多數(shù)車(chē)輛節(jié)點(diǎn),其所具備的通信帶寬、計(jì)算能力、存儲(chǔ)空間等大致相等。因此,若存在多個(gè)節(jié)點(diǎn)所擁有的資源與數(shù)量無(wú)法匹配,則可以判定節(jié)點(diǎn)中存在虛假節(jié)點(diǎn)。
? 系統(tǒng)內(nèi)部人員攻擊與檢測(cè)
系統(tǒng)內(nèi)部人員發(fā)動(dòng)攻擊往往是該人員具有用戶密碼管理權(quán)限,相關(guān)人員如果非法盜用和使用存儲(chǔ)與系統(tǒng)服務(wù)器中的用戶與密碼,就可以發(fā)起對(duì)整個(gè)網(wǎng)絡(luò)的攻擊,甚至對(duì)信息進(jìn)行轉(zhuǎn)賣(mài)。因此需要建立安全管理制度,設(shè)置管理員操作權(quán)限對(duì)管理員操作行為進(jìn)行檢查。
三、從設(shè)備終端看車(chē)聯(lián)網(wǎng)安全與檢測(cè)
1.移動(dòng)終端安全檢測(cè)
隨著車(chē)聯(lián)網(wǎng)的發(fā)展,參與車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)的共享服務(wù)不僅局限于車(chē)內(nèi)單元和外部基礎(chǔ)設(shè)施,用戶所攜帶的智能移動(dòng)終端也參與其中。這些電子設(shè)備內(nèi)部往往包含用戶的隱私信息,攻擊者常常可以利用設(shè)備內(nèi)部的秘密信息非法訪問(wèn)資源和服務(wù),或冒充合法用戶發(fā)送虛假消息至車(chē)聯(lián)網(wǎng)中。移動(dòng)終端的安全檢測(cè)主要包括:
賬戶安全檢測(cè):檢測(cè)密碼是否采用明文進(jìn)行傳輸和存儲(chǔ)、賬戶鎖定策略、注銷機(jī)制等。
數(shù)據(jù)通信安全檢測(cè):檢測(cè)數(shù)據(jù)是否加密、是否使用安全通信(如HTTPS)、是否驗(yàn)證數(shù)字證書(shū)和數(shù)據(jù)的合法性等。
服務(wù)端接口檢測(cè):檢測(cè)是否存在SQL注入、XSS跨站腳本攻擊、CSRF跨站請(qǐng)求偽造、越權(quán)訪問(wèn)等。
除此之外還包括安裝包檢測(cè)、組件安全檢測(cè)、敏感信息檢測(cè)等
2.網(wǎng)絡(luò)及安全設(shè)備安全檢測(cè)
網(wǎng)聯(lián)汽車(chē)依據(jù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)拓展感知網(wǎng)絡(luò)和應(yīng)用平臺(tái),是互聯(lián)網(wǎng)的延伸,且汽車(chē)本身也不再是一個(gè)孤立的單元,因此針對(duì)智能網(wǎng)聯(lián)汽車(chē)的檢測(cè)要保證車(chē)輛自組網(wǎng)與多種異構(gòu)網(wǎng)絡(luò)之間的通信與漫游,實(shí)現(xiàn)V2X的雙向數(shù)據(jù)通信鏈路之間的傳輸安全。
針對(duì)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全,其主要檢測(cè)應(yīng)包含:
通信協(xié)議安全檢測(cè):檢測(cè)通信協(xié)議一致性與通信互操作性;進(jìn)行通信協(xié)議身份認(rèn)證漏洞檢測(cè)、假冒攻擊漏洞檢測(cè)、保密數(shù)據(jù)泄露漏洞檢測(cè)、新鮮性漏洞檢測(cè)、類型攻擊漏洞檢測(cè)、攻擊者不道德漏洞檢測(cè)等。
傳輸保密檢測(cè):檢測(cè)通信數(shù)據(jù)是否為加密傳輸,是否確保數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和一致性。
網(wǎng)絡(luò)邊界檢測(cè):檢測(cè)是否支持連接外部系統(tǒng),是否在內(nèi)部系統(tǒng)邊界進(jìn)行監(jiān)控、是否部署邊界保護(hù)設(shè)備等
設(shè)備識(shí)別檢測(cè)等:檢測(cè)是否對(duì)固定設(shè)備進(jìn)行唯一性標(biāo)識(shí)和鑒別能力
3.服務(wù)器/存儲(chǔ)設(shè)備安全檢測(cè)
車(chē)聯(lián)網(wǎng)服務(wù)器架構(gòu)一般可分為身份認(rèn)證管理平臺(tái)、遠(yuǎn)程信息服務(wù)終端(Telematics Box, T-BOX)管理服務(wù)器和應(yīng)用服務(wù)器,身份認(rèn)證管理平臺(tái)為整個(gè)系統(tǒng)提供身份認(rèn)證方案和基礎(chǔ)服務(wù),在管理服務(wù)器和應(yīng)用服務(wù)器上部署身份認(rèn)證相關(guān)功能,車(chē)輛和智能終端通過(guò)無(wú)線訪問(wèn)點(diǎn),使用移動(dòng)通訊技術(shù)連接網(wǎng)絡(luò),用戶操作手機(jī)獲取系統(tǒng)服務(wù)。攻擊者??衫蒙矸菡J(rèn)證協(xié)議自身的漏洞造成認(rèn)證失效,進(jìn)而破壞整個(gè)服務(wù)器架構(gòu)。
車(chē)聯(lián)網(wǎng)服務(wù)器安全檢測(cè)除T-BOX安全檢測(cè)外還應(yīng)包含移動(dòng)終端OS安全檢測(cè),其檢測(cè)內(nèi)容部分相同,具體表現(xiàn)為:
會(huì)話認(rèn)證檢測(cè)、身份鑒別檢測(cè)、訪問(wèn)控制檢測(cè)、數(shù)據(jù)完整性和保密性檢測(cè)、登錄失敗限制檢測(cè)、安全審計(jì)檢測(cè)、日志管理檢測(cè)、數(shù)據(jù)備份與恢復(fù)檢測(cè)等。
針對(duì)T-BOX安全檢測(cè)還應(yīng)包含:T-BOX服務(wù)接口滲透檢測(cè)、T-BOX非法注入檢測(cè)、T-BOX非法控制檢測(cè)等
除此以外,對(duì)服務(wù)器系統(tǒng)檢測(cè)應(yīng)包含基本功能性檢測(cè),其目的是要實(shí)現(xiàn)對(duì)服務(wù)器設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用在服務(wù)器上性能的全面監(jiān)控?;竟δ苄詸z測(cè)包含功能測(cè)試和性能測(cè)試兩方面。功能測(cè)試從用戶觀點(diǎn)出發(fā),采用黑盒測(cè)試證明系統(tǒng)功能的可操作性和正確性;性能測(cè)試則利用自動(dòng)化工具模擬多種正常、異常、峰值負(fù)載條件來(lái)測(cè)試系統(tǒng)的各項(xiàng)性能指標(biāo),針對(duì)服務(wù)器端也可采用系統(tǒng)本身的監(jiān)控命令進(jìn)行檢測(cè)。
四、小結(jié)
中國(guó)軟件評(píng)測(cè)中心認(rèn)為智能網(wǎng)聯(lián)汽車(chē)處于發(fā)展的初階段,對(duì)于車(chē)聯(lián)網(wǎng)的安全與檢測(cè)技術(shù)研究以及安全標(biāo)準(zhǔn)的建立也處于起步階段,從不同的角度看待車(chē)聯(lián)網(wǎng)的安全將有利于推動(dòng)行業(yè)的發(fā)展與相關(guān)標(biāo)準(zhǔn)的建立。