網(wǎng)絡信息安全評估部 袁豪杰
一、車聯(lián)網(wǎng)簡述
由機械工業(yè)出版社出版、中國汽車工程學會主編的《節(jié)能與新能源汽車技術路線圖年度評估報告2018》對智能網(wǎng)聯(lián)汽車做出定義:智能網(wǎng)聯(lián)汽車是指搭載先進的車載傳感器、控制器、執(zhí)行器等裝置,并融合現(xiàn)代通信與網(wǎng)絡技術,實現(xiàn)車與X(車、路、人、云端等)智能信息交換、共享,具備復雜環(huán)境感知、智能決策、協(xié)同控制等功能,可實現(xiàn)“安全、高效、舒適、節(jié)能”行駛,并最終可實現(xiàn)替代人來操作的新一代汽車。
針對車聯(lián)網(wǎng)安全技術研究,從網(wǎng)絡體系角度出發(fā),以國際電信聯(lián)盟ITU-T的物聯(lián)網(wǎng)體系結構參考模型為基礎,車聯(lián)網(wǎng)體系結構自車載終端至遠端服務器可劃分為感知層、網(wǎng)絡層(傳輸層)和應用層。
車聯(lián)網(wǎng)感知層是指車輛通過傳感器、信息通訊等實時地收發(fā)車輛自身與交通環(huán)境相關狀況信息。其實時信息交互具體包括車內(nèi)駕駛系統(tǒng)與控制系統(tǒng)信息、車身駕駛環(huán)境信息、車輛位置與速度信息、車輛外部環(huán)境信息、其它車輛、行人、道路信息與整體交通系統(tǒng)信息等。
車聯(lián)網(wǎng)網(wǎng)絡層包括核心網(wǎng)和接入網(wǎng)兩部分,是車輛信息接收與發(fā)射所建立的信息通信網(wǎng)絡。核心網(wǎng)負責從基站到云端服務器的路由選擇和數(shù)據(jù)傳輸,接入網(wǎng)主要負責車與車、車與基站之間的交互通信。傳輸信息從感知層獲取進而提供給應用層,車聯(lián)網(wǎng)傳輸層需要通過安全可靠的信息傳輸機制來確保通信安全進而確保應用安全、車輛安全、交通安全、人身安全。目前主流的車聯(lián)網(wǎng)專用通信協(xié)議分為DSRC與LTE-V兩類。
車聯(lián)網(wǎng)應用層是車聯(lián)網(wǎng)技術發(fā)展與創(chuàng)新的驅動力,應用層不僅僅包括車載信息服務類應用,更包括面向所有車輛交通的安全效率類應用和以自動駕駛為基礎的協(xié)同服務類應用,依賴于人、車、路、云的全方位連接與信息交互。
二、從網(wǎng)絡體系看車聯(lián)網(wǎng)安全與檢測
1.車聯(lián)網(wǎng)感知層安全
對感知層的安全而言,安全問題主要集中在由通信、計算、存儲等構成的車載終端上。車載智能終端包含兩類重要信息:一是個人信息隱私;二是車輛控制協(xié)議信息,包括遠程控制命令、身份驗證信息等。受限于使用環(huán)境,車載終端性能較遠端服務器差,安全防護措施不足,可能存在漏洞利用終端接口將惡意程序植入終端,進而干擾車載終智能端的信息通信與計算決策。然而目前車載智能終端操作系統(tǒng)的發(fā)布與更新往往是由各個車載終端廠商獨立完成,缺少規(guī)范的安全監(jiān)管政策和流程,無法對其車載終端的硬件、操作系統(tǒng)和應用軟件進行必要的安全性測試,因此會降低產(chǎn)品的安全性,使車載智能終端面臨更加嚴重的安全問題。
2.車聯(lián)網(wǎng)網(wǎng)絡層安全
由于網(wǎng)絡層主要負責數(shù)據(jù)傳輸工作,對網(wǎng)絡層而言,其安全隱患主要集中于數(shù)據(jù)的惡意攔截、獲取、泄露、篡改,通過節(jié)點進行攻擊等,具體可表現(xiàn)為
? 竊聽與篡改攻擊
在車聯(lián)網(wǎng)無線通信環(huán)境中的通信信道往往是開放式的,攻擊者可以通過發(fā)動竊聽攻擊獲取車輛節(jié)點之間傳輸?shù)男畔?,造成用戶隱私信息泄露帶來安全威脅。當竊聽攻擊發(fā)生時,攻擊者同樣可對信息進行非法篡改進而發(fā)送給目標用戶,使用戶收到錯誤信息,進而影響到車聯(lián)網(wǎng)安全。由于竊聽與篡改攻擊的特性,用戶無法發(fā)覺信息是否遭到竊聽,因此需要對信息傳輸是否加密進行檢測,來確保信息傳輸?shù)陌踩浴?br>
? 回放攻擊
回放攻擊與竊聽、篡改攻擊往往同時發(fā)生,攻擊者通過竊聽截取通信信道內(nèi)傳輸?shù)男畔?,再以同樣的方式將消息重復發(fā)送至車聯(lián)網(wǎng)中的實體,使得接受者以為是合法用戶所發(fā),混淆了本應該接受的交通信息,發(fā)生誤判。因此需要檢測相關安全協(xié)議是否設置時間戳或隨機值以抵御此類攻擊。
3.車聯(lián)網(wǎng)應用層安全
對應用層的安全而言,其安全隱患主要集中于應用本身的身份認證、密鑰管理、數(shù)據(jù)安全、隱私保護等。具體體現(xiàn)為:
? 節(jié)點捕獲攻擊與檢測
節(jié)點捕獲攻擊既可以劃分到網(wǎng)絡層,也可以劃分到應用層。節(jié)點攻擊通常指Sybil攻擊或女巫攻擊,該類攻擊是指在車聯(lián)網(wǎng)中單一節(jié)點具有多個身份標識,攻擊者利用車聯(lián)網(wǎng)中的少數(shù)節(jié)點控制多個虛假身份,冒充或偽造合法車輛發(fā)送信息至信息網(wǎng)絡,從而控制或影響網(wǎng)絡的大量正常節(jié)點。在車聯(lián)網(wǎng)系統(tǒng)中,由于汽車本身節(jié)點具有移動性,從而網(wǎng)絡被影響范圍隨節(jié)點的移動而擴大。
對節(jié)點攻擊的主要檢測手段有以下三種:
(1) 對節(jié)點進行身份驗證。在節(jié)點加入網(wǎng)絡之前向某認證中心進行身份認證并獲得相應通信密鑰,使得每一個節(jié)點都具有合法身份。此外利用匿名技術可以確保節(jié)點在通信過程中的私密性。Yu H等提出利用算法將汽車所獲得的所有偽名都通過特定的哈希算法對應于同一值,從而快速發(fā)現(xiàn)車輛同時使用多個身份的現(xiàn)象。但對于合法身份的節(jié)點仍存在被盜用、共享的安全威脅
(2) 對節(jié)點位置進行檢測。車聯(lián)網(wǎng)的一個重要特點是每一個節(jié)點都具有移動性,雖然攻擊者具有多個身份,但這些身份都對應于同一個物理節(jié)點,從而導致其行為具有高相似性,同理,不同的車輛一般都具有不同的移動軌跡,因此通過對節(jié)點移動行為、移動軌跡相似度的分析可實現(xiàn)對Sybil節(jié)點的有效檢測。
(3) 對節(jié)點匹配資源進行檢測。通常對于大多數(shù)車輛節(jié)點,其所具備的通信帶寬、計算能力、存儲空間等大致相等。因此,若存在多個節(jié)點所擁有的資源與數(shù)量無法匹配,則可以判定節(jié)點中存在虛假節(jié)點。
? 系統(tǒng)內(nèi)部人員攻擊與檢測
系統(tǒng)內(nèi)部人員發(fā)動攻擊往往是該人員具有用戶密碼管理權限,相關人員如果非法盜用和使用存儲與系統(tǒng)服務器中的用戶與密碼,就可以發(fā)起對整個網(wǎng)絡的攻擊,甚至對信息進行轉賣。因此需要建立安全管理制度,設置管理員操作權限對管理員操作行為進行檢查。
三、從設備終端看車聯(lián)網(wǎng)安全與檢測
1.移動終端安全檢測
隨著車聯(lián)網(wǎng)的發(fā)展,參與車聯(lián)網(wǎng)網(wǎng)絡的共享服務不僅局限于車內(nèi)單元和外部基礎設施,用戶所攜帶的智能移動終端也參與其中。這些電子設備內(nèi)部往往包含用戶的隱私信息,攻擊者常??梢岳迷O備內(nèi)部的秘密信息非法訪問資源和服務,或冒充合法用戶發(fā)送虛假消息至車聯(lián)網(wǎng)中。移動終端的安全檢測主要包括:
賬戶安全檢測:檢測密碼是否采用明文進行傳輸和存儲、賬戶鎖定策略、注銷機制等。
數(shù)據(jù)通信安全檢測:檢測數(shù)據(jù)是否加密、是否使用安全通信(如HTTPS)、是否驗證數(shù)字證書和數(shù)據(jù)的合法性等。
服務端接口檢測:檢測是否存在SQL注入、XSS跨站腳本攻擊、CSRF跨站請求偽造、越權訪問等。
除此之外還包括安裝包檢測、組件安全檢測、敏感信息檢測等
2.網(wǎng)絡及安全設備安全檢測
網(wǎng)聯(lián)汽車依據(jù)現(xiàn)有網(wǎng)絡基礎拓展感知網(wǎng)絡和應用平臺,是互聯(lián)網(wǎng)的延伸,且汽車本身也不再是一個孤立的單元,因此針對智能網(wǎng)聯(lián)汽車的檢測要保證車輛自組網(wǎng)與多種異構網(wǎng)絡之間的通信與漫游,實現(xiàn)V2X的雙向數(shù)據(jù)通信鏈路之間的傳輸安全。
針對車聯(lián)網(wǎng)網(wǎng)絡安全,其主要檢測應包含:
通信協(xié)議安全檢測:檢測通信協(xié)議一致性與通信互操作性;進行通信協(xié)議身份認證漏洞檢測、假冒攻擊漏洞檢測、保密數(shù)據(jù)泄露漏洞檢測、新鮮性漏洞檢測、類型攻擊漏洞檢測、攻擊者不道德漏洞檢測等。
傳輸保密檢測:檢測通信數(shù)據(jù)是否為加密傳輸,是否確保數(shù)據(jù)傳輸?shù)臏蚀_性和一致性。
網(wǎng)絡邊界檢測:檢測是否支持連接外部系統(tǒng),是否在內(nèi)部系統(tǒng)邊界進行監(jiān)控、是否部署邊界保護設備等
設備識別檢測等:檢測是否對固定設備進行唯一性標識和鑒別能力
3.服務器/存儲設備安全檢測
車聯(lián)網(wǎng)服務器架構一般可分為身份認證管理平臺、遠程信息服務終端(Telematics Box, T-BOX)管理服務器和應用服務器,身份認證管理平臺為整個系統(tǒng)提供身份認證方案和基礎服務,在管理服務器和應用服務器上部署身份認證相關功能,車輛和智能終端通過無線訪問點,使用移動通訊技術連接網(wǎng)絡,用戶操作手機獲取系統(tǒng)服務。攻擊者??衫蒙矸菡J證協(xié)議自身的漏洞造成認證失效,進而破壞整個服務器架構。
車聯(lián)網(wǎng)服務器安全檢測除T-BOX安全檢測外還應包含移動終端OS安全檢測,其檢測內(nèi)容部分相同,具體表現(xiàn)為:
會話認證檢測、身份鑒別檢測、訪問控制檢測、數(shù)據(jù)完整性和保密性檢測、登錄失敗限制檢測、安全審計檢測、日志管理檢測、數(shù)據(jù)備份與恢復檢測等。
針對T-BOX安全檢測還應包含:T-BOX服務接口滲透檢測、T-BOX非法注入檢測、T-BOX非法控制檢測等
除此以外,對服務器系統(tǒng)檢測應包含基本功能性檢測,其目的是要實現(xiàn)對服務器設備、服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用在服務器上性能的全面監(jiān)控。基本功能性檢測包含功能測試和性能測試兩方面。功能測試從用戶觀點出發(fā),采用黑盒測試證明系統(tǒng)功能的可操作性和正確性;性能測試則利用自動化工具模擬多種正常、異常、峰值負載條件來測試系統(tǒng)的各項性能指標,針對服務器端也可采用系統(tǒng)本身的監(jiān)控命令進行檢測。
四、小結
中國軟件評測中心認為智能網(wǎng)聯(lián)汽車處于發(fā)展的初階段,對于車聯(lián)網(wǎng)的安全與檢測技術研究以及安全標準的建立也處于起步階段,從不同的角度看待車聯(lián)網(wǎng)的安全將有利于推動行業(yè)的發(fā)展與相關標準的建立。