车联网安全标准及框架研究

发布时间：2022-04-22所属分类：计算机职称论文浏览：1次

摘 要： 摘 要 伴随车联网智能化和网联化的快速发展，车联网网络安全重要性已凸显。文章首先对典型车联网安全事件进行梳理，分析车联网安全威胁，对车联网安全标准国内外发展和安全框架进行了概述，最后对车联网安全发展进行了总结和展望。 关键词 车联网;智能网络汽车;安全威

　　摘　要  伴随车联网智能化和网联化的快速发展，车联网网络安全重要性已凸显。文章首先对典型车联网安全事件进行梳理，分析车联网安全威胁，对车联网安全标准国内外发展和安全框架进行了概述，最后对车联网安全发展进行了总结和展望。

　　关键词  车联网;智能网络汽车;安全威胁;安全标准;安全框架

　　引言

　　随着新一代信息通信技术与汽车产业的不断融合，加之5G发展的推动，汽车网联化和智能化趋势显著。伴随车联网在全球范围内进入快速发展期，网联化进程不断推进，车联网网络攻击风险持续加剧，车联网网络安全事件频发，严重威胁用户的人身和财产安全[1-3]。

　　根据Upstream Security发布的《2020年汽车网络安全报告》显示，自2016年以来，车联网网络安全事件数量增长了605%，仅2019年就增长了一倍以上[4]。近年来，典型的车联网网络攻击事件主要有：2015 年，克莱斯勒的Jeep车型被入侵，利用Linux系统漏洞，远程攻击控制器并修改固件，获得CAN总线发送指令权限，可实现远程控制动力系统和刹车系统;2016 年，安全专家借助入侵用户手机，窃取特斯拉APP账户的用户名和密码，通过特斯拉TSP平台可以对车辆进行追踪定位，远程解锁和启动;2017年，安全专家发现通过嗅探并捕捉斯巴鲁汽车钥匙系统所发出的数据包，可以利用数据包推测出车辆钥匙系统下一次生成的序列码，并可“非法克隆”出一模一样的汽车钥匙;2018 年，安全专家发现大众和奥迪汽车存在安全漏洞，攻击者借助车载信息娱乐系统的漏洞，可以向CAN总线发送指令，远程访问麦克风、扬声器和导航系统;2019 年，梅赛德斯·奔驰在美国的应用程序出现了严重的安全漏洞，可以看到其他车主的账户和车辆信息，如姓名、最近的活动、电话号码等。

　　1 安全威胁分析

　　通过对近年来出现的各类汽车安全事件的搜集、整理和分析，车联网安全攻击主要来自于无钥匙进入/ 遥控钥匙、服务器、移动应用、OBD端口、车载娱乐系统、传感器、Wi-Fi、ECU/TCU/GW、蓝牙、移动通信网络、OBD电子狗和车内网络，如图1所示[4]。车联网攻击的常见模式包括4种： 1)模拟远程车联网服务平台后台服务、获取固件升级权限、利用信息安全漏洞以及第三方应用程序“越狱破解”; 2)利用本地或远程 CANbus工具控制ECU决策执行过程; 3)通过Wi-Fi、蓝牙等无线协议的弱点执行恶意代码或假冒传感器数据; 4)通过假冒/滥用安全证书或PKI密钥体系控制关键通信通道。

　　文献[5]将车联网的安全威胁分为网络级安全威胁、平台级安全威胁和组件级安全威胁3个层级。文献 [6]将车联网的安全威胁分为基础元器件、关键软硬件设备、内部通信总线、车载操作系统及应用、外接终端和云服务平台6个层面。文献[7]提出了智能网联汽车的 4 层威胁和12大风险，如图2所示。

　　文献[8]将车联网安全威胁划分为智能网联汽车、移动智能终端、车联网服务平台、网络通信、数据安全和隐私保护5个方面。1)在智能网联汽车层面，T-Box分别与 CAN总线与车联网服务平台通信交互，面临固件逆向破解和信息窃取风险。CAN总线风险在于通信加密和访问控制机制不足导致的指令伪造攻击，以及通信认证及消息校验机制薄弱导致的消息伪造和篡改。 OBD接口作为外接设备连接汽车内外网，面临的安全风险有三种：一 Ӂㄟေ㛱 Ր䗃ေ㛱㓸ㄟေ㛱 ཆ䜘ေ㛱 Ӂᒣਠᆹޘေ㛱㖁㔌Ր䗃ᆹޘေ㛱 ǃ㢲⛩ቲ˖7%2;ေ㛱ǃ,9,ေ㛱ǃ㓸ㄟॷ㓗ေ 㛱ǃ䖖䖭26ေ㛱ǃ᧕ޕ仾䲙ǃՐᝏಘ仾䲙 ǃ䖖޵㖁㔌Ր䗃仾䲙 ǃ䖖䖭㓸ㄟᷦᶴⲴᆹޘေ㛱 ေ㛱ޘSSᆹ$〫ࣘ ݵ⭥ẙؑ᚟ᆹޘေ㛱 ቲေ㛱 བྷ仾䲙图2 智能网联汽车的4层威胁+12大风险是借助OBD接口破解总线控制协议、解析控制指令;二是接入OBD 接口的外接设备存在攻击代码，引入安全风险到车辆内部网络;三是 OBD接口缺少认证与鉴权机制，导致报文攻击。ECU的安全风险在于 ECU芯片的设计漏洞和ECU固件应用程序的安全漏洞。车载操作系统面临的安全威胁包括附带移植已知漏洞在代码迁移中被引入，系统存在恶意应用软件窃取用户数据，系统库文件及应用存在安全漏洞等。车载信息娱乐系统的安全威胁来自软硬件两方面，在软件升级中获取访问权限进行攻击和通过拆解硬件接口对车载电路进行窃听和逆向获取信息。OTA成为潜在攻击渠道，攻击者可能利用认证和校验漏洞篡改固件或通过阻断远程升级和固件更新的通路阻止安全漏洞被修复。传感器作为环境数据的采集装置，面临拒绝服务、信号干扰和噪声攻击，影响传感器功能执行和正常工作。遥控钥匙多采用近距离通信技术，面临钥匙芯片和算法漏洞攻击，信号中继或信号重放攻击。2) 在移动智能终端层面，车辆远程控制和管理应用具备远程开启空调、门锁、鸣笛、加热座椅及远程启动车辆等功能，可能被攻击者通过反编译应用获取通信密钥、破解通信协议，干扰用户的正常使用。移动终端操作系统存在被植入恶意代码风险，可能导致用户的敏感数据泄露，如车联网服务平台账户和密码等，攻击者可获取车联网服务平台的远程控制权限影响车辆安全。3) 在车联网服务平台层面，平台面临拒绝服务攻击、SQL注入、跨站点脚本攻击、用户认证鉴权、账户口令安全等风险。4)在车联网通信层面，车—云通信存在协议破解和中间人攻击风险，车—车通信存在恶意节点入侵风险。5)在车联网数据安全和隐私保护层面，数据在传输和存储环节存在被窃取风险，数据的过度采集和使用边界模糊存在侵犯用户隐私风险，数据的跨境流动存在威胁国家安全风险。

　　以网联汽车为视角，对需要保护的资产进行识别，并对识别出的资产进行威胁识别，建立资产与面临安全威胁的映射关系，如表1所示。

　　2 标准体系

　　欧美日等世界汽车强国在智能网联汽车信息安全标准规范方面积极推动相关技术规范制定和标准化工作[9-10]。

　　2016年1月，国际自动机工程学会(原美国汽车工程师学会，SAE)发布了全球首部汽车信息安全的推荐规范SAEJ3061(Cybersecurity Guidebook for CyberPhysical Vehicle Systems)，提出了汽车网络和信息安全方面的过程框架，为识别和评估安全威胁提供了指导性原则。2016年10月，美国公路交通安全管理局 NHTSA发布了一份《现代汽车信息安全最佳实践》 (Cybersecurity Best Practice for Modern Vehicles)，明确将汽车作为信息安全的载体，面向快速发展智能网络汽车信息安全和隐私保护等问题，提出了最佳实践的通用性安全指导。

　　2017年8月，英国政府发布了《智能网联汽车网络安全关键原则》(The Key Principles of Cyber Security for Connected and Automated Vehicles)，定义了管理层推动、安全风险管理与评估、产品售后服务与应急响应机制、系统设计、软件安全管理、数据安全、整体安全性和弹性设计等八大关键原则。自2008年起，欧盟分别开展了EVITA(安全车辆入侵保护应用)、 PRESERVE(V2X安全通信系统)等项目，从汽车硬件安全、车载网络的体系架构、V2X通信安全等方面提出了解决方案和技术规范。

　　2013年，日本信息处理推进机构(IPA)发布了汽车信息安全指南(Approaches for Vehicle Information Security)，该指南根据汽车安全的攻击方法和途径分析，定义了汽车信息安全模型(IPA Car)，系统性指出了不同汽车功能模块的安全对策。

　　ISO/TC22(道路车辆技术委员会)、ISO/IEC JTC1(第一联合技术委员会)及UN/WP.29(世界车辆法规协调论坛)都在围绕汽车信息安全积极开展相应的标准制定工作。3GPP也在对C-V2X安全进行研究和开展标准制定工作。支持LTE-V2X的3GPP R14版本标准已于2017年正式发布;支持LTE-V2X增强(LTE-eV2X) 的3GPP R15版本标准于2018年6月正式完成;支持 5G-V2X的3GPP R16+版本标准于2018年6月启动研究。 ITU成立SG17专门负责通信安全研究和标准制定工作，包括：X.1373、X.itssec-2、X.itssec-3、X.itssec-4、 X.itssec-5、X.mdcv、X.srcd、X.stcv等标准。

　　针对智能网联汽车的信息安全问题，我国也在积极开展汽车信息安全系列标准制定工作。自2016年起，在国家相关部委的组织和领导下，全国汽车标准化技术委员会(SAC/TC114)、全国信息技术安全标准化技术委员会(SAC/TC260)、全国智能运输系统标准化技术委员会(SAC/TC268)、中国通信标准化协会 (CCSA)、车载信息服务产业应用联盟(TIAA)、中国智能网联汽车产业创新联盟(CAICV)等国内相关标准化机构、汽车产业联盟纷纷启动开展了车联网信息安全相关标准体系的建设工作[11-14]。

　　2017年底，工信部和国家标准化管理委员会联合印发了《国家车联网产业标准体系建设指南(智能网联汽车)》，明确了智能网联汽车标准体系建设的目标和原则，信息安全标准体系作为该方案的重要组成部分，支撑着智能网联汽车标准体系的整体架构。全国汽车标准化技术委员会(TC114)智能网联汽车分标委(SC34)还拟定了汽车信息安全标准的子体系框架，如图3所示[7]。

　　2017年7月，全国信息技术安全标准化技术委员会立项首个关于汽车电子系统网络安全的国家标准制定项目《信息安全技术汽车电子系统网络安全指南》。

　　中国通信标准化协会 TC8 WG2已完成了《车路协同系统的安全研究》和《LTE-V2X安全研究》，CCSA TC5 WG3已开展了《基于公众LTE网络的车联网无线通信系统总体技术要求》的行标制定。CCSA TC8 WG2 提出了适用于LTE-V2X的车联网通信安全总体技术要求。针对数据安全和用户信息保护，CCSA组织起草了《车联网信息服务数据安全技术要求》和《车联网信息服务用户个人信息保护要求》。

　　国内外的相关标准组织围绕着智能网联车辆的功能安全、信息安全、网络与数据安全、汽车电子信息安全、ITS信息安全、车辆智能管理安全等方面开展全面的标准法规制定工作，推动车联网整体架构、关键安全技术和标准体系形成，驱动智能网联汽车与智能交通相互渗透、融合发展，为构建自主可控、开放协同的产业环境和安全、和谐的车载信息服务环境提供标准化支撑，为车联网行业快速、健康、可持续发展奠定重要基础。

　　3 安全框架

　　随着车联网智能化和网联化发展不断加快，网络攻击手段不断更新，车联网安全防护水平亟需不断提升。车联网安全生态产业链厂家正在构建贯穿“端—管— 云—用”全链条的综合防御体系。

　　3.1 LTE-V2X车联网系统安全架构

　　V2X(Vehicle to Everything)是下一代车联网的核心技术之一，通过车—车(V2V)、车—人(V2P)、车—路(V2I)和车—云(V2N)实现信息交换和共享。C-V2X是基于3GPP全球统一标准的通信技术，包括LTE-V2X和5G-V2X。车载终端、网络通信、业务应用和路侧基础设施面临着假冒网络、假冒终端、数据窃听、信息伪造/篡改/重放和隐私泄露等安全风险，IMT-2020工作组在《LTE-V-2X安全技术白皮书》中提出了蜂窝和直连场景下的LTE-V2X车联网系统安全架构，如图4和图5所示[14]。

　　在蜂窝通信场景下，LTE-V2X车联网系统安全架构被划分成七个安全域。1)网络接入安全：面向接入层和非接入层，保障车载终端接入LTE网络的信令和用户数据安全。2)网络域安全：蜂窝网络系统网元之间信令和数据交互安全，包括接入网与服务网络之间，服务网络与归属网络之间安全交互。3)认证及密钥管理：车载终端与蜂窝网的接入认证以及密钥管理。4)车联业务接入安全：车载终端与V2X控制功能之间的安全，包括终端身份机密性保护、配置数据的完整性保护、机密性保护和防重放保护。5)车联业务能力开放安全：V2X控制功能与LTE-V2X业务提供方之间的安全，保证数据传输安全和下放指令的加密和完整性保护。6)网络安全能力开放：LTE网络向应用层开放网络安全能力，提供双向身份认证和密钥协商服务。7)应用层安全：车载终端和 LTE-V2X业务提供方之间的安全，常采用IPSec、TLS 等安全机制，保护数据通信安全和用户隐私安全。

　　相关知识推荐：车联网信息安全方面论文投稿的期刊

　　在直连通信场景下，LTE-V2X车联网系统安全架构主要包括网络层安全、安全能力支撑、应用层安全和外部网络域安全四个安全域，以保证数据通信安全和用户隐私安全，明确LTE-V2X车联网系统与外部网络系统之间的安全边界。

　　3.2 华为车联网系统安全架构

　　华为根据广义物联网(车联网、工业互联网、可穿戴设备等)面临的安全威胁，提出了聚焦端、管、云和平台安全特性组合协同的“3T+1M安全框架”，旨在构建IOT终端防御、管道通信安全保障、云端安全防护三个IOT安全技术族(Technology)和安全运维管理 (Management)的端到端纵深防御体系[15-16]。

　　华为车联网安全架构涵盖车联网各个组成部件，构建在传统IT安全能力基础上，从车安全感知分析、车路网通信安全、车联网云平台及车安全运营中心等方面入手，结合联网车辆安全检测分析与感知、车路网协同鉴权认证和车辆数据安全与隐私保护等关键技术，构建价值共享的车联网安全生态，如图6示。

　　3.3 360智能网联汽车信息安全框架

　　360智能网联汽车信息安全框架以风险为出发点，打通IT与OT之间的信任关系，以安全策略为指引，从安全配置管理、安全监控与分析、通信与接口防护、终端防护、平台防护、数据防护贯穿整个车联网的组件控制、传感器控制、应用系统、数据流、操作系统、云端系统，从而达到车联网系统面临威胁时，可以持续监测、协同联动、快速响应，如图7所示[17]。

　　各层面关键安全举措如下： 1)终端安全防护：终端访问控制、终端监控与分析、终端数据完整性校验、终端身份识别、终端应用权限检测、终端运行环境安全、终端数据防护。2)通信安全和接口安全：网络监控分析、网络接口安全、传输加密、流量控制。3)安全监控与分析：安全日志监控、行为分析、规则分析、检测与恢复、调查取证。4)安全配置管理：安全操作管理、终端身份管理、终端配置管理、通信与接口管理、安全管理、安全变更管理、数据安全管理。5) 数据安全防护：终端数据防护、通信数据防护、配置文件防护、监控数据防护。6)安全策略：配置管理策略、监控与分析策略、通信与接口策略、终端安全策略、数据防护策略。

　　3.4 安永智能网联汽车信息安全架构

　　安永将国内外车联网安全相关标准整理成开发管控类、数据治理类和韧性防御类三大类，并以此为基础延伸出三大方法论，即V字开发模型、车辆及个人数据安全生命周期管理和PPDR网络韧性防御体系。基于上述方法论，安永提出了 “3+1”智能网联汽车信息安全框架，如图8所示[18]。

　　根据上述车联网安全架构分析可见，基本思路是构建分层分段的端到端安全纵深防御体系。根据不同的功能区域进行边界防护和隔离，划分为不同级别的安全域。根据预先定义的防护级别，对不同安全域之间的信息流加以严格控制。利用多域分层入侵检测、主动防护、协同防御等关键技术实现“检测—保护—响应—恢复”全生命周期和“云—管—端”协同联动的安全管理体系。智能网联汽车信息安全架构

　　4 总结与展望

　　随 着 5 G 商业进程的不断加速，我国车联网产业趁势发展，产业主体日益丰富，跨行业跨地域融合创新的生态体系日渐完善。网联化、智能化、电动化、共享化(新四化)是车联网(智能网联汽车)呈现出的新趋势、新特征，也给车联网安全防护提出了新要求、新挑战。

　　车联网的蓬勃发展为运营商带来了新的商业潜力和价值机会。运营商作为通信能力的提供商，一方面应持续推进网络演进升级以满足车联网业务高可靠、低时延的需求，另一方面不断加固通信通道的安全性，适应安全边界的分散和不确定性特征。运营商应对新型安全威胁和挑战时，应尽快构建主动安全与协同联动的安全防护体系，对智能网联汽车的车主进行实名认证，同时，加强数据安全和车主个人信息隐私保护管理。运营商还应积极参与行业标准制定和技术创新，不断构筑夯实基础安全防御水平，推进提升对未知威胁的自适应防御能力和效率，推动我国车联网安全产业的稳步发展。——论文作者：张然懋

　　参考文献

　　[1] 工信部.车联网(智能网联汽车)产业发展行动计划[EB/OL].(2018- 12-17)[2020-06-05].http://www. miit.gov.cn/n1146285/n1146352/ n3054355/n3057497/n3057498/ c6564019/content.html

　　[2] 百度.Apollo Pilot Safety Report[R/ OL].[2020-05-20].http://apollohomepage.bj.bcebos.com/ApolloPilot-Safety-Report-2018.pdf

　　[3] 中国信息通信研究院.车联网白皮书 (2018)[R/OL].[2020-05-20].http://www. caict.ac.cn/kxyj/qwfb/bps/201812/ P020181218510826089278.pdf

　　[4] Upstream Security.2020 Global A u t o m o t i v e C y b e r s e c u r i t y Report[R/OL].[2020-05-20].https://www.upstream.auto/ upstream-security-global-automotive-cybersecurityreport-2020/