翟世俊，姚一楠/Zhai Shijun,Yao Yinan

（中國信息通信研究院北京100191）

1 引言

車聯(lián)網(wǎng)是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交互標準，在車與X（X代表車、路、行人及互聯(lián)網(wǎng)等）之間，進行無線通信和信息交換的大系統(tǒng)網(wǎng)絡(luò)，是能夠?qū)崿F(xiàn)智能化交通管理、智能動態(tài)信息服務(wù)和車輛智能化控制的一體化網(wǎng)絡(luò)，是物聯(lián)網(wǎng)技術(shù)在交通系統(tǒng)領(lǐng)域的典型應(yīng)用。

為了實現(xiàn)“車—路—人”為一體的龐大信息網(wǎng)絡(luò)，車載智能終端被賦予了重要的使命，它是車聯(lián)網(wǎng)系統(tǒng)的管理控制單元，通常車載智能終端集成了傳感器、數(shù)據(jù)采集器、無線發(fā)送模塊等組件，目前能夠?qū)崿F(xiàn)行車數(shù)據(jù)采集、通信、導航定位監(jiān)控以及車輛控制等服務(wù)。在未來的車聯(lián)網(wǎng)發(fā)展中，汽車會整合更多技術(shù)，如遠程感應(yīng)、遠程識別、數(shù)據(jù)融合、無線通信等，而車載智能終端將會采集和存儲更多的信息，實現(xiàn)更多的智能控制。

然而，當人們將越來越多的控制交給機器時，巨大的安全隱患也隨之誕生，尤其是在高速飛馳的汽車上，汽車的安全就意味著生命安全。如何保證車載智能終端的信息安全，將成為車聯(lián)網(wǎng)是否能夠快速發(fā)展的關(guān)鍵點。本文將總結(jié)目前車載智能終端的發(fā)展現(xiàn)狀，通過具體案例分析車載智能終端的安全威脅，最終給出應(yīng)對措施。

2 車載智能終端發(fā)展現(xiàn)狀

2.1 車載智能終端類型及簡介

目前，車載終端主要以Telematics產(chǎn)品為主。Telematics是 通 信 （Telecommunication） 和 資 訊（Informatics）這兩個詞的合成詞，狹義上是指遠距離通信與信息處理技術(shù)，廣義上包括汽車自動化、GPS導航、隨駕協(xié)助系統(tǒng)等，被稱為移動通信導航信息系統(tǒng)[1]。Telematics產(chǎn)品通常都是由汽車廠商聯(lián)合軟件廠商，將系統(tǒng)直接集成到車輛中控臺智能終端上實現(xiàn)智能服務(wù)的。

在國外，很多發(fā)達國家都已經(jīng)推出了自己的Telematics系統(tǒng)。最為出名的應(yīng)該是美國通用汽車研發(fā)的安吉星（OnStar）系統(tǒng)，此套系統(tǒng)是在美國廣泛使用的車聯(lián)網(wǎng)產(chǎn)品。2008年底，北美上市的95%的通用汽車上的車載智能終端都安裝了該系統(tǒng)。中國是北美之外首個導入安吉星系統(tǒng)的市場，安吉星于2009年12月在中國推出業(yè)務(wù)，如今在上海通用的凱迪拉克、別克、雪佛蘭等多個品牌的多種車型中均搭載了安吉星系統(tǒng)。此系統(tǒng)依托于安吉星強大的呼叫后臺，通過語音撥號連接后臺服務(wù)中心，實現(xiàn)智能導航、道路救援、防盜追蹤等功能，同時可以依托手機端APP應(yīng)用與車載終端互聯(lián)，實現(xiàn)遠程操控，包括車門上鎖解鎖、汽車啟動、位置提示等[2]。其他的還有寶馬iDrive、克萊斯勒UConnect系統(tǒng)，另外，Google和蘋果公司也推出了基于Android和iOS的車載智能操作系統(tǒng)，可以說，國外在車載智能終端的發(fā)展上處于比較領(lǐng)先的位置。

我國車載智能終端服務(wù)起步較晚，其原因主要是國產(chǎn)汽車產(chǎn)業(yè)還不夠發(fā)達，不過，隨著互聯(lián)網(wǎng)公司與車企合作的加深，國產(chǎn)車載終端系統(tǒng)也在飛速發(fā)展，目前有比亞迪云服務(wù)系統(tǒng)以及樂視推出的LeUI智能系統(tǒng)，這些智能系統(tǒng)在功能上也很豐富，能夠很好地滿足車載智能終端的需求。

除了集成在車輛中控上的車載智能終端以外，很多公司還推出了通過汽車OBD接口實現(xiàn)通信互聯(lián)的車載智能終端，這類終端通過外接在OBD接口上的OBD盒子來實現(xiàn)控制車輛、故障診斷等功能。

2.2 車載智能終端應(yīng)用領(lǐng)域

目前車載智能終端主要實現(xiàn)了在以下幾個領(lǐng)域的應(yīng)用。

（1）導航領(lǐng)域

主要提供交通信息，服務(wù)器可以協(xié)助用戶查找定位、避免擁堵、規(guī)劃路線等。

（2）娛樂領(lǐng)域

通過車載智能終端能夠提供很多咨詢服務(wù)，例如，下發(fā)天氣預(yù)報、新聞報道等信息，還包括傳統(tǒng)的音樂、視頻等媒體影音服務(wù)。

（3）通信領(lǐng)域

可以提供撥打電話、發(fā)送短信等基本通信功能，實現(xiàn)道路救援、事故報警、遠程協(xié)助等服務(wù)。

（4）信息采集領(lǐng)域

可以提供車輛信息采集，包括車輛診斷、行駛速度油耗統(tǒng)計等信息，幫助車主了解車輛使用情況；也可以進行車與車、車與路的信息采集，從而達到輔助駕駛的目的，例如，盲區(qū)提醒、車道偏離警告等。

（5）車輛控制領(lǐng)域

車載智能終端可以通過控制汽車ECU達到控制汽車的功能，例如，開關(guān)空調(diào)、電動升窗、解鎖車門，未來甚至可以實現(xiàn)自動泊車、自動駕駛等功能。

可以看到，為了實現(xiàn)車聯(lián)網(wǎng)的發(fā)展，車載智能終端能夠?qū)崿F(xiàn)的功能越來越多，這其中有兩類敏感信息需要更多的安全保護。一是個人信息，這其中包括電話本、短信、聯(lián)系人及定位信息；二是車輛控制協(xié)議信息，包括遠程控制命令、身份驗證信息等。這兩種敏感信息，前者針對個人隱私，車載終端需要采取相應(yīng)的技術(shù)手段防止信息泄漏；后者則更多地關(guān)系到人身安全，試想如果黑客攻破了車載智能終端系統(tǒng)，當駕駛者高速行駛時，黑客能夠控制方向盤轉(zhuǎn)向，控制油門剎車，這將會造成重大的安全事件。因此，如果車載智能終端的安全機制不夠完善，將在很大程度上阻礙車聯(lián)網(wǎng)的進步。

3 車載智能終端安全威脅

在車聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展和車載終端廣泛應(yīng)用的同時，車載智能終端的安全問題日益凸顯，與車載智能終端相關(guān)的駕駛者和車輛信息泄露，車載終端或系統(tǒng)攻擊等安全事件頻發(fā)。例如，2014年10月，作為車聯(lián)網(wǎng)發(fā)展里程碑的特斯拉汽車在GeekPwn智能設(shè)備挑戰(zhàn)賽上被攻破，使其可以實現(xiàn)無人駕駛。2015年8月，被譽為迄今為止最優(yōu)秀的車載智能系統(tǒng)“UConnect”被攻破，黑客可以實現(xiàn)遠程控制汽車剎車、油門和方向盤，為此，克萊斯勒在美國緊急召回了140萬輛汽車[3]。種種安全事件說明，越來越多的黑客將目光轉(zhuǎn)移到安裝有車載智能終端的汽車，車載智能終端面臨著復(fù)雜多樣的安全威脅。

黑客攻擊汽車的方式多種多樣，有的通過OBD接口物理連接入侵；有的通過蜂窩、藍牙、Wi-Fi等無線連接實施入侵；有的先入侵裝有相關(guān)汽車應(yīng)用的手機終端，進而入侵汽車；也有的針對汽車聯(lián)網(wǎng)應(yīng)用，通過偽基站等方式欺騙車輛，竊取駕駛者和車輛信息，控制車載電控系統(tǒng)。這些安全威脅損害了用戶權(quán)益，將駕駛者置于危險中，甚至還威脅到國家安全，造成了不良的社會影響，也影響了行業(yè)的正常發(fā)展。未來，車載智能終端類型和車載應(yīng)用將更加豐富，涉及用戶的隱私信息和開展的業(yè)務(wù)也將越來越多，車載智能終端的安全形勢將更加嚴峻。應(yīng)當及時分析，發(fā)現(xiàn)車載智能終端的安全漏洞并進行修補，對抗威脅，使黑客無從下手。

4 車載智能終端安全漏洞分類

4.1 車載智能終端系統(tǒng)安全漏洞

黑客可以通過各種方式攻擊車輛，其根本原因是車載智能終端的操作系統(tǒng)、應(yīng)用軟件、固件等存在可以被利用的安全漏洞。目前，車載智能終端操作系統(tǒng)的發(fā)布與更新往往是由各個車載終端廠商獨立完成，每個車載終端廠商都會根據(jù)自己的軟/硬件設(shè)計，定制開發(fā)自己的操作系統(tǒng)和應(yīng)用軟件。但是，由于目前缺少規(guī)范的安全監(jiān)管政策和流程，大多廠商無法對其車載終端的硬件、操作系統(tǒng)和應(yīng)用軟件進行必要的安全性測試，導致車載終端不可避免地存在一些缺陷，有些缺陷可能造成車載終端管理權(quán)限被非法獲取或繞過安全防護措施，因此，會降低產(chǎn)品的安全性，使車載智能終端面臨更加嚴重的安全問題。另外，車載智能終端需要與外界進行通信，可使用不同的方法將汽車數(shù)據(jù)傳送出去，如使用開放協(xié)議、自己定制私有協(xié)議或者通過電信運營商和數(shù)據(jù)中心進行通信。若通信協(xié)議存在漏洞或者保護方法太簡單，攻擊者可以輕易地破解協(xié)議，然后通過車載終端向汽車發(fā)送控制指令。

車載智能終端漏洞會降低智能終端的安全性，導致嚴重的安全問題，如竊取用戶隱私和控制車載電控系統(tǒng)。車載終端可將全車幾十個汽車控制微處理器收集的數(shù)據(jù)和信息（如汽車數(shù)據(jù)、車輛運行情況、駕駛習慣、行駛路線、停留時間、使用情況等）通過移動互聯(lián)網(wǎng)絡(luò)發(fā)送到數(shù)據(jù)中心，惡意應(yīng)用或攻擊者可以利用車載終端漏洞獲取用戶和汽車數(shù)據(jù)，并將這些數(shù)據(jù)傳輸給第三方廠商，包括廣告商、社交網(wǎng)站、汽車網(wǎng)站等。另外，攻擊者也可利用車載終端漏洞對車載電控系統(tǒng)進行破壞性攻擊，如關(guān)閉汽車剎車系統(tǒng)、篡改車速表讀數(shù)、控制空調(diào)以及將駕駛員鎖在車中等破壞行為，并進一步威脅駕駛員的人身安全。

目前，車載終端廠商已經(jīng)開始重視車載智能終端的安全問題，從車載終端的硬件、操作系統(tǒng)、應(yīng)用軟件等方面不斷提升產(chǎn)品的安全性，但對產(chǎn)品漏洞的及時發(fā)現(xiàn)和修補的重視程度還不夠，造成很多正在使用的車載終端還存在比較嚴重的安全漏洞。

4.2 車載智能終端后門

后門是車載智能終端面臨的另一個安全問題。后門程序一般是指那些繞過程序或系統(tǒng)已有的安全措施而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在車載智能終端操作系統(tǒng)和車載應(yīng)用開發(fā)階段，開發(fā)人員有時會在車載終端操作系統(tǒng)或應(yīng)用軟件內(nèi)創(chuàng)建后門程序，以便修改操作系統(tǒng)或應(yīng)用軟件程序設(shè)計中的缺陷。如果這些后門程序被他人獲知或在車載智能終端發(fā)布前沒有刪除后門程序，那么后門程序就可能被黑客利用進行攻擊，如竊取用戶隱私和控制車載電控系統(tǒng)，成為安全隱患。另外，還有些后門程序可能是開發(fā)者故意設(shè)置，為了以后利用后門程序?qū)嵤┬畔⒉杉⑦h程控制等行為，如收集用戶和汽車數(shù)據(jù)，并將這些數(shù)據(jù)傳輸給第三方廠商。由于后門程序都是開發(fā)人員自主設(shè)計的，隱蔽性非常強，通過技術(shù)手段直接發(fā)現(xiàn)后門程序的難度很大。但后門程序權(quán)限高、危害大，給用戶和國家?guī)砹溯^大的安全威脅。

4.3 應(yīng)用架構(gòu)導致新的安全暴露

目前，有很多移動互聯(lián)網(wǎng)公司開始和汽車廠商合作開發(fā)車載智能終端，提出了眾多移動應(yīng)用集成智能汽車的解決方案，如蘋果的CarPlay和谷歌的Android Auto都提供了移動智能終端的開發(fā)接口，將會引發(fā)大量和汽車有關(guān)的手機應(yīng)用的井噴。與此同時，移動智能終端的安全威脅也將引入車載智能終端中。移動智能終端應(yīng)用缺少安全滲透測試的監(jiān)管，加上許多應(yīng)用開發(fā)者和車載終端廠商未對其開發(fā)的與車載終端連接的移動應(yīng)用進行深入的安全檢測，導致許多移動應(yīng)用存在缺陷漏洞，如組件暴露、代碼未混淆加密。同時，移動智能終端本身存在操作系統(tǒng)敏感權(quán)限濫用、惡意應(yīng)用軟件、漏洞和后門等安全威脅。攻擊者可以利用這些缺陷或漏洞攻擊移動應(yīng)用，插入惡意代碼，重新打包成惡意應(yīng)用發(fā)布到應(yīng)用商店，然后利用這些惡意應(yīng)用竊取用戶隱私，控制車載電控系統(tǒng)。

5 車載智能終端現(xiàn)有安全措施

針對車載智能終端安全，目前并不是完全沒有手段，很多車企已經(jīng)通過政策、技術(shù)等方式對車載智能終端的信息安全進行了一定的保護。

（1）滿足現(xiàn)有標準中的相關(guān)安全要求

目前，國際標準化組織（ISO）于2011年發(fā)布了國際標準ISO 26262，這套標準派生于工業(yè)領(lǐng)域標準IEC 61508，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件的安全基本標準。這套標準對汽車生產(chǎn)的整個生命周期提出了安全要求，包括車用軟件在設(shè)計、開發(fā)、測試等方面一整套的功能性安全要求。目前，很多車載智能系統(tǒng)都希望通過ISO 26262，但到目前為止，這套標準的通過率僅為40%左右。

（2）依托廠商的安全架構(gòu)

很多車企并不具備強大的軟件開發(fā)能力，而車載智能終端的安全在很大程度上又依賴車用操作系統(tǒng)、車用APP這些軟件的安全性，因此，大量的車企選擇與軟件廠商合作，由軟件公司提供車載智能終端操作系統(tǒng)或安全加固方案來提升終端品質(zhì)。例如，目前車用市場最大的操作系統(tǒng)供應(yīng)商是QNX軟件系統(tǒng)公司，據(jù)不完全統(tǒng)計，QNX在車用市場的占有率達75%，全球有超過230種車型使用QNX系統(tǒng)。QNX也在2014年推出了通過ISO 26262測試的汽車安全操作系統(tǒng)QNX1.0。此系統(tǒng)最大的特點是采用微內(nèi)核技術(shù)，將操作系統(tǒng)模塊化，內(nèi)核僅提供操作系統(tǒng)核心功能，應(yīng)用和驅(qū)動等都運行于內(nèi)核之外，這樣就保證了電子系統(tǒng)的功能安全。另外，針對信息安全，QNX系統(tǒng)可以根據(jù)使用者的不同劃分不同的權(quán)限等級，在一定程度上保證了敏感信息不被非授權(quán)用戶獲取[4]。

（3）自身安全防護機制

車載終端最后還是要控制汽車，而車輛控制協(xié)議等信息依然掌控在車企手中，車企本身在這些內(nèi)容的獲取上也做了不同的限制。OBD盒子就是通過安插在車載OBD2接口上實現(xiàn)智能控制的，例如，通過手機端向OBD接口發(fā)送讀取發(fā)動機水溫值命令（0105），此時命令通過CAN總線到達車輛控制單元（ECU），ECU會返回一個水溫值，這就完成了整套讀取通信。但是，對于寫入命令，車企會有比較嚴格的控制，目前會通過加密、隱瞞接口、權(quán)限驗證等方式進行限制，而對于車輛的控制（如發(fā)動機啟停、車門落鎖），大部分需要通過寫入命令實現(xiàn)。美國VisualThreat公司也提供了一種CAN防火墻，通過車內(nèi)微控制單元（MCU）判斷OBD傳來的指令，安全則放行，否則給予攔截并通過移動應(yīng)用進行報警[5]。

6 車載智能終端安全發(fā)展建議

盡管汽車廠商、車載終端的開發(fā)商已經(jīng)開始采取措施加強信息安全防護，但是目前所做的工作不足以跟上車載智能終端的迅速發(fā)展，車載智能終端乃至車聯(lián)網(wǎng)的安全建設(shè)還應(yīng)該從以下幾個方面進行加強。

6.1 提高車載終端自主創(chuàng)新能力

為提高車載終端安全自主可控，需鼓勵和引導廠商加強車載終端自主創(chuàng)新能力，一是推動國產(chǎn)自主車載終端設(shè)備的研發(fā)，實現(xiàn)通信、存儲及信息處理等關(guān)鍵芯片的自主可控，并開展車載終端安全技術(shù)研究，實現(xiàn)信息在終端層面采集、存儲及使用的安全；二是推動車載操作系統(tǒng)的自主研發(fā)，充分利用開源技術(shù)，推動研發(fā)智能車載實時操作系統(tǒng)，鼓勵開發(fā)和豐富本土化的車載應(yīng)用，提高車載終端軟件層面的安全能力；三是加強對車載終端及車聯(lián)網(wǎng)安全新技術(shù)和產(chǎn)品服務(wù)的研究和投入，針對車載終端的安全挑戰(zhàn)，有必要采取積極有效的應(yīng)對措施，研究新的安全威脅解決方案。

6.2 完善車載智能終端安全標準體系

車載終端安全標準是提升車載終端安全能力的重要技術(shù)依據(jù)，要依據(jù)技術(shù)發(fā)展和應(yīng)用情況及時制定完善的車載終端安全標準，明確其在保護用戶數(shù)據(jù)、保障業(yè)務(wù)安全方面的技術(shù)要求，引導產(chǎn)品研發(fā)和產(chǎn)業(yè)發(fā)展。針對車載終端在隱私信息保護、訪問控制等方面面臨的風險開展研究，制定并完善車載終端的安全標準，著力推動車載智能終端接口及數(shù)據(jù)交互標準、無線數(shù)據(jù)傳輸標準、訪問控制標準的完善，實現(xiàn)車載終端與車載電控系統(tǒng)間的安全互聯(lián)互通。健全車載終端用戶信息安全防護標準，推動車聯(lián)網(wǎng)數(shù)據(jù)保護評級及軟件評估認證。建立數(shù)據(jù)安全分級保護標準，按照重要性和敏感程度分級分類，強化數(shù)據(jù)保護，重視位置、車輛運行狀態(tài)等敏感用戶信息的安全性和隱私性。

6.3 加強車載終端安全監(jiān)管

在傳統(tǒng)的汽車行業(yè)監(jiān)管之外，部分車載智能終端支持移動通信網(wǎng)絡(luò)，符合移動終端的基本特征，按照《中華人民共和國電信條例》的要求，相關(guān)部門已對此類產(chǎn)品實施進網(wǎng)許可管理，通過進網(wǎng)檢測，重點對其是否符合電信網(wǎng)絡(luò)和信息安全的要求進行核查。隨著車載智能終端和車載應(yīng)用的普及，需要加強車載終端的安全監(jiān)管，提升車載終端的信息安全水平。一是提升互聯(lián)網(wǎng)汽車安全檢測評價能力，加強產(chǎn)品事中、事后監(jiān)管，進一步完善互聯(lián)網(wǎng)汽車信息安全準入管理制度；二是將基于信息技術(shù)安全評估準則的安全領(lǐng)域認可的安全評估方法引入車載終端，建立車載終端與車載應(yīng)用軟件漏洞庫。同時根據(jù)國家統(tǒng)一部署，借鑒國外的成熟經(jīng)驗并結(jié)合實際情況，做出符合我國信息產(chǎn)業(yè)發(fā)展現(xiàn)狀的規(guī)定，對車載終端產(chǎn)品的安全性和可控性進行評估，全面降低車載終端面臨的安全風險。

7 結(jié)束語

隨著車載終端類型和數(shù)量的不斷增多，車載應(yīng)用軟件也將更為復(fù)雜多變，車載終端面臨的安全威脅類型也不斷增多，安全風險將持續(xù)增大。為保障國家安全和用戶合法權(quán)益不受侵害，需要提高車載終端安全自主創(chuàng)新能力，加快制訂完善的車載智能終端相關(guān)的安全標準，加強車載終端安全監(jiān)管，提高車載終端廠商、車載應(yīng)用軟件開發(fā)者等對車載終端安全的重視程度和技術(shù)能力。同時，加強車載終端產(chǎn)業(yè)各方的協(xié)作，建立科學合理的車載終端安全防護機制，確保車載終端安全有序地發(fā)展。

[1] 李守京.Telematics系統(tǒng)研究與車載終端設(shè)計[J].微型電腦應(yīng)用,2012,28(8):30-33.

[2] 郭巍.汽車遇到互聯(lián)網(wǎng),體驗通用安吉星[EB/OL].http://auto.163.com/14/0421/07/9QBAC3NI000816I5.html,2014.

[3]MILLER C,VALASEK C.Remote exploitation of an unaltered passenger vehicle[EB/OL].http://illmatics.com/Remote%20Car%20Hacking.pdf,2015.

[4]王珺.第一款經(jīng)過ISO安全認證的車載OS長啥樣?[EB/OL].http://www.cheyun.com/content/2313,2014.

[5]Visual Threat.2014年車聯(lián)網(wǎng)OBD產(chǎn)品和汽車移動應(yīng)用安全研究報告[R].2014.

[6] 李小剛,楊彬.車聯(lián)網(wǎng)安全防護問題分析[J].移動通信,2015,(11):30-33.

[7]馬世典,江浩斌,韓牟等.車聯(lián)網(wǎng)環(huán)境下車載電控系統(tǒng)信息安全綜述[J].江蘇大學學報（自然科學版）,2014,35(6):635-643.

[8] 落紅衛(wèi).車載自組網(wǎng)安全威脅及應(yīng)對措施[J].現(xiàn)代電信科技,2014，(3):16-19.

[9]王闖.車聯(lián)網(wǎng):聚集新技術(shù)風險安全手段待加強[J].信息安全與通信保密,2015，(2):53-55.

[10]馮濤.車聯(lián)網(wǎng)技術(shù)中的信息安全研究[J].信息安全與技術(shù),2011，(8):28-30.