武翔宇，趙德華，郝鐵亮

（華晨汽車工程研究院 電器工程室，遼寧 沈陽(yáng) 110141）

1 車聯(lián)網(wǎng)系統(tǒng)組成

車聯(lián)網(wǎng)系統(tǒng)大致分為三個(gè)部分，分別為車載終端、網(wǎng)絡(luò)傳輸、TSP 平臺(tái)。車載終端位于汽車內(nèi)，包括TBOX、車機(jī)等設(shè)備，主要負(fù)責(zé)收集上傳車輛相關(guān)信息，實(shí)現(xiàn)車輛與外界互聯(lián)網(wǎng)的連接。網(wǎng)絡(luò)傳輸主要負(fù)責(zé)TBOX 與TSP 平臺(tái)、車輛與車主的互聯(lián)，實(shí)現(xiàn)車輛與TSP 平臺(tái)以及車主的通信。TSP平臺(tái)負(fù)責(zé)對(duì)車輛上傳的數(shù)據(jù)進(jìn)行存儲(chǔ)、計(jì)算分析和管理，并對(duì)聯(lián)網(wǎng)用戶提供包括提供遠(yuǎn)程控制、在線娛樂、支付、緊急救援等服務(wù)。

2 車聯(lián)網(wǎng)系統(tǒng)安全分析

2.1 車載終端安全分析

TBOX 采用無(wú)線通信方式傳輸數(shù)據(jù)到TSP 平臺(tái)。相較于有線通信方式，無(wú)線通信數(shù)據(jù)在傳輸過程中更容易被非法攔截和獲取。例如，通過TSP 平臺(tái)的非授權(quán)控制，可以泄露車主以及車輛信息，并且遠(yuǎn)程控制車輛。此外，大部分TBOX通過USB 接口給車機(jī)提供聯(lián)網(wǎng)服務(wù)。攻擊者可憑借此接口使用TBOX 的網(wǎng)絡(luò)服務(wù)，該接口需要具備服務(wù)端設(shè)備的鑒別能力，對(duì)不信任的服務(wù)端拒絕提供網(wǎng)絡(luò)服務(wù)。并且MICRO USB接口的接插件方式建議改為使用HSD 連接器。同時(shí)建議涂抹TBOX 主控MCU 芯片型號(hào)，如果沒有涂抹攻擊者就可以根據(jù)芯片手冊(cè)可以直接定位該芯片調(diào)試接口，如果芯片沒有做固件保護(hù)，則有被提取固件的風(fēng)險(xiǎn)。最后建議將私有TBOX網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)做隔離和訪問控制，僅允許TBOX 訪問特定的業(yè)務(wù)，不可隨意訪問內(nèi)網(wǎng)中的服務(wù)器。

車載終端的安全風(fēng)險(xiǎn)還體現(xiàn)在車機(jī)操作系統(tǒng)和車機(jī)的應(yīng)用軟件上，當(dāng)車主在線升級(jí)車機(jī)操作系統(tǒng)更好的體驗(yàn)車輛的增值服務(wù)時(shí)，為聯(lián)網(wǎng)車輛帶來了新的風(fēng)險(xiǎn)：（1）車機(jī)操作系統(tǒng)本身包含漏洞，未及時(shí)更新補(bǔ)丁程序。（2）應(yīng)用軟件被非法篡改并植入惡意代碼。

2.2 網(wǎng)絡(luò)傳輸安全分析

網(wǎng)絡(luò)傳輸域主要完成信息的傳輸工作，是連接TBOX 和TSP 平臺(tái)的通道。建議采取以下安全措施：

（1）在客戶端和服務(wù)端進(jìn)行雙向的身份的證書校驗(yàn)機(jī)制。

（2）對(duì)密碼等敏感信息在傳輸中進(jìn)行加密處理。

（3）對(duì)安全有極高要求的業(yè)務(wù)，建議自定義私有協(xié)議完成文件的上傳下載任務(wù)。

如果通信不采用證書雙向驗(yàn)證那么攻擊者可以通過抓包分析發(fā)現(xiàn)服務(wù)端未對(duì)客戶端進(jìn)行身份校驗(yàn)。此問題可以通過替換證書，進(jìn)行中間人攻擊，截獲https 的通信數(shù)據(jù)，進(jìn)行數(shù)據(jù)包的偽造或重放。

2.3 TSP 平臺(tái)安全分析

針對(duì)TSP 平臺(tái)本身的安全風(fēng)險(xiǎn)應(yīng)該做好基本的加固操作，例如口令賬號(hào)的復(fù)雜設(shè)定，部署在邊界的服務(wù)器要加強(qiáng)訪問及接入審計(jì)策略，避免無(wú)關(guān)的人員可以訪問服務(wù)器，若服務(wù)器被未指定的網(wǎng)段訪問則服務(wù)器應(yīng)該能夠向管理員發(fā)出報(bào)警郵件。在業(yè)務(wù)相關(guān)節(jié)點(diǎn)增加安全監(jiān)控設(shè)備和安全審計(jì)設(shè)備，對(duì)訪問服務(wù)器的人員訪問進(jìn)行安全審計(jì)以便可以在發(fā)生安全攻擊后有效的快速溯源。針對(duì)車聯(lián)網(wǎng)核心業(yè)務(wù)網(wǎng)絡(luò)按照資產(chǎn)重要度合理制定網(wǎng)絡(luò)架構(gòu)，對(duì)相關(guān)業(yè)務(wù)進(jìn)行安全域的劃分后，進(jìn)行分級(jí)防護(hù)。防止單點(diǎn)被攻擊后發(fā)生可以串聯(lián)影響危害到其他服務(wù)器或者業(yè)務(wù)。另外在相關(guān)業(yè)務(wù)平臺(tái)管理上需要進(jìn)一步規(guī)范，針對(duì)不相關(guān)的業(yè)務(wù)、端口不應(yīng)暴露在公網(wǎng)。平臺(tái)以及管理員的用戶口令等敏感信息進(jìn)行統(tǒng)一管理。加大力度檢查合規(guī)性配置等安全。建議TSP 平臺(tái)可參考OWASP Web、Mobile 等安全開發(fā)標(biāo)準(zhǔn)進(jìn)行開發(fā)。

3 車聯(lián)網(wǎng)系統(tǒng)整體安全建議

經(jīng)過全面對(duì)車聯(lián)網(wǎng)系統(tǒng)安全分析，發(fā)現(xiàn)TSP 平臺(tái)存在的比較高危的風(fēng)險(xiǎn)。通過手機(jī)APP 的安全漏洞可以橫向的獲取到其他車輛的敏感信息，PIN 碼繞過、越權(quán)修改用戶資料等邏輯漏洞會(huì)對(duì)用戶賬號(hào)安全造成極大威脅。如果將密碼爆破和PIN 碼繞過修改手機(jī)號(hào)兩個(gè)漏洞組合利用，可以批量獲取大量車聯(lián)網(wǎng)用戶賬號(hào)的控制權(quán)，進(jìn)而橫向批量控制其他汽車。建議逐一進(jìn)行風(fēng)險(xiǎn)點(diǎn)的修改加固和堵截。對(duì)于易整改，好加固的風(fēng)險(xiǎn)點(diǎn)進(jìn)行一一檢查和修復(fù)。

3.1 開展車聯(lián)網(wǎng)安全測(cè)試工作

簡(jiǎn)單的安全問題會(huì)對(duì)車聯(lián)網(wǎng)用戶以及整個(gè)車輛網(wǎng)業(yè)務(wù)造成很嚴(yán)重的威脅。由于整個(gè)車聯(lián)網(wǎng)系統(tǒng)中TBOX 部分有著重要作用，它承載著車聯(lián)網(wǎng)整體的網(wǎng)絡(luò)出口的介質(zhì)，車內(nèi)所有的數(shù)據(jù)都會(huì)經(jīng)過TBOX 傳輸?shù)秸噺S的TSP 平臺(tái)。同時(shí)，車機(jī)系統(tǒng)也是車聯(lián)網(wǎng)系統(tǒng)重要的組成部分，車機(jī)系統(tǒng)承載著用戶娛樂以及反饋車身狀態(tài)的功能，車機(jī)一旦開放過多與車身交互的權(quán)限就無(wú)形中暴露出更多的安全風(fēng)險(xiǎn)。綜上所述，建議針對(duì)TBOX 和車機(jī)系統(tǒng)進(jìn)行一次專項(xiàng)的安全評(píng)估，以便于發(fā)現(xiàn)相關(guān)未知的安全風(fēng)險(xiǎn)，加強(qiáng)整體車聯(lián)網(wǎng)系統(tǒng)的安全健康度。

3.2 制定和梳理對(duì)應(yīng)開發(fā)文檔

安全開發(fā)設(shè)計(jì)文檔以及安全問題收集可以對(duì)車聯(lián)網(wǎng)系統(tǒng)起到安全引導(dǎo)的作用，以便于在后期產(chǎn)品開發(fā)可以規(guī)避一些常見的安全漏洞和風(fēng)險(xiǎn)。節(jié)約后期漏洞整改成本，這樣做的好處可以解決很多的測(cè)試人力成本經(jīng)理，提高相應(yīng)的軟件開發(fā)的效率。

3.3 安全運(yùn)營(yíng)平臺(tái)

車聯(lián)網(wǎng)信息安全是一件長(zhǎng)期持續(xù)的事情，建議進(jìn)行信息安全方面的運(yùn)營(yíng)，對(duì)在網(wǎng)的車載系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)控檢測(cè)防護(hù)，全面的發(fā)現(xiàn)安全風(fēng)險(xiǎn)，保障汽車信息安全。加強(qiáng)安全設(shè)備和安全管控系統(tǒng)部署后一定程度上可以保證車聯(lián)網(wǎng)就安全穩(wěn)定運(yùn)行，同時(shí)對(duì)業(yè)務(wù)車聯(lián)網(wǎng)安全漏洞有效監(jiān)測(cè)，周期的安全測(cè)試和全面監(jiān)測(cè)保證車聯(lián)網(wǎng)出現(xiàn)漏洞或被入侵時(shí)及時(shí)響應(yīng)確保車聯(lián)網(wǎng)安全可靠運(yùn)行。在對(duì)車聯(lián)網(wǎng)業(yè)務(wù)上線后進(jìn)行構(gòu)建安全防護(hù)平臺(tái)，保證車聯(lián)網(wǎng)業(yè)務(wù)的安全開展。

4 總結(jié)

車聯(lián)網(wǎng)系統(tǒng)安全防護(hù)是一項(xiàng)較為復(fù)雜和系統(tǒng)的工作。在實(shí)際運(yùn)用中，以上方法并不是獨(dú)立的。不會(huì)因?yàn)閹状螠y(cè)試就可以解決所有的安全風(fēng)險(xiǎn)，建議從以上述幾方面進(jìn)行科學(xué)有效設(shè)計(jì)開發(fā)、管理、運(yùn)維和監(jiān)控監(jiān)管并且提高對(duì)相關(guān)供應(yīng)商的安全標(biāo)準(zhǔn)要求，保障新車車輛在SOP 前的安全，避免后期市場(chǎng)，存在車輛盜取或大批量被攻擊的風(fēng)險(xiǎn)。

當(dāng)前，國(guó)內(nèi)外對(duì)車聯(lián)網(wǎng)安全技術(shù)的研究和應(yīng)用都還處于起步階段，如何將車聯(lián)網(wǎng)安全技術(shù)納入整車開發(fā)應(yīng)是今后研究的重要方向。