文章学习 | 智能车联网信息安全研究

文章学习：智能车联网信息安全研究

摘要

车联网技术智能化、共享化、网联化发展带来了安全问题。

车联网的三层架构：车载端、路端、云端

• 车联网
• 应用广泛
• 安全问题
• 贡献
  • 三层架构的安全问题
  • 对应解决方案

引言

车联网将智能互联网和车辆相连接，实现了车与车、车与人以及车与道路环境之间的信息交流共享。

全国车辆信息：4.02亿辆（2022.3），79个城市保有量超过百万量级

将车联网应用再传统汽车行业中，带动汽车航天发展。但存在信息安全问题：车辆平台自身、传输信道和数据隐私安全。

车联网发展状况

国内外发展现状

欧美车联网技术发展较为成熟。

• 1996 年，美国通用汽车在Cadillac轿车安装 OnStar车联网终端机，率先推出了车联网服务，保障了汽车安全行驶性能。
• 2020 年3 月，美国交通部发布《智能交通系统（ITS）战略规划 2020—2025》

国内车联网技术尚处于起步阶段。

• 2001 年科技部正式推出《中国智能交通系统体系框架》（第 1 版）
• 2018 年 12 月，我国工信部发布《车联网（智能网联汽车）产业发展行动计划》
• 2021 年 7 月，第 20 届中国互联网大会上发布的《中国互联网发展报告》
• 2022 年 1 月，国务院发布的《“十四五”数字经济发展规划》

产业发展现状

国外

• 美国新能源汽车巨头特斯拉是第一个实现整车在线升级的车企，能够实现车载系统及车上应用的远程升级，提升用户体验感
• 日本本田汽车公司发布了第三代 HondaCONNECT（智导互联）系统，可实现远程操控、在线升级、精准导航等功能。
• 以苹果、谷歌为代表的国际知名科技公司也与传统车企展开合作

国内

• 从 2015 年开始，工信部先后支持建设了近 50 个智能网联示范区
• 蔚来推出了全球首个车载人工智能系统 NOMI[9]，创造了一个全新的人车交互方式，结合自然语义分析与类人行为模拟，从而控制车内设备
• 小鹏汽车也自主研发了车载系统 Xmart OS，在高精度导航、智能助手、远程升级、辅助驾驶等方面有了进一步的提升
• 中国电信成立天翼物联，整合了两大车联网基地的业务
• 中国联通与宝马车联网服务签订协议，合作持续到 2025 年，联通旗下车联网子公司联通智网科技有限公司也与一汽、广汽等 9 家本土车企展开合作
• 中国移动拿下了中国首个 4G 车联网商用业务，与多家大型车企签订协议

车联网生态

车联网定义

车联网是通过新一代的无线网络通信技术将无数个智能车辆连接在一起，完成车辆间的信息共享和信息利用，从而构建一个提供多样化功能服务的系统网络。

车联网生态系统组成

车联网生态系统可分为车载端、路端、云端 3 层：

• 车载端

车载端包括车辆上配备的摄像头、雷达和各种传感器等信息接收设备，同时覆盖了车辆各设 备间的数据传输通信技术，以及还有一个故障诊断系统。

• 路端

路端有通信基站，通信单元和融合感知系统，主要解决了车联网生态系统中的互联互通， 实现了各种异构通信网络间的通信。

• 云端

云端有数据存储、数据处理和车辆公共服务。

典型的车联网安全事件聚焦

车载端

• 各类传感器和APP会泄露用户信息
  • 2015 年，安全研究员 Samy Kamkar 发现通用安吉星 OnStar 系统存在漏洞，能够通过该系统远程控制汽车，拦截数据通信
  • 2016 年，三菱欧蓝德 插电式混合动力电动汽车可以利用 Wi-Fi 控制模块暴力破解密钥后，直接定位欧蓝德汽车
  • 2018 年，研究者发现大众、奥迪车载系统中存在漏洞，可以通过该漏洞获得系统的 root 控制权，从而控制汽车的制动系统
  • 2020 年，特斯 拉 Model S 中的无线功能模块和蓝牙钥匙存在漏洞
  • 2022 年，美国网络安全和基础设施安全 局警告 MiCODUS MV720 全球定位系统（Global Positioning System，GPS）跟踪器中存在多个安全漏洞，波及全球超 150 万辆汽车

路端

• 通信单元和智能系统缺陷和网络拥塞
  • 2016 年，New Eagle制造的 C4MAX TGU 若配置不当，可直接通过公网 IP 和 23 号 Telnet 端口访问，将信道暴露在公网下
  • 同年， 纽约大学教授发现常用的车联网规范连接标准——MirrorLink 存在缓存区溢出漏洞，该连接易于启用，黑客可利用漏洞控制多种关键性安全组件
  • 2019 年，福特多款汽车无线钥匙难以抵御重放攻击，攻击者能够通过重放前一阶段钥匙发送的信号对车辆进行控制
  • 2020 年，特斯拉 Model S上的无线协议通信模块存在漏洞， 攻击者可以利用漏洞攻入系统，从而在Parrot 模 块的 Linux 系统当中执行任意命令
  • 2022 年，车联网服务商 SIRIUS XM API 存在漏洞，可直接利 用 HTTP2 来获取远程服务，从而远程控制车辆

云端

• 服务系统和数据会受到恶意攻击。
  • 2015 年，某匿名黑客公开 上网兜售车主姓名、手机号码、意向购车型号等相关车主信息，10 万雪铁龙车主信息被泄露
  • 2017 年，某黑客入侵东风日产公司的网络系统， 盗取客户姓名、车辆识别号码、家庭住址等个人信息，用户信息被泄露
  • 2021 年，梅赛德斯奔驰美国的1 000 余条客户个人敏感信息在云存储平台上被泄露
  • 2022 年，丰田供应商服务器被 黑客攻击并植入威胁，造成了丰田公司停产一天

智能车联网信息安全风险分析

《车联网网络安全白皮书（2020 年）》

智能车联网车载端安全

车载端传感设备、系统和通信安全。

• 传感器
  • 传统传感器：数据量大且不稳定，有数据安全问题
  • 智能传感器：有通信网络安全
• 系统
  • 植入后门
• 通信
  • 通信安全和时延问题
  • 随着接入网络的车辆数增加，安全问题会越来越严重

智能车联网路端安全

• 基本路测设备
  • 非法接入、远程控制和数据篡改
  • 利用开放端口非法入侵
• 通信基站
  • 通过监听或篡改信号破坏通信网络
  • 固件升级维护困难

智能车联网云端安全

• 伪造身份接入云平台
• 框架系统漏洞，系统资源控制分配问题和外部接口调用问题
• 数据安全
  • SQL注入

智能车联网西悉尼安全解决方案

智能车联网生态系统安全防护架构主要分为车载终端安全、路端通信安全、 应用服务安全和数据安全。

车载

• 硬件设备安全

  • 传感器安全：传感器芯片内置加密算法模块来执行传感器安全等级

• 数据通信安全

  • 通信数据和信道安全：认知通信双方身份并颁发安全证书

• 软件系统安全

  • 引入安全防护模块
  • 系统部署防火墙和加密锁

路端

• 非法篡改数据：
  • 对数据加密保证数据真实性
  • 轻量级加密协议应用再数据传输中
• 恶意入侵
  • 异常流量监控和网络区域隔离
• 破坏基站
  • 数据安全传输系统和物理防护措施

应用服务（云端）

• 计算框架安全
  • 框架版本更新、移动防御工具
  • 权限控制
• 数据安全
  • 物理隔离和加密认证算法

数据安全

• 数据隐私保护技术
  • 加密

未来研究方向

• 构建多层多域防御体系
• 开发安全平台
• 研究高性能密码方案、
  • 密码学
  • 区块链
  • 可信计算

总结

车联网安全问题

• 总结当前存在问题和防护方案
• 指出发展方向