智能网联汽车信息安全风险分析及实践探讨

智能网联汽车是汽车与信息、通讯等产业跨界融合的典型应用，被认为是全球创新热点和将来产业发展制高点。随着汽车智能化、网联化程度的加深，人们实现了对汽车的更多控制，为生活带来了各类便利，但随之而来的远程攻击、恶意控制甚至入网车辆被操控等安全隐患也日益明显，如何保障智能车辆安全，实现便捷性与安全性之间的矛盾成为汽车智能化发展的重要环节。

巨大发展潜力下的安全隐患

智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置，并融合现代通讯与网络技术，实现车与X（人、车、路、云端等）智能信息交换、共享，具有复杂环境感知、智能决策、协同控制等功能，可实现“安全、高效、温馨、节能”行驶，并最终可实现替代人来操做的新一代汽车，随着技术的发展，智能化功能愈来愈丰富。

2018年1月，国家发改委发布的《智能汽车创新发展战略》（征求意见稿）中提出，到2020年，智能汽车新车占比将达到50%。按照该战略的规划，汽车产品将由以往的机械化产品向智能化控制产品转变；在应用层上，汽车将成为兼顾办公、居家、娱乐的智能化移动空间。

智能汽车从规模到应用都极具潜力，但使人担心的是，车联网功能的安全性问题也日益凸显。2015年，两名白帽黑客远程入侵了一辆正在路上行驶的切诺基（自由光），并对其作出减速、关闭引擎、忽然制动或者制动失灵等操控，克莱斯勒为了防止汽车被黑客攻击，在全球召回了140万辆车并安装了相应补丁。2016年，腾讯科恩实验室宣布他们以“远程无物理接触”的方式成功入侵了特斯拉汽车，从而对车辆的停车状态和行进状态进行远程控制。黑客们实现了不用钥匙打开了汽车车门，在行驶中忽然打开后备箱、关闭后视镜及忽然刹车等远程控制。2017年，一家网络安全公司称现代汽车App存在漏洞，黑客可以远程启动现代公司的汽车，现代证明了这个漏洞的存在。同年，软件安全工程师Jay Turla对马自达汽车展开了一项开源网络攻击项目，使得任何人都能利用一个U盘就对马自达汽车执行恶意软件代码。不久前据英国广播公司报道，国内一家网络安全实验室的研究显示宝马汽车的电脑系统存在14处漏洞，黑客可利用这些漏洞在汽车行驶时取得部分控制权，可经过插入U盘、使用蓝牙以及车辆自带的3G/4G数据链接等方式控制汽车。甚至随着技术的发展，如《速度与激情8》中，黑客经过入侵智能网联汽车自动驾驶系统给控制上千辆无人汽车组成的“僵尸车”军团也再也不只是存在于荧幕的特效，更让人不得不在享受到其温馨、便利的同时，加速对智能汽车信息安全问题的深刻审视。

智能汽车安全保障势在必行

智能网联汽车信息安全能够分为内外两套安全体系，分别是“端-管-云”的车外网络信息安全和“车载端、车内网关-车内网络、ECU节点”的车内网络信息安全，随着汽车智能化和网联化的增加，内外体系的数据交互会逐渐增长。信息安全做为汽车的一个属性，须要创建在汽车内部网络架构的基础上，安全保障体系也须要与智能网联汽车应用同步部署。

2017年6正式施行的《中华人民共和国网络安全法》要求智能网联汽车制造厂商、车联网运营商“采起技术措施和其余必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。” 2017年12月，工信部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南》（如下简称指南），肯定了智能网联汽车的标准体系，其中就包括信息安全方面的通用规范类标准。今年3月，工信部装备工业司发布《2018年智能网联汽车标准化工做要点》工信部发布的工做要点共说起五项重点标准，“汽车信息安全标准”是其中之一。推动该标准制定的具体工做包括完成汽车信息安全通用技术、车载网关、信息交互系统、电动汽车远程管理与服务、电动汽车充电等5项基础通用标准的立项工做；启动汽车信息安全风险评估、安全漏洞与应急响应、软件升级及整车信息安全测试评价等4项国家标准项目的预研和立项。

根据《智能网联汽车技术路线图》，智能网联汽车可分为智能化与网联化两个层面；智能网联汽车经过智能化与网联化两条技术路径协同实现“信息感知”和“决策控制”功能，产品物理结构功能安全和信息安全做为重要组成部分贯穿始终。

（一） 技术逻辑结构

智能网联汽车技术逻辑的两条主线是“信息感知”和“决策控制”，其发展的核心是由系统进行信息感知、决策预警和智能控制，逐渐替代驾驶员的驾驶任务，并最终彻底自主执行所有驾驶任务（如图1 所示）。

图1 智能网联汽车技术逻辑结构

（二） 产品物理结构

《国家车联网产业标准体系建设指南》中肯定了智能网联汽车的标准体系，也明确了信息安全方面的通用规范类标准。

智能网联汽车的产品物理结构是把技术逻辑结构所涉及的各类“信息感知”与“决策控制”功能落实到物理载体上。车辆控制系统、车载终端、交通设施、外接设备等按照不一样的用途，经过不一样的网络通道、软件或平台对采集或接收到的信息进行传输、处理和执行，从而实现了不一样的功能或应用。其中，产品物理结构功能安全和信息安全做为智能网联汽车各种产品和应用须要广泛知足的基本条件，贯穿于整个产品物理结构之中，是智能网联汽车各种产品和应用实现安全、稳定、有序运行的可靠保障。

图2 智能网联汽车产品物理结构

（三） 相关标准体系

按照智能网联汽车的技术逻辑结构、产品物理结构的构建方法，《国家车联网产业标准体系建设指南》综合不一样的功能要求、产品和技术类型、各子系统间的信息流，将智能网联汽车标准体系框架定义为“基础”、“通用规范”、“产品与技术应用”、“相关标准”四个部分，造成14个子类。

在该标准体系中，功能安全标准侧重于规范智能网联汽车各主要功能节点及其下属系统在安全性保障能力方面的要求，其主要目的是确保智能网联汽车总体及子系统功能运行的可靠性，并在系统部分或所有发生失效后仍能最大程度地保证车辆安全运行；信息安全标准在听从信息安全通用要求的基础上，以保障车辆安全、稳定、可靠运行为核心，主要针对车辆及车载系统通讯、数据、软硬件安全，从整车、系统、关键节点以及车辆与外界接口等方面提出风险评估、安全防御与测试评价要求，防范对车辆的攻击、侵入、干扰、破坏和非法使用以及意外事故。

智能网联汽车信息安全风险分析

智能网联汽车从架构上可分为四个不一样的功能区，分别是基本控制功能区，如传感单元、底盘系统等；扩展功能区，如远程信息处理、信息娱乐管理、车体系统等；外部接口，譬如LTE-V、蓝牙、WIFI等；以及手机、存储器、各类诊断仪表、云服务等外部功能区。每一个功能区对于安全的定义和需求都不相同，须要定义合理规范的系统架构，将不一样功能区进行隔离，并对不一样区域间的信息流转进行严格的控制，包括接入身份认证和数据加密，来保证信息安全传输，从而达到智能驾驶功能的高可用性、便利性和保护用户信息隐私的目的。根据分析研究，智能网联汽车系统面临的攻击主要来自两方面——内部攻击和远程攻击。其中，内部攻击主要由智能网联自身缺陷引发，好比总线、网关、ECU等安全程度不够所致使。将来智能网联汽车面临的信息安全威胁梳理为来自云端、通道、终端三个维度。

（一）终端层安全风险
一、T-BOX 安全风险

T-BOX（Telematics BOX）的网络安全系数决定了汽车行驶和整个智能交通网络的安全，是车联网发展的核心技术之一，恶意攻击者经过分析固件内部代码可以轻易获取加密方法和密钥，可实现对消息会话内容的破解。

二、IVI 安全风险

车载信息娱乐系统（In-Vehicle Infotainment，IVI）的高集成度使其全部接口均可能成为黑客的攻击节点，所以IVI的被攻击面将比其余任何车辆部件都多。

三、终端升级安全风险

智能网联汽车如不及时升级更新，就会因为潜在安全漏洞而遭受各方面（如 4G、 USB、 SD 卡、 OBD 等渠道）的恶意攻击，致使车主我的隐私泄露、车载软件及数据被窃取或车辆控制系统遭受恶意攻击等安全问题。

四、车载 OS 安全风险

车载电脑系统常采用嵌入式 Linux、 QNX、 Android等做为操做系统，其代码庞大且存在不一样程度的安全漏洞，且车联网应用系统复杂多样，某一种特定的安全技术不能彻底解决应用系统的全部安全问题。而智能终端还存在被入侵、控制的风险。

五、移动App安全风险

对于没有进行保护的App进行逆向分析挖掘，可直接看到 TSP（远程服务提供商）的接口、参数等信息。

（二）传输通道安全风险

一、车载诊断系统接口

基于车载诊断系统接口(OBD)的攻击如今的智能网联汽车内部都会有十几个到几十个不等的 ECU，不一样 ECU 控制不一样的模块。OBD 接口做为总线上的一个节点，不只能监听总线上面的消息，并且还能伪造消息（如传感器消息）来欺骗 ECU，从而达到改变汽车行为状态的目的。

二、车内无线传感器安全风险

传感器存在通信信息被窃听、被中断、被注入等潜在威胁，甚至经过干扰传感器通讯设备还会形成无人驾驶汽车偏行、紧急停车等危险动做。

三、车内网络传输安全风险

汽车内部相对封闭的网络环境看似安全，但其中存在不少可被攻击的安全缺口，如胎压监测系统、 Wi-Fi、蓝牙等短距离通讯设备等。

四、车载终端架构安全风险

如今每辆智能网联汽车基本上都装有五六十个 ECU 来实现移动互联的不一样功能，进入智能网联汽车时代后， 其接收的数据不只包含从云端下载的内容，还有可能接收到那些经过网络链接端口植入的恶意软件，所以大大增长了智能网联汽车被“黑”的风险。

五、网络传输安全风险

“车-X”（人、车、路、互联网等）经过 Wi-Fi、移动通讯网(2.5G/3G/4G等)、DSRC等无线通讯手段与其它车辆、交通专网、互联网等进行链接。网络传输安全威胁指车联网终端与网络中心的双向数据传输安全威胁。

（三） 云平台安全威胁

目前大部分车联网数据使用分布式技术进行存储，主要面临的安全威胁包括黑客对数据恶意窃取和篡改、敏感数据被非法访问。

智能网联汽车信息安全实践

结合国家战略指引、技术研究和实际案例分析，几维安全对智能网联汽车的云端、APP端、T-Box端的风险点和安全保障措施进行深度分析，推出了多维度基于底层算法的安全保障技术。

图3 几维安全基于智能网联汽车云管端的信息安全防御

（一）APP防御

一、JAVA代码反编译防御

利用Android汇编语言的高强度Java2C技术进行Android APP的JAVA代码进行保护。

二、SO虚拟化保护

利用几维安全独有KiwiVM代码虚拟化保护对So核心代码逻辑进行保护，保护关键协议代码和通讯模块。

三、Android APK完整性保护

加固经过对APP安装包全部文件内容作交叉校验，而且作校验数据及校验代码作加密保护，能够及时检测到APP是不是原有官方版本，并阻止非官方版本启动运行。

四、APP动态运行防御

加固提供的动态防护技术以反调试保护为基础，同时针对关键函数及环节作监控，借助于轮询查看，主动侦测等方法，保护移动APP在运行时的安全。

五、APP本地文件及数据加密保护

经过安全SDK在Android文件系统层实现的透明化数据加密机制，有效的对全部资源文件读写操做作保护。

（二）T-BOX防御

一、固件协议代码保护

利用MBS块调度或KiwiVM代码虚拟化保护技术进行固件协议模块保护

二、固件数据加密

经过几维安全SDK对终端数据进行安全加密存储，关键密钥隐藏于KiwiVM虚拟机中。

三、固件完整性校验算法保护

对固件完整性校验等关键算法进行MBS块调度或KiwiVM代码虚拟化保护，避免攻击者绕过校验逻辑。

（三）通讯安全

一、通讯数据加密

使用基于KiwiVM代码虚拟化保护技术的白盒密钥SDK，密钥隐藏于虚拟机中，隐藏算法逆向特征，使得密钥没法提取及解密数据。

二、通讯数据校验

经过几维安全基于通讯协议加密SDK的验签功能，经过hash函数生成签名，经过KiwiVM隐藏算法特征和校验过程。

小结

智能网联汽车是汽车与信息、通讯等产业跨界融合的重要载体和典型应用，是全球创新热点和将来产业发展制高点，更是人们将来生活的一部分。做为智能网联汽车发展的基石，信息安全保障与智能化应用同步部署必要性日益凸显，便利、安全的兼顾还需共同持续努力。