网络信息安全评估部 袁豪杰
一、车联网简述
由机械工业出版社出版、中国汽车工程学会主编的《节能与新能源汽车技术路线图年度评估报告2018》对智能网联汽车做出定义:智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(车、路、人、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶,并最终可实现替代人来操作的新一代汽车。
针对车联网安全技术研究,从网络体系角度出发,以国际电信联盟ITU-T的物联网体系结构参考模型为基础,车联网体系结构自车载终端至远端服务器可划分为感知层、网络层(传输层)和应用层。
车联网感知层是指车辆通过传感器、信息通讯等实时地收发车辆自身与交通环境相关状况信息。其实时信息交互具体包括车内驾驶系统与控制系统信息、车身驾驶环境信息、车辆位置与速度信息、车辆外部环境信息、其它车辆、行人、道路信息与整体交通系统信息等。
车联网网络层包括核心网和接入网两部分,是车辆信息接收与发射所建立的信息通信网络。核心网负责从基站到云端服务器的路由选择和数据传输,接入网主要负责车与车、车与基站之间的交互通信。传输信息从感知层获取进而提供给应用层,车联网传输层需要通过安全可靠的信息传输机制来确保通信安全进而确保应用安全、车辆安全、交通安全、人身安全。目前主流的车联网专用通信协议分为DSRC与LTE-V两类。
车联网应用层是车联网技术发展与创新的驱动力,应用层不仅仅包括车载信息服务类应用,更包括面向所有车辆交通的安全效率类应用和以自动驾驶为基础的协同服务类应用,依赖于人、车、路、云的全方位连接与信息交互。
二、从网络体系看车联网安全与检测
1.车联网感知层安全
对感知层的安全而言,安全问题主要集中在由通信、计算、存储等构成的车载终端上。车载智能终端包含两类重要信息:一是个人信息隐私;二是车辆控制协议信息,包括远程控制命令、身份验证信息等。受限于使用环境,车载终端性能较远端服务器差,安全防护措施不足,可能存在漏洞利用终端接口将恶意程序植入终端,进而干扰车载终智能端的信息通信与计算决策。然而目前车载智能终端操作系统的发布与更新往往是由各个车载终端厂商独立完成,缺少规范的安全监管政策和流程,无法对其车载终端的硬件、操作系统和应用软件进行必要的安全性测试,因此会降低产品的安全性,使车载智能终端面临更加严重的安全问题。
2.车联网网络层安全
由于网络层主要负责数据传输工作,对网络层而言,其安全隐患主要集中于数据的恶意拦截、获取、泄露、篡改,通过节点进行攻击等,具体可表现为
窃听与篡改攻击
在车联网无线通信环境中的通信信道往往是开放式的,攻击者可以通过发动窃听攻击获取车辆节点之间传输的信息,造成用户隐私信息泄露带来安全威胁。当窃听攻击发生时,攻击者同样可对信息进行非法篡改进而发送给目标用户,使用户收到错误信息,进而影响到车联网安全。由于窃听与篡改攻击的特性,用户无法发觉信息是否遭到窃听,因此需要对信息传输是否加密进行检测,来确保信息传输的安全性。
回放攻击
回放攻击与窃听、篡改攻击往往同时发生,攻击者通过窃听截取通信信道内传输的信息,再以同样的方式将消息重复发送至车联网中的实体,使得接受者以为是合法用户所发,混淆了本应该接受的交通信息,发生误判。因此需要检测相关安全协议是否设置时间戳或随机值以抵御此类攻击。
3.车联网应用层安全
对应用层的安全而言,其安全隐患主要集中于应用本身的身份认证、密钥管理、数据安全、隐私保护等。具体体现为:
节点捕获攻击与检测
节点捕获攻击既可以划分到网络层,也可以划分到应用层。节点攻击通常指Sybil攻击或女巫攻击,该类攻击是指在车联网中单一节点具有多个身份标识,攻击者利用车联网中的少数节点控制多个虚假身份,冒充或伪造合法车辆发送信息至信息网络,从而控制或影响网络的大量正常节点。在车联网系统中,由于汽车本身节点具有移动性,从而网络被影响范围随节点的移动而扩大。
对节点攻击的主要检测手段有以下三种:
(1) 对节点进行身份验证。在节点加入网络之前向某认证中心进行身份认证并获得相应通信密钥,使得每一个节点都具有合法身份。此外利用匿名技术可以确保节点在通信过程中的私密性。Yu H等提出利用算法将汽车所获得的所有伪名都通过特定的哈希算法对应于同一值,从而快速发现车辆同时使用多个身份的现象。但对于合法身份的节点仍存在被盗用、共享的安全威胁
(2) 对节点位置进行检测。车联网的一个重要特点是每一个节点都具有移动性,虽然攻击者具有多个身份,但这些身份都对应于同一个物理节点,从而导致其行为具有高相似性,同理,不同的车辆一般都具有不同的移动轨迹,因此通过对节点移动行为、移动轨迹相似度的分析可实现对Sybil节点的有效检测。
(3) 对节点匹配资源进行检测。通常对于大多数车辆节点,其所具备的通信带宽、计算能力、存储空间等大致相等。因此,若存在多个节点所拥有的资源与数量无法匹配,则可以判定节点中存在虚假节点。
系统内部人员攻击与检测
系统内部人员发动攻击往往是该人员具有用户密码管理权限,相关人员如果非法盗用和使用存储与系统服务器中的用户与密码,就可以发起对整个网络的攻击,甚至对信息进行转卖。因此需要建立安全管理制度,设置管理员操作权限对管理员操作行为进行检查。
三、从设备终端看车联网安全与检测
1.移动终端安全检测
随着车联网的发展,参与车联网网络的共享服务不仅局限于车内单元和外部基础设施,用户所携带的智能移动终端也参与其中。这些电子设备内部往往包含用户的隐私信息,攻击者常常可以利用设备内部的秘密信息非法访问资源和服务,或冒充合法用户发送虚假消息至车联网中。移动终端的安全检测主要包括:
账户安全检测:检测密码是否采用明文进行传输和存储、账户锁定策略、注销机制等。
数据通信安全检测:检测数据是否加密、是否使用安全通信(如HTTPS)、是否验证数字证书和数据的合法性等。
服务端接口检测:检测是否存在SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、越权访问等。
除此之外还包括安装包检测、组件安全检测、敏感信息检测等
2.网络及安全设备安全检测
网联汽车依据现有网络基础拓展感知网络和应用平台,是互联网的延伸,且汽车本身也不再是一个孤立的单元,因此针对智能网联汽车的检测要保证车辆自组网与多种异构网络之间的通信与漫游,实现V2X的双向数据通信链路之间的传输安全。
针对车联网网络安全,其主要检测应包含:
通信协议安全检测:检测通信协议一致性与通信互操作性;进行通信协议身份认证漏洞检测、假冒攻击漏洞检测、保密数据泄露漏洞检测、新鲜性漏洞检测、类型攻击漏洞检测、攻击者不道德漏洞检测等。
传输保密检测:检测通信数据是否为加密传输,是否确保数据传输的准确性和一致性。
网络边界检测:检测是否支持连接外部系统,是否在内部系统边界进行监控、是否部署边界保护设备等
设备识别检测等:检测是否对固定设备进行唯一性标识和鉴别能力
3.服务器/存储设备安全检测
车联网服务器架构一般可分为身份认证管理平台、远程信息服务终端(Telematics Box, T-BOX)管理服务器和应用服务器,身份认证管理平台为整个系统提供身份认证方案和基础服务,在管理服务器和应用服务器上部署身份认证相关功能,车辆和智能终端通过无线访问点,使用移动通讯技术连接网络,用户操作手机获取系统服务。攻击者常可利用身份认证协议自身的漏洞造成认证失效,进而破坏整个服务器架构。
车联网服务器安全检测除T-BOX安全检测外还应包含移动终端OS安全检测,其检测内容部分相同,具体表现为:
会话认证检测、身份鉴别检测、访问控制检测、数据完整性和保密性检测、登录失败限制检测、安全审计检测、日志管理检测、数据备份与恢复检测等。
针对T-BOX安全检测还应包含:T-BOX服务接口渗透检测、T-BOX非法注入检测、T-BOX非法控制检测等
除此以外,对服务器系统检测应包含基本功能性检测,其目的是要实现对服务器设备、服务器操作系统、数据库系统、应用在服务器上性能的全面监控。基本功能性检测包含功能测试和性能测试两方面。功能测试从用户观点出发,采用黑盒测试证明系统功能的可操作性和正确性;性能测试则利用自动化工具模拟多种正常、异常、峰值负载条件来测试系统的各项性能指标,针对服务器端也可采用系统本身的监控命令进行检测。
四、小结
中国软件评测中心认为智能网联汽车处于发展的初阶段,对于车联网的安全与检测技术研究以及安全标准的建立也处于起步阶段,从不同的角度看待车联网的安全将有利于推动行业的发展与相关标准的建立。