1 引言

随着进入物联网的时代，关于网络安全的问题就越来越多地进入我们的视野，某些互联网设备的安全性要求并不高，如家庭智能净水器、智能空调等，这种设备同安全性、隐私性并不发生直接联系。但是某些物联网设备则需要非常完善的安全性保护，如智能摄像头、智能手机以及智能网联汽车等（见图1）。

2 车辆T-BOX系统安全测试和评价

图1 需要非常完善的安全性保护

智能摄像头如果被攻击破解并且挟持，则会产生智能摄像头数据泄露，严重威胁个人和企业的隐私以及信息安全；智能手机如果存在安全威胁，则会产生个人信息泄露、金融交易风险以及隐私泄露的严重威胁；汽车由于其特殊性，除了产生个人隐私泄露的风险外，还可能产生人身安全威胁。2015年，吉普自有光汽车曾被白帽黑客破解，由此产生高达上亿美元的经济损失，因此对于汽车的信息安全测试则更加重要。

传统的汽车类似于一个孤岛，物理上同外界隔离，传统的汽车安全指的是汽车本身的安全性以及E-Call这种紧急救援服务。但是随着汽车进入智能化时代，新型的智能网联汽车则面临着更多的信息安全问题，可以说汽车越智能，连接越多，就会产生更多的攻击维度，安全问题越需要重视。

如果从产生信息安全的各个节点来考虑，汽车的信息安全可以从几个节点来进行描述。

图2例举了整个T-BOX的工作流程。例如，车主希望能够通过手机中的APP查询到车辆当前的位置信息以及车辆当前的充电状态。车辆实时通过卫星获得GPS信息，并且通过ECU将充电状态通过CAN总线传递给T-BOX的上层处理器，T-BOX通过蜂窝移动基站将这些信息传递给云平台，如阿里云或亚马逊云等，TSP增值服务商通过云平台获取数据，并通过无线基站再次将数据传递给车主的手机APP中。

图2 T-BOX的工作流程

汽车安全包括以下几个方面：

（1）智能网联汽车安全：主要包括两个方面，一个是CAN总线安全，CAN总线相当于汽车的神经网络，连接着汽车的电子控制单元ECU，目前一般一部汽车大概有50个以上的ECU，如故障诊断、仪表显示、安全气囊等重要ECU。理论上，可以通过CAN总线控制车载任意的ECU；此外，OBD接口也是对CAN攻击的一个重要途径，因为OBD接口理论上是唯一的一个ECU同外部通信的接口。另外一个是车载OS安全，车载OS的安全相当于电脑操作系统的安全。

（2）IVI安全：IVI是采用车载专用中央处理器，基于车身总线系统和互联网服务，形成的车载综合信息娱乐系统。IVI能够实现三维导航、路况、辅助驾驶、故障检测、车身控制、无线通讯、在线娱乐以及TSP服务等，正因为如此，IVI也面临着非常多的威胁。对IVI的攻击可以分为硬件攻击和软件攻击，其中硬件攻击需要将硬件拆掉，从硬件获得权限进行攻击，软件攻击包括无线注入以及软件升级攻击两个大的方向。例如，Fw升级问题，在升级版本的过程中可能遇到安全问题，这种问题一般通过F-OTA来解决。车载IVI系统中的无线连接技术，如Bluetooth、WLAN技术也是潜在的攻击途径。

（3）T-BOX安全：狭义上可以认为是T-BOX的调试接口、MCU、总线数据的安全。

（4）车联网通信安全：可以将车联网通信安全认为是广义的T-BOX安全，广义的T-BOX安全代表终端在整个T-BOX的应用过程中所产生的安全性问题，包括终端安全、终端的APP行为安全、传输过程中数据的完整性以及加密方案是否完备。

（5）车联网服务平台TSP（Telematics Service Provider）安全：TSP 为汽车远程服务提供商，为汽车和手机提供内容以及流量转发服务，如果服务平台被攻击，则可能产生资料窃取（如GPS轨迹数据）、数据丢失，甚至冒充合法用户对车辆进行控制。

（6）Telematics云平台安全：指的是云端数据的隐私性、可恢复性、完整性等几个方面。

（7）APP安全：一般是指黑客通过Root终端用户权限或者安装恶意程序，或者给程序植入后门来获取用户信息，进而对车辆进行控制。

如果将上述节点网络抽象化，可以得到如图3所示。可以将其中的Endsystem （Initiator）看作是T-BOX网络的起点，即Mobile APP或者PC端，Network可以分解成包括移动运营商网络、Telematics Cloud Network和Telematics Service Provider，而 Endsystem（Responder）可以看作是车载T-BOX以及后面的IVI系统。在这个节点中，Endsystem（Initiator）可以包括智能终端安全、车联网APP安全等。从图3可以看到，网络运营商起到了管道的作用，并且提供所有的承载，包括无线网络以及IP传输的承载。一方面对接移动终端以及APP，另外一个方面对接云平台以及TSP服务商，包含了关于整个应用层最详细的信息。但实际测试过程中，没有办法监控运营商的IP网络，甚至没有办法去控制基站的信号强弱等。

图3 节点网络抽象化

如图4所示，在实际测试过程中，可以使用带有IP层测试的2G/3G/4G网络模拟器来提供这个接口。一方面提供可控的无线信号，保证物理层传输的可靠性；另一方面提供IP层应用接口、IP层吞吐量分析、IP层加密分析的功能。

图4 实际测试过程

例如，移动终端运行了1个APP和一些后台运行的APP，每个APP包括了一些连接组，而每个连接组也包括了一些连接，可以针对每个连接进行如下的IP加密/非加密分析：

（1）加密业务、非加密业务分析。

（2）关键词搜索、地理位置信息显示。

（3）IP端口分析。

如果从协议栈的角度考察，主要包含两个方面，一方面是传输层的通信安全；另一个方面是应用层，即各个APP本身的安全（见图5）。对于传输层通信安全，一般依靠传输层加密算法来实现，传输层的加密协议为SSL/TLS协议。

图5 从协议栈的角度考察包含两方面

基于传输层加密协议的测试，可以检查SSL/TLS证书是否是合法的机构、加密强度、证书的有效性等。并且可以以地理信息显示服务器的位置，可以通过关键词搜索来查找关键信息是否加密等，还可以进一步分析SSL/TLS握手协议流程等。

3 结束语

智能网联汽车由于其承载人身安全的特殊属性，因此相比其他物联网设备更加重要，并且随着智能网联汽车的规模化、智能化和产业化，整个智能网联汽车面临着更多的安全性、隐私性的问题。需要国家政策、行业法规以及企业投入更多的测试以及评估以提升智能网联汽车的产业安全性问题。

在评估中，笔者提出了一种基于通信基站模拟器的方法以深入监控智能网联汽车的信息安全的方法，为之后的行业法规提供重要的测试方法参考。