武翔宇，赵德华，郝铁亮

（华晨汽车工程研究院 电器工程室，辽宁 沈阳 110141）

1 车联网系统组成

车联网系统大致分为三个部分，分别为车载终端、网络传输、TSP 平台。车载终端位于汽车内，包括TBOX、车机等设备，主要负责收集上传车辆相关信息，实现车辆与外界互联网的连接。网络传输主要负责TBOX 与TSP 平台、车辆与车主的互联，实现车辆与TSP 平台以及车主的通信。TSP平台负责对车辆上传的数据进行存储、计算分析和管理，并对联网用户提供包括提供远程控制、在线娱乐、支付、紧急救援等服务。

2 车联网系统安全分析

2.1 车载终端安全分析

TBOX 采用无线通信方式传输数据到TSP 平台。相较于有线通信方式，无线通信数据在传输过程中更容易被非法拦截和获取。例如，通过TSP 平台的非授权控制，可以泄露车主以及车辆信息，并且远程控制车辆。此外，大部分TBOX通过USB 接口给车机提供联网服务。攻击者可凭借此接口使用TBOX 的网络服务，该接口需要具备服务端设备的鉴别能力，对不信任的服务端拒绝提供网络服务。并且MICRO USB接口的接插件方式建议改为使用HSD 连接器。同时建议涂抹TBOX 主控MCU 芯片型号，如果没有涂抹攻击者就可以根据芯片手册可以直接定位该芯片调试接口，如果芯片没有做固件保护，则有被提取固件的风险。最后建议将私有TBOX网络和企业内网做隔离和访问控制，仅允许TBOX 访问特定的业务，不可随意访问内网中的服务器。

车载终端的安全风险还体现在车机操作系统和车机的应用软件上，当车主在线升级车机操作系统更好的体验车辆的增值服务时，为联网车辆带来了新的风险：（1）车机操作系统本身包含漏洞，未及时更新补丁程序。（2）应用软件被非法篡改并植入恶意代码。

2.2 网络传输安全分析

网络传输域主要完成信息的传输工作，是连接TBOX 和TSP 平台的通道。建议采取以下安全措施：

（1）在客户端和服务端进行双向的身份的证书校验机制。

（2）对密码等敏感信息在传输中进行加密处理。

（3）对安全有极高要求的业务，建议自定义私有协议完成文件的上传下载任务。

如果通信不采用证书双向验证那么攻击者可以通过抓包分析发现服务端未对客户端进行身份校验。此问题可以通过替换证书，进行中间人攻击，截获https 的通信数据，进行数据包的伪造或重放。

2.3 TSP 平台安全分析

针对TSP 平台本身的安全风险应该做好基本的加固操作，例如口令账号的复杂设定，部署在边界的服务器要加强访问及接入审计策略，避免无关的人员可以访问服务器，若服务器被未指定的网段访问则服务器应该能够向管理员发出报警邮件。在业务相关节点增加安全监控设备和安全审计设备，对访问服务器的人员访问进行安全审计以便可以在发生安全攻击后有效的快速溯源。针对车联网核心业务网络按照资产重要度合理制定网络架构，对相关业务进行安全域的划分后，进行分级防护。防止单点被攻击后发生可以串联影响危害到其他服务器或者业务。另外在相关业务平台管理上需要进一步规范，针对不相关的业务、端口不应暴露在公网。平台以及管理员的用户口令等敏感信息进行统一管理。加大力度检查合规性配置等安全。建议TSP 平台可参考OWASP Web、Mobile 等安全开发标准进行开发。

3 车联网系统整体安全建议

经过全面对车联网系统安全分析，发现TSP 平台存在的比较高危的风险。通过手机APP 的安全漏洞可以横向的获取到其他车辆的敏感信息，PIN 码绕过、越权修改用户资料等逻辑漏洞会对用户账号安全造成极大威胁。如果将密码爆破和PIN 码绕过修改手机号两个漏洞组合利用，可以批量获取大量车联网用户账号的控制权，进而横向批量控制其他汽车。建议逐一进行风险点的修改加固和堵截。对于易整改，好加固的风险点进行一一检查和修复。

3.1 开展车联网安全测试工作

简单的安全问题会对车联网用户以及整个车辆网业务造成很严重的威胁。由于整个车联网系统中TBOX 部分有着重要作用，它承载着车联网整体的网络出口的介质，车内所有的数据都会经过TBOX 传输到整车厂的TSP 平台。同时，车机系统也是车联网系统重要的组成部分，车机系统承载着用户娱乐以及反馈车身状态的功能，车机一旦开放过多与车身交互的权限就无形中暴露出更多的安全风险。综上所述，建议针对TBOX 和车机系统进行一次专项的安全评估，以便于发现相关未知的安全风险，加强整体车联网系统的安全健康度。

3.2 制定和梳理对应开发文档

安全开发设计文档以及安全问题收集可以对车联网系统起到安全引导的作用，以便于在后期产品开发可以规避一些常见的安全漏洞和风险。节约后期漏洞整改成本，这样做的好处可以解决很多的测试人力成本经理，提高相应的软件开发的效率。

3.3 安全运营平台

车联网信息安全是一件长期持续的事情，建议进行信息安全方面的运营，对在网的车载系统进行实时的监控检测防护，全面的发现安全风险，保障汽车信息安全。加强安全设备和安全管控系统部署后一定程度上可以保证车联网就安全稳定运行，同时对业务车联网安全漏洞有效监测，周期的安全测试和全面监测保证车联网出现漏洞或被入侵时及时响应确保车联网安全可靠运行。在对车联网业务上线后进行构建安全防护平台，保证车联网业务的安全开展。

4 总结

车联网系统安全防护是一项较为复杂和系统的工作。在实际运用中，以上方法并不是独立的。不会因为几次测试就可以解决所有的安全风险，建议从以上述几方面进行科学有效设计开发、管理、运维和监控监管并且提高对相关供应商的安全标准要求，保障新车车辆在SOP 前的安全，避免后期市场，存在车辆盗取或大批量被攻击的风险。

当前，国内外对车联网安全技术的研究和应用都还处于起步阶段，如何将车联网安全技术纳入整车开发应是今后研究的重要方向。