车联网网络安全架构

2022-05-10李慧娟张文翠

汽车实用技术 2022年8期

李慧娟，李岩，张文翠

（中汽数据（天津）有限公司智能网联部，天津 300000）

随着汽车市场保有量的不断升高，交通拥堵、事故频发的问题日益凸显。车联网技术做为提高交通效率与安全性的重要手段，成为了汽车行业发展的重点与热点。车联网是以车辆为感知对象，综合应用智能感知、信息处理、无线通信等关键技术，实现由单车智能到车联网生态的转变，汽车行业的信息安全问题也从单车安全演变为车联网网络安全。

安全是车联网产业发展的前提和保障，只有构建覆盖车联网各防护对象、全产业链与全生命周期的的安全体系，完善安全技术能力和相应管理机制，才能有效识别和抵御安全威胁、化解安全风险，进而确保车联网健康有序发展。本文将从网络层次、防护对象、保障体系三个维度构建车联网网络安全架构，解决车联网行业面临的网络攻击风险。

1 车联网网络安全架构

如图1所示，网络层次是从网络分段的角度进行划分，包括车辆外部设施、车辆通讯接口、车辆路由模块、车辆底层关键电子控制单元（Electronic Control Unit, ECU）四层。不同网络层次中所涉及的安全问题即防护对象可概括为五个方面：硬件安全、系统安全、数据安全、应用安全及网络安全。针对五大安全防护对象，可通过采取风险评估、检测评估、态势感知、应急处置四大手段构建网络安全保障体系，实现车联网网络安全的管理。

图1 车联网网络安全架构

2 车联网网络层次

如图2所示，从网络分段的角度，车联网网络分为四个层次，由内而外，依次为ECU、车辆路由、车辆通讯接口与车辆外部设施。

图2 车联网网络层次

车辆关键ECU是车联网的神经末梢，主要由车辆内部具有感知、执行能力或网络连接功能的组件构成，如车载终端设备（Telematics BOX, TBOX）、车载信息娱乐系统（In-Vehicle Infotain- ment, IVI）、车载单元（On Board Unit, OBU）、车身控制器、高级驾驶辅助系统（Advanced Driving Assistance System, ADAS）感知系统等。

车辆路由指用于实现车辆内部各车载网络的连接以及与接入设备的连接功能的部件，如网关、域控制器等。

车辆通讯接口指连接车辆与其外部环境的各种车载接入设备、组件、网络协议等，其连接方式可以是有线或无线的，包括近距离无线通讯（Near Field Communication, NFC）、汽车故障诊断系统（On Board Diagnostics, OBD）、无线网络、蓝牙、蜂窝通信接口/直连通信接口（LTE-Uu/PC5）等。

车辆外部设施指车联网中除车辆以外的其他主体，涵盖车辆外部所有的元素，包括云服务平台、移动终端、路边设施等。

3 车联网网络安全防护对象

在车联网网络层次中涉及的车内、车外设备面临的安全问题可归结为硬件安全、系统安全、数据安全、通信安全、应用安全，这五大安全问题成为了车联网网络安全的防护对象。

硬件安全是指各种车载设备、路测设施的安全，例如TBOX、IVI、各类传感器硬件等。目前面临的主要安全问题有数据读取、接口暴露、存储安全等。黑客可以通过调试口直接访问设备文件系统，修改里面的数据和配置文件，极大威胁了车辆安全。保障硬件安全的防护措施包括隐藏调试接口、使用加密芯片保护核心加密算法、增加访问权限控制等。

系统安全面临的安全风险主要包括：系统提权攻击、缓冲区溢出、中间人劫持攻击、敏感数据窃取、越权访问等。保障系统安全的防护措施包括：从源码层面，通过源码静态检测等方式，减少安全漏洞、关键组件系统加固、可信程序加载、安全启动、敏感数据加密等。

数据安全威胁存在于数据采集、数据传输、数据存储、数据使用、数据迁移、数据销毁、备份与恢复等全生命周期的各个阶段。保障数据安全的防护措施包括：基于统一管理框架，以数据防泄漏为基础，通过深度内容分析和事务安全关联分析技术来识别、监视和保护静止、移动以及使用中的数据，确保敏感数据的合规使用；利用数据安全网关实现黑白名单、高危操作风险识别、用户访问权限控制等功能，阻断高风险行为，提高对数据访问的可控度。

图3 车联网通信场景

如图3所示，车联网的通信包含了车云通信、车人通信、车路通信、车车通信及车内通信。车云、车人、车路及车车的通信主要依赖于基于蜂窝通信的车用无线通信技术，由于LTE-Uu/PC5无线接口的开放性，车与外界的通信面临的安全风险主要包括假冒终端、伪基站、信令/数据篡改、敏感信息泄露等，可采用基于公钥证书的公钥基础设施机制确保通信设备间的安全认证与安全通信。车内通信是以车载终端、ADAS传感系统、执行控制装置为主体的车内通信网络，主要涉及控制器局域网络、FlexRay等通信协议，面临的安全风险主要包括录制重放、泛洪攻击、数据明文传输、通信数据篡改等，可采取身份校验、OBD隔离防火墙、安全芯片加密等防护措施。

应用安全主要包括移动应用软件安全和车载端应用软件安全，主要面临的安全风险包括源码反编译、二次打包、中间人攻击风险、恶意代码植入、权限访问控制等，可通过移动应用加固、移动应用安全检测、密钥白盒等技术确保应用软件的安全。

4 车联网网络安全保障体系

为全面保障车联网网络安全，除针对不同的网络安全问题采取行之有效的防护措施外，应从管理角度建立安全保障体系。全方位的车联网网络安全保障体系由开发阶段的风险评估、检测评估以及运行阶段的态势感知、应急处置构成。

风险评估做为车联网网络安全工程的起点，已成为智能网联汽车网络安全功能开发的基础和前提，其中EVITA与HEAVENS是常用的风险评估方法。EVITA方法主要参考ISO/IEC 15408 (7)和ISO 26262，对车联网每个网络安全目标基于攻击树进行威胁识别与威胁分类，确定信息安全开发优先级，合理分配研发资源。与EVITA方法相比，HEAVENS方法是一套完整的针对汽车电子电气系统的风险评估流程，主要的过程是基于安全要素进行威胁分析、风险评估、安全需求，结构化和系统化得发现潜在威胁。

检测评估是对车联网网络安全五大防护对象的安全检测，主要利用的核心技术：硬件安全分析、源代码及固件分析、固件逆向、渗透测试、移动应用安全检测等。车联网中所有设备在投入使用前均需经过安全检测评估，从源头减少安全漏洞，确保车联网网络安全。

态势感知、应急处置属于后处理手段。态势感知是一种动态洞悉安全风险的能力，通过在网络、中间件、主机中部署日志程序，获取车端、移动终端、路测设施、云平台、移动应用的日志信息，结合资产分析、威胁分析及安全检测结果，利用大数据分析技术，输出当前的风险态势。应急处置是对即将或已出现的网络安全事故进行应急响应处理，避免安全事故带来危害人民生命或影响社会稳定的问题。实现的方式主要包括，通过建立汽车专有的漏洞数据库，对已知的汽车漏洞进行分类分级处理，针对每一个漏洞制定应急解决措施；关注并收纳信息安全领域的重大安全漏洞，制定针对汽车的安全解决方案。