車載終端信息安全威脅與防范

掃IC網小龍

隨著車聯網的迅速發(fā)展，車載終端的應用越來越廣泛，也增加了對各種信息安全威脅的暴露，形成了針對車載終端功能特點的安全需求。筆者從多個角度分析了車載終端所面臨的各種信息安全威脅，總結了信息安全需求，并提出相應的技術方法措施。

1、車載終端的業(yè)務功能及相應的信息安全需求

車載終端的出現和普及是為駕駛人員和乘客提供更便利的使用和更愉悅的體驗，因此功能也十分豐富，并且在不斷增加。目前的車載終端主要包括以下幾項功能：

(1)基本車況收集顯示

這類功能起步較早，早期車況信息包括胎壓、油量、水箱溫度以及車外溫度等參數，在傳統(tǒng)的儀表盤中都會顯示。新興的電動汽車也會顯示電量信息。當智能車載終端廣泛應用后，這些信息會集中顯示在車載終端的顯示屏上，用戶有統(tǒng)一的操控界面，提升用戶體驗。

(2)遠程操作

包括遠程開鎖、遠程發(fā)動車輛、遠程開啟空調等應用。這些應用通常和網絡相結合，使用者通過手機APP或者提供相應服務的Web頁面，遠程對車輛進行操作，大大提升了方便性。

(3)求助與遠程救援

同樣是通過網絡完成。目前，大量車輛已經內置了T-Box系統(tǒng)，系統(tǒng)集成了SIM卡，可以連接運營商網絡，將車輛各ECU中存儲的狀態(tài)系統(tǒng)上傳到TSP平臺，供維修人員參考診斷。很多T-Box提供一鍵救援業(yè)務，系統(tǒng)自動完成包括診斷、定位車輛等多項任務，提升了處理緊急問題的效率。

(4)導航

是汽車Infotainment系統(tǒng)的主要功能。實際使用時，導航應用會連接網絡，以獲取實時的路況信息。連接網絡的方式可以使用車輛使用者用手機提供的Wi-Fi熱點，也可以通過內置的SIM卡直接接入蜂窩網絡。

(5)車內娛樂

這類應用已逐步走向網絡化，下載、在線收看等多種方式的普及，給車輛使用者帶來了更好的用戶體驗。為了提高視頻的清晰度和流暢性，車載終端硬件的圖像處理能力也在逐步提升。

(6)自動駕駛

自動駕駛是個熱門應用，從自動泊車開始，駕駛者對車的操控在減少，開車變得越來越簡單，越來越放松。目前，已經有自動駕駛的汽車通過實際道路檢測，但是這種技術還需要一定的時間投入才能正式大規(guī)模商用。

在自動駕駛過程中，車輛收集大量道路信息，車身周圍人與物體的位置信息，根據這些信息與車輛的速度方向、交通管理規(guī)定等信息進行運算，這要求車載終端具有足夠的計算能力和實時性。隨著車車通信、車路通信的發(fā)展，車輛收集和運算的信息量將進一步增加，對車載終端處理能力的要求也越來越高。

功能的豐富導致系統(tǒng)復雜度的增加，包括在芯片、傳感器、移動互聯操作系統(tǒng)、通信設備及通信服務等方面的協同發(fā)展。整體網絡架構的復雜化，增加了車輛對各種攻擊的暴露，信息安全需求也變得更加重要和緊迫。信息安全根本屬性中的保密性、完整性、可用性、可認證性和可審計性，在車載終端這一具體應用領域，呈現出不同的優(yōu)先級。

車載終端對訪問和使用的認證需求尤為突出——能夠確保信息被正確的人使用，下達命令的是具備相應權限的正確用戶等。換言之，惡意攻擊者能否破壞車載終端的安全防護，肆意向車輛電子電氣系統(tǒng)各ECU下發(fā)各種指令，威脅到車輛正常使用者的安全，是車載終端設計和實現時必須要考慮的信息安全首要問題。

與可認證性相比，完整性也是信息安全各屬性中，相對重要的一方面。傳輸的信息和指令一旦被篡改，會導致與授權用戶意圖不同，甚至完全相反的操作，發(fā)生信息安全和涉及人身安全的嚴重事件。

可用性對于依賴車載終端的行車應用也是需要保護的安全屬性。很多攻擊在不熟悉車輛系統(tǒng)的漏洞時，往往最先攻擊的是可用性。在擾亂系統(tǒng)的正常運行后，尋找安全薄弱環(huán)節(jié)，進行深度突破。

保密性是信息安全屬性的基礎。大多數攻擊通常從嗅探開始，獲取到用戶傳輸的明文信息或者信號，包括用戶名、密碼等，了解用戶使用的應用。破壞保密性，不僅侵犯隱私，同時也為其它攻擊方式提供方便。

可審計性是信息安全工作的基礎。只有信息安全事件可以審計，才能發(fā)現出現的問題并及時進行處理，避免問題擴大或者更加嚴重。

2、車載終端所面臨的信息安全威脅分類

2.1按照對車載終端信息安全屬性的破壞進行分類

如上文所述，車載終端的信息安全屬性包括機密性、完整性、可用性、可認證性和可審計性。有的威脅針對車載終端的機密性，收集用戶數據，導致隱私泄露;有的威脅破壞完整性，有的甚至同時破壞信息安全幾個屬性。本文按照對車載終端信息安全屬性的破壞對威脅進行分類，有針對性地一一進行介紹(見表1)。





(1)竊聽

最基本的威脅，是其它攻擊方式的基礎。車載終端與云端的連接用來傳輸用戶大量隱私數據，例如行車數據、車輛狀態(tài)信息等會在網絡中被嗅探。對于車內網絡，當車載終端接入到汽車總線后，CAN總線上明文傳輸的各種控制指令和系統(tǒng)信息被攻擊者竊聽的風險增加。攻擊者一旦獲取的車載智能終端的控制權，很容易獲取所連接總線上傳輸的信息。

(2)偽造

由于缺少對數據的認證，攻擊者可以向車載終端注入感染病毒的代碼或者可能導致堆棧溢出的代碼，或者未授權的指令，對車載終端操作系統(tǒng)、應用和車內ECU進行任意操作。

(3)阻斷

云端向汽車發(fā)送的信息和指令，可能被攻擊者在網絡層面進行干擾，而不能正常到達車載終端。而車載終端一旦被非法控制，攻擊者可以屏蔽CAN網絡的通信網關轉發(fā)的信息，從而實施對車內電子電氣系統(tǒng)的阻斷攻擊。

(4)篡改

篡改攻擊是組合了竊聽、阻斷和偽造等多種方式，形成的比較復雜的攻擊。攻擊既可以篡改車輛駕駛者從云端接收的例如行車路線等相關數據，也可能是從車內各 ECU回送的狀態(tài)信息，影響駕駛員的正常判斷和操作;或者將車輛駕駛者向ECU發(fā)送的指令進行修改，干擾車輛正常行駛。其后果都十分嚴重。

(5)拒絕服務

惡意攻擊者通過控制車載終端，向其所連接的總線網絡發(fā)送大量偽造的數據包，占領總線資源，從而導致ECU拒絕服務。這是針對可用性的常見攻擊方式。