目录
一、车联网功能组件
车域网
IVI
TBOX
ECU
TSP
APP
通信及密码特殊指标
车端特殊指标
APP特殊指标
测试用例
一、车联网功能组件
车联网是以汽车智能化、网联化为基础,广泛应用新一代通信技术、人工智能技术构建起的新型基础设施。在整体架构上,车联网包括云端应用、通信设施、智能网联车等“云-管-端”三部分。“云”是云端应用,一般是以TSP为主的云端服务,提供了车辆管理、控制、娱乐等功能;“管”是通信设施,实现了云端应用、车机、TBOX、APP及车与车之间的互联,一般会借助4G、5G、WIFI、蓝牙等方式;“端”是指智能网联车,是整个车联网的核心组成部分,包括车端网络架构、TBOX、ECU、IVI、TPMS、APP等设施。
车联网基于“云-管-端”的架构,以智能化、网联化为显著特征,除面对SQL注入、远程命令执行、拒绝服务攻击等传统网络安全威胁,也面临着其特有的安全风险。针对各类威胁,车联网系统一般会采取多种安全防护措施,如访问控制、入侵检测、身份认证、PKI认证、混淆加固。
从系统防护的角度来看,车联网需进一步划分功能组件,以识别不同组件及系统整体安全风险。基于“云-管-端”的系统架构,车联网又可以分为车域网、IVI、TBOX、ECU、TPMS、TSP、APP等组件。
车域网
车域网实现了汽车内部不同ECU、TBOX、IVI的互联互通,保障了指令控制、状态监测等功能的正常实现。
车域网通信协议一般包括CAN总线、LIN总线以及WIFI、蓝牙等无线通信方式。CAN总线及LIN总线两种协议作为开放的标准协议,由于在设计之初缺乏安全机制设计,存在较多安全问题,黑客可以通过对CAN总线数据篡改、伪造、重放、防洪等方式实现车辆控制或造成各ECU及功能异常,由此可能带来较为严重的车辆安全事故。
IVI
车载信息娱乐系统(简称IVI)是基于车载总线和互联网服务,提供综合信息服务的智能多媒体设备。鉴于智能化的提升,IVI一般能够实现辅助驾驶、故障检测、车辆信息、车身控制、导航、娱乐、应用安装等一系列工作。
IVI丰富的功能及接口为攻击者提供了较大的攻击面。攻击者可以利用各种手段实施攻击,包括针对软件的攻击和针对硬件的攻击。针对软件的攻击主要是对IVI操作系统及其部署的应用软件实施攻击以获取更高系统权限;针对硬件的攻击,主要是对IVI的主板、硬件接口、芯片、引脚等进行固件提取,通过逆向分析手段挖掘系统漏洞以获得更高权限。
TBOX
TBOX是车载通信网关,借助4G、5G、蓝牙、WIFI等通信方式实现了车与TSP、APP的通信,主要提供通信、远程控制、远程查询及安防服务等功能,是车辆智能化、网联化的核心组件。为保障通信安全,TBOX一般会采取PKI体系实现通信加密。而攻击者一般会试图通过对TBOX固件的逆向分析或者通过TBOX硬件接口,破解密钥及算法,进而实现对通信及指令的篡改,严重影响行车安全。
ECU
电子控制单元(Electronic Control Unit,简称ECU)是汽车内部实现车辆状态控制、记录及改变的单片机或芯片。随着汽车智能化的发展,汽车内部一般会有数十个ECU单元,不同的ECU控制不同的组件,并通过CAN总线进行互联通信,共同完成车辆控制。
ECU固件一般可以被提权进行逆向分析,同时ECU发送到总线上的数据包只有简单标识,无鉴别认证措施。恶意攻击者可以对ECU实施多种类型的攻击,主要包括ECU数据伪造及篡改、ECU数据包重放、ECU烧录恶意程序、虚假信息伪造。
TSP
汽车远程服务提供商(Telematics Service Provider,简称TSP)在车联网行业中处于核心地位,整合了整车厂、车载设备制造商、网络运营商及内容提供商。目前,TSP一般提供导航、娱乐、安防、车辆管理、功能升级、维修保养等功能,保存有大量用户敏感信息和数据。
TSP平台一般存在SQL注入、框架漏洞等常见软件安全漏洞,面临着数据泄漏、密钥泄漏、DDOS、固件升级篡改、个人隐私数据泄露等安全风险。恶意攻击者一旦对TSP平台成功实施入侵,将导致同一平台下大量车辆遭受极大的安全威胁。相关企业需要对TSP平台开展全面的风险识别与分析,基于“一个中心,多重防御”的思路建立起来相对完善网络安全防护体系,而且部分机制与措施需要结合智能网联车、APP通盘考虑,如密码体系、日志审计、监测预警体系等。
APP
随着智能手机的普及,各智能网联车车企均已开发了与车辆相匹配的APP,提供了车辆控制、车辆管理、娱乐社交等功能,实现了远程开锁、空调开关、车门开关等功能。
不同车企的APP基本会通过4G或者5G网络与TSP平台进行通信,同时又借助蓝牙、WIFI等近场通信手段与车端TBOX进行交互,实现车辆控制。攻击者通常会通过对APP进行逆向分析获取APP与TSP,APP与TBOX的通信协议及指令,了解TSP平台的接口及参数信息,对TSP实施入侵,同时通过近场通信方式入侵车辆,严重威胁车辆安全。
二、车联网安全测试策略
车联网安全以保障乘员安全及周边环境安全为目标,不同的组件需要针对自身所面临的安全威胁采用整体的安全防护策略。云端系统应重点关注应用安全、系统安全、数据安全等,“管”端安全以通信安全及边界安全为主,车端安全关注于硬件安全、通信安全、升级安全及供应链安全,APP安全则关注于应用安全、数据安全、运行安全及隐私安全,针对具体如图所示。
车联网网络安全策略
车联网系统一般会包括TSP系统、TBOX、IVI、APP、ECU、TPMS等组件,在测评时一般需要选择安全通用要求,对位于云平台的TSP系统需要选择云计算安全扩展要求,但对TBOX、IVI、APP、ECU、TPMS的测评则需要进一步细化测评指标要求。结合安全威胁分析结果及业务安全需求,初步形成了针对各模块的特殊测评指标。
通信及密码特殊指标
车联网系统TSP与APP、TBOX、IVI之间涉及控制指令、固件升级包的传输,通信信道安全要求较高,需要对通信双方身份、通信信息加密,同时整个平台需要建立在统一的PKI体系开展身份认证及鉴权,形成了如下特殊指标要求:
通信及密码特殊指标
通信及密码特殊指标(部分)
车端特殊指标
智能网联车是车联网网络安全的核心。从等保测评的角度来看,车联网系统的网络边界可以扩展到IVI及TBOX,但从功能组件上看,车联网系统还包括车域网、车内ECU及TPMS等组件。结合车端的安全防护需求,编制了车端组件特殊测评指标要求,如下所示:
车端特殊指标
车端特殊指标(部分)
APP特殊指标
随着智能网联车的普及,用户一般可以通过APP进行车辆状态查看、控制。APP的安全性对车辆安全显得尤为重要。针对APP的安全需求,形成了如下特殊指标要求:
APP特殊指标
APP特殊指标(部分)
测试用例
针对车联网测评指标及安全威胁,结合现有的测试手段及测试工具,形成了一套有效的车联网系统等级测评测试用例库,部分测试用例如下:
安全测试用例(部分)
为验证测评指标的适用性,选取了几个车联网系统开展了等保测评工作。尽管每个系统功能及架构存在一定的差异,从总体逻辑上来看,各个系统基本符合“云-管-端”三层架构。实际测评对象选取时,将TSP、APP作为重要的测评对象,同时,选取TBOX、IVI作为车端测评对象。在指标选取方面,通信及密码特殊指标、车端特殊指标及APP特殊指标,基本反映了车联网系统基本的安全需求。在某车联网系统等保测评过程中,对APP控车功能的分析后,通过对数据报文的篡改,实现了对任意车辆的泊车及唤车。
