中睿通信规划设计有限公司 广东广州 510630
摘要:近年来,互联网技术获得了巨大的发展与革新,各种各样的社区互联网络也应运而生,原本职能单一的汽车也配备了与其相对应的车联网,车联网应用在城市交通之间,数量庞大的车辆组成网络,利用信息技术收集与发布相应的信息,把每辆汽车当作一个最基本的神经元。为驾驶安全与高效提供了巨大的帮助。本文基于车联网信息安全测试技术分析及应用展开论述。
关键词:车联网;信息安全;测试技术分析及应用
引言
中国是人口大国,也是汽车消费大国。车联网产业是汽车、电子、信息通信、道路交通运输等多个行业深度融合的新型产业,是全球创新热点和未来发展的制高点。为全面实施“中国制造2025”,深入推进“互联网+”,推动相关产业转型升级,大力培育新动能,国家已经将发展车联网作为“互联网+”和人工智能在实体经济中应用的重要方面,各参与方积极进行技术与业务创新,为下一个行业浪潮的到来积极做准备。本文从车联网概念入手,对国内外车联网的发展现状进行了分析,让大家对车联网行业能够有一个初步而全面的认识。
1车联网的作用
a)更安全。据公安部交管局数据统计,我国汽车事故死亡率高达7.95%,远高于发达国家,每年交通事故致死6万人,占各类事故死亡人数78.8%。通过车联网的实时监控手段,售后服务中心、保险公司、交通管理部门等都可以通过网络实时得知车辆的方位以及状况。b)更高效。中国上班族每天路上花费时间全球第一,拥堵产生的时间、燃油和环境污染等损失已经达到城镇居民人均可支配收入的20%。车联网技术能够将车辆的位置信息反馈给云控制中心,系统进行分配疏导,自动为客户修正驾驶路线。c)更智能。智能汽车领域最重要的在于“信息交互”。它可以与人、设备、车厂及服务中心、第三方机构(购物中心、餐厅等)以及其他车辆进行信息交互,为车主的生活和出行提供便利。
2车联网的安全现状分析
近年来网络安全研究人员针对车联网的攻击测试案例,反映了车联网在应用中面临的巨大安全威胁:2013年召开的拉斯韦加斯黑客大会上,两位黑客演示了如何攻击丰田普锐斯和福特翼虎汽车的控制系统,从而实现包括高速行驶时突然制动、使车辆刹车失灵、猛打方向盘等一系列操作。2015年,两位安全研究人员演示了利用克莱斯勒公司JeepCherokee的车联网“Uconnect”功能的漏洞,远程入侵并控制目标车辆,自由操控汽车上的娱乐系统、雨刷、方向盘、引擎等。车联网络通过RFID、移动通信网(2G/3G/4G/5G)、WIFI等无线通信手段与云平台和手机APP相连,存在通讯信息暴露的安全风险。黑客通过信息数据规律,攻击车辆,控制车辆非法加速、减速、开门和关门等危险操作。传输信息加密势在必行。
3车联网的基本概念与功能
车联网的基本概念与定义主要是指:单个车辆上所携带的电子标签通过信息网络,将车辆的动态信息与周边情况收集整合,为需要帮助的车辆提供相应的信息与服务。其主要呈现出如下主要功能:(1)网络交互功能,安装车联网设备的车辆,可以利用车联网接入互联网节点,上传或获得相关的所需要的信息,利用互联网提供主要的服务。(2)车辆精准定位。车联网可以发送车辆的具体位置,与全球导航卫星系统提供的相对位置进行组合定位,为车主提供具有双重保障的精确位置。(3)保障行驶安全功能。具有车联网的车辆可以实时上传行驶速度与行驶状态,如在大数据处理中发现超速或行驶状态不佳,会进行相应的提示,如果遭遇危险情况可以进行一键报警,车联网可以最准确迅速地为警方提供车辆位置、事故情况等信息,为安全保障提供有力支撑。车联网还有众多功能,等待企业开发应用,为驾车提供便利。
4国家车联网产业标准体系建设指南
《国家车联网产业标准体系建设指南》将智能网联汽车标准体系框架定义为“基础”、“通用规范”、“产品与技术应用”、“相关标准”四个部分,形成14个子类。《国家车联网产业标准体系建设指南》中确定了智能网联汽车的标准体系,也明确了信息安全方面的通用规范类标准。车辆控制系统、车载终端、交通设施、外接设备等按照不同的用途,通过不同的网络通道、软件或平台对采集或接收到的信息进行传输、处理和执行,从而实现了不同的功能或应用。其中,功能安全和信息安全作为智能网联汽车各类产品和应用需要普遍满足的基本条件,贯穿于整个产品之中,是智能网联汽车各类产品和应用实现安全、稳定、有序运行的可靠保障。信息安全标准在遵从信息安全通用要求的基础上,以保障车辆安全、稳定、可靠运行为核心,主要针对车辆及车载系统通信、数据、软硬件安全,从整车、系统、关键节点以及车辆与外界接口等方面提出风险评估、安全防护与测试评价要求,防范对车辆的攻击、侵入、干扰、破坏和非法使用以及意外事故。
5数据的一致性和安全性
公钥和车辆信息的关联关系保存在Blockchain中,Blockchain的共识机制保证了车联网中所有实体记录数据的一致性。同时,由Blockchain数据结构默克尔树和MTP本身的性质可知,其中任何一个值的修改都会造成根值的变化,进而会改变区块的散列值。攻击者至少要占有50%以上算力的情况下,才能伪造出被篡改区块的所有区块。由于只需要计算若干次的SHA-256即可验证区块是否被篡改,想要伪造出被篡改区块的所有区块是不可能的。因此,Blockchain的特性保证了该方案中数据的一致性和安全性
6车联网信息安全测试验证及分析
为了验证前述提出的车联网信息安全测试方法的合理性和可行性,利用该测试方法对某款智能网联汽车网络架构、ECU、IVI、T-BOX、APP、无线通信和云平台7个系统进行整车信息安全测试研究。通过整车信息安全测试工作发现了该智能网联汽车存在若干安全漏洞,其中4个为严重漏洞:车载娱乐系统越权访问漏洞、总线拒绝服务攻击漏洞、微信小程序证书校验和中间人劫持攻击漏洞、微信小程序身份认证越权攻击漏洞;2个为中危漏洞:微信小程序数据传输未加密漏洞、车载娱乐系统端隐私泄露。利用上述安全漏洞对整车进行综合攻击,查看攻击者对智能网联汽车的各个系统的控制程度。一是利用渗透车机的方式先获取车机权限再结合DoS攻击达到对车辆各项功能的控制,即通过将车载娱乐系统越权访问漏洞与总线拒绝服务攻击漏洞相结合实现。攻击者可以利用网络调试端口的缺陷,通过Wi-Fi、蓝牙等方式渗透到车机内部,并以Root身份便可得到车机权限,然后在汽车CAN总线高频率地发送优先级高的数据帧,导致汽车辅助驾驶系统故障、仪表盘故障、转速表失效等,进而造成行驶过程中的重大人身安全事故。二是利用中间人劫持攻击漏洞,通过微信小程序远程控制汽车,即利用微信小程序证书校验和中间人劫持攻击漏洞来实现。由于微信小程序与服务器间通信未使用双向证书校验,攻击者可以通过伪造代理、DNS欺骗等手段获取正常用户的请求,并篡改伪造后发送给服务端,便可实现登录、远程控制汽车。待测试完成后,撰写相关测试报告并提交样车开发部门,对所述漏洞进行整改,提升了样车的信息安全性能。
结束语
车联网概念引申自物联网(IoT),全称为汽车移动互联网,是以车内网、车际网和车云网为基础,按照约定的通信协议和数据交互标准,在车与车、路、行人及互联网等之间,进行通信和信息交换的信息物理融合系统,是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络,是物联网与智能汽车的深度集成和应用,是信息化与工业化深度融合的重要领域。
参考文献
[1]武翔宇,赵德华,郝铁亮.车联网系统安全研究[J].汽车实用技术,2019(20):28-29.
[2]廖明阳,刘兴伟,马宏亮.智能网联汽车信息安全风控系统研究[J].计算机时代,2019(10):19-23.
[3]李聪聪.面向车联网信息安全问题的安全机制研究[D].北京交通大学,2019.
[4]叶平,郝铁亮,赵德华,张晓帆,黄旭玲.从车企的角度对车联网信息安全技术研究[J].汽车实用技术,2019(05):59-63.
[5]许彩霞.车联网信息安全的威胁及防护策略[J].信息通信,2018(07):191-192.