1、 車聯網網絡安全車聯網網絡安全白皮書白皮書 （20172017 年年） 中國信息通信研究院中國信息通信研究院 20172017年年9 9月月 前前 言言 近年來，隨著汽車保有量的持續增長，道路承載容量在許多城市已達到飽和，交通安全、出行效率、環境保護等問題日益突出。車聯網作為信息化與工業化深度融合的重要領域，對促進汽車、交通、信息通信產業的融合和升級， 對相關產業生態和價值鏈體系的重塑具有重要意義。伴隨車聯網智能化和網聯化進程的不斷推進，車聯網網絡安全事件出現，用戶生命財產安全受到威脅，車聯網安全已成為關系到車聯網能否快速發展的重要因素。當前，正處于車聯網發展關鍵時期，結合國際網絡安全整體形勢

2、，強化車聯網網絡安全保障已成為當務之急。 我院聯合中國汽車技術研究中心、 上海安吉星信息服務有限公司、中國第一汽車股份有限公司技術中心、上海觀安信息技術有限公司、北京匡恩網絡科技有限責任公司、北京奇虎科技有限公司、北京啟明星辰信息安全技術有限公司，共同推出車聯網網絡安全白皮書（2017版） 。本白皮書主要從車聯網網絡安全現狀、威脅分析、防護策略等方面進行分析探討，并展望車聯網網絡安全趨勢，希望與業界分享，共同推動我國車聯網產業的安全健康發展。 目目 錄錄 一、車聯網網絡安全概述 . 1 （一）車聯網基本概念 . 1 （二）網絡安全視角下的車聯網 . 2 二、車聯網網絡安全現狀 . 6 三、車聯

3、網網絡安全威脅分析 . 9 （一）智能網聯汽車安全威脅分析 . 9 （二）移動智能終端安全威脅分析 . 15 （三）車聯網服務平臺安全威脅分析 . 15 （四）車聯網通信安全威脅分析 . 16 （五）車聯網數據安全和隱私保護威脅分析 . 18 四、車聯網網絡安全防護策略 . 20 （一）智能網聯汽車安全防護策略 . 20 （二）移動智能終端安全防護策略 . 23 （三）車聯網服務平臺安全防護策略 . 24 （四）車聯網通信安全防護策略 . 25 （五）數據安全防護策略 . 27 五、車聯網網絡安全展望 . 28 縮略語 . 31 中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 1 一

4、、車聯網網絡安全概述 （一）車聯網基本概念（一）車聯網基本概念 車聯網指借助新一代信息和通信技術，實現車內、車與人、車與車、車與路、車與服務平臺的全方位網絡連接，提升汽車智能化水平和自動駕駛能力，構建汽車和交通服務新業態，從而提高交通效率，改善汽車駕乘感受，為用戶提供智能、舒適、安全、節能、高效的綜合服務。 車聯網以“兩端一云”為主體，路基設施為補充，包括智能網聯汽車、移動智能終端、車聯網服務平臺等對象，涉及車-云通信、車-車通信、車-人通信、車-路通信、車內通信五個通信場景，如圖 1 所示。 圖 1 車聯網應用場景 車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 2 車-云通信：智

5、能網聯汽車通過蜂窩網絡、衛星通信等與車聯網服務平臺通信，傳輸車輛數據，接受服務平臺下達指令。 車-車通信：智能網聯汽車通過 LTE-V2X、802.11p 與臨近車輛進行信息傳遞。 車-路通信：智能網聯汽車通過 LTE-V2X、802.11p、射頻通信（RFID）等技術與路基設施進行通信。 車-人通信： 智能網聯汽車通過 WiFi、 藍牙或蜂窩移動通信技術與用戶的移動智能終端進行信息傳遞。 車內通信：智能網聯汽車內部電子器件之間通過總線等方式進行信息交互。 車聯網是 “互聯網+” 戰略落地的重要領域， 對推動汽車、 交通、信息通信業的轉型升級具有重要意義。 但我國車聯網總體發展還處于起步階段，

6、業務形態以“云” 、 “管” 、 “端”為主，車-車通信和車-路通信目前還處于研發測試階段，為此后續安全分析主要圍繞車-云通信和車內通信場景展開。 （二）網絡安全（二）網絡安全視角下的視角下的車聯網車聯網 本書所述網絡安全從廣義理解，就是：使用一切手段保障車聯網網絡暢通無阻的運行，保證其盡可能少的被攻擊。 車聯網作為物聯網在交通領域的典型應用， 內容豐富， 涉及面廣?；凇霸啤?、 “管” 、 “端”三層架構，網絡安全視角下的車聯網如圖 2所示。 中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 3 圖 2 網絡安全視角下的車聯網 從防護對象來看， 車聯網的網絡安全應重點關注智能網聯汽

7、車安全、移動智能終端安全、車聯網服務平臺安全、通信安全，同時數據安全和隱私保護貫穿于車聯網的各個環節， 也是車聯網網絡安全的重要內容。 1.智能網聯汽車安全 網絡安全視角下的智能網聯汽車如圖 3 所示。 主要涉及車內總線、各電子控制單元（Electronic Control Unit，ECU） 、車載診斷（On-Board Diagnostic，OBD）接口、T-BOX 以及車載綜合信息系統（In-Vehicle Infotainment ，IVI）等的安全風險。車內網絡一般是基于總線的通信，包括 CAN 總線、LIN 總線等；ECU 相當于汽車各個系統的大腦，控制著如發動機、變速箱、車燈等部

8、件的運行，通過與車內總線相連，各 ECU 之間進行信息傳遞；車載診斷接口 OBD（On-Board Diagnostic） 是外接設備與車內總線進行通信的入口， 通過 OBD 接口，可以通過統一診斷服務 UDS（Unified Diagnostic Services）向 ECU車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 4 發送讀寫指令；T-BOX 作為車內與外界進行信息交換的網關，實現汽車與車聯網服務云平臺之間的通信； 車載綜合信息系統 IVI 可以提供實時路況、導航、信息娛樂、故障檢測和輔助駕駛等功能，為乘客帶來新的駕乘體驗。 圖 3 智能網聯汽車 智能網聯汽車安全從防護對象

9、來看，包括芯片安全、外圍接口安全、傳感器安全、車鑰匙安全、車載操作系統安全、車載中間件安全和車載應用軟件安全。其中芯片安全涉及電子控制單元 ECU、車載操作系統等的芯片安全；外圍接口安全包括車載通訊模塊 T-BOX、車載診斷系統接口 OBD 等安全； 傳感器安全包括攝像頭和雷達等的傳感器安全。 2.車聯網移動智能終端安全 車聯網移動智能終端以智能手機等終端設備為主， 用于實現人與智能網聯汽車、車聯網服務平臺等的交互，例如車主通過移動智能終中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 5 端可以發送遠程控制指令到云端服務器， 云端服務器再將車主的控制指令發送給智能網聯汽車，實現對汽車

10、的遠程控制等功能，例如遠程開啟空調、車輛預熱等。 從防護對象來看， 車聯網移動智能終端安全應重點關注終端系統安全和 App 安全。 3.車聯網服務平臺安全 車聯網服務平臺是提供車輛管理與信息內容服務的云端平臺， 負責車輛及相關設備信息的匯聚、計算、監控和管理，提供智能交通管控、遠程診斷、電子呼叫中心、道路救援等車輛管理服務，以及天氣預報、信息資訊等內容服務。車聯網服務平臺是車聯網數據匯聚與遠程管控的核心，從安全防護對象來看，應重點關注車聯網服務平臺的平臺系統、控制接口、WEB 訪問接口、賬戶口令、數據保護等問題。 4.車聯網通信安全 車聯網的目的是實現車內、車與人、車與車、車與路、車與服務平臺

11、之間的信息通信。主要涉及車內網絡、車際網絡和車載移動互聯網絡。 其中， 車內網絡包括CAN總線、 LIN總線等總線通信， 以及WIFI、RFID、藍牙、紅外線、NFC 等無線通信方式。車際網絡實現智能網聯汽車之間、智能網聯汽車與路基設施的通信，目前，直連模式的車際網絡主要涉及 LTE-V2X 和 IEEE 802.11p 這兩種通信方式。車載移動互聯網絡包括 2G/3G/4G/5G、衛星通信等無線通信方式。 車聯網通信安全從安全防護對象角度，應重點關注車內網絡、車車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 6 際網絡和車載移動互聯網絡等安全。 5.數據安全和隱私保護 車聯網數據安

12、全從安全防護對象來看，涵蓋從數據采集、數據傳輸、開發利用、數據存儲、數據備份與恢復、數據刪除等環節，包括但不僅限于用戶信息、用戶關注內容、汽車基本控制功能運行數據、汽車固有信息、汽車狀態信息、軟件信息和功能設置信息等安全。用戶隱私信息包括車主信息（如姓名、身份證、電話） 、車輛靜態信息（如車牌號、 車輛識別碼） 、 車輛動態信息 （如位置信息、 行駛軌跡） ，以及用戶使用習慣等。 二、車聯網網絡安全現狀 （一）（一）網絡安全事件網絡安全事件顯現顯現，用戶生命用戶生命財產安全受到財產安全受到威脅威脅 車聯網網絡攻擊風險加劇，人身安全受到威脅。目前，已出現針對車聯網的網絡攻擊事件，部分案例中攻擊者

13、可控制汽車動力系統，導致駕駛者的生命安全遭到威脅。2015 年，克萊斯勒的 Jeep 車型被國外的安全專家入侵，利用 Linux 系統漏洞，遠程控制汽車的多媒體系統，進而攻擊 V850 控制器，并對其固件進行修改，獲取遠程向 CAN總線發送指令的權限，達到遠程控制動力系統和剎車系統的目的，可在用戶不知情的情況下降低汽車的行駛速度、關閉汽車引擎、突然制動或者讓制動失靈1。2016 年，同款 Jeep 車型在被物理接觸的情況 1http:/ 中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 7 下，被攻擊者通過 OBD 接口注入指令，控制車輛的動力系統,可操控方向盤和剎車系統，嚴重威脅駕駛

14、員人身安全2。 黑客破解車聯網遠程控制賬戶， 車主財產安全受到威脅。 2016年，來自挪威安全公司 Promon 的專家在入侵用戶手機的情況下，獲取特斯拉 App 賬戶用戶名和密碼， 通過登錄特斯拉車聯網服務平臺可以隨時對車輛進行定位、追蹤，并解鎖、啟動車輛，最終導致車輛被盜，造成用戶的財產損失3。 （二）車聯網產業鏈長、（二）車聯網產業鏈長、防護環節眾多防護環節眾多，網絡安全問題，網絡安全問題復雜復雜 車聯網作為物聯網在智能交通領域的典型應用，其產業鏈覆蓋“兩端一云” ，主要圍繞安全、智能出行和信息娛樂，涵蓋元器件供應商、設備生產商、整車廠商、軟硬件技術提供商、通信服務商、信息服務提供商等。

15、 由于車聯網產業鏈較長， 且網絡安全防護對象多樣，安全防護環節眾多， 不可避免存在產業鏈某一環節， 如元器件供應商，無法在產品中實現足夠的安全防護措施，導致存在薄弱環節。同時，車聯網還面臨網絡安全需求復雜， 網絡安全防護手段建設缺乏針對性和系統性等問題。 2http:/ 3https:/ 車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 8 （三）安全企業、整車廠商加快（三）安全企業、整車廠商加快安全布局，但安全布局，但尚未尚未深入深入合作合作 目前，國內以比亞迪、上汽等為代表的整車廠商已開始車聯網網絡安全工作部署，并取得一定進展。在網絡安全技術研發方面，企業內部初步形成了跨部門的合作

16、機制； 以安全為基準的全新生產線逐步替代傳統的生產線， 不斷加強車聯網全生命周期各環節的網絡安全管理。而以梆梆安全、奇虎 360、匡恩網絡為代表的安全企業在安全防護技術研發和產品創新方面也取得初步成效，除了提供汽車衛士、汽車總線安全評估工具等軟硬件產品外，還提供滲透測試、安全評測服務；比亞迪、蔚來等整車廠商也探索使用騰訊科恩實驗室提供的車聯網安全解決方案。但整體來看，整車廠商和安全企業的合作以服務采購和黑盒測試為主， 雙方深度合作進行安全方案設計和安全方案評估的案例有限。 （四）車聯網安全發展勢頭良好，但難以快速改善（四）車聯網安全發展勢頭良好，但難以快速改善 當前車聯網產業發展迅速， 車聯網

17、網絡安全已得到相關管理部門和業界的普遍關注，相關安全政策、安全標準研究制定工作正在積極推進，車聯網安全關鍵技術和產品創新得到鼓勵和支持，伴隨相關工作成果的逐步落地，車聯網安全發展的局面將逐步形成。但現階段車輛安全技術仍在過渡中， 部分車聯網安全技術研發和應用推廣還需時日，生產線升級換代和安全產品部署應用需要一定周期，以 ISO 中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 9 262624/SAE J30615等為指導原則的開發流程落地實施還有一段距離。此外，存量汽車的淘汰周期較長，如何加強存量汽車的網絡安全能力目前尚無成熟解決方案。 三、車聯網網絡安全威脅分析 本章從智能網聯汽車

18、、移動智能終端、車聯網服務平臺、網絡通信、數據安全和隱私保護五方面出發，對車聯網網絡安全威脅進行分析。 （一）智能網聯汽車安全威脅分析（一）智能網聯汽車安全威脅分析 1. T-BOX 提供無線網絡通信接口，是逆向分析和網絡攻擊的重要對象 T-BOX是車載智能終端， 主要用于車與車聯網服務平臺之間通信。一方面，T-BOX 可與 CAN 總線通信，實現指令和信息的傳遞；另一方面，其內置調制解調器，可通過數據網絡、語音、短信等與車聯網服務平臺交互，是車內外信息交互的紐帶。T-BOX 主要面臨幾方面的安全威脅：一是固件逆向，攻擊者通過逆向分析 T-BOX 固件，獲取加密算法和密鑰，解密通信協議，用于竊

19、聽或偽造指令；二是信息竊取，攻擊者通過 T-BOX 預留調試接口讀取內部數據用于攻擊分析， 或者通過對通信端口的數據抓包，獲取用戶通信數據。 4定位于汽車電氣和電子系統安全的一項國際標準 5信息物理汽車系統網絡安全指南 車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 10 2. CAN 總線是汽車控制中樞，是攻擊防護的底線 CAN 總線是由德國博世公司研發，遵循 ISO11898 及 ISO11519,已成為汽車控制系統標準總線。CAN 總線相當于汽車的神經網絡，連接車內各控制系統,其通信采用廣播機制，各連接部件均可收發控制消息，通信效率高，可確保通信實時性。CAN 總線安全風險在于

20、：一是通信缺乏加密和訪問控制機制，可被攻擊者逆向總線通信協議，分析出汽車控制指令，用于攻擊指令偽造；二是通信缺乏認證及消息校驗機制，不能對攻擊者偽造、篡改的異常消息進行識別和預警。鑒于CAN 總線的特性，攻擊者可通過物理侵入或遠程侵入的方式實施消息偽造、拒絕服務、重放等攻擊，需要通過安全隔離來確保智能網聯汽車內部 CAN 網絡不被非法入侵。 3. OBD 接口連接汽車內外，外接設備成為攻擊來源 OBD 是車載診斷系統接口，是智能網聯汽車外部設備接入 CAN 總線的重要接口， 可下發診斷指令與總線進行交互， 進行車輛故障診斷、控制指令收發。目前 OBD 和 CAN 存在三種安全級別的交互模式：一

21、是OBD 接口設備對 CAN 總線數據可讀可寫， 此類安全風險最大； 二是 OBD接口設備對 CAN 總線可讀不可寫；三是 OBD 接口設備對 CAN 總線可讀，但讀取時需遵循特定協議規范且無法修改 ECU 數據，如商用車遵循 CAN 總線 SAE J1939 協議，后兩者安全風險較小。 OBD 接口面臨的安全風險有三類：一是攻擊者可借助 OBD 接口，破解總線控制協議，解析 ECU 控制指令，為后續攻擊提供幫助；二是中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 11 OBD 接口接入的外接設備可能存在攻擊代碼，接入后容易將安全風險引入到汽車總線網絡中，對汽車總線控制帶來威脅；三是

22、 OBD 接口沒有鑒權與認證機制,無法識別惡意消息和攻擊報文。目前較多接觸式攻擊均通過 OBD 接口實施，2016 年 BlackHat 大會上，查理米勒和克里斯瓦拉塞克演示了通過 OBD 接口設備，攻擊汽車 CAN 總線，干擾汽車駕駛。 此外， OBD 設備還可采集總線數據、 偽造 ECU 控制信息，造成 TCU 自動變速箱控制單元等系統故障。 4.ECU 事關車輛行駛安全，芯片漏洞及固件漏洞是主要隱患 ECU 是汽車微機控制器，也被稱為“汽車的大腦” ，它和普通的電腦一樣,由微處理器（CPU） 、存儲器（ROM、RAM）等部件組成。ECU 的微處理器芯片是最主要的運算單元，其核心技術掌握在

23、英飛凌、飛思卡爾、恩智浦、瑞薩等外資企業手中，技術架構存在一定差異。目前汽車 ECU 數量眾多，可達幾十至上百個，類型包括 EMS 發動機管理系統、TCU 自動變速箱控制單元、BCM 車身控制模塊、ESP 車身電子穩定系統、BMS 電池管理系統、TPMS 輪胎壓力監測系統等。且隨著汽車技術的發展和功能的增加，汽車 ECU 的數量逐年增加。 ECU 作為微處理器，主要面臨如下安全威脅：一是 ECU 芯片本身可能存在設計漏洞，可能存在認證、鑒權風險。如第一代 iPhone 3GS就曾經存在硬件漏洞， 可用于越獄提權且無法進行軟件修復； 二是ECU固件應用程序可能存在安全漏洞，可能導致代碼執行或拒絕

24、服務。車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 12 2015 年通用汽車 TCU 軟件模塊就爆出過 memcpy()緩沖區溢出漏洞6；三是 ECU 更新程序可能缺乏簽名和校驗機制，導致系統固件被改寫，修改系統邏輯或預留系統后門。 例如美國發生過攻擊者利用 ECU 調試權限修改固件程序，解鎖盜竊車輛的案例。 5. 車載操作系統基于傳統 IT 操作系統，面臨已知漏洞威脅 車載操作系統是管理和控制車載硬件與車載軟件資源的程序系統，目前主要有 WinCE、QNX、Linux、Android 等。其中 QNX 是第一個符合 ISO 26262 ASILD 規范的類 Unix 實時操作系

25、統，占據較大市場份額。 車載操作系統面臨如下傳統網絡安全威脅： 一是系統繼承自傳統操作系統，代碼遷移中可能附帶移植已知漏洞，例如 WinCE、Unix、Linux、Android 等均已出現過內核提權、緩沖區溢出等漏洞，由于現有車載操作系統升級較少，也存在類似系統漏洞風險；二是系統存在被攻擊者安裝惡意應用的風險,可能影響系統功能，竊取用戶數據；三是車載操作系統組件及應用可能存在安全漏洞，例如庫文件、Web程序、FTP 程序可能存在代碼執行漏洞，導致車載操作系統遭到連帶攻擊。 6. IVI 功能復雜攻擊面廣，面臨軟硬件攻擊 IVI 車載信息娛樂系統是采用車載芯片，基于車身總線系統和互 6http

26、:/ 中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 13 聯網形成的車載綜合信息處理系統，通常具備輔助駕駛、故障檢測、車輛信息采集、車身控制、移動辦公、無線通信等功能，并與車聯網服務平臺交互。IVI 附屬功能眾多，常包括藍牙、WIFI 熱點、USB 等功能，攻擊面大、風險多。 IVI 面臨的主要威脅包括軟硬件攻擊兩方面。一是攻擊者可通過軟件升級的方式，在升級期間獲得訪問權限進入目標系統；二是攻擊者可拆解 IVI 的眾多硬件接口，包括內部總線、無線訪問模塊、其他適配接口（如 USB）等，通過對車載電路進行竊聽、逆向等獲取 IVI系統內信息，進而采取更多攻擊。 7. OTA 將成為主流

27、功能，也成為潛在攻擊渠道 遠程升級 （Over-The-Air， OTA） 指通過云端升級技術， 為具有連網功能的設備以按需、易擴展的方式獲取系統升級包，并通過 OTA 進行云端升級，完成系統修復和優化的功能。遠程升級有助于整車廠商快速修復安全漏洞和軟件故障，成為車聯網必備功能。其面臨的主要威脅包括： 一是攻擊者可能利用固件校驗、 簽名漏洞， 刷入篡改固件，例如 2015 年，查理米勒和克里斯瓦拉塞克攻擊 JeepCherokee 車聯網系統時，就利用了瑞薩 V850ES 芯片固件更新沒有簽名的漏洞，刷入自制固件，進而控制汽車控制；二是攻擊者可能阻斷遠程更新獲取，阻止廠商用于修復安全漏洞。 8

28、. 傳感器是輔助駕駛的基礎，面臨干擾和拒絕服務攻擊 車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 14 輔助駕駛需要傳感器采集周邊環境數據， 并進行計算分析為汽車自動駕駛、緊急制動等功能服務。目前傳感器主要包括超聲波雷達、毫米波雷達和攝像頭等信息采集設備中所用到傳感器。其中，超聲波雷達頻率低，主要對近距離干擾源進行探測；毫米波雷達探測距離可到 50-150 米。從安全風險來看，對于超聲波雷達，存在外來信源欺騙攻擊，易受到相同波長的信號干擾導致識別出不存在的障礙物，干擾或直接影響行車安全;對于毫米波雷達，可能面臨噪聲攻擊而導致無法檢測障礙物，使傳感器停止工作；對于高清攝像頭，存在強光

29、或紅外線照射致盲的風險， 進而影響行車安全或干擾自動駕駛汽車的整車控制。目前 360 已多次在安全大會上演示通過信號干擾、強光致盲等干擾雷達和攝像頭工作，進而影響特斯拉汽車的正常行駛。 9.多功能汽車鑰匙流行，信號中繼及算法破解威脅較大 車鑰匙目前大多采用無線信號和藍牙技術。當前面臨的威脅有：一是攻擊者通過信號中繼或者信號重放的方式， 竊取用戶無線鑰匙信號，并發送給智能汽車，進而欺騙車輛開鎖。例如新西蘭奧克蘭發生過攻擊者通過使用黑客工具 RollJam 截取車主鑰匙信號， 盜竊車輛的案例7。二是尋找汽車鑰匙解決方案漏洞，進行攻擊。例如 HCS 滾碼芯片和 keeloq 算法曾爆出安全漏洞，對于

30、滿足特定條件的信號，汽車會永久判斷成功并開鎖。 7 http:/ 中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 15 （二）移動智能終端安全威脅分析（二）移動智能終端安全威脅分析 1. 移動 App 成為車聯網標配，應用破解成為主要威脅 移動 App 及遠程控制已經成為眾多車企的選擇， 具備遠程開啟空調、門鎖，遠程啟動車輛等功能，目前通用、比亞迪等汽車廠商均已有相關產品。 車聯網 App 因其廣泛應用及易于獲取等特點成為黑客攻擊的熱點，尤其是 Android 及 iOS 應用逆向技術的成熟，越來越多的攻擊者選擇通過調試或者反編譯應用來獲取通信密鑰、 分析通信協議，并結合車聯網遠程控

31、制功能偽造控制指令干擾用戶使用， 例如進行遠程鎖定、開啟天窗等操作。 2. 移動智能終端系統安全間接影響車聯網安全 移動智能終端是車聯網重要組成之一， 對車聯網安全的威脅體現在兩方面。一是移動智能終端時常接入車內 WiFi 局域網，可作為攻擊智能網聯汽車的跳板。 目前移動智能終端無論是 Android 還是 iOS，二者都存在被攻擊植入惡意代碼的風險。在連接車內熱點的情況下，可作為跳板進一步對 IVI 和車載操作系統進行攻擊， 滲透到智能網聯汽車內部， 威脅汽車行駛。 二是移動智能終端可能存有客戶敏感數據，被攻擊后存在泄露風險，如車聯網服務平臺賬戶、密碼、認證憑證等信息，攻擊者若控制移動智能終

32、端，可進一步獲取賬戶密碼，登錄服務平臺控制影響汽車安全。 （三）車聯網服務平臺安全威脅分析（三）車聯網服務平臺安全威脅分析 1.車聯網服務云平臺面臨傳統的云平臺安全問題 車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 16 車聯網服務平臺一般基于云計算技術， 也容易將云計算本身的安全問題引入到平臺中,主要包括如下幾方面安全威脅：平臺層面存在傳統的操作系統漏洞威脅及虛擬資源調度問題；應用層面，服務平臺同樣面臨 SQL 注入、跨站腳本安全攻擊；訪問控制方面，面臨用戶鑒權、賬戶口令安全等問題；此外，還包括拒絕服務攻擊等其他網絡安全風險。 2.弱身份認證使得車聯網管理平臺暴露給攻擊者，面臨網

33、絡攻擊 車聯網管理平臺負責車輛控制和敏感數據的傳輸， 操作權限較高，與車輛通信應基于互信原則。在基于公共網絡通信的條件下，需通過較強的訪問控制策略來實現通信互信， 確保僅有安全可信的用戶才能訪問管理平臺，但目前較多管理平臺實現的訪問控制策略偏弱，僅通過車機編碼或固定憑證的方式進行認證， 無法滿足較強的訪問控制需求，使得攻擊者仍能通過偽造憑證的方式訪問車聯網管理平臺，并進行網絡攻擊。 （四）車聯網通信安全威脅分析（四）車聯網通信安全威脅分析 1. 通信協議破解和中間人攻擊成為車-云通信主要威脅 車-云通信在車聯網安全中占據重要地位，成為車聯網攻擊的主要方式，面臨的主要威脅是中間人等攻擊。攻擊者通

34、過偽基站、DNS劫持等手段劫持 T-BOX 會話，監聽通信數據，一方面可以用于通信協中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 17 議破解，另一方面可竊取汽車敏感數據，如汽車標識 VIN、用戶賬戶信息等。此外，在破解協議基礎上，結合會話劫持，攻擊者可以基于中間人偽造協議而實施對汽車動力系統的非法控制。 2015 年 1 月來自德國 ADAC 安全研究員基于中間人對寶馬ConnectedDrive 進行攻擊，通過偽基站逆向了通信控制協議后偽造控制指令解鎖車門8，引起了人們的關注。 2. 惡意節點成為車-車通信威脅，可信通信面臨挑戰 在未來車聯網應用場景中，直連模式的車-車通信將成

35、為路況信息傳遞、路障報警的重要途徑。車聯網中網聯汽車面臨節點頻繁接入與退出，現階段 LTE-V2X 網絡接入與退出管理中，不能有效實施對車輛節點的安全接入控制， 對不可信或失控節點的隔離與懲罰機制還未建立完善，LTE-V2X 可信網絡環境的安全隱患突出。一旦存在惡意節點入侵，可通過阻斷、偽造、篡改車-車通信或者通過重放攻擊影響車-車通信信息的真實性，破壞車-車通信消息的真實性，影響路況信息的傳遞。 3. 協議破解及認證是車聯網短距離通信主要威脅 伴隨多種無線通信技術和接口的廣泛應用， 車輛節點需要部署多個無線接口，實現 WiFi、藍牙、802.11p、LTE-V2X 等多種網絡的連接。 短距離

36、通信中的協議破解及認證機制的破解已成為當前的主要威 8https:/ 車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 18 脅。通過實現 WiFi、藍牙等認證口令破解，攻擊者可以通過 WiFi 或藍牙接入到汽車內部網絡， 獲取汽車內部數據信息或者進行滲透攻擊。 （五）車聯網數據安全和隱私保護威脅分析（五）車聯網數據安全和隱私保護威脅分析 車聯網中的數據來源于用戶、ECU、傳感器、IVI 及操作系統、第三方應用及車聯網服務平臺等，種類包括用戶身份信息、汽車運行狀態、用戶駕駛習慣、地理位置信息、用戶關注內容等敏感信息，在車輛保險、用戶行為分析等方面具備很大價值，將是未來車聯網安全重點，主

37、要面臨如下安全風險： 1.傳輸和存儲環節存在數據被竊風險 目前， 車聯網相關數據主要存儲在智能網聯汽車和車聯網服務平臺上，存儲和傳輸方案主要由整車廠商、車聯網服務商設計實現。由于數據的采集、傳輸、存儲等環節沒有統一的安全要求，可能因訪問控制不嚴、數據存儲不當等原因導致數據被竊。如汽車端數據可能被OBD 外接設備非法讀取、IVI 系統數據可能被第三方應用越界讀取、網絡傳輸數據可能被攻擊者嗅探或遭受中間人攻擊、 車聯網服務平臺端數據可能被非法和越權訪問。數據被竊通常與業務設計、技術實現有關，將是車聯網安全防護的重要內容。 2.數據過度采集和越界使用成為隱私保護主要問題 車聯網信息服務所采集的如車主

38、身份信息（如姓名、身份證、電話） 、車輛靜態信息（如車牌號、車輛識別碼） 、車輛動態信息（如位置信息、行駛軌跡） ，以及用戶的駕駛習慣等，都屬于用戶個人隱私中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 19 信息。目前由整車廠商、車聯網服務平臺商采集和利用。根據我國個人信息保護原則， 個人信息的搜集需遵循 “知情同意” 、 “最小必要” 、“目的限定”三大原則，但由于車聯網屬于新興行業，管理還在完善中，對于哪些數據可被采集、數據如何利用、是否可以分享給第三方等關鍵問題，目前還需要細化管理要求，因此目前數據采集和使用還存在侵犯用戶隱私的風險。 3.數據跨境流動問題成為威脅國家安全潛在

39、隱患 車聯網數據包含道路、 地理等信息， 涉及國家安全， 應加強管理，目前車聯網數據匯總于車聯網服務平臺， 存在云平臺數據跨境流動管理問題，主要體現在兩個方面：一是存在境外車聯網服務商跨界服務隱患。我國部分汽車屬于境外進口汽車，其網絡服務及后臺服務可能由境外通信企業和整車企業提供，通信數據及車聯網數據傳往境外，可能泄露國家地理位置信息，危害國家安全。二是存在境內外云平臺數據共享隱患。我國整車廠大多為合資企業，車聯網服務以境內云平臺為主，但其外資公司通常負責全球車聯網運營，境內平臺與境外平臺是否互聯，是否存在數據傳輸共享，是國家數據管理需要關注的重點內容。 此外，隨著新能源汽車應用，以充電樁為代

40、表的車聯網外部設備也存在數據竊取、篡改、非法訪問等風險，鑒于其屬于外部設備，此處未將其納入分析。 車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 20 四、車聯網網絡安全防護策略 車聯網復雜的應用場景和技術實現使其存在較多安全風險， 需要采取綜合手段來防護，為此我院經過多輪調研，總結了汽車企業、通信企業、互聯網企業及安全企業的代表性防護措施，以供行業參考借鑒。 （一）智能網聯汽車安全防護策略（一）智能網聯汽車安全防護策略 智能網聯汽車安全是車聯網網絡安全的核心， 也是企業安全防護的重點，主要責任主體是整車廠商，目前以“黑盒防護”為主線，逐步建立以安全生命周期管理為基礎， 以軟硬件安全

41、防護為保障的防護體系，抵御攻擊破解和逆向分析，保護智能網聯汽車安全。 1.整車廠商采用私有防護手段，隱藏技術實現增加攻擊難度 目前，不同整車廠商采用的車輛技術方案不同，通常為自行研發或者采用 Tier 1 供應商提供的解決方案，系統的技術實現、接口和通信協議也存在差異，主流的設備如 T-Box、IVI 和車載操作系統自行定制、二次開發較多，不同產品采用的硬件架構、操作系統均有差異。各整車廠習慣隱藏技術細節，關閉調試接口，增加攻擊者分析難度，將保護對象藏在“黑盒”中保護起來。 2.安全開發生命周期管理成為智能網聯汽車網絡安全防護的必要手段 中國信息通信研究院 車聯網網絡安全白皮書（2017 年）

42、 21 安全開發生命周期管理成為當前智能網聯汽車網絡安全防護的統一做法，ISO 26262汽車安全完整性水平為汽車安全提供了生命周期管理理念， 涉及管理、 開發、 生產、 經營、 服務、 報廢等環節。美國 SAE 也于 2016 年發布 SAE J3061信息物理汽車系統網絡安全指南 ，作為汽車網絡安全方面的過程框架，把網絡安全融入車輛研發、生成、測試、安全響應等整個生命周期，為識別和評估網絡安全威脅提供指導。日本信息處理推進機構提出了 IPACar 模型，按照汽車的生命周期（策劃、開發、使用、廢棄） ，整理出相應的信息安全對策。 比亞迪、上汽等整車廠商已初步形成了內部網絡安全工作機制，將安全

43、開發生命周期相關的信息安全管理部門納入智能網聯汽車網絡安全管控體系中，進行了風險管控，涵蓋汽車規劃、設計、研發等各個階段。規劃階段，對智能網聯汽車建設的安全需求進行梳理，編制智能網聯汽車網絡安全的可行性方案；系統設計階段，通過網絡安全分析確定并設置系統的網絡安全等級， 落實 “最小特權” 原則、 “深度防御”原則；系統開發階段，開展滲透測試、安全需求的認證、信息安全評估等工作； 產品系統發布后， 完成后續產品的網絡安全規劃、監控與事件響應，并完成相關的輔助管理。 3.硬件安全芯片成為抵御攻擊、保障智能網聯汽車安全可控的載體 通過硬件安全芯片強化智能網聯汽車安全防護已成為未來重要車聯網網絡安全白

44、皮書（2017 年） 中國信息通信研究院 22 方向，當前相關企業已研發出硬件安全模塊（Hardware Security Module，HSM） ，將加密算法、訪問控制、完整性檢查嵌入到汽車控制系統，以加強 ECU 的安全性，提升安全級別。目前汽車安全芯片的主流設計規范有 SHE （Secure Hardware Extension） 和 EVITA （E-safety vehicle intrusion protected applications） 等， 前者主要是寶馬、通用大量采用，后者主要由歐洲其他的車企參與。SHE 主要以提供AES-128 密碼計算為主。EVITA 架構中，通過在

45、 ECU 的 CPU 中配套部署密碼協處理器 HSM，負責執行所有密碼計算，包括加解密、完整性校驗、數字簽名等。EVITA 分為完整實現、中等實現和輕量級實現三個級別，不同級別實現的加密算法種類、處理和存儲單元訪問控制策略上有所區別?；?EVITA 架構的 HSM 可實現安全引導、認證和加密等功能。 目前硬件防護主要提供的安全功能包括：安全引導、安全調試、安全通信、安全存儲、完整性監測、信道防護、硬件快速加密、設備識別、 消息認證、 執行隔離等， 這些措施可有效的加強 ECU 的安全性，不過硬件安全部署成本高，目前尚未廣泛應用。 4.軟件防護手段成為智能網聯汽車安全防護有效補充 在智能網聯汽

46、車硬件安全模塊尚未規模部署的情況下， 軟件安全防護成為保障智能網聯汽車安全的替代方案。主流防護手段包括：一是搭建自有 OTA 更新服務，提供智能網聯汽車操作系統、固件、應用等軟件服務的遠程升級更新，進行功能更新或安全修復；二是軟件形中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 23 式實現防火墻及訪問控制功能，對智能網聯汽車進出流量進行控制、過濾，典型做法是在 T-BOX 中配置安全策略，限定網絡可訪問地址、通信端口、通信協議，加強網絡訪問控制。部分車型通過部署 CAN 總線網關，對多路總線間的通信指令進行過濾，加強控制指令管理；三是在 IVI 系統中加入簽名認證服務，實行可信管理

47、，僅允許運行經過可信簽名的應用，避免第三方應用對車載操作系統造成危害；四是通過軟件方式實現加密， 包括固件加密、 通信內容加密、 數據存儲加密、數字簽名等功能，防范固件逆向、竊聽和數據竊??；五是部分安全廠商基于自身業務研發車聯網安全檢測類工具及車載衛士類應用， 對車載系統進行惡意軟件安全檢測； 六是針對傳感器干擾等拒絕服務攻擊，在傳感器控制系統中增加智能監測和冗余處理機制， 防止惡意用戶干擾造成傳感器功能異常。 眾多軟件安全防護功能一定程度上增加了攻擊者遠程攻擊的難度，提升了智能網聯汽車網絡安全防護水平。 （二）移動智能終端安全防護策略（二）移動智能終端安全防護策略 鑒于移動應用風險較大， 采

48、取應用加固和滲透測試成為車聯網終端應用防護的主要手段。 移動應用基于通用架構， 安全逆向技術成熟，常成為攻擊者進行協議分析和發起網絡攻擊的突破口。 目前較多整車廠商已與梆梆安全、奇虎 360、騰訊科恩等安全公司開展合作，一方面通過代碼混淆、加密、反調試等方式對車聯網移動應用進行加固，另一方面在應用正式發布前， 邀請安全團隊對車聯網應用開展安全滲車聯網網絡安全白皮書（2017 年） 中國信息通信研究院 24 透測試，尋找漏洞并進行修復，借助安全廠商的力量提升移動智能終端應用的安全。 （三）車聯網服務平臺安全防護策略（三）車聯網服務平臺安全防護策略 車聯網服務平臺承載著控制指令下達、 數據匯聚存儲

49、的重要功能，目前防護手段主要有： 1.利用成熟云平臺安全技術保障車聯網服務平臺安全 當前車聯網服務平臺均采用云計算技術， 通過現有網絡安全防護技術手段進行安全加固，部署有網絡防火墻、入侵檢測系統、入侵防護系統、 Web 防火墻等安全設備， 覆蓋系統、 網絡、 應用等多個層面，并由專業團隊運營。如上汽和阿里合資成立斑馬智行有限公司，負責上汽乘用車云平臺運營，利用阿里云安全能力搭建可信云平臺。比亞迪將新能源云平臺搭建在私有云平臺上， 由集團內獨立業務部門運營，搭建相對安全的云平臺。 2.部署云平臺集中管控能力，強化智能網聯汽車安全防護能力 車聯網服務平臺功能逐步強化，已成為集數據采集、功能管控于一

50、體的核心平臺，并部署多類安全云服務，強化智能網聯汽車安全管理，具體包括：一是設立云端安全檢測服務，部分車型通過分析云端交互數據及車端日志數據， 檢測車載終端是否存在異常行為以及隱私數據是否泄露，進行安全防范。此外，云平臺還具備遠程刪除惡意軟件能力；二是完善遠程 OTA 更新功能，加強更新校驗和簽名認證，適中國信息通信研究院 車聯網網絡安全白皮書（2017 年） 25 配固件更新 （FOTA） 和軟件更新 （SOTA） ， 在發現安全漏洞時快速更新系統，大幅降低召回成本和漏洞的暴露時間；三是建立車聯網證書管理機制，用于智能網聯汽車和用戶身份驗證，為用戶加密密鑰和登錄憑證提供安全管理；四是開展威脅