移动互联网+汽车信息安全问题及关键技术研究.pdf

版权声明 本 研究报告 版权属于中国通信标准化协会，并受法律保护。转载、摘编或利用其它方式使用本 研究报告 文字或者观点的，应注明“来源：中国通信标准化协会”。违反上述声明者，本协会将追究其相关法律责任。 研 究 报 告 要 点 在移动互联网与传统汽车两个产业结合的背景下形成了移动互联网汽车，传统汽车通过移动互联网技术的推动逐渐智能化，为汽车提供了更丰富的应用内容、更便利的使用方式、更安全的驾驶环境。但是近年来频频曝出黑客攻击汽车的事件，汽车信息安全直接影响到汽车的行车安全以及用户的数据隐私权益。为了深入了解互联网汽车安全进展，分析目前互联网汽车信息安全风险薄弱环节所在，并从信息安全的角度分析如何应对 安全 威胁 ，本研究课题首先调研了目前移动互联网 +汽车安全现状 及其趋势 ；然后建立移动互联网汽车信息安全 整体架构，分别从云端平台层、通信网络 层、 车载 终端层、 电子 电器系统层分别分析信息安全威胁 ；此外， 针对上述安全威胁，本文分别提出关键技术来防范上述安全威胁 ；最后 ， 调研了 目前移动互联网汽车信息安全标准 的 进展情况，并对移动互联网 汽车信息安全发展提出建议。 移动互联网应用和终端技术工作委员会（ TC11）移动互联网 +汽车子工作组 研究单位： 中国 信息通信研究院 、 阿里 巴巴 （中国）有限 公司 、 中国电信集团有限公司 、 中国 联合 网络通信 集团 有限公司、 高通 无线通信 技术（ 中国 ） 有限 公司 项目负责人： 桂丽、 夏骆辉 项目参加人： 罗璎珞、 杨正军 、方强、李洁、胡舜耕 、 杜志敏 、王妮娜 完成日期： 2018 年 8 月 29 日 目录 1. 概述 . 1 2. 规范性引用文件 . 1 3. 术语 . 1 4. 移动互联网汽车信息安全问题研究 . 2 4.1. 移动互联网汽车及其信息安全问题概述 . 2 4.2. 移动互联网汽车信息安全现状与趋势 . 3 5. 移动互联网汽车信息安全分析 . 4 5.1. 移动互联网汽车信息安全整体架构 . 4 5.2. 云端平台层信息安全分析 . 6 5.2.1. 服务平台信 息安全分析 . 6 5.2.2. 数据平台信息安全分析 . 8 5.2.3. 接口控制平台信息安全分析 . 8 5.3. 通信网络层信息安全分析 . 9 5.3.1. 公众通信网 络信息安全分析 . 9 5.3.2. 专用通信网络信息安全分析 . 10 5.4. 车载终端层信息安全分析 . 12 5.4.1. 车载终端应用安全分析 . 12 5.4.2. 车载终 端操作系统安全分析 . 12 5.4.3. 车载终端接口安全分析 . 13 5.4.4. 车载终端数据安全分析 . 13 5.5. 电子电器系统层信息安全分析 . 14 5.5.1. 总线系统安全分析 . 14 5.5.2. ECU 安全分析 . 16 6. 移动互联网汽车信息安全关键技术 . 17 6.1. 云端平台层信息安全关键技术 . 17 6.2. 通信网络层 信息安全关键技术 . 19 6.3. 车载终端层信息安全关键技术 . 20 6.4. 电子电器系统层信息安全关键技术 . 20 7. 移动互联网汽车信息安全标准进展 . 22 7.1. 国外标准进展 . 22 7.2. 国内标准进展 . 22 8. 移动互联网汽车信息安全发展建议 . 23 1 移动互联网 +汽车信息安全问题及关键技术研究 1. 概述 移动互联网汽车 作为移动互联网行业与传统汽车行业结合产生的跨行业新型产业近年来受到人们的关注。移动互联网汽车区别于传统的汽车，不仅仅包含用于维护汽车基本功能的传统内部网络，还包含用于移动通信的车外通信系统，用于为汽车提供车与车、车与道路设施、车与服务提供平台等通信服务。本研究课题以移动互联网汽车为研究主体，以移动互联网汽车的信息安全风险为研究对象，充分挖掘移动互联网汽车存在的信息安全风险隐患并探究应对信息安全风险的关键技术。 2. 规范性引用 文件 下列 文件对于本文件的应用是必不可少的。凡是 注 日期的引用文件，仅注日期的版 本适用于本文件。凡是 不注 日期的引用文件，其最新版本（ 包括 所有的修改单） 适用于 本文件。 1YD/T 2407-2013 移动终端安全能力技术要求（ TC11/WG3） 2YD/T 2408-2013 移动终端安全能力测试方法（ TC11/WG3） 3. 术语 3.1. 移动互联网汽车 汽车 与通信技术的结合，不仅包含用于维护汽车基本功能的传统内部网络，还包含用于移动通信的车外通信系统， 以及 为汽车 提供 车与车、车与道路设施 、 车与服务提供平台 等 通信服务。 3.2. 云端平台 Cloud Platform 通过 云 技术 ， 搭建 以汽车相关服务为内容的服务平台， 为 移动互联网 汽车 的驾驶员、乘客提供 与 行车活动相关的信息服务。 2 3.3. 通信网络 Communication Network 为 移动互联网汽车提供通信的网络，包括公众通信网络以及专用通信网络。公众 通信 网络主要采用蜂窝移动技术、 WiFi 技术或 卫星 通信技术；专用通信网络目前包括 LTE-V2X 和 DSRC两种 。 3.4. 车载 终端 On-Board Terminal 移动 互联网汽车子系统之一， 具有 数据 采集 、 存储 、处理 以及 通信等功能 的 模块， 为 移动互联网汽车提供网络服务功能 。 3.5. CAN 总线 Bus 通过 某种通信协议，将汽车内部 各个 ECU 节点 连接起来，从而形成一个汽车内部的局域网。ECU 节点 根据传感器信息以及总线上的信息 完成 预定的控制功能和动作，节点之间通信也是通过总线来完成。 3.6. 电子 电器系统 Electronic and Electrical System 移动 互联网汽车中通过总线串联 各个 ECU 的 系统， 主要 功能包括通过 ECU 采集 传感器数据通过 总线 进行 数据交互 ；通过 总线将指令发送给 ECU 以 执行相关操作。 4. 移动 互联网汽车信息安全 问题 研究 4.1. 移动互联网 汽车 及其 信息安全问题概述 2015 年可称为“移动互联网汽车”的元年，国内外众多 IT 汽车厂商纷纷致力于汽车智能化的发展，智能汽车成为新的行业风向标。但是汽车联网之后，车辆的信息安全风险也会随之增加。普华永道预测，全球车联网市场中汽车安全市场增长速度最快， 2015 年全球汽车安全市场规模将达到 138.6 亿美元，到 2020年这一数字将增长至 538.9 亿美元。 最近，多起智能汽车被黑客入侵事件让智能汽车网络安全成为公众关注的焦点。 2011 年至今，“白帽子”漏洞报告平台“乌云”上共提交有关车企网站的漏洞达 58 个，其中近一半的漏洞都可能造成网站用户的信 息泄露，背后涉及百万车主的信息安全 。 智能汽车信息控制系统 使用 的网络连接，隐含了系统漏洞，为安全埋下隐患。3 汽车内部各系统相互 连通 使外来攻击有了跨越系统的路径，而各系统间通信依靠的仍是创立于 20 世纪 80 年代的计算机协议，不具备验证消息来源的能力。原美国国防部高级研究项目局网络安全研究负责人派特尔扎特克说，汽车系统的整体安全水平可能比目前计算机操作系统的安全状况落后 15 或 20 年 。 4.2. 移动 互联网汽车 信息 安全 现状 与 趋势 20 年前，汽车安全局限于机械汽车钥匙、报警设备、机械（方向盘）锁，主要用于保护汽车不被盗窃或者 非授权使用。汽车攻击仅限于车辆盗窃，以及为数不多的篡改机械里程计和汽车行车记录设备。 然而，随着第一个远程车钥匙、强制电子诊断接口和 90 年代最初的车载电脑 的诞生 ，这种情形已经发生了深刻变化。从此以后，闭合的、机械的汽车系统变成负载的、数字的、联网的 、 基于软件的 IT 系统。一开始，非常简单的电子工具可以在不留下任何痕迹的情况下，操作里程表或者进行非法的芯片调谐。 随着安全技术的发展 ，汽车工业为免钥匙系统、电子防盗控制系统、汽车部件保护引入了更精细的安全解决方案，主要基于现代密码学。 现在，汽车使用更强大的数字娱乐 信息节目或者分布式安全功能，包含上 1亿行代码。 同时 ，无线接口用于与周围环境中的设备相连，此时，车已经变为一个几乎 24 小时在线的 移动 互联网节点。当今，汽车攻击者不仅仅局限于汽车偷窃或者非法修改汽车功能（如芯片 参数篡改 、操控英里数）。随着现在汽车无线互联的发展，攻击汽车获取乘客信息已成为可能（如位置跟踪、监听通信），攻击者也能渗透安全漏洞以对乘客的安全造成威胁。同时，更强有力的犯罪组织（如兜售伪造汽车、攻击售后市场业务）或者同行业者（如产业间谍）对于汽车的架构 以及 对其进行修改更感兴趣。 近年来 ，没有汽车制造商再否认新 信息安全威胁并且诸多安全问题的涌现也引发汽车制造商和互联网汽车行业的关注 。 2010 年 3 月美国德州爆发了汽车安全问题， 100 多辆汽车被远程控制无法正常行驶，并且汽车鸣笛无法操控，而引发上述问题的主要源于黑客入侵了汽车中基于网页的汽车锁车系统； 2011 年，汽车攻击试验逐渐涌现，汽车行业开始关注安全问题； 2013 年在 Defcon 大会上，黑客演示攻击丰田普锐斯和福特翼虎的控制系统，汽车安全问题再次引发人们关注； 2014 年 4 月， SyScan 360 会议设置了汽车安全相关的议题，汽车安全问题成为 关注的重点； 2014 年 7 月，韩国 POC 安全大会上，汽车安全问题引发关注；2014 年 11 月，在 GeekPwn 大会中，中国 KeenTeam 团队在全球首次实现了入侵特斯拉汽车，可利用微信，通过点击某微信页面上特斯拉画面，实现针对特斯拉4 的自动开门、后备箱，甚至“无人驾驶”情况下的突然倒车和熄火失控； 2015年 1 月，宝马“互联驾驶”系统被发现存在安全漏洞，黑客利用这一漏洞可在几分钟内无线开启汽车，影响 220 万辆车； 2015 年 2 月 6 日， Markey 发布了汽车安全报告，首次在 CBS 新闻中用 60 分钟时间报告了 16 个主要的汽 车制造商如何应对汽车正面临的被攻击问题，以及如何来保护汽车用户的信息； 2015 年 2月 9 日，通用 Onstar 车载通信系统存在漏洞，黑客可远程解锁汽车并启动发动机； 2015 年 2 月 18 日，一位年仅 14 岁的孩子已具备远程渗透汽车的能力 ； 2017年 据华盛顿邮报报道，维基解密根据对来自 CIA 的 8761 份文件的分析，得出了一个令人震惊的结论： CIA 已经在研究对汽车实施黑客攻击。维基解密声称这可能被用来执行“几乎无法令人察觉的暗杀行动” ， 维基解密引用了 CIA 2014年的会议记录，其中将“汽车系统”和“ QNX”列为 CIA 嵌入式装置分部 (Embedded Devices Branch) 的“潜在任务区域” 。 从 2010 年至 2017 年汽车安全问题发展趋势的演进遵循以下规律：首先，互联网汽车信息安全问题随着汽车的智能化、网络化日趋严峻；从被攻击的对象来看，电动车、高档车和低中档车均存在安全问题，无一幸免；对汽车进行攻击的技术门槛较低，这也意味着汽车被攻击的可能性较大。综上，汽车安全问题将伴随着移动互联网汽车的演进长期存在，只有从网络架构设计、关键技术探索、安全体系建设、安全产业建设以及汽车行业监管多方面关注互联网汽车安全问题 ，才能为用户提供一个安全可控的行车环境。 5. 移动 互联网汽车信息安全 分析 5.1. 移动互联网 汽车信息安全整体架构 移动 互联网汽车信息安全 可 分为云端平台层信息安全、 通信网络层信息安全 、车载 终端 层 信息安全 和电子电器 系统 层 信息安全 四 层。 云端平台层包括 服务 平台 ， 主要为移动互联网汽车提供 各种 服务，包括诸如通信呼叫服务、网络服务、应用服务、定位服务以及整车体检服务等 ，该平台 的安全 问题主要体现在攻击者可能对 不同 服务发起拒绝服务攻击 或者 发起中间人攻击 截获 、监听甚至篡改服务数据等 ； 数据平台 ，主要 为移动互联网汽车服务提供数据支撑， 包括 诸如地图数据中心、用户数据中心 、 车况数据中心和路况数据中心等 ， 该平台的安全问题主要体现在 数据 的泄露、丢失和劫持 ，进而 导致用户数据隐私无法得到保护、汽车 相关 数据的有效性和保密性无法得到保证 ； 接口 控5 制平台 ， 主要 是 为移动互联网 汽车服务提供 控制 接口， 支撑 服务 来 对汽车部件发送指令操作或读取车况等，包括汽车指令控制和车况读取控制等 ， 该平台的安全问题主要体现在 接口 的权限 管理 不当 ，导致 对 指令操作的篡改使汽车 操作 异常 。 云端平台层信息安全通信网络层信息安全车载终端层信息安全数据平台地图数据中心安全用户数据中心安全车况数据中心安全路况数据中心安全接口控制平台汽车指令控制安全车况读取控制安全服务平台公众通信网络蜂窝移动通信安全W i F i通信安全卫星通信安全专用通信网络LT E - V 2 X 通信安全 DS R C 通信安全终端应用安全通信呼叫服务安全网络服务安全应用服务安全定位服务安全整车体检服务安全终端操作系统安全终端接口安全终端数据安全电子电器系统层信息安全总线系统安全E C U 安全总线系统安全图 1 移动 互联网汽车信息安全架构示意图 通信网络层 包括 公众通信网络 ，主要是 通过 公众 的通信网络传输数据，包括蜂窝移动通信、 WiFi 通信和卫星通信 ， 该类 通信 网络与传统公众通信网络 所 面临的安全问题类似， 而且 目前也有通过家庭基站对互联网汽车发起攻击的案例发生；专用通信网络 则是 采用 专用 的通信体系进行通信，包括 LTE-V2X 或者 DSRC通信， 该类通信网络安全问题尚处于研究阶段，上述两种通信网络尚未 大规模 商用， 对于 其中可能存在的安全问题值得 探究 。 车载终端 层 包括车载 终端的应用安全、操作系统安全、接口安全 和 数据安全四个 方面 。 电子 电器系统层 是 指传统汽车安全，其中 包括总线系统安全 和 ECU 安全 两个 方面。 6 5.2. 云端平台 层 信息安全 分析 5.2.1. 服务 平台 信息安全 分析 云端服务平台可以提供给汽车驾驶员或乘客 的直接与行车活动相关的信息服务。随着移动互联网业务的发展，出现了越来越多的在车载终端上提供汽车信息服务的需求，比如：实时交通、在线地图、天气服务等。随着云服务的发展，越来越多的终端服务信息是由云端服务平台提供。 目前为车载智能终端提供云服务的公司众多，其中： 腾讯向用户推出车联 ROM、车联 APP以及通过微信、 QQ连接汽车的“ MyCar”三套产品体系，并向汽车从业者开放具备腾讯内容的服务 API。 百度 LBS开放平台提供了定位服务、地图服务、数据服务、出行服务、归集服务、分析服务等功能。并向大众开放百度交通运，提供给交通行业云服务，将海量交通数据进行存储并建立海量数据搜索模型。 阿里巴巴拥有 YunOS开放平台及高德地图开放平台，其中 YunOS开放平台提供了开发提速、质量保证、分发推广等功能，结合阿里云可以为车载终端提供云服务支持。高德地图开放平台将高德专业的定位、地 图、搜索、导航等能力，以 API、 SDK等形式向广大开发者免费开放，提供的能力包括地图、定位、搜索、路线规划、导航和室内地图等功能。 目前 针对云端提供的服务，各云服务提供商提供了一定程度上的安全措施，如身份认证机制、 WEB页面常见漏洞防护机制、访问权限控制机制、资源访问控制机制、应用容错能力，但对于车载智能终端云服务来说，由于提供的服务将与车辆行驶安全相关，黑客的攻击手段也会与针对传统移动智能终端的方式有一定差异，同时，鉴于行业内已有对身份认证机制等常见安全机制的研究，本研究报告将对采用了这些安全机制后车载 智能终端依然会面临的安全威胁进一步进行描述。 一 、 针对身份认证的安全威胁 1) 合法的车载智能终端跨权限访问云服务平台的资源、内容，导致用户数据、汽车业务数据的泄露。 2) 暴力破解威胁。 3) 非法访问登录页面威胁。 4) 非法的车载智能终端冒用合法用户的身份鉴别信息访问云服务平台的资源、内容，导致用户数据、汽车业务数据的泄露。