隨著車聯(lián)網的迅速發(fā)展，車載終端的應用越來越廣泛，也增加了對各種信息安全威脅的暴露，形成了針對車載終端功能特點的安全需求。筆者從多個角度分析了車載終端所面臨的各種信息安全威脅，總結了信息安全需求，并提出相應的技術方法措施。

　　1、車載終端的業(yè)務功能及相應的信息安全需求

　　車載終端的出現(xiàn)和普及是為駕駛人員和乘客提供更便利的使用和更愉悅的體驗，因此功能也十分豐富，并且在不斷增加。目前的車載終端主要包括以下幾項功能：

　?。?）基本車況收集顯示

　　這類功能起步較早，早期車況信息包括胎壓、油量、水箱溫度以及車外溫度等參數(shù)，在傳統(tǒng)的儀表盤中都會顯示。新興的電動汽車也會顯示電量信息。當智能車載終端廣泛應用后，這些信息會集中顯示在車載終端的顯示屏上，用戶有統(tǒng)一的操控界面，提升用戶體驗。

　　（2）遠程操作

　　包括遠程開鎖、遠程發(fā)動車輛、遠程開啟空調等應用。這些應用通常和網絡相結合，使用者通過手機APP或者提供相應服務的Web頁面，遠程對車輛進行操作，大大提升了方便性。

　?。?）求助與遠程救援

　　同樣是通過網絡完成。目前，大量車輛已經內置了T-Box系統(tǒng)，系統(tǒng)集成了SIM卡，可以連接運營商網絡，將車輛各ECU中存儲的狀態(tài)系統(tǒng)上傳到TSP平臺，供維修人員參考診斷。很多T-Box提供一鍵救援業(yè)務，系統(tǒng)自動完成包括診斷、定位車輛等多項任務，提升了處理緊急問題的效率。

　?。?）導航

　　是汽車Infotainment系統(tǒng)的主要功能。實際使用時，導航應用會連接網絡，以獲取實時的路況信息。連接網絡的方式可以使用車輛使用者用手機提供的Wi-Fi熱點，也可以通過內置的SIM卡直接接入蜂窩網絡。

　?。?）車內娛樂

　　這類應用已逐步走向網絡化，下載、在線收看等多種方式的普及，給車輛使用者帶來了更好的用戶體驗。為了提高視頻的清晰度和流暢性，車載終端硬件的圖像處理能力也在逐步提升。

　　（6）自動駕駛

　　自動駕駛是個熱門應用，從自動泊車開始，駕駛者對車的操控在減少，開車變得越來越簡單，越來越放松。目前，已經有自動駕駛的汽車通過實際道路檢測，但是這種技術還需要一定的時間投入才能正式大規(guī)模商用。

　　在自動駕駛過程中，車輛收集大量道路信息，車身周圍人與物體的位置信息，根據(jù)這些信息與車輛的速度方向、交通管理規(guī)定等信息進行運算，這要求車載終端具有足夠的計算能力和實時性。隨著車車通信、車路通信的發(fā)展，車輛收集和運算的信息量將進一步增加，對車載終端處理能力的要求也越來越高。

　　功能的豐富導致系統(tǒng)復雜度的增加，包括在芯片、傳感器、移動互聯(lián)操作系統(tǒng)、通信設備及通信服務等方面的協(xié)同發(fā)展。整體網絡架構的復雜化，增加了車輛對各種攻擊的暴露，信息安全需求也變得更加重要和緊迫。信息安全根本屬性中的保密性、完整性、可用性、可認證性和可審計性，在車載終端這一具體應用領域，呈現(xiàn)出不同的優(yōu)先級。

　　車載終端對訪問和使用的認證需求尤為突出——能夠確保信息被正確的人使用，下達命令的是具備相應權限的正確用戶等。換言之，惡意攻擊者能否破壞車載終端的安全防護，肆意向車輛電子電氣系統(tǒng)各ECU下發(fā)各種指令，威脅到車輛正常使用者的安全，是車載終端設計和實現(xiàn)時必須要考慮的信息安全首要問題。

　　與可認證性相比，完整性也是信息安全各屬性中，相對重要的一方面。傳輸?shù)男畔⒑椭噶钜坏┍淮鄹模瑫е屡c授權用戶意圖不同，甚至完全相反的操作，發(fā)生信息安全和涉及人身安全的嚴重事件。

　　可用性對于依賴車載終端的行車應用也是需要保護的安全屬性。很多攻擊在不熟悉車輛系統(tǒng)的漏洞時，往往最先攻擊的是可用性。在擾亂系統(tǒng)的正常運行后，尋找安全薄弱環(huán)節(jié)，進行深度突破。

　　保密性是信息安全屬性的基礎。大多數(shù)攻擊通常從嗅探開始，獲取到用戶傳輸?shù)拿魑男畔⒒蛘咝盘枺ㄓ脩裘?、密碼等，了解用戶使用的應用。破壞保密性，不僅侵犯隱私，同時也為其它攻擊方式提供方便。

　　可審計性是信息安全工作的基礎。只有信息安全事件可以審計，才能發(fā)現(xiàn)出現(xiàn)的問題并及時進行處理，避免問題擴大或者更加嚴重。

　　2、車載終端所面臨的信息安全威脅分類

　　2.1按照對車載終端信息安全屬性的破壞進行分類

　　如上文所述，車載終端的信息安全屬性包括機密性、完整性、可用性、可認證性和可審計性。有的威脅針對車載終端的機密性，收集用戶數(shù)據(jù)，導致隱私泄露；有的威脅破壞完整性，有的甚至同時破壞信息安全幾個屬性。本文按照對車載終端信息安全屬性的破壞對威脅進行分類，有針對性地一一進行介紹（見表1）。

　　（1）竊聽

　　最基本的威脅，是其它攻擊方式的基礎。車載終端與云端的連接用來傳輸用戶大量隱私數(shù)據(jù)，例如行車數(shù)據(jù)、車輛狀態(tài)信息等會在網絡中被嗅探。對于車內網絡，當車載終端接入到汽車總線后，CAN總線上明文傳輸?shù)母鞣N控制指令和系統(tǒng)信息被攻擊者竊聽的風險增加。攻擊者一旦獲取的車載智能終端的控制權，很容易獲取所連接總線上傳輸?shù)男畔ⅰ?/span>

　?。?）偽造

　　由于缺少對數(shù)據(jù)的認證，攻擊者可以向車載終端注入感染病毒的代碼或者可能導致堆棧溢出的代碼，或者未授權的指令，對車載終端操作系統(tǒng)、應用和車內ECU進行任意操作。

　?。?）阻斷

　　云端向汽車發(fā)送的信息和指令，可能被攻擊者在網絡層面進行干擾，而不能正常到達車載終端。而車載終端一旦被非法控制，攻擊者可以屏蔽CAN網絡的通信網關轉發(fā)的信息，從而實施對車內電子電氣系統(tǒng)的阻斷攻擊。

　?。?）篡改

　　篡改攻擊是組合了竊聽、阻斷和偽造等多種方式，形成的比較復雜的攻擊。攻擊既可以篡改車輛駕駛者從云端接收的例如行車路線等相關數(shù)據(jù)，也可能是從車內各ECU回送的狀態(tài)信息，影響駕駛員的正常判斷和操作；或者將車輛駕駛者向ECU發(fā)送的指令進行修改，干擾車輛正常行駛。其后果都十分嚴重。

　?。?）拒絕服務

　　惡意攻擊者通過控制車載終端，向其所連接的總線網絡發(fā)送大量偽造的數(shù)據(jù)包，占領總線資源，從而導致ECU拒絕服務。這是針對可用性的常見攻擊方式。

　　（6）重放

　　缺少對所收到消息的時效性的驗證，使利用重放攻擊而導致的汽車安全事件屢屢發(fā)生。攻擊者通過竊聽獲得重要的消息，并在自己需要的時候，再次發(fā)送，從而進行非授權的任意操作。

　　2.2  按照攻擊者發(fā)起的位置對威脅進行分類

　　（1）遠車攻擊

　　攻擊者通過網絡發(fā)起的攻擊，包括通過攻擊汽車各網絡應用平臺，攻擊相應的手機APP，或者在通信網絡中采取各種措施的攻擊（見圖1）。

　　這類攻擊成本低，突破環(huán)節(jié)多，威脅發(fā)生的可能性高。攻擊者也會SQL注入有安全漏洞的Web服務器端，監(jiān)聽通信信道，甚至利用車載終端遠程通信協(xié)議中的漏洞，比如用于車載終端與遠程呼叫中心通信的AQLINK協(xié)議中缺少控制信息包長的檢驗，或者隨機數(shù)缺陷等漏洞，發(fā)起攻擊。已經出現(xiàn)的安全事件包括車載智能系統(tǒng)“Uconnect”被攻破，黑客可以實現(xiàn)遠程控制汽車剎車、油門和方向盤，為此克萊斯勒在美國緊急召回了140萬輛汽車。

　　（2）近車攻擊

　　攻擊者在車附近，通過短距離通信的各種協(xié)議，與車輛建立網絡連接，訪問車輛的信息系統(tǒng)（見圖2）。

　　既包括通過Wi-Fi或者藍牙協(xié)議的連接，也包括使用RKE，胎壓監(jiān)測、RFID車鑰匙的應用，甚至攻擊者已經開始分析802.11p或者DSRC等新興的，用于車車通信的短距離通信協(xié)議。2015年就有國內安全團隊繞過幾款車的門鎖遙控滾碼機制，演示了非授權開車門的試驗。

　　（3）車內攻擊

　　是指攻擊者已經可以連接到車內系統(tǒng)的各接口，包括用于診斷的OBD接口，車載終端提供的USB接口，或者能插入SD卡、CD、DVD的存儲介質（見圖3）。這些接口和讀取存儲介質的系統(tǒng)都與車內總線相連，同時總線也連接了汽車的各ECU。

　　例如，攻擊者通過特別的硬件裝置連接到OBD接口，同時硬件裝置與電腦通過USB或者Wi-Fi進行連接，電腦就接入了車內總線，可以發(fā)起探測和攻擊。也有試驗證明，攻擊者也可以通過惡意構造的音頻或者視頻文件，對車載終端進行破解。這種攻擊的前提是知道播放器等應用的安全漏洞

　　3、車載終端發(fā)展趨勢和防范重點

　　隨著車載終端處理能力的發(fā)展，其功能也將T-Box和Infotainment進行了融合。車載終端本身代碼量的增加，與車輛電子電氣系統(tǒng)的網絡連通，與云端信息的交互，終端升級機制的簡化，這些車載終端發(fā)展的趨勢以及威脅的特點、威脅發(fā)生的位置等因素決定了圍繞車載終端和針對其自身的安全機制的使用和安全防范的重點。應在車載終端設計開發(fā)的過程中，使用科學的方法，實現(xiàn)真正的安全措施實施。

　　3.1  加強車載終端文件系統(tǒng)完整性校驗

　　采用完整性校驗手段對關鍵代碼或文件進行完整性保護。例如，在硬件的特殊分區(qū)中，保存一份當前操作系統(tǒng)的指紋信息，定期對指紋信息進行校驗，確認操作系統(tǒng)關鍵文件未被修改。

　　車載智能終端硬件安全引導應提供安全機制，保證只能加載可信的車載操作系統(tǒng)內核組件。例如，操作系統(tǒng)的鏡像需要進行廠商簽名。在車載系統(tǒng)啟動時，需要進行簽名驗證，以發(fā)現(xiàn)對操作系統(tǒng)內核的非法篡改。

　　3.2  與云端通信的信道安全

　　車載終端與外部通信，應保證所使用信道安全。例如，使用支持網絡側和終端側雙向鑒權的SIM解決方案，并且在基帶處理中，增加對偽基站識別分析的能力，拒絕接入偽基站。在車載終端和TSP平臺建立相應的VPN/VPDN/專用APN等，使車聯(lián)網系統(tǒng)使用相對的專用網絡，利用加密機制和完整性校驗等技術手段，對抗竊聽、偽造等多種攻擊。同時，加強云端服務器安全，嚴格訪問控制策略，加強用戶權限設置管理，對口令強度采取必要要求，定期漏洞修補，從而保證平臺測安全。

　　3.3  車內安全域隔離和訪問控制

　　車載終端與車內各電子電氣系統(tǒng)劃分安全域，每個安全域有只屬于自己的，不能偽造的標示，并通過相應的密鑰對所傳輸?shù)臄?shù)據(jù)進行加密和完整性保護。增加獨立的安全通信模塊，內置集成高性能密碼安全芯片和安全操作系統(tǒng)，負責密鑰管理。必要時，在車載終端與車內電子電氣系統(tǒng)總線之間添加串行防火墻，對車載終端傳送到各ECU的指令進行檢查，滿足安全性要求再傳遞。

　　車載終端自身內核強制訪問控制：對用戶（或其他主體）與文件（或其他客體）標記固定的安全屬性（如安全級、訪問權限等），在每次訪問發(fā)生時，系統(tǒng)檢測安全屬性，確定用戶是否有權訪問該文件。

　　3.4  車載終端應用程序安全

　　必須對應用程序在運行過程中使用的文件訪問權限進行控制。對于使用客戶端數(shù)據(jù)庫存儲數(shù)據(jù)的車載終端，應限制數(shù)據(jù)庫訪問權限。敏感信息需采用安全方式加密存儲，包括計算哈希值、對稱加密、非對稱加密等等技術手段。

　　應用程序自身應采取加殼、代碼混淆等適用的對抗逆向安全分析方法的保護，防止攻擊者查找系統(tǒng)漏洞加以利用。

　　對于程序所收集、產生的用戶數(shù)據(jù)應通過計算哈希值方式進行保護時，應在計算的源數(shù)據(jù)中加入隨機數(shù)據(jù)，防止敏感信息的哈希值被重放利用。使用對稱加密、非對稱加密等加密算法對敏感信息進行保護時，應使用健壯的加密算法，并使用足夠長度的加密密鑰。

　　3.5  終端升級的安全機制

　　車載終端對更新請求應具備自我檢查能力，車載操作系統(tǒng)在更新自身分區(qū)或向其他設備傳輸更新文件和更新命令的時候，應能夠及時聲明自己的身份和權限。升級操作應能正確驗證服務器身份，識別出偽造的服務器，或者是高風險的鏈接鏈路。升級包在傳輸過程中，通過報文簽名和加密，防篡改和偽造。

　　3.6  加強安全審計安全

　　車載終端應具備記錄所有用戶訪問日志的功能，便于進行適當?shù)膶徲嫼捅O(jiān)控。在完成安裝時應開始記錄所有用戶（特別是具有管理權限的用戶）的訪問。車載終端的日志記錄功能應能自動啟動，并將日志文件定向到統(tǒng)一的外部服務器，便于審計。

　　在車內電子電氣系統(tǒng)總線上也應增加入侵檢測功能的模塊，對各類信息進行監(jiān)控，特別是從對外開放的車載終端傳入的數(shù)據(jù)，如有異常立即報警。

　　4、結束語

　　車載終端的信息安全問題必須得到足夠的重視，否則可能由于信息安全問題導致更為嚴重的人身安全問題，這是車聯(lián)網的新特點。按照系統(tǒng)的方法，分析威脅，匯總需求，進一步實施部署安全措施進行防范，才能保證安全措施有效和科學地執(zhí)行。