攻防視角下車聯網安全風險分析

背景

隨著現代信息技術不斷應用到汽車上，形成了集成車輛電子系統、傳感器、無線通信、云計算和人工智能等技術于一體的智能網聯汽車。車輛具備了智能化、互聯化和自動化的能力，實現了車輛之間的信息交互和自主駕駛等功能。黨的十八大以來，工信部、交通運輸部等部門相繼出臺了一系列政策，旨在引導和促進智能網聯汽車的發展。智能網聯汽車已成為汽車行業的重要發展方向。伴隨“智能化+網聯化”融合驅動，智能網聯汽車有望成為未來的新一代智能超級終端，其具備采集路況信息，逐步掌握海量數據，成為信息世界和物理世界連接的橋梁。車聯網已經成為國家工業產業轉型升級的戰略性計劃之一，以推動數字經濟為產業融合發展賦能。

車聯網組成特點

智能網聯汽車，（Intelligent Connected Vehicle，ICV），是指車聯網與智能車的有機聯合，最終可替代人來操作的新一代汽車。智能網聯汽車的產業生態較為復雜，是一個多方共建的生態體系，參與者包括整車廠、互聯網公司、ICT企業、Tier1供應商和政府。

智能網聯汽車整體包括“云、網、端、邊”的架構，云指云服務平臺，網指連接云服務平臺與車載終端的通信鏈路，端指車載終端，邊指道路側的基礎設施。整體如下圖所示：

圖1 智能網聯汽車結構示意圖

2.1云端

車聯網云端主要包括TSP平臺、OTA云服務平臺兩個重要業務，主要負責車輛敏感數據交互以及車控、FOTA等業務，是主機廠車聯網業務的生命線。

2.1.1 TSP平臺

TSP是“車載終端服務平臺”（Telematics Service Provider）的縮寫，是車聯網系統中的重要組成部分之一，在產業鏈居于核心地位，上接汽車、車載設備制造商、網絡運營商，下接內容提供商。TSP是一種提供車輛遠程監控、控制、導航、娛樂等服務的平臺，通過與車載終端設備（T-Box）和車載傳感器進行通信，獲取車輛的實時數據和狀態信息。

TSP平臺通常由車聯網提供商或運營商提供，為車主、車廠和其他利益相關者提供多種服務，例如車輛遠程診斷、故障排查、定位和遠程控制、車輛保險、保養和維護服務、遠程娛樂和媒體等。TSP平臺的核心功能包括：

• 車輛遠程監控和診斷

通過車載終端設備和傳感器獲取車輛實時數據和狀態信息，例如車速、油量、電量、發動機溫度、輪胎壓力等，進行監控和診斷。

• 車輛遠程控制和調整

通過TSP平臺向車載終端設備發送指令，實現遠程控制車輛，例如開啟、關閉車門、啟動發動機、調節座椅和溫度等。

• 車輛導航和路線規劃

為車主提供實時交通信息、路況分析和導航服務，幫助車主規劃最佳路線和節約時間和油耗。

• 車輛娛樂和媒體

為車主提供多種娛樂和媒體服務，例如音樂、視頻、游戲等，提升車內乘坐舒適度和體驗。

在車載設備與TSP平臺數據交互協議選擇上，MQTT以其輕量化、易擴展、多種消息質量保證（QoS），以及通過發布訂閱模式實現數據產生與數據消費系統解偶等優勢成為了目前各大主機廠的新一代TSP平臺的首選協議。、

2.1.2 OTA云服務平臺

OTA云平臺，主要包括了OTA云端的升級模型管理，升級包管理，升級任務，升級策略以及日志管理的功能。OTA設計主要從安全、時間、版本管理、異常處理等方面綜合考慮，具體為：

• OTA升級安全

車輛上ECU的軟件運行狀況直接會影響到車輛上的人員的生命安全。從升級包制作，發布，下載，分發，刷寫等環節，OTA需要從云，網絡，車端來保證安全。在云端通過證書，簽名和加密機制保證升級包的不會隨意被制作和發布，升級包內容不會被惡意獲取。通過可靠的物理鏈路和安全傳輸協議來保證網絡傳輸安全。通過汽車的功能域隔離，劃分不同ASIL等級，通過冗余設計保證整車的功能可靠性，通過安全啟動來保證可信的軟件在ECU上加載啟動運行。

• OTA版本管控

因為車輛上ECU眾多，不同ECU有不同版本的軟件，不同車型ECU的需求有不同，版本也存在差異。版本的升級路徑管理，需要能夠全面準確進行管控。

• OTA刷寫控制

整車升級進行車載ECU刷寫時，特別涉及動力域傳統ECU的刷寫，是通過CAN網絡進行安裝包的分發。由于CAN傳輸速率很低（實際典型的速率為500Kb/s），并且CAN總線負載率通常要控制在30%以內，因此在帶寬允許的情況下，盡可能采取并行刷寫模式，選取刷寫時間最長的節點優先處理等設計原則減少OTA升級時長。

• 防變磚等異常處理

在OTA傳輸過程中，外界干擾或者其他因素導致刷寫異常或者中斷，車載ECU必須支持軟件回滾、斷點續傳、丟失重傳等處理機制。

2.2網絡側

主要包括車載網絡、車載移動互聯網和車載自組織網絡。其中，車載自組織網絡是基于CAN、LIN、FlexRay、MOST、以太網等總線技術建立的標準化整車網絡，實現車內各電器、電子單元間的狀態信息和控制信號在車內網上的傳輸，使車輛具有狀態感知、故障診斷和智能控制等功能；車載移動互聯網絡是基于遠距離通信技術構建的車輛與互聯網之間連接的網絡，實現車輛信息與各種服務信息在車載移動互聯網上的傳輸，使智能網聯汽車用戶能夠開展商務辦公、信息娛樂服務等,主要包括4G/5G、WIFI和藍牙等通信方式。

2.3車端側

以內置4G/5G通信模塊的T-BOX/智能網關為主，是智能網聯汽車的核心，對外通過遠程通信技術與云服務平臺進行通信，對內通過CAN/LIN/車載以太網與車內其他ECU進行通信。涉及主要硬件設備為車載信息娛樂系統（IVI）、整車控制器VCU/電子控制單元（ECU）、車載網聯通訊終端T-Box、車載網關、高級輔助駕駛系統（ADAS）、電池管理系統（BMS）、車載診斷系統(OBD)和車載單元（OUB）等主要部件。

2.3.1車載信息娛樂系統（IVI）

車載信息娛樂系統（In-Vehicle Infotainment簡稱IVI），是采用車載專用中央處理器，基于車身總線系統和互聯網服務，形成的車載綜合信息處理系統。IVI能夠實現包括三維導航、實時路況、IPTV、輔助駕駛、故障檢測、車輛信息、車身控制、移動辦公、無線通訊、基于在線的娛樂功能及TSP服務等一系列應用，極大的提升了車輛電子化、網絡化和智能化水平。對外可與基站、鑰匙等外部終端或服務平臺進行通信，對內可與網關、ECU等車內電子系統進行通信，完成信息采集、數據交換、指令下發等功能，通常為遠程車載信息交互系統(T-Box)、車載綜合信息外理系統(VI)以及其混合體。

2.3.2遠程車載信息交互系統(T-Box)

車載T-BOX，指安裝在汽車上用于采集車身信息并進行控制跟蹤的控制單元。T-BOX具備硬件、操作系統和軟件等，可能的軟件有定位、導航、娛樂等。車載T-BOX與主機通過CAN總線通信，實現對車輛狀態信息、控制指令、遠程診斷和按鍵狀態信息等的傳遞。T-Box以數據鏈路的方式通過后臺TSP系統與PC端網頁或移動端App實現雙向通信。當用戶通過PC端或移動端發送控制指令后，后臺會發出指令到車載T-BOX，車輛在獲取到控制命令后，通過CAN總線發送控制報文并實現對車輛的控制。

• 聯網

聯網是T-BOX最重要的功能之一，可以支持移動、聯通、電信三大運營商的網絡，但是我們在汽車上所有的上網體驗都來自于車機，其實車機并沒有聯網功能，他的作用就像似沒有SIM卡的手機，T-BOX相當于SIM卡。T-BOX與車機之間采用車用以太網通信，組成局域網，分享T-BOX的4G和WIFI熱點上網通道。

• 車輛信息實時上傳

T-BOX不僅可以上網而且還是車輛信息化的核心控制器，通過CAN以及以太網與整車進行通信，實時獲取車輛信息包括實時油耗，發動機水溫，發動機轉速，車輛行駛里程，當前車速，電瓶電壓，進氣壓力，冷卻液溫度，氧傳感器電壓發動機負載，節氣門開度，空氣流量，GPS車輛位置信息等等。實現了對車輛行駛數據的實時監控。

• 遠程控制

當車輛靜止的時候，可以對車輛進行遠程控制等功能。可以通過手機APP，和TSP后臺網頁通信，輸入我們車輛唯一的身份證號VIN，就可以獲取到車輛現在的實時狀態。比如：車窗是否關好、車門是否上鎖、剩余油量電量、總里程、駕駛室溫度等等車輛信息，我們可以根據這些信息進行相應的遠程控制，比如：遠程開車門，遠程開車窗、遠程打開后備箱、遠程打開空調等等操作，極大的方便了駕駛員的使用體驗。

• 故障診斷

故障診斷系統是指汽車在啟動時，T-BOX獲知汽車的故障信息，并把故障碼上傳至數據處理中心。系統在不打擾車主的情況下復檢故障信息。在確定故障后，并實施遠程自動消除故障，無法消除的故障以短信方式發送給車主，使車主提前知道汽車存在的故障信息，防范于未然。其基本原理的是T-BOX通過CAN收發器直接連接網關與整車網絡進行通信，能夠獲取娛樂CAN、診斷CAN的數據，并可以對BCM、VCU等進行控制，或下發診斷命令。

• 車輛異常告警上傳

當車輛上的一些部件出現一些異常或者是嚴重故障的時候，比如：發動機溫度過高、車門入侵、水溫過高、油量較少等等，T-BOX會第一時間獲取到出現故障或者異常的信息，并把這些信息傳輸給用戶，提醒用戶要及時處理這些問題。極大的提高了用戶的駕駛安全。

2.3.3電池管理系統（BMS）

電池管理系統(BMS)是連接車載動力電池和電動汽車的重要紐帶。BMS實時采集、處理、存儲電池組運行過程中的重要信息，與外部設備如整車控制器交換信息，解決鋰電池系統中安全性、可用性、易用性、使用壽命等關鍵問題。主要作用是為了能夠提高電池的利用率，防止電池出現過度充電和過度放電，延長電池的使用壽命，監控電池的狀態。BMS主要功能如下

• 實時通訊

在電池的工作過程中，對電池的電壓、溫度、工作電流、電池電量等一系列電池相關參數進行實時監控或計算。

• 保護功能

根據讀取電池工作狀態、參數判斷目前電池的狀態，以進行相應的保護操作，防止電池過充或過放。

• 檢測功能

通過BMS內部的測量傳感器，將單個電芯的電壓值、溫度值進行采集。

2.4道路側

主要為路側基礎設施，通常布置于路側桿件上，包括路側單元(RSU)、路側計算單元(RCU)、路側感知設備(如攝像頭、毫米波雷達、激光雷達)和交通信號設施如紅綠燈等，以實現車路互聯互通、環境感知、局部輔助定位、交通信號實時獲取等功能。

車聯網云-管-端數據流向如下圖所示。

圖2 車聯網云-管-端數據流示意圖

云服務平臺一般有兩個APN（AccessPointName，網絡接入點），一個負責接入公網域，一個負責接入私網域。公網域一般負責文件存儲、云計算等對存儲資源要求高、計算能力要求大的應用。私網域主要負責車輛敏感數據交互以及車控、FOTA等業務，是主機廠車聯網業務的生命線，同時需具備比公網域更高的信息安全要求。因此設置設備接入網關，對接入車載終端進行身份驗證和路由服務。

連接云服務平臺與車載終端的通信鏈路，公網域與車載終端一般采用HTTPS協議，私網域與車載終端一般采用TCP/IP協議。而對接入車輛/設備多的場景可在網絡的應用層采用MQTT協議。

• 車聯網面臨的安全風險分析

3.1車聯網中網絡攻擊的重點對象

結合車聯網的組成特點及各部分的作用，遭受網絡攻擊的方式和重點系統如圖3所示：

• 網絡攻擊

通過攻擊云端(TSP平臺和OTA平臺)，在升級包中植入惡意程序，通過強制升級服務和網聯汽車遠程控制批量獲取汽車整車控制權限；

• 近源攻擊

通過近源攻擊控制路側單元（RSU），通過與車載單元（OBU）建立通信后，對智能網聯汽車進行惡意代碼植入進而獲取汽車整車控制權限；通過車載WIFI和藍牙，利用漏洞獲取車載信息娛樂系統（IVI）控制權限，進而利用車載T-BOX漏洞，持續不斷獲取整車控制權限。

• 供應鏈攻擊

通過信息收集，以核心零部件供應商為入口，對目標車輛的關鍵零部件軟件系統植入惡意代碼，通過OTA批量升級，進而控制車輛。

• 社會工程學攻擊

通過釣魚郵件突破網絡邊界，橫向移動突破內網，獲取域控權限，攻擊云端OTA平臺，植入具備控制功能的邏輯炸彈，批量控制車輛。

圖3 車聯網安全風險示意圖

3.2智能網聯汽車面臨的數據安全風險

車聯網至少有三類數據與國家安全潛在相關：

• 經緯度數據

智能網聯汽車會采集車輛行駛過程中的經緯度數據，當這些數據匯集到一定量級時就具備了地圖測繪能力，一旦外泄，會對國家安全造成潛在威脅。

• 影像數據

智能網聯汽車普遍配備360度攝像頭采集的數據，將使涉密地區、涉密單位的安全保密工作變得更具挑戰性。

• 車輛的遠程控制數據

車輛遠程控制數據一旦被不法分子利用，被遠程控制的智能網聯汽車有可能變成實施犯罪的工具。

3.3網絡安全風險帶來的系統破壞和影響

3.3.1攻擊TSP平臺

當汽車的TSP平臺被攻陷后，汽車的升級包信息、車主的個人身份信息、位置信息，都將暴露給攻擊者。升級包信息包含了升級包的版本、下載地址，下載升級包后還可以獲得升級包文件，即汽車整車運行的所有程序。個人信息包含但不限于手機號、姓名、駕駛證、身份證信息，位置信息包含了連續的位置變化信息，可在一段時間內刻畫出汽車（車主及其家人）的軌跡。

3.3.2攻擊電池管理系統BMS系統

當汽車BMS系統遭受攻擊后，致使其無法正常監控當前的電池電量和溫度功能，欺騙儀表、云端TSP和手機端電量正常顯示，同時控制和改變正常動力電池加熱，致使電池動力不足和自燃。干擾BMS系統的降溫功能，造成車輛持續加熱，產生交通事故后電池自燃。動力電池工作溫度范圍如下圖所示，當高壓電池冷卻液溫度低于標定控制溫度值時，會控制加熱模式啟動。

圖4 動力電池工作溫度范圍示意圖

BMS能夠為動力電池營造良好的運行環境。比如在寒冷的地區，電池充電效率降低，這個時候BMS會調用加熱系統來讓電芯升溫使其達到舒適的充電環境。當電池過熱時，BMS根據采集上來的電池溫度，判斷出電池過熱，隨后控制此電池的電路斷開，進行過熱保護。動力電池溫度控制回路如下圖所示。

圖5 動力電池溫度控制回路圖

3.3.3攻擊高級輔助駕駛系統（ADAS）

攻擊ADAS，干擾輔助決策系統，篡改T-BOX位置信息和車速信息，讓其發起制動操作，導致車輛緊急剎車，或者加速沖撞造成追尾交通事故。針對高速車輛，通過ADAS輔助駕駛系統緊急制動，導致車輛追尾，造成交通事故。