SCI论文(www.lunwensci.com)
摘 要:在当前科学技术高速发展背景下,汽车产品逐渐趋向电动化、智能化、网联化发展,其在给消费者带来新体验的 同时,也推动汽车产业革新。然而需要认识到的一点是,智能网联汽车需要面对主动、被动、网络信息安全等传统汽车产品不 涉及的新风险与隐患。基于此,本文针对当前智能网联汽车网络架构下的安全威胁开展分析,对威胁开展建模,并对相关威胁 的远程入侵检测防护等问题进行探究。
Modeling and Protection Research Based on Security Threat Analysis of ICV
YUAN Haojie1. ZOU Yunfei2. LI Ying3. TANG Gang1
(1 . China Software Evaluation Center, Beijing 100048;
2. China Mobile (Chengdu) Information Communication Technology Co., Ltd., Chengdu Sichuan 610123; 3.China Industrial Control Systems Cyber Emergency Response Team, Beijing 100040)
【Abstract】:Against the backdrop of the rapid development of science and technology, automotive products are gradually moving towards electrification, intelligence, and networking . While bringing new experiences to consumers, they also promote innovation in the automotive industry. However, it should be recognized that intelligent connected vehicles need to face new risks and hidden dangers that traditional automotive products do not involve, such as initiative, passivity, and network information security. Based on this, this article analyzes the security threats under the current intelligent connected vehicle network architecture, models the threats, and explores issues such as remote intrusion detection and protection of related threats.
【Key words】:ICV;security threats modeling;intrusion detection;safety protection
0 引言
新时期发展背景下,智能网联汽车已经成为汽车行 业未来重点研究的项目之一,智能网联汽车在运行过 程中能够为人们提供高质量的汽车服务,大幅度降低 人为操作汽车的频率,同时能够实现路况的智能感应与 判断。据汽车行业发展规划报告显示,我国智能网联 汽车于 2025 年的销售量同比增长率可提高至 30% 左 右,由此可见,智能网联汽车将会迅速成为社会发展的 重要一环。随着智能网联汽车的发展以及用户对汽车的 各种娱乐设备的要求越来越高,汽车上的信息也越来越 多,传统的汽车网络结构已经无法适应这种要求。但事实上,网络结构越复杂,信息传输越大,与外部交互越 多,潜在安全风险也就越大。特别是,汽车网络攻击呈 现网络规模越大,恶意攻击越难被察觉的特点,如:通 过 WiFi 连接路由器、通过蓝牙连接手机、通过蜂窝网 连接汽车云计算平台和互联网,这些连接都会为智能网 联汽车带来更多的风险点,给攻击者带来更多的攻击 机会,令攻击者有机可乘 [1]。此外,和传统网络攻击相 比,智能网联汽车遭受网络攻击后,因其特殊用途和属 性,致使网络层面攻击风险可转移至司乘人员人身层 面风险 [2]。因此,加强智能网联汽车安全威胁分析和建 模,并针对性提出防范措施,提升智能网联汽车安全防护能力具有重要意义。
1 智能网联汽车网络系统结构概述
智能网联汽车是指搭载先进的车载传感器、控制 器、执行器等装置,融合现代通信网络,实现车与 X (车、路、人、云端等)智能信息交换、共享,具备复 杂环境感知、智能决策、协同控制等功能的新一代汽 车。在当前车载功能完整性对联网的需求不断提升的背 景下,车载网络接入的重要性也随之提升。传统汽车网 络虽大多局限在车内网络和有限的车载端口层面,但其 是智能网联汽车网络的基础。按照传输类型的差异性, 传统汽车网络可大致分为 5 种类型,如表 1 所示。
从技术角度分析,智能网联汽车网络结构相较于传 统汽车产品具备更强的复杂性,其网络结构由车内网 络、车载通信端口层、网络通信链路层、汽车网络服务 基础以及应用服务层等 5 个抽象层构成。其中车内网络 大致与传统汽车保持一致;车载通信端口层主要是指智 能网联汽车车内网络层中配备有线与无线连接端口,如 ODB、USB 等有线通信端口以及 RF 射频、WiFi 等无 线网络端口; 网络通信链路层主要是指通过通信端口层 连接基础电信网络设备、卫星、物联网节点等实现信息 交互;汽车远程服务提供商以及增值电信服务等可抽象 为汽车网络服务基础;应用服务层涵盖独立车载功能及 汽车远程服务提供商(TSP)等各类远程服务,如地图 服务网络咨询等内容服务以及安全服务等。其中,安全 服务主要涵盖汽车安全远程服务提供商所提供的插在主 动安全功能更新等; 网络服务则主要包含网络检测、上网功能维护等服务。
2 智能网联汽车安全范畴探析
从实际应用角度分析,智能网联汽车安全可分为功 能安全和网络信息安全。
2.1 功能安全
智能网联汽车功能安全主要是指因随机硬件失效 所导致的车辆故障问题。功能性安全事故一般以汽车制 动、转向失灵、发动机意外熄火等为主要特征。当前有 关功能性安全的标准涵盖针对工业领域的功能安全标准 IEC61608 以及针对汽车的功能安全标准 ISO26262.其 中, ISO26262 从严重度(Severity)、暴露率(Exposure) 以及可控性(Controllability)等三个方面对汽车的功能 安全性进行评估,并在此基础上对汽车安全完整性进行评 级。同时,基于不同的严重度、暴露率以及可控性等级对 应不同的汽车完整性等级,完整性等级中, A 代表最小的 失效影响, D 代表最大的失效影响,目前仅有 S3E4C3 为 D 等级。汽车功能安全性评估表如表 2 所示。
2.2 网络信息安全
智能网联汽车本质上是“软件化的汽车”,这意味 着汽车安全不仅包括车身安全,还包括车身网络、云网 络、数据等多方面安全,任何一个网络被攻击入侵都可 能将风险传导至物理层面。例如攻击者通过注入、重放 等攻击可增大智能网联汽车网络报文延迟,占用大量的 计算资源,增大网络负荷,对网络通讯的可靠性、实时 性产生不利影响,进而发展成为功能性安全问题,因此 网络信息安全问题随时可演变为功能安全问题。智能网联汽车遭受到的网络攻击包括对数据资源服务器、云服 务器、通信链路、身份认证、CAN 总线所存在的漏洞 而展开的攻击,常见的攻击方式如表 3 所示。
此外,从防护的角度出发,网络信息安全防护是含 应用身份认证、网络入侵监测、访问控制和通信加密在 内的一系列安全技术,具体来说,在加强消息认证方面 可设计和优化消息认证代码(MAC)、加强对电子控制 单元(Electronic Control Unit, ECU)等网络节点的 网络访问认证;在消息加密机制方面,可采取基于软件 与基于硬件等不同加密方式;在入侵检测方面,可开展 通信协议检测、传输保密检测、网络边界检测、设备识 别检测等。
3 智能网联汽车的威胁建模
威胁建模是一项用来确定应用程序可能存在的威胁 和漏洞,发现现有安全防护手段可能存在的问题的工程 技术 [4]。威胁建模通常使用一些抽象概念去分析系统弱 点,通过定位被攻击的目标和可利用的业务漏洞来提高 整个系统的安全性,其目的是为产品用户或安全人员提 供对可能的潜在威胁、可能的攻击手段、需要采取哪些 防御措施等提供系统分析。智能网联汽车作为“软件化 的汽车”, 可通过威胁建模在汽车开发早期发现黑客利 用各种漏洞对汽车发起攻击和控制的可能性 [5]。
STRIDE 是目前最为成熟的威胁建模方法,主要从 S、T、R、I、D、E 等 6 个维度考察应用的安全性, 分 别对应伪装、篡改、抵赖、信息泄露、拒绝服务和权限 提升,如表 4 所示。
在分析完特定场景所有对象的潜在安全威胁之后,需 要输出威胁列表并进行危险评级。危险评级是根据威胁造 成的破坏对其进行评价打分,通常依据 DREAD 评级方法。 DREAD 主要是对漏洞被利用会造成的经济损失(Damage Potential)、再次攻击的难度(Reproducibility)、攻击发起的 难易程度(Exploitability)、多少用户受到影响(Affected Users)、攻击被发现的难易程度(Discoverability) 这 5个指标进行打分。其中每个指标分数由低到高为从 0 到 4.即严重程度逐渐增加,并最终按照如公式(1)所示 的计算最终威胁分数:
其中 R 表示威胁评分,范围从 0 到 10.表示从无 危险到极度危险。
以智能网联汽车远端网络传输的蜂窝网为例。当前 LTE 蜂窝网加密程度较高,从网络本身角度出发,可能 受到的威胁仅有伪装或欺骗,潜在损失较少,故 D 打分 为 1;对蜂窝网的攻击可反复进行,故 R 打分为 3;攻击 难度较高 E 打分为 1;受影响用户范围较大,故 A 为 3; 此外,攻击较难被发现, 故 D 为 2. 结合公式(1) 可得 R 为 5.属于不安全的范畴。
此外,随着云技术在智能网联汽车的深入应用, 传 统建模方法在智能网联汽车领域可能受到制约,需作针 对性建模分析,提升智能网联汽车安全威胁发现和安全 措施防护能力。
4 智能网联汽车远程入侵防御对策
威胁分析建模可有效发现智能网联汽车的防御薄弱 环节,帮助安全人员找到车辆风险所在。本文针对智能 网联汽车作为拓展感知网络和应用平台这一特性,从智能网联汽车的入侵防御要保证车辆内部网络与外界网络 的安全通信,实现车与 X(车、路、人、云端等)的数 据通信传输安全,也要保证智能网联汽车系统服务器操 作系统、数据库系统、应用安全的角度出发 [6] ,提出从 车辆网络加密、车辆节点检测、接口管理及各类终端设 备检测、安全认证及访问控制、软件代码安全加固五方 面开展安全防护研究。
4.1 车辆网络加密
从技术层面分析, CAN 总线在车辆网络系统结构 中主要承担支持车辆主动安全系统通信功能。然而依据 实际研究结果可知,部分智能网联汽车在车速等关键数 据方面并未进行安全加密,仅在数据帧末尾加入校验机 制,这就导致黑客可以通过发送恶意 CAN 数据的方式 控制车速,严重危害驾驶员及路人生命安全。由此,针 对智能网联汽车车载网络部分可进行如下优化:(1)融 入滚码机制等对 CAN 进行加密处理;(2)强化对诊断 端口访问的控制力度,通过对数据源进行仔细判断与分 析,来实现检测非法用户目标;(3)推动信任区划分严 密性的不断提升,具体即是针对不同厂商软件对可信计 算区间进行划定。
4.2 车辆节点检测
智能网联汽车单一节点具有多个身份标识,攻击者 可利用少数节点控制多个虚假身份,从而控制或影响整 个车联网网络中的大量正常节点。特别是汽车本身处于 移动状态,从而网络被影响范围随节点的移动而扩大。 对节点的主要检测手段有 3 种:(1) 对节点进行身份验 证,在节点加入网络之前配备通信密钥,或利用匿名技 术确保节点在通信过程中的私密性;(2)对节点位置进 行检测,对网络内存在相似移动轨迹行为的节点进行分 析筛除;(3)对节点匹配资源进行检测,若存在多个节 点所拥有的资源与数量无法匹配,则可以判定节点中存 在虚假节点。
4.3 接口管理及各类终端设备检测
随着智能网联汽车网络的丰富扩展,全范围内用户 所使用的各类终端以及系统内网络和安全设备等均参与网 络和信息的交互共享, 各类终端设备内部往往包含用户的 隐私信息,攻击者常常可以利用设备内部的秘密信息非 法访问资源和服务,或冒充合法用户发送虚假消息至网 络中。针对移动终端开展的安全检测主要包括账户安全 检测、数据通信安全检测、服务端接口检测、安装包检 测、组件安全检测、敏感信息检测等。针对网络及安全 设备的安全检测主要包括通信协议安全检测、传输保密 检测、网络边界检测、设备识别检测等。针对服务器和 存储设备的安全检测主要包括会话认证检测、身份鉴别检测、访问控制检测、数据完整性和保密性检测、审计 日志管理检测、数据备份与恢复检测等。此外还有针对 车载 T-BOX 的安全检测和针对服务器的功能性检测等。
4.4 安全认证及访问控制
黑客可通过假冒用户的身份进行非法登陆,从而对 用户的安全造成极大的威胁,这要求智能网联汽车需要 配备合理的入侵探测系统和防火墙。事实上,智能网联 汽车的每一个信任区域边界均应加入防火墙或入侵检测 设备(IDS),以侦测各信任区内的流量是否有异常。此 外,智能网联汽车后台管理系统的内部人员也可以发起 攻击,内部人员往往具有用户密码管理权限,相关人员 如果非法盗用和使用存储于系统服务器中的用户与密 码,就可以发起对整个网络的攻击,甚至对信息进行转 卖。因此需要建立安全管理制度,设置管理员操作权 限,对管理员操作行为进行检查。
4.5 软件代码安全加固
为避免通过反向、分解等操作对智能网联汽车应用 程序代码进行破解,造成敏感代码逻辑信息泄露,致使 攻击者进一步控制车辆。各类应用程序代码不仅要依赖 于第三方的安全供应商来加强代码安全性,更要在代码 开发阶段加以强化,主要包括对代码进行混淆处理、加 密字符串、对变量名称进行数字化、对库文件进行加密 等,以实现进一步加强智能网联汽车的安全性。
5 结语
智能网联汽车的安全研究尚处于初始阶段,在当前 智能网联汽车推广及应用逐渐成为市场主流趋势背景 下,积极加强对智能网联车安全威胁分析与远程入侵应 对的研究具有重要现实意义,其可以有效推动智能网联 汽车安全性进一步提升,同时助力智能网联汽车技术的 创新发展。
参考文献
[1] 李端,孙倩文 .智能网联汽车的安全新风险研究[J].工业信息 安全,2022(5):65-72.
[2] 钟永超,杨波,杨浩男,等 .智能网联汽车安全综述[J].信息安 全研究,2021.7(6):558-565.
[3] 陈渌萍.智能网联汽车整车信息安全威胁分析及渗透测试实 践[J].软件和集成电路,2021(10):36-37.
[4] 中国国家标准化管理委员会.GB/T 20984-2007 信息安全技 术:信息安全风险评估规范[S].2007.
[5] 郝晶晶,韩光省 .智能网联汽车信息安全威胁识别和防护方 法研究[J].现代电子技术,2021.44(23):62-66.
[6] 李端,闫寒 .浅析智能网联汽车网络安全[J].工业信息安全, 2022(3):97-103.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/59076.html
