联网车有安全隐患吗？车联网离安全还有多远？

前两天，一条关于奔驰车定速巡航失控的消息刷爆了朋友圈。事情的经过大致如下：3月14日，一辆奔驰车自动巡航深夜失灵，车主以120公里每小时的速度驾驶这台车狂奔了近100公里，豫陕交警全力营救，最后据报道称车辆最终依靠远程控制让车速降下来，车主才得以脱险。

事件发生后，很多人对车联网和未来辅助（自动）驾驶的安全问题深表担忧。而车联网是电信业继手机之后的下一个重要战场，作为一名通信技术宅，趁着周末赶紧研究了一下车联网安全问题，汇报如下。

首先，联网车有安全隐患吗？答案是——yes。

这是一段来自2015年的视频...

两位安全工程师成功破解了吉普切诺基的安全系统，不但能够远程控制车载娱乐系统，还能通过互联网远程控制车辆刹车和转向。此后，菲亚特克莱斯勒召回了140万辆汽车。

这起远程“黑客”攻击事件引发了汽车行业对联网车安全设计的高度关注，被认为是对汽车行业产生了巨大影响的标志性事件。

这两位“黑客”是怎么做到的呢？不急，我们先来看一看车联网的系统设计。

目前大部分的汽车都有电子系统， ECU（Electronic Control Unit）电子控制单元通过车内局域网连接，并同时连接到外部网络（比如4G和5G网络），以实现丰富多样的汽车服务，比如车联网和自动驾驶。

具体而言，这个设计构架主要由四层结构组成，如下图。

第一层：外界通信设备

负责与外界通信。它由负责与移动蜂窝网络、WiFi和V2X通信系统连接的车载设备组成。

V2X：3GPP R14定义了LTE支持V2X应用，以推动车联网商机。V2X包括汽车对汽车（V2V）、汽车对基础设施（V2I）、汽车对互联网（V2N）和汽车对行人（V2P）。在5G里，车联网又有uRLLC(超高可靠超低时延通信)和5G-V2X等新课题。

第二层：汽车网关

第二层控制整个汽车系统。汽车网关不但负责ECU和第一层的外界通信设备之间交换信息，还负责汽车内部的信息交换。

第三层：车内局域网

它负责在车内各个ECU之间传递信息，并根据ECU的不同应用划分为三大域：车身域、Telematics域和控制域。车身域负责控制门锁等车身部分，控制域负责刹车、ABS等部分，Telematics域负责与定位导航相关的车载信息服务，比如通用的安吉星(OnStar)、丰田的G-BOOK等就属于Telematics域。

车内局域网采用通用的车载通信协议，比如CAN或LIN（Local Interconnect Network）。

第四层： ECU和其他功能组件

第四层由ECU和其他功能组件组成，其控制发动机、刹车、车辆门窗等车辆各个部件。

根据这一构架，我们将车联网的安全系统也分为四层安全防护：

第一层：外界通信安全

指与车辆通信的外部网络具备完善的加密、鉴权和接入控制机制，以防止身份冒充和信息窃取等。从这一层可知，具备运营商级安全的4G或5G网络对于车联网的重要性。

第二层：汽车网关安全

这一层安全要求汽车网关具备三大功能：①信息过滤功能，过滤未经鉴权的信息；②密匙管理功能，管理ECU用于加密和认证的密匙；③异常检测功能，对车内局域网传递的信息有异常检测机制。

第三层：车内局域网安全

指具备检测ECU之间传递的信息，以防止被篡改、重写和窃听。

第四层：ECU等部件安全

指确保运行于ECU上的程序无漏洞，并在每次重启时具备验证固件和操作系统是否被篡改的机制。

简而言之，一个理想的车联网应该是由四层严密的防护网组成的安全系统。如果设计严密，严格的讲，这个系统还是非常安全的。从历史案例来看，目前已发生的黑客攻击汽车事件主要包括两种：

通过复制密钥代码盗车

目前大多数的汽车配备了防盗系统，该防盗系统生成防盗密钥进行身份验证，只有通过身份验证后才能启动引擎。有些汽车制造商采用专用的加密算法来执行认证，并且有报告称黑客利用这些算法中的弱点非法获取认证密钥。为此，2010年汽车行业就提议采用高级加密标准AES。

攻击车载诊断系统（OBD）

OBD可以检测汽车运行过程中的发动机电控系统以及车辆的其它功能模块的工作状况，外部电脑可连接OBD接口，并通过获取汽车内部交换的信息（比如CAN消息）来查看汽车数据、检测行驶状况等。已经证明，可以通过电脑注入伪消息来篡改仪表盘数据，甚至执行刹车或转向等操作。

目前来看，车联网面临的核心安全威胁集中在CAN总线、OBD接口设备、通信模块T-BOX、移动端 APP以及云端平台等控制性部件的安全攻击，主要问题来自于汽车内部联网构架。

举一个例子，有电信运营商在与汽车厂商合作研究车联网安全问题时，就发现车内LIN协议存在漏洞。

汽车电子有两大总线协议：CAN和LIN。CAN负责重要的电子控制单元，如发动机、ABS、安全气囊等，LIN负责次要的电子控制单元，如门窗、车灯等。目前关于汽车安全的研究大部分都集中在CAN，显然大家觉得对发动机、刹车等重要部分的控制更重要。但是，如果黑客对LIN发起攻击，劫持了方向盘、座椅、门窗的控制权，驾驶者同样将面临重大威胁。

而LIN总线是一种主从关系的构架，由一个主节点与若干个从节点构成。从节点不能直接向总线发送数据，需要接受到主节点发送的包含表示处理内容的标识符（ID）的帧头后，才根据标识符来发送和接收数据。在某些情况下，当节点传输的数据与总线上的数据不同时，系统会检测到错误，并暂停数据传输直到等到下一个帧头来处理错误。

这就给了黑客可乘之机。如下图所示，（a）和（b）点在接收到帧头后开始传输数据，此时黑客监控了总线，并在（c）点注入错误的数据，系统检测到冲突并停止数据传输，此时，黑客就可以趁机注入伪数据传送给从节点（d），从而控制汽车驾驶。

安全从来无小事，何况车联网安全问题一旦发生就会直接演变为人身伤害和财产损失，车联网安全的重要性一直受到产业界的高度重视。通信领域在设计未来网络时，在大幅降低网络时延的同时，也在加强端到端加密传输、认证、访问控制和异常流量监测等安全措施。

但从上述可知，车联网安全涉及范围广泛，运营商只是提供安全的网络显然是不够的，且随着车联网的广泛应用，未来的自动驾驶和车联网将连接更多的应用，这意味着未来黑客对车辆的攻击路径将变得更宽，这就要求整个电信产业链与汽车等各大领域展开深入合作，乃至建立跨行业的标准化体系和合作机制，才能解决整个车联网系统内任何可能存在的安全隐患。