关于信息安全技术的作用分析和应用

在今年7月于美国拉斯维加斯举行的2017世界黑客大会（Black Hat 2017） 上，腾讯安全联合实验室科恩实验室验证了特斯拉电动车的多个安全漏洞，并对特斯拉Model X进行了无物理接触远程攻击，可以在驻车和行驶模式下，利用CAN总线对汽车进行任意远程操控。其实在2016年9月，该实验室曾已经破解过一次特斯拉的Model S，马斯克为此还亲自写信向实验室表示了感谢，并弥补了当时发现的漏洞。

以上只是近年来在世界各地发生的无数起车辆遭受网络攻击事件中的其中一个例子。好在迄今为止，发动攻击的人们基本上以没有恶意的所谓“白帽（White Hat）”黑客为主，尚没有造成道路上的巨大破坏，好莱坞大片“速度与激情8”中所描绘的众多汽车的驾驶系统与车联网智能终端被反派领导的电脑黑客团队给控制并给城市造成混 乱的局面还没有真正出现， 但这也让大众看到，随着联网汽车的数量日益增加，车辆遭受各种网络攻击的风险在不断升高。

今天我们会就汽车信息安全（也称网络安全）(Cybersecurity)的课题，专门作一定的介绍。首先我们会说明一下侵害信息安全的攻击的几种主要途径和方式，然后再介绍一下目前在汽车电子电器架构上常见防护措施，最后再简单总结一下全世界针对车辆信息安全这一课题所出台或正在酝酿中的一些主要法规、指南和标准。

1．对车辆信息安全产生危害的攻击可以通过多种途径来进行，但总的说来，可以归纳成三种：

第一，通过物理接触来进行攻击。从黑客的角度来看，他们想控制一台汽车，最简单的方式是通过后门在里面装一个系统，这样就很容易拿到控制权限。事实上最早的对特斯拉的攻击也就是通过“车载诊断系统”（On-Board Diagnostic或简称OBD）去做的。以前许多车厂对这类攻击不很重视，认为这种接触式控制必须依靠与车辆本身有物理接触才可以进行，而一般只有使用者才能做到这一点，所以潜在危险不大，但是随着共享经济的发展，租车现象会变得越来越普遍，能进入并驾驶车辆的机会剧增，黑客们可以通过改变ECU软件内容，或用作过手脚的部件替代原装部件等方法来创造侵入的机会。 还有，新兴的电动车里某些新的物理接口的引入，也会增加通过接触来控制汽车的机会，例如黑客可以通过智能充电桩来读取并篡改某些车辆信息。

第二，通过近场控制来进行攻击。目前许多汽车都有蓝牙、车载WIFI或者其它利用射频信号进行通讯的设备和器件，比如许多智能车钥匙， 这些都属于近场通信。如果没有加强防范，近场通讯有许多漏洞是可以被利用来作为攻击的途径的 。蓝牙本身没有很好的认证和加密机制， 即使是WIFI设定了密码，但是强度不够的密码黑客是很容易通过不断排列组合试错的所谓“暴力破解攻击（Brute-force Attack）”的方法来破解， 许多密码的安全性远没有密码设定者想象的那么安全。通过蓝牙、WIFI，在离车辆不远的地方都可以连入车内的车载系统，对车辆进行控制。

第三，通过远程控制来进行攻击。首先，现在带有车联网的车辆常用的TBox (Telematics Box/ Control Moduel,即远程通讯处理器) 需要与互联网、车机(head-unit) 或者与总线相连。一旦汽车通过TBox连上互联网，它立刻就成为传统黑客们一个非常擅长的场合，对它的攻击往往是简单的事情，因为汽车内部用于通讯的传统总线就对此类攻击就根本没有什么防范的机制，例如汽车中最常用的CAN总线。

其次，对于智能车机的攻击模式也很多，原因之一是现在智能车机的操作系统局限在QNX和安卓等少量的几种，一旦有漏洞被知晓，车机本身安全立刻成问题，而车机的工作方式是要通过车联网和外界进行联系，其潜在的风险不可小觑。

再次，车主手机里用来控制各种车辆功能的app，在提供诸如远程启动、上车之前打开空调和窗户、油耗观察等便捷功能的同时，也为黑客提供了接入汽车系统非常好的通道。

最后，车厂和第三方应用服务商可以给具有车联网功能的车辆提供越来越多的云端服务，一个典型的例子就是车内控制器软件的远程更新（Software/Flash Over-the-Air或简称SOTA/FOTA），利用该功能汽车可以做到远程更新特定控制器中的软件而不需要像目前绝大多数车辆一样必须将车开到4S店去才可以做这个工作，特斯拉甚至通过软件的远程更新让顾客付费后启动一些原先潜在的功能来提供增值服务，如著名的自动驾驶功能Autopilot2 ，从而创造了一种前所未有的汽车商业模式，但是这种服务也可能给黑客打开了一个很好的攻击窗口。

在整个车联网的环境里黑客可以用来攻击的方式有太多了，下面是几个典型的场景：

•可以通过侵入手机或车机使用的第三方服务app的数据库，拿到车主的用户名、密码和使用信息，然后对这个app做一下改造以后发布给用户，用户装上去以后所有的信息对黑客都变得透明了。

•攻击车厂云数据中心，事实上这种攻击这几年时常发生，因现在几乎所有跟车辆和客户有关的信息系统都在云端，这种攻击造成的潜在风险还是非常大的。

• 对4S店的系统进行攻击，拿到车主的数据或在保养时给车子植入恶意软件

•在通讯过程当中的攻击。既然要联网，需要数据通信，通信过程当中黑客可以侵入后对数据进行劫持和非法获得权限。

2．面对如此之多的信息安全上的威胁，我们又该如何防护呢？

因为攻击是可以通过多种途径以不同的方式来进行，从汽车工程的角度，防护工作也必须是在车辆的电子电器架构的多层面上以不同的对策来进行，信息安全的防护由以下四个层面构成：

第一层是防止通过对外接口对车辆进行攻击的防火墙，从而使得车辆拥有安全接口（Secure Interface），该层面关注的是汽车内与外的信息安全问题。在这个层面上，要对诊断接口和诸如WIFI、4G、蓝牙等无线通讯接口特别进行防范，重点部位是OBD接口、TBox、车机以及Infortainment（车内信息娱乐）系统，主要方法是相互通讯机器间的认证（M2M Authentication），这就需要在通讯系统中加入必要的保密机制，其中一个核心问题就是密钥的管理。

第二层是控制车辆内部各个域（Domain）之间进行通讯的安全网关（Secure Gateway），该层面关注的是汽车内各个控制域之间的信息安全问题。 安全网关能将整个车辆的功能分隔成几个不同的域，然后像防火墙或者过滤器一样对所有通过它的信息进行安全方面的检查，从而具有一种集中式的入侵检查（Intrusion Detection）的功效。

第三层是通过对信息进行认证和完整性保护的安全通讯层（Secure Communication），该层面关注的是个ECU间的信息安全问题。 这个层面上需要做的是：对特定的ECU通过特定的通讯总线（例如CAN总线）交流的消息进行认证，来防止黑客入侵开放的总线，从而保障车内总线的安全。例如让CAN通讯系统植入分布式的”入侵检测和防御系统 （Intrusion Detection & Prevention System或简称为IDPS）” ，以对接入总线的所有CAN节点发出的数据和命令进行监控， 一旦发些异常就立即提出警告或采取措施将可能危害整个网络的节点区分出来。这方面已经有许多公司都提出了自己的方案，在这些方案中，入侵检查最通常的做法就是在需要传输的消息后面再加上消息认证码（Massage Authentication Code或简称MAC）。请注意，产生MAC也需要借助于ECU内部的保密机制来完成。

第四层是通过ECU内部所集成的“硬件安全模块（Hardware Security Module或简称是HSM）”来保障该ECU的安全性和提供实施各种安全机制的一个“信任锚（Trust Anchor）”或者“可以信任的执行环境（Trusted Executed Environment），从而做到安全数据处理（Secure Processing），该层面关注的是个ECU内部数据处理的信息安全问题。 值得注意的是，HSM一般本身也自带一个微控制器和一些跟保密有关的硬件电路 ，来进行各种加解密运算或者密钥的存储和管理等工作， 而黑客是无法侵入其中的。许多跟信息安全有关的功能和用例（Use Case），例如程序的安全启动（Secure Boot）、运行时数据的完整性保障、以及程序的远程更新（SOTA）都离不开安全数据处理。

3. 车辆信息安全的法案、指南和标准

汽车信息系统已安全成为汽车行业的一个重要发展领域。汽车制造商、一级供应商、监管机构、保险公司、技术公司、电信公司以及受新型攻击环境影响的组织都在努力加强整个行业对汽车网络安全的重视程度。

同时，世界上许多国家的政府也注意到由汽车网联功能所引发的新兴公共安全问题，而这导致了诸如美国参议员马基和布鲁门塔尔在 2015 年提交了“汽车研究安全和隐私法案（Security and Privacy in Your Car Act）”，又称“间谍车法案”，因为法案的英文缩写为“SPY Car Act”。有关政府机构还发布了多份报告，如由欧盟网络和信息安全机构（European Union Agency for Network and Information Security ，ENISA）发布的报告“智能汽车网络安全和恢复力（Cyber Security and Resilience of Smart Cars）”以及由美国国家公路交通安全管理局（US National Highway Traffic Safety Administration ，NHTSA）发布的“联邦促进汽车网络安全指导守则（Federal Guidance for Improving Motor Vehicle Cybersecurity”）和“NHTSA 与汽车网络安全（NHTSA and Vehicle Cybersecurity）”。英国政府与今年八月颁布了针对只能网联汽车信息安全的原则和指南。甚至联合国也发表了汽车信息安全的纲领，其涵盖了数据与信号加密、车辆数据保护的第三方认证、安全功能等方面的内容。 联合国计划计划展开更深入的讨论，意在起草具有法律约束力的国际标准。

目前，国际上已经有 ISO26262 等汽车安全相关标准，美国也已形成 SAEJ3061/IEEE1609.2 等系列标准，欧洲 EVITA 研究项目也提供了相关汽车信息安全指南，国际标准组织ISO和美国汽车工程师协会SAE目前正携手制定统一的关于道路车辆的信息安全工程的国际标准ISO21434。

中国政府在 2014 年颁布的“国民经济和社会发展第十二个五年规划”中才首次将汽车信息安全作为关键基础问题进行研究，相对来讲起步比较晚。但随着近几年在这个领域里投入增加，车辆汽车信息安全领域的研究也取得了长足的进步，行业内基本建立包括云安全，管安全， 端安全在内的「云-管-端」数据安全技术框架，为进一步制定中国智能网联数据安全技术标准打好了基础。

在网联汽车日益普及的今天，车辆的信息安全性越来越重要。在今天的文章里，我们首先简短地介绍了黑客影响车辆信息安全的三种途径和方法，分别是通过物理接触、近场控制和远程控制来实施可能的攻击。 其次介绍了在车辆电子电器架构的四个层次上可以做的一些防护措施。最后再讲述了一下欧美和我国在加强车辆信息安全方面所做的努力，包括在立法和标准方面的现状和进展。