车联网的安全威胁及研究现状

车联网的安全威胁及研究现状
车联网的安全威胁及研究现状
车联网的安全威胁及研究现状
原创：陈粱
■ 国际关系学院陈粱
车联网是面向车辆通信的网络，由在道路上行驶的具有感知和通信能力的汽车与路边通信单元以及后端服务器共同构成。

特点是通信节点具有较高的移动性，网络拓扑结构快速变化，是一种无限分布式的自组织网络。

根据不同的通信节点，可将其通信模式分为车与车（V2V）通信，车与路（V2I）通信，车与其他节点的混合通信（V2X）。

车联网的出现让汽车使用者可以随时随地享受互联服务带来的便捷，同时也伴生了一系列安全问题。

一、车联网安全风险及发展趋势
近几年，车联网安全事件频发，国内外众多致力于车联网安全领域的从业者不断挖掘安全漏洞，研究完善相关技术。

2010年，南卡罗来纳大学和罗格斯大学的研究人员实现了对汽车电子胎压监测系统（TMPS）的攻击。

研究人员实现了远程控制胎压警告灯的开启与关闭，这将会误导驾驶员对于车辆胎压状态的判断，从而达成某些非法目的。

2011年，由于斯巴鲁运用验证短信的方式对汽车执行互联服务存在漏洞，在DEFCON会议上，技术人员利用截获的车主发送的验证短信解锁了车辆。

2013年，DEFCON会议上黑客通过福特翼虎、丰田普锐斯的软件漏洞，实现了在车内连入车辆网络，从而控制车辆的油门与刹车等关键系统。

2014年，360公司利用特斯拉汽车应用程序的流程设计漏洞，实现了远程解锁、开关车灯等一系列操作。

2015年，Jeep 大切诺基由于车载娱乐系统的漏洞，其刹车与转向系统被远程控制，最终导致克莱斯勒公司召回140万辆问题汽车，造成了
巨大的经济损失。

2016年，腾讯科恩实验室实现对特斯拉的远程入侵，他们将特斯拉的主屏幕更换成科恩实验室的标志，且车主无法进行操作。

随后，又实现了远程解锁汽车，行进中控制车辆部分功能，例如刹车、后视镜、后备箱等。

2017年伊始，车联网的安全风向标又急转至客户的数据安全及隐私安全。

6月，美国某经销商集团数据库遭到攻击，涉及多个品牌超过1000万辆汽车的销售数据泄露。

12月，日产汽车官方宣布旗下的金融公司数据库数据信息遭到黑客窃取，客户的个人信息、贷款信息等都在窃取范围内。

纵观这几年的`车联网安全事件，可以看出安全威胁在逐步升级，其规律是按照车联网架构层级逐级而上的。

先由感知层的各路传感器信号被攻破开始，再通过利用处于中间的通信层和计算层的车载网络和车载设备漏洞攻击，之后向更高层级的控制层和服务层发起挑战，最终实现远程控制车辆，窃取用户数据等一系列安全问题。

由此可见，车联网的安全威胁贯穿整个网络架构，每个层级都面临着众多问题，车联网安全形势有待改善。

通过对这些事件进行分类总结，车联网安全问题主要集中在以下几个方面：
（一）车联网隐私保护
目前车联网所能提供的服务正呈现快速的扩张发展，但是在隐私保护问题上并没有紧跟发展的步伐。

连接互联网汽车内部的传感器可以监视驾驶员的活动，收集用户信息。

例如，注意力辅助系统可以监视驾驶员注意力是否集中；车载导航系统服务在开通之前需要用户接受车辆位置信息反馈的条款；UBI（Usage-Based Insurance）车险业务的盛行甚至使得驾驶员可以向保险公司提供自己的驾驶习惯信息以换取较低的保费。

目前车联网面临的隐私保护主要问题集中在以下三个方面：
1. 位置隐私
车联网可以为用户提供导航及道路周边基础设施信息等服务，但同时也会记录车辆的位置信息。

这些请求提供位置服务的车辆会周期性的通过路边单元或GPRS网络向地图提供方和位置服务供应商广播自己的位置信息，用户常去地点功能会在上下班时刻规律的行车记录推断用户家庭与公司之间的位置。

由于通信方式的开放性，这种通信方式非常容易利用路边单元（RSU）监控并追踪行驶路径。

2. 用户数据隐私
使用车载电话的车辆记录每一次通话，联系人列表，音乐喜好等。

车辆远程信息处理系统与车企和救援单位通过无线连接的方式，作为事故发生时的紧急呼叫系统无法被用户主动关闭，并且会记录这些数据传到云端。

3. 身份隐私
运营商服务器和云服务系统存储着大量的车主信息。

而且现有的VANET紧急消息报文多以明文传输。

如果攻击者攻击服务器，云服务系统或是监测网络中的信息传送，则很容易获取用户的全面信息。

如果攻击者在利用这些信息对自己的身份进行伪造并发起女巫攻击（Sybil Attack），那么其影响会十分严重。

（二）通信安全
车联网的通信安全按照通信距离可以分为车载网络通信安全和远程通信安全。

1. 车载网络的通信安全
车内网络接入主要服务一些车载娱乐设施。

这种车内的网络接入因为其辐射范围小，所以难有机会被陌生威胁侵入。

但这也仅限于乘客所使用的设备都是安全的这一前提。

换言之，如果乘客在不知情的情况下携带了被黑客入侵的设备并且
已连接车辆内部网络，那么对于车联网将会是一个巨大的威胁，该设备将通过车载网络向车辆发送指令，从而控制车辆。

2. 远程通信安全
车联网的网络拓扑结构会随着车速的变化而频繁变化，随时都可能有新的通讯节点出现或消失。

吞吐量的迅速变化导致信道利用率不断地改变以及拥塞的出现。

迅速改变的网络拓扑结构会引发很多消息传输上的失败，尤其是涉及安全信息的发送。

如果对时效性有较高要求的信息没能及时传递，会对驾驶员或整个路网造成严重影响。

目前，在车联网使用的安全消息广播机制中广泛应用的基于GPRS技术的安全消息广播技术仍然存在着一些不足。

这种机制基于车辆位置，它的链路稳定性差，尤其对距离较远且高速移动的节点无法保证链接可靠性。

此外，在通讯节点不断变化的过程中，很容易被可疑车辆假扮通讯节点，篡改信道中的信息，从而降低通讯可信度。

（三）硬件与软件安全
接入车联网的汽车已经不单单是传统意义上的车辆，它更像是一个在公路上高速奔驰的个人电脑。

在车联网感知层将各路信号集于一身的CAN总线就像是计算机，汽车上的各路系统配备的电子控制单元（ECU）全部将信号经过CAN总线的分配与调度。

这也就意味着，入侵者可以从连接CAN总线的任意一个系统入手，寻找漏洞，同时也可以利用CAN总线控制任何ECU指令。

CAN总线内部的数据传输是利用CSMA/CD技术，通过监听CAN总线上传输的数据，利用重放攻击方式逐一破解其数据指令。

如果利用已知的数据指令修改通讯协议，就可以实现对车辆的完全控制。

不仅如此，也可以利用它的冲突检测机制实施DoS攻击。

目前，利用网络攻击间接控制CAN总线的尝试逐渐增多。

这种攻击方式通常是先利用车载软件的漏洞控制其与CAN总线通信接口，随后建立对CAN总线的监听，逐步破解控制车辆的其他系统。

不仅如此，通过利用伪装身份利用RSU发送伪造
信息也已经成了黑客惯用的攻击手法之一。

车联网连接的硬件与软件安全承受着各种考验。

二、车联网安全风险研究现状及解决方案研究
近些年，保护车联网安全，尤其是网络安全背后的生命财产安全已经越来越得到国内外研究人员的关注。

当前国内外对车联网安全的研究正处于发展阶段，研究方向主要集中在以下几个领域。

（一）隐私保护
对于车联网的隐私保护研究主要集中在认证和匿名方法研究与改进。

应用在车联网的基于假名的认证方案在需要随机选取一个由证书授权中心（CA）分发且预装在车辆车载单元（OBU）中的假名证书进行通信。

利用OBU预存映射关系表可以获取恶意车辆身份并进行追踪。

但是这种方法需要相当大的存储开销，认证率和查找效率非常低。

基于公钥基础设施（PKI）的匿名认证策略，要求车辆在注册之初凭借自己的主密钥获取证书，并自主生成假名证书，免去了CA对假名证书维护开销。

但这种方法无法控制假名证书的数量，增删改查操作极其复杂，难以追溯恶意车辆。

安徽大学的温靖宇提出了基于假名的签名作为安全认证方案，可利用批处理认证来提高方案的通信和计算效率。

其过程为：1. 系统初始化时可信中心TA在车辆申请之初预加载公共参数到车辆防篡改设备同时加载到RSU 中。

2. 防篡改设备验证身份和口令，生成假名并根据假名计算生成签名私钥。

3.接收消息后进行签名和批认证。

该方案的优点在于减少了计算代价和通信开销，同时针对位置隐私的处理，比较可行的方案是采用虚拟位置与路径混淆相结合的位置隐私保护方法。

（二）入侵检测算法的车载自组织网络应用
由于车联网具有节点频繁更替的特点，入侵检测系统（IDS）的应用也面临挑战。

法国特莱姆森大学SystemX技术研究所的研究人员有针对性地提出了一种专门用于车载自组网（VANET）中的入侵检测系统（IDS），且能够达到较高的检测率和较低的误检率。

时任三星公司移动设备安全研究技术主管的Morais博士等研究人员基于传统的IDS衍生出的分布式IDS可以在车辆信息交互过程中高效的将恶意行为分类。

深圳大学的研究人员提出了一种新的特征抽取方式，基于GHSOM 神经网络分类器提取两个主要特征，分别为交通流量特征和车辆位置特征，利用这两个主要特征判断恶意车辆和恶意攻击。

研究人员还提出了两部确认机制，这种IDS优化了现有VANET 中IDS的精度，提高了系统稳定性和处理效率。

在此基础上还提出了基于隐式马尔可夫模型滤波器，这个滤波器通过规划、过滤和更新三大模块可以实现对车辆消息的快速过滤，优化了IDS的检测时间，减少了系统负载。

（三）风险评估与信任管理
上海交通大学安泰经管学院的研究人员设计了一种车联网隐私泄露风险评估模型并利用该模型动态给出防御策略。

这个模型以一个攻击防御树的模式展现，模型结合每一种安全隐患被突破的概率计算攻击花销和防御花销。

不仅如此，他们还探讨了多级攻防模式下的风险评估模型的表现，并检验了在模拟多级攻防博弈下防御策略的动态生成能力。

美国霍华德大学电气工程和计算机科学系的研究人员基于信任模型用两种方法检测恶意车辆，一是概率方法检测通信车辆信噪比的变化，二是结合恶意车辆的GPS位置信息与通过通信时延得出的距离差异评估检测恶意车辆。

纽约理工大学的研究人员提出了一个可抵抗攻击的信任管理方案，可以有效地对传输中的数据进行评估和对恶意通信进行检测。

三、结语
接入车联网的汽车是已经成为汽车制造行业与互联网行业协同发展的产物，人们对待互联车辆的积极期待的态度远远超出了对安全的担忧。

在消费者期待享受更多驾驶乐趣和舒适体验的同时，也应清楚地意识到车联网安全威胁潜伏于这些
不断扩展的服务当中。

汽车主机厂和互联服务提供商需要正视潜在问题，发展与防护相结合，在设计之初就要考虑到网络安全的重要性，做到防微杜渐。

车联网安全应该得到充分的关注，相关领域的研究还应得到足够重视。

（本文刊登于《中国信息安全》杂志2018年第6期）。