车联网网络安全白皮书(2017年)中国信息通信研究院2017年9月版权声明本白皮书版权属于中国信息通信研究院,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院”。违反上述声明者,本院将追究其相关法律责任。前言近年来,随着汽车保有量的持续增长,道路承载容量在许多城市已达到饱和,交通安全、出行效率、环境保护等问题日益突出。车联网作为信息化与工业化深度融合的重要领域,对促进汽车、交通、信息通信产业的融合和升级,对相关产业生态和价值链体系的重塑具有重要意义。伴随车联网智能化和网联化进程的不断推进,车联网网络安全事件出现,用户生命财产安全受到威胁,车联网安全已成为关系到车联网能否快速发展的重要因素。当前,正处于车联网发展关键时期,结合国际网络安全整体形势,强化车联网网络安全保障已成为当务之急。我院联合中国汽车技术研究中心、上海安吉星信息服务有限公司、中国第一汽车股份有限公司技术中心、上海观安信息技术有限公司、北京匡恩网络科技有限责任公司、北京奇虎科技有限公司、北京启明星辰信息安全技术有限公司,共同推出车联网网络安全白皮书(2017版)。本白皮书主要从车联网网络安全现状、威胁分析、防护策略等方面进行分析探讨,并展望车联网网络安全趋势,希望与业界分享,共同推动我国车联网产业的安全健康发展。目录一、车联网网络安全概述..............................................1(一)车联网基本概念...........................................1(二)网络安全视角下的车联网...................................2二、车联网网络安全现状..............................................6三、车联网网络安全威胁分析..........................................9(一)智能网联汽车安全威胁分析.................................9(二)移动智能终端安全威胁分析................................15(三)车联网服务平台安全威胁分析..............................15(四)车联网通信安全威胁分析..................................16(五)车联网数据安全和隐私保护威胁分析........................18四、车联网网络安全防护策略.........................................20(一)智能网联汽车安全防护策略................................20(二)移动智能终端安全防护策略................................23(三)车联网服务平台安全防护策略..............................24(四)车联网通信安全防护策略..................................25(五)数据安全防护策略........................................27五、车联网网络安全展望.............................................28缩略语.............................................................31中国信息通信研究院车联网网络安全白皮书(2017年)1一、车联网网络安全概述(一)车联网基本概念车联网指借助新一代信息和通信技术,实现车内、车与人、车与车、车与路、车与服务平台的全方位网络连接,提升汽车智能化水平和自动驾驶能力,构建汽车和交通服务新业态,从而提高交通效率,改善汽车驾乘感受,为用户提供智能、舒适、安全、节能、高效的综合服务。车联网以“两端一云”为主体,路基设施为补充,包括智能网联汽车、移动智能终端、车联网服务平台等对象,涉及车-云通信、车-车通信、车-人通信、车-路通信、车内通信五个通信场景,如图1所示。图1车联网应用场景车联网网络安全白皮书(2017年)中国信息通信研究院2车-云通信:智能网联汽车通过蜂窝网络、卫星通信等与车联网服务平台通信,传输车辆数据,接受服务平台下达指令。车-车通信:智能网联汽车通过LTE-V2X、802.11p与临近车辆进行信息传递。车-路通信:智能网联汽车通过LTE-V2X、802.11p、射频通信(RFID)等技术与路基设施进行通信。车-人通信:智能网联汽车通过WiFi、蓝牙或蜂窝移动通信技术与用户的移动智能终端进行信息传递。车内通信:智能网联汽车内部电子器件之间通过总线等方式进行信息交互。车联网是“互联网+”战略落地的重要领域,对推动汽车、交通、信息通信业的转型升级具有重要意义。但我国车联网总体发展还处于起步阶段,业务形态以“云”、“管”、“端”为主,车-车通信和车-路通信目前还处于研发测试阶段,为此后续安全分析主要围绕车-云通信和车内通信场景展开。(二)网络安全视角下的车联网本书所述网络安全从广义理解,就是:使用一切手段保障车联网网络畅通无阻的运行,保证其尽可能少的被攻击。车联网作为物联网在交通领域的典型应用,内容丰富,涉及面广。基于“云”、“管”、“端”三层架构,网络安全视角下的车联网如图2所示。中国信息通信研究院车联网网络安全白皮书(2017年)3图2网络安全视角下的车联网从防护对象来看,车联网的网络安全应重点关注智能网联汽车安全、移动智能终端安全、车联网服务平台安全、通信安全,同时数据安全和隐私保护贯穿于车联网的各个环节,也是车联网网络安全的重要内容。1.智能网联汽车安全网络安全视角下的智能网联汽车如图3所示。主要涉及车内总线、各电子控制单元(ElectronicControlUnit,ECU)、车载诊断(On-BoardDiagnostic,OBD)接口、T-BOX以及车载综合信息系统(In-VehicleInfotainment,IVI)等的安全风险。车内网络一般是基于总线的通信,包括CAN总线、LIN总线等;ECU相当于汽车各个系统的大脑,控制着如发动机、变速箱、车灯等部件的运行,通过与车内总线相连,各ECU之间进行信息传递;车载诊断接口OBD(On-BoardDiagnostic)是外接设备与车内总线进行通信的入口,通过OBD接口,可以通过统一诊断服务UDS(UnifiedDiagnosticServices)向ECU车联网网络安全白皮书(2017年)中国信息通信研究院4发送读写指令;T-BOX作为车内与外界进行信息交换的网关,实现汽车与车联网服务云平台之间的通信;车载综合信息系统IVI可以提供实时路况、导航、信息娱乐、故障检测和辅助驾驶等功能,为乘客带来新的驾乘体验。图3智能网联汽车智能网联汽车安全从防护对象来看,包括芯片安全、外围接口安全、传感器安全、车钥匙安全、车载操作系统安全、车载中间件安全和车载应用软件安全。其中芯片安全涉及电子控制单元ECU、车载操作系统等的芯片安全;外围接口安全包括车载通讯模块T-BOX、车载诊断系统接口OBD等安全;传感器安全包括摄像头和雷达等的传感器安全。2.车联网移动智能终端安全车联网移动智能终端以智能手机等终端设备为主,用于实现人与智能网联汽车、车联网服务平台等的交互,例如车主通过移动智能终中国信息通信研究院车联网网络安全白皮书(2017年)5端可以发送远程控制指令到云端服务器,云端服务器再将车主的控制指令发送给智能网联汽车,实现对汽车的远程控制等功能,例如远程开启空调、车辆预热等。从防护对象来看,车联网移动智能终端安全应重点关注终端系统安全和App安全。3.车联网服务平台安全车联网服务平台是提供车辆管理与信息内容服务的云端平台,负责车辆及相关设备信息的汇聚、计算、监控和管理,提供智能交通管控、远程诊断、电子呼叫中心、道路救援等车辆管理服务,以及天气预报、信息资讯等内容服务。车联网服务平台是车联网数据汇聚与远程管控的核心,从安全防护对象来看,应重点关注车联网服务平台的平台系统、控制接口、WEB访问接口、账户口令、数据保护等问题。4.车联网通信安全车联网的目的是实现车内、车与人、车与车、车与路、车与服务平台之间的信息通信。主要涉及车内网络、车际网络和车载移动互联网络。其中,车内网络包括CAN总线、LIN总线等总线通信,以及WIFI、RFID、蓝牙、红外线、NFC等无线通信方式。车际网络实现智能网联汽车之间、智能网联汽车与路基设施的通信,目前,直连模式的车际网络主要涉及LTE-V2X和IEEE802.11p这两种通信方式。车载移动互联网络包括2G/3G/4G/5G、卫星通信等无线通信方式。车联网通信安全从安全防护对象角度,应重点关注车内网络、车车联网网络安全白皮书(2017年)中国信息通信研究院6际网络和车载移动互联网络等安全。5.数据安全和隐私保护车联网数据安全从安全防护对象来看,涵盖从数据采集、数据传输、开发利用、数据存储、数据备份与恢复、数据删除等环节,包括但不仅限于用户信息、用户关注内容、汽车基本控制功能运行数据、汽车固有信息、汽车状态信息、软件信息和功能设置信息等安全。用户隐私信息包括车主信息(如姓名、身份证、电话)、车辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如位置信息、行驶轨迹),以及用户使用习惯等。二、车联网网络安全现状(一)网络安全事件显现,用户生命财产安全受到威胁车联网网络攻击风险加剧,人身安全受到威胁。目前,已出现针对车联网的网络攻击事件,部分案例中攻击者可控制汽车动力系统,导致驾驶者的生命安全遭到威胁。2015年,克莱斯勒的Jeep车型被国外的安全专家入侵,利用Linux系统漏洞,远程控制汽车的多媒体系统,进而攻击V850控制器,并对其固件进行修改,获取远程向CAN总线发送指令的权限,达到远程控制动力系统和刹车系统的目的,可在用户不知情的情况下降低汽车的行驶速度、关闭汽车引擎、突然制动或者让制动失灵1。2016年,同款Jeep车型在被物理接触的情况1中国信息通信研究院车联网网络安全白皮书(2017年)7下,被攻击者通过OBD接口注入指令,控制车辆的动力系统,可操控方向盘和刹车系统,严重威胁驾驶员人身安全2。黑客破解车联网远程控制账户,车主财产安全受到威胁。2016年,来自挪威安全公司Promon的专家在入侵用户手机的情况下,获取特斯拉App账户用户名和密码,通过登录特斯拉车联网服务平台可以随时对车辆进行定位、追踪,并解锁、启动车辆,最终导致车辆被盗,造成用户的财产损失3。(二)车联网产业链长、防护环节众多,网络安全问题复杂车联网作为物联网在智能交通领域的典型应用,其产业链覆盖“两端一云”,主要围绕安全、智能出行和信息娱乐,涵盖元器件供应商、设备生产商、整车厂商、软硬件技术提供商、通信服务商、信息服务提供商等。由于车联网产业链较长,且网络安全防护对象多样,安全防护环节众多,不可避免存在产业链某一环节,如元器件供应商,无法在产品中实现足够的安全防护措施,导致存在薄弱环节。同时,车联网还面临网络安全需求复杂,网络安全防护手段建设缺乏针对性和系统性等问题。2://车联网网络安全白皮书(2017年)中国信息通信研究院8(三)安全企业、整车厂商加快安全布局,但尚未深入合作目前,国内以比亚迪、上汽等为代表的整车厂商已开始车联网网络安全工作部署,并取得一定进展。在网络安全技术研发方面,企业内部初步形成了跨部门的合作机制;以安全为基准的全新生产线逐步替代