第八章 车联网安全

第八章 车联网安全

• 车联网在给汽车和驾乘人员带来移动联网能力、远程和智能操控、新型信息服务、交通安全和效率提升等好处的同时，也让汽车和交通网路/平台与外部世界间有了更多接口和数据交互，从而使它们面临更多的安全风险。

8.1 车联网通信安全

• 在车联网和智能交通系统中，车、用户的智能手机等终端设备、交通基础设施、云平台、网络侧应用服务器等通过各种通信技术实现联网和信息交互。为了实现车联网的安全，首先应保证这些消息交互的安全，即保证通信安全。

8.1.1 V2X通信安全

• V2X通信包含车与车、车与路/车与交通基础设施、车与行人等各种通信形式，V2X通信是实现碰撞预警、编队行驶、事故通告、接力感知、协作式交通等辅助或自动驾驶功能的关键技术之一。
• V2X通信有两种技术实现方式：
  • IEEE提出的DSRC/11p技术，该技术比较古老，性能有限。
  • 3GPP提出的基于LTE和5G的C-V2X技术，这是一种新的技术，有更优的性能，且有明确的和持续的演进路标。

8.1.1.1 DSRC/11p通信安全

• DSRC/IEEE 802.11p使用IEEE 1609.2标准中定义的安全机制来保障通信安全，其所使用的WAVE协议栈和安全协议如下图所示：
  

• IEEE 1609.2标准针对WAVE设备中的应用以及管理消息的安全服务做出了规范，目标是防止窃听、重放、哄骗以及篡改攻击，并且能够保护用户的隐私，防止将个人的可识别类信息泄露给未授权的第三方。

• IEEE 1609.2安全基于CA证书，是一种纯应用层的安全机制。IEEE 1609.2标准中关于WAVE协议栈的安全服务如下图所示：
  

• WWW安全服务包括：

  1. 安全处理服务：提供保护通信数据的安全处理服务。
     • 安全处理服务负责基于CA证书对应用层PDU（协议数据单元）进行加解密、签名和验签；
     • 对发送的WSA（WAVE业务公告）进行数字签名，对接收到的WSA进行验签；
     • 对证书请求消息进行签名；
     • 对证书请求响应消息进行验答和解密；
     • 对CRL（证书撤销列表）消息进行验证等等。
  2. 安全管理服务：通过证书管理实体（CME）和供应商服务安全管理实体（PSSME）来提供证书管理服务。
     • 在安全管理服务中，证书管理实体（CME）负责管理证书的状态信息，包括自身的证书、通信对端的证书、CA的证书等。
     • 供应商服务安全管理实体（PSSME）为请求进行安全处理服务（Security Provider Service）公告的高层实体提供必要的安全支持，包括为安全处理服务分配标识LSI-S、保存安全处理服务的业务许可以及安全处理服务在WSA中进行签名所需要的私钥证书。

8.1.1.2 C-V2X通信安全

• 3GPP SA1提出以下C-V2X安全需求：

  1. 当车联网终端使用支持V2X通信的E-UTRAN（Evolved Universal Terrestrial Radio Access Network）所提供的服务时，3GPP网络应提供运营商授权车联网终端进行V2X通信的方法。
  2. 即使E-UTRAN不支持V2X服务，3GPP网络仍应提供一种运营商授权车联网终端进行V2X通信的方法。
  3. 3GPP网络应提供一种授权车联网终端使用车到网络通信服务的方法。
  4. 3GPP网络应保护车联网终端的匿名性和传输的完整性。
  5. 根据监管机构的要求，3GPP网络应保护采用V2X通信终端的匿名性和隐私性，保证车联网终端在V2X应用所要求的某一个短时间之内被识别，而在长时间内不能被其他终端追踪或识别。
  6. 根据监管机构的要求，3GPP网络应保护采用V2V/V2I通信终端的匿名性和隐私性，保证车联网终端不能被未经监管机构或用户授权的一方在该区域追踪。

• 基于3GPP SA1所提出的安全需求，3GPP SA3在Release 14中对C-V2X的安全威胁和解决方案等进行了研究，研究成果记录在3GPP TR 33.885中，该研究报告的主要结论是：

  1. 可以通过应用层安全机制（如IEEE 1609.2）来满足LTE-V2X通信的授权检查、认知校验、完整性保护、抗重放攻击、机密性等安全需求。
  2. LTE-V2X不强制要求启用PC5接口上的V2X通信数据机密性保护。
  3. 对于直通链路发送模式3，PC5接口上的LTE-V2X通信的授权由网络控制。授权通过安全的PC3接口传输给车联网终端。
  4. 车联网终端和位于归属PLMN（Public Land Mobile Network，公共陆地移动网络）中的V2X控制功能（V2X Control Function）之间的V3接口宜使用ProSe（邻近业务）中PC3接口的安全机制。
  5. LTE-V2X应支持对用户数据的隐私保护，而基于PC5的V2X通信方式能更好地保护用户隐私，特别是PC5 Mode 4（直通链路发送模式4）。

• 在TR 33.885的基础上，3GPP SA3制定了TS 33.185。下图给出符合TS 33.185安全机制的C-V2X的协议栈和安全协议：
  

• Release 14 BSM协议栈的消息示例如下图所示，是C-V2X中安全协议的各层组包流程示意图。
  

• 下面以BSM（Basic Safety Message，基本安全消息）的发送和接收处理为例来介绍该流程：

  • 发送处理：
    1. 在发送端，车联网终端协议栈中的消息子层、传输层和网络层对需要发送的BSM消息进行逐层封装，增加对应的包头；
    2. 对于网络层输出的数据单元，安全服务层在其前面增加主要包含证书信息的安全头，在其后面增加数字签名，这个数字签名依据正在使用的数字证书所对应的私钥和网络层数据单元计算得到；
    3. 安全服务层将打包数据交给媒体接入层和物理层进行相应打包封装后，通过LTE-V2X空口发送出去。
  • 接收处理：
    1. 在接收端，车联网接收终端（其他汽车、路边单元设备、行人手持终端等）从LTE-V2X空口成功接收和解调了发送方所广播的消息；
    2. 经过物理层和媒介接入层的解析后交给安全服务层处理；
    3. 安全服务层从安全包头中提取发送方所使用的数字证书，用本地存储的根证书或证书链校验该数字证书的合法性；
    4. 如果数字证书是合法的，则从证书中提取公钥，再用该公钥对所接收消息中的数据单元和签名信息进行验签；
    5. 验签通过后，安全服务层将数据单元提交网络层进行后续处理。

• 为了保护车联网终端和用户的隐私，SAE J2945.1规范建议了一种可实现应用层匿名化的机制。其主要步骤是：

  1. 为每个车联网终端一次性安全地配置大量的数字证书，例如足够车联网终端在3年内使用的所有证书，每一个证书上的车联网终端ID（这是一个应用层ID）是不一样的，相互之间也没有任何相关性；
  2. 每天这些证书中的一小部分会被解锁，供车联网终端使用；
  3. 当进行V2X通信时，每隔一小段时间（例如每5分组），车联网终端会变换所使用的数字证书，即重新随机地从当天可用的数字证书集中选择一个新的数字证书，用它对后续的V2X消息进行签名。

• 为了防止监听者通过关联应用层的车联网终端ID和底层ID来持续追踪用户，当车联网终端切换证书来改变应用层ID时，应同步地随即改变自己的源IP地址和C-V2X层2 ID。

• 在基于3GPP TS 33.185和IEEE 1609.2的C-V2X安全机制中，车联网终端的通信安全要求可被总结为：

  • 对于PC5通信，车联网终端应支持基于CA证书的数字签名和验签机制，并使用应用层安全来保护V2X消息的完整性和防重放攻击。
  • 对于Uu通信，车联网终端应支持LTE通信安全机制，包括基于EPS-AKA的双向认证、空口加密和完整性保护；车联网终端同时应支持基于CA证书的数字签名的验签机制和应用层安全。其中LTE通信安全机制为可选使用且主要用于单播通信，即车联网终端和网络应使用应用层安全机制或者应用层安全再加上空口安全的方式保护Uu通信。
  • 为保护用户隐私，车联网终端应在应用层进行匿名化处理。
  • 对于有强隐私性要求的业务场景，车联网终端应仅使用PC5 Mode4（直通链路发送模式4），当应用层指示应用层ID变化时，车联网终端应随机地改变自己的层2 ID，对于IP通信，车联网终端还应采用RFC3041或其他方式随机地改变自己的源IP地址。

8.1.2 车内通信安全

• 车内通信包括通过总线方式（如CAN、LIN总线等）实现与汽车内电子部件（如电子控制单元ECU、传感器、OBD、OBU等）的车载单元间通信，以及通过车内蓝牙、Wi-Fi、NFC、红外线等短距离无线通信技术实现的车内无线个人域网（PAN）和无线局域网。

• CAN网络是由德国Bosch公司开发的，并最终成为ISO 11898 国际标准，它是国际上应用最广泛的现场总线之一。

• CAN总线协议是汽车计算机控制系统的标准总线，同时也是车载ECU、传感器和OBD之间通信的主要总线。

• CAN总线的短帧数据结构、非破坏性总线仲裁技术、灵活的通信方式等特点能够满足汽车实时性和可靠性的要求，但同时也带来了系统安全隐患，如广播消息易被监听，基于优先级的仲裁机制易遭受攻击，无源地址域和无认证域无法区分消息来源等问题。特别是在汽车网联化大力发展的背景下，车内网络攻击更是成为汽车信息安全问题发生的源头。

• CAN总线的数据链路层协议是确定的，但是在应用层，不同的汽车品牌甚至是不同的车型都有不同的定义，并不是公开的，这起到了一定的隔离保护作用，但近年来已有不少通过逆向工程、模糊测试等方法获得CAN通信矩阵并破解汽车的应用层总线协议的安全攻击事件。

• 为了保护汽车内电子部件间的通信安全，应设置不同的安全域进行隔离，限制诊断端口的访问，增加汽车电子单元的计算能力，在CAN总线通信的应用层增加加密、完整性保护、防重放攻击等功能。

• 对于车内个人域网和车内局域网，为加强通信安全，应开启认证和使用最强加密协议，对于使用共享密钥的安全和加密协议，应保证密钥对长度和随机性，同时对密钥进行私密性保护。

8.1.3 车网/车云通信安全

• 汽车到网络、云平台和网络侧应用服务器的通信主要通过蜂窝移动通信网络实现，为保证通信安全，应禁止使用2G GSM网络，以避免接入GSM伪基站和接收到伪造信息，进而受到逆向工程等安全攻击。
• 当使用3G、4G和未来5G服务时，应开启蜂窝移动通信网双向认证，使用蜂窝移动通信网空口安全机制（如用户面加密、控制面加密和完整性保护）。对敏感数据还应附加使用应用层认证、加密、完整性保护和防重放攻击等安全功能。
• 汽车为了进行导航、定位和提供eCall/NG-eCall等服务会配备GNSS模块。GNSS模块通过接收GNSS卫星所广播的导航消息等进行定位，进而提供导航等位置服务。为防止定位欺骗和定位信息重放，车载GNSS模块和相关控制单元应能对GNSS卫星信号进行一致性校验。

8.2 网联汽车安全

• 智能网联汽车安全是车联网安全的核心。对网联汽车的安全攻击轻则可能导致车辆故障或被盗等现象，致使用户财产受损；重则可能导致交通事故，甚至是车毁人亡的重大交通事故。
• 为实现网联汽车的安全，除使用通信安全机制外，还应从底层的芯片（ECU、T-BOX芯片、OBU芯片等）安全、固件安全、外围接口安全、传感器安全和车钥匙安全、上层的车载操作系统安全、车载中间件安全和车载应用软件安全等多角度和系统化地去保障。
• 随着网联汽车的智能化，操作系统和车载应用软件所带来的安全风险也在不断增加。为了应对这些风险，应该以芯片/硬件/固件安全为基础，采用硬件隔离和安全域隔离的方式，将具有高安全要求特征的核心驾驶系统和驾驶辅助应用与具有低安全要求特征的车载娱乐系统和娱乐应用进行隔离，例如，仅在SPU（安全处理器）/TEE（可信执行环境）/SE（安全单元）中运行敏感操作。
• 对于车载应用软件，应进行安全生命周期监管，包括代码审查、应用测试、测试后进行代码签名和版本控制。对车载应用的测试应审查是否有恶意代码注入、恶意后门、已知漏洞、对信息的越权访问等不当行为，是否有足够强度的认证机制和访问控制功能、对敏感信息的加密保护、软件的加固防护、安全的更新机制等。

8.3 车联网信息服务平台安全

• 车联网信息服务平台是提供车辆管理与信息内容服务的云端平台，负责车辆及相关设备信息的汇聚、计算、监控和管理，提供智能交通管控、远程诊断、电子呼叫中心、道路救援等车辆管理服务，以及天气预报、信息资讯等内容服务。

• 从安全防护对象来看，应重点关注车联网信息服务平台的平台系统、控制接口、Web访问接口、账户口令、数据保护等问题。

• 车联网信息服务平台是车联网数据汇聚与远程管控的核心，一般采用云计算技术。

  • 对于车联网云平台，需要充分保证其物理安全、主机安全、大数据组件安全、网络安全、应用安全、账号和权限安全；
  • 使用网络防火墙、入侵检测系统、入侵防护系统、Web防火墙等进行安全防护；
  • 有资源隔离保护、严格访问控制、安全审计与监控保护等安全保障机制；
  • 有完善的安全管理制度，包括安全策略、安全管理机构和人员、安全建设管理、安全运维管理、安全日志等。

8.4 车联网数据安全和个人隐私保护

• 车联网数据安全从安全防护对象上讲，涵盖数据采集、数据传输、开发利用、数据存储、数据备份与恢复、数据删除等环节，数据安全包括但不限于用户信息、用户关注内容、汽车基本控制功能运行数据、汽车固有信息、汽车状态信息、软件信息和功能设置信息等安全。

• 用户隐私信息包括车主信息（如姓名、身份证、电话）、车辆静态信息（如车牌号、车辆识别码）、车辆动态信息（如位置信息、行驶轨迹），以及用户使用习惯等。

• 车联网应保护用户的隐私，对个人隐私数据的采集和处理应遵循以下原则：

  1. 目的明确。采集和处理个人信息应具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变个人信息的目的。
  2. 最少够用。只采集和处理与最终合法和合理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。
  3. 公开告知。对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
  4. 个人同意。处理个人信息前要征得个人信息主体的同意。
  5. 质量保证。保证处理过程中的个人信息保密、完整、可用，并处于最新状态。
  6. 安全存储。采取适当的管理措施和技术手段，保护个人信息安全，个人信息应加密和脱敏存储。防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

• 应对车联网数据，特别是敏感数据（包括个人隐私数据）在整个数据生命期进行机密性、完整性和可用性保护。对一般车联网数据、敏感数据和个人隐私数据应实施分级保护，对访问权限也要进行分级管理，特别要加强对隐私数据、重要和敏感信息的保护和访问管理。