车联网网络安全技术研究
作者:互联网
本文由宁玉桥,赵浩,霍全瑞,于明明联合创作
摘要
车联网近几年的迅速发展,在推进汽车向网联化、智能化发展的同时,也带来了一定的网络安全风险。为了提高汽车的网络安全防护水平,针对汽车联网部件、云平台等的防护技术成为汽车领域的研究热点。文章从车端安全、通信安全、平台安全以及移动应用安全等角度,梳理了车联网安全的技术要求,并总结了当前汽车网络安全领域的最新研究成果,为今后的车联网安全研究提供基础。
前言
作为智能交通系统快速发展阶段必要的智能管理技术和应用,车联网融合了新一代信息通信技术,以行驶中的车辆为信息感知对象,综合应用了智能传感器、无线通信、分布式数据库、信息处理与互联网等技术,实现了车内、车与人、车与车、车与路、车与服务平台的全方位网络连接。车联网的信息传输网络结构主要可划分三层,由低到高分别为感知层、传输层和应用层。
车联网感知层是车联网的神经末梢。车辆通过智能传感器、定位技术等对车辆周围环境和自身在交通环境中的状况进行感知,并实时采集车辆驾驶环境信息、位置信息、车内控制系统信息、车辆外部周边道路环境信息与其他车辆、行人等信息,为车联网提供全面的实时终端信息。
车联网传输层是感知层和应用层的桥梁。传输层通过整合感知层的各类异构数据,并建立可靠的信息传送通道,为应用层提供信息传输服务,实现网络各元素间的信息交互。与物联网不同的是,车联网的感知实体具有高速移动的特征,并且往往涉及到与用户实体相关的信息服务,使其面临的网络结构和共享环境更加复杂。因此,车联网传输层需要提供可靠安全的信息传输机制以及扩展性强的异构互通的基础设施和应用,从而实现车联网信息安全高效的传输。
车联网应用层是促进车联网技术不断发展和创新的动力。应用层主要为智能交通系统以及用户提供各种不同的应用来满足现代交通的需求,包括智能交通规划与管理、车辆安全监控、交通事故预警、协同防驾驶碰撞等。随着用户需求的提高与车辆内部装置和技术的升级,应用层还可为车联网提供更多个性化的服务实现。
以上述车联网网络层次划分为基础,可根据防护对象将车联网网络安全分为智能汽车车端安全、通信安全、车联网服务平台安全、移动应用安全等几个部分。
图 1 车联网网络结构层次划分
1 智能汽车车端安全
图 2 智能汽车车端安全
智能汽车车端安全是车联网安全的核心内容,针对车端网络安全防护,可采用关键组件系统加固技术、传感器安全防护技术、CAN 总线加密认证技术、车载入侵检测技术、OTA 安全升级技术、IVI 漏洞分析技术等,以实现全面的车端安全防护。
1.1 关键组件系统加固
智能汽车车端的关键部件,通常既可以与车内的网络进行通信,获取车内网络数据,同时也可以与外界进行通信,将这些信息传输出来。如果这些关键部件的系统被攻击,数据信息被窃取的风险会显著提高,因此需要对关键部件的系统进行加固。
针对智能汽车车端关键部件所面临的安全风险, 通常采取安全启动技术,在设备启动的各个阶段对启动过程进行安全校验。如采取进程白名单技术,对系统中运行的程序进行检测。J. Wang 等人提出了一种动态可扩展的椭圆曲线密码系统,适合车载嵌入式设备中的应用。
1.2 传感器安全防护
针对感知层的防护可从两个角度出发。一是从代码层的角度,通过优化传感器数据处理方法,借助一致性判断、异常数据识别、数据融合等技术不断提高自动驾驶系统感知层的鲁棒性。另一方面是从传感器本体入手,通过布置冗余的传感器提高感知系统的稳定性,并针对不同的传感器进行专门的安全防护,如针对摄像头的强光攻击,可通过优化镜头材料等方式进行防护;针对无线电中继攻击,可采取信号实时性验证,通信设备认证等方式实现中继设备的识别;针对信号干扰攻击,可采用匹配滤波器进行高斯噪声信号的过滤等方式进行安全防护。
针对具有多个传感器测量同一物理变量的车辆系统,其部分传感器可能遭受恶意攻击导致系统无法正常工作的攻击场景,R. Wang 等人设计了一种弹性传感器攻击检测算法。该算法在系统中增加了一个虚拟传感器,并为每个传感器建立故障模型,利用传感器之间的对偶不一致来检测攻击;同时为了提高瞬时故障存在时的检测率,还考虑了系统动态模型,并将历史测量数据纳入检测算法中。针对基于卫星导航系统(Global Navigation Satellite System, GNSS)的位置感知易遭受欺骗攻击的特性,N. Souli 等人提出了一种位置验证解决方案,使用车载传感器读数(如加速度计等)和机会信号作为位置信息的替代来源以防止被欺骗。针对自动驾驶和智能交通系统中的协同移动性跟踪问题,W. Pi 等人提出了一种恶意用户检测框架,该框架包括两种顺序检测算法和一种安全的移动数据交换融合模型,用于检测虚假移动性信息,并将提出的检测算法与以往的数据融合算法进行了整合。
1.3 CAN 总线加密认证
随着智能网联汽车的迅速发展,车内总线网络逐渐接入互联网,车内网络开始通过各种各样的通信方式与外界进行信息交互。CAN 总线设计之初并没有加入安全机制,这导致现阶段车内总线网络安全容易暴露在互联网环境下,黑客可以轻松监听总线报文信息,从而逆向破解总线协议,实施恶意攻击。
针对 CAN 总线的安全风险,Lenard 等人提出了一种混合不同消息签名的方法 MixCAN,同时可以减少 CAN 通信的开销。H.J.Jo 等人提出了一种新的身份验证协议 MAuth-CAN,该协议可防止伪装攻击,且可兼容现有 CAN 控制器。L.Xiao 等人提出了一种 CAN 总线认证框架,利用报文的物理层特征, 基于报文到达时间间隔和信号电压等,利用强化学习来选择认证模式和参数,并提出了利用深度学习进一步提高 CAN 总线认证效率的方法。
1.4 车载入侵检测
车载入侵检测(Intrusion Detection and Preven- tion System, IDPS)技术主要通过对车端的通信数据包进行识别与过滤进行防护,一般支持通过在线升级或离线升级方式,实现对特征库、规则文件和状态机模型的升级,增强引擎的防护能力。通过使用车载IDPS 技术,并采用多重检测技术和多种防御手段,可实现对车内网络流量的实时深度检测。
车载IDPS 技术的核心在于如何准确识别异常通信数据包。M. Sami 等人提出了一种基于监督学习深度神经网络架构的异常检测算法,可对抗三种关键攻击类别:拒绝服务,模糊攻击和假冒攻击。T. Yu 等人提出了基于网络拓扑结构验证的入侵检测方法以提高 CAN-FD 网络的安全性,其通过构建基于随机游走的网络拓扑结构和后续验证,可以识别出接入车内 CAN 网络的外部入侵设备。Z. Khan 等人提出了一种基于长短期记忆神经网络模型的重放攻击和幅移攻击检测模型。S. C. Kalkan 等人提出了一种基于机器学习的入侵检测系统来保证 CAN 总线安全,并表明基于决策树的集成学习模型在测试中表现出最佳性能。J. Sunny 等人提出了一种基于重复报文和报文间隔时间的 CAN 总线混合异常检测系统。
1.5 OTA 安全升级技术
为保障 OTA 系统的安全性,做到端到端的安全可信,在 OTA 升级的过程中应采用安全的升级机制, 可通过数字签名和认证机制确保升级包的完整性和合法性,或通过通信加密保证整个通信包的传输安全。通过在固件提供方平台、T-Box、ECU 上集成安全组件和安全服务系统,使 OTA 升级过程中的每个参与方都具备安全通信的能力,可确保 OTA 升级的安全性。同时车端应具备固件回滚机制,以保证升级失败时设备也可恢复到升级前状态。
H Kexun 等人提出了智能网联汽车 OTA 升级安全的全方位防护策略,并提出了基于专业暗室的综合测试评估方法。N. S. Mtetwa 等人提出了一种基于区块链的固件更新机制,以增强 LoRaWAN 中的固件更新以及管理更新过程,该机制旨在确保固件的真实性、完整性。S. Mahmood 等人提出了一种基于模型的安全测试方法来评估汽车 OTA 更新系统的安全性,包含了集成测试平台和以攻击树作为输入来自动生成执行测试用例的软件工具。
1.6 IVI 漏洞分析技术
车载信息娱乐系统(In Vehicle Infotainment system, IVI system)采用车载专用中央处理器,基于车身总线系统和互联网服务形成。IVI 系统基于嵌入式操作系统或移动操作系统架构,暴露的攻击面比其他车载部件更广。IVI 系统的攻击风险可分为以下三种:一是系统本身存在的内核漏洞,例如 WinCE、Linux、Android 等均出现过内核漏洞;二是被攻击者安装恶意应用的风险;三是第三方应用可能存在安全漏洞。此外,IVI 系统的底层可信引导程序、系统层证书签名、PKI 证书框架等也可能存在攻击风险。针对 IVI 系统可能存在的安全风险,A. Moiz 等人研究了车载应用程序的攻击面,并提供了一种静态分析方法和检测数据泄漏漏洞的工具,该方法还可以给出降低 IVI 系统安全风险的建议。
2 通信安全防护
智能汽车内部以及和外界的数据通信构成了车联网的基础,包含了车内通信、车云通信以及车与车、人、路的通信等,各场景下的通信安全防护共同构成了车联网安全的重要保障。
图 3 通信安全防护
2.1 车内通信安全防护
车内通信主要通过 CAN 总线方式传输信息。CAN 总线传输协议由于设计问题存在一定安全隐患,如无校验的点到线传播方式,未做加密的通讯报文明文传输,无合法性校验报文来源等。针对车内通讯存在的安全问题,可以采取的防护措施具体包括:一是通过软、硬件集成方式将 ECU 的 CAN 收发器进行加密传输,可有效保障通讯数据的机密性;二是通过采用ECU 物理隔离的方式将重要域与信息娱乐域做物理隔离,保障重要信息的真实性;三是在 OBD 或网关处加装防火墙,设置黑白名单机制,防止泛洪攻击, 保障数据的有效性。
G.Xie 等人针对非独立的车载 CAN-FD 报文提出了一种名为前向-后向探索的安全增强技术,同时保证每个报文的实时性,实验结果表明了该方法的有效性。G. Costantino 等人提出了一种新的入侵防御系统(EARNEST),旨在防止攻击者在车内网络的不同分区间发送恶意 CAN 帧,该算法能够防止重放攻击和模糊攻击。G.D’Angelo 等人提供了两种算法来实现数据驱动的异常检测系统,其中第一种算法(聚类学习算法)用于学习在 CAN 总线上传递的消息的行为,以达到基线化的目的,而第二种算法(数据驱动的异常检测算法)用于对此类消息合法或非法执行实时分类,以便在存在恶意使用时提前发出警报。
2.2 车云通信安全防护
智能汽车和企业的云服务平台通信是所有信息服务的基础。保障车辆云端身份正确识别,鉴别每条控制指令的合法性、保障网络中传输数据指令的隐私性等安全问题都是保障车辆联网功能安全和可靠部署的必要前提条件。面对车云通信所需的安全防护需求,目前主要通过使用 PKI 体系进行安全防护。具体措施包括在服务器端部署 SSL 证书来实现传输通道加密,确保机密数据传输安全,同时在服务器上用证书加密存储机密数据;代码(包括 PC 代码和移动APP 代码)使用数字签名来保证真实性,防止代码被恶意篡改;各联网设备安装可信计算证书,用于证明可信身份和加密通信数据。
Song 等人提出了一种基于安全椭圆曲线的车辆身份安全认证方案,将该方案与相关方法进行比较和分析,结果表明该方案具有较高的认证准确率,对车联网环境下的高速移动网络环境具有较好的适应性。H. Vasudev 等人设计了一种在车联网场景中使用密码操作的轻量级互认证协议,使得设备和服务器能够建立可用于安全通信的密钥,同时最小化与该过程相关联的计算开销,结果表明该协议的性能优于现有系统。J. Zhang 等人提出了一种多对多身份验证和密钥协商方案,可用于车辆和云服务提供商之间的安全认证,与其他相关方案相比,该方案具有更好的安全性,而且大大减少了计算和通信开销。
2.3 车-车、车-路、车-人通信安全防护
智能汽车通过 LTE-V2X 等技术与临近车辆和路基设施进行数据交换,通过 WiFi、蓝牙等无线技术与用户的移动智能终端进行通信。C.Wang 等人提出了一种基于随机几何的蜂窝-V2V 异构物理层安全系统模型,结果表明,该系统模型可以显著提高车辆网络通信的安全性。A. K. Sutrala 等人利用椭圆曲线密码技术设计了一种应用于车联网环境的基于条件隐私保护的批量验证认证机制,在此机制下车辆可以对其附近车辆进行认证,同时路侧单元也可以对其附近车辆进行批量认证,与相关方案相比,该方案具有更好的安全性和功能性。Z. Tian 等人假设部署的路边单元可以与任何车辆之间提供有效的通信,提出了一种用于识别拒绝服务的信誉框架。实验结果表明,该方案可以避免虚假事件的传播,并且由于框架中的车辆必须为交通事件检测作出贡献才能正常使用交通服务,这鼓励了车辆参与交通事件的监测和验证。
3 车联网服务平台安全防护
车联网服务平台作为智能汽车数据存储、智能计算及应用服务的平台,是车联网安全体系中的重要节点。依据防护对象不同,车联网服务平台安全防护可分为站点安全、主机安全、数据安全、业务安全等内容。
Q. Huang 等人提出了一种应用于车联网的警告信息分发方法,该方法采用基于属性的加密技术对传播的预警信息进行保护,并提出了一种有条件的隐私保护机制,利用基于匿名身份的签名技术来保证匿名车辆认证和消息完整性检查,同时也允许可信机构追踪恶意车辆的真实身份。分析表明,该方案具有更高的安全性,并减少了车辆的计算开销。I. García Magariño 等人提出了一种增强联网车辆安全的技术,该方法基于直接观测信息和从其他车辆接收到的信息进行信任和声誉管理,可以正确地区分被劫持车辆与其他车辆。A. Rech 等人提出了一种新型的联合服务管理概念,以提高智能交通和智能城市领域不同服务的互操作性,该方法在汽车、驾驶员和其他信息系统之间提供安全的认证和授权。M. Gupta 等人提出了一个基于属性的访问控制系统,根据不同的属性将智能设备分配至不同的组内,并提供了细粒度的安全策略的实现,并考虑了个性化的隐私偏好以及系统范围内的策略,以接受或拒绝来自不同智能设备的通知、警报和广告等信息。Y.Lu 等人提出了一种基于联合学习的新架构,以减轻数据传输负担并解决隐私安全问题,保证了共享数据的可靠性,且具有较高的学习精度和较快的收敛速度。
图 4 车联网服务平台安全防护
3.1 站点安全
站点安全直接关系到车联网服务平台的可靠性, 其防护措施主要有:
(1)利用防火墙技术实现 WEB 应用攻击防护、DDOS 攻击防护;
(2)利用病毒过滤网关过滤拦截病毒、木马、间谍软件等恶意软件;
(3) 通过上网行为管理系统进行实时监控,防止非法信息传播、敏感信息泄漏;
(4)通过文件底层驱动技术对 Web 站点目录提供全方位的保护,防止任何类型的文件被非法篡改和破坏。
3.2 主机安全
主机是车联网服务平台的物理基础,其安全防护措施主要有:
(1) 利用入侵检测技术实时检测和阻断包括溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等网络攻击;
(2) 针对对木马、僵尸网络等异常行为进行高精度监测及旁路阻断;
(3) 利用异常流量管理识别出已知或未知的拒绝服务攻击流量,并进行实时过滤和清洗,确保网络服务的可用性。
3.3 数据安全
针对数据安全的防护可从两方面展开:
(1)基于统一管理框架,以数据防泄漏为基础,通过深度内容分析和事务安全关联分析等技术, 监视、识别和保护各类数据,确保敏感数据的合规使用;
(2)利用数据安全网关实现黑白名单、高危操作风险识别、用户访问权限控制、数据库攻击检测、数据库状态监控、操作行为审计、综合报表等功能,帮助用户实时阻断高风险行为,提高对数据库访问的可控度。
3.4 OTA 安全
OTA(Over the Air,在线升级)是联网车辆的重要基础功能,其防护可主要从以下三个方面展开:
(1) 在升级固件包流转的每个网络通信过程中进行必要的安全防护;
(2) 在 T-Box、ECU 等部件上集成安全组件,提供签名计算、证书解析、加解密等安全能力;
(3) 在 OTA 平台继承安全服务系统,加入安全组件与安全服务系统,确保 OTA 系统中的每个参与方都具备安全通信的能力。
4 移动应用安全防护
为了提供车况确认、远程控制等功能,许多联网汽车提供了手机 APP 等移动应用供车主使用。然而由于缺少规范的安全监管标准和流程,许多厂商未对应用软件执行必要的安全性测试,导致智能汽车 APP 存在可被利用漏洞的可能性极高,对车主的财产安全乃至人身安全产生威胁。
针对移动应用的安全风险,通过使用移动应用加固技术、密钥白盒技术、敏感数据防泄漏系统,移动应用安全检测等技术确保移动应用的安全。
图 5 移动应用安全防护
J. Cui 等人提出了一种可隐藏程序基本数学运算的代码混淆方法,其将基本运算分割成一组子运算,并用受保护的查找表中检索到的结果进行替换。且为了增加攻击分析的难度,设计了随机双射法和结构相似法,使不同混淆操作的控制流程相互之间无法区分。S. Homayoun 等人提出了一种基于区块链的恶意软件检测框架,用于检测移动应用商店中的恶意移动应用。L. Chen 等人提出了一种基于规则匹配的本地拒绝服务漏洞检测方法,能够在大量的移动应用中准确地定位具有此漏洞的样本。
4.1 移动应用加固
在不改变应用源代码的情况下,将针对应用各种安全缺陷的加固保护技术集成到应用的安装文件,如:
(1)通过文件加壳混淆等技术的防止逆向破解;
(2)通过分级文件校验等技术保护应用数据;
(3)通过调试注入防护等技术提升应用的整体安全水平。
4.2 密钥白盒
密钥白盒是将密码算法白盒化的过程,可分为静态密钥白盒和动态密钥白盒。其核心思想是混淆,通过在白盒环境下安全进行加解密操作,保护智能汽车移动应用的密钥,防止通过逆向分析还原出密钥,从而保障移动应用的安全。
4.3 敏感数据泄露防护
为防止敏感数据泄露,应对移动应用进行全方位检测、监控与保护,如:
(1)建立数据安全管理中心,进行统一的策略管理、事件分析、可视化风险展现等;
(2)监视和保护移动应用上静止的、移动的以及使用中的数据,确保敏感数据的合规使用,防止主动或无意识的数据泄漏事件发生。
4.4 移动应用安全检测
通过对移动应用进行安全检测,可及时发现存在的漏洞或安全风险。
(1)通过使用静态检测、动态检测、内容检测等技术检测移动应用内部存在的安全风险,并对发现的安全问题给出解决建议。
(2)生成准确、完整的移动应用安全分析报告,协助开发或监管人员掌控移动应用中存在的风险, 有效提高移动应用开发的安全性。
5 总结
本文首先分析了车联网网络结构层次的划分,然后从车端防护、通信防护、服务平台防护和移动应用防护四个方面阐述了车联网安全体系的组成,并对各类防护技术及其当前研究成果进行了总结。
随着自动驾驶、车路协同等新技术的发展与应用,未来车联网将会变得更加智能与便捷,这需要更加庞大的数据通信网络、更加丰富的信息交互手段作为支撑,同时也意味着攻击面的增加和安全风险的提高。相比传统的物联网技术,车联网安全不仅影响信息安全,也关乎生命财产安全、社会安全乃至国家安全。只有构建起高水平的车联网安全体系,智能网联汽车才能对多种多样的网络攻击进行防护,从而实现产业的安全快速发展。
标签:网络安全,检测,技术,联网,防护,安全,应用 来源: https://blog.csdn.net/SAUTOMOTIVE/article/details/122609822