鲍 克,严 丹,李富勇,沈笑慧
(浙江省电子信息产品检验所,江苏 杭州 310007)
随着移动互联、云计算等新技术的发展,以万物互联为目标的物联网技术正受到越来越多的关注。车联网是物联网技术在传统汽车行业的具体应用[1-2]。在车联网构架中,智能车辆通过车载无线设备来实现车辆与车辆间、车辆与路基设备间、车辆与云端间的通信[3],通过车载传感设备来感知车内乘客和车外行人的状况,实时收集车辆的行驶情况、周边交通状况等动态信息,并将这些信息通过无线网络传输到云端进行筛选、计算、分析和存储,由云端反馈的信息可为智能联网车辆提供高效精准的道路导航、路况报送、信息共享、应急抢险等综合服务[4-5]。在车联网技术给用户带来丰富的智能化体验的同时,却也使车主面临隐私信息泄露、车辆被非法控制等安全风险[6-7]。车联网信息安全方面的问题日益突显。
本文在详细分析车联网网络构架和信息安全风险的基础上,结合等级保护基本要求,提出了一套适用于车联网的信息安全防护体系。
车联网的网络架构可分为三个区域,分别为车载终端域、网络传输域、云平台域。车载终端域位于感知层,包含车载终端设备和路基感知设施等硬件设备,主要负责采集联网车辆的智能信息,感知车辆行驶状态和车内乘客状况,同时让联网汽车具备通信、寻址和可信标识功能。网络传输域位于网络层,主要负责车辆与车辆、车辆与路网、车辆与云平台、车辆与车主的互联互通,实现车辆与各类异构网络之间的通信。云平台域位于应用层,负责对车辆上传的数据进行汇聚筛选、计算分析和存储,并建立身份鉴别、日志审计、访问控制、剩余信息保护等安全机制,为联网车辆提供交通信息、公共支付、娱乐传媒、紧急救援等应用服务。
车载终端域的主要任务是感知联网车辆内外的各类信息,在车联网技术中,各类前端传感设备大多采用无线通信方式传输数据。较有线通信方式而言,无线数据在传输过程中更可能被非法拦截和获取。同时,通过对前端传感设备的非授权控制,可以向车辆驾驶者传输恶意信息,造成车辆驾驶者的误判。
车载终端域的安全风险还体现在车载智能系统和车载应用软件上,为了更好的体验车辆的增值服务,车主可以下载应用软件并安装至车载智能系统上,这为联网车辆带来了新的风险。(1)车载智能系统本身包含漏洞,未及时更新补丁程序。(2)应用软件被非法篡改并植入恶意代码。(3)通过水坑攻击等方式,诱使车主下载木马程序。
此外,车辆大多保留有OBD接口进行故障自动诊断,OBD接口发出的代码直接进入CAN总线,如果攻击者通过 OBD接口将恶意程序植入汽车总线,将会给车辆和用户带来巨大的安全威胁。车联网的运行需要大量的基站设施收集道路信息,并将收集到的信息交互至联网车辆和云平台。由于基站设施往往设在公共地带,工作场景不受运营者的控制,相对车联网其他组成部分而言,更易受到物理破坏等安全威胁。
网络传输域主要完成信息的传输工作,是连接车载终端域和云平台域的通道。其主要风险来自以下几个方面:(1)攻击者采用DDOS攻击拥塞网络,造成服务中断。(2)在对网络设备进行管理时,未采用加密方式,导致身份鉴别信息被盗取。(3)未启用网络设备的登录失败处理策略和口令复杂度策略,致使口令遭受暴力破解。
云平台域主要完成信息的整合分析,并为车辆提供服务。其主要风险来自以下几个方面:(1)云平台自身的安全漏洞,包括虚拟主机操作系统漏洞等。(2)边界防护设备的访问控制策略不完善,导致数据资源被非授权访问。(3)存储车联网用户身份鉴别信息和重要数据的硬盘和内存,在分配给下一位用户前未能彻底清除,造成隐私数据泄漏。(4)云平台对入驻的应用软件提供商缺少审核标准,应用软件的漏洞影响云平台的整体安全。
结合车联网的威胁分析和信息安全等级保护基本要求,从主机层面、网络层面和终端层面设计安全防护体系。
终端层面应主要关注联网车辆车载智能系统、车载应用软件和前端感知设备的安全性。
车载智能系统应具备较强的防“越狱”能力和防“刷机”能力;应具备自动检测下载升级文件的功能,并在确保不影响车辆运行的情况下升级;应限制单个进程对系统资源的最大使用量,在发生系统资源不足时,能够优先保证关系行车安全的应用软件的运行。
车载应用软件开发者应根据应用开发规范进行应用开发,并委托第三方机构对应用软件进行安全测评,由智能车辆生产厂商依据安全测评报告对车载应用软件进行上线审核并确定是否发布。对于涉及个人隐私的车载应用软件应具备身份鉴别功能,并强制要求鉴别方式强度;应具备登录失败处理功能,包括非法登录次数限制和车辆熄火后的超时退出时间设置;应提供覆盖到每个用户的安全审计功能,审计内容包括事件的日期、时间、发起者信息、动作和结果,审计记录无法删除或修改并能保存规定时长以上;车载应用系统的客户端和服务端应采用加密协议进行通信,对数据库中的鉴别信息和敏感业务数据进行加密存储;提供数据合理性检验功能,具备防御SQL注入和跨站脚本攻击的能力。
部署在联网车辆内部和道路周边的前端感知设备应具备一定的物理强度,降低物理损伤造成设备停机出现的概率,在发生故障时,可实现自动激活恢复功能;前端感知设备应具备唯一的身份标识,作为身份鉴别的重要依据,仅经合法授权的身份标识方可进行网络通信;具备较强的抗电磁干扰能力,防止不法分子干扰感知设备的正常运行;具备较强的抗雷击能力,降低雷暴等恶劣天气对设备的影响;对重要节点的感知设备应采用双路供电或配备备份电源。
网络层面安全防护主要从网络设备、安全设备、准入设备和通信链路方面开展。(1)对交换机、路由器等网络设备,应逻辑关闭未使用的物理端口和服务端口,实时监控硬件运行状态和系统性能,关键节点上的网络设备应具备性能冗余能力,在远程管理网络设备时应采用SSH等加密协议。(2)在网络边界部署防火墙、安全网关等安全设备,设置细粒度的访问策略并删除多余的访问控制规则,保证跨越网络区域的数据访问仅能通过边界安全设备的受控接口进行;在关键节点处应部署入侵检测设备,防止或限制从外部发起的网络攻击,并能向安全管理中心报警。(3)部署安全准入设备对接入设备进行认证,仅允许已授权设备接入,拒绝非授权设备和恶意设备,收集联网车辆的固件版本、标识、配置信息校验值等健康性信息,防止已被非法控制的车辆联入网络。(4)采用隧道加密技术保证联网车辆、基站和云平台通信的完整性和保密性,防止信息在传输过程中受到截取甚至篡改。
主机层面安全防护主要围绕云平台域内的服务器开展。(1)在服务器上部署可统一管理的杀毒软件进行恶意代码防护,并通过预设策略实现病毒库的及时升级。(2)服务器应遵循最小安装原则,仅安装必须的应用软件,关闭默认共享、不需要的系统服务和端口;定期对服务器管理账户进行梳理,删除无用账户。(3)冗余配置关键服务器,并预设策略实现重要数据的实时备份;配备数据库审计设备,实现对数据库操作的审计。(4)在服务器前端部署Web应用防火墙和防毒墙,防御Web攻击和网络层恶意代码。
随着物联网技术和云计算的快速发展,车联网将成为智慧城市的重要一环。当前,车联网的安全防护技术已成为影响智能车辆和车联网发展的重要因素,而业界对此还缺乏一致的解决方案。本文以车联网的典型构架为切入点,分析了车联网在车载终端域、网络传输域和云平台域面临的安全风险,并结合等级保护基本要求从网络、主机、终端等层面提出了车联网信息安全防护体系。当前,国内外对车联网安全技术的研究和应用都还处于起步阶段,如何将车联网安全技术纳入智慧交通信息安全框架应是今后研究的重要方向。