Automobile Parts 2021.02
115
2021.02 Automobile Parts
116
1.2㊀通信系统
智能汽车通信系统安全涉及两个层面:(1)以蜂窝
网络㊁WIFI 等为主的外部通信系统(V2X );(2)以
CAN 总线为主的车辆内部总线通信系统㊂
1.2.1㊀V2X 外部通信
V2X 使车辆真正做到了车与车(V2V ),车与
(V2I )㊁车与云端(V2C )互联,是车联网的关键支撑技术㊂同时基于通信系统存在的漏洞实现入侵也是黑客最常见的手段之一[1]㊂车外通信系统常见的安全威胁主要有传输数据遭到泄露㊁修改㊁破坏[2],安全风险点有端口安全㊁身份认证㊁传输安全等㊂1.2.1.1㊀端口安全
端口安全是指车联网通信系统中存在可被利用的端
口,黑客通过端口对系统实施入侵,例如EDWIN 等[3]通过对IVI 的WIFI 模块进行结构化漏洞扫描,发
现可轻易获得开放端口㊁物理地址㊁芯片厂商名称㊁FQDN ㊁mDNS 主机名㊁时间戳㊁行驶路径等敏感信息,同时可通过WIFI 开放端口入侵IVI 的文件系统并窃取照片㊁视
频㊁音乐㊁文件等数据;MILLER 等[4]通过对移动蜂窝通信端口进行入侵,实现了对IVI 的控制,进一步实现了对车辆的远程控制㊂因此,为确保智能汽车信息安全,可使用端口扫描工具对T-Box ㊁IVI ㊁云平台中涉及的端口进行扫描,查看高危端口是否开放,是否存在可被利用的漏洞㊂
1.2.1.2㊀身份认证
身份认证是指对通信双方的身份进行认证的过程,有助于识别虚假设备及虚假信号,防止出现中间人攻击等威胁[5]㊂由于智能汽车经常处于快速移动的状态中,因此对于通信系统的时延要求极高,车联网系统通常简化身份认证过程(例如共享密钥由通信伙伴制定),这种不安全的身份验证机制,可能使黑客轻松的伪造身份并入侵通信系统㊂例如,攻击者采用MITC (Man in the cloud )攻击的方式,通过令牌进行身份欺骗,可以访问云账户,窃取数据,更改文件信息,甚至上传恶意文件[6]㊂
在车辆网络中,大多数隐私防护方案都容易受到女巫攻击(Sybil Attack )[7]的威胁,黑客通过恶意节点制造大量虚假的身份不断攻击通信系统,从而中断车辆网络的正常运行,如图2所示,攻击者通过产生女巫节点V3,对周围自动驾驶模式下行驶的汽车V1进行干扰致其变道,追尾正常行驶的汽车V2,导致事故发生
㊂
图2㊀车联网通信女巫攻击
Automobile Parts 2021.02
117
2021.02 Automobile Parts
118
1.3.1㊀系统更新
车端操作系统的升级是极易被黑客利用的安全风险点[18]㊂整车厂采用OTA (Over-the-air )的方式对操作系统进行升级,提高了升级效率,降低了升级成本,能在很短时间内对安全漏洞做出反应,同时也带来了一系列安全问题[19]㊂软件及操作系统更新面临的安全威胁主要体现在升级包的完整性㊁可用性㊁保密性遭到破坏,黑客可通过截取㊁篡改升级包的方式实现对车辆的攻击㊂1.3.2㊀代码安全
Karamba Security 公司的首席执行官阿米㊃多坦表示:智能汽车每1800行代码就存在一些错误,其中80%是安全漏洞[20]㊂一辆智能汽车的代码一般超过3亿
行,潜在安全漏洞数目大约为15000个㊂这些安全漏洞轻则造成隐私数据泄露,重则造成车辆失控,严重影响行车安全㊂理论上讲,智能汽车代码与传统软件代码并无本质上的差别,因此漏洞主要有缓冲区溢出㊁未验证输入㊁权限控制等[21],由于智能汽车操作系统代码量巨
大,因此往往采用自动化扫描工具对漏洞展开发掘,常用的漏洞扫描方式主要有二进制扫描[22]㊁源码审计[23]㊁逆向测试[24]等等㊂
综上,虽然并非所有的主机厂都有能力研发自己的车载操作系统,但是考虑到车载操作系统对于智能汽车的特殊性,其安全风险及安全防护需受到重点关注㊂目前关于操作系统及应用的研究主要聚焦于新功能开发,而对于安全问题并未引起太多重视,相关安全技术的研究主要集中于访问控制㊁系统更新㊁代码安全等方面,多为沿用了传统软件安全技术或在其的基础上进行的,未来可结合车载操作系统的特殊性,针对性地开展漏洞检测工具的开发㊂
1.4㊀感知系统
感知层是智能汽车的数据输入端,用于感知路况信
息,通常由激光雷达㊁毫米波雷达㊁摄像头㊁超声波雷达构成㊂美国软件安全公司Security Innovation 的首席科学家PETIT 将感知层确定为智能汽车最易受攻击的模块㊂感知层是智能汽车自动驾驶系统的关键输入模块,如果输入遭到破坏或威胁,轻则使自动驾驶系统停止工作,重则影响决策层的路径规划,造成严重的交通事故㊂
PETIT 等[25]利用商用硬件对车载激光雷达系统与摄
像头系统实现了远程攻击,实验结果表明,利用简单的激光二极管等设备就能有效地实现激光雷达的干扰㊁重放攻击㊁中继攻击和欺骗攻击,同时激光二极管也可令
摄像头产生 致盲现象 ,一定时间段内无法进行周围障碍物的探测㊂YAN 等[26]针对毫米波雷达与超声波雷达开展了干扰与欺骗测试:通过超声波发射仪发射与车载超声波雷达同频率与同强度的超声波进行干扰,提高车载超声波系统的信噪比,使其无法正常接收信号,失去对周围障碍物的探测能力;欺骗攻击则相对复杂,需要在适当的时间周期内注入适当频率及强度的模拟信号,使超声定位系统误认为前方存在障碍物㊂相同的攻击方法同样适用于毫米波雷达㊂
综上,智能汽车感知层面临的安全威胁具有以下特点:
(1)攻击方式简单㊂与其他层面的攻击不同,针对感知层的攻击不需要使用复杂的设备,利用成本极低的激光二极管等工具即可发起攻击;
(2)破坏力大㊂感知层是智能汽车自动驾驶决策层与执行层的基础,因此虽然攻击方式成本低且实现简单,但造成的破坏性不亚于其他层面的威胁;
(3)攻击面大㊂由于智能汽车需要准确的感知周围车况的变化,因此分布有众多的感知设备,以特斯拉为例,共有8个摄像头,12个超声波雷达,1个毫米波雷达,众多的传感器带来360ʎ路况信息的同时也扩大了攻击面㊂
2 安全防护现状分析
综合国内外研究,智能汽车信息安全技术的研究尚处于局部深入阶段,往往扎根于某一方面的漏洞检测㊁防护技术的研究,尚未形成能够被业界广泛认可的安全防护体系㊂
2.1㊀通信系统防护
通信系统的防护主要从两个层面展开:(1)以入侵检测系统为主的主动防护策略,面向的攻击方式及防护对象多样化;(2)针对性的防护策略,针对某一个或几个特定的攻击方式开展防护㊂
2.1.1㊀主动防护系统
入侵检测系统(Intrusion Detection Systems ,IDS )已经证明了其在保护传统网络信息安全方面的重要作用,因此也成为保障智能汽车信息安全的首选方式之一㊂随着智能汽车的不断发展升级,车联网入侵检测技术也不断发展㊂针对车载自组网安全,SPARSH 等[27]提出了一
种基于前瞻性诱饵的蜜罐优化入侵检测系统,能够针对各种攻击实现前后防御,以最低的成本检测各类入侵,表现出了较好的优越性㊂另一方面,入侵检测系统应用
Automobile Parts 2021.02
119
发布评论