现代电子技术
Modern Electronics Technique
2021年12月1日第44卷第23期
Dec.2021Vol.44No.23
0引言
新一代汽车作为未来智能出行的载体,需要智能化、网联化,因此与外界的通信需求和场景越来越多,智
能化、联网化程度也越来越高[1]。在“中国制造2025”以及“互联网+”发展战略的指导下,汽车行业作为工业发展的风向标面临着革命性的变化,汽车未来的发展方向不仅包括智能化和网联化还有电动化和共享化,汽车技
DOI :10.16652/j.issn.1004⁃373x.2021.23.013
智能网联汽车信息安全威胁识别和防护方法研究
郝晶晶1,2
,韩光省2
(1.天津大学机械工程学院,天津300350;2.中国汽车技术研究中心汽车工程研究院,天津300300)
摘
要:为了充分了解智能网联汽车面临的信息安全风险、提升智能网联汽车信息安全防护水平,需要从智能网联汽
车架构特点出发,以全面分析其面临的威胁挑战和潜在风险。因此文中提出智能网联汽车架构分层模型,将智能网联汽车分为收集信号的感知设备层、用于车辆内部和各类异构网络交换信息的网络通信层、执行计算决策的控制服务层以及通过物理或者无线接入的外部连接层。提出基于STRIDE 威胁分析方法的针对智能网联架构四层模型的威胁识别系统方法,以分析每个层级面临的不同信息安全问题。实验结果表明,该方法有效地提高了智能网联汽车威胁分析的正确率和覆盖率。最后,基于智能网联汽车威胁识别的结果,从信息安全纵深防御的角度出发,通过对车载网络架构进行细化分层,按照信息安全的风险以及安全等级的高低,划分不同的智能网联汽车车内通信域,以降低网络通信层的安全风险。
关键词:汽车信息安全;智能网联汽车;威胁识别;风险分析;STRIDE ;车载网络架构中图分类号:TN915⁃34
文献标识码:A
腾讯汽车网文章编号:1004⁃373X (2021)23⁃0062⁃05
Research on methods of information security threat identification
and protection for intelligent connected vehicles
HAO Jingjing 1,2,HAN Guangsheng 2
(1.School of Mechanical Engineering ,Tianjin University ,Tianjin 300350,China ;2.CATARC (Tianjin )Automotive Engineering Research Institute ,Tianjin 300300,China )
Abstract :In order to fully comprehend the information security risks that the ICVs may be confronted with ,and enhance the level of information security protection of the ICVs ,it is necessary to comprehensively analyze the threats ,challenges and potential risks faced by the ICVs proceeding from its architecture characteristics.Therefore ,an architecture hierarchical model is proposed to divid
e the ICV architecture into four layers ,which are the sensing device layer for collecting signals ,the network communication layer for exchanging information among vehicles and various heterogeneous networks ,the control service layer for executing computational decisions and the external connection layer accessed in a physical or wireless manner.A threat identification system based on STRIDE ,analysis method directing at the four⁃layer model of intelligent network architecture is proposed to analyze different information security problems faced by each layer.The experimental results show that the method can effectively improve the accuracy and coverage rate of the threat analysis about the ICVs.Finally ,on the basis of the threat identification results of the ICVs ,different in⁃vehicle communication domains are divided for ICVs according to the information security risks and security levels by detailed layering of architecture of vehicle⁃mounted network in the perspective of defense⁃in⁃depth of information security ,so as to reduce the security risks of the network communication layer.Keywords :automotive information security ;ICV ;threat identification ;risk analysis ;STRIDE ;vehicle⁃mounted network
architecture
收稿日期:2021⁃05⁃20
修回日期:2021⁃06⁃09
基金项目:国家重点研发计划(2017YFB0102500);天津留学人员择优资助;中国汽车技术研究中心重点科研项目(19210110)
62
第23期
术会从控制模式、能源形式、使用场景和商业应用等方面实现全面的革新。
智能网联汽车系统基本架构[2]如图1所示。当网联化使汽车由封闭系统走向开放的同时,尤其是汽车通过通信网络接入互联网连接到云端之后,汽车可以被黑客攻击的风险也大量增加[3]。汽车的用户隐私数据可能被窃取,车辆可能遭受远程攻击被恶意控制,从而对车、路、环境甚至人的生命财产安全造成危害[4]。因此,智能网联汽车信息安全问题需要引起高度重视,如何保障智能网联车辆安全,解决便捷性与安全性之间的矛盾已成为汽车智能化、网联化发展的重要环节[5⁃6]
。
图1智能网联汽车系统架构
目前国内外学者对智能网联汽车的信息安全问题开展了研究,文献[7⁃8]针对车联网架构和安全问题进行了分析,文献[9]介绍了日本推出的智能网联汽车信息安全模型IPA⁃CAR ,文献[10]从车联网安全产业发展的角度提出了信息安全关键技术的研究。
本文运用威胁分析和风险评估方法对智能网联汽车面临的威胁挑战和潜在风险进行分析并设计了威胁识别系统,有效地提高了智能网联汽车威胁分析的正确率和覆盖率。基于智能网联汽车威胁识别的结果,从智能网联汽车网络架构的信息安全防护设计角度出发,提出了相应的安全防护方法。
1智能网联汽车信息安全威胁评估系统
汽车电子系统由车内的电控单元(Electronic
Control Unit ,ECU )以及负责它们之间通信的总线网络组成[11]。随着工业技术的发展,汽车不仅需要满足安全性和经济性的要求,还需要兼顾舒适性和娱乐性。因此,汽车电子系统由最初仅有一个收音机的简单系统发展为由多个微处理器、传感器、执行器等电子元器件及
其零部件组成的复杂电控系统。
当智能网联汽车实现多网和跨网融合通信时,汽车电子系统不仅需要重视车内ECU 的信息通信,还要考虑智能交通设施和车载自组织网络的信息及其对电子系统产生的影响[12]。
面对汽车与外部世界的交互越来越多的需求,智能网联汽车对外的接口除了传统的车辆诊断系统和胎压检测系统外,还增加了USB 充电接口、蓝牙、WiFi 、移动通信和GPS 等接口与外部的智能移动设备相联。与互联网相连给汽车带来新的商业和使用模式的同时也将信息安全威胁引入到车内。由于车载电子控制单元的计算能力非常有限,而汽车使用场景对信息处理的实时要求特别高,因此传统计算机领域内已知的常见安全方法不能直接应用到汽车领域中[13]。
此外,由于智能网联汽车会有多种不同的通信形式,从车载网络的广播到V2V (车辆对车辆)和V2I (车辆对基础设施)通信的专用网络,也需要考虑多网融合场景中的信息安全问题[14]。智能网联汽车面临的信息安全风险可以根据其架构特点和信息资产属性,通过基于STRIDE 威胁分析方法进行识别。1.1
STRIDE 威胁分析与风险评估方法
STRIDE 是微软公司开发的用于威胁分析的方法,旨在系统开发安全生命周期中,从攻击者的角度识别
系统架构和功能中的信息安全威胁和风险。STRIDE 代表了六类威胁类型,分别是Spoofing (仿冒)、
Tampering (篡改)、Repudiation (抵赖)、Information Disclosure (信息泄露)、Dos (拒绝服务)和Elevation of Privilege (权限
提升)[15]
。
基于STRIDE 方法,系统面临的威胁可以概括为:用户的认证信息被非法使用,数据被恶意篡改,无法证明系统使用者的修改行为,信息泄露或窃取,资源被消耗使得系统无法为用户提供服务或数据以及用户未经授权获取、提升权限。1.2
智能网联汽车信息安全威胁识别系统
智能网联汽车作为物联网的应用之一,其架构也是在物联网的基础架构上改进发展的,具体包括收集信号的感知设备层,用于车辆内部和各类异构网络交换信息的网络通信层,执行计算决策的控制服务层以及通过物理或者无线接入的外部连接层。每个层级都面临着不同的信息安全问题,而按照此架构层级分类的安全威胁也会对智能网联汽车带来不同的风险和危害。因此结合STRIDE 威胁分析方法,本文提出了基于此架构的汽车信息安全威胁识别方法,通过构建每个层级的攻击面来提高威胁识别的正确率和覆盖率,从而更准确、全面
郝晶晶,等:智能网联汽车信息安全威胁识别和防护方法研究
63
现代电子技术
2021年第44卷
地识别智能网联汽车的信息安全威胁。
基于STRIDE 方法的智能网联汽车分层安全威胁识别方法的流程如图2
所示。
图2基于STRIDE 方法的智能网联汽车安全识别方法
通过此方法可以针对智能网联汽车架构的每一层进行信息泄露、信息篡改、拒绝服务、假冒身份、重放攻击和否认操作等类别的威胁识别。针对外部连接层、感知设备层、网络通信层和控制服务层的威胁识别及类型说明如下。1.2.1
外部连接层的安全威胁识别
智能网联汽车的外部连接层是向车辆发送外部消息的数据发送终端。主要包括为车辆提供售后维修与车辆状态检测设备,如诊断仪、充电桩等,以及用户数据投射至车辆的智能设备,如智能手机、平板电脑、无线充电等。
由于这类设备均会搭载第三方应用服务与系统,如果设备本身未做到可靠的身份合法性识别、健壮的应用服务软件架构设计、完备的网络服务器搭建体系,则会引起设备的非法冒用接入、软件病毒入侵的软件系统崩塌等安全风险。轻则造成用户智能设备接入体验感下降,如合法设备无法接入、非法设备篡改车内信息;重则造成车辆部分功能失效,车辆行驶异常。这类影响都将极大降低汽车的智能网联工作执行水平[16]。1.2.2
感知设备层的安全威胁识别
智能网联汽车的感知设备层负责实时地采集和获取车辆行驶的周围环境和交通情况,感知行车状态并且
获取车辆的智能信息,主要包括车身传感器、车辆电子识别设备、电子控制单元等车载终端设备,如毫米波雷达、激光雷达、摄像头等。
智能网联汽车感知设备层可能存在的安全风险有传感器被恶意欺骗造成传感器失灵。传感器的信息存在被窃听和被中断的潜在威胁。攻击者通过发送虚假信息干扰芯片的正常工作,越权升级或者指令破解非法变更系统设置参数。
另外,攻击者还可能利用传感器自身的设计缺陷如吸收雷达电磁波而使雷达传感器不能准确地测量障碍物的距离,使自动巡航系统或自动驾驶系统无法做出正确的判断而造成安全事故。1.2.3
网络通信层的安全威胁识别
智能网联汽车的网络通信层不仅包括在车内各部件之间传递信息的总线系统,还包括与车联网内其他车辆或路侧设备或者与移动互联网中的智能设备的网络通信,其涉及的网络类型包括公共移动通信网、互联网、短距离无线通信和车内的专有通信网络,如控制器局域网络(Controller Area Network ,CAN )、局域互联网络(Local Interconnect Network ,LIN )和车载以太网等。与其他网络一样,智能网联汽车的网络通信层面临的威胁
包括通过对通信信息的窃听而造成隐私信息泄露,通过拒绝服务的攻击造成网络阻塞,通过否认操作造成服务中断,通过盗取身份认证信息造成系统被非法操控等[13]。
网联汽车的远程控制功能被攻击者作为重点攻击目标,尤其是当网络通信协议安全机制不足的情况下,信息的机密性不能得到保证,并且容易受到报文重放攻击。尤其是如CAN 、LIN 等车内总线系统可以对车内任何控制器发送指令,如果受到攻击则会对车辆及车辆使用者造成安全威胁。网络通信层的传输风险还可能由于加密算法的错误选择、错误使用或者伪造已有的通信协议流程[14]而引起。1.2.4
控制服务层的安全威胁识别
智能网联汽车的控制服务层负责车辆的信息管理计算,以提供娱乐信息、车辆管理、行车安全等应用服务,主要包括为车辆整合分析数据并且提供服务的云平台以及车内具有强运算能力可以实现融合决策算法的域控制器等。由于控制服务层需要存储和处理大量数据,如果设备的边界防护访问控制策略不完善就会导致数据资源的非授权访问,从而造成数据被窃取或者非法利用等。
另外,ECU 操作系统可能被非法连接而造成系统瘫痪,ECU 的软件漏洞被识别和利用或者被植入恶意代码程序从而造成ECU 无法正常工作。由于控制服务层可以实现对整车甚至是车队以及平台监控的大量车辆的管理和控制,如果被非法入侵会造成严重的社会影响。1.3
实验研究
为了验证本文提出方法在实践使用中的有效性,将该方法应用于某品牌实验车的威胁识别工作中。在对
实验车进行信息安全分析时,首先采用小组讨论等头脑风暴方式对实验车进行威胁分析识别,得到如敏感信息
64
第23期
保存不得当、对外连接ECU 有未关闭未使用的端口等相关威胁106个。
利用基于STRIDE 方法的智能网联汽车安全威胁识别方法对实验车进行分层的信息安全威胁识别,得到如传感器通信消息可能被监听、ECU 控制模块可能被篡改等威胁共193个,如图3所示。其中包括外部连接层的安全威胁56个,感知设备层的安全威胁27个,网络通信层的安全威胁78个,控制服务层的安全威胁32个。为了对比,将通过头脑风暴的方法识别出的威胁按照智能网络汽车架构分层方法进行划分,具体结果如图4
所示。
图3
两种方法识别的威胁个数对比
图4两种方法每个层识别的威胁个数对比
2基于智能网联汽车架构的信息安全防护
汽车信息安全是指使系统能够连续正常运行而建
立和采取的技术和管理的安全保护,以确保车载计算机硬件、软件和数据不因偶然和恶意的因素而遭到破坏、更改和泄漏[15]。根据以上智能网联汽车潜在风险的分析可以得出,网络通信层的安全风险最为突出。因此汽车的信息安全防护首先要从汽车网络架构的防护设计角度考虑[17]。
本文提出通过从信息安全纵深防御的角度出发,通过对车载网络架构进行细化分层,按照信息安全的风险以及安全等级的高低,划分不同的智能网联汽车网络通信域,通过防火墙等控制机制以隔离不同安全级别之间
的网络通信,从而降低网络通信层的安全风险,具体划分方法如图5
所示。
图5满足信息安全需求的车载网络架构
由于动力与传动系统和辅助驾驶系统是控制汽车移动的域,涉及到引擎、制动系统、转向系统和安全气囊等,因此是高安全等级域。而车身舒适系统和信息娱乐系统不会影响安全驾驶,更多的是影响驾驶和
乘坐舒适度的体验,因此属于低安全等级域。每个安全域内的ECU 通信可以遵照现有的车载总线协议,而各个域之间的通信则需要严格控制,只有对发送消息的ECU 身份和报文的合法性进行认证以后才可以进行合法的
数据通信,如外部连接域必须对最容易受到攻击的具有安全隐患的外部请求进行身份授权认证。低安全要求的娱乐信息系统不允许与高安全要求的传动与动力域等功能安全相关的域直接进行通信。同时,在架构中引入网关在各个功能域之间建立防火墙机制进行隔离,以提高车内网络架构安全性和系统的可扩展性并节约成本。
3
结语
随着智能网联汽车多网融合的应用发展,车载电子设备、电控单元与外界的信息交互也越来越多,同时汽车的数据涉及控制参数、隐私信息等敏感数据,被非法接入的隐患也逐渐增加。智能网联汽车信息安全涉及到车辆功能安全、用户生命财产安全,甚至还会造成企业经济损失和社会恐慌等,因此越来越受到汽车行业内外的重视。汽车智能化、网联化的发展,智能网联汽车网络架构也在发展演变,传统的架构设计和通信协议的非安全性机制的弊端越来越明显。本文提出基于STRIDE 模型的威胁识别方法,分析了智能网联汽车面临的信息安全的潜在威胁和风险,并提出了按照信息安全等级设计的通信网络架构。
当前国内外对于智能网联汽车信息安全的设计开发还处于起步阶段,如何建立涵盖汽车生命周期的信息安全防护体系是今后研究的重要方向。
郝晶晶,等:智能网联汽车信息安全威胁识别和防护方法研究65
现代电子技术2021年第44卷
参考文献
[1]李克强,戴一凡,李升波,等.智能网联汽车(ICV)技术的发展
现状及趋势[J].汽车安全与节能学报,2017,8(1):1⁃14. [2]张懿,刘焰.大数据时代下的智能网联汽车发展研究[J].江苏
科技信息,2016(24):7⁃9.
[3]胡欣宇,张洁.车联网的发展与挑战[J].物联网技术,2017,7
(2):56⁃59.
[4]李小刚,杨彬.车联网安全防护问题分析[J].移动通信,2015,39(11):30⁃33.
[5]聂大成,陈莹,曾梦岐.车联网终端安全防护技术研究[J].通信
技术,2017,50(8):1794⁃1799.
[6]李馥娟,王,钱焕延.车联网安全威胁综述[J].电子技术应
用,2017,43(5):29⁃33.
[7]姜建,卢丹.车联网构架与安全问题分析[J].电信网技术,2016
(2):38⁃41.
[8]唐红杰.车联网系统架构及关键技术研究[J].网络安全技术与
应用,2013(9):42⁃43.
[9]印曦,魏冬,黄伟庆,等.日本车联网信息安全发展现状与分析
[J].中国信息安全,2017(1):98⁃101.
[10]杨南,康荣保.车联网安全威胁分析及防护思路[J].通信技
术,2015,48(12):1421⁃1426.
[11]凌之晞.关于车联网中信息安全问题的探讨[J].机电技术,2017(1):110⁃112.
[12]中国汽车工程学会.节能与新能源汽车技术路线图[M].北
京:机械工业出版社,2017.
[13]王建,许叁征,甘浩,等.智能汽车纵深防御关键技术及挑战
[C]//2018中国汽车工程学会年会.上海:中国汽车工程学会,2018:287⁃291.
[14]于赫.网联汽车信息安全问题及CAN总线异常检测技术研
究[D].长春:吉林大学,2016.
[15]何伟,谭曙光,陈平.一种基于STRIDE威胁模型的风险评估
方法[J].信息安全与通信保密,2009(10):47⁃49. [16]Society of Automotive Engineers(SAE).Cybersecurity guide⁃book for cyber⁃physical vehicle systems:SAE J3061[S]. USA:SAE,2016.
[17]National Highway Traffic Safety Administration(NHTSA).Cy⁃bersecurity best practices for modern vehicles:DOTHS812333 [R].Washington,DC:NHTSA,2016.
作者简介:郝晶晶(1988—),女,博士研究生,研究方向为汽车信息安全、汽车电子。
韩光省(1979—),男,硕士研究生,高级工程师,研究方向为汽车电子电气系统架构和网络设计。66
发布评论