《2017车联网网络安全白皮书.docx》由会员分享,可在线阅读,更多相关《2017车联网网络安全白皮书.docx(50页珍藏版)》请在优知文库上搜索。
1、CAICT中国信通院(2017年)卜车联网网络安全白皮书中国信息通信研究院2017年9月H由曩槽豆:各VRQMS184KOOa(MOC1.(V1.*WBM0M1.ISWM002WBItt1.9saWOOzj(WBWBItsooIVHI1.ddJXWjaHyw_-MXp一经销商1.5G/建管小套资料涵藕:经销商开店指南、门店运管、汽车活动策划案例,销售提升技巧、促单培训资料、原客异议处理答微信公众号:在职充电社创业投资系列2017最实用创业投资资料300套2017最新研究报告300套全周期创业手册83份最新融资商业计划书0-6岁CEo创业必备秘籍200套世界百强商业计划书前言近年来,随着汽车保有
2、量的持续增长,道路承载容量在许多城市已达到饱和,交通安全、出行效率、环境保护等问题日益突出。车联网作为信息化与工业化深度融合的重要领域,对促进汽车、交通、信息通信产业的融合和升级,对相关产业生态和价值链体系的重塑具有重要意义。伴随车联网智能化和网联化进程的不断推进,车联网网络安全事件出现,用户生命财产安全受到威胁,车联网安全已成为关系到车联网能否快速发展的重要因素。当前.,正多于车联网发展关键时期,结合国际网络安全整体形势,强化车厚网网以安全保障已成为当务之急。八我院联合中国汽车技术研世心、注海安吉星信息服务有限公司、中国第一汽车股份有限勰技篇心、上海观安信息技术有限公司、北京匡恩网络科技有限
3、货莅司、北京奇虎科技有限公司、北京启明星辰信息安全技术会限雅,共同推出车联网网络安全白皮书(2017版).本白皮书主要从车联网网络安全现状、威胁分析、防护策略等方面进行分析探讨,井展望车联网网络安全趋势,希望与业界分享,共同推动我国车联网产业的安全健康发展。一、车联网网络安全概述()车联网基本概念(二)网络安全视角卜的车联网2二、车联网网络安全现状6三、车联网网络安全威胁分析9()智能网联汽车安全威胁分析9(二)移动智能终端安全威胁分析15(三)车联网服务平台安全威胁分析15(四)(五)四、乍联网网络安全防护策略(一)(三)(四)(五)16182()20232425272831车联网通信安全威
4、胁分析车联网数据安全和隐私保护威胁分析.一一I田除IS1.1.i,I31BJ1MU1.1.EnrOYA1.w三=11:图2网络安全视角下的车联网从防护对象来看,年联网的网络安全应重点关注智能网联汽车安全、移动智能终端安全、车联网服务平台;安全和隐私保护贯穿于车联网的各个信安全,同时数据,是车联网网络安全的重要内容。1.智能网联汽车安全各电子控制单元(E网络安全视角下能网联汽车如图3所示。主要涉及车内总线、bnicContro1.Unit,ECU)下载诊断(On-BoardDiagnostic,OBD)接口、T-BOX以及车载综合信息系统(In-Vchic1.cInfotainmcn1.,IVI
5、)等的安全风险。车内网络一般是基于总线的通信,包括CAN总线、1.IN总线等:ECU相当于汽车各个系统的大脑,控制着如发动机、变速箱、下灯等部件的运行,通过与车内总线相连,各ECU之间进行信息传递;车载诊断接口OBD(On-BoardDiagnostic)是外接设备与车内总线进行通信的入口,通过OBD中IM,二I:.奇欣网对格安企白皮H4,接口,可以通过统一诊断服务UDS(UnifiedDiagnosticServices)向ECU发送读写指令;T-BOX作为车内与外界进行信息交换的网关,实现汽车与车联网服务云平台之间的通信;车载综合信息系统IVI可以提供实时路况、导航、信息娱乐、故障检测和辅
6、助驾驶等功能,为乘客带来新的驾乘体验。全、传感器安全、?安全、车载操作系统安全、车载中间件安全智能网联汽车安能网联汽车j护对象来看,包括芯片安全、外围接口安和车载应用软件安全。其中芯片安全涉及电子控制单元ECU,车载操作系统等的芯片安全;外围接口安全包括车载通讯模块T-BOX、车载诊断系统接口OBD等安全;传感器安全包括摄像头和雷达等的传感器安全。2 .车联网移动智能终端安全个联网移动智能终端以智能机等终端设备为主,用于实现人与智能网联汽车、车联网服务平台等的交互,例如车主通过移动智能终端可以发送远程控制指令到云端服务器,云端服务器再将车主的控制指令发送给智能网联汽车,实现对汽车的远程控制等功
7、能,例如远程开启空调、车辆预热等。从防护对象来看,车联网移动智能终端安全应重点关注终端系统安全和ApP安全。3 .车联网服务平台安全车联网服务平台是提供车辆管理与信息内容服务的云端平台,负责车辆及相关设备信息的汇聚、计算、监控和芦理,提供智能交通管控、远程诊断、电子呼叫中心、道路救援等车辆档理服务,以及天气预报、信息资讯等内容服务。车联,服务件徐车联网数据汇聚与远程管控的核心,从安全防护对象来看,粒重点关注于.联网服务平台的平价系统、控制接口、WEB勘渝妾口、账户口令、数据保护等问题。4 .年联网通信安全车联网的目的息城车内、车与人、车与车、车与路、车与服务平台之间的信息通信。主要涉及车内网络
8、、车际网络和车载移动互联网络。其中,车内网络包括CAN总线、UN总线等总线通信,以及W旧、RFID,蓝牙、红外线、NFC等无线通信方式。车际网络实现智能网联汽车之间、智能网联汽车与路基设施的通信,目前,直连模式的车际网络主要涉及1.TE-V2X和IEEE802.1Ip这两种通信方式。车载移动互联网络包括2G/3G/4G/5G、卫星通信等无线通信方式。车联网通信安全从安全防护对象角度,应重点关注车内网络、车际网络和车载移动互联网络等安全。5 .数据安全和隐私保护车联网数据安全从安全防护对象来看,涵盖从数据采集、数据传输、开发利用、数据存储、数据备份与恢曳、数据删除等环节,包括但不仅限于用户信息、
9、用户关注内容、汽车基本控制功能运行数据、汽车固有信息、汽车状态信息、软件信息和功能设置信息等安全。用户隐私信息包括车主信息(如姓名、身份证、电话)、乍辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如母置信息、行驶轨迹),以及用户使用习惯等。二、车联网网络安全现状(一)网络安全事件显现,用户生命财产安全受到威胁车联网网络攻击风险加剧,人身安全受到威胁。目前,已出现针对车联网的网络攻占事件,部分案例中攻击者可控制汽车动力系统,导致驾驶者的生命安全遭到威胁。2015年,克莱斯勒的JeeP车型被国外的安全专家入侵,利用1.inux系统漏洞,远程控制汽车的多媒体系统,进而攻击V850控制器,并对其固
10、件进行修改,获取远程向CAN总线发送指令的权限,达到远程控制动力系统和刹车系统的目的,可在用户不知情的情况下降低汽车的行驶速度、关闭汽车引擎、突然制动或者让制动失灵1O2016年,同款JeeP车型在被物理接触的情况下,被攻击者通过OBD接口注入指令,控制车辆的动力系统,可操控方向盘和刹车系统,严重威胁驾驶员人身安全工黑客破解车联网远程控制账户,车主财产安全受到威胁。2016年,来自挪威安全公司Promon的专家在入侵用户手机的情况下,获取特斯拉App账户用户名和密码,通过登录特斯拉车联网服务平台可以随时对车辆进行定位、追踪,并解锁、启动车辆,地终导致车辆被盗,造成用户的财产损失二(二)车联网产
11、业链长、防护环节众多,网络安全问题复杂武车联网作为物联网在智能交吹域的典型应用,其产业链覆盖“两端一云”,主要围绕安全、号能出行和信息娱乐,涵盅元器件供应商、设备生产商、整车(商、渝庾件技术提供商、通信服务商、信息服务提供商等。由广车联扃产业链较长,且网络安全防护对象多样,安全防护环节众多、有血!免存在产业链某一环节,如元器件供应商,无法在产品中实现足够的安全防护措施,导致存在薄弱环节。同时,车联网还面临网络安全需求复杂,网络安全防护手段建设缺乏针对性和系统性等问题。:hUp:/autn.chuia.coni.ciicKVX20160S(X5i6775SS.shtni1.ttps,www.it
12、homc.oon,him1.aut,k27542him(三)安全企业、整车厂商加快安全布局,但尚未深入合作目前,国内以比亚迪、上汽等为代表的整车厂商已开始车联网网络安全工作部署,并取得一定进展。在网络安全技术研发方面,企业内部初步形成了跨部门的合作机制:以安全为基准的全新生产线逐步替代传统的生产线,不断加强下联网全生命周期各环节的网络安全管理。而以梆梆安全、奇虎360、匡恩网络为代表的安全企业在安全防护技术研发和产品创新方面也取得初步成效,厚r提供汽车卫士、汽测试、安全评测服车总线安全评估工具等软硬件产品外,还务;比亚迪、蔚来等整车厂商也探索彳网安全解决方案。但整体来看,购和黑盒测试为主,双方R科恩实验室提供的车联商和安全企业的合作以服务采进行安全方案设计和安全方案评估的案例有限。(四)
免费区 