摘要：唐迪针对车联网网络安全威胁和需求，梳理了网络威胁模型和攻击行为。介绍了国内外标准规划和标准建设概况，车载信息安全功能设计方向、车载信息安全测评方法、流程和标准实践。

唐迪    公安部第三研究所助理研究员，博士后

第一部分，车联网现在面临的安全形势，这也是我们现在在车联网做信息安全的一个大的背景个。第二是我们当前国内外车载或者车联网相关标准推进的状态。第三，在标准的制定过程中我们在车载信息安全的要准实践中做了哪些工作。

先从车载信息安全的形势说起。实际上车联网出现信息安全的问题主要来源的原因还是车辆连上了网，最早车联网本身互联网化相对来说还是安全的，直接道路2010年，2011年，2013年这几年才会慢慢有一些实验室对具备一些比较强大功能的汽车有些联网功能，比如Wifi，蓝牙车辆进行一些实验性的入侵，才会有这样一些攻击和破解。到了2015年车联网变成很多高级的车辆，包括奥迪、克莱斯勒，还有特斯拉慢慢把车联网作为必备选项或者高配车型必备的功能才导致车联网直接暴露在互联网的端口下导致了原来的漏洞被暴露出来，才有了大量的入侵事件和车辆被控制的事件。

这个安全威胁是来源于整个封闭车辆看总线的网络系统，通过TBOX或者车载娱乐终端或者Wifi节点暴露在互联网上导致的结果。最初是因为我们在车辆的生产厂商在设计车辆的车载网络并没有考虑信息安全问题，相对封闭的系统相对安全的，导致联网之后原来那些没有想到的安全功能和安全漏洞都暴露出来，从而导致了这么一个威胁的出现。

当前对车辆可以被攻击的脆弱点做的一个整体分析，不管从云端、车端、路端这些通讯、服务和数据可以攻击的脆弱点超过了50个，而我们这几年可以看到的比较著名的一些攻击事件，包括记谱、特斯拉、BYD、福特，包括Wifi密码破解、钥匙射频信号伪造。BYD被攻击有一个典型的事情就是蓝牙直接跟它的车辆总线网络相接，但是蓝牙自己的安全措施和安全功能具有一定的漏洞，当黑客对蓝牙密钥进行攻击得到相应的P码，手机链到蓝牙系统直接到了总线就可以对汽车进行开锁和启动，也就导致对这辆车不接触的情况下进行了劫持。

车联网本身的信息安全和传统信息安全最大的不同是造成的后果不一样，威胁最大的后果是有可能会造成人员的伤亡。所以，信息安全的重要性比传统信息安全可能更重要。当前我们国家国内外针对这些威胁有很多厂商做了很多工作，他们也做了很多针对车载威胁，以及车联网威胁的安全的工具，包括ISS、博世、Escrypt都有一些安全解决方案，国内东软、奇虎、梆梆也有一些产品，车厂也做了很多工作，之前他们设计没有考虑这些问题，但是去年我们接触一些大的厂商，长安、吉利、通用、一汽、东风这些企业的过程中发现他们都把信息安全在设计部门作为一个级别非常高的工作，也充分在他们新的产品中，网联设备的信息安全作为一个设定的目标。

这些产品的出现有一个问题就是现在没有标准，国家从国外和国内都没有成熟的标准在应用，而标准主要解决的就是我们现在要解决的问题，包括信息安全产品或者检测产品，还有一些车辆安全的设计原则，功能和设计的目标，性能指标要求。下面我要介绍的是国内外在解决这个问题上，在标准方面做的一些工作。

当前这个是SAE美国汽车工程学会从2015年开始做这个标准，包括有J3061，3101，还有3138这几个标准，分别针对了汽车整个的生产周期、研发，还有它的一些硬件的要求，还有一些车与车内通讯的要求，做了这三个标准。这三个标准在全球相对来说是比较成熟的，但实际上也是在去年年底才刚刚发布，具体内容厂商在具体的实践过程中。除了美国工程汽车工程协会，还有国际的ISO标准，ISO也是跟SAE进行一个合作。也是基于SAE的标准做，分了4个工作组，主要是负责安全威胁的定义和风险的分析，车辆开发安全过程的安全，以及汽车产品发布后的安全。

在国际上除了ISO欧洲也做了一些标准，这个是WP29，这是联合国下的一个汽车安全的论坛，它的主要的功能是为联合国制定一些车辆信息安全的规范，这些规范在协约国里是强制执行的，他们现在已经做的一些工作，包括系统的分析智能汽车的安全威胁，目前为止他们已经完成了基本方针的评审，下一步的工作重点主要在开发和测试上。这是国外一些标准的介绍。我们国家质检总局下的国标委负责推进整个汽车信息安全的标准，实际负责和做这个标准的时候三个标委会都涉及到联网汽车或者汽车电子相应的信息安全的标准。包括通标委、信安标委和汽标委，信安标委主要是对于信息安全的一些测评，产品的一些标准的制定。汽标委以前是传统汽车，现在根据汽车的发展速度成立了一个新的智能网联汽车的分标委，包括自动驾驶工作组，还有汽车信息安全工作组。汽车信息安全工作组主要分两个部分，一个做国内汽车信息安全体系，另外做国际的法规协调。

汽标委的体系架构，包括基础标准、通用规范标准、产品与技术应用标准及相关标准。其中信息安全标准在通用标准中是一个部分，他和功能安全是一个并行的标准体系。我把信息安全标准进行一个展开，这是汽标委在汽车信息安全标准体系的一个过程，它跟传统的信息安全标准比较像，包括有基础标准、关键系统与部件、功能应用管理，以及其他的一些相关标准。除了汽标委现有的标准已经立项了，但是标准都是在研过程中，包括T-BOX和网关信息安全技术要求，两周前才开完一次标准的讨论会，也就是刚刚立项，现在正在研究过程中，其中还有两个标准，一个是漏洞应急相应，还有通用测试方法。

信安标委会也在做汽车电子的信息安全标准的推进，汽车电子安全标准推进主要是落在信息安全评估和标准工作组，包括信息安全产品和信息安全产品测评的标准都在WG5工作组。

当前用的标准体系大概是这样，对不同的层级进行分可以分基础层、安全要求层和测评认证层几个部分。现有的一个是汽车电子系统网络安全指南，还有车载公共安全技术要求，  这两个标准都是在研过程中。具体信安标委会对汽车标准的体系规划大概这几个部分，包括终端、应用、服务、操作系统、芯片、通信、测评，还有一些车载网络和无人驾驶这几个部分。

当前标准现状是汽车电子网络系统网络安全指南已经立项，去年4月立项，去年开的启动会，今年也对于了一次。还有信安标委会发布的汽车电子网络安全标准化白皮书，对未来三标准的规划做了一些描述。去年11月开的一次汽车电子网络安全指南标准的启动会，这个标准主要包括以下几个部分，一个是汽车电子系统网络安全的指导原则，网络安全过程框架，生命周期安全控制，网络安全管理和辅助管理，以及最后的网络安全过程框架实施。这些标准里很多内容也是参照跟国际的SAE、ISO的标准进行了参考和借鉴。

今年对这个标准的推进。以上是对当前国内外标准现状的情况。我们在公安部第三研究所国家信息安全检测中心做了一些工作。我们首先对当亲的车联网本身电子系统和电子网络系统的设备，它的很多信息安全的威胁或它需要的安全功能的解决方案跟传统信息安全是有很多类似之处，我们通过分析，现在车联网上的电子系统与实际已有的安全功能一个对应，也就是当某些产品它具有一些威胁，比如T-BOX可能在网络控制、网络隔离、漏洞扫描、渗透都需要做一些安全功能和安全的加固。以这个分析结果为基础，我们认为车联网本身在测评方面应该分不同的几个阶段，也分不同的几个内容。第一是车载网络设备。车载网络设备就包括一些CAN总线所连接的电子设备、T-BOX、车载娱乐系统、蓝牙及WIFI网络连接设备。

第二是车载的信息安全产品，传统的信息安全加一些防火墙、IPS，还有一些审计软件，实际上未来在车载上也可能会有车载的防火墙，车载的安全网关这样的产品。针对这些产品也需要检测，而且这个产品在市场上已经有了包括360在做的，也都属于车载信息安全的范畴。除了以上产品级的测试，我们现在认为就是一个正向的测试，还有一部分是车载电子信息设备的逆向测试，刚才大家很多演讲人都提到渗透的问题，这个电子设备本身在设计之初没有考虑信息安全功能，不管是编写代码和其他框架设计的时候都没有考虑信息安全问题，所以，他有很多漏洞，也存在一个车载电子信息设备的渗透测试。除了对设备单体进行一个测试，还有对车载信息系统我们对整车进行分级测试和安全性评估，除了整车再往大里走就是车联网，车联网正在做的工作也是现在公安部也在推的一个工作，就是车联网等级保护的测评。现在在上海我们已经对上汽通用和上汽车斗争在做相应的等保测评的工作。

针对以上的威胁和我们测试的内容，我们给出了现在车联网或者车载电子设备的检测项目，当然这是部分检测项目，刚才我也说到其实我认为这个检测应该分为两个部分，第一个部分应该是正向的，它应该有一个主动的安全功能，这些安全功能能主动地防御一些威胁，比如有一些访问控制，通信加密等功能，其次有一些逆向的功能，这修逆向的功能包括渗透的一些测试，对他楼栋进行一些发现，比如逻辑代码安全、业务安全等漏洞。基于以上的测试项目我们搭建了相应的车载信息安全的检测平台，主要包括几个部分，车载网络环境、检测工具、检测规范、检测流程。车载网络环境搭载一个完整的模拟的车辆的电子设备以及CAN总线的网络环境，检测工具包括CAN总线的漏洞分析工具、扫描工具，以及移动智能和有一些移动终端上APP的扫描工具。

我们现在所采用的两个平台。左边的平台针对一个车机检测的内容，都是从车上拆下来的，包括ECU，网关，还有TCU，还有T-BOX这些部分，都是我们从车上直接拿来用的。另外，简单的协议分析用的是CAN-OE和USB-CAN软件，同时我们用检测工具对CAN内部进行扫描和漏洞的扫描测试，从而发现它的安全性问题。除了这个，我们还做了一个可以模拟实际车辆的安全环境，包括动力系统、诊断系统，通过中央网关对这些系统进行一个连接，包括可以由仪表、转速表，有转速，有前后自动门窗的起降器，还包括收音机等等这些娱乐设备。同时，整个检测平台所有的接口都是可以通过CAN总线直接连在外面，可以跟我们被测设备进行车机互联的，通过我们检测供给可以搭建相应的网络进行攻击。

我们检测平台用的一些检测工具，包括CAN总线漏洞扫描工具，CAN协议T-BOX扫描工具以及APP的扫描工具。CAN-总线扫描工具第一个功能就是协议分析。虽然大家都用的是博世CAN总线的协议，但是UBS  ISO的标准不是统一的，不同车厂版本都不太一样，心里信令的位置也不太一致，我们通过这个协议分析首先确定协议版本，确定完版本我们对它进行模糊测试发现它在CAN中信令的位置观察ECO的反映来确定到底哪个在它所用信令的位置。在这个基础上我们进行相应CAN总线的攻击，用中击模式进行中间的攻击，通过劫获T-BOX发给网络的信号或者报文，重新劫获再发送CAN总线是否还有相同的效果。

我们转速表匀速在转，它的转速表不到10，我们通过这个攻击还是这个转速，但我们通过发送攻击它的转速表可以疯狂地打转，如果实车工作中实际是很危险的，也会造成人身的一种伤害，这种攻击可以发现我们在被测设备中没做任何安全防护，他在T-BOX接受相应的命令的时候也没有做任何的认证，导致这么一个攻击的出现。

APP的检测，包括越权，有一些是跟传统的比较像，有一些是跟车辆本身特有的一些漏洞进行扫描。这是实际测的一些产品，因为现在整个车联网真正把信息安全的功能和加固的东西用在量产车上的，可能在全国也只有一两家在用，我们测的这两个产品都是在量产车上马上实现的，马上量产车上安装的产品。

T-BOX，也是它网络连接的设备，正向、逆流相同两个测试报告，一个是安全功能检测报告，另外是安全性漏洞渗透的测试报告。虽然现有的，即使设备车机或者T-BOX有一些安全功能，测试的过程中最终版本是没人修改过的，但是测试过程中还是大量发现一些漏洞和安全问题。中间车厂也根据这些问题进行了一些修改。

除了刚才我提到对车辆电子设备的一些检测以外，我们认为实际上车联网还有一个最大的问题它是一个联网的系统，不是一个孤立的系统，整个车间还要连车与路，车与人，以及连接的关系，特别车与人连接可能还要跟我们每个人手上的APP或者手机的智能终端进行连接，新型的网络对于整个信息安全的整体测评来说是一个新的挑战。在过去以往的等保测评中没考虑到车端的问题，APP应用到云端基本上这个信息系统测评方法够结束了，实际上现在又多了一个车端。当前我们正在做的一些研究工作中我们认为现在我们用的一个是采用了传统网络等级保护的一些要求，还包括正在编制的一个是物联网，一个是大数据这两个等级保护的一些要求。因为车辆本身要收集大量的个人信息，所以，这也增加了一些个人信息安全的要求。最后也要对车联网上网联设备也要提出相应的安全要求。左边是我们的依据。我们整个所采用的检测的过程中我们涵盖的内容包括云、管、端三个部分，包括云平台、主机厂数据服务平台、车辆终端和移动智能终端几个部分。