二、车联网网络安全现状

（一）网络安全事件显现，用户生命财产安全受到威胁

车联网网络攻击风险加剧，人身安全受到威胁。目前，已出现针对车联网的网络攻击事件，部分案例中攻击者可控制汽车动力系统，导致驾驶者的生命安全遭到威胁。2015年，克莱斯勒的Jeep车型被国外的安全专家入侵，利用系统漏洞，远程控制汽车的多媒体系统，进而攻击V850控制器，并对其固件进行修改，获取远程向CAN总线发送指令的权限，达到远程控制动力系统和刹车系统的目的，可在用户不知情的情况下降低汽车的行驶速度、关闭汽车引擎、突然制动或者让制动失灵。2016年，同款Jeep车型在被物理接触的情况下，被攻击者通过接口注入指令，控制车辆的动力系统，可操控方向盘和刹车系统，严重威胁驾驶员人身安全。

黑客破解车联网远程控制账户，车主财产安全受到威胁。2016年，来自挪威安全公司的专家在入侵用户手机的情况下，获取特斯拉账户用户名和密码，通过登录特斯拉车联网服务平台可以随时对车辆进行定位、追踪，并解锁、启动车辆，最终导致车辆被盗，造成用户的财产损失。

（二）车联网产业链长、防护环节众多，网络安全问题复杂

车联网作为物联网在智能交通领域的典型应用，其产业链覆盖“两端一云”，主要围绕安全、智能出行和信息娱乐，涵盖元器件供应商、设备生产商、整车厂商、软硬件技术提供商、通信服务商、信息服务提供商等。由于车联网产业链较长，且网络安全防护对象多样，安全防护环节众多，不可避免存在产业链某一环节，如元器件供应商，无法在产品中实现足够的安全防护措施，导致存在薄弱环节。同时，车联网还面临网络安全需求复杂，网络安全防护手段建设缺乏针对性和系统性等问题。

（三）安全企业、整车厂商加快安全布局，但尚未深入合作

目前，国内以比亚迪、上汽等为代表的整车厂商已开始车联网网络安全工作部署，并取得一定进展。在网络安全技术研发方面，企业内部初步形成了跨部门的合作机制；以安全为基准的全新生产线逐步替代传统的生产线，不断加强车联网全生命周期各环节的网络安全管理。而以梆梆安全、奇虎360、匡恩网络为代表的安全企业在安全防护技术研发和产品创新方面也取得初步成效，除了提供汽车卫士、汽车总线安全评估工具等软硬件产品外，还提供渗透测试、安全评测服务；比亚迪、蔚来等整车厂商也探索使用腾讯科恩实验室提供的车联网安全解决方案。但整体来看，整车厂商和安全企业的合作以服务采购和黑盒测试为主，双方深度合作进行安全方案设计和安全方案评估的案例有限。

（四）车联网安全发展势头良好，但难以快速改善

当前车联网产业发展迅速，车联网网络安全已得到相关管理部门和业界的普遍关注，相关安全政策、安全标准研究制定工作正在积极推进，车联网安全关键技术和产品创新得到鼓励和支持，伴随相关工作成果的逐步落地，车联网安全发展的局面将逐步形成。但现阶段车辆安全技术仍在过渡中，部分车联网安全技术研发和应用推广还需时日，生产线升级换代和安全产品部署应用需要一定周期，以ISO26262/SAEJ3061等为指导原则的开发流程落地实施还有一段距离。此外，存量汽车的淘汰周期较长，如何加强存量汽车的网络安全能力目前尚无成熟解决方案。

三、车联网网络安全威胁分析

本章从智能网联汽车、移动智能终端、车联网服务平台、网络通信、数据安全和隐私保护五方面出发，对车联网网络安全威胁进行分析。

（一）智能网联汽车安全威胁分析

1、T-BOX提供无线网络通信接口，是逆向分析和网络攻击的重要对象

T-BOX是车载智能终端，主要用于车与车联网服务平台之间通信。一方面，T-BOX可与CAN总线通信，实现指令和信息的传递；另一方面，其内置调制解调器，可通过数据网络、语音、短信等与车联网服务平台交互，是车内外信息交互的纽带。T-BOX主要面临几方面的安全威胁：一是固件逆向，攻击者通过逆向分析T-BOX固件，获取加密算法和密钥，解密通信协议，用于窃听或伪造指令；二是信息窃取，攻击者通过T-BOX预留调试接口读取内部数据用于攻击分析，或者通过对通信端口的数据抓包，获取用户通信数据。

2、CAN总线是汽车控制中枢，是攻击防护的底线

CAN总线是由德国博世公司研发，遵循ISO11898及ISO11519，已成为汽车控制系统标准总线。CAN总线相当于汽车的神经网络，连接车内各控制系统，其通信采用广播机制，各连接部件均可收发控制消息，通信效率高，可确保通信实时性。CAN总线安全风险在于：一是通信缺乏加密和访问控制机制，可被攻击者逆向总线通信协议，分析出汽车控制指令，用于攻击指令伪造；二是通信缺乏认证及消息校验机制，不能对攻击者伪造、篡改的异常消息进行识别和预警。鉴于CAN总线的特性，攻击者可通过物理侵入或远程侵入的方式实施消息伪造、拒绝服务、重放等攻击，需要通过安全隔离来确保智能网联汽车内部CAN网络不被非法入侵。

3、OBD接口连接汽车内外，外接设备成为攻击来源

OBD是车载诊断系统接口，是智能网联汽车外部设备接入CAN总线的重要接口，可下发诊断指令与总线进行交互，进行车辆故障诊断、控制指令收发。目前OBD和CAN存在三种安全级别的交互模式：一是OBD接口设备对CAN总线数据可读可写，此类安全风险最大；二是OBD接口设备对CAN总线可读不可写；三是OBD接口设备对CAN总线可读，但读取时需遵循特定协议规范且无法修改ECU数据，如商用车遵循CAN总线SAEJ1939协议，后两者安全风险较小。

OBD接口面临的安全风险有三类：一是攻击者可借助OBD接口，破解总线控制协议，解析ECU控制指令，为后续攻击提供帮助；二是OBD接口接入的外接设备可能存在攻击代码，接入后容易将安全风险引入到汽车总线网络中，对汽车总线控制带来威胁；三是OBD接口没有鉴权与认证机制，无法识别恶意消息和攻击报文。目前较多接触式攻击均通过OBD接口实施，2016年BlackHat大会上，查理·米勒和克里斯·瓦拉塞克演示了通过OBD接口设备，攻击汽车CAN总线，干扰汽车驾驶。此外，OBD设备还可采集总线数据、伪造ECU控制信息，造成TCU自动变速箱控制单元等系统故障。

4.ECU事关车辆行驶安全，芯片漏洞及固件漏洞是主要隐患

ECU是汽车微机控制器，也被称为“汽车的大脑”，它和普通的电脑一样，由微处理器（CPU）、存储器（ROM、RAM）等部件组成。ECU的微处理器芯片是最主要的运算单元，其核心技术掌握在英飞凌、飞思卡尔、恩智浦、瑞萨等外资企业手中，技术架构存在一定差异。目前汽车ECU数量众多，可达几十至上百个，类型包括EMS发动机管理系统、TCU自动变速箱控制单元、BCM车身控制模块、ESP车身电子稳定系统、BMS电池管理系统、TPMS轮胎压力监测系统等。且随着汽车技术的发展和功能的增加，汽车ECU的数量逐年增加。

ECU作为微处理器，主要面临如下安全威胁：一是ECU芯片本身可能存在设计漏洞，可能存在认证、鉴权风险。如第一代iPhone3GS就曾经存在硬件漏洞，可用于越狱提权且无法进行软件修复；二是ECU固件应用程序可能存在安全漏洞，可能导致代码执行或拒绝服务。2015年通用汽车TCU软件模块就爆出过memcpy()缓冲区溢出漏洞6；三是ECU更新程序可能缺乏签名和校验机制，导致系统固件被改写，修改系统逻辑或预留系统后门。例如美国发生过攻击者利用ECU调试权限修改固件程序，解锁盗窃车辆的案例。