智能網聯汽車信息安全測評體系

王新年，張傳楨Wang Xinnian，Zhang Chuanzhen

智能網聯汽車信息安全測評體系

王新年，張傳楨
Wang Xinnian，Zhang Chuanzhen

（北京汽車研究總院有限公司，北京 101300）

目前智能網聯汽車信息安全工作主要集中在分析、挖掘安全漏洞等方面，缺乏全面、系統的信息安全評估體系?；谥悄芫W聯汽車存在的安全威脅，提出一套從汽車自身安全水平、車輛智能網聯化水平和企業應急響應體系3個方面綜合分析汽車信息安全的測試評估體系，并通過實車驗證了該測評體系合理可行，為汽車研發過程中信息安全風險分析提供技術支撐。

汽車信息安全；安全測試評估體系；安全威脅；安全漏洞

0 引 言

隨著汽車智能網聯化技術的快速發展，智能網聯汽車通過3G/4G、藍牙、Wi-Fi、V2X（Vehicle to Everything，車輛與外界交互）、射頻、USB、OBD-II（On Board Diagnostics Ⅱ，Ⅱ型車載診斷系統）等途徑對外互聯的應用場景、智能駕駛等新技術越來越多，智能網聯汽車面臨的信息安全威脅越來越大[1-3]。

2015年，黑客利用克萊斯勒JEEP車型娛樂系統芯片存在的安全問題將正在道路上行駛的汽車開到路旁的水溝里，該事件導致近140萬輛汽車被召回[4]；2016年，Promon公司利用特斯拉APP（Application，應用程序）的安全漏洞獲取了車主用戶名和口令，實現車輛解鎖、啟動等操作[5]；2018年，寶馬多款車型上存在14個通用安全漏洞，可以通過物理接觸和遠程無接觸等破解車載信息娛樂系統、車載通信模塊等，獲取CAN（Controller Area Network，控制器局域網絡）總線的控制權[6]；2020年，騰訊科恩實驗室利用特斯拉Model S無線模塊Parrot中存在的兩個漏洞，實現了在Parrot模塊的Linux系統中執行任意命令。

目前主機廠對信息安全研究工作主要集中在智能網聯汽車安全漏洞挖掘、面臨的威脅及有效的攻擊方式分析等方面，缺乏一套完善統一的智能網聯汽車信息安全測評體系來評估汽車的信息安全水平；汽車信息安全貫穿于汽車設計、開發、使用、報廢等環節[7]，因此，構建一套高效全面的智能網聯汽車信息安全測試評估體系十分重要。

1 智能網聯汽車存在的安全威脅

智能網聯汽車信息安全風險主要包括7個方面：網絡架構、ECU （Electronic Control Unit，電子控制單元）、T-BOX （Telematics BOX，遠程信息處理器）、IVI（In-Vehicle Infotainment，車載信息娛樂系統）、無線通信、TSP（Telematics Services Platform，云服務平臺）和APP，如圖1所示[8]。

注：BCM（Body Control Module，車身控制模塊），ESP（Electronic Stability Program，車身穩定控制系統）。

對智能網聯汽車中的7個威脅風險點，惡意攻擊者可以利用CAN總線廣播機制，實施數據包竊聽、偽造及數據重放等[9]；可以劫持ECU設備制造廠商的訪問機制，對源代碼進行逆向破解，對芯片內固件代碼進行提取、篡改、分析等操作[10]；利用T-BOX模塊存在的調試引腳、串口等，深入到系統內部，對協議傳輸數據進行篡改，實現對車輛遠程操控[11]；利用IVI系統軟件升級的方式獲取到Root訪問權限，進入系統內部，實現對車輛的控制，此外，還可以通過分析IVI系統硬件的主板、芯片、接口、引腳、標識等提取固件信息進行逆向分析，獲取敏感的關鍵信息，挖掘隱藏的安全漏洞[12]；利用旁聽設備獲取通信內容，對通信內容進一步分析，破解無線通信安全特征，對劫持的通信數據進行重放、篡改、丟棄等操作[13]；利用TSP云平臺系統軟件設計時的缺陷、編碼時產生的錯誤、業務交互過程中的邏輯錯誤實施攻擊[14]；攻擊者可以通過逆向APP的APK（Android application package，Android應用程序包）獲取到APP所有內容后，對源代碼進行篡改或植入惡意代碼，重新封裝后實施惡意攻擊；此外，攻擊者還可以通過調用各類接口達到控制車輛的目的[15]。

2 整車信息安全測評體系

參考ISO/SAE 21434中道路車輛安全、EVITA（E-safety Vehicle Insrusion Protected Application，車輛電子安全的入侵保護應用）威脅嚴重性分類模型、HEAVENS（Healing Vulnerabilities to Enhance Software Security and Safety，漏洞修復增強軟件安全分析模型）和CVSS（Common Vulnerability Scoring System，通用漏洞評級系統）中關于界定安全漏洞的標準，提出了一套由汽車自身的安全風險水平、車輛智能網聯化程度和企業應急響應的綜合評估體系，定量地評估智能網聯汽車的整體信息安全水平[16,17]。

整車信息安全測評體系采取滿分100分制，其中汽車自身安全水平、車輛智能網聯化水平、企業應急響應體系3個方面滿分分別為70分、20分、10分。汽車自身安全水平是通過汽車上存在的安全風險進行評判，智能網聯汽車的安全風險主要為圖1所示的7個方面，每個風險點計10分，共計70分；車輛智能網聯化水平根據被測車輛相關配置進行評判；企業應急響應體系根據企業自身具備的應急響應機制進行評判。智能網聯汽車整車信息安全測評體系如圖2所示。

圖2 智能網聯汽車整車信息安全測評體系

2.1 汽車自身安全水平

針對智能網聯汽車存在的安全風險，參考上述關于界定安全漏洞的評估標準，對出現的安全漏洞進行風險評估，得到汽車自身的安全水平。

2.1.1 汽車安全漏洞評估指標

參考漏洞評估模型的評估要素，將汽車的安全漏洞評估指標分為攻擊可行性參數和影響程度參數2個方面，結合這2個方面的不同影響因素計算智能網聯汽車單個安全漏洞的得分，進而計算出整車各個安全漏洞的得分。汽車自身安全水平評價流程如圖3所示。

圖3 汽車自身安全水平評價流程圖

1）攻擊可行性參數。

攻擊可行性參數表示在發動攻擊時車輛上存在的安全漏洞可被利用的各類影響因素，包括攻擊路徑、攻擊耗時、攻擊區域、攻擊設備、所需專業知識、目標資源、攻擊授權、車輛工況、機密性、完整性和可用性[18]。各影響因素的具體參數、賦值及說明見表1，攻擊可行性計算式為

S=1.905V+0.952V+1.905S+0.952E+0.952V+

0.952V+A+1.905C+0.333 (I+I+I) （1）

式中：S為攻擊可行性；V為攻擊路徑；V為攻擊耗時；S為攻擊區域；E為攻擊設備；V為所需專業知識；V為目標資源；A為攻擊授權；C為車輛工況；I為機密性；I為完整性；I為可用性。

攻擊可行性各影響因素的權重參考了CTS CAC-PV18-03《汽車產品信息安全測試評價規范》[18]，利用層次分析法對專家進行問卷調查后加權得到。

2）影響程度參數。

影響程度參數是指攻擊者利用汽車上存在的安全漏洞對車輛實施攻擊后產生的安全威脅，包括人身安全、財產安全、隱私安全、功能安全、公共安全及法規、危害持續時間[19]，其具體參數、賦值及說明見表2。

表1 攻擊可行性影響因素

續表1

注：①JTAG（Joint Test Action Group，聯合測試工作組）。

表2 影響程度的具體參數

續表2

汽車受攻擊后，影響程度的計算式為

S=3.333V+1.429V+0.952V+0.953V+2.381R+0.952T（2）

式中：S為影響程度；V為人身安全；V為財產安全；V為隱私安全；V為功能失效；R為公共安全及法規；T為危害持續時間。

影響程度各因子的權重參考CTS CAC-PV18-03《汽車產品信息安全測試評價規 范》[18]，利用層次分析法對專家進行問卷調查后加權得到。

2.1.2 汽車安全漏洞風險等級

根據表1、表2和式（1）、式（2）可計算得到攻擊可行性、影響程度的得分，相應的度量值和程度值見表3、表4。

表3 攻擊可行性程度范圍

表4 影響程度范圍

參考前文關于界定安全漏洞的評估標準，將汽車的安全漏洞分為A、B、C、D 4個等級，分別為低危、中危、高危和嚴重[20-21]。結合攻擊可行性度量值和影響程度值，得出汽車安全漏洞的風險評估等級，具體見表5。

表5 安全漏洞風險評估等級

2.1.3 汽車自身安全水平

為了計算整車7個風險點所有的安全漏洞得分，對安全漏洞的4個風險評估等級賦值，低危漏洞系數為1，中危漏洞系數為2，高危漏洞系數為3，嚴重漏洞系數為4，則整車7個風險點的安全漏洞為

整車自身的信息安全得分為

式中：W為網絡架構、ECU、T-BOX、IVI、無線通信、TSP云平臺、APP 7個風險點的產品安全試驗得分，其中單個W的最低分為0分；li為7個風險點的產品檢測出的低危漏洞個數；mi為7個風險點的產品檢測出的中危漏洞個數；hi為7個風險點的產品檢測出的高危漏洞個數；si為7個風險點的產品檢測出的嚴重漏洞個數；為整車自身的信息安全水平。

2.2 車輛智能網聯化水平

為了評價車輛智能網聯化水平，需對被測車輛智能網聯化功能進行計算，車輛智能網聯化水平主要分為智能網聯化配置、遠程控制、遠程查詢、安防服務和舒適娛樂方面，具體見表6（目前市場上主流智能網聯化功能），被測車輛每具備其中一項功能，評價分數加0.5分，滿分20分，超過部分不計。

表6 智能網聯汽車功能配置表

注：①ACC(Adaptive Cruise Control，自適應巡航控制)；②HUD（Heads Up Display，抬頭數字顯示儀）。

2.3 企業應急響應體系

智能網聯汽車企業應急響應體系主要包括技術防御、組織保障和響應實施3個方面[22,23]，共計20個指標項，具體見表7，每具備其中一項指標，評價分數加0.5分，滿分10分。

表7 智能網聯汽車應急響應體系

續表7

2.4 整車信息安全水平評價

綜上可知，智能網聯汽車整車信息安全定量評價為

=++（5）

式中：為智能網聯汽車整車信息安全水平；為汽車自身信息安全得分；為車輛智能網聯化配置得分；為企業應急響應體系得分。

為了充分直觀地評估整車的信息安全水平，結合CTS CAC-PV18-03《汽車產品信息安全測試評價規范》[18]和智能網聯汽車整體信息安全分值，將汽車信息安全水平分為高、中和低3個等級，見表8。

表8 汽車信息安全水平評價

3 測評實施案例

對某開發階段的智能網聯汽車信息安全進行測試，共發現5個安全漏洞：總線拒絕服務攻擊漏洞、總線重放攻擊漏洞、車載娛樂系統越權訪問漏洞、手機遠程控制APP中間人劫持漏洞以及手機遠程控制APP數據傳輸未加密漏洞。

3.1 試驗車輛信息安全漏洞風險評估

利用整車信息安全風險等級評估系統對5個漏洞進行分析，見表9。

（1）總線拒絕服務攻擊漏洞。物理接觸汽車、在汽車CAN總線上高頻率地發送優先級高的數據幀，導致汽車輔助駕駛系統故障、轉向助力失效、電子手剎、儀表盤故障和轉速表失效等，在汽車行駛過程中可能導致重大的人身安全和車輛的財產損失，屬于網絡架構中的嚴重漏洞。

表9 某智能網聯汽車安全漏洞分析

（2）總線重放攻擊漏洞。向汽車CAN總線發送儀表盤狀態顯示（如轉向燈、遠近光燈等）數據幀，導致儀表盤顯示故障，可能會導致駕乘人員對車輛狀態做出錯誤判斷，屬于網絡架構中的中危漏洞。

（3）車載娛樂系統越權訪問漏洞。車載娛樂系統中開啟了開發者選項并存在網絡調試端口，惡意攻擊者可以通過Wi-Fi、藍牙等方式直接訪問車機，滲透到車機內部并以Root身份執行任意操作，屬于車載娛樂系統IVI中的嚴重漏洞。

（4）手機遠程控制APP中間人劫持攻擊漏洞。手機遠程控制APP與服務器間通信未使用雙向證書校驗，惡意攻擊者可以通過偽造代理、DNS（Domain Name System，域名系統）欺騙等手段獲取正常用戶的請求，并將篡改偽造后的請求發送給服務端，達到登錄、遠程控制汽車的目的，屬于APP中的嚴重漏洞。

（5）手機遠程控制APP數據傳輸未加密漏洞。手機端遠程控制APP的傳輸數據未進行加密，容易被攻擊者攔截，造成用戶關鍵隱私數據泄露，屬于APP中的中危漏洞。

3.2 試驗車輛信息安全水平

該款智能網聯汽車具備智能網聯化配置、遠程控制、遠程查詢、安防服務和舒適娛樂類共計32項智能網聯功能，該車輛智能化程度得分=0.5í32=16分。

企業的應急響應能力具備風險評估、入侵檢測、確定漏洞、事件跟蹤、預防指南、應急管理組、專家顧問組、事件分類、應急響應、信息發布、專家庫建設及應急預案管理等12項，則企業應急響應體系得分=0.5í12=6分。

綜上所述，根據式（5）得到該款智能網聯汽車信息安全得分=++=54+16+6=76分，通過表8可知該車輛的信息安全屬于中等水平。

4 結 論

提出面向智能網聯汽車信息安全水平的測試評估體系，通過汽車自身安全、車輛智能網聯化水平和企業應急響應體系3個方面進行綜合定量分析，對智能網聯汽車安全漏洞評估要素的選取、漏洞評分的制定、漏洞風險等級評定等內容進行深入的研究分析，并利用該測評體系對某款智能網聯汽車的試驗車輛進行整車信息安全水平定量評估。該測評體系有助于推進國內外汽車行業對汽車安全漏洞等級劃分、車輛整體信息安全水平評估等工作開展，為智能網聯汽車的信息安全防御提供了有力的技術支撐。

[1]藺宏良，黃曉鵬. 車聯網技術研究綜述[J]. 機電工程，2014，31（9）：1235-1238.

[2]李馥娟，王群，錢煥延，等. 車聯網安全威脅綜述[J]. 電子技術應用，2017，43（5）：29-33.

[3]RIZVI S，WILLET J，PERINO D，et al. A Threat to Vehicular Cyber Security and the Urgency for Correction[J]. Procedia Computer Science，2017（114）：100-105.

[4]KOSCHER K，CZESKIS A，ROESNER F，et al. Experimental Security Analysis of a Modern Automobile[C]// 31st IEEE Symposium on Security and Privacy,16-19 May 2010, Berleley/Oakland, California, USA，2010：447-462.

[5]馮志杰，何明，李彬，等，汽車信息安全攻防關鍵技術研究進展[J]. 信息安全學報，2017，2（2）：1-11.

[6]NIE S，LIU L，DU Y. Experimental Security Assessment of BMW Cars by Keenlab[R/OL].(2018-05-22)[2020-10-12].https://keenlab.tencent. com/en/2018/05/22/New-CarHacking-Research-by-KeenLab-Experimental-Security-Assessment-of-BMW-Cars/.

[7]席榮榮，云曉春，張永錚.CVSS環境評分值的分布特點的研究[J]. 高技術通訊，2014（1）：10-15.

[8]楊南，康榮保. 車聯網安全威脅分析及防護思路[J]. 通信技術，2015，12（48）：1421-1426.

[9]于赫，秦貴和，孫銘會，等. 車載CAN 總線網絡安全問題及異常檢測方法[J]. 吉林大學學報（工學版），2016，46（4）：1246-1253.

[10]MILLER C，VALASEK C. Adventures in Automotive Networks and Control Units[J]. Def Con，2013（21）：260-264.

[11]王瑋. 車輛T-BOX系統安全測試和評價[J]. 電信網技術，2018（1）：85-88.

[12]KONG H K，KIM T S，HONG M K. A Security Risk Assessment Framework for Smart Car[C]//International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing，2016：102-108.

[13]JUELS A. RFID Security and Privacy：A Research Survey[J]. IEEE Journal on Selected Areas in Communications，2006，24（2）：381-394.

[14]趙德華，張曉帆. 車聯網TSP平臺軟件漏洞分析與安全測試[J]. 汽車實用技術，2016（12）：136-138.

[15]MILLER C，VALASEK C. Remote Exploitation of an Unaltered Passenger Vehicle[C]// Black Hat USA，2015：1-91.

[16]席榮榮，云曉春，張永錚.CVSS環境評分值的分布特點的研究[J]. 高技術通訊，2014（1）：10-15.

[17]周亮，李俊娥，陸天波，等.信息系統漏洞風險定量評估模型研究[J]. 通信學報，2009（2）：70-78.

[18]中國汽車技術研究中心有限公司. 汽車產品信息安全測試評價規范：CTS CAC-PV18-03[R]. 2020.

[19]王磊磊.安全漏洞多維度分析與量化評估方法研究[D]. 大連：大連理工大學，2010.

[20]王秋艷. 通用安全漏洞評級研究[D]. 西安：西安電子科技大學，2008.

[21]王瑞剛. 網絡與信息安全事件應急響應體系層次結構與聯動研究[J]. 計算機應用于軟件，2011，28（10）：117-119.

[22]楊磊，郭志博. 信息安全等級保護的等級測評[J]. 中國人民公安大學學報（自然科學版），2007，13（1）：50-53.

[23]張玉清，高有行. 網絡安全事件應急響應聯動系統研究[J]. 計算機工程，2012（2）：25-27.

2020-11-17

U463.61

A

10.14175/j.issn.1002-4581.2021.01.006

1002-4581（2021）01-0025-08