网络信息安全评价部ymdys
一、远程信息技术概述
机械工业出版社出版,中国汽车工程学会主编《节能与新能源汽车技术路线图年度评估报告2018》对ICV进行了定义。 ICV搭载先进的车载传感器、控制器、执行器等装置,融合现代通信和网络技术,实现车与x (车、路、人、云等)的智能信息交换、共享,具备复杂的环境感知、智能决策、协调控制等功能,
针对电信安全技术的研究,从网络体系的角度,以国际电信联盟ITU-T的物联网体系参考模式为基础,电信体系结构包括从车载终端到远程服务器的感知层、网络层(传输层)和
远程信息传感层是指车辆通过传感器、信息通信等实时收发车辆自身交通环境的相关状况信息。 实际信息交流具体包括车内驾驶系统和控制系统信息、车身驾驶环境信息、车辆位置和速度信息、车辆外部环境信息、其他车辆、行人、道路信息和整体交通系统信息等。
电信网络层包括核心网和接入网两部分,是车辆信息接收和传输建立的信息通信网络。 核心网负责基站到云服务器的路由和数据传输,接入网主要负责车与车、车与基站之间的相互通信。 传输信息从感知层获取并提供给APP传输层,但远程传输层需要通过安全可靠的信息传输机制确保通信安全,确保APP安全、车辆安全、交通安全、人身安全。 目前主流的远程信息处理专用通信协议分为DSRC和LTE-V两种。
电信APP层是电信技术发展和创新的动力,APP应用层不仅包括车载信息服务类APP,还包括面向所有车辆交通的安全高效类APP和基于自动驾驶的协同服务类APP,包括人、车、路
二、从网络系统看车联网安全与检测
1 .远程信息处理感知层的安全性
从感知层的安全性来说,安全问题主要集中在通信、计算、存储等组成的车载终端上。 车载智能终端包含两种重要信息。 一个是个人信息的隐私。 二是车辆控制协议信息,包括远程控制命令、认证信息等。 受使用环境限制,车载终端性能比远程服务器差,安全措施不充分,有可能利用终端接口将恶意程序嵌入终端,干扰车载终端智能终端的信息通信和计算决策。 但是,目前车载智能终端的操作系统发布和更新多由各车载终端制造商独立进行,缺乏规范的安全管理政策和流程,无法对该车载终端的硬件、操作系统和APP软件进行必要的安全性测试,导致产品的安全性下降。
2 .远程信息处理网络层的安全
由于网络层主要负责数据传输,对网络层来说,其安全风险主要集中在数据的恶意拦截、获取、泄露、篡改上,通过节点进行攻击等,具体可以表现如下
窃听和篡改攻击
远程信息通信环境中的通信信道经常是开放的,攻击者可以通过发起窃听攻击来获取车辆节点之间传输的信息,从而对用户隐私信息的泄露造成安全威胁。 在发生窃听攻击的情况下,攻击者同样可以非法篡改信息并发送到目标用户,使用户接收到错误的信息,从而影响远程通讯业务的安全。 由于窃听和篡改攻击的特性,用户无法知道信息是否被窃听,因此有必要检测信息传输是否被加密,以确保信息传输的安全性。
回放攻击
再生攻击、窃听、篡改攻击经常同时发生。 攻击者通过窃听截取通信信道内传输的信息,同样地将消息重复发送到远程通讯技术内的实体,从而接收者认为是合法用户发送的,混淆了应该接收的交通信息,造成误判。 因此,为了防止这种攻击,需要检测相关的安全协议是否设置了时间戳或随机值。
3 .远程信息处理APP层的安全性
对于APP应用层的安全来说,其安全风险主要集中在APP自身的认证、密钥管理、数据安全、隐私保护等方面。 具体情况如下
节点捕获攻击与检测
节点捕获攻击既可以分为网络层,也可以分为APP应用层。 节点攻击通常是指Sybil攻击或女巫攻击。 这种攻击是指远程信息处理技术中的单个节点具有多个id,攻击者利用远程信息处理技术中的少数节点控制多个假id,冒充或伪造合法车辆向信息网络发送信息,从而控制了网络中的许多正常节点在远程信息处理系统中,由于汽车自身的节点具有移动性,所以网络受影响的范围随着节点的移动而扩大。
针对节点攻击的主要检测手段有以下3种。
(1)进行节点的认证。 在节点加入网络之前,请在hsdyb认证中心进行认证,以获取适当的通信密钥,并确保每个节点都有合法的id。 另外,通过使用匿名技术,可以确保通信中的节点的隐私。 Yu H等人提出,利用算法使从汽车中得到的所有化名用特定的散列算法与相同的值对应,从而迅速发现车辆同时使用多个身份的现象。 但是,合法身份的节点仍然存在被盗、共享的安全威胁
)2)检测节点的位置。 远程信息处理技术的一个重要特征是每个节点都具有移动性。 攻击者有多个身份,但这些身份都对应同一物理节点,所以其行为有很高的相似性。 同样地,不同车辆一般具有不同的移动轨迹,因此通过分析节点的移动行为、移动轨迹的相似度可以有效地检测Sybil节点。
)3)发现节点匹配资源。 通常,在许多车辆节点中,通信带宽、计算能力、存储空间等基本相等。 因此,当多个节点具有的资源和数量不一致时,可以判定节点中有虚假节点。
系统内部的攻击和检测
系统内部的人经常会发起攻击,因为该人拥有用户密码管理权限,是相关人员非法窃取的
和使用存储与系统服务器中的用户与密码,就可以发起对整个网络的攻击,甚至对信息进行转卖。因此需要建立安全管理制度,设置管理员操作权限对管理员操作行为进行检查。三、从设备终端看车联网安全与检测
1.移动终端安全检测
随着车联网的发展,参与车联网网络的共享服务不仅局限于车内单元和外部基础设施,用户所携带的智能移动终端也参与其中。这些电子设备内部往往包含用户的隐私信息,攻击者常常可以利用设备内部的秘密信息非法访问资源和服务,或冒充合法用户发送虚假消息至车联网中。移动终端的安全检测主要包括:
账户安全检测:检测密码是否采用明文进行传输和存储、账户锁定策略、注销机制等。
数据通信安全检测:检测数据是否加密、是否使用安全通信(如HTTPS)、是否验证数字证书和数据的合法性等。
服务端接口检测:检测是否存在SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、越权访问等。
除此之外还包括安装包检测、组件安全检测、敏感信息检测等
2.网络及安全设备安全检测
网联汽车依据现有网络基础拓展感知网络和应用平台,是互联网的延伸,且汽车本身也不再是一个孤立的单元,因此针对智能网联汽车的检测要保证车辆自组网与多种异构网络之间的通信与漫游,实现V2X的双向数据通信链路之间的传输安全。
针对车联网网络安全,其主要检测应包含:
通信协议安全检测:检测通信协议一致性与通信互操作性;进行通信协议身份认证漏洞检测、假冒攻击漏洞检测、保密数据泄露漏洞检测、新鲜性漏洞检测、类型攻击漏洞检测、攻击者不道德漏洞检测等。
传输保密检测:检测通信数据是否为加密传输,是否确保数据传输的准确性和一致性。
网络边界检测:检测是否支持连接外部系统,是否在内部系统边界进行监控、是否部署边界保护设备等
设备识别检测等:检测是否对固定设备进行唯一性标识和鉴别能力
3.服务器/存储设备安全检测
车联网服务器架构一般可分为身份认证管理平台、远程信息服务终端(Telematics Box, T-BOX)管理服务器和应用服务器,身份认证管理平台为整个系统提供身份认证方案和基础服务,在管理服务器和应用服务器上部署身份认证相关功能,车辆和智能终端通过无线访问点,使用移动通讯技术连接网络,用户操作手机获取系统服务。攻击者常可利用身份认证协议自身的漏洞造成认证失效,进而破坏整个服务器架构。
车联网服务器安全检测除T-BOX安全检测外还应包含移动终端OS安全检测,其检测内容部分相同,具体表现为:
会话认证检测、身份鉴别检测、访问控制检测、数据完整性和保密性检测、登录失败限制检测、安全审计检测、日志管理检测、数据备份与恢复检测等。
针对T-BOX安全检测还应包含:T-BOX服务接口渗透检测、T-BOX非法注入检测、T-BOX非法控制检测等
除此以外,对服务器系统检测应包含基本功能性检测,其目的是要实现对服务器设备、服务器操作系统、数据库系统、应用在服务器上性能的全面监控。基本功能性检测包含功能测试和性能测试两方面。功能测试从用户观点出发,采用黑盒测试证明系统功能的可操作性和正确性;性能测试则利用自动化工具模拟多种正常、异常、峰值负载条件来测试系统的各项性能指标,针对服务器端也可采用系统本身的监控命令进行检测。
四、小结
中国软件评测中心认为智能网联汽车处于发展的初阶段,对于车联网的安全与检测技术研究以及安全标准的建立也处于起步阶段,从不同的角度看待车联网的安全将有利于推动行业的发展与相关标准的建立。