汽车电子安全研究
来源:工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)严霄凤 更新时间:2013-03-05

〔摘要〕以车载计算机为平台,将汽车动力总成、底盘和车身电子控制,以及车载通信、导航、视听娱乐、网络控制等集成为一体化是汽车信息化发展的必然趋势。车载信息系统在提高汽车安全性、舒适性、经济性和娱乐性的同时,也给乘驾人的行车安全和信息安全带来了不可忽视的安全隐患。本文简单介绍了汽车电子,分析了汽车电子系统可能存在的安全隐患和风险,并给出了安全风险防范建议。

〔关键词〕汽车电子车载信息系统信息安全汽车通信安全汽车总线系统

Research of Automobile Electronic Security

Yan Xiaofeng

Research Center for Computer and Microelectronics Industry Development, MIITChina Software Testing CenterBeijing 100048

AbstractThe inevitable trendof development of automotive information is synthesizingautomotive powertrain, chassis , body electronics control, and vehicle communication, navigation, entertainment, network controlfor integration based onthe computerplatforms. Vehicle information systemsimprove vehicle safety, comfort, economy and entertainment, but also bring the ride people personal safety and information security risks.This article describes the automotive electronics, analyzes the security risks of automotive electronic systems, and gives recommendations of security risk mitigation and countermeasures.

KeywordsAutomotive Electronics; Vehicle Information Systems;Information Security; Automotive Communication Security; Vehicular Bus Systems

0         引言

随着信息技术的普及和汽车产业的发展,信息化逐步进入汽车内部,使汽车向智能化方向发展。以车载计算机为平台,将汽车动力总成、底盘和车身电子控制,以及车载通信、导航、视听娱乐、网络控制等集成为一体化是汽车信息化发展的必然选择,汽车厂商在考虑提供高品质汽车和产品售后服务的同时,开始考虑先进、智能的汽车电子控制装置和车载信息系统。对计算机依赖程度日益增加的新技术能够使汽车更安全、能耗更低、更智能化,为乘驾人员提供便捷、舒适、愉悦的乘驾体验,但引入更多的技术,也意味着引入了更多的漏洞。随着汽车越来越智能化,并且与互联网系统连接,汽车遭受黑客攻击已开始由以前的理论转入现实世界,但有关车载信息服务系统安全相关的问题还未得到厂商及用户足够的重视和很好的解决。汽车电子在带来其好处的同时,也给乘驾人的行车安全和信息安全带来了不可忽视的安全隐患。

1         汽车电子

汽车电子最重要的作用是提高汽车的安全性、舒适性、经济性和娱乐性。汽车电子化的程度是衡量现代汽车先进性水平的重要标志,是未来开发新车型,改进汽车性能最重要的技术措施。增加汽车电子设备的数量、促进汽车电子化、智能化是占领未来汽车市场重要且有效的手段,目前电子技术的应用几乎已深入到了汽车所有的系统。汽车电子产品大致可归为汽车电子控制装置和车载信息系统(也叫车载汽车电子装置)两个大类。

1.1  汽车电子控制装置

汽车电子控制装置,即所谓“机电结合”的汽车电子装置,和车上机械系统进行配合使用。包括动力总成、底盘和车身电子控制系统、舒适和防盗系统等。例如:电子燃油喷射系统、制动防抱死控制、防滑控制、牵引力控制、电子控制悬架、电子控制自动变速器、电子动力转向控制、安全气囊控制、中控锁等。

现代汽车上装备有多种传感器,能够充分感知驾乘人员的状况、交通设施和周边环境的信息,判断驾乘人员是否处于最佳状态,车辆和人员是否面临危险,并及时采取相应措施。汽车电子控制装置的应用使汽车变得更加智能。

汽车电子控制装置通过总线技术,采用局域互联网(Local Interconnect NetworkLIN)、控制器局域网(Controller Area Network,CAN)、面向媒体的系统传输(Media Oriented System TransportMOST)和FlexRay等总线将各种汽车电子装置连成网络,通过总线接收信息和发送控制指令等。汽车电子装置除了独立完成各自的控制功能外,还为其它控制装置提供数据服务。

1.2  车载信息系统(车载汽车电子装置)

车载信息系统,也叫车载汽车电子装置,是在汽车环境下能够独立使用的电子装置,它和汽车本身的性能无直接关系。包括汽车信息系统(车载电脑)、胎压监测系统、导航系统、汽车视听娱乐系统、车载通信系统、车载网络系统等。

汽车电子技术的发展和应用,使得每辆车都相当于一个小的物联网,包括了对传感器、网络等概念和技术的广泛应用。车载信息系统是智能汽车的重要组成部分,在汽车环境中,运用计算机、卫星定位、通讯、无线网络、控制等技术为汽车提供安全、环保及舒适性功能和信息服务等。其功能可分为:通信类、导航类、娱乐类、工作类、控制类、安全类、信息类、远程维护类等。

通讯类包括:移动电话、智能电话、车载电子通讯台等。

导航类包括:GPS导航仪、旅行者信息系统等。

娱乐类包括:车载DVD、车载CD、车载移动电视等。

工作类包括:车载计算机、PDA等。

控制类包括:车内设施开关和调节控制等。

安全类包括:驾驶员疲劳检测设施、车道检测仪、胎压监测系统等。

信息类包括:驾驶信息服务(如:仪表盘信息及位置、导航、气象、交通状况、加油站、特别路段等路况信息等)、安全信息服务(如:安全闭锁、胎压、气囊状态、事故一键报警、倒车视像等)、商业信息服务(如:商家查找、商户预定、广告推送等)、管理信息服务(如:车辆位置、速度、驾驶者信息、乘员和货物状态等)等。

远程维护类包括:汽车安防系统、远程车辆诊断系统等。

车载信息系统的提供方式包括后装和前装两种方式。后装是指在汽车出厂之后安装,前装指在汽车出厂时就已经配备。车载信息系统典型的有:丰田G-book、通用OnStar、福特SYNC、日产CarWings、吉利G-Netlink、荣威inkaNet、华泰TIVI、现代BlueLink、长安InCall、启明D-Partner、博泰PATEO、耀美YEAMAX、亚美讯Thinkway、龙安天下Xlong、好帮手KARAOKE、宝马Qdis-isods等。在车载信息系统远程服务提供商方面,除了原有的OnStar95190、车音网、城际通等不断拓展业务范围外,新的独立第三方车载信息系统远程服务提供商开始涌现,如易图通、车友互联(4S在线)、远峰“车友在线”、奥世一键通等。

车载信息系统从高到低包括客户层、服务层、通讯层和车载层4个层面。系统构成从下至上分为硬件平台、软件平台和服务平台。x86ARM仍然是主流的硬件平台,软件平台中的操作系统包括:QNXWindowsCEAndroidLinux等。

近年来,汽车和发动机系统微处理器的规模越来越大,汽车电子产品占汽车总成本的比例逐渐升高。远程信息处理系统将蓝牙技术广泛应用于汽车,使汽车智能化不断升级,物联网概念和技术的应用将车载信息系统的未来带到了车联网的高度,云计算也已经开始进入实践阶段,例如,福特正联手谷歌利用云计算让汽车自动优化行程;微软与丰田合作,通过云计算让汽车变得更加智能。另外,智能交通、行车安全及相关法规也在逐步形成,并推动汽车电子技术快速发展和广泛应用。美国和欧盟都制定了车路协同通信系统标准。汽车电子市场正以迅猛的势头快速发展。

2         安全隐患与风险分析

依靠汽车上的远程信息通信系统让车主在地球任何一个角落通过智能手机控制车锁并启动发动机,这种系统目前已经是许多型号汽车的标准配置。美国高校的一些研究人员曾经对一些汽车的车载信息系统进行测试之后发现,通过利用汽车嵌入式系统中的缺陷,可以很容易实施一些恶意操控,如让刹车失灵、篡改车速表读数、打开空调、打开车载收音机的音乐、或者让车门落锁等。

美国一名被车行开除的男子为了报复,利用一名以前同事的密码,上网遥控上百辆车行出售的汽车,令受控车辆无法启动、持续鸣笛。在2011年的一次黑客大会上,黑客们仅仅利用手机对车内的无线设备发送文字信息,就使一辆斯巴鲁傲虎汽车的防盗器被破解、门锁被打开,引擎也正常发动起来。类似的攻击也会影响到其他品牌的车型,同样的黑客技术会影响到市场的上大部分汽车。最近一年内,英国警察各系列宝马车被盗数量超过300台,车被偷时,汽车防盗系统没有进行任何报警。两位意大利信息安全专家在美国拉斯维加斯举行的“黑帽子”信息安全大会上说,车载卫星导航系统也可以被黑客远程侵入,并发送错误导航信息,使驾车者“误入歧途”。

计算机科学家发现普遍存在的电脑控制、分散式内部连接,以及为外部网络访问提供应用软件平台而越来越多的远程信息处理接口等,带来了黑客控制汽车电子系统的危险。

目前,我国汽车电子系统呈现出以下几个主要特点:

1.      关键技术严重依赖于国外。我国汽车电子系统中使用的CPUMCU等硬件主要为美国和日本生产,IC类硬件没有国产的;软件操作系统主要采用Win CELinux重要部件核心技术为国外垄断。

2.      主要使用CANLINMOST总线。通过网络完成汽车电子控制装置和车载信息系统的控制和信息传输等功能,车内采用网关将不同的网段进行隔离,保证数据不能随意在控制装置和车载信息系统之间传输。

3.      通过车载诊断系统端口 (On-Board DiagnosticsOBD-II)进行车况诊断。该端口可以在大多数新款高档车的仪表盘下面找到。笔记本电脑通过USBWiFi借助一种中继设备即可直连到OBD-II端口,检查或重新编程电子控制单元(ECU)。

4.             采用了蓝牙、3G等无线互连技术。通过蓝牙3G等无线网络技术,使车内网络能够与外部设备进行通信

5.             未广泛运用加密技术保护关键数据与系统通常只有防盗系统、发动机点火系统和仪表系统采用了加密技术,其他信息通过明码传送。

6.             缺乏对汽车电子系统的生产、使用以及车载信息服务的规范管理。没有形成车载信息系统相关的信息安全标准。根据工业和信息化部2011年第四季度电子国家标准修订计划(征求意见稿),2011125日公布车载信息服务便携式信息系统、车载式信息系统、术语、信息终端试验要求和试验方法、应用和服务需求和总体框架等6项标准征求意见稿,标准完成年限为2012年。201228日的《车载信息服务标准工作会议》在确定车载信息服务定义、范围、模型的基础上,提出了以基础标准、设备标准、平台标准、服务标准四个方面所组成的车载信息服务标准体系,但这些标准中没有专门针对信息安全的标准。

我国汽车电子系统的这些特点,将导致我国汽车电子系统面临以下安全风险:

1.      所用国外软硬件中可能留有后门或漏洞。关键技术严重依赖于国外,软硬件中的后门或漏洞可能导致信息数据被秘密传出或对系统进行隐蔽控制,安全风险难以控制。

2.      通过信息总线恶意控制动力总线。由于信息网络和控制网络通过车内网关具有物理连接通道,通过网关编程设计决定数据流向,如果利用系统漏洞从信息网络非法侵入控制网络,将可能通过车载信息系统远程控制整个汽车电子控制系统,导致汽车失控等故障,引发安全事故。

3.      通过OBD-II端口远程实现入侵。笔记本电脑通过中继设备接入车载诊断系统后,运行一个叫做CarShark的定制网络窃听和攻击工具,可以监控并攻击汽车电子控制网络。车内大量控制器网络化程度的不断提高,使得通信网络得以访问汽车的关键部件。

4.      蓝牙、3G等无线互连技术的脆弱性被非法利用。蓝牙、3G等无线互连技术的使用使汽车电子系统可以连入电信网和互联网,将其固有的脆弱性和安全隐患引入了汽车电子系统,使汽车电子系统变得更加脆弱,容易受到黑客攻击和病毒入侵,面临车内谈话被非法窃听、重要敏感信息泄漏,系统数据被非法窃取、破坏或利用,车辆被非法打开、断电或断油等风险,对驾乘人员的信息安全、财产安全或人身安全造成威胁。

5.      泄漏信息被快速利用。明文传送的信息被窃取后,不需要对其进行破解即可直接利用,为不法分子提供了快速和充分利用窃取信息的机会。

6.      汽车电子产品和服务隐含安全隐患。没有汽车电子系统安全相关的验收准则,导致产品上线前没有严格的检测和控制。汽车电子后装组件容易引入传统的信息安全问题,进而造成对网络总线控制的威胁,预留的后装设备接口是汽车电子安全的一大隐患。电子控制单元(ECU)固件未广泛遵循成熟的软件工程最佳规范进行开发,容易形成通过逆向工程可发现的安全漏洞。组件外包开发、国外知识产权保护以及系统集成的复杂性,使组件边界成为安全风险高发区,大部分安全漏洞出现在不同公司开发的代码的边界。不规范的车载信息系统远程服务提供商在提供信息服务的同时,可能引入信息安全风险。

另外,由于成本限制、性能影响、多系统复杂性、外包开发与集成等因素,目前车载信息系统安全尚未得到汽车制造商的广泛重视,信息安全机制的引入面临实际困难,汽车电子系统对恶意攻击缺乏有效的防护机制。系统缺乏安全可靠的软件更新机制,可能导致车载信息系统由于下载和播放了包含恶意代码的音乐文件,或下载和安装了第三方恶意软件而遭受攻击。

3         安全风险防范建议

根据目前我国汽车电子的安全状况,对于国家重要部门、人员用车中的安全风险防范提出以下建议:

1.      慎重购买、安装和使用具有信号输出功能的车载信息系统。最好不安装使用具有信号输出功能的车载信息系统;购买车型标准配置中安装了相关功能车载信息系统的,应将其拆除或通过改造禁用不安全的功能;不要私自随意安装使用后装车载信息系统。

2.      严格车辆安全检测、检修和保管程序。在车辆购买、维修后应进行相关安全检测,对车辆的停放及人员接触进行有效管理,避免车辆被遗留未知安全隐患。

3.      谨慎使用具有蓝牙、3G等无线功能的通信设备。不要将使用蓝牙、3G等无线互连技术连入电信网和互联网的设备接入汽车电子系统,避免使其成为窃听车内谈话、泄漏敏感信息以及攻击汽车电子系统的跳板或通道。

另外,从国家层面在汽车电子安全方面建议尽快开展以下工作:

1.      出台车载信息系统安全方面的产品标准和测试标准等。

2.      建立车载信息系统产品准入制度,从国家层面对相关产品的生产、使用进行管理。

3.      建立行业准入制度,对车载信息系统生产厂家、信息服务提供商进行规范化管理。

4.      出台国家重要部门、人员政府用车采购标准,对重要、敏感部位用车的采购进行控制和管理。

5.      从国家层面形成相应的科技政策支持,鼓励、支持国产、自主知识产权的技术和品牌。

6.      将汽车电子系统安全检查、测评纳入国家信息安全检查、测评工作范围,选择重点车型,了解汽车电子系统的安全状况,分析评估车载信息系统的安全风险范围,进行以监听(包括录音)、远程控制车辆、远程定位/跟踪、防盗(包括断油、断电)等功能为主的相关产品的信息安全检查和测评。

 

参考文献

〔1〕    Comprehensive Experimental Analyses of Automotive Attack SurfacesStephen Checkoway et alUSENIX Security2011

〔2〕    Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case StudyIshtiaqRouf et alUSENIX Security2010

〔3〕    Experimental Security Analysis of a Modern AutomobileKarl Koscher et alIEEE Symposium on Security and Privacy2010

〔4〕    Security in Automotive Bus Systems       Marko Wolf et alWorkshop on Embedded IT-Security2004

〔5〕    智能交通与汽车电子发展趋势,中国教育装备采购网20121008

〔6〕    007也得给汽车杀毒,林斐,IT时报,2012717

〔7〕    现代智能汽车如何避免恶意的远程入侵,David Kleidermacher,物联网在线,20120420

〔8〕    黑客智能手机启动傲虎汽车电子信息安全存隐患,张舒天,环球网汽车,2011808

〔9〕    轻松驾驭从突发事件看汽车主动安全,慧聪汽车电子网,2011729

 

作者简介:

严霄凤(1964-),女,通信专业硕士,中国软件评测中心电子认证实验室副主任,主要从事信息安全、电子认证相关标准、规范和测评方法研究,长期从事信息系统测试、信息安全测评和政府信息系统安全、电子认证、电子签名相关课题等的研究实施工作。