奔馳“失控”事件:車聯(lián)網(wǎng)離安全還有多遠(yuǎn)���?
發(fā)布時(shí)間:2018-03-20 16:10
前兩天,一條關(guān)于奔馳車定速巡航失控的消息刷爆了朋友圈。事情的經(jīng)過大致如下:3月14日�����,一輛奔馳車自動(dòng)巡航深夜失靈�����,車主以120公里每小時(shí)的速度駕駛這臺(tái)車狂奔了近100公里�����,豫陜交警全力營(yíng)救��,最后據(jù)報(bào)道稱車輛最終依靠遠(yuǎn)程控制讓車速降下來����,車主才得以脫險(xiǎn)。
事件發(fā)生后�����,很多人對(duì)車聯(lián)網(wǎng)和未來輔助(自動(dòng))駕駛的安全問題深表?yè)?dān)憂���。而車聯(lián)網(wǎng)是電信業(yè)繼手機(jī)之后的下一個(gè)重要戰(zhàn)場(chǎng),作為一名通信技術(shù)宅��,趁著周末趕緊研究了一下車聯(lián)網(wǎng)安全問題,匯報(bào)如下���。
首先����,聯(lián)網(wǎng)車有安全隱患嗎���?答案是——yes���。
這是一段來自2015年的視頻...
兩位安全工程師成功破解了吉普切諾基的安全系統(tǒng),不但能夠遠(yuǎn)程控制車載娛樂系統(tǒng)�,還能通過互聯(lián)網(wǎng)遠(yuǎn)程控制車輛剎車和轉(zhuǎn)向。此后��,菲亞特克萊斯勒召回了140萬(wàn)輛汽車��。
這起遠(yuǎn)程“黑客”攻擊事件引發(fā)了汽車行業(yè)對(duì)聯(lián)網(wǎng)車安全設(shè)計(jì)的高度關(guān)注���,被認(rèn)為是對(duì)汽車行業(yè)產(chǎn)生了巨大影響的標(biāo)志性事件�。
這兩位“黑客”是怎么做到的呢�����?不急,我們先來看一看車聯(lián)網(wǎng)的系統(tǒng)設(shè)計(jì)����。
目前大部分的汽車都有電子系統(tǒng), ECU(Electronic Control Unit)電子控制單元通過車內(nèi)局域網(wǎng)連接��,并同時(shí)連接到外部網(wǎng)絡(luò)(比如4G和5G網(wǎng)絡(luò))�,以實(shí)現(xiàn)豐富多樣的汽車服務(wù),比如車聯(lián)網(wǎng)和自動(dòng)駕駛����。
具體而言,這個(gè)設(shè)計(jì)構(gòu)架主要由四層結(jié)構(gòu)組成����,如下圖。
第一層:外界通信設(shè)備
負(fù)責(zé)與外界通信��。它由負(fù)責(zé)與移動(dòng)蜂窩網(wǎng)絡(luò)�����、WiFi和V2X通信系統(tǒng)連接的車載設(shè)備組成���。
V2X:3GPP R14定義了LTE支持V2X應(yīng)用��,以推動(dòng)車聯(lián)網(wǎng)商機(jī)���。V2X包括汽車對(duì)汽車(V2V)、汽車對(duì)基礎(chǔ)設(shè)施(V2I)�����、汽車對(duì)互聯(lián)網(wǎng)(V2N)和汽車對(duì)行人(V2P)�。在5G里,車聯(lián)網(wǎng)又有uRLLC(超高可靠超低時(shí)延通信)和5G-V2X等新課題����。
第二層:汽車網(wǎng)關(guān)
第二層控制整個(gè)汽車系統(tǒng)。汽車網(wǎng)關(guān)不但負(fù)責(zé)ECU和第一層的外界通信設(shè)備之間交換信息�����,還負(fù)責(zé)汽車內(nèi)部的信息交換�。
第三層:車內(nèi)局域網(wǎng)
它負(fù)責(zé)在車內(nèi)各個(gè)ECU之間傳遞信息,并根據(jù)ECU的不同應(yīng)用劃分為三大域:車身域����、Telematics域和控制域�����。車身域負(fù)責(zé)控制門鎖等車身部分��,控制域負(fù)責(zé)剎車���、ABS等部分,Telematics域負(fù)責(zé)與定位導(dǎo)航相關(guān)的車載信息服務(wù)��,比如通用的安吉星(OnStar)����、豐田的G-BOOK等就屬于Telematics域。
車內(nèi)局域網(wǎng)采用通用的車載通信協(xié)議�,比如CAN或LIN(Local Interconnect Network)。
第四層: ECU和其他功能組件
第四層由ECU和其他功能組件組成��,其控制發(fā)動(dòng)機(jī)��、剎車�����、車輛門窗等車輛各個(gè)部件��。
根據(jù)這一構(gòu)架,我們將車聯(lián)網(wǎng)的安全系統(tǒng)也分為四層安全防護(hù):
第一層:外界通信安全
指與車輛通信的外部網(wǎng)絡(luò)具備完善的加密�����、鑒權(quán)和接入控制機(jī)制�,以防止身份冒充和信息竊取等���。從這一層可知��,具備運(yùn)營(yíng)商級(jí)安全的4G或5G網(wǎng)絡(luò)對(duì)于車聯(lián)網(wǎng)的重要性�����。
第二層:汽車網(wǎng)關(guān)安全
這一層安全要求汽車網(wǎng)關(guān)具備三大功能:①信息過濾功能�����,過濾未經(jīng)鑒權(quán)的信息�����;②密匙管理功能�,管理ECU用于加密和認(rèn)證的密匙�;③異常檢測(cè)功能����,對(duì)車內(nèi)局域網(wǎng)傳遞的信息有異常檢測(cè)機(jī)制����。
第三層:車內(nèi)局域網(wǎng)安全
指具備檢測(cè)ECU之間傳遞的信息,以防止被篡改��、重寫和竊聽�。
第四層:ECU等部件安全
指確保運(yùn)行于ECU上的程序無(wú)漏洞,并在每次重啟時(shí)具備驗(yàn)證固件和操作系統(tǒng)是否被篡改的機(jī)制���。
簡(jiǎn)而言之�,一個(gè)理想的車聯(lián)網(wǎng)應(yīng)該是由四層嚴(yán)密的防護(hù)網(wǎng)組成的安全系統(tǒng)����。如果設(shè)計(jì)嚴(yán)密,嚴(yán)格的講��,這個(gè)系統(tǒng)還是非常安全的�。從歷史案例來看,目前已發(fā)生的黑客攻擊汽車事件主要包括兩種:
通過復(fù)制密鑰代碼盜車
目前大多數(shù)的汽車配備了防盜系統(tǒng)����,該防盜系統(tǒng)生成防盜密鑰進(jìn)行身份驗(yàn)證�����,只有通過身份驗(yàn)證后才能啟動(dòng)引擎����。有些汽車制造商采用專用的加密算法來執(zhí)行認(rèn)證�,并且有報(bào)告稱黑客利用這些算法中的弱點(diǎn)非法獲取認(rèn)證密鑰���。為此�����,2010年汽車行業(yè)就提議采用高級(jí)加密標(biāo)準(zhǔn)AES����。
攻擊車載診斷系統(tǒng)(OBD)
OBD可以檢測(cè)汽車運(yùn)行過程中的發(fā)動(dòng)機(jī)電控系統(tǒng)以及車輛的其它功能模塊的工作狀況���,外部電腦可連接OBD接口����,并通過獲取汽車內(nèi)部交換的信息(比如CAN消息)來查看汽車數(shù)據(jù)����、檢測(cè)行駛狀況等���。已經(jīng)證明,可以通過電腦注入偽消息來篡改儀表盤數(shù)據(jù)�,甚至執(zhí)行剎車或轉(zhuǎn)向等操作。
目前來看����,車聯(lián)網(wǎng)面臨的核心安全威脅集中在CAN總線、OBD接口設(shè)備�、通信模塊T-BOX、移動(dòng)端 APP以及云端平臺(tái)等控制性部件的安全攻擊���,主要問題來自于汽車內(nèi)部聯(lián)網(wǎng)構(gòu)架���。
舉一個(gè)例子,有電信運(yùn)營(yíng)商在與汽車廠商合作研究車聯(lián)網(wǎng)安全問題時(shí)��,就發(fā)現(xiàn)車內(nèi)LIN協(xié)議存在漏洞���。
汽車電子有兩大總線協(xié)議:CAN和LIN��。CAN負(fù)責(zé)重要的電子控制單元���,如發(fā)動(dòng)機(jī)�、ABS�、安全氣囊等,LIN負(fù)責(zé)次要的電子控制單元��,如門窗����、車燈等��。目前關(guān)于汽車安全的研究大部分都集中在CAN���,顯然大家覺得對(duì)發(fā)動(dòng)機(jī)����、剎車等重要部分的控制更重要��。但是��,如果黑客對(duì)LIN發(fā)起攻擊��,劫持了方向盤、座椅����、門窗的控制權(quán),駕駛者同樣將面臨重大威脅���。
而LIN總線是一種主從關(guān)系的構(gòu)架���,由一個(gè)主節(jié)點(diǎn)與若干個(gè)從節(jié)點(diǎn)構(gòu)成。從節(jié)點(diǎn)不能直接向總線發(fā)送數(shù)據(jù)�,需要接受到主節(jié)點(diǎn)發(fā)送的包含表示處理內(nèi)容的標(biāo)識(shí)符(ID)的幀頭后,才根據(jù)標(biāo)識(shí)符來發(fā)送和接收數(shù)據(jù)�。在某些情況下,當(dāng)節(jié)點(diǎn)傳輸?shù)臄?shù)據(jù)與總線上的數(shù)據(jù)不同時(shí)����,系統(tǒng)會(huì)檢測(cè)到錯(cuò)誤,并暫停數(shù)據(jù)傳輸直到等到下一個(gè)幀頭來處理錯(cuò)誤��。
這就給了黑客可乘之機(jī)�。如下圖所示,(a)和(b)點(diǎn)在接收到幀頭后開始傳輸數(shù)據(jù)���,此時(shí)黑客監(jiān)控了總線���,并在(c)點(diǎn)注入錯(cuò)誤的數(shù)據(jù)�����,系統(tǒng)檢測(cè)到?jīng)_突并停止數(shù)據(jù)傳輸����,此時(shí)�����,黑客就可以趁機(jī)注入偽數(shù)據(jù)傳送給從節(jié)點(diǎn)(d)��,從而控制汽車駕駛�����。
安全從來無(wú)小事�����,何況車聯(lián)網(wǎng)安全問題一旦發(fā)生就會(huì)直接演變?yōu)槿松韨拓?cái)產(chǎn)損失���,車聯(lián)網(wǎng)安全的重要性一直受到產(chǎn)業(yè)界的高度重視。通信領(lǐng)域在設(shè)計(jì)未來網(wǎng)絡(luò)時(shí),在大幅降低網(wǎng)絡(luò)時(shí)延的同時(shí)��,也在加強(qiáng)端到端加密傳輸��、認(rèn)證���、訪問控制和異常流量監(jiān)測(cè)等安全措施�。
但從上述可知�,車聯(lián)網(wǎng)安全涉及范圍廣泛,運(yùn)營(yíng)商只是提供安全的網(wǎng)絡(luò)顯然是不夠的���,且隨著車聯(lián)網(wǎng)的廣泛應(yīng)用���,未來的自動(dòng)駕駛和車聯(lián)網(wǎng)將連接更多的應(yīng)用,這意味著未來黑客對(duì)車輛的攻擊路徑將變得更寬�,這就要求整個(gè)電信產(chǎn)業(yè)鏈與汽車等各大領(lǐng)域展開深入合作,乃至建立跨行業(yè)的標(biāo)準(zhǔn)化體系和合作機(jī)制�,才能解決整個(gè)車聯(lián)網(wǎng)系統(tǒng)內(nèi)任何可能存在的安全隱患。
