聯網車有安全隱患嗎？車聯網離安全還有多遠？

前兩天，一條關于奔馳車定速巡航失控的消息刷爆了朋友圈。事情的經過大致如下：3月14日，一輛奔馳車自動巡航深夜失靈，車主以120公里每小時的速度駕駛這臺車狂奔了近100公里，豫陜交警全力營救，最后據報道稱車輛最終依靠遠程控制讓車速降下來，車主才得以脫險。

事件發(fā)生后，很多人對車聯網和未來輔助（自動）駕駛的安全問題深表擔憂。而車聯網是電信業(yè)繼手機之后的下一個重要戰(zhàn)場，作為一名通信技術宅，趁著周末趕緊研究了一下車聯網安全問題，匯報如下。

首先，聯網車有安全隱患嗎？答案是——yes。

這是一段來自2015年的視頻...

兩位安全工程師成功破解了吉普切諾基的安全系統(tǒng)，不但能夠遠程控制車載娛樂系統(tǒng)，還能通過互聯網遠程控制車輛剎車和轉向。此后，菲亞特克萊斯勒召回了140萬輛汽車。

這起遠程“黑客”攻擊事件引發(fā)了汽車行業(yè)對聯網車安全設計的高度關注，被認為是對汽車行業(yè)產生了巨大影響的標志性事件。

這兩位“黑客”是怎么做到的呢？不急，我們先來看一看車聯網的系統(tǒng)設計。

目前大部分的汽車都有電子系統(tǒng)， ECU（Electronic Control Unit）電子控制單元通過車內局域網連接，并同時連接到外部網絡（比如4G和5G網絡），以實現豐富多樣的汽車服務，比如車聯網和自動駕駛。

具體而言，這個設計構架主要由四層結構組成，如下圖。

第一層：外界通信設備

負責與外界通信。它由負責與移動蜂窩網絡、WiFi和V2X通信系統(tǒng)連接的車載設備組成。

V2X：3GPP R14定義了LTE支持V2X應用，以推動車聯網商機。V2X包括汽車對汽車（V2V）、汽車對基礎設施（V2I）、汽車對互聯網（V2N）和汽車對行人（V2P）。在5G里，車聯網又有uRLLC(超高可靠超低時延通信)和5G-V2X等新課題。

第二層：汽車網關

第二層控制整個汽車系統(tǒng)。汽車網關不但負責ECU和第一層的外界通信設備之間交換信息，還負責汽車內部的信息交換。

第三層：車內局域網

它負責在車內各個ECU之間傳遞信息，并根據ECU的不同應用劃分為三大域：車身域、Telematics域和控制域。車身域負責控制門鎖等車身部分，控制域負責剎車、ABS等部分，Telematics域負責與定位導航相關的車載信息服務，比如通用的安吉星(OnStar)、豐田的G-BOOK等就屬于Telematics域。

車內局域網采用通用的車載通信協議，比如CAN或LIN（Local Interconnect Network）。

第四層： ECU和其他功能組件

第四層由ECU和其他功能組件組成，其控制發(fā)動機、剎車、車輛門窗等車輛各個部件。

根據這一構架，我們將車聯網的安全系統(tǒng)也分為四層安全防護：

第一層：外界通信安全

指與車輛通信的外部網絡具備完善的加密、鑒權和接入控制機制，以防止身份冒充和信息竊取等。從這一層可知，具備運營商級安全的4G或5G網絡對于車聯網的重要性。

第二層：汽車網關安全

這一層安全要求汽車網關具備三大功能：①信息過濾功能，過濾未經鑒權的信息；②密匙管理功能，管理ECU用于加密和認證的密匙；③異常檢測功能，對車內局域網傳遞的信息有異常檢測機制。

第三層：車內局域網安全

指具備檢測ECU之間傳遞的信息，以防止被篡改、重寫和竊聽。

第四層：ECU等部件安全

指確保運行于ECU上的程序無漏洞，并在每次重啟時具備驗證固件和操作系統(tǒng)是否被篡改的機制。

簡而言之，一個理想的車聯網應該是由四層嚴密的防護網組成的安全系統(tǒng)。如果設計嚴密，嚴格的講，這個系統(tǒng)還是非常安全的。從歷史案例來看，目前已發(fā)生的黑客攻擊汽車事件主要包括兩種：

通過復制密鑰代碼盜車

目前大多數的汽車配備了防盜系統(tǒng)，該防盜系統(tǒng)生成防盜密鑰進行身份驗證，只有通過身份驗證后才能啟動引擎。有些汽車制造商采用專用的加密算法來執(zhí)行認證，并且有報告稱黑客利用這些算法中的弱點非法獲取認證密鑰。為此，2010年汽車行業(yè)就提議采用高級加密標準AES。

攻擊車載診斷系統(tǒng)（OBD）

OBD可以檢測汽車運行過程中的發(fā)動機電控系統(tǒng)以及車輛的其它功能模塊的工作狀況，外部電腦可連接OBD接口，并通過獲取汽車內部交換的信息（比如CAN消息）來查看汽車數據、檢測行駛狀況等。已經證明，可以通過電腦注入偽消息來篡改儀表盤數據，甚至執(zhí)行剎車或轉向等操作。

目前來看，車聯網面臨的核心安全威脅集中在CAN總線、OBD接口設備、通信模塊T-BOX、移動端 APP以及云端平臺等控制性部件的安全攻擊，主要問題來自于汽車內部聯網構架。

舉一個例子，有電信運營商在與汽車廠商合作研究車聯網安全問題時，就發(fā)現車內LIN協議存在漏洞。

汽車電子有兩大總線協議：CAN和LIN。CAN負責重要的電子控制單元，如發(fā)動機、ABS、安全氣囊等，LIN負責次要的電子控制單元，如門窗、車燈等。目前關于汽車安全的研究大部分都集中在CAN，顯然大家覺得對發(fā)動機、剎車等重要部分的控制更重要。但是，如果黑客對LIN發(fā)起攻擊，劫持了方向盤、座椅、門窗的控制權，駕駛者同樣將面臨重大威脅。

而LIN總線是一種主從關系的構架，由一個主節(jié)點與若干個從節(jié)點構成。從節(jié)點不能直接向總線發(fā)送數據，需要接受到主節(jié)點發(fā)送的包含表示處理內容的標識符（ID）的幀頭后，才根據標識符來發(fā)送和接收數據。在某些情況下，當節(jié)點傳輸的數據與總線上的數據不同時，系統(tǒng)會檢測到錯誤，并暫停數據傳輸直到等到下一個幀頭來處理錯誤。

這就給了黑客可乘之機。如下圖所示，（a）和（b）點在接收到幀頭后開始傳輸數據，此時黑客監(jiān)控了總線，并在（c）點注入錯誤的數據，系統(tǒng)檢測到沖突并停止數據傳輸，此時，黑客就可以趁機注入偽數據傳送給從節(jié)點（d），從而控制汽車駕駛。

安全從來無小事，何況車聯網安全問題一旦發(fā)生就會直接演變?yōu)槿松韨拓敭a損失，車聯網安全的重要性一直受到產業(yè)界的高度重視。通信領域在設計未來網絡時，在大幅降低網絡時延的同時，也在加強端到端加密傳輸、認證、訪問控制和異常流量監(jiān)測等安全措施。

但從上述可知，車聯網安全涉及范圍廣泛，運營商只是提供安全的網絡顯然是不夠的，且隨著車聯網的廣泛應用，未來的自動駕駛和車聯網將連接更多的應用，這意味著未來黑客對車輛的攻擊路徑將變得更寬，這就要求整個電信產業(yè)鏈與汽車等各大領域展開深入合作，乃至建立跨行業(yè)的標準化體系和合作機制，才能解決整個車聯網系統(tǒng)內任何可能存在的安全隱患。