作者 | 王博文上海控安可信軟件創(chuàng)新研究院研究員

來(lái)源 |鑒源實(shí)驗(yàn)室

01 引言

在汽車(chē)電動(dòng)化、網(wǎng)聯(lián)化、智能化和共享化等新四化的發(fā)展趨勢(shì)下，智能網(wǎng)聯(lián)汽車(chē)（Intelligent Connected Vehicles，ICVs）已經(jīng)是新時(shí)代的必然產(chǎn)物。在智能網(wǎng)聯(lián)汽車(chē)的場(chǎng)景下，衍生出了如智能無(wú)線傳感器技術(shù)、車(chē)聯(lián)網(wǎng)技術(shù)、無(wú)人駕駛汽車(chē)技術(shù)和智能交通系統(tǒng)等一系列創(chuàng)新技術(shù)。然而，消費(fèi)者在體驗(yàn)智能技術(shù)的同時(shí)，卻承擔(dān)著極大的安全風(fēng)險(xiǎn)。智能網(wǎng)聯(lián)汽車(chē)消除了黑客攻擊車(chē)輛的地域和距離限制，給黑客遠(yuǎn)程批量攻擊目標(biāo)車(chē)輛提供了可能，使得車(chē)輛面臨的信息安全風(fēng)險(xiǎn)顯著增加。

該系列文章主要對(duì)智能網(wǎng)聯(lián)汽車(chē)的網(wǎng)絡(luò)安全攻擊及其防御技術(shù)進(jìn)行全面的概述。一方面總結(jié)以往研究的發(fā)現(xiàn)和結(jié)論，并從學(xué)術(shù)研究和產(chǎn)業(yè)發(fā)展的角度，指出當(dāng)前研究所面臨的挑戰(zhàn)和發(fā)展趨勢(shì)。我們希望我們的工作可以讓汽車(chē)設(shè)計(jì)和開(kāi)發(fā)相關(guān)的研究人員和工程師了解ICVs的安全問(wèn)題以及最先進(jìn)的防御和緩解技術(shù)。另一方面，我們也希望可以激勵(lì)其他研究人員解決ICVs發(fā)展面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。

02 智能網(wǎng)聯(lián)汽車(chē)面臨的威脅

智能網(wǎng)聯(lián)汽車(chē)上部署了多種智能傳感器組件，如激光雷達(dá)、毫米波雷達(dá)、超聲波雷達(dá)、攝像頭、全球?qū)Ш叫l(wèi)星系統(tǒng)傳感器（Global Navigation Satellite System，GNSS）等[1]，組件之間又是通過(guò)各種有線或者無(wú)線的通信方式進(jìn)行連接，如車(chē)載以太網(wǎng)、CAN總線、蜂窩網(wǎng)絡(luò)（4G/5G）、藍(lán)牙（Bluetooth）、Wi-Fi和WAVE（Wireless Access in the Vehicular Environment）等。傳感器組件使得ICVs能夠感知周?chē)h(huán)境的障礙物，利用傳感器的數(shù)據(jù)，SLAM（Simultaneous localization and mapping）可以定位周?chē)h(huán)境以及車(chē)輛的位置，進(jìn)一步輔助自動(dòng)駕駛做出決策。雖然傳感器組件和連接機(jī)制在安全性、成本和燃油效率方面有了顯著改善，但它們也為網(wǎng)絡(luò)攻擊創(chuàng)造了更多機(jī)會(huì)。

2.1 攻擊案例

根據(jù)Upstream 2022年全球汽車(chē)網(wǎng)絡(luò)安全報(bào)告[2]，如圖1所示，2010年至2021年間，攻擊者對(duì)智能網(wǎng)聯(lián)汽車(chē)最常見(jiàn)的攻擊載體有11種，且大多為黑帽攻擊，僅2021年，黑帽攻擊所占比例高達(dá)56.9%。白帽黑客操縱汽車(chē)系統(tǒng)為了發(fā)現(xiàn)漏洞或進(jìn)行教育研究，改善車(chē)輛的網(wǎng)絡(luò)安全，而黑帽黑客往往與犯罪活動(dòng)一致。

早在2004年，德國(guó)的安全研究員Marko Wolf就發(fā)現(xiàn)了車(chē)載網(wǎng)絡(luò)存在被惡意攻擊的隱患[3]，并在隨后的幾年進(jìn)行了深入的調(diào)研[4-6]。不過(guò)相關(guān)安全問(wèn)題都是通過(guò)直接以物理形式接觸相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)為前提。

2010年，美國(guó)南卡羅來(lái)納大學(xué)的研究員發(fā)現(xiàn)了汽車(chē)的胎壓監(jiān)測(cè)系統(tǒng)存在安全和隱私相關(guān)的隱患，車(chē)上相關(guān)的無(wú)線通信協(xié)議存在被入侵的風(fēng)險(xiǎn)[7]。

2013年Charlie Miller和Chris Valasek在通過(guò)車(chē)載診斷接口實(shí)現(xiàn)了對(duì)豐田和福特汽車(chē)的攻擊和控制[8]。通過(guò)診斷接口可以直接操縱汽車(chē)的發(fā)動(dòng)機(jī)、制動(dòng)器、燈光、車(chē)門(mén)等，并且通過(guò)診斷功能的ECU刷寫(xiě)功能，可以篡改ECU內(nèi)部的程序信息。2015年他們兩人又使用Wi-Fi開(kāi)放端口侵入Jeep Cherokee的車(chē)載網(wǎng)絡(luò)系統(tǒng)[9]，更新了車(chē)內(nèi)ECU的固件，并且成功地控制了一系列汽車(chē)功能（禁用剎車(chē)和停止發(fā)動(dòng)機(jī)），該攻擊案例引發(fā)了140萬(wàn)輛汽車(chē)的召回，而該事件是首個(gè)信息安全所引發(fā)的汽車(chē)召回事件。

科恩實(shí)驗(yàn)室在2018年針對(duì)寶馬多款車(chē)型的電子控制單元進(jìn)行安全分析，發(fā)現(xiàn)了多個(gè)通用安全漏洞[10]。這些漏洞影響組件涉及車(chē)載信息娛樂(lè)系統(tǒng)、車(chē)載通訊模塊和車(chē)載網(wǎng)關(guān)。攻擊者可以利用這些漏洞，通過(guò)物理接觸攻擊或遠(yuǎn)程攻擊，獲得車(chē)內(nèi)CAN總線控制權(quán)，從而實(shí)現(xiàn)汽車(chē)的控制。

2021年6月，卡內(nèi)基梅隆大學(xué)CyLab研究人員發(fā)現(xiàn)了一類(lèi)新的網(wǎng)絡(luò)安全漏洞[11]，利用汽車(chē)MCU時(shí)鐘外設(shè)的門(mén)控特性，開(kāi)發(fā)了用于遠(yuǎn)程關(guān)閉的CANnon攻擊，并且成功在不到2ms的時(shí)間內(nèi)對(duì)一輛福特?？怂购鸵惠v豐田普銳斯實(shí)現(xiàn)了關(guān)機(jī)。

圖12010年-2021年最常見(jiàn)的ICVs攻擊類(lèi)型[2]

2.2 攻擊的分類(lèi)

2.2.1 攻擊目標(biāo)

正如前面所說(shuō)，ICVs部署了多種智能傳感器組件，組件之間又通過(guò)各種通信方式進(jìn)行連接。它們一起工作，促進(jìn)ICVs的運(yùn)轉(zhuǎn)。破壞或篡改任何這些組件都可能破壞ICVs的穩(wěn)定，攻擊者可以把智能傳感器組件以及通信方式作為攻擊目標(biāo)，進(jìn)而實(shí)現(xiàn)竊取車(chē)輛或者個(gè)人信息，造成財(cái)產(chǎn)損失和人身傷害。下面描述現(xiàn)有的研究中已被網(wǎng)絡(luò)攻擊者鎖定的ICVs組件，有些攻擊模型已經(jīng)被證明是真實(shí)的威脅，而有些只是在理論上進(jìn)行了討論。

（1）車(chē)載診斷接口（On-board Diagnostic Port，OBD）：OBD端口可以用來(lái)收集有關(guān)汽車(chē)排放、里程、速度和汽車(chē)零部件數(shù)據(jù)的信息。OBD標(biāo)準(zhǔn)有OBD-I和OBD-II兩種。OBD-I于1987年推出，但存在許多缺陷，因此被1996年推出的OBD-II所取代。OBD端口可以提供車(chē)內(nèi)CAN網(wǎng)絡(luò)和以太網(wǎng)的實(shí)時(shí)數(shù)據(jù)，許多OEM制造商也使用OBD端口來(lái)執(zhí)行OTA固件更新。

（2）汽車(chē)電子控制單元（Electronic Control Unit，ECU）：汽車(chē)ECU是嵌入式電子系統(tǒng)，用于控制車(chē)輛中的其他子系統(tǒng)。所有現(xiàn)代車(chē)輛都使用ECU來(lái)控制車(chē)輛的功能，一些重要的ECU可以是剎車(chē)控制模塊，發(fā)動(dòng)機(jī)控制模塊，輪胎壓力監(jiān)測(cè)系統(tǒng)等。制動(dòng)控制模塊從輪速傳感器和制動(dòng)系統(tǒng)收集數(shù)據(jù)，并處理數(shù)據(jù)以確定是否實(shí)時(shí)釋放制動(dòng)壓力。發(fā)動(dòng)機(jī)控制模塊控制燃料、空氣和火花，并從其他傳感器收集數(shù)據(jù)，以確保所有組件都在正常的工作范圍內(nèi)。輪胎壓力監(jiān)測(cè)系統(tǒng)從輪胎內(nèi)的傳感器收集數(shù)據(jù)，并確定輪胎壓力是否處于理想水平。

（3）控制區(qū)域網(wǎng)絡(luò)（Controller Area Network，CAN）：ECU通常通過(guò)CAN總線進(jìn)行連接。CAN為總線型網(wǎng)絡(luò)，具有廣播特性，在ICVs中，網(wǎng)絡(luò)數(shù)據(jù)包可以被傳輸?shù)紺AN網(wǎng)絡(luò)中的所有節(jié)點(diǎn)，并且數(shù)據(jù)包不包含認(rèn)證字段。因此，一個(gè)被入侵的節(jié)點(diǎn)可以收集所有通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，并將惡意數(shù)據(jù)廣播給其他節(jié)點(diǎn)，使整個(gè)CAN系統(tǒng)容易受到網(wǎng)絡(luò)攻擊。

（4）激光雷達(dá)（Light Detection and Ranging，LiDAR）：激光雷達(dá)傳感器發(fā)送光波探測(cè)周?chē)h(huán)境，并根據(jù)反射信號(hào)進(jìn)行測(cè)量其到周?chē)矬w的距離。在ICVs中，激光雷達(dá)通常用于障礙物檢測(cè)，以安全通過(guò)環(huán)境，通常由反旋轉(zhuǎn)激光束實(shí)現(xiàn)。激光雷達(dá)的數(shù)據(jù)可被EUC的軟件用于確定環(huán)境中是否有障礙物，也可用于自動(dòng)緊急制動(dòng)系統(tǒng)。

（5）毫米波雷達(dá)（Radio Detection and Ranging，Radar）：毫米波雷達(dá)屬于在無(wú)線電毫米波領(lǐng)域發(fā)出電磁波的傳感器，通過(guò)感應(yīng)反射信號(hào)來(lái)探測(cè)物體并測(cè)量其距離和速度。在ICVs中，毫米波雷達(dá)在許多應(yīng)用中都很有用。例如，近程雷達(dá)可以實(shí)現(xiàn)盲點(diǎn)監(jiān)測(cè)、車(chē)道保持輔助系統(tǒng)和停車(chē)輔助系統(tǒng)等。

（6）全球定位系統(tǒng)（Global Positioning System，GPS）：GPS是一種基于衛(wèi)星的導(dǎo)航系統(tǒng)，當(dāng)GPS接收器發(fā)現(xiàn)來(lái)自三個(gè)或更多衛(wèi)星的信號(hào)時(shí)，就可以計(jì)算出接收器的位置。由于找到兩個(gè)地點(diǎn)之間的路線是自動(dòng)駕駛的必要條件，GPS信號(hào)對(duì)自動(dòng)駕駛汽車(chē)至關(guān)重要。但是由于GPS信號(hào)不包含任何可以直接驗(yàn)證信號(hào)來(lái)源的數(shù)據(jù)，GPS接收器很容易受到干擾和欺騙攻擊。

（7）攝像頭（Cameras/Image Sensors）：自動(dòng)駕駛和半自動(dòng)駕駛汽車(chē)依賴于放置在許多位置的攝像頭來(lái)獲得360度的視野。相機(jī)為重要的自動(dòng)駕駛?cè)蝿?wù)提供信息，比如交通標(biāo)志識(shí)別和車(chē)道檢測(cè)等。攝像機(jī)也可以用來(lái)取代激光雷達(dá)，以更低的成本完成物體探測(cè)和測(cè)量距離的任務(wù)，但它們?cè)谙掠?、霧或雪等特定情況下的性能較差[12]。因此攝像頭與激光雷達(dá)和毫米波雷達(dá)相配合，可以為自動(dòng)駕駛提供更豐富多樣的數(shù)據(jù)。

（8）V2X通信（Vehicle to Everything，V2X）：V2X通信可分為車(chē)對(duì)車(chē)網(wǎng)絡(luò)（Vehicle to Vehicle，V2V）和車(chē)對(duì)基礎(chǔ)設(shè)施網(wǎng)絡(luò)（Vehicle to Infrastructure）。V2V通信有助于在附近的車(chē)輛之間交換數(shù)據(jù)，并可以快速地為ICVs已經(jīng)收集到的關(guān)于周?chē)h(huán)境的數(shù)據(jù)提供額外的信息。V2I通信有助于ICVs和道路基礎(chǔ)設(shè)施之間的數(shù)據(jù)交換，這些基礎(chǔ)設(shè)施提供了關(guān)于交通系統(tǒng)的數(shù)據(jù)。

2.2.2攻擊模型分類(lèi)

根據(jù)訪問(wèn)需求可以將攻擊模型分為遠(yuǎn)程執(zhí)行（遠(yuǎn)程訪問(wèn)攻擊）或物理訪問(wèn)ICVs組件執(zhí)行（物理訪問(wèn)攻擊）。

（1）遠(yuǎn)程訪問(wèn)攻擊：攻擊者不需要對(duì)ICVs上的部件進(jìn)行物理修改，也不需要在ICVs上附加設(shè)備。這種類(lèi)型的攻擊比物理訪問(wèn)攻擊更常見(jiàn)，而且由于ICVs之間會(huì)傳輸大量信息，這種攻擊的數(shù)量正在增加。ICVs上任何與周?chē)h(huán)境通信和交互的組件都容易被遠(yuǎn)程利用。遠(yuǎn)程訪問(wèn)攻擊的三種常見(jiàn)模式是發(fā)送偽造數(shù)據(jù)、阻塞信號(hào)和收集機(jī)密數(shù)據(jù)。發(fā)送偽造數(shù)據(jù)的目的是欺騙ICVs系統(tǒng)，以獲得對(duì)系統(tǒng)行為的顯著控制，比如LiDAR欺騙、Radar欺騙、GPS欺騙和對(duì)抗性圖像攻擊等。阻塞信號(hào)旨在阻止ICVs接收確保其正常工作的信息，比如激光雷達(dá)干擾、毫米波雷達(dá)干擾、GPS干擾、攝像機(jī)致盲和拒絕服務(wù)攻擊等。收集機(jī)密數(shù)據(jù)則為進(jìn)一步的攻擊服務(wù)。

（2）物理訪問(wèn)攻擊：攻擊者需要物理修改ICVs上的組件或?qū)x器附加到ICVs上，比如故障數(shù)據(jù)注入。物理訪問(wèn)攻擊更難實(shí)施，因?yàn)楣粽咴诖鄹腎CVs時(shí)可能被檢測(cè)到。但是CAN和ECU既可以作為遠(yuǎn)程訪問(wèn)的目標(biāo)，也可以作為物理訪問(wèn)的目標(biāo)。

從攻擊者的動(dòng)機(jī)角度又可以將攻擊模型分為三種，中斷ICVs的操作，控制ICVs和竊取信息。

（1）中斷操作：攻擊者的目標(biāo)是破壞對(duì)自動(dòng)駕駛很重要的ICVs組件，從而使自動(dòng)駕駛功能在ICVs上失效。這些攻擊類(lèi)似于網(wǎng)絡(luò)上的拒絕服務(wù)攻擊。

（2）獲取ICVs控制權(quán)限：攻擊者獲得對(duì)ICVs的充分控制，以便他們可以改變車(chē)輛的移動(dòng)，如改變車(chē)輛的路線，強(qiáng)制緊急剎車(chē)，和改變車(chē)輛速度。

（3）竊取信息：攻擊者的目標(biāo)是從ICVs收集重要的或機(jī)密的信息，收集的信息可能用于進(jìn)一步的攻擊。

如表1所示，將ICVs的攻擊模型進(jìn)行分類(lèi)，按照攻擊目標(biāo)和攻擊行為方式分為15種。

表1ICVs攻擊模型的分類(lèi)

后面幾期將對(duì)智能網(wǎng)聯(lián)汽車(chē)的攻擊場(chǎng)景以及對(duì)應(yīng)的應(yīng)對(duì)措施做詳細(xì)的分析與介紹。

審核編輯：湯梓紅