网联汽车车载终端的威胁模型和风险评估

张雄，张海春，刘政林

网联汽车车载终端的威胁模型和风险评估

张雄1，张海春2，刘政林2

（1.华中科技大学中欧清洁与可再生能源学院，湖北 武汉 430074；2.华中科技大学光学与电子信息学院，湖北 武汉 430074）

网联汽车车载终端系统与外界网络连通特性引入了大量的信息安全隐患。文章系统地分析了网联汽车车载终端的外部威胁面，并抽象出五种基本的外部攻击向量，建立了车载终端系统的威胁模型；同时综合考虑攻击者的效用问题和实际可能造成的危害提出了相应的风险评估框架，在具有代表性的某款网联汽车上进行相关攻击和测试实验后，发现其车载终端存在着一些可被利用的攻击面，最后利用该威胁模型和风险评估框架有效地对车载终端进行了安全风险评估。

车联网；车载终端；威胁模型；风险评估

前言

网联汽车车载终端为用户带来导航、车辆监控、故障检测、远程控制、互联网应用等众多智慧便捷的服务，但同时也引入了大量的信息安全隐患。车载终端系统与车内电子电气网络连通，与云端平台通信交互的特性，极大地增加了汽车面临的信息安全风险。2015年，Miller 等人在 DEFCON 会议上指出智能网联汽车中存在大量可被利用的攻击面[1]，腾讯科恩实验室利用了特斯拉车载终端系统内核和浏览器中的多个漏洞远程入侵到汽车网关和自动驾驶模块[2]，弗吉尼亚理工研究人员利用车载终端导航系统的漏洞成功实现GPS（Global Positioning System）欺骗攻击[3]，车载终端系统成为攻击者入侵网联汽车的典型入口。

对汽车电子系统网络的威胁分析主要分为两个层面：一是车辆内部网络中的ECU（Electronic Control Unit）、传感器、执行器以及它们连接成的车内总线网络，国内外已经有较深入的研究[4-6]，旨在分析车辆物理网络系统的安全性，另一层面是连接车辆和外部环境的车载终端，网联汽车的外部攻击面主要来源于车载终端系统提供的各种有线或无线接口，针对车载终端系统的威胁分析和风险评估显得愈发重要，文献[7-8]对传统汽车外部攻击面进行了综合实验分析。在汽车上进行了具体的攻击实例。但研究者们没有对这些攻击面进行系统的威胁分析和风险评估。文献[9]提出了一种针对汽车嵌入式系统的风险评估框架，但不能完全适用于车载终端的外部威胁面评估。

本文提出了针对网联汽车车载终端系统的威胁模型和风险评估框架。从车载终端的网络架构和外部威胁面着手，分析攻击者入侵车载终端系统的主要路径；评估每一个攻击路径可能存在的威胁，将车载终端面临的威胁抽象出五种攻击模型；根据提出的威胁模型，综合考虑威胁和风险，评估每个攻击面实际可能造成的影响；最后进行针对车载终端系统蜂窝网络接口和诊断端口的攻击和测试实验，利用威胁模型和风险评估框架有效地评估其安全风险。

1 车载终端

车载终端是网联汽车上嵌入式系统的统称，包括远程信息处理单元（Telematics）、车载信息娱乐系统（In-Vehicle Info- tainment，IVI）和车载故障诊断终端（On Board Diagnostics，OBD）等。车载终端的融合和发展，使现代汽车变得智能化、网联化。

图1 网联汽车车载终端的外部网络拓扑

远程信息处理单元是提供远程服务和汽车定位的类UNIX环境ECU（Electronic Control Unit），将分布式车内网络连接到远程信息处理接口，实现对汽车远程访问和控制，车载信息娱乐系统起源于汽车多媒体服务，不断地发展并与远程信息处理单元融合，成为集导航、车辆监控、车身控制、远程通讯等各种服务于一体的车载综合信息处理终端，极大地提升的车辆电子化、网络化和智能化水平，如福特SYNC系统，克莱斯勒Uconnect系统等。

在网联汽车的强烈需求驱动下，车载终端系统变得越来越复杂，提供有大量的有线和无线接口，图1为网联汽车车载终端的典型网络拓扑。

2 威胁模型

2.1 外部威胁面

经归纳分析，根据攻击者入侵车载终端的路径差异可大致将车载终端的外部威胁面分为三类：物理接口、短程无线接口和远程无线接口。

（1）物理接口

攻击者直接接触车载终端建立物理连接，如OBD-II、USB接口等。OBD-II口一般位于车辆离合踏板和方向盘之间的隐蔽位置，是汽车比较重要的一类物理接口。通过OBD-II可以直接或间接访问汽车车载内部网络，攻击者只需短暂的接触车辆将恶意组件隐蔽地附着在OBD接口，即可轻易地入侵到汽车内部网络。暴露的OBD接口是攻击者入侵车载系统的有效载体。

（2）近程无线接口

攻击者在汽车附近或一定范围内，通过短距离通信与车辆建立网络连接入侵汽车终端，如蓝牙、WiFi等。蓝牙是车载信息娱乐终端中支持免提呼叫的标准协议，攻击者能够利用蓝牙接口漏洞在车载终端系统上执行恶意代码，获取系统权限进而控制终端系统部分功能[7]。蓝牙协议和底层数据的复杂性使其成为车载终端上威胁较大的攻击路径之一。网联汽车的Wi-Fi同样存在巨大安全隐患，攻击者容易侵入 Wi-Fi 局域网执行恶意操作[10]，包括在IVI系统植入恶意软件远程访问车内网络、劫持监控汽车网络流量等。

（3）远程无线接口

攻击者可以在任意角落通过远程通信协议与车辆交互，实施入侵，如卫星导航、蜂窝网络、互联网服务等。车载终端导航系统依靠GPS和北斗卫星信号进行汽车导航和定位，为汽车提供正确的行驶路线。攻击者容易利用伪造信号骗过车载终端导航系统，威胁汽车行驶安全。

网联汽车远程通信终端通过蜂窝网络与云端平台通信，提供车辆状态监控、汽车辅助驾驶等功能，并能为汽车车载信息娱乐服务提供持续的移动网络连接，蜂窝网络解决了网联汽车远程通信的难题，但也存在安全隐患，由于蜂窝网络基础设施的广泛覆盖，攻击者可以在任意距离以匿名的方式访问和控制车辆。

2.2 攻击模型

攻击者主要通过外部威胁面入侵车载终端系统进而实施攻击和破坏。综合来看，攻击者实施的攻击可以抽象为五种基本的攻击模型：（1）窃听攻击。攻击者在车载终端外部接口以监听抓包等方式手段获取通信数据，初步地会造成车载终端系统以及汽车的隐私数据泄露。窃听攻击是攻击者实施入侵的第一步，车载终端中可被窃听攻击的通信路径有Telematics终端与云端平台的蜂窝通信、IVI终端与移动设备的蓝牙和WiFi通信、OBD终端与汽车车内网络通信等。（2）伪造攻击。攻击者伪造虚假数据注入到车载终端系统的通信端口，对其操作系统、应用及车内ECU执行操作。车载终端系统中可被伪造的通信路径有：车载导航终端与定位卫星的通信；IVI终端与移动设备的蓝牙和WiFi通信；Telematics终端与云端平台的蜂窝通信。（3）中间人攻击。中间人攻击是一种对通信链路的间接攻击方式，将攻击者置于通信链中，窃听、伪造以及篡改通信数据。如在车载终端与云端通信过程中，攻击者以中间人身份与通信双方建立连接，通过篡改云端下发的控制指令和汽车回送的状态信息，影响汽车的正常运行和行驶。（4）非授权访问。攻击者试图利用漏洞在没有授权的情况下获取被保护数据或资源的访问权限。攻击者可以通过绕过身份认证和植入恶意软件等方式实现非授权访问，典型的攻击场景如攻击者试图利用漏洞和旁路访问实现权限提升，利用未关闭的端口试图进行非授权访问。（5）拒绝服务攻击。攻击者向车载终端发送高频率的服务器请求，服务器资源因请求超载而瘫痪，导致车载终端无法提供服务.同样地，攻击者可以通过车载OBD终端向总线网络发送大量伪造的数据包占领总线资源，从而导致车内总线上ECU设备拒绝服务。

在具体分析后，得出网联汽车车载终端的外部威胁面与可实施的攻击模型间映射关系如表1所示，每一个外部接口可能面临着多种攻击模型的威胁。

表1 车载终端威胁面分析

接口类型外部威胁面被攻击终端威胁分析 物理接口OBD-IIOBDa,b,e USBIVIa,d 短程无线接口蓝牙IVIa,b,c,d WiFiIVIa,b,c,d 远程无线接口GPS/北斗Telematicsb 蜂窝网络Telematics/IVIa,b,c,d,e

3 风险评估

3.1 威胁等级

威胁等级（Threat Level，TL）表征某种特定威胁发生的“可能性”。综合考虑，我们从四个方面来评估车载终端的威胁等级：攻击者能力（e）、信息来源（i）、攻击方式（d）和攻击设备（t）。其中，攻击能力是指对发动攻击者的技能的综合考量；信息来源是指发动攻击者获取信息的难易程度；攻击方式是指发动攻击时的攻击途径；攻击设备是指发动攻击时对专业设备、工具和软件的需求。每个参数都有三个带有关联值的级别，如表2所示。

表2 威胁等级评分表

评估参数分值 210 攻击能力(e)业余人员一般攻击者专业攻击团队 信息来源(i)公开汽车制造商开发者文档 攻击方式(d)远程无线近程无线物理接触 攻击工具(t)无需工具一般设备或软件专业设备软件

简单地以四个参数值的线性累加作为威胁等级分值，即：Sthreat=e+i+d+t.评估者可以根据对各项参数的重视程度相应改变各项权重，此处我们考虑四项参数指标权重相同. 参数值越高，表征威胁发生的可能性越大，依据威胁参数值分为低、中、高和严重四个威胁等级.具体对应关系如下：

Sthreat∈[0,1]，为低威胁等级；

Sthreat∈[2,3]，为中威胁等级；

Sthreat∈[4,6]，为高威胁等级；

Sthreat∈[7,8]，为严重威胁等级。

如针对某一攻击事件：攻击者是专业攻击者团队，所利用的信息为公开信息，攻击方式需近程无线访问，攻击工具为专业设备软件，则该事件Sthreat=0+2+1+0=3，属于中威胁等级。

与通用标准中的威胁等级计算相比，我们不将执行特定攻击所需的运行时间视为单独的参数，因为它可以从其他参数派生出来。例如，根据攻击者的技能级别和安装攻击所需设备的可用性，所用的时间可能会有很大差异。同时威胁级别参数本质上是高度动态的，会随着时间和技术进步而变化。

3.2 影响等级

影响等级（Impact Level，IL）表征风险的“影响”程度，主要是指攻击发生后对车辆、乘客以及其他相关方的安全影响。借鉴ISO 26262-3中HARA的相关评估参数，将攻击事件产生的影响由安全（s）、资产（f）、隐私性（p）、和功能性（o）四项指标进行评估。其中安全参数表征对驾驶员和乘车人员的人身安全影响；资产参数表征对汽车公司、车主等利益相关者造成的经济损失；隐私参数是指发动攻击时后造成汽车和车主隐私数据泄露的损失；功能性性是发动攻击后对车辆功能方面造成的损失。

与威胁等级评估不同的是，影响等级参数应该有不同的权重。相比于隐私和操作性，安全和资产的影响明显会给利益相关者带来更严重的后果。考虑增加安全和资产方面的权重，影响等级参数可由公式计算：SImpact=10*(s+f)+(p+o).利用表3得到影响参数总和SImpact：

SImpact∈[0,19]为低影响等级；

SImpact∈[20,99]为中影响等级；

SImpact∈[100,999]为高影响等级；

SImpact∈[1000,2200]为严重影响等级。

表3 影响等级评分表

评估参数分值 1001010 安全（s）严重伤害中度损伤轻微损伤无影响 资产（f）严重损失较大损失轻微损失无损失 隐私（p）严重泄露有限泄露轻微泄露无泄露 操作（o）功能丧失中度损坏轻微损坏无损坏

3.3 风险评估

通过威胁等级和影响等级两个维度可以共同确定车载终端外部威胁面的安全风险等级，如表4所示。

表4 安全等级风险评估表

威胁等级（TL）风险等级（IL） 低中高严重 低低低低中 中低中中高 高低中高严重 严重中高严重严重

4 实验研究

我们在东风某款网联汽车上进行了相关攻击研究，并利用该威胁模型和风险评估框架有效评估了相关接口的安全风险。

4.1 蜂窝通信接口风险评估—低风险

针对车载Telematics终端上的蜂窝通信接口，通过搭建OAI蜂窝网络接入和测试平台进行入侵攻击。平台利用开源SDR LTE项目，实现了LTE协议的核心网（EPC），基站（eNB）和用户（UE）三个部分的模拟。我们的测试平台由主机（Ubuntu16.04系统）、无线电收发设备（USRP B210）、屏蔽箱等主要部分组成。通过3G和4G蜂窝网络通信方式与车载终端建立网络连接和传输通道，在测试主机上运行测试用例库入侵车载终端系统。

根据第二节提出的威胁模型，针对车载终端蜂窝网络通信链路的攻击模型包括：窃听攻击、伪造攻击、中间人攻击、权限提升和拒绝服务攻击。我们的测试主机中的用例库主要包括端口扫描、数据抓包解析、权限提升、拒绝服务攻击.端口扫描是向待测设备发送端口扫描指令，了解其提供的网络服务类型和端口，是入侵系统的第一步；数据抓包解析是确定通信数据能否被伪造和篡改，以及能否实施中间人攻击；权限提升是指利用弱口令等相关漏洞绕过安全认证获得更高的权限；拒绝服务类攻击是伪造大量网络请求，耗尽网络带宽、系统进程等资源，导致系统无法响应其他请求，如SYN泛洪攻击等，这些攻击测试实例，涵盖五类攻击模型。

图2 OAI蜂窝网络接入和测试平台

在对车载终端Telematics进行端口和服务扫描后发现没有开启的相关端口和服务，可能是防火墙阻隔了外界网络的恶意入侵。在测试主机上通过wireshark监听抓包车载终端与云端通信数据，发现车载终端与云端通信的关键业务采用TLS通信协议，通信采用了双向证书校验机制：在Certificate阶段服务端下发证书，客户端验证服务端的身份，并且取出证书携带的公钥，在Certificate Client Key Exchange阶段客户端通过之前客户端和服务端生成的随机数生成新随机数，使用协商的 EC Diffie-Hellman 算法进行加密传输给服务端，服务器端使用自己的私钥解开这个随机数验证客户端身份，完成双向认证过程.因此车载终端与云端通信链路数据难以被伪造和篡改，无法实施中间人攻击。

对蜂窝网络通信链路进行风险评估时，根据实际攻击实例为此威胁选择相关的威胁级别和影响级别参数，得到相应的风险级别。威胁等级参数如下：

→攻击者需要了解蜂窝通信协议及其基本架构，故需要攻击能力参数“2”；

→攻击者需要通过互联网获得相关必要信息，故信息来源参数为“2”；

→攻击者可以通过远程线的方式发动攻击，故攻击方式参数为“2”；

→攻击者需要使用多种专业的攻击设备和工具，故攻击工具为“0”；

通过威胁等级计算方式得到威胁等级参数和为“6”，为高威胁等级。同样地，我们可以得到风险等级参数如下：

→无安全影响，外界网络无法入侵车载终端系统，不会引发相关安全问题；

→无资产影响，车主和汽车厂商无相关资产损失；

→无操作性影响，车载终端设备功能性没有受到影响；

→轻微隐私影响，车载终端与云端通信数据有泄露和被破解的风险；

→通过影响等级计算方得到影响等级参数和为“1”，为低影响等级，最终可以通过表4确定该车型车载终端蜂窝网络接口的安全风险等级为低。

4.2 OBD端口风险评估—高风险

实验中通过OBD-II端口，可以入侵到网联汽车车载网络，实现了对汽车指令和信号的破解以及汽车状态控制。实验中的OBD-II端口入侵攻击设备如图所示，根据攻击模型可实施窃听、伪造及拒绝服务攻击。

图3 OBD端口入侵攻击工具

（1）窃听攻击。将设备连接到汽车OBD端口后，在汽车上执行相关操作同时窃听CAN总线上的数据，根据总线上消息帧频率差异可以逆向分析获得汽车控制指令。进一步地，通过分析数据位的变化差异，可以找出控制汽车某项功能的具体指令。在该东风汽车上获得的指令如表所示：

表5 汽车部分控制指令

数据帧ID功能控制数据帧（标黑部分为有效控制位） 0x235中控锁控制单元0x00 00 00 00 00 00 00 00//打开车门中控锁 0x265转向灯控制单元0x20 00 00 00 00 00 00 00//左转向灯0x40 00 00 00 00 00 00 00//右转向灯 0x285空调控制单元暂未确定有效控制位 0x201仪表盘控制单元0xff ff 00 00 ff ff 00 00//仪表盘显示车速和发动机转速控制位 0x225车窗控制单元0x00 00 ff ff 00 00 00 00//四扇车窗升降控制位

（2）伪造攻击。在获得这些汽车控制指令后，可以轻松从OBD-II端口伪造数据控制汽车，仪表盘时速转速会显示异常，照明、转向灯系统不受控制地亮起，影响汽车安全性，可以通过帧ID为 0x235、0x225的相关指令打开汽车中控锁和窗户，造成严重安全危害和财产损失。

表6 OBD终端攻击风险评估

威胁参数风险参数 攻击能力2安全100 信息来源2资产100 攻击方式0隐私100 攻击工具1操作性10 威胁等级高(5)影响等级严重(2110) 风险等级严重

（3）拒绝服务攻击。车内CAN总线采用优先级策略进行数据转发，数据帧ID 越低传输的优先级就越高。实验通过向CAN总线连续发送帧ID为 0x0000 等低值的数据分组，没有发现总线拒绝服务的瘫痪情况，其他 ECU 依旧能正常接收和发送消息，说明该款汽车有相应的屏蔽处理机制抵御DOS攻击。

相似地，用第三节的框架对OBD终端接口进行了安全风险评估，结果如表6所示。该款网联汽车的OBD终端接口存在严重的安全隐患。

5 结语

本文系统分析了网联汽车车载终端的外部威胁面，提出针对车载终端系统的外部威胁模型和风险评估框架.本文实验集中在一款具有代表性的东风网联汽车上，通过具体的研究案例阐述了车载终端系统存在的外部信息安全威胁，并用相应方法评估了风险说明了该框架的适用性；理论和实验研究为网联汽车车载终端系统的威胁分析和风险评估提供了新的依据。希望以此推动汽车厂商加强车载终端系统的信息安全防护，提升网联汽车的整体安全性，促进汽车产业提升信息安全能力。

[1] MILLER C,VALASEK C.Remote exploitation of an unaltered pas- senger vehicle[C]//DEFCON, 2015: 1-91.

[2] NIE S, LIU L, DU Y. How we remotely compromised the gateway, BCM,and autopilot ECUs of tesla cars[C]//2017 Black Hat.2017.

[3] ZENG K C,LIU S,SHU Y.All your GPS are belong to us: towards stealthy manipulation of road navigation systems[C]//27th USENIX Security Symposium. 2018: 1527-1544.

[4] XUN Y J, LIU J J, NING J, et al. An experimental study towards the in-vehicle network of intelligent and connected vehicles[C]//2018 IEEE Global Communications Conference. IEEE, 2018.

[5] HUANG J, ZHAO M, ZHOU Y, et al. In-vehicle networking: Proto- cols,challenges, and solutions[J].IEEE Network,2018,33(1):92-98.

[6] MILLER C,VALASEK C. Adventures in automotive networks and control units[J]. Black Hat USA, 2013, 21: 260-264.

[7] CHECKOWAT S, MCCOY D, KANTOR B, et al. Comprehensive experimental analyses of automotive attack surfaces.[C]//USENIX Security Symposium. 2011,4:447-462.

[8] Koscher K,Czeskis A,Roesner F,et al.Experimental Security Analysis of a Modern Automobile. IEEE Symposium on Security and Privacy. IEEE Computer Society, 2010.

[9] Islam M,Lautenbach A,Sandberg C,et al.A risk assessment frame- work for automotive embedded systems[C]//In Proceedings of the 2nd ACM International Workshop on Cyber-Physical System Secu- rity,2016:3-14.

[10] NIE S,LIU L,DU Y.Free-fall: hacking Tesla from wireless to can bus[C]//2017 Black Hat. 2017:1-16.

Threat Model and Risk Assessment of Connected Vehicle Terminal

ZHANG Xiong1, ZHANG Haichun2, LIU Zhenglin2

( 1.China-EU School of Clean and Renewable Energy, Huazhong University of Science and Technology, Hubei Wuhan 430074; 2.School of Optics and Electronic Information, Huazhong University of Science and Technology, Hubei Wuhan 430074 )

The connectivity between the vehicle terminal system and the external network has introduced a lot of information security risks. This paper systematically analyzes the external threat surface of terminals, abstracts five basic external attack vectors, and established the threat model of vehicle terminal system. At the same time, considering the problem of attacker's "utility" and the actual possible harm, a corresponding framework of threat analysis and risk assessment is proposed. After carrying out relevant attacks and test experiments on a representative connected vehicle, it is found that there are some attack surfaces that can be used in the terminals, and we used the framework to effectively carry out the security risk assessment.

Internet of Vehicles;Vehicle terminal;Threat model;Risk assessment

U461

A

1671-7988(2021)20-26-05

U461

A

1671-7988(2021)20-26-05

10.16638/j.cnki.1671-7988.2021.020.007

张雄（1997—），男，就读于华中科技大学中欧清洁与可再生能源学院新能源科学与工程专业，研究方向为新能源汽车，车联网安全等。

刘政林（1969—），男，博士研究生，教授，就职于华中科技大学光学与电子信息学院。

国家重点研发计划资助项目（2019YFB1310001）。