车联网指借助新一代信息和通信技术，实现车内、车与人、车与车、车与路、车与服务平台的全方位网络连接，提升汽车智能化水平和自动驾驶能力，构建汽车和交通服务新业态，从而提高交通效率，改善汽车驾乘感受，为用户提供智能、舒适、安全、节能、高效的综合服务。

车联网以“两端一云”为主体，路基设施为补充，包括智能网联汽车、移动智能终端、车联网服务平台等对象，涉及车-云通信、车-车通信、车-人通信、车-路通信、车内通信五个通信场景。

图 1车联网应用场景

网络安全从广义理解，就是：使用一切手段保障车联网网络畅通无阻的运行，保证其尽可能少的被攻击。

车联网作为物联网在交通领域的典型应用，内容丰富，涉及面广。基于“云”、“管”、“端”三层架构，网络安全视角下的车联网如图2所示。

图 2网络安全视角下的车联网

从防护对象来看，车联网的网络安全应重点关注智能网联汽车安全、移动智能终端安全、车联网服务平台安全、通信安全，同时数据安全和隐私保护贯穿于车联网的各个环节，也是车联网网络安全的重要内容。

1.智能网联汽车安全

网络安全视角下的智能网联汽车如图3 所示。主要涉及车内总线、各电子控制单元（Electronic Control Unit，ECU）、车载诊断（On-Board Diagnostic，OBD）接口、T-BOX 以及车载综合信息系统（In-Vehicle Infotainment ，IVI）等的安全风险。车内网络一般是基于总线的通信，包括CAN 总线、LIN 总线等；ECU 相当于汽车各个系统的大脑，控制着如发动机、变速箱、车灯等部件的运行，通过与车内总线相连，各ECU 之间进行信息传递；车载诊断接口OBD（On-BoardDiagnostic）是外接设备与车内总线进行通信的入口，通过OBD 接口，可以通过统一诊断服务UDS（Unified Diagnostic Services）向ECU发送读写指令；T-BOX 作为车内与外界进行信息交换的网关，实现汽车与车联网服务云平台之间的通信；车载综合信息系统IVI 可以提供实时路况、导航、信息娱乐、故障检测和辅助驾驶等功能，为乘客带来新的驾乘体验。

智能网联汽车安全从防护对象来看，包括芯片安全、外围接口安全、传感器安全、车钥匙安全、车载操作系统安全、车载中间件安全和车载应用软件安全。其中芯片安全涉及电子控制单元ECU、车载操作系统等的芯片安全；外围接口安全包括车载通讯模块T-BOX、车载诊断系统接口OBD 等安全；传感器安全包括摄像头和雷达等的传感器安全。

2.车联网移动智能终端安全

车联网移动智能终端以智能手机等终端设备为主，用于实现人与智能网联汽车、车联网服务平台等的交互，例如车主通过移动智能终端可以发送远程控制指令到云端服务器，云端服务器再将车主的控制指令发送给智能网联汽车，实现对汽车的远程控制等功能，例如远程开启空调、车辆预热等。

从防护对象来看，车联网移动智能终端安全应重点关注终端系统安全和App 安全。

3.车联网服务平台安全

车联网服务平台是提供车辆管理与信息内容服务的云端平台，负责车辆及相关设备信息的汇聚、计算、监控和管理，提供智能交通管控、远程诊断、电子呼叫中心、道路救援等车辆管理服务，以及天气预报、信息资讯等内容服务。车联网服务平台是车联网数据汇聚与远程管控的核心，从安全防护对象来看，应重点关注车联网服务平台的平台系统、控制接口、WEB 访问接口、账户口令、数据保护等问题。

4.车联网通信安全

车联网的目的是实现车内、车与人、车与车、车与路、车与服务平台之间的信息通信。主要涉及车内网络、车际网络和车载移动互联网络。其中，车内网络包括CAN 总线、LIN 总线等总线通信，以及WIFI、RFID、蓝牙、红外线、NFC 等无线通信方式。车际网络实现智能网联汽车之间、智能网联汽车与路基设施的通信，目前，直连模式的车际网络主要涉及LTE-V2X 和IEEE 802.11p 这两种通信方式。车载移动互联网络包括2G/3G/4G/5G、卫星通信等无线通信方式。车联网通信安全从安全防护对象角度，应重点关注车内网络、车际网络和车载移动互联网络等安全。

5.数据安全和隐私保护

车联网数据安全从安全防护对象来看，涵盖从数据采集、数据传输、开发利用、数据存储、数据备份与恢复、数据删除等环节，包括但不仅限于用户信息、用户关注内容、汽车基本控制功能运行数据、汽车固有信息、汽车状态信息、软件信息和功能设置信息等安全。用户隐私信息包括车主信息（如姓名、身份证、电话）、车辆静态信息（如车牌号、车辆识别码）、车辆动态信息（如位置信息、行驶轨迹），以及用户使用习惯等。

（一）智能网联汽车安全威胁分析

1. T-BOX 提供无线网络通信接口，是逆向分析和网络攻击的重要对象

T-BOX 是车载智能终端，主要用于车与车联网服务平台之间通信。一方面，T-BOX 可与CAN 总线通信，实现指令和信息的传递；另一方面，其内置调制解调器，可通过数据网络、语音、短信等与车联网服务平台交互，是车内外信息交互的纽带。T-BOX 主要面临几方面的安全威胁：一是固件逆向，攻击者通过逆向分析T-BOX 固件，获取加密算法和密钥，解密通信协议，用于窃听或伪造指令；二是信息窃取，攻击者通过T-BOX 预留调试接口读取内部数据用于攻击分析，或者通过对通信端口的数据抓包，获取用户通信数据。

2. CAN 总线是汽车控制中枢，是攻击防护的底线

CAN 总线是由德国博世公司研发，遵循ISO11898 及ISO11519,已成为汽车控制系统标准总线。CAN 总线相当于汽车的神经网络，连接车内各控制系统,其通信采用广播机制，各连接部件均可收发控制消息，通信效率高，可确保通信实时性。CAN 总线安全风险在于：一是通信缺乏加密和访问控制机制，可被攻击者逆向总线通信协议，分析出汽车控制指令，用于攻击指令伪造；二是通信缺乏认证及消息校验机制，不能对攻击者伪造、篡改的异常消息进行识别和预警。鉴于CAN 总线的特性，攻击者可通过物理侵入或远程侵入的方式实施消息伪造、拒绝服务、重放等攻击，需要通过安全隔离来确保智能网联汽车内部CAN 网络不被非法入侵。

3. OBD 接口连接汽车内外，外接设备成为攻击来源

OBD 是车载诊断系统接口，是智能网联汽车外部设备接入CAN 总线的重要接口，可下发诊断指令与总线进行交互，进行车辆故障诊断、控制指令收发。目前OBD 和CAN 存在三种安全级别的交互模式：一是OBD 接口设备对CAN 总线数据可读可写，此类安全风险最大；二是OBD接口设备对CAN 总线可读不可写；三是OBD 接口设备对CAN 总线可读，但读取时需遵循特定协议规范且无法修改ECU 数据，如商用车遵循CAN 总线SAE J1939 协议，后两者安全风险较小。

OBD 接口面临的安全风险有三类：一是攻击者可借助OBD 接口，破解总线控制协议，解析ECU 控制指令，为后续攻击提供帮助；二是OBD 接口接入的外接设备可能存在攻击代码，接入后容易将安全风险引入到汽车总线网络中，对汽车总线控制带来威胁；三是OBD 接口没有鉴权与认证机制,无法识别恶意消息和攻击报文。目前较多接触式攻击均通过OBD 接口实施，2016 年BlackHat 大会上，查理·米勒和克里斯·瓦拉塞克演示了通过OBD 接口设备，攻击汽车CAN 总线，干扰汽车驾驶。此外，OBD 设备还可采集总线数据、伪造ECU 控制信息，造成TCU 自动变速箱控制单元等系统故障。

4.ECU 事关车辆行驶安全，芯片漏洞及固件漏洞是主要隐患

ECU 是汽车微机控制器，也被称为“汽车的大脑”，它和普通的电脑一样,由微处理器（CPU）、存储器（ROM、RAM）等部件组成。ECU 的微处理器芯片是最主要的运算单元，其核心技术掌握在英飞凌、飞思卡尔、恩智浦、瑞萨等外资企业手中，技术架构存在一定差异。目前汽车ECU 数量众多，可达几十至上百个，类型包括EMS 发动机管理系统、TCU 自动变速箱控制单元、BCM 车身控制模块、ESP 车身电子稳定系统、BMS 电池管理系统、TPMS 轮胎压力监测系统等。且随着汽车技术的发展和功能的增加，汽车ECU 的数量逐年增加。

ECU 作为微处理器，主要面临如下安全威胁：一是ECU 芯片本身可能存在设计漏洞，可能存在认证、鉴权风险。如第一代iPhone 3GS就曾经存在硬件漏洞，可用于越狱提权且无法进行软件修复；二是ECU固件应用程序可能存在安全漏洞，可能导致代码执行或拒绝服务。2015 年通用汽车TCU 软件模块就爆出过memcpy()缓冲区溢出漏洞；三是ECU 更新程序可能缺乏签名和校验机制，导致系统固件被改写，修改系统逻辑或预留系统后门。例如美国发生过攻击者利用ECU 调试权限修改固件程序，解锁盗窃车辆的案例。

5. 车载操作系统基于传统IT 操作系统，面临已知漏洞威胁

车载操作系统是管理和控制车载硬件与车载软件资源的程序系统，目前主要有WinCE、QNX、Linux、Android 等。其中QNX 是第一个符合ISO 26262 ASILD 规范的类Unix 实时操作系统，占据较大市场份额。

车载操作系统面临如下传统网络安全威胁：一是系统继承自传统操作系统，代码迁移中可能附带移植已知漏洞，例如WinCE、Unix、Linux、Android 等均已出现过内核提权、缓冲区溢出等漏洞，由于现有车载操作系统升级较少，也存在类似系统漏洞风险；二是系统存在被攻击者安装恶意应用的风险,可能影响系统功能，窃取用户数据；三是车载操作系统组件及应用可能存在安全漏洞，例如库文件、Web程序、FTP 程序可能存在代码执行漏洞，导致车载操作系统遭到连带攻击。

6. IVI 功能复杂攻击面广，面临软硬件攻击

IVI 车载信息娱乐系统是采用车载芯片，基于车身总线系统和互联网形成的车载综合信息处理系统，通常具备辅助驾驶、故障检测、车辆信息采集、车身控制、移动办公、无线通信等功能，并与车联网服务平台交互。IVI 附属功能众多，常包括蓝牙、WIFI 热点、USB 等功能，攻击面大、风险多。

IVI 面临的主要威胁包括软硬件攻击两方面。一是攻击者可通过软件升级的方式，在升级期间获得访问权限进入目标系统；二是攻击者可拆解IVI 的众多硬件接口，包括内部总线、无线访问模块、其他适配接口（如USB）等，通过对车载电路进行窃听、逆向等获取IVI系统内信息，进而采取更多攻击。

7. OTA 将成为主流功能，也成为潜在攻击渠道

远程升级（Over-The-Air，OTA）指通过云端升级技术，为具有连网功能的设备以按需、易扩展的方式获取系统升级包，并通过OTA 进行云端升级，完成系统修复和优化的功能。远程升级有助于整车厂商快速修复安全漏洞和软件故障，成为车联网必备功能。其面临的主要威胁包括：一是攻击者可能利用固件校验、签名漏洞，刷入篡改固件，例如2015 年，查理·米勒和克里斯·瓦拉塞克攻击JeepCherokee 车联网系统时，就利用了瑞萨V850ES 芯片固件更新没有签名的漏洞，刷入自制固件，进而控制汽车控制；二是攻击者可能阻断远程更新获取，阻止厂商用于修复安全漏洞。

8. 传感器是辅助驾驶的基础，面临干扰和拒绝服务攻击

辅助驾驶需要传感器采集周边环境数据，并进行计算分析为汽车自动驾驶、紧急制动等功能服务。目前传感器主要包括超声波雷达、毫米波雷达和摄像头等信息采集设备中所用到传感器。其中，超声波雷达频率低，主要对近距离干扰源进行探测；毫米波雷达探测距离可到50-150 米。从安全风险来看，对于超声波雷达，存在外来信源欺骗攻击，易受到相同波长的信号干扰导致识别出不存在的障碍物，干扰或直接影响行车安全;对于毫米波雷达，可能面临噪声攻击而导致无法检测障碍物，使传感器停止工作；对于高清摄像头，存在强光或红外线照射致盲的风险，进而影响行车安全或干扰自动驾驶汽车的整车控制。目前360 已多次在安全大会上演示通过信号干扰、强光致盲等干扰雷达和摄像头工作，进而影响特斯拉汽车的正常行驶。

9.多功能汽车钥匙流行，信号中继及算法破解威胁较大

车钥匙目前大多采用无线信号和蓝牙技术。当前面临的威胁有：一是攻击者通过信号中继或者信号重放的方式，窃取用户无线钥匙信号，并发送给智能汽车，进而欺骗车辆开锁。例如新西兰奥克兰发生过攻击者通过使用黑客工具RollJam 截取车主钥匙信号，盗窃车辆的案例7。二是寻找汽车钥匙解决方案漏洞，进行攻击。例如HCS 滚码芯片和keeloq 算法曾爆出安全漏洞，对于满足特定条件的信号，汽车会永久判断成功并开锁。

（一）车联网安全将成为安全产业发展的重点领域

车联网网络安全重要性已凸显，我国政府相关部门正在积极规划和部署，并加强车联网安全行业的政策鼓励和支持，推动车联网安全发展。同时，安全产业界也在积极探索，寻求车联网安全关键技术和产品创新，致力于车联网安全防护手段建设，推动车联网安全防护水平的提升。车联网安全作为安全产业的重要组成部分，其发展也将推动安全技术的进步和产业生态的进一步完善。目前，安全企业已推出自己的车联网安全防护产品和安全检测工具，为整车厂商提供车联网安全解决方案和安全服务。

（二）安全标准将成为助推车联网安全发展的必要手段

我国相关部门正在积极开展跨部门协作，组织推进车联网网络安全标准体系建设。目前工业和信息化部正在牵头起草国家车联网产业标准体系建设指南，将明确车联网安全相关标准规划。同时，相关部门秉持“急用先行”的原则，正积极推进一批亟需的车联网网络安全标准的研制工作。随着车联网网络安全标准体系的不断完善和相关标准的逐步落地实施，将为车联网安全发展提供全面的标准指导。

（三）整车厂商和服务提供商将成为撬动车联网安全的关键角色

整车厂商和服务提供商作为车联网产业链中的核心环节，其网络安全管理水平和安全防护能力与车联网安全息息相关。通过建设以智能网联汽车和车联网服务平台为主体的网络安全防护体系，不断完善整车厂商和服务提供商的网络安全管理水平，带动车联网产业链相关环节部署深化网络安全防护技术，是逐步提升车联网综合防护能力的关键举措。

（四）构建全链条的综合立体防御体系将是车联网安全发展的必然趋势

随着车联网的不断深化发展，其面临的网络攻击手段日益复杂，构建贯穿车联网云管端的综合立体防御体系将是保障车联网安全发展的必然趋势。一是要建立层次化的纵深防御体系，构建覆盖产品设计、研发、测试、发布全生命周期，涵盖智能网联汽车、移动智能终端、车联网服务平台以及多种类型网络通信的多级、多域的防护体系，综合运用安全分级、访问控制、加密技术、入侵检测技术，实现安全防护技术全覆盖；二是要从单点、被动的安全防护，向被动安全检测和主动安全管控相结合的综合防御体系转变，借助大数据、机器学习、人工智能等技术，实现自动化威胁识别、风险阻断和攻击溯源。借助密码技术和可信计算逐步实现车联网可信安全，从本质上提升车联网安全防御水平，提升对未知威胁的防御能力和防御效率。

（五）安全试点示范将驱动车联网安全产业快速发展

我国已初步构建由北京-河北、重庆、浙江、吉林、湖北，以及上海和无锡组成的“5+2”车联网示范区格局，在推动融合创新、促进产业集聚、培育新业态等方面已开始发挥积极作用。借助车联网示范区的示范带动作用，积极开展车联网安全试点示范工作，遴选车联网安全技术水平领先的企业和典型的车联网安全防护解决方案进行示范推广，进一步促进安全新技术、防护新方案成果转化和市场普及，驱动车联网安全产业的快速发展。