學術堂首頁 | 文獻求助論文范文 | 論文題目 | 參考文獻 | 開題報告 | 論文格式 | 摘要提綱 | 論文致謝 | 論文查重 | 論文答辯 | 論文發表 | 期刊雜志 | 論文寫作 | 論文PPT
                    學術堂專業論文學習平臺您當前的位置:學術堂 > 工程論文 > 機械工程論文

                    車聯網面臨的安全風險與應對措施

                    來源:網絡安全技術與應用 作者:陳雪
                    發布于:2022-08-11 共6011字

                      摘要:車聯網是汽車、電子、人工智能和信息通信等技術跨領域跨行業融合的新業態,是物聯網在智能交通方面的典型應用,也是當前國內外技術研究、創新與產業發展焦點。隨著車聯網產業的不斷發展,為人們生活提供方便、舒適與高效的同時,隨之而來的各類安全問題也日漸顯現。本文首先介紹了車聯網技術的原理和典型安全事件,其次從網絡安全、通信安全、數據與個人隱私安全等方面深入研究了其面臨的風險與挑戰,最后從技術與監管等多個層面提出了相應的對策與建議。

                      關鍵詞:車聯網;網絡安全;通信安全;數據隱私安全;風險應對;

                      車聯網(Internet of Vehicles,Io V,以下簡稱Io V),屬于物聯網(Internet of Things,以下簡稱Io T)領域衍生出來的新分支,Io V是基于車內網、車際網以及車載移動互聯網,并依據特定的通信協議和數據交換規范,實現V2X之間信息互聯互通的泛在網絡[1],也是Io T技術在智能交通系統中的典型應用[2]。V2X英文全寫為Vehicle to Everything,指汽車與可能影響或可能受汽車影響的任何實體之間的通信,簡單說就是車連萬物。其中V指汽車,X指一切與汽車交互信息的事物,目前X主要指汽車(Vehicle,簡寫V)、網絡云平臺(Network,簡寫N)、行人(Pedestrian,簡寫P)以及路側基礎設施(Infrastructure,簡寫I)[3],也就是說V2X交互模式主要包括V2V、V2N、V2P以及V2I之間的通信連接[4]。Io V的本質就是汽車與人工智能、大數據、物聯網以及移動互聯網等新一代信息技術的縱深融合,以達成汽車、道路、人之間信息內容的快速高效感知、準確智能分析和實時安全共享為終極目的,從而為人提供服務的。近年來,隨著車聯網產業快速發展,數字化、智能化、網聯化水平也不斷提高,過去互聯網絡智能終端存在的遠程攻擊、數據盜取、信息欺騙等安全隱患和威脅,已逐步向車聯網領域滲透,同時智能網聯汽車特有的安全和隱私問題也在不斷顯現,車聯網網絡安全、數據安全、通信安全等風險和挑戰不斷提高。亟須加強車聯網網絡、數據、通信等安全風險防范應對,推動車聯網行業快速、安全與高質量發展。

                    車聯網

                      1 典型的車聯網安全事件

                      隨著汽車產業智能化、網聯化、自動化、共享化程度不斷提高,以及車聯網應用范圍不斷擴大,與此同時,車聯網所面臨的安全威脅問題日益凸顯,車聯網安全攻擊事件也時有發生[5,6,7,8]。比如:

                      2015年,黑客借助克萊斯勒JEEP大切諾基的Uconnect娛樂系統漏洞遠程攻擊并牽制汽車的加速與剎車系統、電臺等關鍵功能模塊,致使該公司直接召回140多萬臺具有安全隱患的汽車,損失巨大。2016年,特斯拉Model S遭黑客遠程破解,并對汽車遠程控制,黑客能夠在汽車行駛過程中關閉后視鏡、打開后備箱、突然剎車等操作。2017年,黑客入侵東風日產公司的網絡系統,數據庫信息被盜取,客戶姓名、車輛識別號碼、家庭住址等個人信息遭到泄露。2018年7月,汽車供應商Level one泄露包含駕駛證和護照掃描件等重要隱私信息數據多達157GB。2018年9月份,特斯拉Model S中AWS服務器的無鑰匙進入和啟動系統被曝出CVE漏洞,因其采用落后的DST40加密算法,致使攻擊者能夠在短時間內完成對特斯拉Model S鑰匙的復制,最終盜走車輛。2018年11月,斯巴魯StarLink主機持久root漏洞,攻擊者需要通過對車輛USB端口進行攻擊,可重寫主機的固件,可以持久地利用root權限給主機植入惡意固件,并執行任意代碼。2021年,黑客入侵特斯拉汽車,揭露了車內高清攝像頭記錄駕駛員人臉特征以及車內大部分空間的畫面,特斯拉因此陷入“隱私門”。

                      從上面的安全事件可以總結出車聯網存在的安全問題主要是網絡安全攻擊、通信過程安全、數據隱私泄露等方面。

                      2 車聯網面臨的安全風險與挑戰

                      隨著移動互聯網、物聯網和人工智能等技術飛速發展,車聯網Io V產業也進入了快速發展階段,汽車智能化、網聯化、數字化程度不斷提高。網絡攻擊、木馬病毒等互聯網安全威脅逐漸向車聯網領域滲透,車聯網面臨的安全風險和挑戰日益凸顯。車聯網的安全威脅更復雜更廣泛,主要涉及網絡攻擊、木馬病毒等網絡安全問題,通信劫持、篡改等通信安全問題,個人信息和敏感數據過度采集、非法利用等數據與隱私泄漏安全問題。

                      2.1 網絡安全風險

                      車載軟硬件、車載網絡以及平臺服務等網絡安全風險突出。首先,智能網聯汽車代碼數量的急速增長將帶來軟件安全缺陷隱患的增加,以及可能帶來電子控制系統運行等功能安全,甚至是網絡安全風險隱患;車載聯網設備的安全檢驗機制不夠完善、安全防護能力薄弱,可能導致車載智能網關、車載信息娛樂系統(IVI)、遠程信息處理器(T-BOX,Telematics BOX)、電子控制單元(ECU)等安全漏洞隱患凸顯。其次,以CAN為代表的車載網絡協議的訪問控制、數據加密等安全防護措施尚不夠完善,進而可能造成車載網絡受到監聽、竊取、偽造、篡改、重放等安全攻擊威脅[9],致使車載網絡安全難以得到保障。最后,汽車遠程服務TSP、汽車遠程升級OTA等Io V服務平臺通常采用云計算技術,同樣易把云計算自有的安全問題帶到IoV系統中,主要包括操作系統漏洞威脅、暴力破解、SQL注入、跨站腳本安全攻擊XSS以及數字身份驗證、賬戶口令安全等訪問控制方面問題[10];此外,還包括拒絕服務Do S攻擊等其他網絡安全風險。

                      2.2 通信安全風險

                      車內通過CAN總線、車載以太網等技術實現車內部系統和設備間通信,車外通過車載診斷接口(OBD)、無線通信技術(WiFi、藍牙、4G/5G、C-V2X等)與外部實體和平臺進行信息交互。攻擊者通常利用身份認證或數據加密缺陷發起攻擊,產生通信劫持、篡改等安全風險[11]。車-云通信在Io V安全中發揮著重要作用,存在網絡隔離不到位、通信協議漏洞隱患以及安全接入認證不完善等問題,攻擊者通過DNS欺騙、ARP欺騙等手段劫持T-BOX會話,監聽通信數據。車-設備通信場景下,由于設備性能等因素的限制以及缺乏完備的通信認證機制,存在Do S攻擊等隱患,造成通信阻斷,進而可能會造成WiFi、藍牙、智能鑰匙不可用。在車車、車路等跨車型、跨地域、跨運營主體通信場景下,由于車輛、路側基礎設備等目前沒有統一、可信的“數字身份”,無法進行身份校驗與安全認證,可信通信面臨挑戰,黑客、攻擊者或不法分子可通過偽造“數字身份”,劫持通信數據、篡改通信內容、實施網絡攻擊,進而惡意控制車輛,必將會給車主和車輛以及公共交通安全帶來風險。

                      2.3 數據與隱私泄漏安全風險

                      Io V中的數據主要來自用戶、ECU、傳感器、信息娛樂系統以及第三方應用APP和Io V服務平臺等[12]。數據類型主要分為:姓名、駕照、證件號碼、手機號碼等用戶身份類數據,面部表情、動作、聲音等用戶動態信息,車牌號、車架號、發動機號等汽車靜態基礎數據,地理位置信息、用戶駕駛習慣等敏感數據,以上這些數據在人物畫像和軌跡分析等方面具有重大意義,一旦泄露或被濫用,個人隱私將毫無保留,輕則造成個人財產損失,還有可能造成人身傷害,甚至危及公共安全、國家安全。其主要存在以下幾方面安全風險:一是,車聯網數據安全保護機制目前仍處于探索階段,極易產生數據過度采集和越界使用的風險,進而造成用戶隱私信息泄露。二是,Io V產業鏈條長,數據安全貫穿于智能網聯汽車、通信網絡、手機APP以及遠程服務平臺等之間的各個互聯互通過程,數據安全防護目標復雜多樣,任何一個過程訪問控制和身份驗證不嚴或者數據存儲不當等都會造成使用者數據被盜或非法篡改。三是,隨著全球車聯網行業的高度融合以及數據黑色產業鏈的不斷發展,出境數據被濫用和售賣的現象頻頻發生,必將產生數據跨境流動隱患,易造成敏感地理位置信息數據出境,甚至會對國家安全帶來威脅。

                      3 車聯網風險應對措施與管理建議

                      3.1 加強車聯網核心技術研發,提升車聯網安全防護能力

                      隨著車聯網產業高速發展,我國科研院所的創建和跨學科跨領域的綜合型人才的培養明顯滯后,缺少新基建人工智能、車輛工程、自動化、網絡安全等多方面學問的綜合型人才和與車聯網產業對應的系統化、體系化的科研力量。因此,加大科研力度、強化人才培養是至關重要的。鼓勵高校、科研機構、企業等相關部門加大對復合型人才的培養,建議高校、研究機構等建立國家級車聯網安全研究機構與科學研究體系。在安全技術層面,必須針對上述安全薄弱環節加強防護,鼓勵企業、高校和科研機構等產學研各方加強加快數字身份驗證技術、數據加密算法等以及車載計算芯片、微控制器MCU芯片、操作系統等方面的關鍵技術研發與產業化應用,利用區塊鏈、國密算法等新技術,提升網絡、通信、數據等安全保障能力以及車聯網體系的自身安全防護能力。創新車聯網網絡安全測試、漏洞掃描、車載入侵檢測技術、統一數字身份鑒權與訪問控制等核心技術研究,不斷提高車聯網網絡安全防護水平,逐步實現自動化漏洞與安全隱患標識、阻斷、處置和追蹤溯源,從而不斷提升整體車聯網安全綜合防御能力。

                      3.2 加快車聯網安全管理制度體系構建,推動車聯網產業鏈安全協同建設

                      面對車聯網帶來的風險與挑戰,必須加快車聯網安全管理體系、標準體系建設。一是,加快推進車聯網安全標準的建設,盡快建立更加完備的標準體系。建議國家相關部門組織和協調行業監管部門、科研院所、整車企業、安全公司等通力協作,研究制定車聯網防護定級、數據管理辦法、數據安全評估認證、通信交互認證、車聯網安全標準、車聯網漏洞分級、安全事件應急響應等政策規范和技術指引的行業標準,為車聯網產業發展提供可用、好用、管用的安全管理、建設和實施指南。二是,建立車聯網產業鏈汽車生產、車聯網服務平臺運營等各方企業、機構共同參與的安全漏洞共享平臺,能夠快速準確地分析、評估和應對現有的安全威脅,通過修改配置和汽車遠程升級等方式實時處理存在的漏洞隱患,持續提高車聯網Io V安全保護能力。三是,構建車聯網網絡和數據安全綜合管理制度體系。鼓勵車聯網企業盡快組織制定網絡安全和數據安全管理制度,明晰企業內部的車聯網安全主要負責人以及管理機構,切實做到保障網絡安全和數據安全的主體責任。各相關企業部門應盡快提升車輛、網絡、平臺、數據等安全防護能力和加強應對風險的技術手段措施,做好網絡安全風險和威脅的實時監測、主動防范以及快速處置的響應機制,保證數據得到有效保護和合規合法使用,進而實現車聯網安全平穩運行。督促車聯網相關關企業創建數據資產管理臺賬,不斷建設健全數據安全保護技術措施,依法落實網絡安全等級保護制度和車聯網卡實名登記、安全漏洞管理要求,并加強智能網聯車輛電子控制單元、組件和功能等安全防護能力建設。

                      3.3 加強車聯網安全監管,提升車聯網安全保障能力

                      面對車聯網帶來的風險與挑戰,必須加強安全監管以及完善監管措施。一是,強化車聯網網絡安全與數據安全監管。針對車聯網信息收集使用等行為建立監管機制,完善檢測評估等監管能力建設。督促車聯網有關企業切實落實好車聯網安全主體責任,組織建設網絡安全和數據安全保障體系和管控部門,強化企業內部監督管理。二是,要高度重視車聯網網絡安全、數據安全、通信安全風險管理,加強車聯網網絡、數據安全意識。車企要完善數據安全保護機制,明確車聯網數據權屬、數據等級分類,規范數據開發利用和共享使用,強化數據出境安全管理,確保車聯網數據被合法合規使用,確保用戶隱私、敏感數據安全可控;建立健全網絡安全信息通報、披露、共享和報告機制,強化在漏洞收集驗證、安全風險感知等方面的協同;建立健全Io V身份鑒別和安全信任機制,不斷提高車載通信模塊、路側通信模塊以及各類服務平臺等安全通信能力,采用區塊鏈等有效的數字身份鑒別、訪問鑒權、數據加密傳輸等新技術新手段,防止通信內容偽造、數據篡改、回放攻擊等風險,確保V2X各個場景的通信安全。三是,深化落實數據安全和網絡安全等級保護制度,建立健全跨企業協調、跨領域協作、跨行業協同的一體化防護體系,共同推進跨車型、跨設備、跨品牌互聯互通互信,不斷提升IoV安全保障能力。建議Io V各企業共同構建以安全大腦為重點的智能網聯汽車態勢感知系統,以此來協助有關管理部門和汽車企業完成Io V安全實時全過程“可見、可管、可控”,進而確保路上的聯網車輛一直保持安全狀態。

                      3.4 加大車聯網安全宣傳教育培訓,提升車聯網安全監測預警能力

                      建議政府、企業等有關部門加強車聯網網絡安全、數據安全等宣傳、教育和培訓,使用戶足夠了解到車聯網安全的重要性,提升公民網絡安全和數據安全防范意識,提高公民對個人信息保護的關注度和重視程度。車聯網用戶也應該積極建立好的用車習慣,做好日常的安全防護。同時,建議車企和車聯網相關服務企業加強車聯網安全監測預警機制、技術手段應急響應機制,及時發現車聯網安全事件或異常情況,迅速處置安全威脅、網絡攻擊、通信篡改等風險,并及時通知用戶。最后,要明晰政府各機關單位在Io V管理的職責分工,并積極以國家政策法規為依據,監督指導有關組織機構、企業落實Io V安全防護責任,不斷強化各部門協調配合,逐漸建立健全各部門之間在Io V安全防護方面的交流溝通機制,積極完成最新的監管經驗與研究成果共享,逐漸建成車聯網安全管理聯防聯控工作機制。

                      4 結束語

                      萬物互聯的時代已經到來,車聯網在蓬勃發展過程中給人們生活帶來便利的同時,也帶來了一定的風險與挑戰。本文針對車聯網網絡安全、通信安全、數據安全與個人隱私泄露等方面的風險與挑戰,提出加強核心技術研發、加快車聯網安全管理制度體系構建和推動車聯網產業鏈安全協同建設、加強車聯網安全監管加大車聯網安全宣傳教育培訓等四項可行的應對措施。

                      參考文獻

                      [1]岳勝.車聯網技術研究[J]數字通信世界, 2020(11):121-122.
                      [2]許彩霞車聯網信息安全的威脅及防護策略[J]信息通信, 2018(7):191-192.
                      [3]《車聯網網絡安全白皮書(2017 )》發布[J]中國信息安全, 2017(10):29.
                      [4] Leng Y,Zhao L(2011)Novel design of intelligent internetof-vehicles management system based on cloud-computing and internet-of-things. In:2011 International Conference on Electronic and Mechanical Engineering and Information Technology(EMEIT),vol 6. IEEE,pp 3190-3193.
                      [5]田苗,王松,蔡蕾,等.車聯網安全保護研究[J]電腦知識與技術, 2017(6).
                      [6] YANG D,JIANG K,ZHAO D,et al. Intelligent and connected ve -hicles:Current status and future perspectives[J] Science Chi-na-Technological Sciences. ,2018,61(10):1446-1471.
                      [7] ALNABULSI H,ISLAM R. Protecting code injection attacks in intelligent transportation system[C]/Trust Security and Privacy in Computing and Communications. Piscataway:IEEE Press,2019:799-806.
                      [8]楊南,康榮保車聯網安全威脅分析及防護思路[J]通信技術, 2015,48(12):1421-1426.
                      [9]陳艷梅,薛亮智能網聯汽車總線技術極其安全威脅分析[J]汽車與配件,2021(17):50-54.
                      [10]趙爽,謝瑋.車聯網網絡安全風險和應對思考[J].中國信息安全, 2021(07):38-41.
                      [11]中國信息通信研究院車聯網白皮書( 2021 ) [R].2021.
                      [12]覃慶玲,謝俐驚車聯網數據安全風險分析及相關建議[J].信息通信技術與政策, 2020(08):37-40.

                    作者單位:國家計算機網絡應急技術處理協調中心吉林分中心
                    原文出處:陳雪.車聯網面臨的安全風險與應對措施[J].網絡安全技術與應用,2022(08):117-118.
                    相關標簽:
                    • 報警平臺
                    • 網絡監察
                    • 備案信息
                    • 舉報中心
                    • 傳播文明
                    • 誠信網站
                    把腿张开我要cao死你h