白帽黑客”査理•米勒(Charlie Miller)和克里斯•瓦拉塞克(Chis hlmlk)演示了如何通过入侵克莱斯勒公司Ucomect车裁系统，以远程指令方式“劫持”正在行驶中的 Jeep 自由光，并导致其翻车，这样的安全威胁已经严重的影响了车上人员的生命安全。

自从1886年第一辆汽车诞生以来，汽车技术随着科技的发展不断变革，智能网联汽车成为当今汽车发展的主要方向和趋势。早在2015年国务院印发的《中国制造2025》里，就已经将无人驾驶汽年作为汽车产业未来转型升级的重要方向之一，“十三五”规划中更是提出要积极发展智能网联汽车的目标。

汽车使用在便捷性与安全性之间存在天然的矛盾，随着汽车技术不断发展，智能网联汽车以及相应车联网的诞生让这样的矛盾加剧。2015年7月，“白帽黑客”査理•米勒(Charlie Miller)和克里斯•瓦拉塞克(Chis hlmlk)演示了如何通过入侵克莱斯勒公司Ucomect车裁系统，以远程指令方式“劫持”正在行驶中的 Jeep 自由光，并导致其翻车，这样的安全威胁已经严重的影响了车上人员的生命安全。

一连串对智能网联汽车的攻击破解使得人们对其安全性打上了一个大大的问号，更加速了人们对智能网联汽年信息安全问题的深入审视。

爱加密技术副总裁程智力分别从车联网安全威胁特点、车联网主动安全防御体系、车联网主动防御体系等方面进行了分析，希望为企业提供全新的思路，在不影响使用体验的同时，构建一套可靠实用的智能车联网安全防护体系。

安全威胁特点分析

车联网安全威胁分析

车联网主要包括人、车、路、通信、服务平台和移动应用6类要素。其中，“人”是道路环境参与者和车联网服务使用者；“车”是车联网的核心，主要涉及车辆联网和智能系统；“路”是车联网业务的重要外部环境之一，主要涉及交通信息化相关设施；“通信”是信息交互的载体，打通车内、车际、车路、车云信息流；“服务平台”是实现车联网服务能力的业务载体、数据载体；而“移动应用”则是“人”远程管理和操作“车”的入口和工具。

抛开“人”和“路”这样的外部环境，车联网的主要安全威胁包括终端（车）、传输通道（通信）、云端（服务平台）和应用（移动应用），分为物理安全、系统安全、网络安全、应用安全和管理安全几个种类：

智能车联网威胁分析

终端威胁：终端威胁也就是智能网联汽车的威胁，其中主要是T-BOX安全威胁。T-BOX在汽车内部扮演“Modem”角色，实现车内网和外部之间的通信，负责将数据发送到云服务器。因此绝大部分针对终端的远程攻击都会通过T-BOX完成。如果T-BOX存在设计缺陷或者被攻击，攻击者完整分析 T-BOX 的硬件结构、调试引脚、Wi-Fi 系统、串口通信、MCU 固件、CAN 总线数据、T-BOX 指纹特征等研究点，攻破 T-BOX 的软硬件安全防护将非常容易。借助T-BOX为跳板，进而攻击CAN总线和控制器中，造成更加严重的风险。另外，终端还包括安全升级（OTA/FOTA）、IVI、OBD接口、CAN总线、MCU/ECU等相关威胁；

传输层威胁：传输层威胁也就是通道威胁，主要是指由于不安全的通讯而造成的拒绝服务攻击、中间人攻击以及明文传输导致的敏感信息泄露等相关威胁；

应用层威胁：应用层威胁主要是针对APP的威胁。APP作为用户远程控制智能网联汽车的重要工具和入口，在车联网体系中具有相当重要的位置。而APP往往是安全防护的弱点，不安全的APP会被攻击者利用来远程控制智能网联车或者偷取敏感数据。APP的主要威胁包括代码逆向、代码篡改、动态调试、内存数据dump、页面劫持、截屏和本地数据泄漏等；

管理层威胁（云端）：管理层主要是指TSP云端管理平台。TSP云管理平台作为公有云平台，会面临所有的云平台的威胁，包括网络威胁、主机威胁、应用威胁、数据威胁等等。而重要的是，TSP作为车联网的重要管理中心，通常以实现业务管理功能为主，很少考虑安全管理的功能，所以目前的TSP对车联网安全方面的管理功能会很薄弱。

车联网安全威胁特点

网络边界模糊：车联网中每一台智能网联汽车都是网络的组成部分，整个网络没有明显的边界，无法进行有效的边缘防护；

使用环境不可控：汽车作为特殊的终端，除了使用者以外，任何一个陌生人都可以靠近和接触。这意味着对智能网联汽车的攻击方式可以很多，包括OBD等接口的物理攻击、蓝牙红外的近场攻击或者通过APP的远程攻击。这使得汽车的使用环境是一个完全不可信不可控的环境；

终端数量巨大：车联网的终端往往都是数十万甚至上百万计，基数大意味着遭受攻击威胁的概率和数量都大大增加；

安全威胁影响巨大：车联网中一旦发生安全攻击和威胁，直接影响到车内人员的生命安全，其影响非常巨大。

相对于移动互联网和普通物联网而言，车联网的终端是智能网联汽车，其终端的性能、功能和复杂度都远远超过一般智能手机和传感器。这就意味着智能网联车会面临各种复杂的攻击以及各种形式的攻击，而且具有高频、实时等特点。

基于智能车联网威胁的分析，我们可以明白，车联网的安全威胁包括不同层次、不同方式和不同类型。基于传统的边界式安全防护体系是无法取得很好的效果。我们不得不面临的现实是，无论我们的防护体系建立的多么完美，攻击最终都会成功，只是代价大小的问题。所以如何为车联网建立一套行之有效的信息安全防护体系值得我们研究和探讨。

车联网主动安全防御体系

基于以上的分析，传统的安全防护体系并不适用智能车联网的特点和需求。对于车联网的安全防护，我们只有达到“主动防御”的效果才能够应对复杂的车联网安全威胁。

为了达到“主动防御”的目标，我们提出“以感知为核心，以数据为驱动”的智能车联网主动防御体系。从最终结果来看，攻击最后都会成功，所以我们需要重点做的事情一是在攻击成功之前能够预测到潜在攻击的发生，并进行主动防御，这就是以感知为核心的价值。另外一个方面，就是要在攻击发生以后进行快速的响应、应对已经发生的攻击。只有快速而有效的响应才能减轻攻击带来的损失，尽可能的把影响减到最小。要达到这个目标，就需要以数据为驱动，完全借助安全大数据分析，进行自动化的响应。

以感知为核心的意思是整个安全防护体系的重点在于建立威胁态势感知系统，通过完善终端与应用层的威胁信息采集，形成规模化的车联网安全威胁大数据源。借助智能机器学习技术、聚合安全数据，能够形成完善的车联网安全威胁画像，从而对安全威胁进行实时监控与提前预判。以感知为核心并不意味着不做防护，只是防护不作为整个防护体系的核心存在。但我们依然要建立端到端的防护体系。因为防护可以抵御80%的无意识攻击或者攻击尝试，而另外20%的有效攻击或者成功的攻击则需要通过“以感知为核心，以数据为驱动”的主动防护体系进行处置。

以感知为核心的防护体系会产生海量的安全威胁大数据源，这也是我们进行安全快速响应的基础。以数据为驱动的意思就是通过机器学习，对安全威胁大数据进行处置，然后驱动安全威胁的自动化响应，真正做到快速有效的安全威胁响应：

智能车联网主动防护体系

车联网的主动防护体系实际上也是安全防护技术演变的结果，它集中体现了安全防护模型从PDCA（计划、防护、检查、动作）到PPDR（预测、防护、检测、响应）的演变过程。最新的PPDR的核心思想恰恰就是以感知为核心，把预测放在了第一位，而响应在最后形成了风险处置的闭环，这也与国家颁布的《国家网络安全法》中注重安全威胁监测预警的核心思想不谋而合。

车联网主动防御体系实践

“以感知为核心，以数据为驱动”的智能车联网主动防御体系能够有效的抵御车联网安全威胁，满足车联网安全防护的目标。要构建这样的防护体系，首先需要建立一个车联网安全防护综合治理平台。

车联网安全防护综合治理平台

车联网安全防护综合治理平台（以下简称“平台”）是整个车联网主动防御体系的基础，它依托于ITIL、Cobit等安全框架，结合车联网业内的最佳安全实践和标准，在底层设计中首先包括用户系统、资产系统、权限系统、流程系统等相关系统的对接，能够做到对业务系统的识别和响应流程的闭环处置。平台的意义在于在车联网系统建立的初期同步建设，为车联网以后的安全防护提供了基础平台，建立了统一的标准、统一的接口和统一的要求，为车联网安全防护提供了可扩展的弹性的平台架构。平台不仅仅为车联网的安全防护提供了长远的规划和目标，还能够在实现目标的过程中充分保障投资回报，避免投资的浪费。

在威胁防护层次，首先建立威胁感知系统，通过威胁感知收集的海量数据直接驱动整个系统的运转。在平台上，通过模块化的设计，可以包括对智能网联车、通道、TSP云管理和APP应用的安全防护方案。所有的防护方案做到底层数据的打通。通过提炼来自不同系统的安全威胁源数据，通过机器学习和数据挖掘，真正实现“以感知为核心，以数据为驱动”的核心思想。

车联网安全防护综合治理平台

平台的建立不仅仅能够为车联网提供各个层次的感知和防护能力，还能够通过与TSP平台交互赋予TSP云平台安全管理的能力。TSP在设计的初期重点考虑的是业务功能层面的实现，平台设计需要通过先进的容器化技术和开放式API与TSP云平台对接，形成管理流程、任务交互、数据流通以及功能实现等层次的闭环管理。这样真正让TSP能够成为集业务管理与安全管理于一身的全面车联网管理中心。

威胁态势感知系统

威胁态势感知系统是整个车联网主动防御体系的核心，必须具有完整的数据采集、强大的安全引擎、成熟的威胁大数据分析以及直观的数据展示能力：

车联网威胁态势感知系统

要对车联网威胁进行感知，第一要素就是要在终端和应用层采集足够多的数据，在终端需要包括但不局限于：

T-BOX相关威胁数据

IVI相关威胁数据

OBD相关威胁数据

CAN总线相关威胁数据

网络传输相关威胁数据

MCU/ECU等相关安全威胁

在应用层APP需要包括但不局限于：

智能设备相关威胁数据

使用者相关画像数据

网络传输相关威胁数据

APP相关威胁数据等

数据采集以后通过核心引擎优化融合，再经过大数据引擎的处理，最终形成可视化的视图展现，并且把数据输入到平台中进行整个的自动化主动响应流程。

总结

车联网的发展还处在初级阶段，在最初的设计和建设阶段就同步规划安全防护体系就显得尤为重要。“以感知为核心，以数据为驱动”的车联网主动防御体系是现代车联网安全防护的最终目标，围绕这个目标进行建设能够以最优的代价，得到最佳的车联网安全防护效果。

同时，我们要看到，围绕着车联网的建设和安全防护的新技术也层出不穷，未来随着人工智能的不断发展，区块链等新技术的日趋成熟，车联网的安全防护方式也会不断优化，这需要我们不断研究学习，改善和优化车联网的安全防御体系，满足不断发展的智能车联网安全防护的目标和要求。