| 系列条目 |
| 信息安全 |
|---|
| 相关安全分类 |
|
| 威胁 |
|
| 防御 |
|
|
汽车网络安全(Automotive security)是指和汽车电子相关的计算机安全领域。由于汽车内的电子控制器(ECU)越来越多,车内各种不同的通讯协定,以及越来越多遥控和无线通讯的需求,也越来越可能受到网络相关的安全威胁,因此从计算机安全和网络安全再衍生出针对车辆的分支领域。
起因
车内多个电子控制器(ECU)的作法是在1970年代初期就开始的,因为集成电路和微处理器的发展,大量生产电子控制器在经济上是可行的。此后车上ECU的数量到达一百个。在现今的车上,这些设备控制了绝大多数车上的装置,简单的包括雨刷开关,安全相关的有线控刹车或防锁死刹车系统(ABS)。自动驾驶汽车也是依赖这些新型且复杂的ECU,例如高级辅助驾驶系统(ADAS)、感测器(光学雷达及雷达)以及其控制单元。
车内的电子控制器是用有线或是无线网络进行通讯,例如控制器局域网络(CAN)、MOST、FlexRay,或是许多胎压侦测系统中使用的射频(Radio Frequency)。值得注意的是许多的电子控制器会透过有线或是无线网络取得各感测器的资料,处理之后会依这些资料来调整车辆的行为(例如巡航定速会依方向盘附近按钮的信号来改变车辆的速度。
目前有发展了许多便宜的无线通讯技术,例如蓝牙、LTE、Wi-Fi、射频识别,车厂以及供应商也设计了电子控制器来提升驾驶及乘客的体验。安全相关系统,像是通用汽车的OnStar及车载资讯系统单元,可以在Bluetooth、Android Auto或CarPlay,透过智能手机,或是车上的喇叭和人沟通。
威胁模型
汽车网络的威胁模型是以实体世界的攻击,以及在理论上可行的攻击为基础。大部分现实世界的攻击都是针对在车内或是车辆附近的人,方式是修改车辆网宇实体的能力(例如在驾驶者不需动作的情形下,将车辆转向、加速或是刹车),而有关理论上的攻击,已有人提出是针对隐私相关的目的,例如获得车辆全球定位系统的资料,截取手机资料等。
有关车辆的攻击表面,可以分为长程、短程或是区域性的攻击表面,其中长期演进技术和专用短程通信是长程的,而Bluetooth和Wi-Fi都还是无线,因此视为是短程的。USB、车上诊断系统以及其他需要和车辆实体接触的攻击称为是区域的。可以在长程表面发动攻击的攻击者比需实体接触的攻击者要来的强大,也更加危险。2015年时Miller和Valasek已证实了攻击市售车辆的可能性,其方式是透过无线通讯远端连接1974年款吉普切诺基汽车,以便刻意的干扰其驾驶。
CAN攻击
车辆内最常用的网络是控制器局域网络(Controller Area Network,CAN),由于其实时、简单和低价的特性,是主要用在安全相关通讯的网络。因此实体世界主要对ECU的攻击都是透过这种网络。
不论在实际汽车上,或是在试验台上的攻击,主要可分为以下的几种:
网络监听
电脑安全领域中的网络监听(Sniffing)是指可能拦截和记录网络上的封包,甚至是更广泛的资料。以控制器局域网络来说,因为是总线拓扑,每一个节点都可以接收到网络上的所有资讯。 对攻击者而言,在进行真正的攻击之前,可以监听网络上的通讯,学习其他节点的行为,这对攻击很有帮助。一般而言,攻击者的最终目的不单单只是监听CAN上的资料而已,因为单单读取这类的资料,意义其实不大。
阻断服务攻击
资讯安全中的阻断服务攻击(DoS attack)是指攻击的目的是让机器或是网络无法使用。若是针对CAN上ECU的阻断服务攻击,可以针对网络,方式是滥用CAN的位元仲裁协定,让特定讯息持续的在位元仲裁中胜利,因此可以持续发送讯息,也可以针对单一的ECU,方式是滥用CAN的错误处理协定。第二例中攻击者会针对特定ECU的讯息设定错误旗标,让该ECU认为自身的讯息有误,最后因为错误处理机制而自行离线。
欺骗
欺骗攻击(Spoofing attack)是攻击者透过伪造资料,假装是网络上另一台机器送出讯息的攻击。在汽车网络安全中,欺骗攻击可以分为伪装攻击(Masquerade attacks)和重放攻击(Replay attacks)。重放攻击是攻击者伪装是受害节点,送出上一次认证中受害节点送出的资料。伪装攻击则相反,资料酬载是由攻击者产生,不是之前送过的资料
篡改
篡改攻击(tempering attack)是指修改网络上的资料。CAN网络上若有几个设备同时送出显性位元和隐性位元,网络上的设备会收到显性位元,因此可以做为网络攻击的方式。
现实生活中的汽车威胁案例
网络安全研究者Charlie Miller和Chris Valasek曾经成功的展示远端控制吉普切诺基上的许多元件,例如收音机、空调、雨刷,甚至特定的引擎及刹车功能。
骇入此系统的方式是是用植入到控制器局域网络(CAN)上,事先程式化的芯片。将此芯片插入CAN网络上,芯片可以在CAN网络上送出任意讯息。Miller指出的另一点是CAN网络的危险性,因为会广播信号,网络上的攻击者也可以截取到平常通讯时的资料。
对车辆的控制都是远端进行的,不需要实体接触就可以控制系统。Miller指出他可以控制美国国内的140万辆车,不分距离或是地区,只需要车主将车启动,即可控制。
安全措施
车用设备和网络越来越复杂, 因此需要应用安全措施以限制潜在攻击者的能力。自从2000年初开始,就已提出了许多的对策,其中也应用了一些。以下是最常用的安全措施:
- 子网(Sub-networks):将汽车中的网络分为多个小的网络,最关键的ECU不要和可以远端存取的设备放在同一个子网中,就算有攻击者想要透过远端存取的ECU控制网络,也可以限制其能力只在某一子网中。
- 网闸(Gateway): 子网用安全网闸或是防火墙隔开,可以阻隔一些非原先预期传送的讯息
- 入侵检测系统(Intrusion Detection Systems,IDS):在每个关键子网中,有一个ECU的功用是读取子网上的所有资料,在给定规则的情形下,识别出有害(可能是攻击者送出)的讯息。IDS可以提醒车主CAN网络上有异常的讯息。
- 认证协定,为了在一些还没有认证机制的网络(例如CAN网络)上实现认证功能,可以在OSI模型的较高层规划认证协定,用讯息酬载中的一部分来进行讯息本身的认证。
- 硬件安全模组(Hardware Security Module):因为大部分的ECU都无法在进行ECU和网络通讯加解密的过程中,仍满足实时延迟的要求,因此可以增加一个硬件安全模组(hardware security module)处理一些安全相关的机能。
立法
联合国欧洲经济委员会(UNECE)的世界车辆法规协调论坛(WP.29)在2020年6月发布二个新的规范R 155和R 156,针对汽车网络安全以及软件更新订定“对于汽车制造商,明确的性能以及审计要求”。
相关条目
- 汽车安全(Automotive safety):和汽车相关,人身安全的议题。
- 车辆入侵(Automotive hacking)
- EVITA