车联网是以车内网、车际网和车载移动互联网(车云网)为基础,按照约定的通信协议和数据交互标准,在车-X(X:车、路、行人及互联网等)之间,进行无线通讯和信息交换的大系统网络;车联网(V2X)体系架构包含感知层、网络层和应用层,与之相对应,业界称之为“端、管、云”。
图1. 车内网、车际网与车云网
感知层:感知交通信息、天气状况、路况等信息。
网络层:通过无线通讯技术、卫星定位导航系统来实现和互联网的连接,完成大量数据传输、分析和处理,实现相互通信和远程控制的目的。
应用层:数据反馈,并根据网络层的渠道开发各类软件应用,如地图导航服务。
图2. LTE-V2X车联网系统体系架构示意图
何为“端、管、云”?
“端”- 车联网的“器官”,包括车载终端和道路基础设施等;
“管”- 车联网的“神经”和“血脉”,即传输网络,用于实现车与车、车与人、车与路侧单元(RSU)以及车与云的互联互通;
“云”- 车联网的“大脑”,即车联网云平台,为车联网提供云端算力和服务内容。
LTE-V2X车联网系统包含端、管、云三大方面;因此与之相对应从终端层(车载终端、路侧设备)、网络层(网络通信)和应用层(业务应用)三个层面来解析LTE-V2X车联网系统面临的安全风险。
2.1 终端层
1)车载终端 - 安全风险
a、接口层面安全风险
车载终端一般存在多个物理访问接口,攻击者可能通过暴露的物理访问接口植入有问题的硬件或升级有恶意的程序,对车载终端进行入侵和控制。
车载终端通常有多个无线连接访问接口,攻击者可以通过无线接入方式对车载终端进行欺骗、入侵和控制;
b、设备层面安全风险
设备层面安全风险包含:访问控制风险、固件逆向风险、不安全升级风险、权限滥用风险、系统漏洞暴露风险、应用软件风险以及数据篡改和泄露风险等。
2)路侧设备(RSU)- 安全风险
路侧设备面临的风险主要包含:
非法接入:RSU通常通过有线接口与交通基础设施及业务云平台交互。黑客可以利用这些接口接入RSU设备,非法访问设备资源并对其进行操作和控制,从而造成覆盖区域内交通信息混乱。
运行环境风险:与车载终端类似,RSU中也会驻留和运行多种应用、提供多种服务,也会出现敏感操作和数据被篡改、被伪造和被非法调用的风险。
设备漏洞:路侧设备及其附件可能存在安全漏洞,导致路侧设备被安全控制、入侵或篡改。
远程升级风险:通过非法的远程固件升级可以修改系统的关键代码,破坏系统的完整性。
部署维护风险:路侧设备固定在部署位置后,可能由人为因素或交通事故、风、雨等自然原因导致调试端口或通信接口暴露或者部署位置变动,降低了路侧设备物理安全防御能力,使破坏和控制成为可能。
2.2 网络层
1)网络通信 - 安全风险
a、 蜂窝通信接口(Uu)
蜂窝通信接口场景下的安全风险:假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等;
非法终端可以假冒合法终端的身份接入运营商的蜂窝网络,占用网络资源,获取网络服务。
假冒合法终端身份,发送伪造的网络信令或业务数据信息,影响系统的正常运行。
攻击者部署虚假的LTE网络基站并通过发射较强的无线信号吸引终端选择并接入,造成网络数据中断,直接危害车联网业务安全。
利用LTE-Uu接口的开放性以及网络传输链路上的漏洞,攻击者可以窃听车联网终端与网络间未经保护直接传输的网络信令/业务数据
b、 直连通信接口(PC5)
短距离直连通信场景下的安全风险:虚假信息、假冒终端、信息篡改/重放、隐私泄露等;
利用PC5无线接口的开放性,攻击者可以通过合法的终端及用户身份接入系统并且对外恶意发布虚假信息
攻击者可以利用非法终端假冒合法车联网终端身份,接入直连通信系统,并发送伪造的业务信息;
攻击者可篡改或重放合法用户发送的业务信息。
攻击者可以监听获取广播发送的用户标识、位置等敏感信息,进而造成用户身份、位置等隐私信息泄露;
2.3 应用层
1)业务应用 – 安全风险
LTE-V2X业务应用包括基于云平台的业务应用以及基于PC5/V5接口的直连通信业务应用。
a、基于云平台的业务应用 - 以蜂窝通信为基础;面临的安全风险包括:假冒用户、假冒业务服务器、非授权访问、数据安全等。
攻击者可以假冒车联网合法用户身份接入业务服务器,获取业务服务;
非法业务提供商可以假冒车联网合法业务提供商身份部署虚假业务服务器,骗取终端用户登录,获得用户信息。
在未经访问控制的情况下,非法用户可以随意访问系统业务数据,调用系统业务功能,使系统面临着信息泄露及功能滥用的风险。
业务数据在传输、存储、处理等过程中面临着篡改、泄露等安全风险;
b、 直连通信业务应用 - 以网络层PC5广播通道为基础,在应用层通过V5接口实现,面临的安全风险包括:假冒用户、消息篡改/伪造/重放、隐私泄露、消息风暴等安全风险。
利用PC5/V5无线接口的开放性:
攻击者可以假冒合法用户身份发布虚假的、伪造的业务信息,篡改、重放真实业务信息,造成业务信息失真、严重影响车联网业务安全;
攻击者可以在V5接口上窃听传输的业务信息,获取用户身份、位置、业务参数等敏感数据,造成用户隐私泄露;
攻击者还可以通过大量发送垃圾信息的方式形成消息风暴,使终端处理资源耗尽,导致业务服务中断。
3.1 蜂窝通信场景系统安全架构
图3. 蜂窝移动通信场景下LTE-V2X安全架构
蜂窝通信场景下,LTE-V2X车联网系统安全架构包含如下八个安全域:
(1) 网络接入安全:车联网终端接入到LTE网络的信令及数据安全,包括接入层安全和非接入层安全。
(2) 网络域安全:LTE系统网元之间信令及数据交互安全,包括LTE接入网与服务网络之间,服务网络与归属网络之间的安全交互。
(3) 认证及密钥管理:车联网终端与LTE网络的接入认证及密钥管理。
(4) 车联网业务接入安全:车联网终端与V2X控制功能之间的安全。
(5) 车联网业务能力开放安全:V2X控制功能与LTE-V2X业务提供方之间的安全。
(6) 网络安全能力开放:LTE系统向应用层开放网络层安全能力,提供双向身份认证及密钥协商服务。
(7) 应用层安全:车联网终端应用和LTE-V2X业务提供方在应用层提供的数据通信安全和用户隐私安全。
3.2 直连通信场景系统安全架构
图4. 直连通信场景下的LTE-V2X安全架构
直连通信场景下,LTE-V2X车联网系统安全架构包含如下五个安全域:
(1) 网络层安全:车联网终端在网络层提供的数据通信安全和用户隐私安全。
(2) 安全能力支撑:网络层向应用层提供的安全能力支撑,保护用户隐私信息。
(3) 应用层安全:车联网终端在应用层提供的数据通信安全和用户隐私安全。
(4) 车内系统及接口安全:车内系统与车载终端之间数据通信安全和用户隐私安全。
(5) 外部网络域安全:RSU设备与其他网络域设备之间的接入及数据交互安全。
车联网安全运营及管理体系是一套完整的系统安全解决方案,基本结构如下图所示,它从采集、检测、发现、评估、调查和响应等环节对车联网安全事件进行生命周期的检测和管理。
图5. 车联网安全运营及管理体系
车联网安全运营与管理体系包含以下三个层次:
1)数据采集层
数据采集层主要负责车联网安全事件及V2X应用异常行为的采集。该层收集各类安全事件,包括:入侵检测和防御(IDPS)事件、车内各模块的安全事件、OEM和需提供集成商(OEM&SI)提供的安全事件和其他途径获取的安全事件,并上报到安全运营管理平台。该平台将收集和存储上报的大量信息安全相关信息。
2)数据处理层
数据处理层主要负责车联网安全事件的分析和处理。除了从数据采集层收集信息外,该层还会从第三方收集车联网安全情报,然后进行分析、去重,并结合历史威胁及威胁情报,降低事件的误报率,通过安全事件处理机制,派发工单,对安全事件进行处理。
3) 可视化层
可视化层主要负责车联网威胁和风险的可视化呈现,这部分给运营人员呈现一个威胁可读、可视、可感知的平台,对历史安全事件进行留存,便于事件调查、分析和取证。
参考资料:
1. 车联网安全技术与标准发展态势前沿报告(中国通信学会)
2. LTE-V2X安全技术(IMT-2020(5G)推进组)