開源網安物聯網技術（武漢）目錄 電子不停車收費系統OBU風險評估案 汽車智能化、網聯化提升了出行效率與體驗，也使車輛架構變得復雜增加了網絡安全風險。以汽車為核心，車對車（V2V）、車對基礎設施（V2I）、車對行人（V2P）、車對電網（V2G）等通信技術的不斷應用將人、安全防護的車載傳感器讓自動駕駛面臨著嚴峻的網絡安全考驗。2013（OnBoardDiagnostics-I，OBD-I）入侵車載控制器局域網（ControllerAreaNetwork，CA）總線，控制了福特翼虎、豐田普銳斯方向盤轉向、剎車制動、油門加速、儀表盤顯示等重要汽車組件。2015年，安全研究人員查理?米勒和克里斯?瓦拉塞克利用軟件漏洞無線入侵Jeep切諾基系統，其后克萊斯勒公司大規模召回應用該系統的汽車。2016年，科2019年以來至2023725起CVE2023年3782022年1512023年，嚴重和高危漏洞占CVE總數的近80%2022年這一比例為71%及其供應鏈產品的網絡安全。2021年6月，聯合國世界車輛法規協調論壇（簡稱為UN/WP.29）發布了3項關于智能網聯汽車的重要法規R155/R156/R157，即網絡安全（Cybersecurity）/軟件升級（Software/自動車道保持系統（ALKS）1958協議下成員國（UNECE1958年協議的締約方已增加54OECD）1958R155法規規定了車輛制造商需要滿足的網絡安全強制要求，給有計劃出口至歐盟或其他OECD國家的車輛制造商帶來了嚴峻的準入挑戰。國內汽車網絡安全標準方面，對標R155的“GB44495-2024汽車整車信息安全技術要2024MN1制單元的O類車輛，其將法規給出的“風險點”轉化為“技術要求”，細化了車輛同一型式判定技術條件，與R155法規中明確規定，汽車及其供應鏈制造商需要建設CSMS（CybersecurityManagementSystem），申請VT（VehicleTypeApprovaCSMSISO/SAECSMS的依據。該標準蓋了車輛從概（TARA）識別和降低風險，明確安全需求并貫穿產品開發、生產、運營和退役階段，同時加強供應鏈的網絡安（ECU適的自動駕駛。通信模塊通過V2X等通信技術與其他車輛、道路基礎設施和云平臺交互，拓展感知范圍并優化（GlobalNavigationSatelliteSystemGNSS、慣性測量單元（InertialMeasurementUnit，IMU）等用于胎壓監測、汽車導航、確定位置與方向。除此之外，（LiDa）（Radar感知物。V2X（Vehicle-to-Everything），與其他車輛、道路基礎設施和云端實時交換信息，從而擴5G、LTE-V、C-V2XCANOTA升級，滿足用戶和技術發展的需求。（EUHTEnhancedUltraHighThroughput）（C-V2X交通信息進行路徑規劃和動態調整，為ADAS（高級駕駛輔助系統）和自動駕駛功能提供決策支持。3）實時性OTA更新包，導在車內，硬件板卡與運行在硬件板卡中的固件或者操作系統構成車內ECU。車內總線承載了智能網聯汽車內眾多ECU之間的數據通信，將所有的ECU與傳感器連接起來形成復雜的車內通信網絡。在車外，傳感器感ECU進行解析并響應。無線電通信技術是車內盡相同，Bluetooth、RFIDTCP/IPCANInterCANbusABS:Anti-skidBrakeSRS:SupplementalRestraintSystemEBA:EmergencyBrakeAssist汽車中大量的ECU、傳感器等汽車電子設備基于硬件板卡運行相應的固件及操作系統實現特定的功能。典PCB取存儲器中的固件等數據。對于片上系統內部的存儲器，JTAG、SWD、USB等硬件調試接口也為攻擊者獲取內的實時操作系統，例如VxWorks，或者供應商定制的操作系統，具備操作系統的部分特性，可以完成基本的資車內總線連接不同的ECU控制單元，協調汽車各個功能模塊之間的數據傳輸。車路云供應鏈網絡安全框架中的總線安全包括CAN總線安全、FlexRay總線安全、LIN總線安全、MOST總線安全、車載以太網總線安全UDSSOME/IP3.53.5多個應用場景之中。基于傳感器的特點，車路云供應鏈網絡安全框架將GPS、GNSS、TPMS等傳感器涉及到的LTE-V2X5G-NR網技術（WirelessLocalAreaNetwork，WLAN）、DSRC技術。短距離無線通信技術覆蓋的傳輸范圍僅僅在BLE、NFC等技術。2BluetoothZigbeeUWB技術、NFC技術。攻擊者可以在通信雙方均無意識的情況下作為中間人介入兩臺BluetoothZigBeeZigBeeUWB技術用于測算車輛位置，可達厘米級精度。UWB高頻信號穿透力強，覆蓋范圍廣，便于攻擊者再視野范圍之外悄無聲息地發動攻擊。傳輸速度快則會在短時間內泄露大量傳輸數據，為密文破解提供足夠的數據樣本。NFC技術應用于汽車鑰匙領域，NFCNFCNFC設備資源，造成拒絕服務。惡意攻擊者亦NFC標簽與設備之間通信數據，繞過身份認證機制，開啟車門。DSRC、Wi-FiDSRC應用于車載通信單元幫助汽車建立了覆蓋范圍廣大DSRC信道的開開放性，任意攻擊者可獲取相關傳輸信息。此外，用于密碼學運算的隨機DSRC通信，造成設備拒絕服務。中繼攻擊則可以延長通信距離，造成遠距離惡意扣除費用等潛在安全隱患。Wi-FiWEP等不當的加密協議可被輕易破解，泄露傳輸數據內容。弱口令則為攻擊者入侵無線局域網絡提供了可能性，5G、C-V2X“車-云”通信。5G-NR標準提供了更高的數據速率，更低的通信延遲，可以實現異構設備之間的良好通信。為5G5G網絡對外暴露更多的設備接口與服務接口，引入了更5G5G3.63.6網絡安全不同于無線電安全，本框架中的網絡安全更側重于基于TCP/IP3.73.7云端安全Web應用是云端服平臺的關鍵應用，Web脅主要包括注入攻擊、文件上傳威脅、認證與會話管理威脅、訪問控制威脅、Web框架威脅、拒絕服務威脅、PHP漏洞、不當的服務器配置。WebWeb網絡安全資料，無論是攻擊技術還是防御技術，OWSAPWebWeb網絡安全的分析，3.83.8應用安全作系統基于內存共享方式進行進程間通信時，手機應用程序運行時產生的敏感數據在內存中可能會被其他手機HTTPTCPUDP3.93.9數據安全DSRC、C-V2X3.103.103為了感知車輛行駛環境，智能網聯汽車搭載了GPS、光學攝像頭、激光雷達、超聲波雷達、毫米波雷達、TPMS311為不同傳感器的使用場景。GPS信號來自衛星，經過長距離的傳輸抵達地面接收設備時，信號衰減至GPSGPS信號可對正常的信號接收造成干擾，108m/s4-4攝像頭應用于交通標志識別、車道檢測、障礙物檢測等多種場景。用LED光或者激光直接照射攝像頭可以致盲攝像頭，致其無法發揮作用，可能導致嚴重事故。RFID48bitLFSRPIN不同汽車防盜機制的特性與網絡安全威脅。其中，Hitag2和Megamos都因密碼設計的缺陷而面臨相應的網絡安全威脅，包括缺乏偽隨機數生成器(PRGs)和比私鑰更小的密鑰空間。被動無鑰匙進入系統（PassiveKeylessEntrySystems，PKES）保證了車內物品的安全，也面臨著信號中繼的安全威脅。攻擊者通過中繼鑰匙與汽車最大限度地降低車路云供應鏈中的安全風險，保障智能網聯汽車的運行安全。V型生命周期是汽車開發中廣泛采部分，必須在V型生命周期的各個階段得到充分關注和解決。5V汽車行業事實上的標準ISO/SAE21434:2021《道路車輛網絡安全工程》明確要求汽車制造商及其供應商需要建立覆蓋車輛全生命周期的網絡安全管理體系（CyberSecurityManagementSystem,CSMS）。CSS的建立不僅是行業法規的必要合規手段，更是保障智車聯網網絡安全的關鍵。ISO/SAE21434網絡安全文化。提升全員的網絡安全意識，確保員工能夠識別和應對網絡安全威脅。通過內部培訓、網絡安全管理與組織網絡安全審核。按照網絡安全管理體系的要求來實施活動管理，以保護工作產物ISO/SAE21434網絡安全計劃。制定項目網絡安全計劃，明確項目中各階段的安全目標、活動和責任。網絡安全計劃，項目風險管理。在項目范圍內執行網絡安全風險管理，包括威脅分析與風險評估（TARA），風險優網絡安全需求流轉。從OEM到供應商再到次級供應商，網絡安全需求需要在供應鏈中向下流轉。確分布式驗證與測試。不同組織需分工完成各自負責部分的網絡安全測試活動，OEM負責系統級測試漏洞管理與修復。持續發現系統中的潛在漏洞，包括開發階段遺留漏洞和運營階段新發現的漏洞。建OT（空中下載技術快速推送補丁和更新。概念階段網絡安全活動目標是識別和定義系統的網絡安全需求，評估潛在的安全威脅和風險，確定高層次的網絡安全目標和策略。主要活動包括：威脅分析與風險評估（TARA），用于識別系統可能面臨的威脅源和攻擊路徑，評估各類威脅的潛在影響和利用可能性，確定風險等級并優先處理高風險；定義網絡安全目標，根據TARA（（如預算、人力和工具）滿足網絡安全要求。（；（管理機制ISO/SAE21434、UNECEWP.29（TARATARAISO/SAE21434《道路車輛-網絡安全工程》給出了實施TARA的指導性框架。如圖6所示，風險評估體系段確定攻擊概率，分析網絡安全危害并對網絡安全風險進行評級。在網絡安全風險評估體系中，TARA流程基于610GB的可用磁盤空間來運行評限，TARA數據：數據是在評估對象中存儲、處理和傳輸的資產。攻擊者可以獲取和篡改數據資產，也可以通過冒CI（ConfidentialityIntegrityAvailability）[116服務：服務是被評估對象外部提供的功能與接口，是被評估對象與外部實體進行交互的窗口。攻擊者可·威脅類型：本文提出的風險評估體系基于STRIDE威脅模型對智能網聯汽車網絡安全威脅進行分類，共DenialofService（ElevationofPrivilege）。Wi-Fi、NFC等近場通信技術發起，TARA中削減被額外引入的網絡安全風險。（1）EVITA、HEAVENSTARA，且在分析攻擊路徑的可以同時附帶攻擊概率與攻擊危害等參數以便EVITAEVITA功能粗略的劃分為五個等級，未采用精確的評分機制。在安全威脅的復雜程度與攻擊概率的評估中，EVITAHEAVENS相較于EVITA則具備更多的威脅分析與風險評估細節。HEAVENS將威脅與資產及其屬性之間3TARA模型的優點，綜合了多種TARA方法，網絡安全風險評估體系創新型地在資產識別階段通過邊界CVSSHEAVENS12個指標，從威脅復雜度、先驗知識、3不同TARA “軟件定義汽車”（SDV，SoftwareDefineVehicle）逐步成為汽車行業對智能汽車演進方向的共識。以發效率的同時也將開源軟件的安全問題引入了智能汽車行業軟件供應鏈。開源軟件面臨主要的風險包括以下3物流行業被掃描的代碼庫中使用開源的比例高達97%、包含開源漏洞的代碼庫占比為60%。2）開源后門植入件供應鏈安全培訓。4）在工具配置方面，配備自身安全可靠、能夠為汽車軟件的安全質量提供支撐與保障的軟硬件設備。汽車軟件供方還需做好軟件研發涉及的開源技術治理工作。通過建立專屬的開源治理團隊，與研發、質評估、供方產品安全風險評估、供方退出管理。）建立軟件供方管理體系：企業應根據自身業務情況，建立相應的軟件供方管理制度、軟件供方評價標準及安全框架；2）供方資質評估：根據制定的軟件供方評估模型和急響應能力等多個維度進行綜合資格評估；3）供方產品安全風險評估：對供方軟件產品進行安全基線分析和安4供方退出管理：7定、安全測試、風險評估六個步驟。由于智能網聯汽車是包含數十個ECU、傳感器的復雜網絡，甚至與其他車圖8JTAGWi-Fi9PCB安全測試、硬件接口安全測試、板載總線安全測試、芯片安全測試。PCBPCB是否會泄露硬件接口、總線協議、芯片型號等重要信息。硬件接口測試包括UART、JTAG、SWD、USB等接口測試，9板載總線安全測試包括I2C、SPIECU10試人員從公共網絡、空中下載機制、固件更新應應用程序、JTAG、SWD、UART、I2CSPI圖10是否存在特定格式的文件頭以及符號表等泄露CPU架構、固件存儲空間分布等關鍵信息的數據。文件系統測試IDAPro則需要測試人員利用QEMU[180]等仿真工具在仿真環境中運行目標固件，對目標固件進行包括模糊測試在內的11數據安全測試、配置安全測試以及訪問控制測試。啟動安全測試評估系統的啟動過程，測試其Bootloader、內應用交互安全應用內網絡安全應用內數據安全服務漏洞測試開放服務測試內核安全測試程序完整性測試應用交互安全應用內網絡安全應用內數據安全服務漏洞測試開放服務測試內核安全測試程序完整性測試文件完整性測試文件系統加載測試內核加載測試安全測試認證安全測試防火墻安全測試登錄安全測試應用配置測試服務配置測試系統配置測試數據備份測試數據完整性測試數據加密測試圖11認證安全測試防火墻安全測試登錄安全測試應用配置測試服務配置測試系統配置測試數據備份測試數據完整性測試數據加密測試校驗測試、通信認證測試、拒絕服務測試、重放測試、通信矩陣測試、診斷服務測試、網絡隔離測試、ECU訪絡。診斷服務測試評估攻擊者獲取并利用診斷指令查看、篡改車輛診斷數據的難易程度。ECU訪問測試評估攻ECU節點的難以程度。模糊測試評估總線通信是否存在未知的可利用漏洞。圖12Bluetooth、Wi-Fi、NFC/RFID、蜂窩通信協議以及DSRC，不同的通信協議采用不同的無線頻段傳輸數據。無線通信協議安全評估遵循如圖13圖13性測試、通信認證測試、重放測試、拒絕服務測試、中間人測試、模糊測試、漏洞利用測試、網絡隔離測試。網絡安全測試框架的測試方法與無線電測試框架相近，只是側重的通信數據在開放系統互連（OpenSystem圖14圖1515Web安Web應用程序的權限Web應用程序是否正確處理文件格式、大Web服務器。訪問控制測Web服務器是否具備合理的訪問控制策略?？缯灸_本攻擊測試、跨站請求偽造攻擊測試、重定向安全測Web服務器是否存在相應類型的網絡安全漏洞。數據庫安全測試評估數據庫是否存在數據進程保護測試測試屏幕交互測試進程交互測試數據銷毀測試數據備份測試數據共享測試數據處理測試數據存儲測試數據創建測試二次打包測試簽名測試防注入測試防調試測試完整性測試防反編譯測試運行環境測試進程保護測試測試屏幕交互測試進程交互測試數據銷毀測試數據備份測試數據共享測試數據處理測試數據存儲測試數據創建測試二次打包測試簽名測試防注入測試防調試測試完整性測試防反編譯測試運行環境測試注銷過程測試登出過程測試會話過程測試登錄過程測試注冊過程測試Bodst注銷過程測試登出過程測試會話過程測試登錄過程測試注冊過程測試Bodstcvr測試ConntPovdr測試Svie測試Aivy測試接口測試第三方庫測試數據重放測試拒絕服務測試通信認證測試中間人測試數據加密測試通信篡改測試16息泄露。屏幕交互測試評估應用程序使用期間是否可以防止屏幕被劫持、截屏、錄屏。WebView測試評估應用17RadarRadarLiDarCameraGNSSPKE/RKETPMS圖17ISO/SAE21434、UNECEWP.29等信息安全標準的要求。另一方面，供SRC平臺，這極大的促進了企業信息系統的CVE、CNNVD等行業公開漏洞數據庫，學術論文與技術報告等學術研究成果，開源求，對于風險極低也難以被利用的漏洞，在人力資源緊張的情況下要求盡快修復也不合適（5CVSSv3(CommonVulnerabilityScoringSystem，即“通用漏洞評分系統”)，根CVSS的好處在于提供了標準化的漏洞評分方法，涵蓋了軟件，硬件和固件漏洞的主要技術特征。其輸出一些分數，這些分數表明了漏洞的嚴重性。CVSS由三個度量標準組成：基本，時間和環境。基本評分根據漏洞的CVSS的范圍內。工作效率以及漏洞修復率，也可為以后漏洞管理自動化做好準備?？梢愿鶕RL/app名稱/ip/應用系統名稱自Top10Top10CVD參與者進行討論和評論。至少報告者和供應商應電子不停車收費系統電子不停車收費系統OBUOBUOBU鍵技術。ETC系統在車載單元（OnboardUnit，OBU）與路側單元（RoadSideUnit，RSU）DSRC技術進行無線通信，實現在不停車通過收費站的情況下繳納路橋費用。OBUETC系統中同時兼具通信與信息OBU，通過感應電流傳遞相關信息。案例所選取的分析對象為一款主動雙片式前裝OBU。該OBU使用BLE芯片，具備BLE通信能力；使用SECAN控制器，具備與車載CANMCU協調控制OBU各個模塊之間的協同運行；使用ETC射頻芯片處理DSRC通信數據，可與RSU無線通信；提供UART、SWD、CAN、BLE、ISO7816I2C、SPI評估假設確認及OBU資產識別OBUOBU因為制造、操作不當、管理不當等導致的網絡安全威脅。OBU44OBU

OBU生命周期的制造集成階段，假設采取了合適的技術以及措施保證了OBU資產的安全，包括初始密鑰等材料的產生、安裝和導入。

OBUOBUOBU資產造成損害。

OBU相關的材料，如文件、數據、密鑰等都在管理方的控制之

OBUOBUOBU資產造成安全威脅。 假設OBU產品擁有相應的物理保護機制。 假設OBU在生命周期的運行階段正常運行。硬件安全。硬件安全囊括了設備硬件可能導致的網絡安全問題，具體包括印刷電路板（PrintedCircuitBoar，PCB）安全、總線安全、硬件接口安全、芯片安全。惡意攻擊者通過PCB板可以獲取目標設備采用的芯片型號、硬件接口引腳、總線通信類型，通過硬件接口可以獲取目標設備的啟動信息、調試權限、交互數據、固件安全。獲取設備固件對于惡意攻擊者而言具有重要意義，不僅因為通過逆向分析可以揭露目標設備數據安全。數據安全指的是經過目標設備嚴格保護的數據存在的安全問題，例如安全芯片中存儲的數據5OBUPCB芯片印PCB引腳印UARTUARTSWDSWDOBUOBUI2CSPIDSRCBLE通信數據BLE通信服務CAN通信數據 CAN總線服 服ISO7816通信數 OBU基于資產與假設，OBU威脅分析結果如表6所示。依據攻擊者的攻擊路徑，可將安全威脅分為兩類：1）本地威脅，攻擊者物理接觸OBU及其各個模塊向目標OBU發起攻擊造成的威脅，UART接口、SWD接口等威脅均屬于本地威脅。2）遠程威脅，攻擊者通過無線方式遠程發起攻擊造成的威脅，DSRC通信、BLE通信等威脅均屬于遠程威脅。安全威脅中，攻擊者均以獲取、篡改OBU存儲與傳輸的數據，或者獲取、拒絕OBU權限6OBUPCB數據泄PCB印字可泄露芯片型號、總線協議、UARTUART接口可泄露啟動信息、系統運行UARTUARTSWDSWDSWDSWDI2CI2CI2CI2CSPISPIBLE通信監聽BLEBLE通信篡改BLEBLE通信仿冒BLEBLE拒絕服務BLEDSRC攻擊者監聽DSRC通信數據。DSRC攻擊者篡改DSRC通信數據。DSRC攻擊者仿冒DSRC通信實體。ISO7816ISO7816CAN攻擊者監聽CANCAN攻擊者篡改CANCAN攻擊者仿冒CANCAN攻擊者干擾CANSESESESEOBU7OBUPCB數據泄UARTUARTSWDSWDI2CI2CSPISPIBLE通信監聽BLE通信篡改BLE通信仿冒BLE拒絕服務DSRCDSRCDSRCISO7816ISO7816CANCANCANCANSESE（4）OBUTARA結果，OBU面臨的網絡安全威脅及其潛在網絡安全風險均已清晰。網絡安全風險評估體系意在風險評估體系亦可用于產品開發完成之后的風險評估，指導安全測試。OBUOBUOBU不存在相OBU面臨相應的網絡安全風險。8OBU PCB數據泄 無PCB數據泄UART數據泄 無UART數據泄UART調試權 無UART調試權SWD數據泄 無SWD數據泄SWD調試權 無SWD調試權 I2C總線監 防I2C總線監I2C總線篡 防I2C總線篡SPI總線監 防SPI總線監SPI總線篡 防SPI總線篡BLE通信監 防BLE通信監BLE通信篡 防BLE通信篡BLE通信仿 防BLE通信仿BLE拒絕服 防BLE拒絕服DSRC通信監 防DSRC通信監DSRC通信篡 防DSRC通信篡DSRC通信仿 防DSRC通信仿ISO7816監 防ISO7816監ISO7816篡 防IS