车联网安全研究报告

1封面2关于创新研究院绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。3关于北京交通大学电子信息工程学院北京交通大学电子信息工程学院成立于 1996 年，前身可溯源至 1909 年建校之初设立的邮电班，是我国早期成立的电信学科之一，1949 年电信系正式建系后成为我校的传统特色优势学科之一。学院建设有通信工程、信息工程、电子科学与技术 3 个专业，先后获批国家级一流本科专业建设点，通信工程、电子科学与技术通过中国工程教育专业认证。通信工程获评国家级特色专业、国家专业综合改革试点，并通过 IEEE 专业认证专家评估。在全国第五轮学科评估中，信息与通信工程学科进入 A 类学科。版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。关于北京航空航天大学网络空间安全学院北京航空航天大学网络空间安全学院成立于 2017 年，是中央网信办—教育部首批“一流网络安全学院建设示范高校”，并拥有全国首批网络空间安全一级学科博士点和博士后流动站，于 2021 年获中央网信办“网络安全先进集体”。学院拥有“空天网络安全工业和信息化部重点实验室”、“区块链与物联网安全教育部重点实验室”，已被纳入北航“双一流”学科群，在密码前沿理论与应用、空天地信息网络安全、网络与计算系统安全、人工智能与工控安全方向形成四大特色研究方向。车联网安全研究报告（第六期）1目01前言202车联网安全态势分析52.1 安全合规政策环境利好，车联网安全发展加速52.2 车联网安全能力普遍不足，关键环节存安全挑战603车联网重点安全事件解读93.1 本田汽车钥匙存在设计缺陷，无钥匙进入系统再报漏洞93.2 蔚来汽车遭遇数据勒索，车企数据泄露谁来买单？113.3 YANDEX TAXI 遇黑客操纵，莫斯科上演交通大堵塞133.4 奔驰、宝马、法拉利接连中招，API 漏洞再出江湖153.5 特斯拉系统遭黑客破解，OTA 背后的“灰色”市场163.6 供应商遭网络攻击，致丰田日本工厂被迫停工一天183.7 操作系统 QNX 曝出漏洞，影响或达 1.95 亿辆汽车203.8 MICODUS 车辆定位器安全漏洞波及全球超百万辆汽车223.9 《汽车整车信息安全技术要求》发布243.10 小结25004车端电气架构、组件及其攻击面分析254.1 车端电子电气架构284.2 车端资产关键组件314.3 车端资产攻击面424.4 小结4705车联网攻击技术分析495.1 针对云端的攻击495.2 针对 V2X 的攻击545.3 针对近场的控车攻击585.4 针对车身接口的攻击635.5 针对信息通信的攻击665.6 针对智能驾驶算法的攻击765.7 小结8406车联网安全体系建设866.1 车联网安全管理体系876.2 车联网安全技术体系916.3 车联网安全运营体系996.4 车联网数据安全治理体系103007总结与展望11305参考链接116101前言车联网安全研究报告（第六期）2一.前言智能网联汽车是指通过搭载先进传感器等装置，运用人工智能等新技术，具有自动驾驶功能，逐步成为智能移动空间和应用终端的新一代汽车。智能网联汽车通常又称为智能汽车、自动驾驶汽车等[1]。2022 年，我国乘用车销量达到 2054.2 万辆[2]，尽管遭受新冠疫情打击，但智能网联汽车产业仍在稳步发展。在这些汽车中，价格低于 30 万的有 1803.0 万辆，不低于 30 万的有 251.2 万辆，低于 30 万的乘用车销量约占总销量的 87.8%。这表明国内汽车市场中，绝大部分为中低端车型，如此多的中低端智能网联汽车[3]，一旦出现漏洞，将对人民财产和国家安全带来巨大的威胁。我国政府高度重视智能网联汽车安全问题，在战略目标、产业指导、安全监管、标准体系建设等方面出台了一系列指导性文件，旨在保障智能网联汽车安全运行，促进车联网[4]行业的健康发展。在第二章中我们总结梳理当前车联网产业发展最新态势。根据 Upstream 发布的 2023 全球汽车网络安全报告统计[5]，自 2015 年以来，已公开的车联网领域安全事件高达近千起，且呈现日趋增长形势，智能网联汽车安全不容乐观。因此，在第三章中，我们对八个具有代表性的安全事件进行分析解读。如今，汽车行业内资料的不透明，使网络安全厂商很难通过公开资料了解到智能网联汽车的电子电气架构和零部件设计知识。在不了解智能网联汽车的前提下，研究车联网安全显得尤为困难。所以，第四章，我们会梳理汽车的电子电气架构，并就关键的零部件进行攻击面的分析。黑客可以利用漏洞对第四章提及的攻击面进行攻击。在第五章，我们对不同的攻击技术展开阐述与分析。这其中包括针对车联网云端平台、典型通信协议、路侧设备、近场通信、车身接口、车联网学习模型的攻击等。车联网安全研究报告（第六期）3介绍完安全事件、攻击面以及攻击技术，第六章将介绍车联网安全体系建设，依托现有车联网网络与数据安全法规、标准和规范，结合企业业务运营状态，进行综合安全管理与技术体系规划与建设。分别从车联网安全管理体系、技术防护体系、安全运营体系、数据安全治理体系等四大安全能力体系建设分别阐述，结合绿盟科技多年在车联网安全研究与实践与应用经验，以期为企业提供借鉴和指导。车联网安全研究报告（第六期）402车联网安全态势分析车联网安全研究报告（第六期）5二.车联网安全态势分析2.1安全合规政策环境利好，车联网安全发展加速伴随智能交通系统的推进，信息通信技术的不断演进，促进了汽车、电子、道路交通运输等行业的深度融合和发展创新，形成了包括技术、产业、基础设施和应用服务的车联网生态，全球车联网进入到新的发展阶段。美国、日本、欧盟等汽车工业发达国家和地区都视车联网为产业发展的重要方向，已然展开全面布局发展战略。车联网应用涉及关键技术众多，技术体系复杂，在不用国家呈现出不同特点。美国在车辆安全驾驶、车路协同技术和应用、车辆安全系统等方面成效显著；欧洲通过多层次、多通讯方式的立体车联网信息服务网络构建来推动车联网应用；而我国车联网发展的时间短暂，顶层设计暂未完善，目前尚未形成清晰的发展方向，但政府正在大力推动车联网标准