吳詩宇，趙豐，郝剛，吳超

摘? 要：隨著大數(shù)據(jù)技術(shù)在汽車行業(yè)的快速應用和發(fā)展，對車載終端的網(wǎng)絡(luò)安全提出了一些要求。本文介紹了一種基于無線信號模擬器的滲透測試方案和系統(tǒng)。系統(tǒng)包括測試用例、數(shù)據(jù)入侵模擬工具、無線信號模擬器、屏蔽器和結(jié)果比對系統(tǒng)五部分。利用測試用例，入侵者以無線通信的方式滲透車載終端，通過預期結(jié)果與實際結(jié)果的比對，驗證車載終端樣品是否滿足指標要求。本文通過系統(tǒng)樣機的測試，證明了測試系統(tǒng)的可用性。

關(guān)鍵詞：車載終端;滲透測試;測試用例;無線通信

中圖分類號：U463? ? 文獻標識碼：A? ? 文章編號：1005-2550（2021）04-0002-06

Research On The Penetration Test System Of Vehicle Terminal Network

WU Shi-yu1， ZHAO Feng2， HAO Gang2， WU Chao3

（ 1. Chongqing Vehicle Test & Research Institute Co. Ltd.， National Bus Quality Supervision & Inspection Center， Chongqing 401122， China. 2. PLA Army Equipment Department， Beijing 100071， China. 3. Chongqing Key Laboratory of industry and information technology for electric vehicle safety evaluation， Chongqing 401122， China ）

Abstract： With the rapid application and development of big data technology in the automotive industry， some requirements are raised for the network security of vehicle terminal. This paper introduces a penetration testing solution and system based on wireless signal simulator. The system includes five parts： test case， data intrusion simulation tool， wireless signal simulator， shield and result comparison system. Using the test case， the intruder penetrates the vehicle terminal through wireless communication. Through the comparison between the predict results and the actual results， to check whether the vehicle terminal prototype meets the index requirements. In this paper， the availability of the testing system is proved by the verification of the system prototype.

1? ? 引言

隨著大數(shù)據(jù)技術(shù)在汽車行業(yè)的快速應用和發(fā)展，每臺車輛作為大數(shù)據(jù)系統(tǒng)里的一個節(jié)點，其安全性關(guān)系到整個大數(shù)據(jù)系統(tǒng)的網(wǎng)絡(luò)安全。而車載終端（又稱TBOX）作為每臺車輛對外的通信聯(lián)絡(luò)點，其網(wǎng)絡(luò)安全性極為關(guān)鍵，如果安全性好，可以對絕大多數(shù)攻擊和滲透，起到攔截和隔離作用[1]。然而，無論是新能源汽車還是傳統(tǒng)燃油車，尤其是智能網(wǎng)聯(lián)汽車，其搭載車載終端欠缺安全防護產(chǎn)品的保護，而攻擊水平越來越高，從而導致車輛信息泄露或被控制的風險日益增大，引起社會和行業(yè)的廣泛關(guān)注[2]。

2018年6月，GB 17691-2018《重型柴油車污染物排放限值及測量方法（中國第六階段）》[3]，標準要求車輛必須安裝用于采集、存儲和傳輸車輛OBD信息和發(fā)動機排放數(shù)據(jù)的車載終端。同時在附錄Q.7.7中，以國家標準的名義，提出使用滲透測試驗證系統(tǒng)的網(wǎng)絡(luò)安全性能，但未規(guī)定具體的試驗方法和相應指標。為此，生態(tài)環(huán)境部發(fā)布了《重型車遠程排放監(jiān)控技術(shù)規(guī)范第3部分：車載終端技術(shù)要求及測量方法》[4]，其中附錄C大致規(guī)定了測試設(shè)備、測試方法和評價指標。但測試用例和具體系統(tǒng)構(gòu)成均不明晰。

在此基礎(chǔ)之上，本文研究了一種基于無線信號模擬器的滲透測試方案和系統(tǒng)，并努力提高了滲透測試的自動化水平和測試效率。

2? ? 系統(tǒng)方案

根據(jù)以上標準的要求，使用滲透測試檢測系統(tǒng)的網(wǎng)絡(luò)安全性，系統(tǒng)模擬數(shù)據(jù)入侵，自動對樣品車載終端給予隨機類型的滲透攻擊，根據(jù)樣品的反饋報文，系統(tǒng)自動判斷入侵識別結(jié)果與預期的結(jié)果是否一致，來判斷是否漏報或誤報。

根據(jù)標準《重型車遠程排放監(jiān)控技術(shù)規(guī)范第3部分：車載終端技術(shù)要求及測量方法》，評價指標為：不少于100個樣本的異常指令集，檢測車載終端是否具有檢測出其中95%以上異常指令的能力，且誤報率能夠小于1%，在攻擊開始后10s內(nèi)能夠發(fā)現(xiàn)并啟動防護措施[4]。

由于車載終端作為車輛無線接收和發(fā)送模塊，對外都采取3G/4G的通信方式（目前也有小部分采用5G的產(chǎn)品），為此，模擬入侵在物理層上采用無線信號模擬器的方式進行。

系統(tǒng)采用模塊化設(shè)計，模塊包括測試用例、數(shù)據(jù)入侵模擬工具、無線信號模擬器、屏蔽器和結(jié)果比對系統(tǒng)。這五部分結(jié)構(gòu)如下（見圖1）：

3? ? 系統(tǒng)各部分

3.1? ?測試用例的設(shè)計

為保證測試覆蓋的全面性和權(quán)威性，使測試用例與最新發(fā)現(xiàn)的安全漏洞同步，系統(tǒng)采用現(xiàn)有安全漏洞與國際的CVE和我國的CNVD漏洞收錄庫同步的方式。

其中CVE是國際上一個字典表，為廣泛認同的信息安全漏洞給出一個公共的名稱，這就使得CVE成為了安全信息共享的“關(guān)鍵字”。如果在一個漏洞報告中指明的一個漏洞，如果有CVE名稱，你就可以快速找到相應修補的信息，解決安全問題。CNVD也叫國家信息安全漏洞共享平臺，是我國計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心聯(lián)合建立的信息安全漏洞信息共享知識庫[5]。

部分車載終端系統(tǒng)有以下的特點[6]。一是沒有在專用的操作系統(tǒng)上建立軟件系統(tǒng)，不具備操作系統(tǒng)中防火墻或基本的安全防護軟件;二是未設(shè)置防止端口掃描或窺探類的防護系統(tǒng)，遠程可非法窺探系統(tǒng)端口，為獲取數(shù)據(jù)、遠程操縱、入侵攻擊等創(chuàng)造了前提條件;三是未設(shè)置對攻擊行為的辨識系統(tǒng)，易受到攻擊而導致通信堵塞或系統(tǒng)資源被大量的占用，且不能快速重啟或?qū)崿F(xiàn)其他防護措施。

以上防護不到位的特點，易導致系統(tǒng)受到網(wǎng)絡(luò)上的入侵攻擊。為此有針對性的，設(shè)計了模擬攻擊行為，包括掃描窺探、畸形報文攻擊、拒絕服務(wù)攻擊等，以上3種類別的漏洞占車載終端常見安全漏洞的比例最高，分別為57.4%、43.8%、39.1%（由于部分車載終端系統(tǒng)同時有2種以上的漏洞，致總和超過100%）。

如在測試車載終端時，遇到拒絕服務(wù)攻擊類的ICMP洪水攻擊，即當ICMP ping產(chǎn)生的大量回應請求超出了車載終端系統(tǒng)的最大限度，以至于耗費所有資源來進行響應直至再也無法處理有效的網(wǎng)絡(luò)信息。這個時候，車載終端需設(shè)計專用的軟件代碼，可采用在發(fā)現(xiàn)多次收到ICMP ping包后，不再進行響應等方式，來解決這個漏洞，并通過不斷的測試，來發(fā)現(xiàn)系統(tǒng)的漏洞，并提高系統(tǒng)的防護水平。

為了測試車載終端是否具備這些關(guān)鍵的軟件代碼或防護系統(tǒng)，本項目設(shè)計的測試系統(tǒng)采用了以上3種常見的攻擊方式，來驗證防護系統(tǒng)的有效性。為此，建立了以下模擬攻擊行為庫如表1所示。

下面對模擬攻擊行為庫的部分攻擊進行介紹。

3.1.1 掃描窺探概述

以端口服務(wù)及版本掃描探測為例，進行說明，其他端口掃描探測和操作系統(tǒng)探測，與此類似。

端口服務(wù)及版本掃描探測是：通過端口掃描確定了端口的狀態(tài)之后，通過發(fā)送帶有特征數(shù)據(jù)的數(shù)據(jù)包到目標主機的開放端口，然后根據(jù)返回的數(shù)據(jù)包的數(shù)據(jù)段來匹配數(shù)據(jù)庫得出對方端口的服務(wù)信息[7]。

3.1.2 畸形報文攻擊概述

以TCP標志位攻擊中的TCP/圣誕樹攻擊為例進行說明，其他畸形報文攻擊也是通過向目標系統(tǒng)發(fā)送有缺陷的IP報文，使得目標系統(tǒng)在處理這樣的IP包時會出現(xiàn)崩潰。不同的缺陷字段對應不同的攻擊手段。

TCP報文包含6個標志位：URG、ACK、PSH、RST、SYN、FIN，不同的系統(tǒng)對這些標志位組合的應答是不同的，6個標志全部為1，也就是圣誕樹攻擊。如此命名是因為這些標志位就像圣誕樹上燈一樣全部被點亮。當發(fā)送了這樣一個數(shù)據(jù)包之后，不同的操作系統(tǒng)對其的響應方式是不一樣的，因此可以作為目標系統(tǒng)探測的一種方式。并且目標系統(tǒng)需要對這個數(shù)據(jù)包進行更復雜的處理，相比一般的包處理耗費的資源會更多?？勺鳛樘綔y和攻擊的手段[8]。

3.1.3 拒絕服務(wù)攻擊概述

以TCP攻擊中的TCP/SYN flood為例進行說明，其他flood（又名洪水攻擊）也是采用類似的方式，尋找TCP、UDP、ARP和IP的漏洞，不斷的發(fā)送洪水般的網(wǎng)絡(luò)報文，消耗目標主機大量的資源，使目標系統(tǒng)拒絕服務(wù)。

SYN Flood是當前最流行的DoS（拒絕服務(wù)攻擊），這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造TCP連接請求，通過發(fā)送大量的半連接請求，耗費CPU和內(nèi)存資源。這些偽造的SYN包將長時間占用未連接隊列，正常的SYN請求被丟棄，目標系統(tǒng)運行緩慢，嚴重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓[9]。

3.2? ?數(shù)據(jù)入侵模擬工具和結(jié)果比對系統(tǒng)

數(shù)據(jù)入侵模擬工具可以是工控機，也可以是普通的PC機，入侵模擬工具的關(guān)鍵主要在軟件，此軟件按系統(tǒng)隨機選取測試用例，把測試用例轉(zhuǎn)為TCP/IP網(wǎng)絡(luò)層協(xié)議的報文，通過以太網(wǎng)傳輸給無線信號模擬器，同時記錄下預期結(jié)果和發(fā)送時間。而后軟件一直處于等待，等到無線信號模擬器反饋入侵報警信號（如果超過10s，系統(tǒng)自動判定為不合格），記錄此信號和接收時間，跟預期結(jié)果進行比對，判定是否漏報或誤報，計算啟動保護時間。經(jīng)多次循環(huán)（本系統(tǒng)采用200次），得出漏報率、誤報率和平均啟動保護時間。軟件流程圖如下所示（見圖2）：

3.3? ?無線信號模擬器與屏蔽器

無線模擬器采用R&S羅德與施瓦茨的CMW 500，CMW500可模擬2G、3G、4G和5G信號，直接把TCP/IP的以太網(wǎng)信號轉(zhuǎn)換為無線信號透傳至車載終端樣品[10]。設(shè)備照片如下（見圖3）：

CMW500相當于作為一個偽基站，跟車載終端進行通信。我們知道手機與電信運營商基站進行通信，需要SIM卡。車載終端相當于手機，車載終端與CMW500通信，需要專門的SIM卡（又稱白卡）[11]。為了防止通信過程中，試驗室內(nèi)電信運營商基站信號的干擾，本項目設(shè)計了信號屏蔽器。

金屬信號屏蔽器通過形成一個封閉的空間，隔絕外部的無線信號，CMW500發(fā)送的無線信號，通過接口進入空間內(nèi)，在空間內(nèi)放置天線，跟車載終端樣品之間建立通信鏈路。設(shè)備照片如下（見圖4）：

4? ? 實驗結(jié)果

本項目采用以上的系統(tǒng)搭建試驗環(huán)境，對車載終端樣品進行試驗。試驗現(xiàn)場圖如下所示（見圖5）：

試驗結(jié)果如下表2。

5? ? 結(jié)論

文中提出了一種基于無線信號模擬器的滲透測試方案和系統(tǒng)。通過系統(tǒng)樣機的測試，試驗結(jié)果證明了測試系統(tǒng)的可用性。系統(tǒng)采用自動化的隨機選取測試用例和自動化的比對結(jié)果，提高了測試效率。

下一步計劃，根據(jù)發(fā)現(xiàn)的更多安全漏洞，系統(tǒng)的測試用例將會同步升級，并引入其他測試內(nèi)容，如側(cè)信道測試和芯片加密測試，提高測試的全面性和先進性。為汽車行業(yè)大數(shù)據(jù)網(wǎng)絡(luò)安全的進步提供工具和支撐。

參考文獻：

[1]李芳麗，吳曉建. 智能網(wǎng)聯(lián)汽車通信終端信息安全加密方法仿真[J]. 計算機仿真，2020，37（5）： 86-90.

[2]李博，李彤，常成，張寶林. 車載嵌入式系統(tǒng)漏洞攻擊研究現(xiàn)狀與展望[J]. 單片機與嵌入式系統(tǒng)應用，2018，18（4）： 11-15.

[3]GB 17691-2018，《重型柴油車污染物排放限值及測量方法（中國第六階段）[S].

[4]生態(tài)環(huán)境部辦公廳. 重型車遠程排放監(jiān)控技術(shù)規(guī)范 第3部分：車載終端技術(shù)要求及測量方法（征求意見稿）[EB/OL].

[5]李永忠，張杰? 一種基于云模型和半監(jiān)督聚類的入侵檢測算法[J].電子測量與儀器學報，2014， 28（12）：1376-1381.

[6]楊玚，朱科屹，宋娟. 車載終端信息安全風險實測舉隅[J]. 網(wǎng)絡(luò)空間安全，2019，10（9）： 1-6.

[7]王龍業(yè)，羅杰. 互聯(lián)網(wǎng)端口掃描攻擊的安全檢測方法[J]. 信息安全與技術(shù)，2016，7（2）： 44-45.

[8]鐘銳. 基于隱馬爾科夫模型的入侵檢測系統(tǒng)研究[J]. 贛南師范學院學報，2011，32（3）： 60-64.

[9]Kien NGUYEN， Mirza Golam KIBRIA， Kentaro ISHIZU， Fumihide KOJIMA. Enhancing multipath TCP initialization with SYN duplication[J]. IEICE Transactions on Communications， 2019，E102.B（9） ： 1904-1913.

[10]鮑振標，劉全周，唐風敏，張夢然，牛子佳. 基于CMW500的車聯(lián)網(wǎng)系統(tǒng)自定義場景測試[J]. 汽車實用技術(shù)，2019，（22）： 45-47.

[11]粟栗，邵京，杜海濤. 移動通信網(wǎng)2G/3G/4G互操作風險分析與防護方案[J]. 信息網(wǎng)絡(luò)安全，2017，（9）： 69-72.